Windows系统主机加固报告

1、密 级：秘密文档编号：工程代号：XXX政府Windows主机系统平安加固报告XXXXXX年12月23日 TOC o 1-5 h z HYPERLINK l bookmark6 o Current Document 第1章概述1 HYPERLINK l bookmark8 o Current Document 第2章加固主机信息1 HYPERLINK l bookmark10 o Current Document 第3章加固操作2账户平安2密码平安策略2 HYPERLINK l bookmark15 o Current Document 锁定系统中多余账户3 HYPERLINK l bookma

2、rk17 o Current Document 禁用Administrator之外的超级用户3 HYPERLINK l bookmark19 o Current Document 制空口令帐号4用户身份识别4设置自动注销时间4网络与服务加固4关闭不必要的服务4系统设置平安6关闭针对主机系统的ping6审计策略设定6审计日志设定6文档信息表文档基本信息工程名称XXX政府等保实施当前工程阶段Windows主机加固文档名称Windows主机系统平安加固报告文档版本VI. 0是否为正式交付件是文档创立日期XXX-03-18当前修订日期XXX-03-21文档存放路径文档审批要求文档审批信息审阅人职务审阅

3、时间审阅意见文档修订信息版本修正章节日期作者变更记录VI. 0无XXX-03-21XXX最初发行上海宝山区政府系统平安加固报告第1章概述Windows虽然是一款非常优秀的系统，但也应当拥有完善的平安措施。通过对Windows主机系统采 取一些基本的平安措施，使之变得平安可靠。平安加固是针对主机的漏洞和脆弱性采取的一种有效的平安手段，可以帮助系统预防非授权的对系 统的访问和蠕虫病毒的袭击，使系统可以长期保持高度可信的状态。通常对系统和应用服务的平安加固 包括如下方面：用户帐户平安用户身份识别网络与服务数据访问控制网络访问控制文件系统平安审计策略XXX于XXX年03月16日对XXX政府的Windo

4、ws主机进行了平安加固服务。XXX工程师在宝山区 政府的机房管理人员的配合下，根据先前对各主机进行的平安评估报告而确定了对不同系统类型的主机 的平安加固方案，由XXX工程师实施并完成相关平安加固工作。本报告描述了主机平安加固的整个操作过程，仅供相关管理员参考。第2章加固主机信息本此对如下主机进行了加固，这里主要包含的是Windows系统的主机。序号IP地址操作系统类型主机用途1172. 16. 1.5Windows Server 2003DNS服务2Windows Server 2003Mail服务3Windows Server 2003WEB服务4Windows Server 2003WCM

5、服务5Windows Server 2003BS服务6Windows Server 2003WCM52服务7Windows Server 2003SQLBK服务8172. 16. 1. 19Windows Server 2003DMZ和内网杀毒9Windows Server 2003监控和流量统计10Windows Server 2003宝山博客11Windows Server 2003舆情测试12Windows Server 2003宝山在线管理13Windows Server 2003网站群发布14Windows Server 2003网站群发布15Windows Server 2003网

6、站群数据库16Windows Server 2003网站群备份图表错误!使用“开始”选项卡将Heading 1应用于要在此处显示的文字。加固主机列表上海宝山区政府系统平安加固报告第3章加固操作账户平安密码平安策略Windows主机系统的帐号和密码是对合法用户进行验证的最简单也是最方便的一种方式。但这种方式 也是最脆弱的一种方式。尤其在面对弱口令、简单用户名普遍使用的情况下，主机系统面临的风险也更为 严重。通过检查并禁用Windows主机系统中一些默认内置帐户，并将为系统中的有效帐户启用密码策略， 要求其满足一定长度和复杂度要求的密码，这样可以使得这种使用最广泛和普遍的对访问系统的用户进行 验证

7、的方式得到一定程度的增强。名称密码平安策略修改设定值编辑策略设置密码最长使用天数90天在运行中输入“gpedit.msc”, 在策略编辑器中翻开 “Windows设置平安设置 账户策略-，密码策略”设置密码最短使用天数1天设置强制历史记录24设置口令最短字符8个实施方案连续输错密码，帐号锁定3次，15分钟在运行中输入“gpedit.msc”, 在策略编辑器中翻开u Windows设备，平安设置 账户策略-，账户锁定策 略”实施目的保障帐号以及口令的平安实施风险因为Administrator帐户默认不受锁定限制，所以一些普通帐户的用户因 为忘记密码，可能尝试屡次失败而被锁定。实施主机 , , ,

8、 0 , 1 , , , 9 , 0 , , 备注在设定密码策略时,在运行中输入“gpedit.msc”，在策略编辑器中打 开“Windows设置-，平安设置账户策略密码策略-密码必须符 合复杂性要求”图表错误!使用“开始”选项卡将Heading2应用于要在此处显示的文字。帐号和口令策略修改上海宝山区政府系统平安加固报告锁定系统中多余账户名称编辑策略实施方案在运行中输入“lusrmgr.msc，点击“本地用户和组-用户/组。查看当 前系统中的所有用户和组在“本地用户和组”中点击要锁定的用户，右键“属性”，在“用户属性” 选项卡中的“用户已停用”的选项前打上勾，再点击确定，这个用户就锁 定了在“

9、本地用户和组”中点击要解锁的用户，右键“属性”，把“用户属性” 选项卡中的“用户已停用”的选项前的勾取消，再点击确定，这时用户就 解锁了实施目的限制伪帐号，实施风险需要与管理员确认此项操作不会影响到业务系统的登录实施主机, 1 , , , 备注这些伪帐号虽然不能用于登录但可能建立连接；对于一些保存的系统伪 帐户如：Guest、 HelpAssistant、 SUPPORT_388945aO、 IWAM_COMPUTER、IUSR_COMPUTER、ASPNET 等可根据需要锁定 登陆。图表：系统多余账户审核禁用Administrator之外的超级用户图表：禁用Administrator在外的其

10、他超级用户名称最小化特权账户的存在实施方案使用命令net user”查看系统中当刖已存在的所有的用户在“本地用户和组”中点击要锁定的用户，右键“属性”，在“用户属性” 选项卡中的“用户已停用”的选项前打上勾，再点击确定，这个用户就锁 定了在“本地用户和组”中点击要解锁的用户，右键“属性”，把“用户属性” 选项卡中的“用户已停用”的选项前的勾取消，再点击确定，这时用户就 解锁了实施目的最小化特权用户的存在，防止特权操作过多，泄漏敏感操作信息实施风险需要与管理员确认此超级用户的用途。实施主机 , , , 0 , 1 , , , 备注上海宝山区政府系统平安加固报告制空口令帐号名称限制空口令账户实施方

11、案在设定密码策略时,在运行中输入“gpedit.msc”，在策略编辑器中打 开“Windows设置平安设置-本地策略-,平安选项-帐户：使用 空白密码的本地帐户只允许进行控制台登录”，将此选项设置为禁用实施目的消除空口令账户带来的潜在风险实施风险无实施主机 , , , 0 , 1 , , , 备注图表：禁用空口令本地用户在本地的登录用户身份识别设置自动注销时间名称设定自动注销时间实施方案在设定密码策略时,在运行中输入gpedit.msc,在策略编辑器中打 开“计算机配置管理模板-Windows组件-，终端服务-，会话 为断开的用户设置时间限制”，右键“属性-启用-5分钟”实施目的设置系统登录后

12、，连接超时时间，增强平安性实施风险无可见风险实施主机, , , 0, 1 , , , 备注在实施加固时，记得备份原始文件图表321.1：设置用户在断开后的自动注销时间33网络与服务加固关闭不必要的服务Windows系统对外提供强大、多样的服务，由于服务的多样性及其复杂性，在配置和管理这些服务 时特别容易犯错误，另外，提供这些服务的软件本身也存在各种漏洞，所以，在决定系统对外开放服务 时，必须牢记两个基本原那么： 只对外开放所需要的服务,关闭所有不需要的服务。对外提供的服务越少，所面临的外部威胁越 小。在上述基本原那么下，还要进一步检查系统服务的功能和平安漏洞。这里针对主机所提供的服务进行相应上

13、海宝山区政府系统平安加固报告的基本平安配置。名称限制普通服务和系统服务实施方案使用命令net start”或“services.msc”，查看当前己经启用的服务有那 些实施目的关闭不必要的服务以降低风险实施风险根据实际情况来进行禁止实施主机 , , , 0 , 1 , , , 备注根据实际情况可以对以下服务来进行禁止和开启：Alerter、Clipbook、 Computer Browser、Messenger Remote Registry Service Routing and Remote Access Simple Mail Trasfer Protocol、Simple Networ

14、k Management Protocol service、Simple Network Management Protocol Trap、Telnet、World Wide Web Publishing Service图表：关闭不必要的系统服务服务名称端口号协议HTTP80TCP/UDPHTTPS443TCP/UDPA42424TCPRPC135TCPFTP21TCPNetBIOS138UDPDHCP67UDPMADCAP2535UDPDNS53TCP/UDPsnmp161UDPIMAP143TCPPOP3110TCPSSL995TCPSMTP25TCP/UDPSMB445TCPMacint

15、osh548TCPRADIUS1645/1646/1813/1812UDPKerberos88TCP/UDPTelnet23TCPSMTP25TCPTIME37TCP/UDP第5页上海宝山区政府系统平安加固报告图表：常用服务和端口对应表MSSQL1433/1434TCP/UDPNNTP119TCP系统设置平安关闭针对主机系统的ping图表341-1：关闭对主机的ping回显名称关闭ping实施方案在运行中输入命令 netsh firewall set icmsetting type = 8 mode = disable ”实施目的预防针对ping的攻击实施风险为以后的网络故障排除带来些许麻烦实施主机, , , 0, 1 , , , 9, 0, , , 17,4,1备注如果要开启ping在运行中输入命令netsh firewall set icmsetting type = 8 mode 二 enable ”审计策略设定审计