Windows 操作系统安全防护强制性要求

Windows操作系统安全防护强制性要求Windows操作系统安全防护强制性要求Windows操作系统安全防护强制性要求xxx公司Windows操作系统安全防护强制性要求文件编号：文件日期：修订次数：第1.0次更改批准审核制定方案设计，管理制度Windows操作系统安全防护强制性要求二〇一四年五月目录1. 系统用户口令及策略加固 1. 系统用户口令策略加固 1. 用户权限设置 1. 禁用Guest（来宾）帐户 2. 禁止使用超级管理员帐号 3. 删除多余的账号 32. 日志审核策略配置 4. 设置主机审核策略 4. 调整事件日志的大小及覆盖策略 4. 启用系统失败日志记录功能 53. 安全选项策略配置 5. 设置挂起会话的空闲时间 5. 禁止发送未加密的密码到第三方SMB服务器 6. 禁用对所有驱动器和文件夹进行软盘复制和访问 6. 禁止故障恢复控制台自动登录 6. 关机时清除虚拟内存页面文件 7. 禁止系统在未登录前关机 7. 不显示上次登录的用户名 7. 登录时需要按CTRL+ALT+DEL 8. 可被缓存的前次登录个数 8. 不允许SAM帐户和共享的匿名枚举 8. 不允许为网络身份验证储存凭证或.NETPassports 9. 如果无法记录安全审核则立即关闭系统 9. 禁止从本机发送远程协助邀请 9. 关闭故障恢复自动重新启动 94. 用户权限策略配置 10. 禁止用户组通过终端服务登录 10. 只允许管理组通过终端服务登录 10. 限制从网络访问此计算机 105. 用户权限策略配置 11. 禁止自动登录 11. 禁止光驱自动运行 11. 启用源路由欺骗保护 11. 删除IPC共享 126. 网络与服务加固 12. 卸载、禁用、停止不需要的服务 12. 禁用不必要进程，防止病毒程序运行 13. 关闭不必要启动项，防止病毒程序开机启动 22. 检查是否开启不必要的端口 30. 修改默认的远程桌面端口 31. 启用客户端自带防火墙 31. 检测DDOS攻击保护设置 32. 检测ICMP攻击保护设置 32. 检测TCP碎片攻击保护设置 337. 其他安全性加固 34. 安装防火墙和防病毒软件 34. 使用NTFS文件系统 34. 文件权限安全 35. 未经签名的驱动程序软件安装管理 35. 屏幕保护 36. 检查数据执行保护 36系统用户口令及策略加固系统用户口令策略加固实施名称：系统用户口令策略加固系统当前状态：查看系统“本地安全设置”－“帐户策略”中“密码策略”和“账号锁定策略”当前情况实施方案：密码必须符合复杂性要求：启用密码长度最小值8个字符密码最长使用期限：90天强制密码历史：24个记住的密码帐户锁定阀值：3次无效登录帐户锁定时间：15分钟复位帐户锁定计数器：15分钟之后策略更改后，督促现有用户更改其登录口令以符合最新策略要求。实施目的：保障用户账号及口令的安全，防止口令猜测攻击。实施风险：无用户权限设置实施名称：禁止除管理员外的一般用户远程登录计算机或关闭计算机，同时禁止无用帐号的登录，可以防止恶意用户通过破解一般低权限的用户口令后使用该用户登录进行提权攻击。系统当前状态：开始→运行→计算机配置→Windows设置→安全设置→本地策略→用户权利指派实施方案：1．参考配置操作检查用户权限策略是否设置：开始→运行→计算机配置→Windows设置→安全设置→本地策略→用户权利指派此处有较多选项，建议对以下四项进行检查： 从网络访问此计算机（可选） 从远程系统强制关机 拒绝本地登录建议做如下设置： 从远程系统强制关机的权利仅指派给Administrators 设置取得文件或其它对象的所有权为只指派给Administrators组 拒绝本地登录：IUSR_MACHINENAME、IWAN_MACHINENAME等不需要使用的用户设置完成后使用secedit/refreshpolicymachine_policy命令刷新策略以快速生效（建议重新启动系统）2．补充操作说明如果设备需要文件共享，则不应设置从网络访问此计算机项实施目的：禁止除管理员外的一般用户远程登录计算机或关闭计算机，同时禁止无用帐号的登录实施风险：无禁用Guest（来宾）帐户实施名称：禁用Guest帐号，降低被攻击的风险系统当前状态：进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组->用户”实施方案：1、参考配置操作进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组->用户”：Guest帐号->属性－>已停用实施目的：禁用Guest帐号，降低被攻击的风险实施风险：无禁止使用超级管理员帐号实施名称：防止系统被入侵后，入侵者直接获取最高用户权限系统当前状态：进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组->用户”实施方案：XP系统多用于日常办公使用，可禁止使用超级管理员账号，一般日常办公使用普通用户1、参考配置操作进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组->用户”：右键－>新用户－>自定义用户名2．补充操作说明默认新加的用户为普通用户权限，建议安装软件安装在非系统盘下。实施目的：防止系统被入侵后直接获取最高用户权限实施风险：无删除多余的账号实施名称：删除或禁用多余的系统账号系统当前状态：实施方案：开始—控制面板—管理工具—计算机管理—本地用户和组—用户：删除或者禁用多余的账号，建议只保留一个当前使用的账号实施目的：关闭多余的系统账号实施风险：无日志审核策略配置设置主机审核策略实施名称：设置主机审核策略系统当前状态：在“本地安全策略”－“本地策略”中查看系统“审核策略”实施方案：审核策略更改成功，失败审核登录事件成功，失败审核对象访问失败审核目录服务访问成功，失败审核特权使用失败审核系统事件成功，失败审核账户登录事件成功，失败审核帐户管理成功，失败实施目的：对重要事件进行审核记录，便于问题的追溯。实施风险：无调整事件日志的大小及覆盖策略实施名称：调整事件日志的大小及覆盖策略系统当前状态：日志类型日志大小覆盖策略应用程序日志K覆盖早于天的日志安全日志K覆盖早于天的日志系统日志K覆盖早于天的日志实施方案：右键点击“我的电脑”-“管理”-“事件查看器”-右键点击“系统”-“属性”-修改“最大文件大小”日志类型日志大小覆盖策略应用程序日志80000K覆盖早于30天的日志安全日志80000K覆盖早于30天的日志系统日志80000K覆盖早于30天的日志其他日志（如存在）80000K覆盖早于30天的日志实施目的：增加日志文件的容量，避免由于日志文件容量过小导致重要日志记录遗漏实施风险：无启用系统失败日志记录功能实施名称：启用系统失败日志记录功能系统当前状态：右键“我的电脑”-“属性”-“高级”-“启动和故障恢复”-“设置”实施方案：1、参考配置操作右键“我的电脑”-“属性”-“高级”-“启动和故障恢复”-“设置”，将“将事件写入系统日志”、“发送管理警报”这两项的勾上。再将下面的“写入调试信息”设置为“完全内存存储”实施目的：启用系统失败日志记录功能实施风险：无安全选项策略配置设置挂起会话的空闲时间实施名称：设置Microsoft网络服务器挂起会话的空闲时间系统当前状态：查看系统当前设置实施方案：在管理工具->本地安全策略->选择本地策略->选择安全选项->Microsoft网络服务器：在挂起会话之前所需的空闲时间（小于等于5分钟）实施目的：设置挂起会话之前所需的空闲时间为5分钟实施风险：无禁止发送未加密的密码到第三方SMB服务器实施名称：Microsoft网络客户端：发送未加密的密码到第三方SMB服务器系统当前状态：查看系统当前设置实施方案：在管理工具->本地安全策略->选择本地策略->选择安全选项->Microsoft网络客户端：发送未加密的密码到第三方SMB服务器（已禁用）实施目的：禁止发送未加密的密码到第三方SMB服务器实施风险：无禁用对所有驱动器和文件夹进行软盘复制和访问实施名称：故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问系统当前状态：查看系统当前设置：实施方案：在管理工具->本地安全策略->选择本地策略->选择安全选项->故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问（禁用）实施目的：Windows控制台恢复的另一个特性是它禁止访问硬盘驱动器上的所有文件和目录。它仅允许访问每个卷的根目录和%systemroot%目录及子目录，即使是这样它还限制不允许把硬盘驱动器上的文件拷贝到软盘上。实施风险：无禁止故障恢复控制台自动登录实施名称：故障恢复控制台:允许自动系统管理级登录系统当前状态：查看系统当前设置：实施方案：在管理工具->本地安全策略->选择本地策略->选择安全选项->故障恢复控制台:允许自动系统管理级登录（禁用）实施目的：防止非法用户通过恢复控制台（无需密码）自动登录到系统实施风险：无关机时清除虚拟内存页面文件实施名称：关机时清除虚拟内存页面文件系统当前状态：查看系统当前设置：实施方案：在管理工具->本地安全策略->选择本地策略->选择安全选项->关机：清除虚拟内存页面文件（启用）实施目的：页面文件中可能含有敏感的资料，关机的时候清除虚拟内存页面文件，防止造成意外的信息泄漏。实施风险：无禁止系统在未登录前关机实施名称：关机：允许系统在未登录前关机系统当前状态：查看系统当前设置：实施方案：在管理工具->本地安全策略->选择本地策略->选择安全选项->关机：允许系统在未登录前关机（禁用）实施目的：禁止用户未登录系统状态下关闭计算机实施风险：无不显示上次登录的用户名实施名称：交互式登录：不显示上次的用户名系统当前状态：查看系统当前设置：实施方案：在管理工具->本地安全策略->选择本地策略->选择安全选项->交互式登录：不显示上次的用户名（启用）实施目的：登录时不显示上次的用户名，防止暴露用户名。实施风险：无登录时需要按CTRL+ALT+DEL实施名称：交互式登录：不需要按Ctrl+Alt+Del系统当前状态：查看系统当前设置：实施方案：在管理工具->本地安全策略->选择本地策略->选择安全选项->交互式登录：不需要按Ctrl+Alt+Del（禁用）实施目的：登录时需要按CTRL+ALT+DEL。实施风险：无可被缓存的前次登录个数实施名称：交互式登录：可被缓存的前次登录个数（在域控制器不可用的情况下）系统当前状态：查看系统当前设置：实施方案：在管理工具->本地安全策略->选择本地策略->选择安全选项->交互式登录：可被缓存的前次登录个数（设置缓存数为3-5，此项对域服务器无效。）实施目的：减少用户在本地缓存的登录信息，防止敏感信息泄露实施风险：无不允许SAM帐户和共享的匿名枚举实施名称：网络访问：不允许SAM帐户和共享的匿名枚举系统当前状态：查看系统当前设置：实施方案：在管理工具->本地安全策略->选择本地策略->选择安全选项->网络访问：不允许SAM帐户和共享的匿名枚举（启用）实施目的：禁止使用匿名用户空连接枚举系统敏感信息实施风险：无不允许为网络身份验证储存凭证或.NETPassports实施名称：网络访问：不允许为网络身份验证储存凭证或.NETpassports系统当前状态：查看系统当前设置：实施方案：在管理工具->本地安全策略->选择本地策略->选择安全选项->网络访问：不允许为网络身份验证储存凭证或.NETpassports(启用）实施目的：不允许为网络身份验证储存凭证或.NETpassports实施风险：无如果无法记录安全审核则立即关闭系统实施名称：审核：如果无法记录安全审核则立即关闭系统系统当前状态：查看系统当前设置：实施方案：在管理工具->本地安全策略->选择本地策略->选择安全选项->审核：如果无法记录安全审核则立即关闭系统（启用）实施目的：如果无法记录安全审核则立即关闭系统实施风险：无禁止从本机发送远程协助邀请实施名称：禁止从本机发送远程协助邀请系统当前状态：查看系统当前设置：实施方案：右键“我的电脑”-“属性”-“远程”-去除“允许从这台计算机发送远程协助邀请”前的勾实施目的：禁止从本机发送远程协助邀请实施风险：无关闭故障恢复自动重新启动实施名称：关闭故障恢复自动重新启动系统当前状态：查看系统当前设置：实施方案：右键“我的电脑”-“属性”-“高级”-“启动和故障恢复设置”-去除“自动重新启动”前的勾实施目的：禁止故障恢复自动重新启动实施风险：无用户权限策略配置禁止用户组通过终端服务登录实施名称：通过终端服务拒绝登录：添加Guests、User组系统当前状态：查看系统当前设置：实施方案：在管理工具->本地安全策略->选择本地策略->选择用户权限分配->“通过终端服务拒绝登录”中添加Guests、User组实施目的：禁止用户组通过终端服务拒绝登录实施风险：无只允许管理组通过终端服务登录实施名称：通过终端服务允许登录：删除所有用户组系统当前状态：查看系统当前设置：实施方案：在管理工具->本地安全策略->选择本地策略->选择用户权限分配->“关闭系统”中删除所有用户组实施目的：禁止通过终端服务登录实施风险：无限制从网络访问此计算机实施名称：从网络访问此计算机中删除BackupOperators系统当前状态：查看系统当前设置：实施方案：在管理工具->本地安全策略->选择本地策略->选择用户权限分配->“从网络访问此计算机”中删除BackupOperators实施目的：从网络访问此计算机中删除BackupOperators实施风险：无用户权限策略配置禁止自动登录实施名称：禁止自动登录系统当前状态：实施方案：禁止自动登录：编辑注册表HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\AutoAdminLogon(REG_DWORD)值设置为0（如无需新建）实施目的：禁止自动登录实施风险：无禁止光驱自动运行实施名称：禁止光驱自动运行系统当前状态：实施方案：禁止自动登录：编辑注册表HKLM\System\CurrentControlSet\Services\CDrom\Autorun(REG_DWORD)值设置为0（如无需新建）实施目的：禁止CD自动运行实施风险：无启用源路由欺骗保护实施名称：启用源路由欺骗保护系统当前状态：实施方案：启用源路由欺骗保护：编辑注册表HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\新建(REG_DWORD)值名称为DisableIPSourceRouting参数为2实施目的：防护在网络上发生的源路由欺骗实施风险：无，如服务器启用路由功能，则会影响相关功能。删除IPC共享实施名称：删除IPC共享系统当前状态：使用netshare命令查看系统当前的共享资源：实施方案：禁用IPC连接:打开注册表编辑器，依次展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]分支，在右侧窗口中找到"restrictanonymous"子键，将其值改"1"即可。删除服务器上的管理员共享:HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer（如无需新建）(REG_DWORD)值参数为0如系统存在其他人为设置共享，建议删除。实施目的：删除主机因为管理而开放的共享，减小安全风险实施风险：某些应用软件可能需要系统默认共享，应询问管理员确认。网络与服务加固卸载、禁用、停止不需要的服务实施名称：卸载、禁用、停止不需要的服务系统当前状态：检测分析系统已启动的不必要的服务包括：实施方案：停止、禁用不需要的服务，如有必要则卸载已安装的服务。下面列出部分服务以做参考：AlerterClipbookComputerBrowserInternetConnectionSharingMessengerRemoteRegistryServiceRoutingandRemoteAccessServerShellHardwareDetectionTCP/IPNetBIOSHelperServiceTerminalServicesTaskSchedulerTelnetTerminalServicesSimpleMailTrasferProtocol(SMTP)SimpleNetworkManagementProtocol(SNMP)ServiceSimpleNetworkManagementProtocol(SNMP)TrapWorldWideWebPublishingService实施目的：避免未知漏洞给主机带来的潜在风险实施风险：可能由于管理员对主机所开放服务不了解，导致有用服务被停止或卸载。实施前请与相关应用开发厂商联系确认该服务与业务应用无关联。禁用不必要进程，防止病毒程序运行实施名称：大部分恶意程序、病毒、脚本运行均会显示相应的进程，在微软停止对XP系统服务后，应加强日常的安全管理，禁用不必要的进程或程序，降低系统风险，同时减少系统资源使用。系统当前状态：开始–运行–输入tasklist实施方案：停止、禁用不需要的进程，如有必要则禁用已安装的程序。下面列出部分病毒进程名以做参考：P2P实施目的：删除不必要的进程或程序，降低系统风险，同时减少系统资源使用实施风险：无关闭不必要启动项，防止病毒程序开机启动实施名称：大部分恶意程序、病毒、脚本均是通过启动项来实现程序启动，禁用不必要的主机开机启动脚本及程序，降低系统风险。系统当前状态：开始–运行–输入msconfig检查系统启动项目实施方案：停止、禁用不需要的启动项，如有必要则禁用不需要的启动项。下面列出部分病毒启动项以做参考：P2P实施目的：禁用不必要的启动服务，防止恶意程序自动运行。实施风险：无检查是否开启不必要的端口实施名称：在微软停止对XP系统的服务后，XP系统将面临更多的安全风险。关闭不必要的端口，可减少主机暴露的风险，加强系统的安全性。系统当前状态：开始–运行–cmd，输入netstat-an实施方案：1． 参考配置操作开始–运行–cmd，输入netstat-ano2．补充操作说明查询结果如发现某个端口已开启，查通过查询进程对应PID进行关闭实施目的：关闭不必要的端口，减少主机暴露的风险。实施风险：无修改默认的远程桌面端口实施名称：检查远程桌面（RDP）服务端口系统当前状态：运行命令“regedit”打开注册表编辑器，浏览到路径“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp”实施方案：打开命令提示符，运行命令“regedit”打开注册表编辑器，浏览到路径“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp”，修改名称为“PortNumber”的数值的数据，使其不等于标准值(注意：标准值为16进制表示)。此数据的有效值为1-65535实施目的：修改默认的远程桌面（RDP）服务端口，减少主机暴露的风险。实施风险：无启用客户端自带防火墙实施名称：启用客户端自带防火墙系统当前状态：打开“控制面板”选择“WINDOWS防火墙”实施方案：1． 参考配置操作打开“控制面板”选择“WINDOWS防火墙”点选“启用”选项建议屏蔽以下端口：TCP135TCP139TCP4452．补充操作说明TCP139和TCP445作为Windows的SMB和CIFS主要通信端口，如果将这两个端口关闭，则意味着该系统无法作为文件共享服务器。3.如启用了第三方防火墙，此windows防火墙可不启用实施目的：在微软停止对XP系统的服务后，XP系统将面临更多的安全风险。为了将风险降低到最低，应加强安全意识的管理。启用系统自带防火墙，能够降低系统遭受远程入侵和病毒攻击的风险。实施风险：无检测DDOS攻击保护设置实施名称：检测DDOS攻击保护设置系统当前状态：开始->运行->键入regedit,在注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters下实施方案：1．参考配置操作在开始->运行->键入regedit,在注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters下，修改以下几个值：值名称为SynAttackProtect,推荐值为2；值名称为TcpMaxPortsExhausted=5值名称为TcpMaxHalfOpen=500值名称为TcpMaxHalfOpenRetried=400值名称为EnableICMPRedirect=标准值2． 补充操作说明注册表如没有对应的项，则新建实施目的：设置syn相关参数。实施风险：无检测ICMP攻击保护设置实施名称：检测ICMP攻击保护设置系统当前状态：打开命令提示符，运行命令“regedit”打开注册表编辑器，浏览到路径“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”实施方案：1．参考配置操作打开命令提示符，运行命令“regedit”打开注册表编辑器，浏览到路径“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”，添加名称为“EnableICMPRedirect”、类型为DWORD、数据为标准值的数值，若已存在则修改其数据。此数据的有效值为0-1实施目的：禁用ICMP重定向。实施风险：无检测TCP碎片攻击保护设置实施名称：检测TCP碎片攻击保护设置系统当前状态：打开命令提示符，运行命令“regedit”打开注册表编辑器，浏览到路径“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”实施方案：1．参考配置操作打开命令提示符，运行命令“regedit”打开注册表编辑器，浏览到路径“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”，添加名称为“EnablePMTUDiscovery”、类型为DWORD、数据为标准值的数值，若已存在则修改其数据。此数据的有效值为0-12. 补充操作说明0表示不自动探测MTU大小，都使用576字节的MTU，1表示自动探测MTU大小。如果不将该值设置为0，攻击者可能会强制MTU值变得非常小，从而导致堆栈的负荷过大实施目的：检查是否已启用TCP最大传输单元(MTU)大小自动探测实施风险：无其他安全性加固安装防火墙和防病毒软件实施名称：安装防火墙和防病毒软件系统当前状态：实施方案：安装防火墙和防病毒软件实施目的