系统安全检测与加固手册2010715修订版

1、Windows系统安全检测加固手册（修订版）（单位人员内部使用）1、 本手册基于 Windows XP Professional （sp3）版设计，个别加固项对于Windows7和 WinXP Home版并不适用2、如果加固过程中，因系统差异加固项出现出入，可根据实际情况选择“新建注册表项” 或忽略该加固选项。准备工作简介对注册表和组策略进行备份，防止加固时的误操作检测对象注册表组策略1:使用RegistryCleanExpert对注册表进仃备份备份方法使用Registry Clean Expert对注册表进仃备份。双击应用程序，选择备份Windows注册表2:使用组策略备份工具对系统全部策略

2、进行备份技术要求双击运行“组策略备份.cmd ”，选择Y导出组策略设置注册表恢复：1、选择点击还原注册表，选择之前的备份文件恢复，重启后生效。恢复方法组策略恢复：1、 双击策略导入工具“组策略导入.cmd”默认恢复实施前备份 的当前路径下的组策略。2、点击开始采单中的 运行，输入 gpupdate并回车，系统会刷新组策略使备份组策略其生效。1 帐号安全1.1帐号口令简介检查系统帐号、用户帐号、口令的安全性。技术要求检测对象 超级管理员帐号口令的安全性 普通用户帐号口令的安全性帐号登录超时自动退出1、加强对超级管理员帐户与普通帐户口令的安全性加固项打开计算机管理- 本地用户与组，向管理员询问超级

3、管理员及普通 帐户的密码，判断其安全性。打开“控制面版”- “管理工具”-“本地安全策略”，在“帐户策略”中，设置 密码必须符合复杂性 要求（已启用），密码长度最小值（8个字符），密码最长存留期（60 天），密码最短存留期（1天）参数，以保护密码。2、开启强制密码历史功能安全记录在默认情况下是没有保护的，把他设置成只有 Administrator和系统帐户才有权访冋。打开本地安全策略- 账 户策略”- “密码策略”，修改“强制密码历史（3个记住的密码）”。 此策略设置确定在可以重新使用旧密码之前，必须与某个用户帐户关联的唯一新密码个数。3、帐号登录口令错误与超时自动退出打开“控制面版”- “管

4、理工具”- “本地安全策略”，在“帐户 策略”- “帐户锁定策略”，分别设置阀值，账户锁定阀值（5次无 效登录），复位账户锁疋计算器 （15分钟），账户锁疋时间（15分钟）。1.2帐号设置简介检查帐号设置的安全性。检测对象 Win dows系统帐号设置的安全策略1、管理员用户默认需要改名一般扫描工具都会扫描该帐户，所以更名很有必要。打开“控制面 版”- “管理工具”- “计算机管理”，在“本地用户和组”中， 针对administrator用户进行更名。2、禁用或删除不必要的系统帐户技术要求加固项曾经为某项工作开设的帐户，现在已经没有作用。要经常检查“本 地用户和组”，将闲置或无用的帐户禁用或删

5、除，杜绝安全隐患。例如：Guest3、禁止枚举帐户打开“控制面版”- “管理工具”- “本地安全策略”- “本地策 略”-“安全选项”，双击“网络访问不允许 SAM帐户的匿名枚举”， 在出现的属性对话框中，选择“已启用” ，点击确定。4、禁用远程登陆服务打开“控制面版”- “管理工具”- “本地安全策略”- “本地策 略”- “用户权利指派”，双击“通过终端服务允许登陆” （删除默认用户与组），对用户和组进行限制。此策略设置确定哪些用户或 组有权作为终端服务客户端进行登录。2文件系统安全2.1系统分区简介检查系统分区的安全性检测对象系统分区系统目录1、系统分区及数据存放分区必须为NTFS文件系

6、统技术要求加固项在“我的电脑”中，右击要检查的分区，比如C盘，在弹出菜单中点击“属性”，在出现的C盘的属性对话框中，查看 C盘的 文件系统是否为NTFS格式。如果不是则可以采取多种方法，比如重新格式化（非系统分区）或在命令提示符下使用convert命令转换分区格式，注意，该命令只能从 Fat格式转换为ntfs格式， 不可逆。转换语法：Co nvert volume /FS:NTFS转换例子：将C分区转换为NTFSConvert C:/FS:NTFS2、系统分区必须分为两个及两个以上的分区打开磁盘管理器，查看系统分区是否为两个及以上分区，用于 备份系统分区。3、禁用文件冋步功能开始菜单，然后点运

7、行”，输入gpedit.msc ”，弹出计算机 配置”然后依次点击 管理模板- 网络- 脱机文件- 禁止“允许 脱机使用”：，最后选择“已启用”则可。2.2目录文件简介检查系统目录文件的安全性技术要求检测对象桌面目录及文件1、是否将桌面目录设置在非系统分区下（可选做）加固项默认状态下，修改注册表项HKEY_CURRENT_USER/Software/Micros oft/Wi ndows/Curre ntVersio n/Explorer/User Shell Folders中的Desktop子项。将里面的路径设置为在非系统分区下，然后重启 计算机即可生效。生效后，找到原来在系统分区下的“桌面

8、“文件夹复制原“桌面” 文件夹到新设置的非系统分区位置。3系统配置3.1系统设置简介检查系统的安全配置。检测对象系统相关设置1、设置CMOS密码启动计算机，在计算机正在启动时不停地按进入BIOS键（一般为DEL或F2），直到出现 CMOS SETUP界面。用键盘上的光标键选择 SUPERVISOR PASSWORD项，然后回车，出现 ENTER PASSWORD后，输入密码再回车，这时又出现CONFIRM PASSWORD，在其后再次输入同一密码 （注：该项原意则会是对刚才输入的密码进行校验，如果两次输入的密码不一致， 要求你重新输入）；用光标键选择 USER PASSWORD项后回车，同上面

9、一样，密码需输入两次才能生效。2、删除默认共享连接技术要求加固项在“运行”框中输入:regedit。打开注册表编辑器，在HKEY_LOCAL_MACHINESYSTEMCurre ntCon trolSet下，修改或添加 DWORServicesla nman Serverparameters 值“ AutoShareServer ” （清除admin$共享）设置为“ 0”，并且修改或添加DWOR值“AutoShareWKs”（清除磁盘共享）设置为“ 0,可以禁止。$和admin$共享。重启后生效。3、禁止建立空连接通过修改注册表来禁止建立空连接:HKEY_LOCAL_MACHNSEstemC

10、urre ntCon trolSetCo ntrolLsa 将RestrictAnonymous的值改成” 1 ”即可。4、关机时清除掉页面文件要在关机的时候清除页面文件，可以编辑注册表Key_Local_Machi neSYSTEMCurre ntCon trolSetC on trolSessio nMa nagerMemoryManagement 把 ClearPageFileAtShutdown 的值设置成1。5、限制注册表的远程访冋打开“控制面板”- “管理工具”一“本地安全策略” - “本地策 略”- “安全选项”，双击“网络访问：可远程访问的注册表路径”， 将默认的内容删除。6、

11、禁用自动播放功能在“运行”中键入“ gpedit.msc”，单击“确定”按钮，打开“组 策略”窗口。在左窗格的“本地计算机策略”下，展开“计算机配 置t管理模板t系统”，然后在右窗格的“设置”标题下，双击“关 闭自动播放”，单击“设置”选项卡，选中“已启用”复选钮，然 后在“关闭自动播放”框中单击“所有驱动器”，单击“确定”。7、设置屏幕保护密码在桌面上右击，选择“属性”，在弹出的属性对话框中，设置屏保 程序，等待时间，并设置在恢复时使用密码保护，等待时间设置为 10分钟。8、禁止dump file 的产生在桌面上右击“我的电脑”，选择“属性”，点击“高级”- 启 动和故障恢复下的“设置”写入

12、调试信息下面选择“无”。点击确9、是否删除系统自带的不必要组件及程序打开控制面板-添加删除程序- 添加删除windows组件，删除不必 要的组件。3.2安全策略简介检查系统的安全配置。检测对象系统安全策略1、设置登录前不显示上次登录的用户名技术要求加固项打开“控制面版”- “管理工具”- “本地安全策略”- “本地策 略”- “安全选项”，双击“交互式登录：不显示上次的用户名” ， 在弹出的对话框中选择“已启用”并点击“确定” 。2、设置按Control-Alt-Delete才能登陆系统打开“控制面版”- “管理工具”- “本地安全策略”- “本地策 略”- “安全设置”- “安全选项”，双击

13、“交互式登录：不需要 按CTRL+ALT+DEL ”，在弹出的对话框中选择“禁用”并点击“确3.3系统任务简介检查系统任务工作的安全状态技术要求检测对象系统任务管理器加固项1、确定授权用户使用任务管理器正常Co ntrol-Alt-Delete组合键查看任务管理器2、确定查看任务管理计划正常打开控制面板- 任务计划，查看任务计划是否正常。3.4系统时钟简介检查系统时钟的准确度。检测对象系统时间技术要求加固项1、系统时钟是否正确查看系统的时间是否正确4网络服务安全4.1服务禁用简介检查系统的网络服务检测对象系统网络服务1、对不必要的网络服务进行合理设置技术要求加固项在桌面上右击“我的电脑”，选择

14、“管理”，选择“服务和应用程序”， 选择“服务”，在管理员的配合下，查看是否关闭了不必要的网 络服务。如下服务均要确认设置为禁用：在桌面上右击“我的电脑”，选择“管理”，选择“服务和应用 程序”，选择“服务”，找到如下服务：Remote Registry, Messe nger, Teln et,Terminal Services， Routing and Remote Access确认设置为禁用如下服务建议设置为手动启动项：在桌面上右击“我的电脑”，选择“管理”，选择“服务和应用 程序”，选择“服务”，找到如下服务：Help and Support, ServerNetMeeti ng Re

15、mote Desktop Shari ng确认设置为手动4.2远程管理简介检查系统网络服务的远程管理是否安全检测对象远程服务1、禁用telnet服务,禁止通过tel net进行远程管理打开“控制面板”- “管理工具”- “服务”找到“ Tel net”。确认 关闭。2、关闭远程桌面连接技术要求加固项右键点击“我的电脑”，然后选择“远程“选项卡，按如下步骤设置，1远程协助-选上“允许从这台计算机发送远程协议邀请（R） ” -高级-远程控制-取消：”允许此计算机被远程控制（A ） ”的选择2远程桌面- 取消”允许用户远程连接到此计算机（C） ”的选择- 选择远程用户-远程桌面下的用户为空，即不设置

16、任何用户。2、从安全策略中禁止任何用户远程访问或连接终端“控制面版”- “管理工具”- “本地安全策略”- “本地策略”- “用户权利指派”，双击“从网络访问此计算机”和“通过终端服务拒绝登录”选项，把里面的默认设置全部清空。5系统访问控制5.1防火墙简介检查主机防火墙安全防护能力检测对象系统防火墙1、开启系统防火墙功能技术要求加固项选择“控制面板”- “Windows防火墙”-”启用”与控制面板- “服务” - “ Win dows Firewall/I nternetConn ecti on Shari ng ”选自动启动2、合理配置防火墙访问控制策略选择“控制面板” - “Windows

17、防火墙”- 在“例外”中对例外程 序进行检查与确认。3、合理配置防火墙的日志功能选择 控制面板- Windows防火墙 ，咼级- 安全日志记录-设置1:记录选项-勾选上”记录被丢弃的数据包”和“记录成功的连接”2: 日志文件选项-确保防火墙日志记录在一个单独的文件里6病毒及恶意代码防护6.1病毒防护简介检查终端防病毒能力技术要求检测对象防病毒软件加固项1、确保安装了防病毒软件2、确保病毒库每天能够及时更新3、确保防病毒软件会定期进行病毒扫描7补丁与更新安全简介检查系统补丁更新检测对象补丁更新与同步1、设置使用 Windows update让系统自动更新补丁我的电脑-属性- 自动更新- 勾选“自

18、动（建议）”这一项开始- 控制面板- 管理工具- 服务 确保 Windows Upadte为开启状态2、 配置每台客户端与WSUS艮务器进行补丁同步按如下步骤设置：技术要求加固项开始- 运行-gpedit.msc- 计算机配置- 管理模板-Windows组件-Win dows Update1 “配置自动更新”- 已启用- 配置自动更新选项里选择“ 3-自动下载并通知安装”2 “指定Intranet Microsoft更新服务位置”- 已启用为检测更新设置Intran et更新服务项，填入http:/wsus.cst net.c n设置Intranet统计服务器，填入http:/wsus.cst

19、 net.c n详纟田配置请参阅/Config_1.htm在客户端验证与补丁服务器同步是否成功查看 C:WindowsWindowsUpdate.log文件，1 ：先将WindowsUpdate.log文件里面所有的内容清空2：运行命令cmd- gpupdate;cmd - wuauclt /detect now;3:查看在该文件中新增加内容是否与补丁服务器连接下载（假设没有任何新增加内容则证明补丁更新配置有问题）8日志及审计的安全性8.1日志和审计简介检查系统日志功能日志文件检测对象审核策略日志配置文件技术要求加固项开始- 运行 -gpedit.msc

20、-计算机配置-Windows设置- 安全设置-本地策略- 审核策略（对审核策略的开启设置可参考如下）配置策略Win dows XP审核策略更改成功审核登录事件成功、失败审核对象访问失败审核过程追踪无审核审核目录服务访问无审核审核特权使用失败审核系统事件成功审核账户登录事件成功、失败审核账户管理成功、失败2、合理设置系统日志大小、覆盖天数1、建议按如下设置标准开启安全审核策略在开始- 运行-eventvwr- 事件查看器 进行如下设置 最大日志文件大小当达到最大日志大小时应用程序右击“属性”16384K改写久于30天的事件安全性 右击“属性” 16384K改写久于30天的事件 系统 右击“属性” 16384K改写久于30天的事件附加项1简介检查邮件用户及邮件策略安全配置检测对象邮件密码和过滤规则1、对邮件用户进行密码设置根据现场实际情况，建议终端使用者自己设置密码2、设置垃圾邮件过滤规则来阻止发件人第一步：技术要求附加加固项默认状态下，启动 OutlookExpress，打开工具”