05、安全评估Windows操作系统安全加固
Categories:
2 分钟阅读
1.用户权限策略配置
1.按下Win+R,输入框输入winver,确认系统版本;
2.按下Win+R,输入框输入compmgmt.msc,进入“计算机管理->本地用户和组->用户->新建用户”,分别创建安全管理员(secadmin)、审计管理员(audadmin)和系统管理员(sysadmin);
3.安全管理员权限配置
选择用户“secadmin”,右击“属性”,进入“隶属于->添加->选择组->高级->立即查找”,同时选择BackupOperators和PowerUsers组,点击确定;
**注:**安全管理员隶属于BackupOperators和PowerUsers组,
审计管理员隶属于EventLogReaders和PerformanceLogUser组,
系统管理员隶属于NetworkConfigurationOperators组。
2.用户口令过期提醒
1.进入“控制面板->管理工具->本地安全策略->本地策略->安全选项”;
或按下Win+R,输入框输入secpol.msc,进入“安全选项”;
2.双击“交互式登录:提示用户在过期之前更改密码”,设置为10天,点击确定。
3.用户口令复杂度策略
1.进入“控制面板->管理工具->本地安全策略->帐户策略->密码策略”;
或按下Win+R,输入框输入secpol.msc,进入“密码策略”;
2.双击“密码长度最小值”,设置“密码长度最小值”为8个字符,点击确定;
3.双击“密码必须符合复杂性要求”,勾选已启用,点击确定。
4.禁止用户修改IP
1.按下Win+R,输入框输入gpedit.msc,打开“本地组策略编辑器”;
2.进入“用户配置->管理模板->网络->网络连接”;
3.双击“禁止访问LAN连接组件的属性”,设置为已启用,点击确定;
4.双击“禁止访问LAN连接的属性”,设置为已启用,点击确定;
5.双击“禁用TCP/IP高级配置”,设置为已启用,点击确定。
5.禁止用户更改计算机名
1.按下Win+R,输入框输入gpedit.msc,打开“本地组策略编辑器”;
2.进入“用户配置->管理模板->桌面”;
3.双击“从‘计算机(我的电脑)’图标上下文菜单中删除属性”,设置为“已启用”,点击确定。
6.开启屏幕保护程序
1.桌面“右键->个性化->锁屏界面->屏幕保护程序”;
2.选择屏幕保护程序界面,设置“等待”为5,点击确定。
7.用户登录失败锁定
1.进入“控制面板->管理工具->本地安全策略->账户策略->帐户锁定策略”;
或按下Win+R,输入框输入secpol.msc,进入“帐户锁定策略”;
2.双击“帐户锁定阀值”设置,设置无效登录次数为5次,点击确定;
3.双击“帐户锁定时间”设置,设置锁定时间10分钟,点击确定。
8.系统不显示上次登录名
1.进入“控制面板->管理工具->本地安全策略->本地策略->安全选项”;
或按下Win+R,输入框输入secpol.msc,进入“安全选项”;
2.双击“交互式登陆:不显示最后的用户名”,选择“已启用”,点击确定。
9.关闭默认共享
1.进入“开始->控制面板->管理工具->计算机管理(本地)->共享文件夹->共享”;
或按下Win+R,输入框输入compmgmt.msc,进入“共享文件夹“;
2.查看右侧窗口,选择对应的共享文件夹(例如C$,D$,ADMIN$,IPC$等),右击停止共享。
10.用户账户控制设置(UAC)
-
进入“开始->控制面板->用户账户和家庭安全->用户账户”;
-
更改“用户账户控制设置”,设置为“默认”,点击确定;
或按下Win+R,输入框输入useraccountcontrolsettings.exe,进行更改。
11.禁止未登录关机
1.进入“控制面板->管理工具->本地安全策略->本地策略->安全选项”;
或按下Win+R,输入框输入secpol.msc,进入“安全选项”;
2.双击“关机: 允许系统在未登录的情况下关闭”,设置属性为“已禁用”,点击确定。
12.关机时清除虚拟内存页面文件
1.进入“开始->控制面板->管理工具->本地安全策略->安全选项”;
或按下Win+R,输入框输入secpol.msc,进入“安全选项”;
2.双击“关机: 清除虚拟内存页面文件”,属性设置为“已启用”,点击确定。
13.禁止非管理员关机
1.进入“开始->控制面板->管理工具->本地安全策略->本地策略->用户权限分配”;
或按下Win+R,输入框输入secpol.msc,进入“用户权限分配”;
2.分别双击“关闭系统”和“从远程系统强制关机”选项,仅配置系统管理员(sysadmin)用户。
14.启用SYN保护
1.按下Win+R,输入框中输入regedit命令;
2.查看注册表项,进入
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters;
- 新建字符串值,重命名为SynAttackProtect,双击修改数值数据为2;
4.新建字符串值,重命名为TcpMaxportsExhausted,双击修改数值数据为5;
5.新建字符串值,重命名为TcpMaxHalfOpen,双击修改数值数据为500;
6.新建字符串值,重命名为TcpMaxHalfOpenRetried,双击修改数值数据为400。
15.设置最小挂起时间
1.进入“控制面板->管理工具->本地安全策略->本地策略->安全选项”;
或按下Win+R,输入框输入secpol.msc,进入“安全选项”;
2.双击“Microsoft 网络服务器: 登录时间过期后断开与客户端的连接”和“网络安全:在超过登录时间后强制注销”,设置为已启用;
3.双击“Microsoft 网络服务器: 暂停会话前所需的空闲时间量”,设置时间为15 分钟。
16.敏感信息标记
与业务系统人员沟通,确认重要信息资源。
17.删除或禁用系统无关用户
1.进入“计算机管理->系统工具->本地用户和组->用户”;
或按下Win+R,输入框输入compmgmt.msc,进入“本地用户和组”;
2.查看窗口右侧的用户信息栏目,查找与设备运行、维护等工作无关的用户账户,右击删除;
3.右击Guest用户,点击“属性”,勾选“帐户已禁用”,点击确定。
4.禁用其他用户,右击用户名称,点击“属性”,勾选“帐户已禁用”,点击确定。
18.系统重要数据访问控制
1.修改文件夹选项
在Win 2000、Win 2003、Win 7和Win 2008:默认不需要修改;
在Win XP及其他:默认不开启文件夹安全选项,需要手工开启,进入“工具->文件夹选项->查看”,取消勾选“使用简单文件共享”选项,点击确定;
2.确认系统中的重要数据或文件;
3.进入到需要进行访问控制的文件或目录;
4.配置权限
在Win 7和Win 2008:右击“文件”或“目录”,选择“属性->安全->编辑”,对相应的用户(组)设置合理的权限;
在Win 2000、Win XP和Win 2003:右击“文件”或“目录”,选择“属性->安全->高级->编辑”,对相应的用户(组)设置合理的权限。
19.数据执行保护(DEP)
1.打开控制面板,进入”系统->高级系统设置->性能设置->数据执行保护选项卡配置“。
或右键我的电脑->属性->高级系统设置->性能设置->数据执行保护。
2.勾选“仅为基本 Windows 操作系统程序和服务启用DEP”,点击确定。
20.禁止普通用户修改审计策略
1.将审计策略修改权限仅赋予审计管理员
选择用户“audadmin”,右击“属性”,进入“隶属于->添加->选择组->高级->立即查找”,同时选择Event Log Readers和Performance Log User组,点击确定;
2.普通用户不允许隶属于Event Log Readers和Performance Log User组。
21.删除默认路由配置
-
按下Win+R,输入框输入cmd;
-
在命令提示符中输入“route print”,查看是否有缺省路由;
-
以管理员身份打开命令提示符,使用命令route addX.X.X.X mask X.X.X.X X.X.X.X添加明细路由;
-
使用命令route delete 0.0.0.0删除默认路由。
注:1.未添加所有明细路由前禁止删除默认路由;
2.重启网卡即可恢复默认路由。
22.补丁管理
按下Win+R,输入框输入cmd,在命令提示符中输入systeminfo,查看主机现有的补丁编号。
23.高危漏洞补丁加固
漏洞补丁均从http://www.catalog.update.microsoft.com/网站下载后执行安装。
24.安装防病毒软件
1.安装防病毒软件;
2.使用离线安装包将病毒库更新至最新;
3.后期定期升级杀毒软件和病毒库。
25.安装防病毒统一管理服务器
1.在防病毒软件的客户端上,配置防病毒管理中心服务器的IP地址;
2.在防病毒软件的客户端上,配置病毒库定时更新。
26.关闭不必要服务
1.确认系统应用需要使用的服务;
2.按下Win+R,输入框中输入services.msc命令;
3.双击需要关闭的服务,点击停止按钮以停止当前正在运行的服务;
4.将启动类型设置为禁用,点击确定。
task scheduler
remote registory
telnet
messenger
Alerter
27.关闭不必要的系统端口
1.核实本机应监听的端口列表;
2.查看系统当前实际监听的端口列表
在Win 07、Win XP、Win 2003和Win 2008:在命令提示符中,输入netstat -ano命令,查看系统当前网络连接状况;
在Win 2000:在命令提示符中,输入netstat -an命令,查看系统当前网络连接状况;
(1)打开任务管理器,根据PID来查看端口对应的进程或服务;
(2)通过停止进程或禁用服务,关闭不必要的端口;
(3)按照白名单原则,仅开放必须的端口;
高危端口:135,137,138,139,445,593,2745,3127,6129,631,21,23,53,5353
28.配置访问控制规则
在防火墙中配置网络访问规则。
29.关闭远程主机RDP服务
1.右击“计算机”,选择“属性”,点击左侧菜单栏中的“远程设置”;
2.选择“不允许连接到这台计算机”,取消勾选“允许远程协助连接到这台计算机”,点击确定。
30.限制远程登录IP
1.按下Win+R,输入框输入gpedit.msc,进入“本地组策略编辑器”;
2.分别进入“计算机配置->管理模板->网络->网络连接->Windows防火墙->域配置文件”和“标准配置文件”,执行03、4步操作;
3.双击“允许入站远程桌面例外”,选择“已启用”;
4.填入允许远程登录到本机的主机IP地址,并以逗号分隔,点击确定。
31.限制匿名用户远程连接
1.进入“控制面板->管理工具->本地安全策略->本地策略->安全选项”;
或按下Win+R,输入框输入secpol.msc,进入“安全选项”;
2.双击“网络访问:不允许SAM帐户的匿名枚举”,选择“已启用”,点击确定;
3.双击“网络访问:不允许SAM帐号和共享的匿名枚举”,选择“已启用”,点击
确定;
32.限制远程登录协议
1.进入“开始->控制面板->程序与功能”(添加删除程序),查找是否有第三方远程登录软件(服务端);
2.卸载系统中的第三方远程登录软件。
33.限制远程登录时间
1.按下Win+R,在输入框输入gpedit.msc,进入“本地组策略编辑器”;
2.进入“计算机配置->管理模板->Windows组件->远程桌面服务->远程桌面会话主机->会话时间限制”,双击“达到时间限制终止会话”,选择“已启用”,点击确定;
3.双击“设置活动但空闲的远程桌面服务会话的时间限制”,选择“已启用”,设置“活动会话限制”为10分钟,点击确定。
34.修改远程桌面默认服务端口
1.按下Win+R,在输入框中输入regedit命令,打开注册表编辑器;
2.进入HKLM/System/CurrentControlSet/Control/TerminalServer/WinStations/RDP-Tcp;
3.双击“PortNumber”子项,修改值为自定义端口(如13889),点击确定。
35.主机间登录禁止使用公钥验证
1.进入“控制面板->管理工具->本地安全策略->本地策略->安全选项”;
** 或**按下Win+R,输入框输入secpol.msc,进入“安全选项”;
2.双击“网络访问,不允许存储网络身份验证的密码和凭据”,选择“已启用”,点击确定。
36.禁用大容量存储介质(USB存储设备)
1.按下 +R,在输入框输入regedit,打开注册表编辑器;
2.进入HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR;
3.双击右侧注册表中的“Start”项,修改值为4。
37.关闭自动播放功能
1.按下Win+R,输入框中输入gpedit.msc,进入“本地组策略编辑器”;
2.配置关闭自动播放策略:
(1)进入“计算机配置->管理模板->Windows组件->自动播放策略”;
(2)查看右侧小窗口,双击“关闭自动播放”,选择“已启用”;
(3)在“选项”中,选择“所有驱动器”,点击确定。
38.禁止使用无线设备
1.核实是否存在无线网卡,若存在,请执行以下操作并拔出网卡设备;
2.按下win+R,在输入框输入devmgmt.msc,进入“设备管理器”;
3.查找右侧“设备管理器”的窗口,选择网络适配器,找到无线网卡、蓝牙无线
收发适配器设备名称;
4.右击该设备,选择“禁用”,点击“是”。
39.配置日志策略
1.进入“控制面板->管理工具->本地安全策略->本地策略->审核策略”;
或按下Win+R,输入框输入secpol.msc,进入“审核策略”;
2.对审核策略进行如下设置:
审核策略更改:成功,失败;
审核登录事件:成功,失败;
审核对象访问:成功,失败;
审核过程追踪:无审核;
审核系统事件:成功,失败;
审核特权使用:失败;
审核账户登录事件:成功,失败;
审核账户管理:成功,失败;
审核目录服务访问:失败;
3.设置完成后,点击确定。