提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档
注意
1.实验环境
以下设置为windows 信息安全等级保护(等保2.0)安全配置核查,需要在windows server或windows pro操作系统中进行。本文环境为windows server2012虚拟机和windows10 专业版。
2.准备设置
①输入如下命令,按回车或点击确定按钮,就会打开桌面图标设置功能。
rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,0
②在桌面图标设置功能中,勾选的图标就会显示在桌面上,没有勾选的图标则不会显示在桌面上,完成后如图所示:
一、windows基线检查
1.系统已安装最新的service pack
2.系统已经安装了最新的安全补丁
打开控制面板->系统和安全->windows更新,检车是否有可用更新。
二、本地安全策略检查
1.密码策略
打开开始菜单,选择应用“管理工具”,选择“本地安全策略”,左侧"安全设置"栏中依次点开"账户策略"——“密码策略”。进行如下操作:
①双击“密码必须符合复杂性要求”,选择启用;
②双击“密码长度的最小值”,设置为(8个字符)
③双击“密码最短使用期限”,设置为(1天)
④双击“密码最长使用期限”,设置为(90天)
⑤双击“强制密码历史”,设置为(24个)避免用户更改口令时使用以前使用过的口令,可以防止密码泄露
⑥双击“用可还原的加密来存储密码”,设置为禁用
设置完成如下图所示:
2.账户锁定策略
继续点开“密码策略”下方的“账户锁定策略”,进行如下操作:
①首先修改“账户锁定阈值”为(3次无效登录),弹出框选确定
②设置:账户锁定时间(15分钟)重置账户锁定计数器(15分钟之后),设置完成如下:
3.审核策略
在左侧"安全设置"栏中依次点开"本地策略"——“审核策略”。进行如下操作:
①审核策略更改(成功或失败)
②审核登录事件(成功或失败)
③审核对象访问(失败)【用于跟踪特定用户对特定文件的访问】
④审核过程跟踪(可选)【每次跟踪一个用户启动,停止或改变一个进程,该事件日志将会增长的非常快,建议仅在决定必要时才使用】
⑤审核目录服务访问(未定义)【仅域控制器才需要审计目录服务访问】
⑥审核特权使用(失败)【用户跟踪用户对超出赋予权限的使用】
⑦审核系统事件(成功和失败)【系统事件审核相当关键,包括启动和关闭计算机,或其他与安全相关的事件】
⑧审核账户登录事件(成功和失败)
⑨审核账户管理(成功和失败)【用户跟踪账号的创建、改名、用户组的创建和改名,以及账号口令的更改等】
设置完成结果如下:
4.安全选项
继续点开“本地策略”下方的“安全选项”,找到“账户:来宾状态”,确认其状态为(已禁用)
5.事件查看器
在开始菜单的“windows管理工具”中,我们可以找到’事件查看器‘
①唤出"事件查看器"程序窗口,选择左侧"事件查看器(本地)→Windows 日志"文件夹,点击引用程序。
②在此界面下点击工具栏"操作"标签,弹出下拉菜单选择"属性"项,修改“达到日志大小时”按需要覆盖事件日志(登录保持方式)和安全日志的最大占用空间(80MB或81920KB),点击确定。如下图所示:
三、安全选项检查
继续在开始菜单->“管理工具”->“本地安全策略”->’‘本地策略’’->安全选项中,找到以下相关的若干策略,检查如下设置:
1.Microsoft网络服务器
①当登录时间用完时自动注销用户(启用)【可以避免用户在不适合的时间登录到系统,或者用户登录到系统后忘记退出登录】
②在挂起会话之前所需的空闲时间(小于等于30分钟)
③发送未加密的密码到第三方SMB服务器(禁用)
2.故障恢复控制台
①允许对所有驱动器和文件夹进行软盘复制和访问(禁用)
【windows2000控制台恢复的另一个特性是它禁止访问硬盘启动器上的所有文件和目录。它仅允许访问每个卷的根目录和systemroot%目录及子目录,即便这样,它还限制不允许把硬盘启动器上的文件复制到软盘上】
②允许自动系统管理级登录(禁用)
【恢复控制台是windows2000的一个新特性,它在一个不能启动的系统上给出一个受限的命令行访问界面。该特性可能会导致任何可以重启系统的人绕过账号口令限制和其他安全设置而访问系统】
3.关机
①清除虚拟内存页面文件(禁用)
②允许系统在未登陆前关机(禁用)
4.交互式登陆
①不显示上次的用户名(启用)
②不需要按ctrl+alt+delete组合件(禁用)
③可被缓存的前次登陆个数(域控制器不可用的情况下)(0)
5.账户
重命名系统管理员账户(除了Administrator的其他名称)
四、注册表检查
按ctrl+R调出系统的运行页面,在其中输入regedit,如图:
点下确认后,我们可以看到注册表的编辑页面。左侧有许多可以折叠伸展的条目,那些都是注册表的目录。
1.禁止自动登陆
【自动登陆会将用户名和口令以明文的形式保存在注册表中】
①在左侧栏中选择HKEY_LOCAL_MACHINE的条目,点它前面的小三角,可以把它展开。在展开的条目中再展开System的条目。依次找到System\ControlSet001\Control\NetworkProvider项,并点击这个NetworkProvider项将其打开,如下图所示:
②在右边的窗口单击右键,新建一个DWORE值命名为DisableDefaultPasswords,并把把这个新建的DisableDefaultPasswords值改为1,改完后点确定就可以了,如图;
2.禁止CD自动运行:
【防止CD上可能的恶意程序被自动运行】
①依次点击展开\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services,选中下方cdrom。
②在右侧找到并双击打开Start,修改数值数据为4,点击确定
③重启电脑,这样光驱就隐藏了,如果需要恢复,同样的操作修改数值数据为1即可
3.删除服务器上的管理员共享:
【每个windowsNT/2000机器在安装后都默认存在“管理员共享”,它们被限制只允许管理员使用,但是它们会在网络上以Admin$、c $ 等来暴露每个卷的根目录和%systemroot%目录】
依次点击展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\,选中下方Parameters。点击右侧空白新建,类型为(REG_DWORD),命名为AutoShareServer,值为0。如下图所示:
4.帮助防止碎片包攻击
依次点击展开HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip,点击Parameters,新建EnablePMTUDiscovery,类型为(REG_DWORD),值为1。
5.防止SYN Flood攻击
依次点击展开HKEY_LOCAL_MACHINE\CurrentControlSet\Services,点击Tcpip,新建SynAttackProtect,类型为(REG_DWORD),值为2。
6.SYN攻击保护
【管理TCP半开sockets的最大数目】
依次点击展开HKEY_LOCAL_MACHINE\CurrentControlSet\Services\Tcpip,点击Parameter,新建TcpMaxHalfOpen,类型为(REG_DWORD),值为100或500。
五、其他检查选项及风险等级
1.禁止某些服务
win+R打开运行,输入Services.msc,打开服务设置,依次设置以下服务:
1 Alerter-禁止
【Alerter服务通常用于进程间发送信息,比如执行打印作业。它也用于和Messenger服务连接来在网络中的计算机间发送同样的信息】
2 Clipbook-禁止
【Clipbook服务用于在网络上的机器间共享剪贴板上的信息。大多数情况下用户没有必要和其他机器共享这种信息】
3 Computer Browser-禁止
【Computer Browser服务用于跟踪网络上一个域内的机器。它允许用户通过网上邻居来发现其不知道确切名称的共享资源。不幸的是它可以不通过任何授权就允许任何人浏览】
4 Internet Connection Sharing-禁止
5 Messenger-禁止
6 Remote Registry Service-禁止
7 Routing and Remote Access-禁止
8 Simple MailTrasfer Protocol(SMTP)-禁止
【该服务是IIS的一部分,应该被禁止或完全删除】
9 Simple Network Management Protocol(SNMP)Services-禁止
10 Simple Network Management Protocol(SNMP) Trap-禁止
11 Telnet-禁止
12 World Wide Web Publishing Service-禁止
2.转换磁盘格式
【NTFS文件系统具有更好的安全性,提供了强大的访问控制机制】
电脑磁盘一般是FAT32格式的,将所有的磁盘卷转换为NTFS格式的步骤如下。
①点击开始菜单,在搜索框中输入CMD命令并以管理员身份运行cmd.exe程序。
②输入命令convert c:/fs:ntfs
然后回车,将c盘转换为NTFS格式
③转换后查看磁盘属性可以验证:
六、个人版防火墙和防病毒软件的检查
1.第三方防火墙检查
1 已经安装第三方个人版防火墙
2 已经安装防病毒软件
3 防病毒软件的特征码和检查引擎已经更新到最新
进入控制面板->添加或删除程序,查看是否安装有防病毒软件。同时打开防病毒软件控制面板,查看病毒码更新日期。
如已安装防病毒软件,则病毒码更新时间不早于1个月,各系统病毒码升级时间要求参见各系统相关规定。
4 防病毒软件已设置自动更新
2.查看异常服务或端口
1 不存在异常端口(netstat -an)(netstat -anb)
2 不存在异常服务(net start)
3 注册表的自动运行项中不存在异常程序HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
4 系统中不存在异常系统账号
5 打开杀毒软件的杀毒历史记录,不存在没被清除的病毒
3.用户权限分配
打开开始菜单->“管理工具”->“本地安全策略”->’‘本地策略’’->用户权限分配,进行以下操作:
1 从远端系统强制关机只指派给Administrators组
2 关闭系统仅指派给Administrators组
3 取得文件或其他对象的所有权仅指派给Administrators
4 配置指定授权用户允许本地登录此计算机
4.本地组策略管理
同时按下键盘上的WIN键+R键打开运行窗口,在运行窗口中输入gpedit.msc,按回车键打开即可打开本地组策略编辑器。
5 在组策略中,只允许授权账号从网络访问(包括网络共享等,但不包括终端服务)此计算机
6 启动windows系统的IP安全机制(IPSec)或网络连接上的TCP\IP筛选
7 启用windows xp和windows2003自带的防火墙。根据业务需要限定允许访问网络的应用程序和允许远程登录该设备的IP地址范围
8 设置带密码的屏幕保护程序,并将时间设定为5分钟
进入“控制面板->显示->屏幕保护程序”
9 对于windows xp sp2及windows2003对windows操作系统程序和服务启用系统自带的DEP功能(数据执行保护),防止在受保护内存位置运行有害代码
10 如需启用SNMP服务,则修改默认的SNMP Community String设置
打开“控制面板”,打开“管理工具”中的“服务”,找到“SNMP Service”,单击右键打开“属性”面板中的“安全”选项卡,在这个配置界面中,查看community strings,是否已改,而不是默认的“public”。
11 如需启用IIS服务,则将IIS升级到最新补丁