Windows操作系统脆弱性识别用例.docx

1.1 Windows操作系统脆弱性识别1.1.1 账号管理 账号分配检查目的检查是否按照用户分配账号检测依据检测对象检测方法人工核查、访谈检查流程（流程图）1、进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”；2、查看是否根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户，审计用户，来宾用户。检查结果漏洞等级加固建议1、进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”；2、根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户，审计用户，来宾用户。 账号删除或锁定检查目的检查是否删除或锁定与设备运行、维护等与工作无关的账号检测依据检测对象检测方法人工核查、访谈检查流程（流程图）1、进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”；2、查看是否删除或锁定与设备运行、维护等与工作无关的账号。检查结果漏洞等级加固建议1、进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”；2、锁定与设备运行、维护等与工作无关的账号。 来宾账号检查目的检查是否更改缺省管理员帐户名称，禁用guest（来宾）账号检测依据检测对象检测方法人工核查检查流程（流程图）1、进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”；2、显示缺省帐户属性 更改名称；3、Guest账号-属性 已停用。检查结果漏洞等级加固建议1、进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”；2、锁定与设备运行、维护等与工作无关的账号。 口令策略检查目的检查是否制订口令安全配置策略检测依据检测对象检测方法人工核查检查流程（流程图）1、进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”；2、显示“密码必须符合复杂性要求”选择“已启动”。检查结果漏洞等级加固建议1、进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：2、“密码必须符合复杂性要求”选择“已启动”。 静态口令生存期检查目的检查账户口令的生存期是否不长于90天检测依据检测对象检测方法人工核查检查流程（流程图）1、进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”；2、显示“密码最长存留期”设置为“90天”。检查结果漏洞等级加固建议1、进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”；2、显示“密码最长存留期”设置为“90天”。 态口令重复使用检查目的检查是否配置设备用户静态口令重复使用次数检测依据检测对象检测方法人工核查检查流程（流程图）1、进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”；2、显示“强制密码历史”设置为“记住5个密码”。检查结果漏洞等级加固建议1、进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”；2、“强制密码历史”设置为“记住5个密码”。 静态口令认证失败次数检查目的检查是否配置静态口令认证失败次数检测依据检测对象检测方法人工核查检查流程（流程图）1、进入“控制面板-管理工具-本地安全策略”，在“帐户策略-帐户锁定策略”；2、显示“账户锁定阀值”设置为小于等于6次。检查结果漏洞等级加固建议1、进入“控制面板-管理工具-本地安全策略”，在“帐户策略-帐户锁定策略”；2、“账户锁定阀值”设置为 6次。1.1.2 权限指派 远端系统强制关机检查目的检查从远端系统强制关机是否仅指派给Administrators组检测依据检测对象检测方法人工核查检查流程（流程图）1、进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”；显示“从远端系统强制关机”设置为“只指派给Administrators组”。检查结果漏洞等级加固建议1、进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”；2、“从远端系统强制关机”设置为“只指派给Administrators组”。 本地安全设置中关闭系统检查目的检查在本地安全设置中关闭系统是否仅指派给Administrators组检测依据检测对象检测方法人工核查检查流程（流程图）1、进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”；2、显示“关闭系统”设置为“只指派给Administrators组”。检查结果漏洞等级加固建议1、进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”；2、“关闭系统”设置为“只指派给Administrators组”。 取得文件或其它对象的所有权检查目的检查取得文件或其它对象的所有权是否仅指派给Administrators检测依据检测对象检测方法人工核查检查流程（流程图）1、进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派；2、显示“取得文件或其它对象的所有权”设置为“只指派给Administrators组”。检查结果漏洞等级加固建议1、进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”；2、“取得文件或其它对象的所有权”设置为“只指派给Administrators组”。 日志审核用户设置检查目的检查是否仅允许授权用户审核日志检测依据检测对象检测方法人工核查检查流程（流程图）检查结果漏洞等级加固建议 本地登录检查目的检查是否仅允许指定授权用户本地登录此计算机检测依据检测对象检测方法人工核查检查流程（流程图）1、进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”；2、显示“从本地登陆此计算机”设置为“指定授权用户”。检查结果漏洞等级加固建议1、进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”；2、“从本地登陆此计算机”设置为“指定授权用户”。 组策略（网络访问）检查目的检查在组策略中是否只允许授权账号从网络访问此计算机检测依据检测对象检测方法人工核查检查流程（流程图）1、进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”；2、显示“从网络访问此计算机”设置为“指定授权用户”。检查结果漏洞等级加固建议1、进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”；2、“从网络访问此计算机”设置为“指定授权用户”。1.1.3 日志配置操作 配置日志功能（记录用户登录信息）检查目的检查日志功能是否记录用户登录信息检测依据检测对象检测方法人工核查检查流程（流程图）1、进入“开始-运行”，执行“控制面板-管理工具-本地安全策略-审核策略”；2、审核登录事件，双击；3、显示设置为成功和失败都审核。 检查结果漏洞等级加固建议1、“开始-运行”，执行“控制面板-管理工具-本地安全策略-审核策略”；2、审核登录事件，双击，设置为成功和失败都审核。 审核策略更改检查目的检查是否设置Windows系统的审核策略更改为成功和失败都审核检测依据检测对象检测方法人工核查检查流程（流程图）1、进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中；2、显示 “审核策略更改”设置为“成功” 和“失败”都要审核。检查结果漏洞等级加固建议1、进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中2、“审核策略更改”设置为“成功” 和“失败”都要审核。 审核对象访问检查目的检查是否设置Windows系统的审核对象访问为成功和失败都要审核检测依据检测对象检测方法人工核查检查流程（流程图）1、进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中；2、显示“审核对象访问”设置为“成功”和“失败”都要审核。检查结果漏洞等级加固建议1、进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中；2、“审核对象访问”设置为“成功”和“失败”都要审核。 审核目录服务访问检查目的检查是否设置Windows系统的审核目录服务访问为成功和失败都审核检测依据检测对象检测方法人工核查检查流程（流程图）1、进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中；2、显示“审核目录服务访问”设置为“成功” 和“失败”都要审核。检查结果漏洞等级加固建议1、进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中；2、“审核目录服务访问”设置为“成功” 和“失败”都要审核。 审核特权使用检查目的检查是否设置Windows系统的审核特权使用为成功和失败都要审核检测依据检测对象检测方法人工核查检查流程（流程图）1、进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中；2、显示“审核目录服务器访问”设置为“成功” 和“失败”都要审核。检查结果漏洞等级加固建议1、进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中；2、“审核特权使用”设置为“成功” 和“失败”都要审核。 审核系统事件检查目的检查是否设置Windows系统的审核系统事件为成功和失败都要审核检测依据检测对象检测方法人工核查检查流程（流程图）1、进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中；2、显示“审核系统事件”设置为“成功”和“失败”都要审核。检查结果漏洞等级加固建议1、进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中；2、“审核系统事件”设置为“成功”和“失败”都要审核。 审核账户管理检查目的检查是否设置Windows系统的审核帐户管理为成功和失败都要审核检测依据检测对象检测方法人工核查检查流程（流程图）1、进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中；2、显示“审核账户管理”设置为“成功”和“失败”都要审核。检查结果漏洞等级加固建议1、进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中；2、“审核账户管理”设置为“成功”和“失败”都要审核。 审核过程追踪检查目的检查是否设置Windows系统的审核过程追踪为失败需要审核检测依据检测对象检测方法人工核查检查流程（流程图）1、进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中；2、显示“审核过程追踪”设置为“失败”需要审核。检查结果漏洞等级加固建议1、进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中；2、“审核过程追踪”设置为“失败”需要审核。 应用日志文件检查目的检查是否设置应用日志文件大小至少为8192KB并当达到最大尺寸时按需要改写事件检测依据检测对象检测方法人工核查检查流程（流程图）1、进入“控制面板-管理工具-事件查看器”，在“事件查看器（本地）”中；2、显示 “应用日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”。检查结果漏洞等级加固建议1、进入“控制面板-管理工具-事件查看器”，在“事件查看器（本地）”中；2、“应用日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”。0 系统日志文件检查目的检查是否设置系统日志文件大小至少为8192KB，并当达到最大尺寸时按需要改写事件检测依据检测对象检测方法人工核查检查流程（流程图）1、进入“控制面板-管理工具-事件查看器”，在“事件查看器（本地）”中；2、显示“系统日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”。检查结果漏洞等级加固建议1、进入“控制面板-管理工具-事件查看器”，在“事件查看器（本地）”中；2、“系统日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”。1 安全日志文件检查目的检查是否设置安全日志文件大小至少为8192KB，并当达到最大尺寸时按需要改写事件检测依据检测对象检测方法人工核查检查流程（流程图）1、进入“控制面板-管理工具-事件查看器”，在“事件查看器（本地）”中；2、显示“安全日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”。检查结果漏洞等级加固建议1、进入“控制面板-管理工具-事件查看器”，在“事件查看器（本地）”中；2、“安全日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”。1.1.4 IP协议安全配置操作 端口限制检查目的检查是否启用Windows系统的IP安全机制(IPSec)或网络连接上的TCP/IP筛选检测依据检测对象检测方法人工核查检查流程（流程图）1、进入“控制面板网络连接本地连接”，进入“Internet协议（TCP/IP）属性高级TCP/IP设置”，在“选项”的属性中启用网络连接上的TCP/IP筛选；2、显示只开放业务所需要的TCP，UDP端口和IP协议。检查结果漏洞等级加固建议1、进入“控制面板网络连接本地连接”，进入“Internet协议（TCP/IP）属性高级TCP/IP设置”；2、在“选项”的属性中启用网络连接上的TCP/IP筛选，只开放业务所需要的TCP，UDP端口和IP协议。 自带防火墙检查目的检查是否启用Windows XP、Windows 2000和Windows 2003 自带防火墙检测依据检测对象检测方法人工核查检查流程（流程图）1、进入“控制面板网络连接本地连接”，在高级选项的设置中；2、显示启用Windows防火墙；3、显示在“例外”中配置允许业务所需的程序接入网络；4、显示在“例外-编辑-更改范围”编辑允许接入的网络地址范围。 检查结果漏洞等级加固建议1、进入“控制面板网络连接本地连接”，在高级选项的设置中启用Windows防火墙；2、在“例外”中配置允许业务所需的程序接入网络；3、在“例外-编辑-更改范围”编辑允许接入的网络地址范围。 SYN攻击保护检查目的检查是否启用SYN攻击保护检测依据检测对象检测方法人工核查检查流程（流程图）1、在“开始-运行-键入regedit” ；2、找到注册表项HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices；显示SynAttackProtect：2；3、找到注册表项HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices；显示指定必须在触发 SYN flood 保护之前超过的 TCP 连接请求阈值。值名称：TcpMaxPortsExhausted。推荐值：5。4、启用 SynAttackProtect 后，该值指定 SYN_RCVD 状态中的 TCP 连接阈值，超过 SynAttackProtect 时，触发 SYN flood 保护。值名称：TcpMaxHalfOpen。推荐值：500。5、启用 SynAttackProtect 后，指定至少发送了一次重传的SYN_RCVD 状态中的 TCP 连接阈值。超过 SynAttackProtect 时，触发 SYN flood 保护。值名称：TcpMaxHalfOpenRetried。推荐值：400。检查结果漏洞等级加固建议1、在“开始-运行-键入regedit”2、启用 SYN 攻击保护的命名值位于注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。值名称：SynAttackProtect。推荐值：2。3、以下部分中的所有项和值均位于注册表项：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。4、指定必须在触发 SYN flood 保护之前超过的 TCP 连接请求阈值。值名称：TcpMaxPortsExhausted。推荐值：5。5、启用 SynAttackProtect 后，该值指定 SYN_RCVD 状态中的 TCP 连接阈值，超过 SynAttackProtect 时，触发 SYN flood 保护。值名称：TcpMaxHalfOpen。推荐值：500。6、启用 SynAttackProtect 后，指定至少发送了一次重传的SYN_RCVD 状态中的 TCP 连接阈值。超过 SynAttackProtect 时，触发 SYN flood 保护。值名称：TcpMaxHalfOpenRetried。推荐值：4001.1.5 共享文件夹及访问权限 默认共享检查目的检查是否关闭Windows硬盘默认共享检测依据检测对象检测方法人工核查检查流程（流程图）1、进入“开始运行Regedit”，进入注册表编辑器，找到HKLMSystemCurrentControlSet ServicesLanmanServerParameters；2、显示REG_DWORD类型的AutoShareServer键值为 0。检查结果漏洞等级加固建议1、进入“开始运行Regedit”，进入注册表编辑器，更改注册表键值：在HKLMSystemCurrentControlSet ServicesLanmanServerParameters下，增加REG_DWORD类型的AutoShareServer 键，值为 0。 账户共享检查目的检查是否共享文件夹只允许授权的账户共享检测依据检测对象检测方法人工核查检查流程（流程图）1、进入“控制面板-管理工具-计算机管理”，进入“系统工具共享文件夹”；2、显示每个共享文件夹的共享权限。检查结果漏洞等级加固建议1、进入“控制面板-管理工具-计算机管理”，进入“系统工具共享文件夹”；2、查看每个共享文件夹的共享权限，只将权限授权于指定账户。1.1.6 Windows服务 关闭不在服务列表的服务检查目的检查是否关闭不在服务列表的服务检测依据检测对象检测方法人工核查、访谈检查流程（流程图）1、进入“控制面板-管理工具-计算机管理”，进入“服务和应用程序”；2、显示所有服务，检查不在服务列表中的服务是否已关闭。检查结果漏洞等级加固建议1、进入“控制面板-管理工具-计算机管理”，进入“服务和应用程序”；2、查看所有服务，不在服务列表中的服务需关闭。 SNMP服务检查目的检查SNMP服务是否修改默认的SNMP Community String设置检测依据检测对象检测方法人工核查检查流程（流程图）1、打开“控制面板”，打开“管理工具”中的“服务”，找到“SNMP Service”，单击右键打开“属性”面板中的“安全”选项卡；2、显示community strings已修改。检查结果漏洞等级加固建议1、打开“控制面板”，打开“管理工具”中的“服务”，找到“SNMP Service”，单击右键打开“属性”面板中的“安全”选项卡，在这个配置界面中，可以修改community strings，也就是微软所说的“团体名称”。 IIS升级检查目的检查是否将IIS升级到最新补丁检测依据检测对象检测方法人工核查、访谈检查流程（流程图）1、进入控制面板-添加或删除程序-显示更新项打钩；2、显示安装最新IIS补丁包。检查结果漏洞等级加固建议1、下载IIS补丁包：IIS4.0/Downloads/Release.asp?ReleaseID=23667IIS5.0/Downloads/Release.asp?ReleaseID=236652、安装，或升级到IIS6.0。1.1.7 启动项 进程和服务启动项检查目的检查无用的进程和服务启动项是否关闭检测依据检测对象检测方法人工核查、访谈检查流程（流程图）1、系统管理员提供业务必须的自动加载进程和服务列表文档；2、查看 “开始-运行-MSconfig”启动菜单。检查结果漏洞等级加固建议1、“开始-运行-MSconfig”启动菜单中，取消不必要的启动项。 关闭Windows自动播放功能检查目的检查是否关闭Windows自动播放功能检测依据检测对象检测方法人工核查检查流程（流程图）1、点击开始运行输入gpedit.msc，打开组策略编辑器，浏览到计算机配置管理模板系统；2、显示“关闭自动播放”配置已启用，启用范围：所有驱动器。检查结果漏洞等级加固建议1、点击开始运行输入gpedit.msc，打开组策略编辑器，浏览到计算机配置管理模板系统，在右边窗格中双击“关闭自动播放”，对话框中选择所有驱动器，确定即可。1.1.8 防病毒管理 安装防毒软件检查目的检查是否安装XX银行认可的防病毒软件，并及时更新检测依据检测对象检测方法人工核查检查流程（流程图）1、进入控制面板-添加或删除程序；2、显示安装有防病毒软件；3、打开防病毒软件控制面板；4、显示病毒码更新日期。检查结果漏洞等级加固建议1、安装防病毒软件，并及时更新。 DEP功能检查目的检查是否启用系统自带DEP功能检测依据检测对象检测方法人工核查检查流程（流程图）1、进入“控制面板系统”，在“高级”选项卡的“性能”下的“设置”；进入 “数据执行保护”选项卡；2、显示设置为“ 仅为基本Window