dede移动端网站源码,淄博网站建设有限公司,畔游网站建设,广州seo顾问本文档旨在指导系统管理人员或安全检查人员进行Windows操作系统的安全合规性检查和配置。 1. 账户管理和认证授权 1.1 账户 默认账户安全 禁用Guest账户。禁用或删除其他无用账户#xff08;建议先禁用账户三个月#xff0c;待确认没有问题后删除。#xff09;操作步骤 打开…本文档旨在指导系统管理人员或安全检查人员进行Windows操作系统的安全合规性检查和配置。 1. 账户管理和认证授权 1.1 账户 默认账户安全 禁用Guest账户。禁用或删除其他无用账户建议先禁用账户三个月待确认没有问题后删除。操作步骤 打开 控制面板 管理工具 计算机管理在 系统工具 本地用户和组 用户 中双击 Guest 帐户在属性中选中 帐户已禁用单击 确定。 按照用户分配帐户 按照用户分配帐户。根据业务要求设定不同的用户和用户组。例如管理员用户数据库用户审计用户来宾用户等。 操作步骤 打开 控制面板 管理工具 计算机管理在 系统工具 本地用户和组 中根据您的业务要求设定不同的用户和用户组包括管理员用户、数据库用户、审计用户、来宾用户等。 定期检查并删除与无关帐户 定期删除或锁定与设备运行、维护等与工作无关的帐户。 操作步骤 打开 控制面板 管理工具 计算机管理在 系统工具 本地用户和组 中删除或锁定与设备运行、维护等与工作无关的帐户。 不显示最后的用户名 配置登录登出后不显示用户名称。 操作步骤 打开 控制面板 管理工具 本地安全策略在 本地策略 安全选项 中双击 交互式登录:不显示最后的用户名选择 已启用 并单击 确定。 1.2 口令 密码复杂度 密码复杂度要求必须满足以下策略 最短密码长度要求八个字符。启用本机组策略中密码必须符合复杂性要求的策略。 即密码至少包含以下四种类别的字符中的两种 英语大写字母 A, B, C, … Z 英语小写字母 a, b, c, … z 西方阿拉伯数字 0, 1, 2, … 9 非字母数字字符如标点符号, #, $, %, , *等操作步骤 打开 控制面板 管理工具 本地安全策略在 帐户策略 密码策略 中确认 密码必须符合复杂性要求 策略已启用。 密码最长留存期 对于采用静态口令认证技术的设备帐户口令的留存期不应长于90天。 操作步骤打开 控制面板 管理工具 本地安全策略在 帐户策略 密码策略 中配置 密码最长使用期限 不大于90天。 帐户锁定策略 对于采用静态口令认证技术的设备应配置当用户连续认证失败次数超过10次后锁定该用户使用的帐户。 操作步骤 打开 控制面板 管理工具 本地安全策略在 帐户策略 帐户锁定策略 中配置 帐户锁定阈值 不大于10次。 配置样例 1.3 授权 远程关机 在本地安全设置中从远端系统强制关机权限只分配给Administrators组。 操作步骤 打开 控制面板 管理工具 本地安全策略在 本地策略 用户权限分配 中配置 从远端系统强制关机 权限只分配给Administrators组。 本地关机 在本地安全设置中关闭系统权限只分配给Administrators组。 操作步骤 打开 控制面板 管理工具 本地安全策略在 本地策略 用户权限分配 中配置 关闭系统 权限只分配给Administrators组。 用户权限指派 在本地安全设置中取得文件或其它对象的所有权权限只分配给Administrators组。 操作步骤 打开 控制面板 管理工具 本地安全策略在 本地策略 用户权限分配 中配置 取得文件或其它对象的所有权 权限只分配给Administrators组。 授权帐户登录 在本地安全设置中配置指定授权用户允许本地登录此计算机。 操作步骤 打开 控制面板 管理工具 本地安全策略在 本地策略 用户权限分配 中配置 允许本地登录 权限给指定授权用户。 授权帐户从网络访问 在本地安全设置中只允许授权帐号从网络访问包括网络共享等但不包括终端服务此计算机。 操作步骤 打开 控制面板 管理工具 本地安全策略在 本地策略 用户权限分配 中配置 从网络访问此计算机 权限给指定授权用户。 2. 日志配置操作 2.1 日志配置 审核登录 设备应配置日志功能对用户登录进行记录。记录内容包括用户登录使用的帐户、登录是否成功、登录时间、以及远程登录时、及用户使用的IP地址。 操作步骤 打开 控制面板 管理工具 本地安全策略在 本地策略 审核策略 中设置 审核登录事件。 审核策略 启用本地安全策略中对Windows系统的审核策略更改成功和失败操作都需要审核。 操作步骤 打开 控制面板 管理工具 本地安全策略在 本地策略 审核策略 中设置 审核策略更改。 审核对象访问 启用本地安全策略中对Windows系统的审核对象访问成功和失败操作都需要审核。 操作步骤 打开 控制面板 管理工具 本地安全策略在 本地策略 审核策略 中设置 审核对象访问。 审核事件目录服务访问 启用本地安全策略中对Windows系统的审核目录服务访问仅需要审核失败操作。 操作步骤 打开 控制面板 管理工具 本地安全策略在 本地策略 审核策略 中设置 审核目录服务器访问。 审核特权使用 启用本地安全策略中对Windows系统的审核特权使用成功和失败操作都需要审核。 操作步骤 打开 控制面板 管理工具 本地安全策略在 本地策略 审核策略 中设置 审核特权使用。 审核系统事件 启用本地安全策略中对Windows系统的审核系统事件成功和失败操作都需要审核。 操作步骤 打开 控制面板 管理工具 本地安全策略在 本地策略 审核策略 中设置 审核系统事件。 审核帐户管理 启用本地安全策略中对Windows系统的审核帐户管理成功和失败操作都要审核。 操作步骤 打开 控制面板 管理工具 本地安全策略在 本地策略 审核策略 中设置 审核帐户管理。 审核过程追踪 启用本地安全策略中对Windows系统的审核进程追踪仅失败操作需要审核。 操作步骤 打开 控制面板 管理工具 本地安全策略在 本地策略 审核策略 中设置 审核进程追踪。 日志文件大小 设置应用日志文件大小至少为 8192 KB可根据磁盘空间配置日志文件大小记录的日志越多越好。并设置当达到最大的日志尺寸时按需要轮询记录日志。 操作步骤 打开 控制面板 管理工具 事件查看器配置 应用日志、系统日志、安全日志 属性中的日志大小以及设置当达到最大的日志尺寸时的相应策略。 3. IP协议安全配置 3.1 IP协议安全 启用SYN攻击保护 启用SYN攻击保护。 指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阈值为5。指定处于 SYN_RCVD 状态的 TCP 连接数的阈值为500。指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值为400。操作步骤 打开 注册表编辑器根据推荐值修改注册表键值。 Windows Server 2012 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect推荐值2HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpen推荐值500Windows Server 2008 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect推荐值2HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted推荐值5HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen推荐值500HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried推荐值4004. 文件权限 4.1 共享文件夹及访问权限 关闭默认共享 非域环境中关闭Windows硬盘默认共享例如C$D$。 操作步骤 打开 注册表编辑器根据推荐值修改注册表键值。 注意 Windows Server 2012版本已默认关闭Windows硬盘默认共享且没有该注册表键值。 HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer推荐值 0共享文件夹授权访问 每个共享文件夹的共享权限只允许授权的帐户拥有共享此文件夹的权限。 操作步骤 每个共享文件夹的共享权限仅限于业务需要不要设置成为 Everyone。打开 控制面板 管理工具 计算机管理在 共享文件夹 中查看每个共享文件夹的共享权限。 5. 服务安全 5.1 禁用TCP/IP上的NetBIOS 禁用TCP/IP上的NetBIOS协议可以关闭监听的 UDP 137netbios-ns、UDP 138netbios-dgm以及 TCP 139netbios-ssn端口。 操作步骤 在 计算机管理 服务和应用程序 服务 中禁用 TCP/IP NetBIOS Helper 服务。在网络连接属性中双击 Internet协议版本4TCP/IPv4单击 高级。在 WINS 页签中进行如下设置禁用不必要的服务 禁用不必要的服务请参考 6.安全选项 6.1 启用安全选项 操作步骤 打开 控制面板 管理工具 本地安全策略在 本地策略 安全选项 中进行如下设置 6.2 禁用未登录前关机 服务器默认是禁止在未登录系统前关机的。如果启用此设置服务器安全性将会大大降低给远程连接的黑客造成可乘之机强烈建议禁用未登录前关机功能。 操作步骤 打开 控制面板 管理工具 本地安全策略在 本地策略 安全选项 中禁用 关机: 允许系统在未登录前关机 策略。 7. 其他安全配置 7.1 防病毒管理 Windows系统需要安装防病毒软件。 操作步骤 安装企业级防病毒软件并开启病毒库更新及实时防御功能。 7.2 设置屏幕保护密码和开启时间 设置从屏幕保护恢复时需要输入密码并将屏幕保护自动开启时间设定为五分钟。 操作步骤 启用屏幕保护程序设置等待时间为 5分钟并启用 在恢复时使用密码保护。 7.3 限制远程登录空闲断开时间 对于远程登录的帐户设置不活动超过时间15分钟自动断开连接。 操作步骤 打开 控制面板 管理工具 本地安全策略在 本地策略 安全选项 中设置 Microsoft网络服务器暂停会话前所需的空闲时间数量 属性为15分钟。 7.4 操作系统补丁管理 安装最新的操作系统Hotfix补丁。安装补丁时应先对服务器系统进行兼容性测试。 操作步骤 安装最新的操作系统Hotfix补丁。安装补丁时应先对服务器系统进行兼容性测试。 注意对于实际业务环境服务器建议使用通知并自动下载更新但由管理员选择是否安装更新而不是使用自动安装更新防止自动更新补丁对实际业务环境产生影响。
