Windows主机安全加固手册

1、目 录1账户管理3用户管理3弱口令修改3密码策略3帐户锁定策略32本地策略4审核策略：43效劳5关闭不必须的效劳54网络协议7删除TCP/IP外的其他网络协议：7解除NetBios与TCP/IP协议的绑定：7使用TCP/IP筛选限制端口：75注册表设置8关闭默认共享8减少DDOS攻击的影响8处理HTTP/FTP半连接请求8禁用CD-ROM的自动运行8删除OS2、POSIX子系统9防止ICMP重定向报文的攻击9禁止响应ICMP路由通告报文9保护内核对象标志9禁止建立空连接9禁用路由功能9检查RUN106文件系统与权限11使用NTFS文件系统11保护重要的EXE程序11删除无用的系统文件和目录11

2、保护重要系统文件和目录12加密重要、敏感文件12系统、文件的备份：127常规平安13更新Windows平安补丁：13使用防病毒软件：13使用木马扫描软件：13使用个人防火墙：13其他常规平安设置：141 账户管理1.1 用户管理序号用户管理检查确认1停用guest帐号：以防止未授权的用户访问。默认停用，检查确认。2限制不必要用户的数量：除日常使用、管理用帐号外，停用其他不必要的帐号、删除废弃帐号3重命名administrator帐号：重命名administrator帐号，创立一个低权限的名为“administrator的本地帐号，设置复杂密码，作为陷阱帐号。方法：控制面板?管理工具?计算机管理

3、?本地用户和组1.2 弱口令修改使用口令猜想工具扫描计算机的弱口令帐户，并根据扫描结果，提交用户修改1.3 密码策略序号策略设置检查确认1密码必须符合复杂性要求启用2密码长度最小值6位3密码最长存留期30天4密码最短存留期5密码强制历史5次方法：控制面板?管理工具?本地平安策略?帐户策略1.4 帐户锁定策略序号策略设置检查确认1复位帐户锁定计数器20分钟2帐户锁定时间20分钟3帐户锁定阀值3次方法：控制面板?管理工具?本地平安策略?帐户策略2 本地策略2.1 审核策略：序号策略设置检查确认1审核策略更改成功 失败2审核登录事件成功 失败3审核对象访问失败4审核过程追踪5审核目录效劳访问失败6审

4、核特权使用失败7审核系统事件成功 失败8审核帐户登录事件成功 失败9审核帐户管理成功 失败方法：控制面板?管理工具?本地平安策略?本地策略3 效劳3.1 关闭不必须的效劳序号效劳设置说明1Alerter手动提供管理性的警告功能，通过NetSend命令2Application Management手动提供软件安装效劳，诸如分派，发行以及删除3ClipBook己禁用通过网络共享剪贴板中的内容4Computer Browser手动维护网上邻居的计算机列表局域网内仅需启用一台5DHCP Client已禁用手动配置网络设置时，禁用此效劳6Distributed link tracking client手

5、动局域网文件、资源连接信息更新较耗内存7Distributed Transaction Coordinator手动SQL Server使用8Error reporting service己禁用发送错误报告给微软9Fax己禁用提供 功能10Indexing Service己禁用很耗资源的目录索引效劳，应禁用11Internet Connection Sharing手动用于Internet连接共享12IPSEC Policy Agent手动用于IP平安协议IPSEC，VPN、无线等用13Logical Disk Manager手动用于支持磁盘管理控制，设置成手动，需要时启动14Logical Di

6、sk Manager Administrative Service手动15Messenger手动和Alerter效劳一同使用，与MSN没有关系16Net Logon手动只用于在基于域的网络中登录17NetMeeting Remote Desktop Sharing已禁用允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。18Network Connections手动管理“网络和拨号连接文件夹中对象19Network DDE已禁用动态数据交换。ClipBook效劳时少数几个使用网络DDE的程序之一。禁用以防被远程启动20Network DDE DSDM已禁用21NT LM

7、 Security Support Provider手动提供RPC连接的验证，极少用，Exchange Server使用22Performance Logs and Alerts手动配置性能日志和警报23Portable Media Serial Number Service手动获取连接到计算机上的便携音乐播放器序列号，向播放器传送受保护的内容时需要这个序列号24QoS RSVP手动为应用程序提供QOS，常见的为NetMeeting25Remote Access Auto Connection Manager已禁用常用于自动拨号到ISP，非拨号用户可禁用26Remote Access Conn

8、ection Manager手动创立网络连接并管理网络连接文件夹27Remote Desktop Help Session Manager已禁用远程协助功能，WinXP用，危险且耗资源，应禁用28Remote Procedure Call (RPC) Locator手动帮助网络上其他计算机发现这台计算机上的基于RPC的程序，不常见。29Remote Registry Service已禁用远程修改注册表，危险的操作，应禁用30Removable Storage手动管理脱机存储媒体，一般用于磁带备份等31Routing and Remote Access已禁用在局域网以及广域网环境中为企业提供路由

9、效劳32Smart Card手动用于支持智能卡身份验证硬件33Smart Card Helper手动34TCP/IP NetBIOS Helper Service手动提供NetBIOS名字管理35Telephony手动支持调制解调器的连接36Telnet已禁用提供通过远程命令行对系统的访问37terminal services已禁用实现远程登录本地电脑，快速用户切换和远程桌面38Uninterruptible Power Supply手动管理连接到计算机的不间断电源(UPS)39Windows Installer手动管理Windows平安程序.msi40Windows Management I

10、nstrumentation Driver Extensions手动与驱动程序间交换系统管理信息41Windows Time手动时间同步效劳说明： 以上效劳列表基于Win2000系统，也包括WinXP中少量危险的效劳 以上未提及的效劳为重要的系统效劳，保持默认的自动设置，应用程序的效劳请按情况设置 以上列表中多数效劳默认情况下已经为手动启动，检查确认 配置方法：在“运行中输入“或者：控制面板?计算机管理?效劳，中进行相应的修改4 网络协议4.1 删除TCP/IP外的其他网络协议：删除TCP/IP外的NETBEUI，IPX/SPX等其他协议，删除文件和打印共享方法：本地连接?属性4.2 解除Ne

11、tBios与TCP/IP协议的绑定：减少NetBios漏洞的攻击企图和系统信息泄漏方法：本地连接?属性?TCP/IP?属性?高级?WINS?禁用TCP/IP上的NetBios4.3 使用TCP/IP筛选限制端口：UDP协议和ICMP协议一样是基于无连结的，一样容易伪造，所以如果不是必要例如要从UDP提供DNS效劳之类应该选择全部不允许，防止受到洪水Flood或碎片Fragment攻击最右边的一个编辑框是定义IP协议过滤的，我们选择只允许TCP协议通过，添加一个66是TCP在IP协议中的代码，IPPROTO_TCP=6方法：本地连接?属性?TCP/IP?属性?高级?选项?TCP/IP筛选5 注册

12、表设置5.1 关闭默认共享注册表项： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters序号键值类型值说明1添加键值AutoShareServerDWORD0关闭C$等共享2添加键值AutoShareWKSDWORD0关闭ADMIN$共享关闭IPC$共享5.2 减少DDOS攻击的影响注册表项： HKLMSystemCurrentControlSetServicesTcpipParameters序号键值类型值说明1SynAttackProtectDWORD22EnableICMPRedirecDWORD0

13、3SynAttackProtectDWORD24EnableDeadGWDetectDWORD05EnablePMTUDiscoveryDWORD06KeepAliveTimeDWORD300,0007DisableIPSourceRoutinDWORD28TcpMaxConnectResponseRetransmissionsDWORD29TcpMaxDataRetransmissionsDWORD310PerformRouterDiscoveryDWORD011TCPMaxPortsExhaustedDWORD55.3 处理HTTP/FTP半连接请求注册表项： HKLMSystemCurr

14、entControlSetServicesAFDParameters序号键值类型值说明1DynamicBacklogGrowthDeltaDWORD102EnableDynamicBacklogDWORD13MinimumDynamicBacklogDWORD204MaximumDynamicBacklogDWORD200005.4 禁用CD-ROM的自动运行防止恶意程序的自动加载运行，防止病毒等的扩散。注册表项： HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer序号键值类型值说明1NoDriveTypeAutoRunDWOR

15、D0xFF5.5 删除OS2、POSIX子系统注册表项： HKLMSYSTEMCurrentControlSetControlSession ManagerSubSystems序号动作1删除以下键值：Optional；OS2；POSIX5.6 防止ICMP重定向报文的攻击注册表项： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters序号键值类型值说明1EnableICMPRedirectsDWORD05.7 禁止响应ICMP路由通告报文注册表项： HKEY_LOCAL_MACHINESYSTEMCurrentCont

16、rolSetServicesTcpipParametersInterfacesinterface序号键值类型值说明2PerformRouterDiscoveryDWORD05.8 保护内核对象标志注册表项： HKLMSYSTEMCurrentControlSetControlSession Manager序号键值类型值说明1EnhancedSecurityLevelDWORD15.9 禁止建立空连接注册表项： Local_MachineSystemCurrentControlSetControlLSA序号键值类型值说明1RestrictAnonymousDWORD15.10 禁用路由功能注册表

17、项： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters序号键值类型值说明1IPEnableRouterDWORD05.11 检查RUN注册表项： HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrenVersionRun序号动作1检查RUN，是否存在可疑的启动工程6 文件系统与权限6.1 使用NTFS文件系统NTFS相对FAT32拥有更优秀的平安、效率和功能。在可能的情况下，所有分区都应该使用NTFS格式6.2 保护重要的EXE程序序号文件位置设置1c:winntsyste

18、m32只能由管理员访问，其他用户不能访问2c:winntsystem32只能由管理员访问，其他用户不能访问3c:winntsystem32只能由管理员访问，其他用户不能访问4c:winntsystem32只能由管理员访问，其他用户不能访问5c:winntsystem32只能由管理员访问，其他用户不能访问6c:winntsystem32只能由管理员访问，其他用户不能访问7c:winntsystem32只能由管理员访问，其他用户不能访问8c:winntsystem32只能由管理员访问，其他用户不能访问9c:winntsystem32只能由管理员访问，其他用户不能访问10c:winntsystem3

19、2只能由管理员访问，其他用户不能访问11c:winntsystem32只能由管理员访问，其他用户不能访问12c:winntsystem32只能由管理员访问，其他用户不能访问13c:winntsystem32只能由管理员访问，其他用户不能访问14c:winntsystem32只能由管理员访问，其他用户不能访问15c:winntsystem32只能由管理员访问，其他用户不能访问备注：另一种方法为创立一个只能由管理员访问的目录，把上述的文件都移到该目录中6.3 删除无用的系统文件和目录序号类别文件/目录说明1DOS文件dos目录查找并删除，防止攻击者进入DOS2OS/2子系统文件OS2目录查找并删除

20、3POSIX子系统查找并删除6.4 保护重要系统文件和目录在更高的平安需求的情况下，将需要对其他重要的系统文件和目录进行更为细致的访问权限控制，防止普通用户越权行为的发生。详尽的重要系统文件和目录的信息，在需要实施的情况下，将在附件中提供6.5 加密重要、敏感文件对计算机上的重要文件、敏感数据进行加密存储，使用Windows的加密文件系统EFS或者第三方的加密软件进行保护。6.6 系统、文件的备份：对操作系统、重要文件，视具体需求，通过效劳器集中备份、磁带、移动介质备份等方式进行异地备份7 常规平安7.1 更新Windows平安补丁：及时升级Windows的平安补丁，是保证操作系统系统平安的重要根底。建立健全的补丁管理体系，高效管理补丁的获取、测试、升级和检查。保证各个