windows加固方案

1     账号管理、认证授权.... 1

1.1      账号... 1

1.2      口令... 1

1.3      授权... 2

2     日志配置操作.... 3

3     IP协议安全配置操作.... 6

4     设备其他配置操作.... 6

4.1      屏幕保护... 6

4.2      共享文件夹及访问权限... 7

4.3      补丁管理... 7

4.4      防病毒管理... 8

4.5      Windows服务... 8

4.6      启动项... 9

1       账号管理、认证授权

认证功能用于确认登录系统的用户真实身份。认证功能的具体实现方式包括静态口令、动态口令、指纹等生物鉴别技术等。授权功能赋予系统账号的操作权限，并限制用户进行超越其账号权限的操作。

1.1      账号

编号：安全要求-设备-通用-配置—1

内容：按照用户分配账号。根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户，审计用户，来宾用户等。

操作：满足。

编号：安全要求-设备-WINDOWS-配置-2-可选

内容：删除或锁定与设备运行、维护等与工作无关的账号。

操作：满足。

编号：安全要求-设备-WINDOWS-配置-3-可选

内容：对于管理员帐号，要求更改缺省帐户名称；禁用guest（来宾）帐号。

操作：guest删除；administrator名称无需修改。

1.2      口令

编号：安全要求-设备-WINDOWS-配置-4

内容：最短密码长度 6个字符，启用本机组策略中密码必须符合复杂性要求的策略。即密码至少包含以下四种类别的字符中的三种。

操作：

进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：

“密码必须符合复杂性要求”选择“已启动”。

编号：安全要求-设备-WINDOWS-配置-35

内容：对于采用静态口令认证技术的设备，账户口令的生存期不长于90天。

操作：进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：

“密码最长存留期”设置为“90天”。

编号：安全要求-设备-WINDOWS-配置-36-可选

内容：对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。

操作：进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：

“强制密码历史”设置为“记住5个密码”。

编号：安全要求-设备-WINDOWS-配置-37

内容：对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。

操作：进入“控制面板->管理工具->本地安全策略”，在“帐户策略->帐户锁定策略”：

“账户锁定阀值”设置为 6次。

注意：不宜实施，管理帐号网络登陆锁定后影响维护工作。MISC的windows主机没有向外网开放接口。

1.3      授权

编号：安全要求-设备-WINDOWS-配置-5

内容：在本地安全设置中从远端系统强制关机只指派给Administrators组。

操作：进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”:

“从远端系统强制关机”设置为“只指派给Administrators组”。

编号：安全要求-设备-WINDOWS-配置-6

内容：在本地安全设置中关闭系统仅指派给Administrators组。

操作：进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”:

“关闭系统”设置为“只指派给Administrators组”。

编号：安全要求-设备-WINDOWS-配置-7

内容：在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。

操作：进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”：

“取得文件或其它对象的所有权”设置为“只指派给Administrators组”。

编号：安全要求-设备-WINDOWS-配置-8

内容：在本地安全设置中配置指定授权用户允许本地登陆此计算机。

操作：进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”

“从本地登陆此计算机”设置为“指定授权用户”。

编号：安全要求-设备-WINDOWS-配置-9

内容：在组策略中只允许授权帐号从网络访问(包括网络共享等，但不包括终端服务)此计算机。

操作：进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”

“从网络访问此计算机”设置为“指定授权用户”。

 

2       日志配置操作

编号：安全要求-设备-WINDOWS-配置-38

内容：设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。

操作：开始->运行-> 执行“ 控制面板->管理工具->本地安全策略->审核策略”

审核登录事件，双击，设置为成功和失败都审核。

编号：安全要求-设备-WINDOWS-配置-10

内容：启用组策略中对Windows系统的审核策略更改，成功和失败都要审核。

操作：进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中

“审核策略更改”设置为“成功” 和“失败”都要审核。

编号：安全要求-设备-WINDOWS-配置-11

内容：启用组策略中对Windows系统的审核对象访问，成功和失败都要审核。

操作：进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：

“审核对象访问”设置为“成功”和“失败”都要审核。

编号：安全要求-设备-WINDOWS-配置-12

内容：启用组策略中对Windows系统的审核目录服务访问，失败。

操作：进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：

“审核目录服务器访问”设置为“成功” 和“失败”都要审核。

编号：安全要求-设备-WINDOWS-配置-13

内容：启用组策略中对Windows系统的审核特权使用，成功和失败都要审核。

操作：进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：

“审核特权使用”设置为“成功” 和“失败”都要审核。

编号：安全要求-设备-WINDOWS-配置-14

内容：启用组策略中对Windows系统的审核系统事件，成功和失败都要审核。

操作：进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：

“审核系统事件”设置为“成功” 和“失败”都要审核。

编号：安全要求-设备-WINDOWS-配置-15

内容：启用组策略中对Windows系统的审核帐户管理，成功和失败都要审核。

操作：进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：

“审核账户管理”设置为“成功” 和“失败”都要审核。

 

编号：安全要求-设备-WINDOWS-配置-16

内容：启用组策略中对Windows系统的审核过程追踪，失败。

操作：进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：

“审核过程追踪”设置为 “失败”需要审核。

编号：安全要求-设备-WINDOWS-配置-17-可选

内容：设置应用日志文件大小至少为8192KB，设置当达到最大的日志尺寸时，按需要改写事件。

操作：进入“控制面板->管理工具->事件查看器”，在“事件查看器（本地）”中：

“应用日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”。

 

编号：安全要求-设备-WINDOWS-配置-18-可选

内容：设置系统日志文件大小至少为8192KB，设置当达到最大的日志尺寸时，按需要改写事件。

操作：进入“控制面板->管理工具->事件查看器”，在“事件查看器（本地）”中：

“系统日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”。

编号：安全要求-设备-WINDOWS-配置-19-可选

内容：设置安全日志文件大小至少为8192KB，设置当达到最大的日志尺寸时，按需要改写事件。

操作：进入“控制面板->管理工具->事件查看器”，在“事件查看器（本地）”中：

“安全日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”。

3       IP协议安全配置操作

编号：安全要求-设备-WINDOWS-配置-20-可选

内容：对没有自带防火墙的Windows系统，启用Windows系统的IP安全机制(IPSec)或网络连接上的TCP/IP筛选，只开放业务所需要的TCP，UDP端口和IP协议。

操作：不启用。边界防火墙已经按应用配置了访问策略，本机不需起用TCP/IP筛选。这类要求对直接挂在公网上的裸机（无防火墙保护）才有意义。内部生产网是可信环境。

编号：安全要求-设备-WINDOWS-配置-21-可选

内容：启用Windows XP和Windows 2003 自带防火墙。根据业务需要限定允许访问网络的应用程序，和允许远程登陆该设备的IP地址范围。

操作：同上。

编号：安全要求-设备-WINDOWS-配置-22-可选

内容：启用SYN攻击保护；指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阀值为5；指定处于 SYN_RCVD 状态的 TCP 连接数的阈值为500；指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值为400。

操作：不启用。洪水攻击的形成要在公网上有足够多的傀儡机，MISC系统的windows主机对外网及其他内部网都作了边界隔离，不能构造。

4       设备其他配置操作

4.1      屏幕保护

编号：安全要求-设备-WINDOWS-配置-23

内容：设置带密码的屏幕保护，并将时间设定为5分钟。

操作：进入“控制面板－>显示－>屏幕保护程序”：

启用屏幕保护程序，设置等待时间为“5分钟”，启用“在恢复时使用密码保护”。

 

编号：安全要求-设备-WINDOWS-配置-24

内容：对于远程登陆的帐号，设置不活动断连时间15分钟。

操作：进入“控制面板->管理工具->本地安全策略”，在“本地策略->安全选项”：

“Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟。

4.2      共享文件夹及访问权限

编号：安全要求-设备-WINDOWS-配置-25-可选

内容：非域环境中，关闭Windows硬盘默认共享，例如C$，D$。

操作：暂不实施。现网windows某些应用存在域环境。

编号：安全要求-设备-WINDOWS-配置-26

内容：查看每个共享文件夹的共享权限，只允许授权的账户拥有权限共享此文件夹。

操作：无共享文件夹，无需操作。

4.3      补丁管理

编号：安全要求-设备-WINDOWS-配置-27

内容：应安装最新的Service Pack补丁集。对服务器系统应先进行兼容性测试。

操作：检查操作系统版本是否为 Windows XP  SP2/Windows2000 SP4/Windows 2003 SP1

现网都应该配置了自动更新。

编号：安全要求-设备-WINDOWS-配置-28-可选

内容：应安装最新的Hotfix补丁。对服务器系统应先进行兼容性测试。

操作：现网都应该配置了自动更新。

 

4.4      防病毒管理

编号：安全要求-设备-WINDOWS-配置-29

内容：安装防病毒软件，并及时更新。

操作：现网已安装了Norton或其他防病毒软件。

编号：安全要求-设备-WINDOWS-配置-30-可选

内容：对于Windows XP SP2及Windows 2003对Windows操作系统程序和服务启用系统自带DEP功能(数据执行保护)，防止在受保护内存位置运行有害代码。

操作：无需操作，安全意义不大。

4.5      Windows服务

编号：安全要求-设备-WINDOWS-配置-31

内容：列出所需要服务的列表(包括所需的系统服务)，不在此列表的服务需关闭。

编号：安全要求-设备-WINDOWS-配置-34

内容：列出系统启动时自动加载的进程和服务列表，不在此列表的需关闭。

操作：开始->运行->MSconfig

1）所有windows系统需禁用的标准服务

alerter

clipbook

fax service

internet connection sharing

message queuing

messenger

netmeeting remote desktop sharing

routing and remote access

simple mail transport protocol (smtp)

smart card

smart card helper

tcp/ip print server

telnet

2）需酌情关闭的服务

关注点是FTP、HTTP,如果业务需要，保留。非业务需要，禁用。

3）其他的保持原状

编号：安全要求-设备-WINDOWS-配置-32-可选

内容：如需启用SNMP服务，则修改默认的SNMP Community String设置

操作：打开“控制面板”，打开“管理工具”中的“服务”，找到“SNMP Service”，单击右键打开“属性”面板中的“安全”选项卡，在这个配置界面中，可以修改community strings，也就是微软所说的“团体名称”。

编号：安全要求-设备-WINDOWS-配置-33-可选

内容：如需启用IIS服务，则将IIS升级到最新补丁。

操作：无IIS应用，无需操作。

4.6      启动项

编号：安全要求-设备-WINDOWS-配置-34

内容：列出系统启动时自动加载的进程和服务列表，不在此列表的需关闭。

操作：已在2.4.5中完成。

编号：安全要求-设备-WINDOWS-配置-35

内容：关闭Windows自动播放功能

操作：点击开始→运行→输入gpedit.msc，打开组策略编辑器，浏览到计算机配置→管理模板→系统，在右边窗格中双击“关闭自动播放”，对话框中选择所有驱动器，确定即可。