WINDOWS基线要求及加固方法

《YDT 2701-2014 电信网和互联网安全防护基线配置要求及检测要求 操作系统  windows篇》 

一、账号

来宾帐户状态'策略是否禁用

1、参考配置操作
进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用
户和组”：
Guest 帐号->属性－> 已停用

应按照不同用户分配不同账号

1、参考配置操作
进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用
户和组”，根据系统要求设定不同的用户和组

删除或无关、过期账号

1、参考配置操作
进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用
户和组”

重命名管理员帐户Administrator

1、参考配置操作
进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用
户和组”：
Administrator－>属性－> 更改名称

二、授权

本地远端系统，强制关机只指派给Administrators组

1、参考配置操作
进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权限指派”：

将“关闭系统”指定为Administrator组；将“从远端系统强制关机”指定为Administrator组；

本地安全设置中取得文件和其他对象的所有权仅指派给administrators

1、参考配置操作
进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权限指派”：

将“取得文件和其他对象的所有权”设置为只指派给Administrator组

本地安全设置中，只允许授权的账号进行本地、远程访问登录此计算机

1、参考配置操作
进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权限指派”：

将“从本地登录此计算机”设置为指定授权用户
将“从网络访问此计算机”设置为指定授权用户

三、口令

设置'密码长度最小值'

1、参考配置操作
进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码
策略”：
“密码必须符合复杂性要求”选择“已启动”

账号锁定阈值'是否大于0并且小于等于6

1、参考配置操作
进入“控制面板->管理工具->本地安全策略”，在“帐户策略->帐户
锁定策略”：
“账户锁定阀值”设置为 6 次
设置解锁阀值：30 分钟
补充说明：
设置不当可能导致账号大面积锁定，在域环境中应小心设置，
Administrator 账号本身不会被锁定。

记住密码数目' 设置

进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码
策略”：
“强制密码历史”设置为“记住5 个密码”

账户口令的生存期不长于90天。

1、参考配置操作
进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码
策略”：
“密码最长存留期”设置为“90 天”

四、补丁

更新补丁

1、参考配置操作
安装最新的 Service Pack 补丁集。
例如截止到2010 年最新版本：Windows XP 的Service Pack 为SP3。
Windows2000 的Service Pack 为SP4,Windows 2003 的Service
Pack 为SP2

五、防护软件

开启防火墙策略

1、参考配置操作（以启动自带防火墙为例）
进入“控制面板－>网络连接－>本地连接”，在高级选项的设置中
启用Windows 防火墙。
在“例外”中配置允许业务所需的程序接入网络。
在“例外->编辑->更改范围”编辑允许接入的网络地址范围。
说明：分为服务器和操作终端两种情况：
服务器该项为可选，操作终端该项为必选

六、防病毒软件

安装防病毒软件，并及时更新

安装360或其他企业杀毒软件

七、日志安全要求

审核系统登陆事件'设置为成功和失败

1、参考配置操作
开始->运行-> 执行“ 控制面板->管理工具->本地安全策略->审核
策略”
审核登录事件，双击，设置为成功和失败都审核。

审核登陆事件'设置为成功和失败

1、参考配置操作
对审核策略进行检查：
开始-运行-gpedit.msc
计算机配置-Windows 设置-安全设置-本地策略-审核策略
以下审核是必须开启的，其他的可以根据需要增加：
􀁹 审核系统登陆事件 成功，失败
􀁹 审核帐户管理 成功，失败
􀁹 审核登陆事件 成功，失败
􀁹 审核对象访问 成功
􀁹 审核策略更改 成功，失败
􀁹 审核特权使用 成功，失败
􀁹 审核系统事件 成功，失败

设置日志容量和覆盖规则，保证日志存储

1、参考配置操作
开始-运行-eventvwr
右键选择日志属性，根据实际需求设置
日志文件大小：根据实际需求设置
超过上限时的处理方式

八、不必要的服务、端口

关闭不必要的服务

1、参考配置操作
进入“控制面板->管理工具->计算机管理”，进入“服务和应用程
序”：

SNMP服务修改

如打开了snmp服务，需修改snmp的团体名称

远程端口修改

1、参考配置操作
开始->运行 Regedt32
并转到此项:
HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal
ServerWinStationsRDP-Tcp
找到“PortNumber”子项，会看到默认值 00000D3D，它是 3389
的十六进制表示形式。使用十六进制数值修改此端口号，并保存新
值。

九、启动项

关闭无效启动项

开始-运行-MSConfig菜单中，取消不必要的启动项

十、关闭自动播放功能

关闭自动播放功能

1、参考配置操作
开始→运行→gpedit.msc，打开组策略编辑器，浏览到计算机配置
→管理模板→系统，在右边窗格中双击“关闭自动播放”，对话框中
选择所有驱动器，确定即可。

十一、共享文件夹

Windows 硬盘默认共享”关闭

1、参考配置操作
进入“开始－>运行－>Regedit”，进入注册表编辑器，更改注册表
键值：
HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\
下，增加REG_DWORD 类型的AutoShareServer 键，值为 0。

"设置共享文件夹的访问权限，只允许授权的账户拥有权限共享此文件夹。"

1、参考配置操作
进入“控制面板->管理工具->计算机管理”，进入“系统工具－>共
享文件夹”：
查看每个共享文件夹的共享权限，只将权限授权于指定账户。

十二、使用NTFS 文件系统

使用NTFS 文件系统

系统分区和新增分区，分区格式设置为NTFS格式

十三、网络访问

可匿名访问的共享'策略为空

1、参考配置操作
“控制面板->管理工具->本地安全策略”，在“本地策略->安全选
项”:网络访问：可匿名访问的共享设置为全部删除
“控制面板->管理工具->本地安全策略”，在“本地策略->安全选
项”:网络访问：可匿名访问的命名管道 设置为全部删除

"禁用可远程访问的注册表路径和子路径操"

1、参考配置操作
“控制面板->管理工具->本地安全策略”，在“本地策略->安全选
项”:网络访问：可远程访问的注册表路径 设置为全部删除
“控制面板->管理工具->本地安全策略”，在“本地策略->安全选
项”:网络访问：可远程访问的注册表路径和子路径 设置为全部删除

十四、会话超时设置

对于远程登录的账户，设置不活动所连接时间 15 分钟

1、参考配置操作
进入“控制面板—管理工具—本地安全策略”，在“安全策略—安
全选项”：“Microsoft 网络服务器”设置为“在挂起会话之前所需
的空闲时间”为15 分钟

十五、注册表设置

自动登录

HKLM\Software\Microsoft\WindowsNT\
CurrentVersion\Winlogon\AutoAdminLogon (REG_DWORD) 0

源路由欺骗保护

HKLM\System\CurrentControlSet\
Services\Tcpip\Parameters\DisableIPSourceRouting
(REG_DWORD) 2

删除匿名用户空链接

HKEY_LOCAL_MACHINE
SYSTEM\Current\Control\Set\Control\Lsa
将restrictanonymous 的值设置为1，若该值不存在，可以自己
创建，类型为REG_DWORD
修改完成后重新启动系统生效

碎片攻击保护

HKLM\System\CurrentControlSet\
18
Services\Tcpip\Parameters\EnablePMTUDiscovery
(REG_DWORD) 1

Syn flood 攻击保护

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
之下，可设置：
TcpMaxPortsExhausted。推荐值：5。
TcpMaxHalfOpen。推荐值数据：500。
TcpMaxHalfOpenRetried。推荐值数据：400

     There are many things that can not be broken！

     如果觉得本文对你有帮助，欢迎点赞、收藏、评论！