Windows安全加固 附相关审批表格和一键禁用高危端口脚本

一、身份鉴别

a）应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；

1、设置登录需用户名+密码：

加固流程：

1）【运行】-【netplwiz】

2）勾选【要使用本机，用户必须输入用户名和密码】

合规结果截图：

2、设置合理的口令策略（复杂度+长度+有效期）：

加固流程：

1）【运行】-【secpol.msc】-【帐户策略】-【密码策略】

2）【密码必须符合复杂性要求】：已启用

3）【密码长度最小值】：8个字符（8位以上均可）

4）【密码最长使用期限】：90天

合规结果截图：

3、禁用密码永不过期：

加固流程：

1）【运行】-【compmgmt.msc】-【系统工具】-【本地用户和组】-【用户】-【右键“用户名（administrator）”】-【属性】

2）不勾选【密码永不过期】

合规结果截图：

4、定期更换口令（需满足2中设置的要求）：

加固流程：

1）根据2中设置的策略定期更换口令（修改密码）

合规结果截图：

密码到期时间晚于系统时间（修改密码即可实现）

b）应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；

1、设置登录次数限制（连续输错密码N次锁定M分钟）：

加固流程：

1）【运行】-【secpol.msc】-【帐户策略】-【帐户锁定策略】

2）【帐户锁定阈值】：5次

3）【帐户锁定时间】：30分钟

4）【重置帐户锁定计数器】：30分钟之后

风险：

1）如果口令未被牢记，可能造成口令尝试次数过多导致账户被锁定

合规结果截图：

2、设置空闲超时自动退出（无操作N分钟后自动退出当前账户）：

方法1（推荐）：

加固流程：

1）【控制面板】-【外观】-【显示】-【更改屏幕保护程序】

2）勾选【在恢复时显示登录屏幕】

3）等待5分钟（10分钟以下均可）

合规结果截图：

方法2（不推荐，存在重启服务器的场景）：

加固流程：

1）【运行】-【gpedit.msc】-【计算机配置】-【管理模板】-【Windows组件】-【远程桌面服务】-【远程桌面会话主机】-【会话时间限制】-【设置活动但空闲的远程桌面服务会话的时间限制】

2）勾选【已启用】

3）选项：空闲会话限制：5分钟

4）重启服务器（可选）

风险：

1）无

合规结果截图：

注：空闲会话限制的参数在设置后配置即刻生效，但只有重启服务器后才能显示具体的配置，否则参数仍然为【从不】，测评师在查看到【已启用】后，应进行测试核查具体配置的时间。

二、访问控制

b）应重命名或删除默认账户，修改默认账户的默认口令；

1、重命名默认账户administrator、禁用访客账户Guest：

加固流程：

1）【运行】-【compmgmt.msc】-【系统工具】-【本地用户和组】-【用户】-【右键“用户名（administrator）”】-【重命名】

2）设置为非常用账户名（非admin、root、administrator等即可）

3）禁用Guest账户

风险：

1）如果重命名后的账户名未被牢记，可能造成特权账户丢失

2）如果超级管理员账户名与业务关联，则可能导致业务中断

合规结果截图：

d）应授予管理用户所需的最小权限，实现管理用户的权限分离；

1、设置“三权分立”账户：

加固流程：

1）【运行】-【compmgmt.msc】-【系统工具】-【本地用户和组】-【用户】-【右键】-【新用户】

2）添加系统管理员账户sysadmin、审计管理员账户audadmin、安全管理员账户secadmin

风险：

2、形成制度限制“特权账户”的使用：

加固流程：

1）从制度层面限制特权账户（如administrator）的使用，专人专管，一次一密，参考附件2.1

2）使用时进行记录，包括申请人、批准人、监督人、使用范围、使用时间、操作内容，参考附件2.2

风险：

1）无

合规结果：

1）将附件2.1作为信息安全管理制度进行发布

2）在实际运维中贯彻落实附件2.1制度文档，并形成附件2.2的记录文档

附件2.1

《特权账号和超级用户账号管理》

• 特权账号指在系统中有专用权限的账号，如备份账号、权限管理账号、系统维护账号等。超级用户账号指系统中最高权限账号，如administrator（或admin）、root等管理员账号。
• 特权账号的密码由安全主管或由安全主管指派专人进行管理和保存，只有经授权的用户才可使用特权账号和超级用户账号，严禁共享账号。
• 信息中心每季度查看系统日志，监督特权账号和超级用户账号使用情况，并填写《系统日志审阅表》（附件2.2）。
• 尽量避免特权账号和超级用户账号的临时使用，确需使用时必须履行正规的申请及审批流程，并保留相应的文档。
• 临时使用超级用户账号必须有监督人员在场记录其工作内容。
• 超级用户账号临时使用完毕后，账号管理人员立即更改账号密码。

附件2.2

特权账号申请表

申请表编号：

申 请 人			部门及岗位
申请日期			联系方式
使用日期			使用时间段
所属系统	□官网系统	□OA系统					□其他（       ）
申请描述
操作内容
审核人（部门主管或系统主管）：					批准日期：
审核意见
监督人（安全管理员或审计管理员）：					监督日期：
监督意见
批准人（安全主管或特权账号管理员）：				批准日期：
特权账号处理结果：					处理日期：

三、安全审计

a）应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；

1、设置全面的审核策略：

加固流程：

1）【运行】-【secpol.msc】-【本地策略】-【审核策略】

2）【审核策略更改】:成功,失败;

3）【审核登录事件】:成功,失败;

4）【审核对象访问】:成功,失败;

5）【审核进程跟踪】:成功,失败;

6）【审核目录服务访问】:成功,失败;

7）【审核特权使用】:成功,失败;

8）【审核系统事件】:成功,失败;

9）【审核账户登录事件】:成功,失败;

10）【审核账户管理】:成功,失败。

合规结果截图：

b）审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

1、校准系统时间：

加固流程：

1）【左键右下角“时间”】-【更改日期和时间设置】-【更改日期和时间】

2）校准日期和时间，与互联网时间一致（2和3取一种方法即可）

3）如系统内设置有NTP服务器，则可在【Internet时间】中设置NTP服务器地址（2和3取一种方法即可）

风险：

1）无

合规结果截图：

系统时间与互联网时间一致，或者设置内网NTP服务器（时钟服务器）地址：

c）应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；

1、设置专门的审计管理员账户：

参考二、d)、1

2、对日志进行备份：

加固流程：

手动备份和自动备份实现其一即可

1）手动备份：将服务器C:\Windows\System32\winevt\Logs目录下的日志每天定时复制到本地硬盘或运维终端中

2）自动备份：通过Nxlog工具使用syslog协议将日志发送至日志服务器或日志审计系统

风险：

1）无

合规结果：

手动备份和自动备份实现其一即可

1）手动备份：在本地硬盘或运维终端可查看到定期备份的日志

2）自动备份：在日志服务器或日志审计系统可查看到服务器发送的日志

3、日志保存时间满足6个月要求：

加固流程：

1）核查服务器最早的日志，如日志不足6个月，则需对日志存储空间进行倍数增加

2）【运行】-【compmgmt.msc】-【系统工具】-【事件查看器】-【Windows日志】-【右键“安全/应用程序/系统”】-【属性】

3）【日志最大大小】根据当前系统日志产生量，进行倍数增加，保证日志可保存6个月，如当前仅可核查到10天前的日志，则【日志最大大小】最少需增大至当前的18倍，使得日志存储空间可存储10*18=180天的日志量

风险：

1）无

合规结果：

1）可在服务器本地或日志备份存储核查到6个月前的日志

2）如日志不足6个月，则需保证日志存储空间足够存储6个月的日志

四、入侵防范

a）应遵循最小安装的原则，仅安装需要的组件和应用程序；

1、卸载不必要的应用程序或应用软件：

加固流程：

1）卸载非必需软件（如向日葵、TeamViewer、腾讯QQ、游戏等非业务软件）：

风险：

1）无

合规结果： 

1）系统中不存在非必要的应用程序或应用软件

2、关闭可能已开启的Telent服务（默认关闭）：

加固流程：

1）【cmd】-【servermanager】-【功能】-【删除功能】-【取消勾选“Telnet服务器”】-【下一步】-【删除】

合规结果截图：

b）应关闭不需要的系统服务、默认共享和高危端口；

1、禁止135、445等高危端口被访问：

方法1（推荐）：

加固流程：

1）【运行】-【secpol.msc】-【IP安全策略，在本地计算机】

2）也可通过直接执行附件1.1的bat批处理文件进行加固

风险：

1）无

合规结果截图：

方法2（不推荐，可能造成业务中断）：

加固流程：

1）【运行】-【firewall.cpl】-【打开或关闭Windows防火墙】-【勾选“启用Windows防火墙”】

2）【运行】-【secpol.msc】-【高级安全Windows防火墙】-【高级安全Windows防火墙-本地组策略对象】-【Windows防火墙属性】-【专用配置文件/公用配置文件】-【入站连接】值不为“允许”（未配置即为拒绝）

3）【运行】-【firewall.cpl】-【高级设置】-【入站规则】放通高危端口的规则已被禁用

风险：

1）开启防火墙后，如部分业务端口未在入站规则中被放通，则可能造成业务中断

合规结果截图：

开启防火墙功能

入站规则默认策略不为【允许】

禁用放通高危端口的入站规则

附件1.1

复制如下内容至文本文件中，并将文件名及后缀改为【Windows禁用高危端口.bat】，或者将如下文件右键复制粘贴在桌面，右键以管理员身份运行。

@echo off

echo 正在禁用高危端口,请等待

netsh ipsec static add policy name=安全加固-Windows禁用高危端口

netsh ipsec static add filterlist name=Filter

netsh ipsec static add filteraction name=FilterDeny action=block

netsh ipsec static add filter filterlist=Filter srcaddr=any dstaddr=any dstport=135 protocol=TCP description="禁用TCP/135"

netsh ipsec static add filter filterlist=Filter srcaddr=any dstaddr=any dstport=135 protocol=UDP description="禁用UDP/135"

netsh ipsec static add filter filterlist=Filter srcaddr=any dstaddr=any dstport=137 protocol=TCP description="禁用TCP/137"

netsh ipsec static add filter filterlist=Filter srcaddr=any dstaddr=any dstport=137 protocol=UDP description="禁用UDP/137"

netsh ipsec static add filter filterlist=Filter srcaddr=any dstaddr=any dstport=138 protocol=TCP description="禁用TCP/138"

netsh ipsec static add filter filterlist=Filter srcaddr=any dstaddr=any dstport=138 protocol=UDP description="禁用UDP/138"

netsh ipsec static add filter filterlist=Filter srcaddr=any dstaddr=any dstport=139 protocol=TCP description="禁用TCP/139"

netsh ipsec static add filter filterlist=Filter srcaddr=any dstaddr=any dstport=139 protocol=UDP description="禁用UDP/139"

netsh ipsec static add filter filterlist=Filter srcaddr=any dstaddr=any dstport=445 protocol=TCP description="禁用TCP/445"

netsh ipsec static add filter filterlist=Filter srcaddr=any dstaddr=any dstport=445 protocol=UDP description="禁用UDP/445"

netsh ipsec static add filter filterlist=Filter srcaddr=any dstaddr=any dstport=593 protocol=TCP description="禁用TCP/593"

netsh ipsec static add filter filterlist=Filter srcaddr=any dstaddr=any dstport=1025 protocol=TCP description="禁用TCP/1025"

netsh ipsec static add filter filterlist=Filter srcaddr=any dstaddr=any dstport=2745 protocol=TCP description="禁用TCP/2745"

netsh ipsec static add filter filterlist=Filter srcaddr=any dstaddr=any dstport=3127 protocol=TCP description="禁用TCP/3127"

netsh ipsec static add filter filterlist=Filter srcaddr=any dstaddr=any dstport=6129 protocol=TCP description="禁用TCP/6129"

netsh ipsec static add rule name=安全加固-Windows禁用高危端口 policy=Tanovo安全加固-Windows禁用高危端口 filterlist=Filter filteraction=FilterDeny

netsh ipsec static set policy name=安全加固-Windows禁用高危端口 assign=y

echo 高危端口已被禁止访问

pause

2、关闭默认共享：

加固流程：

1）【运行】-【compmgmt.msc】-【系统工具】-【共享文件夹】-【共享】-【右键ADMIN$/C$/…】-【停止共享】

风险：

1）部分业务可能通过硬盘共享进行数据同步，关闭硬盘共享可能导致业务中断

合规结果截图：

仅存在IPC$共享

c）应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；

1、对可远程访问服务器的管理地址进行限制：

方法1（推荐）：

加固流程：

1）网络层面：在服务器接入交换机处设置ACL，仅允许某一个或某几个内网固定IP地址（如堡垒机地址）访问Windows服务器的3389端口

风险：

1）无

合规结果：

仅有个别内网固定IP地址或仅有堡垒机可以远程访问Windows服务器的3389端口

方法2（不推荐，不利于集中管理）：

加固流程：

1）主机层面：通过防火墙入站规则或者IP安全策略实现仅允许某一个或某几个内网固定IP地址（如堡垒机地址）访问Windows服务器的3389端口

风险：

1）无

合规结果：

仅有个别内网固定IP地址或仅有堡垒机可以远程访问Windows服务器的3389端口

e）应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞；

1、对服务器进行漏洞扫描，并出示未发现高风险漏洞的漏洞扫描报告：

加固流程：

1）定期对服务器进行漏洞扫描（至少半年一次），并出示漏洞扫描报告

2）如漏洞扫描报告中涉及高风险漏洞，则需要进行修复，直至漏洞扫描工具无法扫描出高危风险漏洞

风险：

1）漏洞扫描有小概率可能造成服务器宕机，补丁修复有小概率可能造成业务中断

合规结果：

1）漏洞扫描报告中不涉及高风险漏洞

f）应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警；

1、服务器安装主机入侵防范系统并设置规则库自动更新，且有邮件或短信告警：

加固流程：

1）部署HIDS或EDR等系统，在服务器上安装其代理或探针

2）HIDS或EDR服务端设置入侵检测规则库及时更新

3）HIDS或EDR服务端设置对重要安全事件进行邮件或短信告警

4）如无法购置HIDS或EDR设备，则应通过安装服务器安全狗、火绒安全软件进行补偿，可减少扣分

风险：

1）无

合规结果：

HIDS、EDR或其他入侵检测软件可检测到重要安全事件，且入侵检测规则库为最新版本，并提供告警功能

五、恶意代码防范

a）应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断；

1、服务器安装杀毒软件并设置病毒库自动更新：

加固流程：

1）安装具备防病毒功能的EDR、HIDS或免费版杀毒软件（如360杀毒、火绒安全软件）

2）设置病毒库自动更新或通过内网代理进行病毒库更新

合规结果截图：

已安装杀毒软件

病毒库更新日期与测评日期较为接近

已开启病毒库自动更新，如服务器无法直接访问互联网，还应设置内网代理服务器

设置由杀毒软件自动处理病毒程序

六、剩余信息保护

a）应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除；

1、设置登录时不显示用户名：

加固流程：

1）【运行】-【secpol.msc】-【本地策略】-【安全选项】

2）【交互式登录：不显示最后的用户名】：已启用

风险：

1）无

合规结果截图：

b）应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除；

1、设置关机清除虚拟内存：

加固流程：

1）【运行】-【secpol.msc】-【本地策略】-【安全选项】

2）【关机：清除虚拟内存页面文件】：已启用

风险：

1）无

合规结果截图：