主机加固操作

编制人:刘兆毓专业：电网调度自动化Windows主机安全加固目录ONTENTSC1配置管理操作2网络管理操作34

接入管理操作日志与审计配置管理操作01●密码策略●登录失败处理策略●用户权限●删除默认路由●关闭默认共享●删除操作系统中与业务无关的软件021.

密码策略加固方法：运行“gpedit.msc”计算机配置->windows设置->安全设置>帐户策略->密码策略，修改以下对应参数。密码必须符合复杂性要求->启用密码长度最小值->8密码最长使用期限->90天密码最短使用期限->1天强制密码历史->5次022.登录失败处理策略加固方法："运行“gpedit.msc”计算机配置->windows设置->安全设置>帐户策略->账户锁定策略:帐户锁定时间->5分钟帐户锁定阀值->5次无效登录复位帐户锁定计数器->3分钟3.用户权限加固方法：运行“compmgmt.msc”在计算机管理->本地用户和组->用户中检查相关项目，右键-属性-勾选"禁用"；注：禁用guest用户和Administrator用户，一些非必须用户需禁用。4.删除默认路由加固方法：1、按下Win+R，输入框输入cmd；2、在命令提示符中输入“routeprint”查看是否有缺省路由；3、以管理员身份打开命令提示符，输入routedelete0.0.0.0，删除默认路由。5.关闭默认共享加固方法：1、进入“开始->控制面板->管理工具->计算机管理（本地）->共享文件夹->共享”；2、查看右侧窗口，选择对应的共享文件夹（例如C$,D$,ADMIN$,IPC$等），右击停止共享。检查方法：确认系统中必须安装的软件列表。026.删除操作系统中与业务无关的软件加固方法：Win7和Win2008：进入“开始->控制列表->程序与功能”，查找与系统业务无关的软件，选择需要卸载的软件，右键选择“卸载/更改”按钮，卸载完成。Win2000、WinXP和Win2003：进入“开始->控制面板->添加或删除程序”，查找与系统业务无关的软件，选择需要卸载的软件，右击选择“删除”按钮，卸载完成。02网络管理操作●对操作系统中非必须服务进行关闭●对操作系统中非必须端口进行关闭●启用SYN攻击保护检查方法：右键我的电脑-管理-服务和应用程序-服务，查看服务开启情况021.对操作系统中非必须服务进行关闭加固方法：右键我的电脑-管理-服务和应用程序-服务-关闭service服务。注：建议关闭服务Server、ComputerBrowser、DHCPClient、Telnet、RemoteRegistryService、PrintSpooler等服务检查方法：运行cmd，在命令提示符中输入netstat-an命令，查看系统当前网络连接状态；1、核实本机系统应监听的端口列表2、查看系统当前实际监听的端口列表022.

对操作系统中非必须端口进行关闭2.

对操作系统中非必须端口进行关闭加固方法：火墙实现白名单制度，配置访问控制规则:以下端口必须关闭：TCP21,TCP23,TCP/UDP135,TCP/UDP137,TCP/UDP138,TCP/UDP139,TCP/UDP445,TCP3389。高级安全 Windows防火墙-分别选择“入站规则”和“出站规则”-右键新建规则-规则类型：端口2.

对操作系统中非必须端口进行关闭协议和端口：选择TCP或UDP,输入特定本地端口号：232.

对操作系统中非必须端口进行关闭操作：阻止连接-配置文件：公用生成一条新规则检查方法：1、按下Win+R，输入框中输入regedit命令;2、查看注册表项，进入HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters3.

启用SYN攻击保护023.

启用SYN攻击保护加固方法：1、新建字符串值，重命名为SynAttackProtect，双击修改数值数据为2；2、新建字符串值，重命名为TcpMaxportsExhausted，双击修改数值数据为5；3、新建字符串值，重命名为TcpMaxHalfOpen，双击修改数值数据为500；4、新建字符串值，重命名为TcpMaxHalfOpenRetried，双击修改数值数据为400。03接入管理操作●外设接口关闭●登录超时时间●远程终端地址限制●限制匿名用户连接权限1.对多余的USB接口、光驱驱动器以及其他驱动器粘贴"禁止使用"标签1.外设接口关闭2.远程终端地址限制：加固方法右键我的电脑-属性-远程设置勾选关闭远程桌面采用本地登录管理。2.远程终端地址限制加固方法：1、按下Win+R，输入框输入gpedit.msc，进入“本地组策略编辑器”2、分别进入“计算机配置->管理模板->网络->网络连接->Windows防火墙->域配置文件”和“标准配置文件”，执行3、4步操作；3、双击“允许入站远程桌面例外”，选择“已启用”；4、填入允许远程登录到本机的主机IP地址，并以逗号分隔，点击确定。加固方法：1、按下Win+R，在输入框输入gpedit.msc，进入“本地组策略编辑器”2、进入“计算机配置->Window设置->安全设置->本地策略->安全选项；3、双击“网络访问：不允许SAM账号和共享的匿名枚举”，选择“已启用”，点击确定；4、双击“网络访问：不允许SAM账号的匿名枚举”，选择“已启用”，点击确定。3.限制匿名用户连接权限4.登录超时时间加固方法：右键点击桌面-屏保-勾选“在恢复时是否显示登录屏幕，等待时间不超过10分钟”。04日志与审计4.日志与审计加固方法：运行“gpedit.msc”在计算机配置->windows设置->安全设置->本地策略->审核策略修改以下对应数值:审核帐号登录事件（成功与失败）审核帐号管理（