Windows系统安全加固技术指导书

1、应按照用户分配账号。

避免不同用户间共享账号。

避免用户账号和设备间通信使用的账号共享。

结果：现网已实现2、应删除或锁定与设备运行、维护等工作无关的账号。

结果：现网已实现3、对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。

结果：可以实现编号：安全要求-设备-WINDOWS-配置-44、对于采用静态口令认证技术的设备，账户口令的生存期不长于90天。

结果：可以实现编号：安全要求-设备-通用-配置-45、对于采用静态口令认证技术的设备，账户口令的生存期不长于90天。

结果：可以实现，应用账号不建议实现，将会影响应用系统；编号：安全要求-设备-WINDOWS-配置-56、对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。

结果：可以实现编号：安全要求-设备-WINDOWS-配置-67、对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。

结果：可以实现编号：安全要求-设备-WINDOWS-配置-78、在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。

结果：现网已实现9、设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。

结果：现网已实现10、设备应配置日志功能，记录用户对设备的操作，包括但不限于以下内容：账号创建、删除和权限修改，口令修改，读取和修改设备配置，读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。

记录需要包含用户账号，操作时间，操作内容以及操作结果。

结果：可以实现编号：安全要求-设备-WINDOWS-配置-1111、对于具备TCP/UDP协议功能的设备，设备应根据业务需要，配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤，过滤所有和业务不相关的流量。

WindowsServer2019操作系统安全配置与系统加固探讨1. 引言1.1 概述Windows Server 2019作为微软最新的服务器操作系统，具有强大的性能和功能。

在当今信息化时代，网络安全问题日益突出，操作系统安全配置和系统加固变得尤为重要。

本文将针对Windows Server 2019操作系统进行安全配置和系统加固方案的探讨，包括网络安全设置、文件系统安全设置和权限管理等内容，旨在帮助管理员更好地保护服务器数据和系统安全。

随着网络攻击技术的不断演进和网络威胁的不断增加，服务器安全面临着严峻的挑战。

对Windows Server 2019进行有效的安全配置和系统加固显得尤为重要。

只有在正确的安全配置和加固方案下，才能有效地防范各类网络攻击并保障服务器系统的稳定运行。

1.2 研究意义随着信息化时代的快速发展，计算机网络安全问题日益突出，成为各行各业关注的焦点。

作为企业的核心基础设施之一，Windows Server操作系统的安全配置和系统加固显得尤为重要。

本文将通过对Windows Server 2019操作系统安全配置与系统加固的探讨，旨在为企业提供有效的安全防护措施，保护企业信息系统的安全性和稳定性。

具体来说，本研究将通过对Windows Server 2019操作系统的安全配置进行深入分析，探讨如何优化操作系统设置以提高安全性。

本文将探讨不同的系统加固方案，包括网络安全设置、文件系统安全设置以及权限管理等方面，为企业提供全方位的安全防护措施。

通过本文的研究，不仅可以帮助企业建立健全的安全管理机制，提高信息系统的安全性，还可以为相关研究领域提供宝贵的参考和借鉴。

本研究具有重要的理论和应用价值，对推动企业信息安全管理水平的提升具有积极意义。

2. 正文2.1 Windows Server 2019操作系统安全配置Windows Server 2019操作系统是微软公司推出的服务器操作系统，具有强大的性能和安全性能。

甘肃海丰信息科技有限公司Windows系统安全加固技术指导书◆版本◆密级【绝密】◆发布甘肃海丰科技◆编号GSHF-0005-OPM-©2006-2020 HIGHFLYER INFORMATION TECHNOLOGY ,INC.目录文档信息................................................................. 错误!未定义书签。

前言.................................................................... 错误!未定义书签。

一、编制说明............................................................ 错误!未定义书签。

二、参照标准文件........................................................ 错误!未定义书签。

三、加固原则............................................................ 错误!未定义书签。

1.业务主导原则..................................................... 错误!未定义书签。

2.业务影响最小化原则............................................... 错误!未定义书签。

3.实施风险控制..................................................... 错误!未定义书签。

(一)主机系统............................................................. 错误!未定义书签。

(二)数据库或其他应用 ..................................................... 错误!未定义书签。

安全加固技术手册1. 引言在当今数字化时代，随着网络攻击日益增加，保障信息系统的安全性变得至关重要。

安全加固技术的应用已经成为各种组织和企业防范网络攻击的关键步骤。

本手册旨在提供一种全面的安全加固技术指南，帮助读者了解和应用各种常见的加固技术，从而提高信息系统的安全性。

2. 密码策略密码是安全加固的第一道防线，一个强大的密码可以有效阻止未经授权的访问。

制定和执行密码策略是确保密码安全的关键。

以下是几个关键的密码策略建议：- 要求用户使用强密码，包括大写和小写字母、数字和特殊字符的组合。

- 强制用户定期更改密码，并限制新密码不能与旧密码相似。

- 禁止用户在多个系统中使用相同的密码。

- 启用账户锁定功能，例如连续登录尝试失败后锁定账户。

3. 防火墙设置防火墙是网络安全的重要组成部分，通过监控网络通信并筛选流量来保护系统免受不必要的访问。

以下是关于防火墙设置的一些建议：- 限制对网络的入站和出站连接，只允许必要的通信。

- 在防火墙上配置网络地址转换（NAT），以隐藏内部网络的真实IP地址。

- 使用应用层防火墙来检测并阻断特定应用程序的恶意流量。

- 定期审查和更新防火墙规则，确保防火墙策略与组织的需求保持一致。

4. 操作系统安全操作系统作为信息系统的核心，其安全性至关重要。

以下是针对操作系统的安全建议：- 及时安装操作系统的安全更新和补丁程序。

- 禁用或删除不必要的服务和功能。

- 配置访问控制和权限管理，确保只有授权用户能够访问敏感资源。

- 启用审计日志记录以便日后的安全审查和分析。

5. 应用程序安全应用程序漏洞是黑客入侵的常见途径之一。

为了加固应用程序的安全性，以下是一些建议：- 使用最新的安全版本和补丁来更新应用程序。

- 实施输入验证和数据过滤来防止跨站脚本攻击和SQL注入等常见攻击。

- 限制应用程序对系统资源的访问权限，并使用最小特权原则。

- 进行定期的应用程序安全测试来发现潜在的安全漏洞。

6. 网络监控与入侵检测系统网络监控和入侵检测系统（IDS）可以帮助组织及时发现和应对网络攻击。

第二章 Windows系统安全加固Windows Server 2003操作系统，具有高性能、高可靠性和高安全性等特点。

Windows Server 2003在默认安装的时候，基于安全的考虑已经实施了很多安全策略，但由于服务器操作系统的特殊性，在默认安装完成后还需要张先生对其进行安全加固，进一步提升服务器操作系统的安全性，保证应用系统以及数据库系统的安全。

在安装Windows Server 2003操作系统时，为了提高系统的安全性，张先生按系统建议，采用最小化方式安装，只安装网络服务所必需的组件。

如果以后有新的服务需求，再安装相应的服务组件，并及时进行安全设置。

在完成操作系统安装全过程后，要对Windows系统安全性方面进行加固，系统加固工作主要包括账户安全配置、密码安全配置、系统安全配置、服务安全配置以及禁用注册表编辑器等内容，从而使得操作系统变得更加安全可靠，为以后的工作提供一个良好的环境平台。

操作系统的安全是整个计算机系统安全的基础，其安全问题日益引起人们的高度重视。

作为用户使用计算机和网络资源的操作界面，操作系统发挥着十分重要的作用。

因此，操作系统本身的安全就成了安全防护的头等大事。

一、操作系统安全的概念操作系统的安全防护研究通常包括以下几个方面的内容：（1）操作系统本身提供的安全功能和安全服务。

目前的操作系统本身往往要提供一定的访问控制、认证与授权等方面的安全服务，如何对操作系统本身的安全性能进行研究和开发使之符合选定的环境和需求；（2）针对各种常用的操作系统，进行相关配置，使之能正确对付和防御各种入侵；（3）保证操作系统本身所提供的网络服务能得到安全配置。

一般来说，如果说一个计算机系统是安全的，那么是指该系统能够控制外部对系统信息的访问。

也就是说，只有经过授权的用户或代表该用户运行的进程才能读、写、创建或删除信息。

操作系统内的活动都可以认为是主体对计算机系统内部所有客体的一系列操作。

实验1 增强Windows操作系统安全1.实验目的及要求1.1实验目的通过实验掌握 Windows 账户与密码的安全设置、文件系统的保护和加密、安全策略与安全模板的使用、审核和日志的启用、本机漏洞检测软件 MBSA 的使用，建立一个 Windows 操作系统的基本安全框架。

1.2实验要求根据Windows 操作系统的各项安全性实验要求，详细观察并记录设置前后系统的变化，给出分析报告。

2.实验设备及软件1 台安装 Windows2000/XP 操作系统的计算机，磁盘格式配置为 NTFS ，预装 MBSA(Microsoft Baseline Security Analyzer) 工具。

3.实验内容(1)账户与密码的安全设置(2)文件系统的保护和加密（选做）(3)启用安全策略与安全模板(4)用加密软件 EFS 加密硬盘数据（选做）(5)审核与日志查看(6)利用 MBSA 检查和配置系统安全（选做）需要说明的是，下面的实验步骤主要是以 Windows2000/XP 的设置为例进行说明，并且设置均需以管理员（ Administrator ）身份登陆系统。

在 Windows XP 操作系统中，相关安全设置会稍有不同，但大同小异。

4.实验步骤4.1 任务一账户和密码的安全设置1 ．删除不再使用的账户，禁用 guest 账户⑴ 检查和删除不必要的账户右键单击“开始”按钮，、打开“资源管理器”，选择“控制面板”中的“用户和密码”项；在弹出的对话框中中列出了系统的所有账户。

确认各账户是否仍在使用，删除其中不用的账户。

⑵ 禁用 guest 账户为了便于观察实验结果，确保实验用机在实验前可以使用 guest 账户登陆。

打开“控制面板”中的“管理工具”，选中“计算机管理”中“本地用户和组”，打开“用户”，右键单击 guest 账户，在弹出的对话框中选择“属性”，在弹出的对话框中“帐户已停用”一栏前打勾。

确定后，观察 guest 前的图标变化，并再次试用 guest 用户登陆，记录显示的信息。

身份鉴别a）应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换查看用户右键“我的电脑”管理工具计算机管理本地用户和组查看是否有多余的用户和组修改密码策略右键“我的电脑”管理工具本地安全策略账户策略密码策略a）复杂性要求:已启用:b）密码长度最小值:长度最小值至少为8位c）密码长度最长使用期限。

不为0d）密码最短使用期限:不为0e）强制密码历史:至少记住5个密码以上b）应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施设置密码锁定策略右键“我的电脑”管理工具本地安全策略账户策略账户锁定策略设置屏幕保护程序控制面板外观显示更改屏幕保护程序勾选在恢复时显示登录屏幕设置远程登录超时登出Win+r打开命令输入框，在运行框输入gpedit.msc 本地组策略编辑器计算机配置管理模板Windows组件远程桌面服务远程桌面会话主机会话时间限制c）当进行远程管理时，应采取必要措施、防止鉴别信息在网络传输过程中被窃听Win+r打开命令输入框，在运行框输入gpedit.msc 本地组策略编辑器计算机配置管理模板Windows组件远程桌面服务远程桌面会话主机安全访问控制a）应对登录的用户分配账户和权限修改文件夹用户权限我的电脑C盘Windows system/System32修改用户权限分配右键“我的电脑”管理工具本地安全策略本地策略用户权限分配“允许本地登录”右击“属性”请根据系统和业务的需要添加用户或组本地登录此计算机“从远端系统强制关机”设置为“只指派给Administrators 组”“关闭系统”设置为“只指派给Administrators 组”修改为需要“取得文件或其它对象的所有权”设置为“只指派给Administrators 组”b）应重命名或删除默认账户，修改默认账户的默认口令Win+r打开命令输入框，在运行框输入lusrmgr.msc 本地用户和组用户修改或禁用系统默认账户administered和guestc）应及时删除或停用多余的、过期的账户，避免共享账户的存在Win+r打开命令输入框，在运行框输入lusrmgr.msc 本地用户和组用户删除多余用户d）应授予管理用户所需的最小权限，实现管理用户的权限分离修改用户权限分配右键“我的电脑”管理工具本地安全策略本地策略用户权限分配“允许本地登录”右击“属性”请根据系统和业务的需要添加用户或组本地登录此计算机“从远端系统强制关机”设置为“只指派给Administrators 组”“关闭系统”设置为“只指派给Administrators 组”修改为需要“取得文件或其它对象的所有权”设置为“只指派给Administrators 组”安全审计a）应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计开启审计功能右键“我的电脑”管理工具服务启动“Windows Time服务”，并设置为自动右键“我的电脑”管理工具事件查看器Windows日志修改审计功能Win+r打开命令输入框,在运行框输入secpol.msc 本地安全策略本地策略审核策略策略配置如下b）审计记录应包括事件的日期和时间，用户、事件类型，事件是否成功及其他与审计相关的信息Win+r打开命令输入框,在运行框输入eventvwr.msc 本地安全策略本地策略审核策略d）应对审计进程进行保护，防止未经授权的中断Win+r打开命令输入框,在运行框输入secpol.msc 本地安全策略本地策略用户权限右键点击策略中的“管理审核和安全日志”，查看是否只有系统审计员或系统审计员所在的用户组入侵防范b）应关闭不需要的系统服务、默认共享和高危端口应关闭不需要的系统服务Win+r打开命令输入框,在运行框输入service.msc 服务关闭不必要的服务如Alerter、Remote Registry、Servicce 、Messsenger,Task Scheduler关闭高危端口Win+r打开命令输入框,在运行框输入cmd 运行netstat -an如TCP 135、139 、445、593、1025端口，UDP 135、137、138、445端口，一些流行病毒的后门端口，如TCP 2745、3127、6129端口。

服务器安全加固手册一、安全策略加固：1、点击“开始”—“管理工具”—“本地安全策略”：2、点击“账户策略”—“密码策略”和“账户策略”，策略配置如下：3、点击“本地策略”—“审核策略”和“安全选项”，策略配置如下：4、点击“开始”—“管理工具”—“计算机管理”：5、点击“系统工具”—“本地用户和组”—“用户”，鼠标右击“guest”账户点击“属性”，将guest账户禁用：二、防火墙安全配置：注意：开启防火墙会导致外部主动访该问服务器的部分端口流量被阻断，如（数据库服务器中开启防火墙后，应用服务器则无法连接数据库端口），强烈建议先梳理各服务器需要开放的业务端口，在防火墙策略中放开需要使用到的业务端口，再打开、启动防火墙。

保证业务的正常运行，一旦开启防火墙发现对业务有影响则立即关闭防火墙。

1、点击“开始”—“管理工具”—“高级安全windows防火墙”：2、点击“入站规则”—“远程桌面（TCP-In）”—鼠标右击“属性”：3、点击“作用域”—“远程IP地址”中填写如下IP地址：4、点击“开始”—“网络”—右击鼠标“属性”：5、点击“windows防火墙”—“打开或关闭windows防火墙”，开启防火墙功能：三、补丁更新1、补丁更新前请将服务器进行安全备份，以免补丁更新失败造成数据丢失。

2、如果windows系统为正版授权系统，可在“开始”—“所有程序”—“windows update”—“启动自动更新”—“检查更新”，采用windows系统自动更新功能。

3、如果服务器可上网，安装360安全卫士或电脑管家等第三方软件，进行在线补丁更新，但补丁更新完后务必将该软件卸载、删除。

4、可在微软官方网站中《https:///zh-cn/》中下载高危漏洞补丁进行离线安装。

四、删除多余的第三方应用软件：删除多余的、不需要使用的第三方软件，如QQ、Teamview、输入法、浏览器等不许使用的应用软件。

五、防病毒部署：建议购买国内知名厂商防病毒软件，建议采用C/S架构的病毒集中管理方式，实现防病毒的分布式部署。

系统安全加固方案文档说明1. Microsoft Windows远程桌面协议中间人攻击漏洞(CVE-2005-1794)【原理扫描】4.1漏洞清单3/104.2加固方案1、安装此补丁WindowsServer2003-KB2621440-x86-CHS.exe即可解决安全此安全漏洞问题。

4.3回退方案在控制面板-添加/删除程序中卸载该补丁即可4.4加固结果已经加固4/102. Microsoft远程桌面协议RDP远程代码可执行漏洞(CVE-2012-0002)(MS12-020)【原理扫描】漏洞1.1漏洞清单5/101.2加固方案Windows2008和windows2003分别安装此补丁WindowsServer2003-KB2621440-x86-CHS.exe和Windows6.1-KB2621440-x64.msu 即可解决安全此安全漏洞问题。

1.3回退方案在控制面板-添加/删除程序中卸载该补丁即可1.4加固结果已经加固3. Mongodb未授权访问漏洞【原理扫描】2.1漏洞清单6/107/102.2加固方案在ers中添加用户，启动认证。

#在admin 数据库中创建用户！xjyd 密码为xjyd!!20161、[mongodb@rac3 bin]$ ./mongo 127.0.0.1:27017MongoDB shell version: 2.0.1connecting to: 127.0.0.1:27017/test> use adminswitched to db admin>> db.addUser("supper", "sup"){ "n" : 0, "connectionId" : 4, "err" : null, "ok" : 1 }{"user" : "supper","readOnly" : false,"pwd" : "51a481f72b8b8218df9fee50b3737c44","_id" : ObjectId("4f2bc0d357a309043c6947a4") }> db.auth("supper","sup")18/10> exitbye2、在ers中添加用户，启动认证。

安全加固方案1安全加固概述随着网络技术的飞速发展，网络安全逐渐成为影响信息系统业务发展的关键问题。

由于信息系统拥有各种网络设备、操作系统、数据库和应用系统，存在大量的安全漏洞，对其进行安全加固增加其安全性是十分必要的。

安全加固是指参考国内国际权威的系统安全配置标准，并结合用户信息系统实际情况，对信息系统涉及的主机、网络设备、应用及数据库的脆弱性进行分析并修补，包括安全配置加固和漏洞修补，增强用户信息系统抗攻击能力，有效减轻系统总体安全风险，提升信息系统安全防范水平，可以建立起一套适应性更强的安全保障基线，有效构建起信息系统安全堤坝。

2安全加固内容安全加固是参考国内国际权威的系统安全配置标准，并结合用户信息系统实际情况，在用户允许的前提下，对重要服务器的操作系统和应用服务进行适度安全配置加固和系统安全优化，包括打补丁、停止不必要的服务、升级或更换程序、修改配置及权限等，包括操作系统安全加固和优化、应用软件安全加固和优化、网络设备安全加固和优化，加固服务内容包括基线加固、漏洞修复和安全设备调优。

2.1基线加固2.1.1主机加固针对目前使用的操作系统，如Windows、Linux、AIX等进行加固。

Windows设备安全加固内容：账号、口令、授权、日志配置操作、日志保护配置、共享文件夹及访问权限、Windows服务、防病毒管理、自动播放、屏幕保护、远程登录控制、补丁管理、IP协议安全配置操作、时间同步服务。

Linux操作系统安全加固内容：账号、口令、文件权限、IP协议安全、日志审计、关闭不必要的服务、资源控制。

AIX操作系统安全加固内容：账号、口令、授权、日志配置、IP协议安全、路由协议安全、补丁管理、内核调整、服务进程和启动、AIX可被利用的漏洞。

2.1.2数据库加固针对不同数据库类型的数据库如Oracle、SQL Server、MySQL等进行加固，加固服务的内容包括：身份鉴别、访问控制、安全审计、资源控制等安全项加固。

win10系统加固方案1、磁盘加密位元锁(Enable BitLocker)Windows 10中的磁盘加密位元锁可以用来加密任何硬盘上的信息，包括启动、系统甚至移动媒体，鼠标右键就可以在选项中加密Windows资源管理器中的数据。

用户可以在设置菜单中选择希望加锁的文件，被加密的文件可以被设置为只读，且不能被重新加密。

在保存好Bitlocker信息后关闭电脑，BitLocker的恢复信息存储在计算机的属性文件中，大多数情况下自动备份用户的密码恢复到Active Directory。

所以要确保可以访问这些属性，防止丢失密码后无法恢复文件。

2、提升安全级别Windows 10的用户帐户控制得到较大的改进，在区别合法和非法程序时表现得十分精确、迅速。

根据用户的登录方式(管理员或普通用户)默认UAC安全级别设置，可以选择不同敏感度的防御级别。

Windows 10中设计了一个简单的用户帐户控制滚动条，方便管理员或标准用户设置它们的UAC安全级别。

建议将UAC安全级别设置为“始终通知”，请放心Windows 10中遇到的安全通知要比Vista少很多。

虽然UAC功能提供了一个必要的防御机制，但是为了系统的稳定性，请谨慎使用管理员帐户。

3、及时升级在Windows 10的默认设置中，Windows升级服务将自动下载并安装重要的Windows系统和应用程序的升级包。

有一项研究表明，微软的软件是世界上补丁最多的产品。

但是系统并没有提醒你，及时更新其他的非系统软件，比如浏览器、媒体播放器等。

黑客们现在都喜欢从这些方面对电脑进行攻击。

4、备份数据道高一尺，魔高一丈。

有的时候真的是防不胜防，即使做了很多努力，当病毒来临时防御措施仍可能变的不堪一击。

及时备份重要数据才是王道，这样就算遇到了极具杀伤性的病毒，也可以通过恢复数据轻松解决。

5.关闭默认共享封锁系统后门同XP、Vista一样，在默认情况下也开启了网络共享。

虽然这可以让局域网共享更加方便，但同时也为病毒传播创造了条件。

运维安全加固方案2安全加固内容安全加固是参考国内国际权威的系统安全配置标准，并结合用户信息系统实际情况，在用户允许的前提下，对重要服务器的操作系统和应用服务进行适度安全配置加固和系统安全优化，包括打补丁、停止不必要的服务、升级或更换程序、修改配置及权限等，包括操作系统安全加固和优化、应用软件安全加固和优化、网络设备安全加固和优化，加固服务内容包括基线加固、漏洞修复和安全设备调优。

2.1 基线加固2.1.1 主机加固针对目前使用的操作系统，如Windows、Linux、AIX等进行加固。

Windows设备安全加固内容：账号、口令、授权、日志配置操作、日志保护配置、共享文件夹及访问权限、Windows服务、防病毒管理、自动播放、屏幕保护、远程登录控制、补丁管理、IP协议安全配置操作、时间同步服务。

Linux操作系统安全加固内容：账号、口令、文件权限、IP协议安全、日志审计、关闭不必要的服务、资源控制。

AIX操作系统安全加固内容：账号、口令、授权、日志配置、IP协议安全、路由协议安全、补丁管理、内核调整、服务进程和启动、AIX可被利用的漏洞。

2.1.2数据库加固针对不同数据库类型的数据库如Oracle、SQL Server MysQL等进行加固，加固服务的内容包括：身份鉴别、访问控制、安全审计、资源控制等安全项加固。

加固方法包括：对数据库安全策略、服务等进行安全加固；加强对敏感存储过程的管理，尤其是能执行操作系统命令的存储过程。

Oracle 数据库安全加固内容：账号、口令、授权、日志审计、远程操作连接。

Linux版MySQL数据库安全加固内容：认证授权（以非root用户启动MySQL、口令策略、共享帐号、最小权限、IP地址限制、删除无关帐号）、日志审计、安全文件权限配置、连接数限制。

Windows 版MySQL 安全加固内容：认证授权（以普通用户权限运行MySQL、口令策略、共享帐号、最小权限、IP地址限制、删除无关帐号）、日志审计、安全文件权限配置、连接数限制。

Windows主机操作系统安全基线规范目录1账号管理、认证授权 (1)1.1账号 (1)1.1.1ELK-Windows-01-01-01 (1)1.1.2ELK-Windows-01-01-02 (2)1.1.3ELK-Windows-01-01-03 (3)1.2口令 (4)1.2.1ELK-Windows-01-02-01 (4)1.2.2ELK-Windows-01-02-02 (5)1.3授权 (6)1.3.1ELK-Windows-01-03-01 (6)1.3.2ELK-Windows-01-03-02 (7)1.3.3ELK-Windows-01-03-03 (8)1.3.4ELK-Windows-01-03-04 (9)1.3.5ELK-Windows-01-03-05 (10)2日志配置 (11)2.1.1ELK-Windows-02-01-01 (11)2.1.2ELK-Windows-02-01-02 (12)3通信协议 (14)3.1IP协议安全 (14)3.1.1ELK-Windows-03-01-01 (14)3.1.2ELK-Windows-03-01-02 (15)3.1.3ELK-Windows-03-01-03 (16)4设备其他安全要求 (18)4.1屏幕保护 (18)4.1.1ELK-Windows-04-01-01 (18)4.1.2ELK-Windows-04-01-02 (19)4.2共享文件夹及访问权限 (20)4.2.1ELK-Windows-04-02-01 (20)4.2.2ELK-Windows-04-02-02 (21)4.3补丁管理 (23)4.3.1ELK-Windows-04-03-01 (23)4.4防病毒管理 (24)4.4.1ELK-Windows-04-04-01 (24)4.4.2ELK-Windows-04-04-02 (25)4.5W INDOWS服务 (26)4.5.1ELK-Windows-04-05-01 (26)4.5.2ELK-Windows-04-05-02 (28)4.6启动项 (29)4.6.1ELK-Windows-04-06-01 (29)4.6.2ELK-Windows-04-06-02 (30)本文档是Windows操作系统的对于Win系统的设备账号认证、日志、协议、补丁升级、文件系统管理等方面的安全配置要求，共26项。

凝思安全加固工具使用说明【安全加固工具功能】安全加固工具分为两种简单版（simple_security_config.sh）和完整版（complete_security_config.sh）简单版功能：(1)系统新建用户后，需要先修改密码(2)sshd_config默认安全项配置(3)登录超时(4)禁用telnet和swat(5)登录地址限制access.so(6)登录失败锁定完整版功能：(1)系统新建用户后，需要先修改密码(2)sshd_config默认安全项配置(3)登录超时(4)禁用光驱(5)禁用usb存储设备(6)禁用telnet和swat(7)禁用虚拟终端(8)身份鉴别口令复杂度(9)口令90天定期更换(10)口令过期前10天，提示修改(11)登录地址限制access.so(12)登录失败锁定(13)禁用vnc(14)禁用Xmanager【工具所在位置】在凝思8.0系统安装完毕后安全加固工具simple_security_config.sh和complete_security_config.sh会自动拷贝到/opt/security/目录下，还有三个用于单独打开和关闭u盘、光驱、虚拟终端的脚本remove_built-in_cdrom(禁光驱)，remove_built-in_usb(禁u 盘)及stop_tty(禁虚拟终端)，会自动拷贝到/usr/bin/目录下。

【使用方法】根据加固要求在root用户下执行/opt/security/simple_security_config.sh（或complete_security_config.sh）# /opt/security/simple_security_config.sh执行后会提示Please input your order (config/recover/status)输入config为开始安全加固输入recover为恢复到加固前的状态输入status为查看当前加固状态【单独进行usb、光驱、虚拟终端的打开和关闭的方法说明】有5个脚本用于禁用(或开启)usb、光驱、vnc、Xmanager和虚拟终端设备功能，可用root用户执行如下命令实现：禁用光驱设备：# remove_built-in_cdrom start 启用光驱设备：# remove_built-in_cdrom stop 禁用u盘设备：# remove_built-in_usb start 启用u盘设备：# remove_built-in_usb stop 禁用虚拟终端：　# stop_tty start启用虚拟终端：# stop_tty stop 禁用vnc：　# ban_vnc start 启用vnc：# ban_vnc stop 禁用Xmanager：　# ban_xmanager start 启用Xmanager：# ban_xmanager stop。