Windows通用加固规范.doc

.目录项目编号：DPtech-AQJG-201411.概述41.1文档信息41.2适用范围42.标准及规范42.1引用标准42.2操作规范53.Windows通用加固规范53.1补丁管理53.1.1.补丁安装53.2用户帐号与口令安全63.2.1.密码策略63.2.2.账户锁定策略73.2.3.用户权限设置83.2.4.禁用Guest（来宾）帐户93.2.5.修改管理员帐号名称93.2.6.停用不使用的帐号103.3日志与审核113.3.1.审核策略113.3.2.设置系统日志123.4服务优化133.4.1.关闭不必要的服务133.4.2.加固SNMP服务153.5安全防护173.5.1.使用NTFS文件系统173.5.2.屏幕保护193.5.3.文件共享203.5.4.防病毒管理203.5.5.启用系统自带防火墙213.5.6.删除默认共享223.5.7.限制匿名用户连接223.5.8.检测网络服务挂起时间233.5.9.关闭驱动器自动运行243.5.10.检查数据执行保护243.5.11.检测 DDOS 攻击保护设置253.5.12.检查日期服务器263.5.13.检查登录超时设置263.5.14.检测加密或数字签名安全通道的数据的设置273.5.15.检测会话限制283.5.16.关闭不要的自启动项28部分内容来源于网络，有侵权请联系删除！1. 概述1.1 文档信息Date日期Revision Version修订版本Change Description修改描述Author作者20文档初始化1.2 适用范围本Windows通用加固规范适用于各版本的Windows。2. 标准及规范2.1 引用标准本Windows通用加固规范结合国家等级保护相关要求及国际ISO相关标准制定而成，具体参照如下：ISO27001标准/ISO27002指南GB 17859-1999 计算机信息系统安全保护等级划分准则GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求GB/T 20272-2006 信息安全技术 操作系统安全技术要求GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求2.2 操作规范本Windows通用加固规范有以下几点需要注意1、 本规范只使用于一般通用的Windows加固，特殊环境特殊处理2、 本规范要求加固人员理解Windows相关加固知识3. Windows通用加固规范3.1 补丁管理3.1.1. 补丁安装配置说明安装必要的安全补丁，禁止已知漏洞所造成的威胁。要求内容安装必要的安全补丁操作指南1参考配置操作补丁升级：1、 手动安装：使用IE访问，按提示安装必要的activeX控件后，按提示安装补丁2、 开始 控制面板 自动更新，在自动更新面板中选中自动（建议）(U)，然后根据个人需求设置升级时间3、 将IE版本升为6.0 以上.2补充操作说明可使用微软基准安全分析器（MSBA）对补丁安装情况进行扫描，下载地址：/china/technet/security/tools/mbsahome.mspx检测方法1.检测操作检查补丁（以下两种方式中任意一种）：1 开始 控制面板 添加/删除程序，选中“显示更新”2 打开注册表编辑器regedit.exe，打开如下项：HKLMSOFTWAREMicrosoftUpdates，检查对应产品的补丁安装情况2.判定条件补丁最新日期与当前日期相差不超过3个月检测结果3.2 用户帐号与口令安全.1. 密码策略配置说明限制密码的最小长度并且密码必须符合复杂性要求，这样可以有效的防止远程或本地的恶意用户对计算机帐户进行口令破解。要求内容设置密码策略，防止用户因口令过短易猜解，启用本机组策略中密码必须符合复杂性要求的策略。操作指南1参考配置操作检查账户锁定策略是否设置：开始 运行 gpedit.msc计算机配置 Windows设置 安全设置 帐户策略 帐户锁定策略-密码策略”：“密码必须符合复杂性要求”选择“已启动”“密码长度最小值”设置为8个字符“密码最长存留期”2级、2+级系统设置为“90天”；3级系统设置为“60天”“强制密码历史”设置为“记住5个密码” “密码最短保留期” 设置为“1天”禁用可还原密码检测方法1. 检查操作开始 运行 gpedit.msc2. 计算机配置 Windows设置 安全设置 帐户策略 帐户锁定策略-密码策略”：3. 判定条件进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：查看是否“密码必须符合复杂性要求”选择“已启动” (0分)“密码长度最小值”是否为8个字符 （2分）“密码最长存留期”是否为“90天” （0分）“强制密码历史”是否为“记住5个密码” （1分）“密码最短保留期” 是否为“1天” （1分） 是否已经禁用可还原密码 （1分）检测结果3.2.2. 账户锁定策略配置说明对于恶意尝试口令破解的用户，设置锁定策略可以有效阻止其破解的速度。要求内容设置用户锁定策略，防止恶意用户使用暴力破解工具进行口令枚举。操作指南1参考配置操作检查账户锁定策略是否设置：开始 运行 gpedit.msc计算机配置 Windows设置 安全设置 帐户策略 帐户锁定策略做如下设置：n 复位帐户锁定计数器：3分钟n 帐户锁定时间：5分钟n 帐户锁定阀值：5次无效登录设置完成后使用secedit /refreshpolicymachine_policy命令刷新策略以快速生效（建议重新启动系统）2补充操作说明设置不当可能导致帐号大面积锁定，在域环境中应小心设置。Administrator帐号本身不会被锁定。检测方法1. 检查操作运行 gpedit.msc计算机配置 Windows设置 安全设置 帐户策略 帐户锁定策略2. 判定条件创建临时测试帐号，注销，使用临时测试帐号登录，观察登录过程中使用错误密码超过5次是否会出现锁定检测结果3.2.3. 用户权限设置配置说明禁止除管理员外的一般用户远程登录计算机或关闭计算机，同时禁止无用帐号的登录，可以防止恶意用户通过破解一般低权限的用户口令后使用该用户登录进行提权攻击。要求内容设置用户权限，防止用户越权进行恶意操作。操作指南1参考配置操作检查用户权限策略是否设置：开始 运行 gpedit.msc计算机配置 Windows设置 安全设置 本地策略 用户权利指派此处有较多选项，建议对以下四项进行检查：n 从网络访问此计算机（可选）n 从远程系统强制关机n 关闭系统n 拒绝本地登录建议做如下设置：n 从远程系统强制关机：administratorsn 关闭系统：administratorsn 设置取得文件或其它对象的所有权为只指派给Administrators组n 拒绝本地登录： IUSR_MACHINENAME、IWAN_MACHINENAME等不需要使用的用户设置完成后使用secedit /refreshpolicymachine_policy命令刷新策略以快速生效（建议重新启动系统）2补充操作说明如果服务器作为文件共享服务器使用，则不应设置从网络访问此计算机项检测方法1. 检查操作运行 gpedit.msc计算机配置 Windows设置 安全设置 本地策略 用户权利指派2. 判定条件分别使用非administrators组成员进行网络共享访问或关闭系统，如果无法正常执行，则策略生效检测结果3.2.4. 禁用Guest（来宾）帐户配置说明将guest帐号禁用降低被攻击的风险要求内容默认情况下，在运行 Windows 2000 Server 的系统上禁用来宾帐户。如果启用来宾帐户，则请将它禁用。操作指南1、参考配置操作进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：Guest帐号-属性 已停用检测方法1、 检查操作进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：2、 判定条件Guest帐号-属性 已停用检测结果3.2.5. 修改管理员帐号名称配置说明为了防止黑客暴力破解管理员口令，要求修改administrator管理员名称要求内容对于管理员帐号，要求更改缺省帐户名称操作指南1、参考配置操作进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：Administrator属性 更改名称检测方法3、 检查操作进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：4、 判定条件Administrator属性 已经修改检测结果3.2.6. 停用不使用的帐号配置说明每一个帐号都可能被恶意用户利用，所以，减少帐号的数量也就减小了威胁。要求内容检查用户，停用不使用的帐号，减小来自用户帐号丢失的威胁。操作指南1参考配置操作询问系统管理员，日常正常维护和使用中需要用到的用户帐号，其他帐号应删除，对于无法立刻确认是否使用的帐号应停用删除和停用帐号可使用用户管理工具：开始 运行 compmgmt.msc 本地用户和组 用户也可通过net命令：删除帐号：net user account /del停用帐号：net user account /active:no检测方法5、 检查操作进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：6、 判定条件非业务账号已停用检测结果3.3 日志与审核.1. 审核策略配置说明设置审核策略的目的在于当登录、访问等行为发生时，通过审核日志记录具体行为人和具体行为，以便在出现问题后进行追溯。要求内容加强审核策略，以便出现安全问题后进行追查。操作指南1参考配置操作对审核策略进行检查：开始 运行 gpedit.msc计算机配置 Windows设置 安全设置 本地策略 审核策略对审核策略进行如下设置：n 审核帐户登录事件：成功，失败n 审核帐户管理：成功，失败n 审核目录服务访问：成功n 审核登录事件：成功n 审核对象访问：成功，失败n 审核策略更改：成功，失败n 审核特权使用：成功，失败n 审核过程追踪：无审核n 审核系统事件：成功2+级、3级系统需启用对于对象访问审核，在设置以上策略后，还需在被访问的文件或文件夹中做进一步设置，但这需要在NTFS磁盘上进行，操作过程如下：右键需设置对象访问审核策略的文件或文件夹右键菜单中选择属性，并选择安全选项卡安全选项卡中选择高级按钮以打开高级安全设置卡片高级安全设置卡片中选择审核卡片在审核卡片中点添加弹出选择用户或组卡片键入需要审核的用户或组并点确定会弹出审核项目卡片在审核项中选择要审核的项，建议做如下选择：n 遍历文件夹/运行文件：成功，失败n 列出文件夹/读取数据：成功，失败n 创建文件/写入数据：成功，失败n 创建文件夹/附加数据：成功，失败n 删除文件夹及文件：成功，失败n 删除：成功，失败n 设置完成后，点确定至退出2补充操作说明可能会使日志数量猛增检测方法1. 检测操作运行 gpedit.msc计算机配置 Windows设置 安全设置 本地策略 审核策略2. 判定条件尝试对被添加了访问审核的对象进行访问，然后查看安全日志中是否会有相关记录，或通过其他手段激活已配置的审核策略，并观察日志中的记录情况，如果存在记录条目，则配置成功。检测结果3.3.2. 设置系统日志配置说明设置系统日志大小是为了防止恶意用户在攻击系统时由于产生大量日志信息而导致存储空间不足。而设置不覆盖日志则是为了防止新日志覆盖较老的有用日志信息，导致无法追溯。要求内容设置日志容量和覆盖规则，保证日志存储。操作指南1参考配置操作开始 运行 eventvwr右键选择日志，属性，进行如下设置：u 应用日志上限大小：（2级、2+级）51200KB；（3级）102400 KBu 安全日志上限大小：（2级、2+级）51200KB；（3级）102400 KBu 系统日志上限大小：（2级、2+级）51200KB；（3级）102400 KBu 达到日志上限大小时：2级、2+级改写久于60天的事件；3级改写久于90天的事件2补充操作说明建议对每个日志项均进行如上操作，同时应保证磁盘空间检测方法1、检测操作开始 运行 eventvwr右键选择日志，属性，查看日志上限及超过上限时的处理方式2、 判定条件日志上限51200KB检测结果3.4 服务优化.1. 关闭不必要的服务配置说明禁用日常工作中不需要使用的服务，减小系统负荷，同时也能降低某些服务中未知的漏洞所带来的风险。要求内容关闭不必要的服务，减少安全威胁，同时降低系统负荷。操作指南1参考配置操作开始 运行 输入 services.msc 检查启动类型为自动的服务建议关闭一下服务：AlerterClipbook Computer BrowserDHCP ClientMessenger Remote Registry ServiceRouting and Remote Access Simple Mail Trasfer Protocol(SMTP) （可选）Simple Network Management Protocol(SNMP) Service （可选）Simple Network Management Protocol(SNMP) Trap （可选）Telnet World Wide Web Publishing Service （可选）Print SpoolerTerminal ServiceTask Scheduler关闭方法：双击需要关闭的服务，将启动类型设置为禁用，点击停止按钮以停止当前正在运行的服务2补充操作说明以下是对部分服务的作用说明，服务是否关闭需结合业务系统由用户进行判断：Task Scheduler，Windows计划任务Remote Registry，远程连接注册表SNMP Service，snmp服务若网管需要可开放该服务，但需修改缺省SNMP团体名和仅对指定管理IP开放Print Spooler，连接网络打印机进行打印时需要使用Telnet，telnet服务端Messenger，通过net send发送和接受弹出信息DHCP Client，DHCP客户端，关闭则无法自动获取IP检测方法1.检测操作开始 运行 输入 services.msc确认以上服务已经关闭，或正处于使用之中。3 判定条件AlerterClipbook Computer BrowserDHCP ClientMessenger Remote Registry ServiceRouting and Remote Access Simple Mail Trasfer Protocol(SMTP) （可选）Simple Network Management Protocol(SNMP) Service （可选）Simple Network Management Protocol(SNMP) Trap （可选）Telnet World Wide Web Publishing Service （可选）Print SpoolerTerminal ServiceTask Scheduler已经关闭检测结果3.4.2. 加固SNMP服务配置说明通过SNMP服务，远程恶意用户可以列举本地的帐号、帐号组、运行的进程、安装的补丁和软件等敏感信息，禁用或修改SNMP配置可以有效防止远程恶意用户的这类行为。要求内容加固SNMP服务，防止远程恶意用户通过SNMP枚举本地信息。操作指南1参考配置操作通过上面的方法，如果发现系统中安装了SNMP Service服务，且该服务无法禁用，可使用以下方法进行加固：1、修改SNMP团体名1、 开始 运行 services.msc2、 找到SNMP Service并双击打开属性面板3、 属性面板中选择安全选项卡4、 在接受团体名称处选中原有的易猜解的团体名并点编辑，在此修改不同团体名的名称和权限5、 点确定至退出面板2补充操作说明检测方法1. 检查操作开始 运行 services.msc，找到SNMP Service并双击打开属性面板2. 判定条件A、检查系统SNMP服务关闭，如果启用团体名是否修改B、判断团体名是否已改，不是默认的“public”，并设置为8位以上的字串C、是否选择了接受来自这些主机的SNMP包，设置的主机IP是否合法。检测结果3.5 安全防护.1. 使用NTFS文件系统配置说明NTFS 分区提供访问控制和保护功能，这些都是 FAT、FAT32 或 FAT32x 文件系统所无法提供的。要确保服务器上的所有分区都使用 NTFS 格式化要求内容在不毁坏数据的情况下将 FAT 分区转换为 NTFS操作指南1、参考配置操作分区至少要有两个以上分区,并且操作系统装在c: 盘将 FAT 卷转换成 NTFS。CONVERT volume /FS:NTFS /V /CvtArea:filename /NoSecurity /X volume 指定驱动器号(后面跟一个冒号)、 装载点或卷名。 /FS:NTFS 指定要被转换成 NTFS 的卷。 /V 指定 Convert 应该用详述模式运行。 /CvtArea:filename 将根目录中的一个接续文件指定为 NTFS 系统文件的占位符。 /NoSecurity 指定每个人都可以访问转换的文件 和目录的安全设置。 /X 如果必要，先强行卸载卷。 有打开的句柄则无效。例如： convert C: /FS:NTFS检测方法检测方法3. 检查操作在磁盘上右键选择属性4. 判定条件文件系统类型：NTFS检测结果3.5.2. 屏幕保护要求内容设置带密码的屏幕保护，并将时间设定为3分钟。操作指南1、参考配置操作进入“控制面板显示屏幕保护程序”：启用屏幕保护程序，设置等待时间为“3分钟”，启用“在恢复时使用密码保护”检测方法1、检测操作进入“控制面板显示屏幕保护程序”：查看是否启用屏幕保护程序，设置等待时间为“3分钟”，启用“在恢复时使用密码保护”2、判定条件启用屏幕保护程序，设置等待时间为“3分钟”，启用“在恢复时使用密码保护”。检测结果3.5.3. 文件共享要求内容原则上禁止配置文件共享，但因工作需要必须配置共享，须设置帐户与口令操作指南1、参考配置操作查看每个共享文件夹的共享权限，只允许授权的账户拥有权限共享此文件夹。进入“控制面板-管理工具-计算机管理”，进入“系统工具共享文件夹”：查看每个共享文件夹的共享权限，只将权限授权于指定账户。检测方法1、检测操作进入“控制面板-管理工具-计算机管理”，进入“系统工具共享文件夹”：查看每个共享文件夹的共享权限。2、判定条件查看每个共享文件夹的共享权限仅限于业务需要，不设置成为“everyone”。检测结果3.5.4. 防病毒管理配置说明安装必要的防病毒软件，并及时更新，减少病毒对主机的威胁。要求内容安装必要的防病毒软件，并及时更新。操作指南安装防病毒软件，并且及时更新病毒库。检测方法l 1、判定条件l 已安装防病毒软件，病毒码更新时间不早于15天，各系统病毒码升级时间要求参见各系统相关规定。l 2、检测操作控制面板-添加或删除程序，是否安装有防病毒软件。打开防病毒软件控制面板，查看病毒码更新日期。检测结果3.5.5. 启用系统自带防火墙配置说明启用系统自带防火墙，避免遭受远程入侵和病毒攻击。要求内容如系统自带防火墙应启用防火墙功能操作指南1 参考配置操作打开“控制面板”选择“WINDOWS防火墙”点选“启用”选项建议屏蔽以下端口：TCP 135TCP 139TCP 4452补充操作说明TCP 139和TCP 445作为Windows的SMB和CIFS主要通信端口，如果将这两个端口关闭，则意味着该系统无法作为文件共享服务器。Windows2000 可以设置ip协议过滤来防止恶意端口.检测方法1 检查操作方法一：查看“控制面板”-“管理工具”-“服务”-“Windows Firewall服务” 方法二：查看“控制面板”-“WINDOWS防火墙”2 判定条件状态为“启用”检测结果3.5.6. 删除默认共享配置说明通过删除默认共享，可以禁止远程通过共享方式访问本机。要求内容删除IPC$、ADMIN$、C$、D$等默认共享，减少来自网络共享的威胁。操作指南1参考配置操作注册表位置：HKEY_LOCAL_MACHINE SYSTEMCurrentControlSetServiceslanmanserverparameters将Autoshareserver设置为0，若不存在，可创建，类型为REG_DWORD修改完成后重新启动系统生效2补充操作说明检测方法1.检测操作通过远程主机访问本机默认共享：ip_addressC$，提示连接失败则策略生效2.判定条件报错或者列出内容为空检测结果3.5.7. 限制匿名用户连接配置说明通过禁用SAM枚举可以有效防止远程用户使用扫描器获取本地信息。提升LAN Manager的版本是为了加强在共享会话过程中认证强度，防止口令破解。要求内容限制匿名用户连接权限，防止用户远程枚举本地帐号。操作指南1参考配置操作检查其他安全项的设置：开始 运行 gpedit.msc计算机配置 Windows设置 安全设置 本地策略 安全选项建议检查以下两项：n 对匿名连接的额外限制建议设置为：n 不允许枚举SAM帐号和共享设置完成后使用secedit /refreshpolicymachine_policy命令刷新策略以快速生效（建议重新启动系统）2补充操作说明加强SMB会话散列中的加密强度，增加会话劫持后的破解难度；防止恶意用户使用空连接（Null Session）对本地账户信息进行枚举。域环境中不建议进行该设置检测方法1.检测操作运行 gpedit.msc计算机配置 Windows设置 安全设置 本地策略 安全选项1、 判定条件a) 对匿名连接的额外限制：启用b) 不允许枚举SAM帐号和共享：启用检测结果3.5.8. 检测网络服务挂起时间配置说明防止管理员疏忽导致,忘记挂起会话,导致信息泄漏要求内容设置最小挂起时间。操作指南1参考配置操作进入控制面板-管理工具-本地安全策略，在本地策略-安全选项：设置Microsoft网络服务器设置为在挂起会话之前所需的空闲时间为规定时间:5分钟（300秒） 2补充操作说明基线-资源控制检测方法1.检查操作进入控制面板-管理工具-本地安全策略，在本地策略-安全选项2.判定条件不规定时间:5分钟（300秒），例外：Windows下的应用不是后台服务时不能启用检测结果3.5.9. 关闭驱动器自动运行配置说明Windows自动播放功能存在安全隐患，需要关闭自动播放功能。要求内容关闭所有驱动器Windows自动播放功能操作指南1、参考配置操作点击开始运行输入gpedit.msc，打开组策略编辑器，浏览到计算机配置管理模板系统，在右边窗格中双击“关闭自动播放”，对话框中选择所有驱动器，确定即可。检测方法1、检查操作输入gpedit.msc，打开组策略编辑器，浏览到计算机配置管理模板系统，在右边窗格中双击“关闭自动播放”2、检测操作“关闭自动播放”配置已启用，启用范围：所有驱动器。检测结果3.5.10. 检查数据执行保护要求内容对于Windows XP SP2及Windows 2003对Windows操作系统程序和服务启用系统自带DEP功能(数据执行保护)，防止在受保护内存位置运行有害代码。操作指南1、参考配置操作进入“控制面板系统”，在“高级”选项卡的“性能”下的“设置”。进入 “数据执行保护”选项卡。设置为“ 仅为基本 Windows 操作系统程序和服务启用DEP”。检测方法1、检测操作进入“控制面板系统”，在“高级”选项卡的“性能”下的“设置”。进入 “数据执行保护”选项卡。查看是否设置为“ 仅为基本 Windows 操作系统程序和服务启用DEP”。2、判定条件“数据执行保护”选项卡已设置为“ 仅为基本 Windows 操作系统程序和服务启用DEP”。检测结果3.5.11. 检测 DDOS 攻击保护设置配置说明防止服务器被ddos攻击要求内容设置syn相关参数。操作指南1参考配置操作A. 在开始-运行-键入regedit,在注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 下，值名称为SynAttackProtect,推荐值为2B. 在开始-运行-键入regedit,在注册表项HKEY_LOCAL_MACHINESYSTEM CurrentControlSetServicesTcpipParameters 下，值名称为TcpMaxPortsExhausted=5C. 在开始-运行-键入regedit,在注册表项HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 下，值名称为TcpMaxHalfOpen=500D. 在开始-运行-键入regedit,在注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 下，值名称为TcpMaxHalfOpenRetried=400E. 在开始-运行-键入regedit,在注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 下，值名称为EnableICMPRedirect=标准值2补充操作说明检测方法1. 检查操作regedit,在注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 下2.检测操作检查对应注册表键值设置.检测结果3.5.12. 检查日期服务器