Windows安全加固（四）

七、服务安全

1.禁用TCP/IP上的NetBIOS(协议所用端口139)

作用：禁用TCP/IP上的NetBIOS协议，可以关闭监听的UDP137、UDP138、UDP139端口。

（1）使用快捷键“Windows+R“—>输入”compmgmt.msc “打开“计算机管理”—>选择“服务和应用程序”—>选择“服务”中的“停用”TCP/IP NetBIOS Helper服务“—>右键打开“属性”—>在启动类型中选择“禁用“。

（2）在网络与共享中心—>打开“本地连接网络“的属性对话框—>取消选择”Micsoft网络的文件和共享打印机“复选框。

（3）在“网络与共享中心“—>打开”本地连接网络的属性“对话框—>选中”Internet协议版本4（TCP/IPV4）“选项—>单击”属性“打开”Internet协议版本4（TCP/IPV4）属性“—>单击”高级“打开”高级TCP/IP设置“—>单击”WINS“选项卡—>选择”禁用TCP/IP上的NetBIOS“。

2.禁用不必要的服务

作用：节省大量内存和大量系统资源，提升系统启动和运行的速度，减少系统受攻击的风险。

（1）使用快捷键“Windows+R“—>输入”compmgmt.msc “打开“计算机管理”—>选择“服务和应用程序”—>选择“服务”中的“服务”窗口，查看所有服务。

（2）停用服务。打开系统服务列表—>“停止“不必要的服务—>右键打开”属性“—>在启动类型中选择”禁用“

服务名称	配置建议
DHCP Client	如果不使用动态P地址,就禁用该服务
Background Intelligent Transfer Service	如果不启用自动更新,就禁用该服务
Computer Browser	禁用
Diagnostic Policy Service	手动
IP Helper	禁用。该服务用于转换P6 to IPv4
Print Spooler	如果不需要打印，就禁用该服务
Remote Registry	禁用。Remote Registry主要用于运程管理注册表
Server	如果不使用文件共享，就禁用该服务。禁用本服务将关闭默认共享，如ipc$.、admin$和c$等
TCP/IP NetBIOs Helper	禁用
Windows Remote Management (WS- Management)	禁用
Windows Font Cache Service	禁用
WinHTTP web Proxy Auto-Discovery Service	禁用
Windows Error Reporting Service	禁用

3.关闭同步主机服务

作用：属于多余的系统启动项，作用不大，关闭后可节省磁盘频繁读取。

使用Win+R—>输入“regedit“—>打开注册表编辑器，HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services—>找到”OneSyncSvc“、”OneSyncSvc_xxx“、”UserDataSvc“、和”UserDataSvc _xxx“—>依次将其中的”start“值该为为4—>退出注册表后重启服务器即可。

4.打开“PowerShell“脚本块日志记录设置为”禁用“

作用 ：

PowerShell操作日志上默认ACL（访问控制列表）允许交互式用户（任何登录的用户）读取它，因此可能向未授权用户公开密码或其他敏感信息。

在PowerShell日志中默认捕获密码存在潜在的风险。此设置只应用于调试目的，不在正常操作中，将此设置设置为禁用非常重要。

使用快捷键“Windows+R”—>输入“gpedit.msc”打开本地组策略编辑器 —>打开“计算机配置”—>“管理模板”—>“Windows组件“—>打开”powershell脚本块日志记录“—>配置为”已禁用“。

5.打开“PowerShell“转换设置为”禁用“

作用：启用此设置，密码可能会以纯文本形式存储在PowerShell_transcript输出文件中，因此可能向未受授权用户公开密码或其他敏感信息。

使用快捷键“Windows+R”—>输入“gpedit.msc”打开本地组策略编辑器 —>打开“计算机配置”—>“管理模板”—>“Windows组件“—>打开”powershell“—>将”打开WindowsShell转换“配置为”已禁用“。

八、其他安全配置

1.安装更新杀毒软件

作用：安装企业级防病毒软件，并开启病毒库更新及及时防御功能，提高系统防病毒能力。

使用快捷键“Windows+R”—>输入“control”打开控制面板—>“添加或删除程序”查看是否安装有防病毒软件—>打开杀毒软件，查看更新日期（病毒码更新时间不早于1个月，各系统病毒码升级时间参照各系统相关规定）。

2.数据执行保护配置

作用：启用系统自带DEP（数据执行保护），帮助防止数据页当作代码执行，从而有效分离数据与代码，防止在受保护内存位置运行有效代码，有助于防止计算机遭受病毒侵害、防止其他安全威胁计算机，提高系统抵抗非法修改文件的性能。

使用快捷键“Windows+R”—>输入“control”打开控制面板—>“系统”—>在“高级系统设置”选项卡—>高级—> “性能”—>“设置”—>“数据执行保护”—>查看并记录“仅为基本Windows操作系统程序和服务启用DEP”配置状态。

3.设置屏幕保护密码和开启时间

作用：防止非法攻击，无法恢复桌面控制，设置10时间为1-10min。

打开“控制面板”—>“外观和个性化”—>“个性化”—>“屏幕保护程序”。

4.限制远程登录空闲断开时间

作用：设置Microsoft网络服务挂起时间，对于远程登录的账号设置

“控制面板”—>“管理工具”—>本地安全策略—>“安全选项”—>设置“Microsoft网络服务器：暂停会话前所需的空闲时间数量属性为15min”

5.关闭Windows自动播放功能

作用：防止从移动设备感染病毒，降低病毒传播风险。

在运行中输入“gpedit.msc” —>计算机配置—>管理模板—>所有设置—>双击“关闭自动播放”—>选择“已启用”—>在“关闭自动播放”列表中选择需要的选项，例“所有驱动”。

6.关闭CD自动播报功能和禁止U盘自启动

关闭CD自动播报

打开注册表编辑器—>进入HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CDRom将“Autorun”键值设置为“0”Hex

禁止U盘自启动

进入HKEY_CURRENT_User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer找到“NoDriveTypeAutoRun”（没有自己创建一个）键值数据类型为REG_DWORD，键值为16进制“FF”。

7.*操作系统补丁管理

作用：修复系统漏洞，安装最新Service Pack补丁集。对服务器系统进行兼容测试（可在微软官网下载）。

对服务器系统进行兼容测试，安装最新操作系统Hotfix补丁。对于实际业务环境服务器可以使用通知并自动下载更新，由系统管理员选择是否安装更新（非自动安装更新），防止自动更新补丁对实际业务环境产生影响。

在运行中输入“gpedit.msc” —>计算机配置—>管理模板—>Windows组件—>windows更新—>配置自动更新—>“已启用”—>双击“配置自动更新”—>“已启用”—>配置成“自动下载并通知安装”。

可在Windows组策略对Windows更新进行需要的配置。

8.禁止注册表编辑器（不常用）

作用：防止非网络管理人员恶意使用。

在运行中输入“gpedit.msc” 打开组策略编辑器—>“本地计算机”策略—>用户配置—>管理模板—>“系统”—>双击“阻止访问注册表编辑工具” —>打开“阻止访问注册表编辑工具”属性—>“已启用”。

总结：并非所有配置都要进行设置，根据不同情况进行不同配置。账户的权限、日志需配置。