02-系统安全加固-Windows¶
系统补丁¶
| 配置项名称 | 系统Service Pack和其他Hotfix的安装情况 |
|---|---|
| 操作步骤 | 查看Windows Server 2008安装的SP情况:点击开始(start)->运行(run),输入命令“winver”,回车;记录当前的SP版本号。查看Windows Server 2008安装的其他补丁的情况:安装所有Critical/important级别补丁,建议使用Windows Update或建立内部WSUS系统对其他级别补丁进行检查 |
| 安全建议 | Windows 2008 Server应安装SP2。并安装所有严重和重要级别的最新的补丁程序(hotfix)。建议:建议使用内部WSUS服务器升级所有关键补丁 |
| 备注 |
帐户策略¶
审核口令设置安全策略¶
| 配置项名称 | 审核口令设置安全策略 |
|---|---|
| 操作步骤 | 开始→控制面板→管理工具→本地安全策略→帐户策略 |
| 安全建议 | 密码最长使用期限为90天;强制密码历史为5个;安全标准设置密码必须符合复杂性要求为已启用;密码长度最小值为7;;密码最短使用期限为1天;用可还原的加密来储存密码为已禁用;复位帐户锁定计时器为5分钟;帐户锁定时间为5分钟;帐户锁定阈值6次无效登录。 |
| 备注 |
审核策略¶
| 配置项名称 | 审核策略 |
|---|---|
| 操作步骤 | 开始→控制面板→管理工具→本地安全策略→本地策略→审核策略 |
| 安全建议 | 安全标准设置如下:审核策略更改:成功和失败审核登录事件:成功和失败审核对象访问:成功和失败审计过程跟踪:无审核审计目录服务访问:无审核审核特权使用:无审核审核系统事件:成功和失败审核帐户登录事件:成功和失败审核帐户管理:成功和失败 |
| 备注 | 对于DC服务器,审核登录事件应只审核失败 |
高级安全审核¶
系统¶
| 配置项名称 | 高级安全审核策略-系统 |
|---|---|
| 操作步骤 | “运行”输入gpedit.msc打开“本地组策略编辑器”→计算机配置→windows设置→安全设置→高级安全审核策略配置→系统审核策略-本地组策略对象→系统 |
| 安全建议 | 安全标准设置如下:审核IPsec驱动程序 成功和失败审核安全状态更改 成功和失败审核安全系统扩展 成功和失败系统完整性 成功和失败 |
| 备注 |
登录/注销¶
| 配置项名称 | 高级安全审核策略-登录/注销 |
|---|---|
| 操作步骤 | “运行”输入gpedit.msc打开“本地组策略编辑器”→计算机配置→windows设置→安全设置→高级安全审核策略配置→系统审核策略-本地组策略对象→登录/注销 |
| 安全建议 | 安全标准设置如下:审核注销 成功审核登录 成功和失败审核特殊登录 成功 |
| 备注 |
对象访问¶
| 配置项名称 | 高级安全审核策略-对象访问 |
|---|---|
| 操作步骤 | “运行”输入gpedit.msc打开“本地组策略编辑器”→计算机配置→windows设置→安全设置→高级安全审核策略配置→系统审核策略-本地组策略对象→对象访问 |
| 安全建议 | 安全标准设置如下:审核文件系统 失败审核注册表 失败 |
| 备注 |
特权使用¶
| 配置项名称 | 高级安全审核策略-特权使用 |
|---|---|
| 操作步骤 | “运行”输入gpedit.msc打开“本地组策略编辑器”→计算机配置→windows设置→安全设置→高级安全审核策略配置→系统审核策略-本地组策略对象→特权使用 |
| 安全建议 | 安全标准设置如下:审核敏感特权使用 成功和失败 |
| 备注 |
详细跟踪¶
| 配置项名称 | 高级安全审核策略-详细跟踪 |
|---|---|
| 操作步骤 | “运行”输入gpedit.msc打开“本地组策略编辑器”→计算机配置→windows设置→安全设置→高级安全审核策略配置→系统审核策略-本地组策略对象→详细跟踪 |
| 安全建议 | 安全标准设置如下:审核敏进程创建 成功 |
| 备注 |
策略更改¶
| 配置项名称 | 高级安全审核策略-策略更改 |
|---|---|
| 操作步骤 | “运行”输入gpedit.msc打开“本地组策略编辑器”→计算机配置→windows设置→安全设置→高级安全审核策略配置→系统审核策略-本地组策略对象→策略更改 |
| 安全建议 | 安全标准设置如下:审核审核策略更改 成功和失败审核身份验证策略更改 成功 |
| 备注 |
帐户管理¶
| 配置项名称 | 高级安全审核策略-帐户管理 |
|---|---|
| 操作步骤 | “运行”输入gpedit.msc打开“本地组策略编辑器”→计算机配置→windows设置→安全设置→高级安全审核策略配置→系统审核策略-本地组策略对象→帐户管理 |
| 安全建议 | 安全标准设置如下:审核计算机帐户管理 成功和失败审核其他帐户管理事件 成功和失败审核安全组管理 成功和失败审核用户账户管理 成功和失败 |
| 备注 |
DS访问¶
| 配置项名称 | 高级安全审核策略-DS访问 |
|---|---|
| 操作步骤 | “运行”输入gpedit.msc打开“本地组策略编辑器”→计算机配置→windows设置→安全设置→高级安全审核策略配置→系统审核策略-本地组策略对象→DS访问 |
| 安全建议 | 安全标准设置如下:审核目录服务访问 成功和失败审核目录服务更改 成功和失败 |
| 备注 |
帐户登录¶
| 配置项名称 | 高级安全审核策略-帐户登录 |
|---|---|
| 操作步骤 | “运行”输入gpedit.msc打开“本地组策略编辑器”→计算机配置→windows设置→安全设置→高级安全审核策略配置→系统审核策略-本地组策略对象→帐户登录 |
| 安全建议 | 安全标准设置如下:审核凭据验证 成功和失败 |
| 备注 |
安全选项设置¶
Microsoft网络服务器¶
| 配置项名称 | 安全选项- Microsoft网络服务端 |
|---|---|
| 操作步骤 | 开始→控制面板→管理工具→本地安全策略→本地策略→安全选项 |
| 安全建议 | 登录时间过期后断开与客户端的连接 已启用;暂停会话前所需的空闲时间数量 15分钟; |
| 备注 |
审核¶
| 配置项名称 | 安全选项- 审核 |
|---|---|
| 操作步骤 | 开始→控制面板→管理工具→本地安全策略→本地策略→安全选项 |
| 安全建议 | 如果无法记录安全审核则立即关闭系统 已禁用;强制审核策略子类别设置(Windows Vista或更高版本)替代审核策略类别设置 已启用; |
| 备注 |
用户帐户控制¶
| 配置项名称 | 安全选项- 用户帐户控制 |
|---|---|
| 操作步骤 | 开始→控制面板→管理工具→本地安全策略→本地策略→安全选项 |
| 安全建议 | 用户内置管理员账户的管理员批准模式 已启用;管理员批准模式中管理员的提升权限提示的行为 提示凭据;标准用户的提升提示行为 自动拒绝提升请求;检测应用程序安装并提示提升 已启用;仅提升安装在安全位置的UIAccess应用程序 已启用;以管理员批准模式运行所有管理员 已启用;提示提升时切换到安全桌面 已启用;将文件和注册表写入错误虚拟化到每用户位置 已启用; |
| 备注 |
故障恢复控制台¶
| 配置项名称 | 安全选项-故障恢复控制台 |
|---|---|
| 操作步骤 | 开始→控制面板→管理工具→本地安全策略→本地策略→安全选项 |
| 安全建议 | 允许自动管理登录 已禁用。 |
| 备注 |
关机¶
| 配置项名称 | 安全选项-关机 |
|---|---|
| 操作步骤 | 开始→控制面板→管理工具→本地安全策略→本地策略→安全选项 |
| 安全建议 | 清除虚拟内存页面文件 已禁用;允许系统在未登录的情况下关机 已禁用。 |
| 备注 |
系统对象¶
| 配置项名称 | 安全选项-系统对象 |
|---|---|
| 操作步骤 | 开始→控制面板→管理工具→本地安全策略→本地策略→安全选项 |
| 安全建议 | 非windows 子系统不要求区分大小写 已启用;加强内部系统对象的默认权限(例如,符号链接) 已启用; |
| 备注 |
系统设置¶
| 配置项名称 | 安全选项-系统设置 |
|---|---|
| 操作步骤 | 开始→控制面板→管理工具→本地安全策略→本地策略→安全选项 |
| 安全建议 | 可选子系统 无; |
| 备注 |
网络访问¶
| 配置项名称 | 安全选项- 网络访问 |
|---|---|
| 操作步骤 | 开始→控制面板→管理工具→本地安全策略→本地策略→安全选项 |
| 安全建议 | 允许匿名SID/名称 转换 已禁用;不允许SAM帐户的匿名枚举 已启用;不允许SAM帐户和共享的匿名枚举 已启用;让每个人(Everyone)权限应用于匿名用户 已禁用;限制对命名管道和共享的匿名访问 已启用; |
| 备注 |
帐户¶
| 配置项名称 | 安全选项- 安全选项 |
|---|---|
| 操作步骤 | 开始→控制面板→管理工具→本地安全策略→本地策略→安全选项 |
| 安全建议 | 来宾帐户状态 已禁用;使用空白密码的本地帐户只允许进行控制台登录 已启用; |
| 备注 |
设备设置¶
| 配置项名称 | 安全选项-设备 |
|---|---|
| 操作步骤 | 开始→控制面板→管理工具→本地安全策略→本地策略→安全选项 |
| 安全建议 | 允许格式化与弹出可移动媒体 administrators;防止用户安装打印机驱动程序 已启用将CD-ROM的访问权限仅限于本地登录的用户 已启用;将软盘驱动器的访问权限仅限于本地登录的用户 已启用; |
| 备注 |
交互式登录设置¶
| 配置项名称 | 安全选项-交互式登录 |
|---|---|
| 操作步骤 | 开始→控制面板→管理工具→本地安全策略→本地策略→安全选项 |
| 安全建议 | 不显示上次登录的用户名 已启用;不需要按Ctrl+Alt+Del 已禁用;提示用户在过期之前更改密码 30天; |
| 备注 |
用户权限分配¶
| 配置项名称 | 用户权限分配 |
|---|---|
| 操作步骤 | 开始→控制面板→管理工具→本地安全策略→本地策略→用户权限分配 |
| 安全建议 | 调整进程的内存配额 NETWORK SERVICE,LOCAL SERVICE,Administrators;备份文件和目录 Administrators;绕过遍历检查 Administrators, Authenticated Users, Backup Operators, Local Service, Network Service;创建全局对象 Administrators, SERVICE, Local Service, Network Service;拒绝从网络访问这台计算机 Guests;从远程系统强制关机 Administrators装载和卸载设备驱动程序 Administrators;管理审核和安全日志 Administrators;执行卷维护任务 Administrators;关闭系统 Administrators;允许在本地登录 Administrators;通过终端服务允许登录 Administrators;创建符号链接 Administrators;拒绝本地登录 Guests;通过终端服务拒绝登录 Guests;生成安全审核 Local Service,Network Service增加进程工作集 Administrators, Local Service;还原文件和目录 Administrators, Backup Operators;取得文件或其他对象的所有权 Administrators.;作为受信任的呼叫方访问凭据管理器 无; |
| 备注 |
注册表设置¶
审核空连接设置¶
| 配置项名称 | 审核空连接设置 |
|---|---|
| 操作步骤 | 检查注册表设置:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous REG_DWORD 0x0 缺省0x1 匿名用户无法列举本机用户列表0x2 匿名用户无法连接本机IPC$共享 |
| 安全建议 | 安全标准设置为1不建议使用2,否则可能会造成一些服务无法启动,如SQL Server。 |
| 备注 |