Windows系统安全加固技术指导书

合集下载

Windows安全系统加固建议模板

确保注册表安全
利用文件管理器对regedit.exe
文件设置成只允许管理员能够使用该命令访问修改注册表，其他用户只能读取，但不能修改，这样可以防止非法用户恶意修改注册表。
注册表安全设置的典型案例
彻底隐藏文件及文件夹
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentV ersion\explorer\Advanced\Folder\Hidden\SHOWALL， CheckedValue键值项，将它的键值修改为“0”，如果没有该键值的话，可以自己新建一个名为“CheckedValue”的“DWORD值”，然后将其值修改为“0”即可。
账号及安全策略
帐号安全是计算机系统安全的第一关，如果计算机系统帐号被盗，那么计算机将会很危险的，轻则入侵者可以任意控制计算机，如果我们的计算机中保存着重要的机密文件或者银行卡号与密码，那么损失将会非常严重。个人计算机用户防范： 1、安装杀毒软件及防火墙，并经常升级。 2、经常升级系统和应用软件补丁。3、不要轻易打开来历不明的文件。4、关闭不需要的系统服务。5、为所有帐号加上足够复杂的密码服务器及企业用户的防范： 1、安装杀毒软件及防火墙（最好是硬件防火墙）2、经常升级系统及应用软件补丁3、不要打开来历不明的文件4、关闭不需要的系统服务 5、关闭GUEST帐户或者给所有的用户加一个足够复杂的密码6、把管理员组administrators改名7、服务器的分区格式都采用NTFS格式8、开启安全审核9、使用扫描工具对服务器和WEB站点进行安全扫描10、经常查看系统进程和系统日志11、定期做好备份

windows系统安全加固(修正版)

2.5 关闭不必要的端口
关闭端口意味着减少功能,如果服务器安装在防火墙的后面，被入侵的机会就会少一些，但是不可以认为高枕无忧了。可以在操作系统里来限制端口的访问，如图所示为从操作系统TCP/IP里限制端口，只开放4个端口。
2.6开启系统审核策略
审核策略在默认的情况下都是没有开启的。打开“控制面板”→“管理工具”→“本地安全设置”→“审核策略”
➢操作系统安全配置问题
1. 访问权限的恰当设置指利用操作系统提供的访问控制功能为用户和文件系统设置恰
当的访问权限。 2. 系统的及时更新
几乎所有操作系统都不同程度的存在着设计和程序缺陷,在应用中会产生安全漏洞，容易被病毒利用来侵入并攻击用户计算机。 3. 对于攻击的防范
利用操作系统提供的各种功能及安装各种防范软件来提高系统的防护能力。
2.6开启系统审核策略
从图中可以看到,9个审核策略都没有打开。最好将这些信息审核信息都打开。以便于以后出现安全事件的时候进行查找。双击要打开的审核策略选项。
2.7 开启密码策略
系统密码在默认的情况下都是没有开启的。打开“控制面板”→“管理工具”→“本地安全设置”→“审核策略”。
2.7 开启密码策略
主要内容
Windows系统安全问题 Windows系统安全加固
Windows系统安全加固
1.保护账号 2.设置安全的密码 3.设置屏幕保护密码 4.关闭不必要的服务 5.关闭不必要的端口 6.开启系统审核策略 7.开启密码策略 8.开启帐户锁定策略 9.关闭系统默认共享 10.禁止TTL判断主机类型 11.修补操作系统漏洞 12.其它安全设置

Windows系统安全加固操作手册

1、应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账

号共享。

结果：现网已实现

2、应删除或锁定与设备运行、维护等工作无关的账号。

结果：现网已实现

3、对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写

字母和特殊符号4类中至少2类。

结果：可以实现

编号：安全要求-设备-WINDOWS-配置-4

4、对于采用静态口令认证技术的设备，账户口令的生存期不长于90天。

结果：可以实现

编号：安全要求-设备-通用-配置-4

5、对于采用静态口令认证技术的设备，账户口令的生存期不长于90天。

结果：可以实现，应用账号不建议实现，将会影响应用系统；

编号：安全要求-设备-WINDOWS-配置-5

6、对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5

次）内已使用的口令。

结果：可以实现

编号：安全要求-设备-WINDOWS-配置-6

7、对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6

次），锁定该用户使用的账号。

结果：可以实现

编号：安全要求-设备-WINDOWS-配置-7

8、在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。

结果：现网已实现

9、设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录

是否成功，登录时间，以及远程登录时，用户使用的IP地址。

结果：现网已实现

10、设备应配置日志功能，记录用户对设备的操作，包括但不限于以下内容：账号创建、

删除和权限修改，口令修改，读取和修改设备配置，读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户账号，操作时间，操作内容以及操作结果。

Windows操作系统安全加固标准化作业指导书

前言

目录1

配置管理

网络管理

接入管理

日志与审计

恶意代码防范

目录Part 1 配置管理

1.1用户权限策略配置

1.2删除或禁用系统无关用户

1.3屏幕保护程序时间设置

1.4系统重要数据访问控制

1.5用户账户复杂度策略

1.6用户登录失败锁定

1.7用户口令周期策略

1.8用户口令过期提醒

1.9系统不显示上次登录用户名

1.10补丁更新

1.11禁止用户修改IP

1.12禁止用户更改计算机名

1.13删除默认路由配置

1.14关闭默认共享

1.15操作系统用户账户控制设置的配置

1.16禁止未登录关机

1.17关机时清除虚拟内存页面文件

1.18禁止非管理员关机

1.19卸载无关软件

目录Part 2 网络服务管理

2.1关闭不必要的服务

2.2关闭不必要的系统端口

2.3强化 TCP/IP 堆栈防止拒绝服务攻击

2.4设置最小挂起时间

2.5开启防火墙功能

2.6配置访问控制规则

目录Part 3 接入管理

3.1禁用移动存储介质

3.2关闭空闲网络端口

3.3关闭自动播放功能

3.4关闭远程主机RDP服务

3.5限制远程登录的IP

3.6限制远程登录协议

3.7限制远程登录时间

3.8修改远程桌面默认服务端口

3.9限制匿名用户远程连接

3.10主机间登录禁止使用公钥验证

Windows系统安全加固

第二章 Windows系统安全加固

Windows Server 2003操作系统，具有高性能、高可靠性和高安全性等特点。Windows Server 2003在默认安装的时候，基于安全的考虑已经实施了很多安全策略，但由于服务器操作系统的特殊性，在默认安装完成后还需要张先生对其进行安全加固，进一步提升服务器操作系统的安全性，保证应用系统以及数据库系统的安全。

在安装Windows Server 2003操作系统时，为了提高系统的安全性，张先生按系统建议，采用最小化方式安装，只安装网络服务所必需的组件。如果以后有新的服务需求，再安装相应的服务组件，并及时进行安全设置。

在完成操作系统安装全过程后，要对Windows系统安全性方面进行加固，系统加固工作主要包括账户安全配置、密码安全配置、系统安全配置、服务安全配置以及禁用注册表编辑器等内容，从而使得操作系统变得更加安全可靠，为以后的工作提供一个良好的环境平台。

操作系统的安全是整个计算机系统安全的基础，其安全问题日益引起人们的高度重视。作为用户使用计算机和网络资源的操作界面，操作系统发挥着十分重要的作用。因此，操作系统本身的安全就成了安全防护的头等大事。

一、操作系统安全的概念

操作系统的安全防护研究通常包括以下几个方面的内容：

（1）操作系统本身提供的安全功能和安全服务。目前的操作系统本身往往要提供一定的访问控制、认证与授权等方面的安全服务，如何对操作系统本身的安全性能进行研究和开发使之符合选定的环境和需求；

（2）针对各种常用的操作系统，进行相关配置，使之能正确对付和防御各种入侵；

微软Windows操作系统安全加固标准

Windows安全加固建议书

1 配置标准 (3)

1.1 组策略管理 (3)

1.1.1 组策略的重要性 (3)

1.1.2 组策略的应用方式 (4)

1.1.3 组策略的实施 (4)

1.2 用户账号控制 (6)

1.2.1 密码策略 (6)

1.2.2 复杂性要求 (6)

1.2.3 账户锁定策略 (7)

1.2.4 内置账户安全 (7)

1.3 安全选项策略 (7)

1.4 注册表安全配置 (11)

1.4.1 针对网络攻击的安全考虑事项 (11)

1.4.2 禁用文件名的自动生成 (12)

1.4.3 禁用Lmhash 创建 (13)

1.4.4 配置NTLMSSP 安全 (13)

1.4.5 禁用自动运行功能 (14)

1.5 补丁管理 (14)

1.5.1 确定修补程序当前版本状态 (14)

1.5.2 部署修补程序 (14)

1.6 文件/目录控制 (15)

1.6.1 目录保护 (15)

1.6.2 文件保护 (16)

1.7 系统审计日志 (23)

1.8 服务管理 (24)

1.8.1 成员服务器 (24)

1.8.2 域控制器 (26)

1.9 其它配置安全 (28)

1.9.1 确保所有的磁盘卷使用NTFS文件系统 (28)

1.9.2 系统启动设置 (28)

1.9.3 屏保 (28)

1配置标准

1.1组策略管理

1.1.1组策略的重要性

Windows组策略有助于在您的Active Directory 域中为所有工作站和服务器实现安全策略中的技术建议。可以将组策略和OU 结构结合使用，为特定服务器角色定义其特定的安全设置。

Windows系统主机加固报告

引言概述:

Windows系统是目前最常用的操作系统之一，但由于其普及度很高，也是攻击者的主要目标。为了保护Windows系统主机的安全，必须进行加固措施。本文将从5个大点出发，详细阐述Windows系统主机加固的重要性以及具体加固措施。

正文内容:

1.强化账户与密码管理

1.1.禁用默认管理员账户

1.2.设置复杂密码策略

1.3.启用账户锁定功能

1.4.定期更改密码

1.5.使用多因素认证

2.安装最新的操作系统和更新程序

2.1.定期检查系统更新

2.2.安装最新的安全补丁

2.3.关闭自动更新的漏洞利用功能

2.4.定期升级操作系统版本

2.5.考虑使用漏洞扫描工具进行系统检测

3.配置防火墙和安全策略

3.1.启用Windows防火墙

3.2.配置合适的入站和出站规则

3.3.阻止不必要的服务和端口

3.4.启用远程桌面连接时使用网络级别身份验证

3.5.考虑使用高级防火墙软件增加安全性

4.加强访问控制和授权

4.1.使用适当的用户权限

4.2.禁用不必要的账户

4.3.设置安全策略以限制程序和文件的访问权限4.4.定期审查和更新访问控制列表

4.5.考虑使用身份验证和授权工具来增加安全性

5.安装有效的安全软件

5.1.安装杀毒软件和防恶意软件工具

5.2.定期更新安全软件的病毒库和定义文件

5.3.启用实时保护和自动扫描功能

5.4.安装和配置网络安全监控工具

5.5.定期进行系统安全性评估和漏洞扫描

总结:

Windows系统主机加固是保护计算机系统安全的关键环节。通过强化账户与密码管理、安装最新的操作系统和更新程序、配置防火墙和安全策略、加强访问控制和授权、安装有效的安全软件等措施，可以有效降低系统遭受攻击的风险。加固措施仅仅是提高安全性的一部分，管理员还需要持续关注安全漏洞和威胁情报，并与安全专家保持联系，以保障系统的最大安全性。

Windows Server系统安全加固

1.1系统基础信息查看命令

1.Windows微标键+R

#打开cmd命令窗口

2.winver

#查看系统版本

3.wmic os get ServicePackMajorVersion

#查看系统SP版本号

4.wmic qfe get hotfixid,InstalledOn

#查看系统已安装的hotfix安全补丁

5.hostname

#查看系统所设置的主机名称

6.ipconfig /all

#查看系统中所有网卡的网络配置

7.ipconfig /flushdns

#清空本机的DNS缓存

8.route print

#查看Windows系统中的路由信息

9.arp -a

#查看Windows系统中的ARP缓存表

stat -ano

#查看Windows系统已开放的端口信息

1.2安全补丁升级

Windows操作系统从发布到生命周期结束的过程中会不断的曝出系统漏洞，微软公司就会不停的打补丁进行BUG和安全漏洞的修复，所以及时的更新系统补丁(尤其是安全补丁)对于系统安全性是非常有效的。

但是注意本项操作存在一定的风险，尤其是生产环境中，系统更新之后需要重启生效，需要选择一个合适的时间段进行；所以一般是在初始部署的时候进行系统版本和补丁更新，正式使用之后，建议关闭自动更新功能，后期只针对安全性漏洞进行手动打补丁。

如下图所示，找不到位置的可以直接搜索“更新”，点击“检查更新”按钮，如果微软官网有更新的补丁就会自动检测并安装。

1.3账号优化

1.使用“compmgmt.msc”命令打开“计算机管理”，也可以右击“此电脑”

Windows系统安全检测与加固手册2010-7-15修订版

Windows系统安全检测加固手册(修订版)

（单位人员内部使用）

注意：

1、本手册基于Windows XP Professional (sp3)版设计，个别加固项对于Windows7和WinXP Home版并不适用

2、如果加固过程中，因系统差异加固项出现出入，可根据实际情况选择“新建注册表项”或忽略该加固选项。

准备工作

1帐号安全1.1 帐号口令

1.2 帐号设置

2文件系统安全2.1 系统分区

2.2 目录文件

3系统配置3.1 系统设置

3.2 安全策略

3.3 系统任务

3.4 系统时钟

4网络服务安全4.1 服务禁用

4.2 远程管理

5系统访问控制

5.1 防火墙

6病毒及恶意代码防护6.1 病毒防护

7补丁与更新安全

8日志及审计的安全性

8.1 日志和审计

附加项1

附加项2

windows安全加固的常见方法

对于Windows系统的安全加固，以下是一些常见的方法：

更新和安装补丁：确保操作系统和应用程序都及时更新，并安装最新的安全补丁。这样可以修复已知的漏洞和弱点，增强系统的安全性。使用强密码和多因素身份验证：确保使用强密码来保护用户账户，并启用多因素身份验证（如短信验证码、指纹识别等），以提高账户的安全性。

防火墙设置：打开系统内置的防火墙，并配置适当的规则来限制网络访问，只允许必要的网络连接。

安装可靠的安全软件：安装和更新可靠的杀毒软件、防火墙和恶意软件防护程序，以及其他安全工具，用于检测和阻止恶意软件和网络攻击。

关闭不必要的服务和功能：禁用或关闭系统中不必要的服务和功能，减少系统的攻击面。

定期备份数据：定期备份重要数据，并确保备份数据存储在安全的地方，以防止数据丢失或损坏。

使用安全的网络连接：避免使用不安全的公共Wi-Fi网络，尽量使用加密的网络连接（如VPN）来保护数据的传输安全。

用户权限管理：合理分配和管理用户权限，确保每个用户只拥有必要的权限，以减少潜在的安全风险。

定期检查安全设置：定期审查和更新系统的安全设置，确保安全策略和配置符合最佳实践，并及时做出调整。

这些方法只是一些常见的安全加固措施，具体的操作和设置可以根据

具体情况和需求进行进一步的调整和优化。此外，保持对安全漏洞和最新威胁的关注，并采取相应的措施来应对，也是保持系统安全的重要方面。

win系统加固方案

win10系统加固方案

1、磁盘加密位元锁Enable BitLocker

Windows 10中的磁盘加密位元锁可以用来加密任何硬盘上的信息,包括启动、系统甚至移动媒体,鼠标右键就可以在选项中加密Windows资源管理器中的数据;用户可以在设置菜单中选择希望加锁的文件,被加密的文件可以被设置为只读,且不能被重新加密;

在保存好Bitlocker信息后关闭电脑,BitLocker的恢复信息存储在计算机的属性文件中,大多数情况下自动备份用户的密码恢复到Active Directory;所以要确保可以访问这些属性,防止丢失密码后无法恢复文件;

2、提升安全级别

Windows 10的用户帐户控制得到较大的改进,在区别合法和非法程序时表现得十分精确、迅速;根据用户的登录方式管理员或普通用户默认UAC安全级别设置,可以选择不同敏感度的防御级别;

Windows 10中设计了一个简单的用户帐户控制滚动条,方便管理员或标准用户设置它们的UAC安全级别;

建议将UAC安全级别设置为“始终通知”,请放心Windows 10中遇到的安全通知要比Vista少很多;

虽然UAC功能提供了一个必要的防御机制,但是为了系统的稳定性,请谨慎使用管理员帐户;

3、及时升级

在Windows 10的默认设置中,Windows升级服务将自动下载并安装重要的Windows系统和应用程序的升级包;

有一项研究表明,微软的软件是世界上补丁最多的产品;但是系统并没有提醒你,及时

更新其他的非系统软件,比如浏览器、媒体播放器等;黑客们现在都喜欢从这些方面对电脑进行攻击;

windows操作系统的安全加固

【提醒】操作系统的默认设置是不安全的

方法一：账号安全

【案例1】针对口令的攻击容易实现

Cain——著名的windows平台的口令恢复工具

Cain能通过网络嗅探很容易地恢复多种口令，能够使用字典破解加密的口令，暴力口令破解，捕

获voip电话的谈话内容，解码加密后的口令，获取无线网络密钥，恢复缓存的口令，分析路由协议等。

它还可以远程破解，可以挂字典以及暴力破解，其sniffer功能极其强大，几乎可以明文捕获一切帐号口令，包括ftp、http、imap、pop3、smb、telnet、vnc、tds、smtp、mskerb5-

preauth、msn、radius-keys、radius-users、icq、ike aggressive mode pre-shared keys authentications等。

使用cain进行密码破解、arp欺骗、dns欺骗等，通过嗅探功能得到相关的密码，对密文进行暴力破解，通过路由探测、主机信息枚举等得到目标主机的敏感信息等。

【案例2】神器咪咪卡住查看当前登录用户口令

1）设置一个好的口令（强壮+易记）

2）定期修改

【提醒】生产环境中的服务器的口令应 >26位3）应尽量避免在不同场合设置同样的口令4）输入口令时切记不要让别人看到

5）不要让其他人随意使用你的机器

6）设置一个陷阱账号

Windows区分用户是根据SID（安全标识符）

7）删除（或禁用）一些不常用的账号账号越多，风险越大

8）启用账号的安全策略

9）查看系统账号所属的组是否正确10）账号优化

操作系统安全加固措施

操作系统的安全加固措施是为了保护系统不受恶意攻击和未经授权的访问，以下是一些常见的操作系统安全加固措施：

1. 更新操作系统和软件：及时安装操作系统和软件的安全更新，包括修复已知的漏洞和弱点。

2. 增强访问控制：设定强密码和多因素认证，限制用户权限，并确保每个用户只有所需的最低权限。

3. 设置防火墙：使用防火墙来过滤网络流量，仅允许必要的网络连接，并配置防火墙规则以阻止未经授权的访问。

4. 禁用不必要的服务和功能：禁用不需要的服务和功能，以减少潜在的攻击面。

5. 启用日志和监控：开启系统日志记录和监控功能，及时检测和响应潜在的入侵或异常活动。

6. 加密数据传输和存储：使用加密协议和技术保护网络传输和数据存储的安全性，确保敏感信息不被窃取或篡改。

7. 定期备份和恢复：定期备份系统和数据，以防止数据丢失或系统崩溃时能够快速恢复。

8. 监控和审核安全策略：定期审查和更新安全策略，确保其与最新的威胁和风险相匹配。

9. 培训用户和员工：提供安全意识培训，教育用户和员工如何避免常见的安全威胁和社会工程攻击。

10. 使用安全软件和工具：使用杀毒软件、反间谍软件、入侵

检测系统等安全工具来提供实时保护和检测潜在的威胁。

最重要的是，操作系统的安全加固措施应该是一个持续的过程，随着新的威胁和漏洞的出现，及时更新和改进系统。

windows安全加固的常见方法

Windows安全加固是指通过一系列的措施，提高Windows系统的安全性，防止黑客攻击、病毒感染等安全威胁。在网络安全日益重要的今天，Windows安全加固已经成为了每个企业和个人必须要做的一项工作。本文将介绍一些常见的Windows安全加固方法。

一、安装杀毒软件

杀毒软件是保护Windows系统的第一道防线，它可以及时发现并清除病毒、木马等恶意软件。因此，安装杀毒软件是Windows安全加固的必要步骤。在选择杀毒软件时，应该选择知名品牌，更新频率高的杀毒软件，并及时更新病毒库。

二、安装防火墙

防火墙是保护Windows系统的第二道防线，它可以监控网络流量，阻止未经授权的访问。Windows系统自带了防火墙，但是它的功能比较简单，建议安装第三方防火墙软件，如360安全卫士、火绒等。

三、关闭不必要的服务

Windows系统默认启动了很多服务，有些服务是我们不需要的，但是它们会占用系统资源，增加系统的安全风险。因此，关闭不必要的服务是Windows安全加固的重要步骤。可以通过“服务”管

理器来关闭不必要的服务。

四、更新系统补丁

Windows系统的漏洞是黑客攻击的入口，因此，及时更新系统补丁是Windows安全加固的重要步骤。微软每个月都会发布安全补丁，建议及时下载安装。

五、设置强密码

强密码是保护Windows系统的重要措施，它可以防止黑客通过猜测密码的方式入侵系统。建议设置复杂的密码，包括大小写字母、数字和特殊字符，并定期更换密码。

六、禁用自动运行

自动运行是Windows系统的一个功能，它可以自动运行光盘、U 盘等外部设备中的程序。但是，这个功能也会被黑客利用，通过植入病毒来感染系统。因此，禁用自动运行是Windows安全加固的重要步骤。

Windows系统加固

计算机科学与工程学院

天津理工大学

计算机科学与工程学院

实验报告

2016 至2017 学年第二学期

课程名称信息安全综合实验

实验（1）实验名称Windows系统加固

实验时间2017年05月14日第1节至第4节

学号姓名专业班级

指导教师辅导教师成绩

批改意见

实验目的

1）掌握windows 的安全加固方案；

2）保证服务器的安全。

实验内容（应包括实验题目、实验要求、实验任务等）

1）实验题目：Windows系统加固；

2）实验报告要求:根据实验步骤完成实验任务，并对实验过程进行分析，完成思考题目，总结实验的心得体会，并提出实验的改进意见;

3）实验任务：掌握windows 的安全加固方案。

实验过程与实验结果（可包括实验实施的步骤、算法描述、流程、结论等）

实验步骤一

账号安全

1.更改管理员账号

安装windows server 2008 后，默认会自动创建一个系统管理员账号，即Admin istrator。许多管理员贪图一时方便，就直接用作自己的账户，因此，许多黑客攻击的服务器的时候总是试图破解Administrator 账户的密码，如果此时密码安全性不高，就很容易被破解。所以，可以更改管理员账户名来避免此类攻击，提高系统安全性。

以Administrator账户登录本地计算机，开始->运行->compmgmt.msc（计算机管理）->本地用户和组->用户，右击Administrator账户并选择“重命名”，并输入新的账户名称就可以了，但尽量不要用admin 、guanliyuan之类的名称，否则账户安全性一样没有什么保障。