Windows系统安全检测与加固手册2010-7-15修订版(20210411004757)

1、中国科学院内部资料 Windows系统安全检测加固手册（修订版） （单位人员内部使用） 1、 本手册基于 Windows XP Professional （sp3）版设计，个别加固项对于Windows7和 WinXP Home版并不适用 2、如果加固过程中，因系统差异加固项出现出入，可根据实际情况选择“新建注册表项” 或忽略该加固选项。 准备工作 简介 对注册表和组策略进行备份，防止加固时的误操作 检测对象 注册表 组策略 1:使用RegistryCleanExpert对注册表进行备份 备份方法 使用Registry Clean Expert对注册表进仃备份。双击应用程序， 选择备份Windo

2、ws注册表 技术要求 2:使用组策略备份工具对系统全部策略进行备份 双击运行“组策略备份.cmd ”，选择Y导出组策略设置 注册表恢复： 1、选择点击还原注册表，选择之前的备份文件恢复，重启后 生效。 恢复方法 组策略恢复： 1、 双击策略导入工具“组策略导入.cmd”默认恢复实施前备份 的当前路径下的组策略。 2、点击开始采单中的 运行，输入 gpupdate并回车，系统 会刷新组策略使备份组策略其生效。 1 帐号安全 1.1帐号口令 简介 检查系统帐号、用户帐号、口令的安全性。 检测对象 超级管理员帐号口令的安全性 普通用户帐号口令的安全性 帐号登录超时自动退出 1、加强对超级管理员帐户与

3、普通帐户口令的安全性 打开计算机管理- 本地用户与组，向管理员询问超级管理员及普通 帐户的密码，判断其安全性。打开“控制面版”- “管理工具”- “本地安全策略”，在“帐户策略”中，设置 密码必须符合复杂性 要求（已启用），密码长度最小值（8个字符），密码最长存留期（60 天），密码最短存留期（1天）参数，以保护密码。 技术要求 2、开启强制密码历史功能 加固项 安全记录在默认情况下是没有保护的，把他设置成只有 Administrator和系统帐户才有权访冋。打开本地安全策略- 账 户策略”- “密码策略”，修改“强制密码历史（3个记住的密码）”。 此策略设置确定在可以重新使用旧密码之前，必须

4、与某个用户帐户 关联的唯一新密码个数。 3、帐号登录口令错误与超时自动退出 打开“控制面版”- “管理工具”- “本地安全策略”，在“帐户 策略”- “帐户锁定策略”，分别设置阀值，账户锁定阀值（5次无 效登录），复位账户锁疋计算器（15分钟），账户锁疋时间（15分 钟）。 1.2帐号设置 简介 检查帐号设置的安全性。 检测对象 Win dows系统帐号设置的安全策略 1、管理员用户默认需要改名 一般扫描工具都会扫描该帐户，所以更名很有必要。打开“控制面 版”- “管理工具”- “计算机管理”，在“本地用户和组”中， 针对administrator用户进行更名。 2、禁用或删除不必要的系统帐户

5、 技术要求 加固项 曾经为某项工作开设的帐户，现在已经没有作用。要经常检查“本 地用户和组”，将闲置或无用的帐户禁用或删除，杜绝安全隐患。 例如：Guest 3、禁止枚举帐户 打开“控制面版”- “管理工具”- “本地安全策略”- “本地策 略”- “安全选项”，双击“网络访问 不允许SAM帐户的匿名枚 举”，在出现的属性对话框中，选择“已启用” ，点击确定。 4、禁用远程登陆服务 打开“控制面版”- “管理工具”- “本地安全策略”- “本地策 略”- “用户权利指派”，双击“通过终端服务允许登陆”（删除默 认用户与组），对用户和组进行限制。此策略设置确定哪些用户或 组有权作为终端服务客户端

6、进行登录。 2文件系统安全 2.1系统分区 B介 检查系统分区的安全性 检测对象 系统分区 系统目录 1、系统分区及数据存放分区必须为NTFS文件系统 技术要求 加固项 在“我的电脑”中，右击要检查的分区，比如C盘，在弹出 菜单中点击“属性”，在出现的C盘的属性对话框中，查看 C盘的 文件系统是否为NTFS格式。如果不是则可以采取多种方法，比如 重新格式化（非系统分区）或在命令提示符下使用convert命令 转换分区格式，注意，该命令只能从 Fat格式转换为ntfs格式， 不可逆。 转换语法： Co nvert volume /FS:NTFS 转换例子： 将C分区转换为NTFS Convert

7、 C:/FS:NTFS 2、系统分区必须分为两个及两个以上的分区 打开磁盘管理器，查看系统分区是否为两个及以上分区，用于 备份系统分区。 3、禁用文件冋步功能 开始菜单，然后点“运行”，输入“ gpedit.msc ” ，弹出“计算 机配置”然后依次点击 管理模板- 网络- 脱机文件- 禁止“允 许脱机使用”：，最后选择“已启用”则可。 2.2目录文件 简介 检查系统目录文件的安全性 检测对象 桌面目录及文件 技术要求 加固项 1、是否将桌面目录设置在非系统分区下（可选做） 默认状态下，修改注册表项HKEY CURRENT USER/Software/Micros oft/Wi ndows/C

8、urre ntVersio n/Explorer/User Shell Folders中 的Desktop子项。将里面的路径设置为在非系统分区下，然后重启 计算机即可生效。 生效后，找到原来在系统分区下的“桌面“文件夹复制原“桌面” 文件夹到新设置的非系统分区位置。 3系统配置 3.1系统设置 简介 检查系统的安全配置。 检测对象系统相关设置 1、设置CMOS密码 启动计算机，在计算机正在启动时不停地按进入BIOS键（一般为 DEL或F2），直到出现 CMOS SETUP界面。 用键盘上的光标键选择SUPERVISOR PASSWORD项，然后回 车，出现 ENTER PASSWORD后，输入

9、密码再回车，这时又出现 CONFIRM PASSWORD，在其后再次输入同一密码 （注：该项原意 是对刚才输入的密码进行校验，如果两次输入的密码不一致，则会 要求你重新输入）； 技术要求 用光标键选择 USER PASSWORD项后回车，同上面一样，密 码需输入两次才能生效。 2、删除默认共享连接 加固项 在“运行”框中输入：regedit。打开注册表编辑器，在 HKEY_LOCAL_MACHINESYSTEMCurre ntCon trolSet Servicesla nman Serverparameters 下，修改或添加DWOR 值“ AutoShareServer ” （清除admi

10、n$共享）设置为“ 0”，并且修改 或添加DWOR值“AutoShareWKs”（清除磁盘共享）设置为“ 0,可 以禁止。$和admin$共享。重启后生效。 3、禁止建立空连接 通过修改注册表来禁止建立空连接： HKEY_LOCAL_MACHNSEstemCurre ntCon trolSetCo ntrolLsa 将RestrictAnonymous的值改成” 1 ”即可。 4、关机时清除掉页面文件 要在关机的时候清除页面文件，可以编辑注册表 Key_Local_Machi neSYSTEMCurre ntCon trolSetC on trolSessio nMa nagerMemoryM

11、anagement 把 ClearPageFileAtShutdown 的值设置成 1。 5、限制注册表的远程访冋 打开“控制面板”- “管理工具”一“本地安全策略” - “本地策 略”- “安全选项”，双击“网络访问：可远程访问的注册表路径”， 将默认的内容删除。 6、禁用自动播放功能 在“运行”中键入“ gpedit.msc”，单击“确定”按钮，打开“组 策略”窗口。在左窗格的“本地计算机策略”下，展开“计算机配 置t管理模板t系统”，然后在右窗格的“设置”标题下，双击“关 闭自动播放”，单击“设置”选项卡，选中“已启用”复选钮，然 后在“关闭自动播放”框中单击“所有驱动器”，单击“确定”

12、。 7、设置屏幕保护密码 在桌面上右击，选择“属性”，在弹出的属性对话框中，设置屏保 程序，等待时间，并设置在恢复时使用密码保护，等待时间设置为 10分钟。 8、禁止dump file 的产生 在桌面上右击“我的电脑”，选择“属性”，点击“高级”- 启 动和故障恢复下的“设置”写入调试信息下面选择“无”。点击确 9、是否删除系统自带的不必要组件及程序 打开控制面板-添加删除程序- 添加删除windows组件，删除不必 要的组件。 3.2安全策略 简介 检查系统的安全配置。 技术要求 检测对象 系统安全策略 1、设置登录前不显示上次登录的用户名 加固项 打开“控制面版”- “管理工具”- “本地

13、安全策略”- “本地策 略”- “安全选项”，双击“交互式登录：不显示上次的用户名” ， 在弹出的对话框中选择“已启用”并点击“确定” 。 2、设置按Control-Alt-Delete才能登陆系统 打开“控制面版”- “管理工具”- “本地安全策略”- “本地策 略”- “安全设置”- “安全选项”，双击“交互式登录：不需要 按CTRL+ALT+DEL ”，在弹出的对话框中选择“禁用”并点击“确 3.3系统任务 简介 检查系统任务工作的安全状态 检测对象 系统任务管理器 1、确定授权用户使用任务管理器正常 技术要求 加固项 Co ntrol-Alt-Delete组合键查看任务管理器 2、确定

14、查看任务管理计划正常 打开控制面板- 任务计划，查看任务计划是否正常。 3.4系统时钟 简介 检查系统时钟的准确度。 检测对象 系统时间 技术要求 加固项 1、系统时钟是否正确 查看系统的时间是否正确 4网络服务安全 4.1服务禁用 简介 检查系统的网络服务 技术要求 检测对象 系统网络服务 1、对不必要的网络服务进行合理设置 在桌面上右击“我的电脑”，选择“管理”，选择“服务和应用程序” 选择“服务”，在管理员的配合下，查看是否关闭了不必要的网 络服务。 如下服务均要确认设置为禁用： 在桌面上右击“我的电脑”，选择“管理”，选择“服务和应用 程序”，选择“服务”，找到如下服务： 加固项 Re

15、mote Registry, Messe nger, Teln et. Terminal Services ， Routing and Remote Access 确认设置为禁用 如下服务建议设置为手动启动项： 在桌面上右击“我的电脑”，选择“管理”，选择“服务和应用 程序”，选择“服务”，找到如下服务： Help and Support, Server NetMeeti ng Remote Desktop Shari ng 确认设置为手动 4.2远程管理 简介 检查系统网络服务的远程管理是否安全 检测对象 远程服务 1、禁用telnet服务,禁止通过tel net进行远程管理 打开“控制面板

16、”- “管理工具”- “服务”找到“ Tel net”。确认 关闭。 2、关闭远程桌面连接 技术要求 加固项 右键点击“我的电脑”，然后选择“远程“选项卡，按如下步骤设 置， 1远程协助-选上“允许从这台计算机发送远程协议邀请（R） ” - 高级-远程控制-取消：”允许此计算机被远程控制（A ） ”的选择 2远程桌面- 取消”允许用户远程连接到此计算机（C） ”的选择- 选 择远程用户-远程桌面下的用户为空，即不设置任何用户。 2、从安全策略中禁止任何用户远程访问或连接终端 “控制面版”- “管理工具”- “本地安全策略”- “本地策略” - “用户权利指派”，双击“从网络访问此计算机”和“通

17、过终 端服务拒绝登录”选项，把里面的默认设置全部清空。 5系统访问控制 5.1防火墙 简介 检查主机防火墙安全防护能力 检测对象 系统防火墙 1、开启系统防火墙功能 选择“控制面板”- “ Windows防火墙” - ”启用”与控制面板 - “服务” -“Windows Firewall/Internet Conn ecti on Shari ng ” 选自动启动 2、合理配置防火墙访问控制策略 技术要求 选择“控制面板” - “Windows防火墙”- 在“例外”中对例外程 加固项 序进行检查与确认。 3、合理配置防火墙的日志功能 选择“控制面板”- “ Windows防火墙” ,咼级- 安

18、全日志记录- 设置 1:记录选项- 勾选上”记录被丢弃的数据包 ”和“记录成功的 连接” 2： 日志文件选项-确保防火墙日志记录在一个单独的文件里 6病毒及恶意代码防护 6.1病毒防护 简介 检查终端防病毒能力 技术要求 检测对象 防病毒软件 1、确保安装了防病毒软件 加固项 2、确保病毒库每天能够及时更新 3、确保防病毒软件会定期进行病毒扫描 7补丁与更新安全 简介检查系统补丁更新 检测对象补丁更新与同步 1、设置使用 Windows update让系统自动更新补丁 我的电脑-属性- 自动更新- 勾选“自动（建议）”这一项 开始- 控制面板- 管理工具- 服务 确保Windows Upadt

19、e为开启 状态 2、配置每台客户端与WSUS艮务器进行补丁同步 按如下步骤设置： 开始- 运行-gpedit.msc- 计算机配置- 管理模板-Windows组件 -Win dows Update 1 “配置自动更新”- 已启用- 配置自动更新选项里选择“ 3-自 动下载并通知安装” 技术要求 加固项 2 “指定Intranet Microsoft更新服务位置”- 已启用 为检测更新设置Intran et更新服务项，填入 http:/wsus.cst net.c n 设置Intranet 统计服务器，填入 http:/wsus.cst net.c n 详纟田配置请参阅http:/wsus.cs

20、tn et.c n/Config 1.htm 在客户端验证与补丁服务器同步是否成功 查看 C:WindowsWindowsUpdate.log文件， 1 ：先将WindowsUpdate.log文件里面所有的内容清空 2：运行命令 cmd- gpupdate; cmd - wuauclt /detect now; 3:查看在该文件中新增加内容是否与补丁服务器连接下载 （假设没有任何新增加内容则证明补丁更新配置有问题） 8日志及审计的安全性 8.1日志和审计 B介 检查系统日志功能 日志文件 检测对象 审核策略 日志配置文件 1、建议按如下设置标准开启安全审核策略 开始- 运行-gpedit.m

21、sc- 计算机配置 -Windows设置- 安全设置 -本地策略- 审核策略（对审核策略的开启设置可参考如下） 配置策略 Win dows XP 审核策略更改 成功 审核登录事件 成功、失败 审核对象访问 失败 审核过程追踪 无审核 技术要求 审核目录服务访问 无审核 审核特权使用 失败 加固项 审核系统事件 成功 审核账户登录事件 成功、失败 审核账户管理 成功、失败 2、合理设置系统日志大小、覆盖天数 在开始- 运仃-eventvwr- 事件查看器 进行如下设置 最大日志文件大小 当达到最大日志大小时 应用程序右击“属性” 16384K 改写久于30天的事件 安全性右击“属性” 16384K 改写久于30天的事件 系统右击“属性” 16384K 改写久于30天的事件 附加项1 简介 检查邮件用户及邮件策略安全配置 技术要求 检测对象 邮件密码和过滤规则 1、对邮件用户进行密码设置 根据现场实际情况，建议终端使用者自己设置密码 2、设置垃圾邮件过滤规则来阻止发件人 第一步： 附加 加固项 默认状态下，启动 OutlookExpress，打开