Windows安全加固手册

1      身份鉴别

1.1         密码安全策略

要求：操作系统和数据库系统管理用户身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换。

目的：设置有效的密码策略，防止攻击者破解出密码。

操作步骤：

【位置】开始—管理工具—本地安全策略—帐户策略—密码策略，加固设置为下图所示：

1.2         帐号锁定策略

要求：应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施。

目的：遭遇密码破解时，暂时锁定帐号，降低密码被猜解的可能性。

操作步骤：

【位置】开始—管理工具—本地安全策略—帐户策略—帐号锁定策略，加固后如下图所示：

1.3         安全的远程管理方式

要求：当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听。

目的：防止远程管理过程中，密码等敏感信息被窃听

操作步骤：

【位置】开始—管理工具—远程桌面服务—远程桌面会话主机配置，右键“RDP-Tcp”,选择“属性”—“常规”，加固后如下图所示：

2      访问控制

2.1         关闭默认共享

要求：应启用访问控制功能，依据安全策略控制用户对资源的访问。

目的：如果没有关闭系统默认共享，攻击者通过 IPC$方式暴力破解帐户的密码，而后利用系统默认共享如：C$、D$等，对系统的硬盘进行访问

操作步骤：

【位置】开始—管理工具—共享和存储管理，记录当前配置，默认如下图所示：

右键依次点击C$、D$、ADMIN$，停止共享，加固后如下图所示：

net share C$ /del

net share D$ /del

net share ADMIN$ /del

操作步骤：

【位置】运行—regedit进入注册表，在HKEY_LOCAL_MACHINE—SYSTEM—CurrentControlSet—Services—LanmanServer—Parameters下，新增AutoShareServer、AutoShareWks两个键，类型为DWORD（32位），值为0，如下图所示：

2.2         用户权限分配

要求：应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限。

目的：如果系统没有对帐号进行严格的权限分配，则黑客可以利用低权限的帐号登陆终端，甚至关闭系统。

操作步骤：

【位置】开始—管理工具—本地安全策略—本地策略—用户权限分配，“关闭系统”，记录当前配置，默认如下图所示：

只保留Administrators组、其它全部删除

“允许通过远程桌面服务登录”，记录当前配置，默认如下图所示：

只保留Administrators组、其它全部删除

2.3         禁止未登录前关机

目的:禁止系统在未登录前关机，防止非法用户随意关闭系统。

操作步骤:

【位置】开始—管理工具—本地安全策略—本地策略—安全选项—“关机：允许系统在未登录的情况下关闭”，默认如下图所示：

2.4        重命名默认帐号

要求：应严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令。

目的：修改默认帐号，防止攻击者破解密码。

操作步骤：

【位置】开始—管理工具—计算机管理—系统工具—本地用户和组—用户，可修改成下图所示：

2.5         多余帐号

要求:应及时删除多余的、过期的帐户，避免共享帐户的存在。

目的:删除或禁用临时、过期及可疑的帐号，防止被非法利用。

操作步骤:

【位置】开始—管理工具—计算机管理—系统工具—本地用户和组—用户，询问管理员每个帐号的用途，确认多余的帐号，然后右键点击“删除”或“禁用”。可使用net user 用户名  命令查看该用户的详细信息，如下所示：

3      安全审计

要求:

审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；

审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；

审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等；应能够根据记录数据进行分析，并生成审计报表；

应保护审计进程，避免受到未预期的中断；

应保护审计记录，避免受到未预期的删除、修改或覆盖等。

3.1         审核策略设置

目的:开启审核策略，若日后系统出现故障、安全事故则可以查看系统日志文件，排除故障、追查入侵者的信息等。

操作步骤:

【位置】运行—管理工具—本地安全策略—本地策略—审核策略，策略建议设置为：

3.2         安全日志属性设置

目的:防止重要日志信息被覆盖

操作步骤:

【位置】开始—管理工具—事件查看器—Windows日志，“应用程序”、“系统”、“安全” 依次如下操作：

4      剩余信息保护

4.1         不记住用户名和密码

目的:应保证操作系统和数据库管理系统用户的鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中。

操作步骤:

【位置】开始—管理工具—本地安全策略—本地策略—安全选项

“交互式登录：不显示最后的用户名”，默认如下图所示：

选择“已启用”

4.2         清理内存信息

要求:应确保系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全清除。

目的：及时清理存放在系统中的用户鉴别信息，防止信息外泄，被黑客利用

操作步骤:

【位置】开始—管理工具—本地安全策略—本地策略—安全选项—关机：清除虚拟内存页面文件，设定如下所示：

4.3         关闭调试信息

目的：系统启动失败时，为了分析启动失败的原因，内存信息会自动转储到硬盘中。其中数据对普通用户无用,及时清理存这些信息或禁止出错转储，防止外泄被黑客利用。

操作步骤:

【位置】开始—计算机—右键“属性”—高级系统设置—高级—启动和故障恢复—设置，设定如下所示：

5      入侵防范

5.1         卸载冗余组件

要求:操作系统遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。

目的：卸载WScript.Shell, Shell.application这两个组件，防止黑客通过脚本来提权。

操作步骤:

【位置】运行—cmd，执行如下信息：

5.2       关闭不必要服务

目的:关闭与系统业务无关或不必要的服务，减小系统被黑客被攻击、渗透的风险。

操作步骤:

【位置】开始—管理工具—服务，可禁用如下服务：

IP Helper             （Ipv6技术   启动类型：禁用   服务状态：停止）

Remote Registry  （Ipv6技术   启动类型：禁用   服务状态：停止）

Themes                （主题管理   启动类型：禁用   服务状态：停止）

6      恶意代码防范

6.1         杀毒软件

要求:应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库。

目的:安装杀毒软件，对恶意代码等进行防范及查杀。

推荐杀毒软件：

卡巴斯基：http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe

大蜘蛛：http://free.drweb.ru/download+cureit+free

火绒安全软件：https://www.huorong.cn

360杀毒：http://sd.360.cn/download_center.html

7      系统资源控制

7.1         屏幕保护

要求:应根据安全策略设置登录终端的操作超时锁定。

目的：设置屏保密码，提高服务器的安全性

操作步骤:

【位置】开始—控制面板—显示—更改屏幕保护程序，如下所示：

7.2         设置会话超时锁定策略

要求:设置会话超时锁定功能，提高服务器的安全性。

操作步骤：

【位置】运行—gpedit.msc—计算机配置—管理模版—Windows组件—远程桌面服务—远程桌面会话主机—会话时间限制—设置活动但空闲的远程桌面服务会话的时间限制，设定如下信息：