在给Windows系统进行安全加固的时候,可以参考下面的相关配置选项。
一.账号口令
| 编号 | 配置 |
| 1 | 正确配置密码长度最小值 |
| 2 | 启用密码复杂性要求 |
| 3 | 更改管理员帐户名称 |
| 4 | 删除或禁用高危帐户 |
| 5 | 正确配置帐户锁定时间 |
| 6 | 正确配置“强制密码历史” |
| 7 | 正确配置密码最长使用期限 |
| 8 | 正确配置密码最短使用期限 |
| 9 | 按照权限、责任创建、使用用户账号 |
| 10 | 按组进行用户管理 |
| 11 | 正确配置帐户锁定阈值 |
| 12 | 正确配置“复位帐户锁定计数器”时间 |
| 13 | 域环境:启用“域环境下禁止计算机帐户更改密码”策略 |
二.认证授权
| 编号 | 配置 |
| 1 | 限制可从远端关闭系统的帐户和组 |
| 2 | 限制可关闭系统的帐户和组 |
| 3 | 正确配置“允许本地登录”策略 |
| 4 | 正确配置“从网络访问此计算机”策略 |
| 5 | 删除可匿名访问的共享和命名管道 |
| 6 | 限制“取得文件或其它对象的所有权”的帐户和组 |
| 7 | 删除可远程访问的注册表路径和子路径 |
| 8 | 限制匿名用户连接 |
三.日志审计
| 编号 | 配置 |
| 1 | 正确配置审核(日志记录)策略 |
| 2 | 正确配置系统日志 |
| 3 | 正确配置安全日志 |
| 4 | 正确配置应用程序日志 |
四.协议安全
| 编号 | 配置 |
| 1 | 启用TCP/IP筛选功能 |
| 2 | 开启Windows防火墙 |
| 3 | 启用并正确配置TCP碎片攻击保护 |
| 4 | 删除SNMP服务的默认public团体 |
| 5 | 启用并正确配置源路由攻击保护 |
| 6 | 启用并正确配置SYN攻击保护 |
| 7 | 修改默认的远程桌面(RDP)服务端口 |
| 8 | 正确配置TCP“连接存活时间” |
| 9 | 启用并正确配置ICMP攻击保护 |
| 10 | 禁用失效网关检测 |
| 11 | 正确配置重传单独数据片段的次数 |
五.其他安全
| 编号 | 配置 |
| 1 | 禁止Windows自动登录 |
| 2 | 关闭不必要的服务-DHCP Client |
| 3 | 关闭不必要的服务-Simple Mail Transport Protocol (SMTP) |
| 4 | 关闭不必要的服务-Simple TCP/IP Services |
| 5 | 关闭不必要的服务-Message Queuing |
| 6 | 关闭不必要的端口-445 |
| 7 | 关闭不必要的服务-Windows Internet Name Service (WINS) |
| 8 | 关闭不必要的服务-DHCP Server |
| 9 | 关闭不必要的服务-Remote Access Connection Manager |
| 10 | 安装防病毒软件 |
| 11 | 正确配置服务器在暂停会话前所需的空闲时间量 |
| 12 | 磁盘分区是否都是NTFS文件系统 |
| 13 | 启用“不显示最后的用户名”策略 |
| 14 | 启用并正确配置Windows自动更新 |
| 15 | 创建多个磁盘分区 |
| 16 | 启用并正确配置屏幕保护程序 |
| 17 | 关闭Windows自动播放 |
| 18 | 启用并正确配置Windows网络时间同步服务(NTP) |
| 19 | 共享文件夹的权限设置是否安全 |
| 20 | 正确配置“提示用户在密码过期之前进行更改”策略 |
| 21 | 域环境:正确配置域环境下安全通道数据的安全设置 |
| 22 | 域环境:启用“域环境下需要强会话密钥”策略 |
| 23 | 禁用“登录时无须按 Ctrl+Alt+Del”策略 |
| 24 | 启用Windows数据执行保护(DEP) |
| 25 | 禁用Windows硬盘默认共享 |
| 26 | 域环境:启用“需要域控制器身份验证以解锁工作站”策略 |
| 27 | 域环境:正确配置“可被缓存保存的登录的个数”策略 |
| 28 | 正确配置“锁定会话时显示用户信息”策略 |
| 29 | 启用“当登录时间用完时自动注销用户”策略 |
345
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
