在给Windows系统进行安全加固的时候,可以参考下面的相关配置选项。
一.账号口令
编号 | 配置 |
1 | 正确配置密码长度最小值 |
2 | 启用密码复杂性要求 |
3 | 更改管理员帐户名称 |
4 | 删除或禁用高危帐户 |
5 | 正确配置帐户锁定时间 |
6 | 正确配置“强制密码历史” |
7 | 正确配置密码最长使用期限 |
8 | 正确配置密码最短使用期限 |
9 | 按照权限、责任创建、使用用户账号 |
10 | 按组进行用户管理 |
11 | 正确配置帐户锁定阈值 |
12 | 正确配置“复位帐户锁定计数器”时间 |
13 | 域环境:启用“域环境下禁止计算机帐户更改密码”策略 |
二.认证授权
编号 | 配置 |
1 | 限制可从远端关闭系统的帐户和组 |
2 | 限制可关闭系统的帐户和组 |
3 | 正确配置“允许本地登录”策略 |
4 | 正确配置“从网络访问此计算机”策略 |
5 | 删除可匿名访问的共享和命名管道 |
6 | 限制“取得文件或其它对象的所有权”的帐户和组 |
7 | 删除可远程访问的注册表路径和子路径 |
8 | 限制匿名用户连接 |
三.日志审计
编号 | 配置 |
1 | 正确配置审核(日志记录)策略 |
2 | 正确配置系统日志 |
3 | 正确配置安全日志 |
4 | 正确配置应用程序日志 |
四.协议安全
编号 | 配置 |
1 | 启用TCP/IP筛选功能 |
2 | 开启Windows防火墙 |
3 | 启用并正确配置TCP碎片攻击保护 |
4 | 删除SNMP服务的默认public团体 |
5 | 启用并正确配置源路由攻击保护 |
6 | 启用并正确配置SYN攻击保护 |
7 | 修改默认的远程桌面(RDP)服务端口 |
8 | 正确配置TCP“连接存活时间” |
9 | 启用并正确配置ICMP攻击保护 |
10 | 禁用失效网关检测 |
11 | 正确配置重传单独数据片段的次数 |
五.其他安全
编号 | 配置 |
1 | 禁止Windows自动登录 |
2 | 关闭不必要的服务-DHCP Client |
3 | 关闭不必要的服务-Simple Mail Transport Protocol (SMTP) |
4 | 关闭不必要的服务-Simple TCP/IP Services |
5 | 关闭不必要的服务-Message Queuing |
6 | 关闭不必要的端口-445 |
7 | 关闭不必要的服务-Windows Internet Name Service (WINS) |
8 | 关闭不必要的服务-DHCP Server |
9 | 关闭不必要的服务-Remote Access Connection Manager |
10 | 安装防病毒软件 |
11 | 正确配置服务器在暂停会话前所需的空闲时间量 |
12 | 磁盘分区是否都是NTFS文件系统 |
13 | 启用“不显示最后的用户名”策略 |
14 | 启用并正确配置Windows自动更新 |
15 | 创建多个磁盘分区 |
16 | 启用并正确配置屏幕保护程序 |
17 | 关闭Windows自动播放 |
18 | 启用并正确配置Windows网络时间同步服务(NTP) |
19 | 共享文件夹的权限设置是否安全 |
20 | 正确配置“提示用户在密码过期之前进行更改”策略 |
21 | 域环境:正确配置域环境下安全通道数据的安全设置 |
22 | 域环境:启用“域环境下需要强会话密钥”策略 |
23 | 禁用“登录时无须按 Ctrl+Alt+Del”策略 |
24 | 启用Windows数据执行保护(DEP) |
25 | 禁用Windows硬盘默认共享 |
26 | 域环境:启用“需要域控制器身份验证以解锁工作站”策略 |
27 | 域环境:正确配置“可被缓存保存的登录的个数”策略 |
28 | 正确配置“锁定会话时显示用户信息”策略 |
29 | 启用“当登录时间用完时自动注销用户”策略 |