Windows系统安全加固技术指导书
windows服务器安全加固方案
1.系统的安全加固:我们通过配置目录权限,系统安全策略,协议栈加强,系统服务和访问控制加固您的系统,整体提高服务器的安全性。
2.IIS手工加固:手工加固iis可以有效的提高iweb站点的安全性,合理分配用户权限,配置相应的安全策略,有效的防止iis用户溢出提权。
3.系统应用程序加固,提供应用程序的安全性,例如sql的安全配置以及服务器应用软件的安全加固。
三.系统的安全加固:1.目录权限的配置:1.1 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权,之后再对其下的子目录作单独的目录权限,如果WEB站点目录,你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限,如果想使网站更加坚固,可以分配只读权限并对特殊的目录作可写权限。
1.2 系统所在分区下的根目录都要设置为不继承父权限,之后为该分区只赋予Administrators和SYSTEM有完全控制权。
1.3 因为服务器只有管理员有本地登录权限,所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权,其下的子目录同样。
另外还有一个隐藏目录也需要同样操作。
因为如果你安装有PCAnyWhere那么他的的配置信息都保存在其下,使用webshell 或FSO可以轻松的调取这个配置文件。
1.4 配置Program files目录,为Common Files目录之外的所有目录赋予Administrators和SYSTEM 有完全控制权。
1.5 配置Windows目录,其实这一块主要是根据自身的情况如果使用默认的安全设置也是可行的,不过还是应该进入SYSTEM32目录下,将cmd.exe、ftp.exe、net.exe、scrrun.dll、shell.dll这些杀手锏程序赋予匿名帐号拒绝访问。
1.6审核MetBase.bin,C:\WINNT\system32\inetsrv目录只有administrator只允许Administrator 用户读写。
windows系统安全加固(修正版)
➢操作系统概述
❖NT 系列
Windows Server 2003 ( 2003 ) Windows Server 2008 ( 2008 ) Windows Home Server ( 2008 ) Windows HPC Server 2008 ( 2010 )
Windows系统安全问题
➢操作系统概述 ➢操作系统安全概念 ➢操作系统配置问题 ➢操作系统安全漏洞问题
计算机里通常安装有了些不必要的服务,如果这些服务没有用的话,最好 能将这些服务关闭。例如:为了能够在远程方便的管理服务器,很多机器 的终端服务都是开着的 如果开了要确认已经正确的配置了终端服务。有些恶意的程序也能以服 务方式悄悄的运行服务器上的终端服务。要留意服务器上开启的所有服 务并每天检查。
2.4 关闭不必要的服务
2.6开启系统审核策略
从图中可以看到,9个审核策略都没有打开。最好将这些信息审核信息都 打开。以便于以后出现安全事件的时候进行查找。双击要打开的审核策 略选项。
2.7 开启密码策略
系统密码在默认的情况下都是没有开启的。打开“控制面板”→“管理 工具”→“本地安全设置”→“审核策略”。
2.7 开启密码策略
Windows系统安全加固
主要内容
Windows系统安全问题 Windows系统安全加固
操作系统安全问题
➢操作系统概述 ➢操作系统安全概念 ➢操作系统安全配置问题 ➢操作系统安全漏洞问题
➢操作系统概述
❖MS- Dos
Windows 1.0 ( 1985 ) Windows 2.0 ( 1987 ) Windows 2.1 ( 1988 ) windows 3.0 ( 1990 ) windows 3.1 ( 1992 ) Windows 3.2 ( 1994 )
Windows系统安全加固操作手册
1、应按照用户分配账号。
避免不同用户间共享账号。
避免用户账号和设备间通信使用的账号共享。
结果:现网已实现2、应删除或锁定与设备运行、维护等工作无关的账号。
结果:现网已实现3、对于采用静态口令认证技术的设备,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
结果:可以实现编号:安全要求-设备-WINDOWS-配置-44、对于采用静态口令认证技术的设备,账户口令的生存期不长于90天。
结果:可以实现编号:安全要求-设备-通用-配置-45、对于采用静态口令认证技术的设备,账户口令的生存期不长于90天。
结果:可以实现,应用账号不建议实现,将会影响应用系统;编号:安全要求-设备-WINDOWS-配置-56、对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令。
结果:可以实现编号:安全要求-设备-WINDOWS-配置-67、对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。
结果:可以实现编号:安全要求-设备-WINDOWS-配置-78、在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
结果:现网已实现9、设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。
结果:现网已实现10、设备应配置日志功能,记录用户对设备的操作,包括但不限于以下内容:账号创建、删除和权限修改,口令修改,读取和修改设备配置,读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。
记录需要包含用户账号,操作时间,操作内容以及操作结果。
结果:可以实现编号:安全要求-设备-WINDOWS-配置-1111、对于具备TCP/UDP协议功能的设备,设备应根据业务需要,配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤,过滤所有和业务不相关的流量。
Windows系统安全加固技术指导书
甘肃海丰信息科技有限公司Windows系统安全加固技术指导书◆版本◆密级【绝密】◆发布甘肃海丰科技◆编号GSHF-0005-OPM-©2006-2020 HIGHFLYER INFORMATION TECHNOLOGY ,INC.目录文档信息................................................................. 错误!未定义书签。
前言.................................................................... 错误!未定义书签。
一、编制说明............................................................ 错误!未定义书签。
二、参照标准文件........................................................ 错误!未定义书签。
三、加固原则............................................................ 错误!未定义书签。
1.业务主导原则..................................................... 错误!未定义书签。
2.业务影响最小化原则............................................... 错误!未定义书签。
3.实施风险控制..................................................... 错误!未定义书签。
(一)主机系统............................................................. 错误!未定义书签。
(二)数据库或其他应用 ..................................................... 错误!未定义书签。
Windows系统安全加固
步骤3:单击“确定”按钮,弹出“建议的数值改动” 对话框,设置建议的“账户锁定时间”为“30分钟”、 “复位账户锁定计数器”为“30分钟之后”,如图220所示,单击“确定”按钮,完成账户锁定策略设置。
3.设置屏幕保护密码
防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一 些复杂的屏幕保护程序浪费系统资源,黑屏就可以了 。
步骤1:选择“开始”→ “程序”→“管理工具”→“本地安全 策略”命令,打开“本地安全设置”窗口,在左侧窗格中,选 择“安全设置”→“账户策略”→“密码策略”选项,如图214所示。
步骤2:双击右侧窗格中的“密码长度最小值”策略选项,打开 “密码长度最小值 属性”对话框,选择“本地安全设置”选项 卡,设置密码必须至少是6个字符,如图2-15所示,单击“确定” 按钮,返回“本地安全设置”窗口。
(3) 保证操作系统本身所提供的网络服务能得到安全配置。
只有经过授权的用户或代表该用户运行的进程才能读、 写、创建或删除信息。
一、 WINDOWS密码设置实训
为提高计算机WINDOWS操作系统的安全性,可 作哪些安全配置?(小组讨论,总结)3分钟
windows系统的安全审计和安全配置
用户身份验证
6) 使用自己或亲友的生日作为密码。
7) 使用常用英文单词作为密码。 8) 使用6位以下的数字或英文字母作为密码.
6.3 账户管理与密码安全 P196
账户与密码的使用通常是许多系统预设的防护措施。事实上,有许 多用户的密码是很容易被猜中的,或者使用系统预设的密码、甚至 不设密码。
用户应该要避免使用不当的密码、系统预设密码或是使用空白密码, 也可以配置本地安全策略要求密码符合安全性要求。(英文大小写、 数字、特殊字符,8位以上)
操作系统加固手册
操作系统加固手册目录1.1 Windows系统 (3)1.1.1 设置帐号口令策略 (3)1.1.2 系统账户优化 (4)1.1.3 关闭非必需服务 (6)1.1.4 设置安全审计策略 (7)1.1.5 设置合理的日志文件大小 (8)1.1.6 屏蔽之前登录的用户信息 (10)1.1.7 默认共享未关闭 (11)1.1.8 设置自动屏保锁定 (12)1.1.9 关闭autorun自动播放功能 (13)1.1.10 卸载与工作无关的软件 (14)1.2 AIX主机 (14)1.2.1 消除系统弱口令 (15)1.2.2 系统账户优化 (15)1.2.3 修改口令策略 (16)1.2.4 系统未设置登录会话时间 (17)1.2.5 禁用TCP/UDP小服务 (17)1.2.6 禁用Sendmail、SNMP服务 (18)1.2.7 采用SSH代替telnet管理维护主机 (19)1.3 HP-UX主机 (20)1.3.1 消除系统弱口令 (20)1.3.2 系统账户优化 (20)1.3.3 修改口令策略 (21)1.3.4 系统未设置登录会话时间 (22)1.3.5 关闭非必需的服务 (22)1.3.6 修改SNMP服务默认读写口令串 (24)1.3.7 采用SSH代替telnet管理维护主机 (24)1.4 Linux主机 (25)1.4.1 消除系统弱口令 (25)1.4.2 系统账户优化 (25)1.4.3 增强口令策略 (26)1.4.4 登录超时设置 (27)1.4.5 关闭非必需的服务 (28)1.4.6 采用SSH代替telnet管理维护主机 (28)1.1 Windows系统加固说明:1、加固前,备份加固中涉及的配置文件;2、加固后,测试业务应用是否正常;3、每加固一台填写一个加固记录表(在“Windows加固记录表”文件夹)1.1.1 设置帐号口令策略安全建议:打开“控制面板”->“管理工具”,进入“本地安全策略”。
微软Windows操作系统安全加固标准
Windows安全加固建议书目录1 配置标准 (3)1.1 组策略管理 (3)1.1.1 组策略的重要性 (3)1.1.2 组策略的应用方式 (4)1.1.3 组策略的实施 (4)1.2 用户账号控制 (6)1.2.1 密码策略 (6)1.2.2 复杂性要求 (6)1.2.3 账户锁定策略 (7)1.2.4 内置账户安全 (7)1.3 安全选项策略 (7)1.4 注册表安全配置 (11)1.4.1 针对网络攻击的安全考虑事项 (11)1.4.2 禁用文件名的自动生成 (12)1.4.3 禁用Lmhash 创建 (13)1.4.4 配置NTLMSSP 安全 (13)1.4.5 禁用自动运行功能 (14)1.5 补丁管理 (14)1.5.1 确定修补程序当前版本状态 (14)1.5.2 部署修补程序 (14)1.6 文件/目录控制 (15)1.6.1 目录保护 (15)1.6.2 文件保护 (16)1.7 系统审计日志 (23)1.8 服务管理 (24)1.8.1 成员服务器 (24)1.8.2 域控制器 (26)1.9 其它配置安全 (28)1.9.1 确保所有的磁盘卷使用NTFS文件系统 (28)1.9.2 系统启动设置 (28)1.9.3 屏保 (28)1配置标准1.1组策略管理1.1.1组策略的重要性Windows组策略有助于在您的Active Directory 域中为所有工作站和服务器实现安全策略中的技术建议。
可以将组策略和OU 结构结合使用,为特定服务器角色定义其特定的安全设置。
如果使用组策略来实现安全设置,则可以确保对某一策略进行的任何更改都将应用到使用该策略的所有服务器,并且新的服务器将自动获取新的设置。
1.1.2组策略的应用方式一个用户或计算机对象可能受多个组策略对象(GPO)的约束。
这些GPO 按顺序应用,并且设置不断累积,除发生冲突外,在默认情况下,较迟的策略中的设置将替代较早的策略中的设置。
WindowsXP系统安全加固手册
WindowsXP系统安全加固手册
(内部使用)
注意:
1、本手册基于Windows XP Professional (sp3)版设计,个别加固项对于Windows7和WinXP Home版并不适用
2、如果加固过程中,因系统差异加固项出现出入,可根据实际情况选择“新建注册表项”或忽略该加固选项。
准备工作
1帐号安全1.1 帐号口令
1.2 帐号设置
2文件系统安全2.1 系统分区
2.2 目录文件
3系统配置3.1 系统设置
3.2 安全策略
3.3 系统任务
3.4 系统时钟
4网络服务安全4.1 服务禁用
4.2 远程管理
5系统访问控制5.1 防火墙
6病毒及恶意代码防护6.1 病毒防护
7补丁与更新安全
8日志及审计的安全性8.1 日志和审计。
Windows Server系统安全加固
Windows Server系统安全加固1.1系统基础信息查看命令1.Windows微标键+R#打开cmd命令窗口2.winver#查看系统版本3.wmic os get ServicePackMajorVersion#查看系统SP版本号4.wmic qfe get hotfixid,InstalledOn#查看系统已安装的hotfix安全补丁5.hostname#查看系统所设置的主机名称6.ipconfig /all#查看系统中所有网卡的网络配置7.ipconfig /flushdns#清空本机的DNS缓存8.route print#查看Windows系统中的路由信息9.arp -a#查看Windows系统中的ARP缓存表stat -ano#查看Windows系统已开放的端口信息1.2安全补丁升级Windows操作系统从发布到生命周期结束的过程中会不断的曝出系统漏洞,微软公司就会不停的打补丁进行BUG和安全漏洞的修复,所以及时的更新系统补丁(尤其是安全补丁)对于系统安全性是非常有效的。
但是注意本项操作存在一定的风险,尤其是生产环境中,系统更新之后需要重启生效,需要选择一个合适的时间段进行;所以一般是在初始部署的时候进行系统版本和补丁更新,正式使用之后,建议关闭自动更新功能,后期只针对安全性漏洞进行手动打补丁。
如下图所示,找不到位置的可以直接搜索“更新”,点击“检查更新”按钮,如果微软官网有更新的补丁就会自动检测并安装。
1.3账号优化1.使用“compmgmt.msc”命令打开“计算机管理”,也可以右击“此电脑”选择管理在“工具”项中选择“计算机管理”。
统默认的、业务系统交互所必须的账户禁用,尤其是Guest账户。
3.禁用指定账户操作步骤如下图所示,也可以使用以下cmd命令行进行账户的禁用操作net user test /del #删除系统账户名称为test的账户net user xxxx /add #创建系统账户名称为test的账户net user test /active:yes #激活test账户net user xxxx /active:no #禁用test账户1.4账号锁定和密码策略优化通过密码策略的优化配置,增强系统密码的复杂度及账户锁定策略,可以极大的降低被暴力破解的可能性。
windows操作系统的安全加固
windows操作系统的安全加固【提醒】操作系统的默认设置是不安全的方法一:账号安全【案例1】针对口令的攻击容易实现Cain——著名的windows平台的口令恢复工具Cain能通过网络嗅探很容易地恢复多种口令,能够使用字典破解加密的口令,暴力口令破解,捕获voip电话的谈话内容,解码加密后的口令,获取无线网络密钥,恢复缓存的口令,分析路由协议等。
它还可以远程破解,可以挂字典以及暴力破解,其sniffer功能极其强大,几乎可以明文捕获一切帐号口令,包括ftp、http、imap、pop3、smb、telnet、vnc、tds、smtp、mskerb5-preauth、msn、radius-keys、radius-users、icq、ike aggressive mode pre-shared keys authentications等。
使用cain进行密码破解、arp欺骗、dns欺骗等,通过嗅探功能得到相关的密码,对密文进行暴力破解,通过路由探测、主机信息枚举等得到目标主机的敏感信息等。
【案例2】神器咪咪卡住查看当前登录用户口令1)设置一个好的口令(强壮+易记)2)定期修改【提醒】生产环境中的服务器的口令应 >26位3)应尽量避免在不同场合设置同样的口令4)输入口令时切记不要让别人看到5)不要让其他人随意使用你的机器6)设置一个陷阱账号Windows区分用户是根据SID(安全标识符)7)删除(或禁用)一些不常用的账号 账号越多,风险越大8)启用账号的安全策略9)查看系统账号所属的组是否正确10)账号优化方法二:取消系统的一些默认设置1)关闭默认的管理共享2)更改系统默认的TTL值(判定操作系统的类型) 2008---128Linux---643)更改系统服务默认的端口远程桌面----3389/tcp 改成 40004 )禁用系统中不必要的服务,并对系统服务的状态要做记录 越少的服务=越高的安全5)启用恢复代理(EFS)建议把默认管理员指定为恢复代理用户CIPHER /R:filename/R 生成一个 EFS 恢复代理密钥和证书,然后把它们写入一个 .PFX 文件(包含证书和私钥)和一个 .CER 文件(只包含证书)。
Windows操作系统安全加固规范
Windows主机操作系统安全基线规范目录1账号管理、认证授权 (1)1.1账号 (1)1.1.1ELK-Windows-01-01-01 (1)1.1.2ELK-Windows-01-01-02 (2)1.1.3ELK-Windows-01-01-03 (3)1.2口令 (4)1.2.1ELK-Windows-01-02-01 (4)1.2.2ELK-Windows-01-02-02 (5)1.3授权 (6)1.3.1ELK-Windows-01-03-01 (6)1.3.2ELK-Windows-01-03-02 (7)1.3.3ELK-Windows-01-03-03 (8)1.3.4ELK-Windows-01-03-04 (9)1.3.5ELK-Windows-01-03-05 (10)2日志配置 (11)2.1.1ELK-Windows-02-01-01 (11)2.1.2ELK-Windows-02-01-02 (12)3通信协议 (14)3.1IP协议安全 (14)3.1.1ELK-Windows-03-01-01 (14)3.1.2ELK-Windows-03-01-02 (15)3.1.3ELK-Windows-03-01-03 (16)4设备其他安全要求 (18)4.1屏幕保护 (18)4.1.1ELK-Windows-04-01-01 (18)4.1.2ELK-Windows-04-01-02 (19)4.2共享文件夹及访问权限 (20)4.2.1ELK-Windows-04-02-01 (20)4.2.2ELK-Windows-04-02-02 (21)4.3补丁管理 (23)4.3.1ELK-Windows-04-03-01 (23)4.4防病毒管理 (24)4.4.1ELK-Windows-04-04-01 (24)4.4.2ELK-Windows-04-04-02 (25)4.5W INDOWS服务 (26)4.5.1ELK-Windows-04-05-01 (26)4.5.2ELK-Windows-04-05-02 (28)4.6启动项 (29)4.6.1ELK-Windows-04-06-01 (29)4.6.2ELK-Windows-04-06-02 (30)本文档是Windows操作系统的对于Win系统的设备账号认证、日志、协议、补丁升级、文件系统管理等方面的安全配置要求,共26项。
windows 系统安全加固配置
对于一个操作系统,合理的配置和正确的策略是系统安全的基础,
请对一个windows系统做如下的加固:
1 在“管理工具”--〉“本地安全策略”--〉“账户策略”——〉
设置密码策略:密码复杂性启用、密码长度最小值6位、密码最长存留期30天、强制密码历史3次
设置帐户锁定策略:账户锁定阈值5次,账户锁定时间30分钟
审核登录事件:成功与失败 (可以通过net use 连接测试)
审核对象访问:成功
审核策略更改:成功与失败
审核特权使用ห้องสมุดไป่ตู้成功与失败
审核系统事件:成功与失败
3 不显示上次登录名
4 禁止建立空连接
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA下,将DWORD值RestrictAnonymous的键值改为1
5 关闭端口
关闭139端口非常简单,通过防火墙来屏蔽NetBIOS对应的139端口,这样别人就无法攻击我们了。而关闭445端口,则可以通过修改注册表来实现,方法是:在“开始”菜单的“运行”中输入regedit,打开注册表编辑器。然后展开到这里:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters,在它的下面新建一个DWORD值SMBDeviceEnabled,其键值为0即可
6 禁止判断主机类型
依次展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”分支,然后在“Parameters”分支下面创建一个“DefaultTTL”双字节值,再将它的数值设置成其他任意一个数字。
Windows服务器安全加固
服务器安全加固(以WindowsServer2008为示例,Windowsserver2003和WindowsServer2012根据实际需要进行修正)1、服务器登录安全加固1)为登录用户添加密码,密码长度在10位以上,并满足密码包括字母数字和特殊字符组成等复杂度要求。
(请回答)2)禁用系统多余帐号,如不需要Guest帐号访问服务器,则应禁用。
(请截图)3)设置Windows用户密码策略,可通过“控制面板-管理工具-本地安全策略”中“帐户策略”下的“帐户策略”进行安全设置如下。
(请截图)4)设置Windows系统非法登录锁定次数,可通过“控制面板-管理工具-本地安全策略”中“帐户策略”下的“帐户锁定策略”进行安全加固,参数设置参考如下;(请截图)2、服务器安全事件审核安全加固。
(请截图)1)设置Windows服务器安全事件审核策略,可通过“控制面板-管理工具-本地安全策略”中“本地策略”下的“审核策略”进行安全设置,将其下的所有审核都设置成“成功”、“失败”(默认为“无审核”)。
2)设置日志系统的安全加固,打开“控制面板-管理工具-事件查看器”中,在“Windows日志”中选择一个日志类型,右击鼠标,设置“属性”的存储大小不小于512KB(4096KB);覆盖周期不小于15天(60天)。
(请截图)3、关闭服务器共享资源,可通过“控制面板-管理工具-计算机管理”中,选择“共享文件夹-共享”查看系统共享资源,删除不必要的多余共享资源。
(请截图)4、自动锁屏设置桌面点击右键-属性-屏幕保护程序,设置服务器自动锁屏时间为3分钟(参考)。
(请截图)5、对系统安装的FTP中建立的用户进行用户权限管理,根据“最小资源配置原则”,为每个FPT用户分配最小访问目录权限,访问目前权限设置,如用户可进行写操作,则对用户可分配的磁盘空间大小进行限制。
(是否开启FTP)6、根据工作的需要,为每个访问服务器的工作人员创建访问权限合理的用户,或建立工作人员访问服务器的纸质操作记录。
Wnow主机操作系统加固规范V
Windows主机操作系统加固规范2019年11月目录1账号管理、认证授权 .................................................................................1.1账号..............................................................................................................1.1.1SHG-Windows-01-01-01 ......................................................................1.1.2SHG-Windows-01-01-02 ......................................................................1.1.3SHG-Windows-01-01-03 ......................................................................1.2口令..............................................................................................................1.2.1SHG-Windows-01-02-01 ......................................................................1.2.2SHG-Windows-01-02-02 ......................................................................1.3授权..............................................................................................................1.3.1SHG-Windows-01-03-01 ......................................................................1.3.2SHG-Windows-01-03-02 ......................................................................1.3.3SHG-Windows-01-03-03 ......................................................................1.3.4SHG-Windows-01-03-04 ......................................................................1.3.5SHG-Windows-01-03-05 ...................................................................... 2日志配置........................................................................................................2.1.1SHG-Windows-02-01-01 ......................................................................2.1.2SHG-Windows-02-01-02 ...................................................................... 3通信协议........................................................................................................3.1IP协议安全...............................................................................................3.1.1SHG-Windows-03-01-01 ......................................................................3.1.2SHG-Windows-03-01-02 ......................................................................3.1.3SHG-Windows-03-01-03 ...................................................................... 4设备其他安全要求......................................................................................4.1屏幕保护 ....................................................................................................4.1.1SHG-Windows-04-01-01 ......................................................................4.1.2SHG-Windows-04-01-02 ......................................................................4.2共享文件夹及访问权限.........................................................................4.2.1SHG-Windows-04-02-01 ......................................................................4.2.2SHG-Windows-04-02-02 ......................................................................4.3补丁管理 ....................................................................................................4.3.1SHG-Windows-04-03-01 ......................................................................4.4防病毒管理................................................................................................4.4.1SHG-Windows-04-04-01 ......................................................................4.4.2SHG-Windows-04-04-02 ......................................................................4.5W INDOWS服务..........................................................................................4.5.1SHG-Windows-04-05-01 ......................................................................4.5.2SHG-Windows-04-05-02 ......................................................................4.6启动项.........................................................................................................4.6.1SHG-Windows-04-06-01 ......................................................................4.6.2SHG-Windows-04-06-02 ......................................................................本文档是Windows操作系统的对于Win系统的设备账号认证、日志、协议、补丁升级、文件系统管理等方面的安全配置要求,共26项。
Windows通用加固规范
目录项目编号:DPtech-AQJG-2014 .................................................... 错误!未定义书签。
1.概述 (3)1.1文档信息 (3)1.2适用范围 (3)2.标准及规范 (3)2.1引用标准 (3)2.2操作规范 (4)3.Windows通用加固规范 (4)3.1补丁管理 (4)3.1.1.补丁安装 (4)3.2用户帐号与口令安全 (5)3.2.1.密码策略 (5)3.2.2.账户锁定策略 (6)3.2.3.用户权限设置 (7)3.2.4.禁用Guest(来宾)帐户 (8)3.2.5.修改管理员帐号名称 (8)3.2.6.停用不使用的帐号 (9)3.3日志与审核 (9)3.3.1.审核策略 (9)3.3.2.设置系统日志 (11)3.4服务优化 (11)3.4.1.关闭不必要的服务 (11)3.4.2.加固SNMP服务 (14)3.5安全防护 (15)3.5.1.使用NTFS文件系统 (15)3.5.2.屏幕保护 (18)3.5.3.文件共享 (19)3.5.4.防病毒管理 (19)3.5.5.启用系统自带防火墙 (20)3.5.6.删除默认共享 (21)3.5.7.限制匿名用户连接 (21)3.5.8.检测网络服务挂起时间 (22)3.5.9.关闭驱动器自动运行 (23)3.5.10.检查数据执行保护 (23)3.5.11.检测 DDOS 攻击保护设置 (24)3.5.12.检查日期服务器 (25)3.5.13.检查登录超时设置 (25)3.5.14.检测加密或数字签名安全通道的数据的设置 (26)3.5.15.检测会话限制 (27)3.5.16.关闭不要的自启动项 (27)1.概述1.1文档信息1.2适用范围本Windows通用加固规范适用于各版本的Windows。
2.标准及规范2.1引用标准本Windows通用加固规范结合国家等级保护相关要求及国际ISO相关标准制定而成,具体参照如下:ISO27001标准/ISO27002指南GB 17859-1999 《计算机信息系统安全保护等级划分准则》GB/T 20271-2006 《信息安全技术信息系统通用安全技术要求》GB/T 20272-2006 《信息安全技术操作系统安全技术要求》GB/T 20273-2006 《信息安全技术数据库管理系统安全技术要求》GB/T 22239-2008 《信息安全技术信息系统安全等级保护基本要求》2.2操作规范本Windows通用加固规范有以下几点需要注意1、本规范只使用于一般通用的Windows加固,特殊环境特殊处理2、本规范要求加固人员理解Windows相关加固知识3.Windows通用加固规范3.1补丁管理3.1.1.补丁安装3.2用户帐号与口令安全3.2.1.密码策略3.2.2.账户锁定策略3.2.4.禁用Guest(来宾)帐户3.2.5.修改管理员帐号名称3.2.6.停用不使用的帐号3.3日志与审核3.3.1.审核策略3.3.2.设置系统日志3.4服务优化3.4.1.关闭不必要的服务检测方法1.检查操作开始→运行→ services.msc,找到SNMP Service并双击打开属性面板2.判定条件A、检查系统SNMP服务关闭,如果启用团体名是否修改B、判断团体名是否已改,不是默认的“public”,并设置为8位以上的字串C、是否选择了接受来自这些主机的SNMP包,设置的主机IP是否合法。
Windows安全系统加固技术
确保注册表安全
利用文件管理器对 regedit.exe文件设置 成只允许管理员能够 使用该命令访问修改 注册表,其他用户 只能读取,但不能 修改,这样可以防 止非法用户恶意修 改注册表。
注册表安全设置的典型案例
彻底隐藏文件及文件夹 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\explorer \Advanced\Folder\Hidden\SHOWALL, CheckedValue键值项,将它的键值修改为“0”,如果没 有该键值的话,可以自己新建一个名为“CheckedValue” 的“DWORD值”,然后将其值修改为“0”即可。 隐藏磁盘“HKEY_CURRENT_USER\Software\Mi crosoft\Windows\CurrentVersion\Policies Explorer”,在 右侧窗口中新增一个名为“NoDrives”的DWORD值。若 将“数值数据”设为“1”,则表示隐藏A盘;设为“2”则表 示隐藏B盘;设为“4”表示隐藏C盘,隐藏其它的盘符可按 此规律类推,只要“数值数据”是上一个数值一倍即可, 将多个盘符数值相加可以同时隐藏多个磁盘。
系统权限设置
Windows2000以后的操作系统引入了一种权限机 制,以实现对计算机的分级管理,它使不同的用 户有不同的权限,从而适应了更加目前严峻的安 全状况和应用需求。Windows默认的权限设置存 在纰漏,很容易被黑客以及病毒木马利用,合理 设置权限才能保障计算机的安全。
FAT3一关,如果计算机系统帐 号被盗,那么计算机将会很危险的,轻则入侵者可以任意 控制计算机,如果我们的计算机中保存着重要的机密文件 或者银行卡号与密码,那么损失将会非常严重。 个人计算机用户防范:
5加固Windows操作系统安全
本地安全策略—账户策略
9
账号锁定策略
10
11
12
5.帐户数量及权限
限制不必要的用户数量 给用户仅分配最小权限
可以满足工作需要的最低权限即可。
13
图形化界面操作
14
账号陷阱
把系统administrator帐号改名,比如改 成:guest。 把系统账号guest改名,譬如,改为 administrator,然后设置一个足够复杂 的密码。 不允许空白密码用户远程登录。
用干净的系统安装盘安装操作系统 安装反病毒软件、升级病毒库 安装防火墙软件 修补所有系统补丁 安装必要的应用软件、修补所有补丁 创建低权限账户作为常用账户、做好账户安全设置。 打开系统“审核策略” 使用软件限制策略(路径默认限制所有非C盘的程序运行,需要运行的程序则使用 散列规则) 安装SandBoxIE(作为安全上网和可疑程序测试运行之用)、可再安装FireFox或 者Opera类浏览器 将桌面、我的文档等默认存储位置转移到D盘。
15
6.打开系统“审核策略”
开启安全审核是Windows最基本的入 侵检测方法。
当有人尝试对你的系统进行某些方式(如 尝试用户密码,改变帐户策略,未经许可 的文件访问等等)入侵的时候,都会被安 全审核记录下来。
打开安全审核之后,相关事件可以通 过“事件查看器”查看。
16
17
18
设定安全记录的访问权限
安全记录在默认情况下没有保护,把他 设置成只有Administrator和系统帐户才 有权访问。
19
7.软件限制策略
在“开始-运行”输入“gpedit.msc” 或者在“控制面板”-“管理工具”-“本地 安全策略”-“软件限制策略”
Windows主机操作系统加固规范V0.1
Windows主机操作系统加固规范2019年8月目录1账号管理、认证授权 (1)1.1账号 (1)1.1.1SHG-Windows-01-01-01 (1)1.1.2SHG-Windows-01-01-02 (2)1.1.3SHG-Windows-01-01-03 (3)1.2口令 (4)1.2.1SHG-Windows-01-02-01 (4)1.2.2SHG-Windows-01-02-02 (5)1.3授权 (6)1.3.1SHG-Windows-01-03-01 (6)1.3.2SHG-Windows-01-03-02 (7)1.3.3SHG-Windows-01-03-03 (8)1.3.4SHG-Windows-01-03-04 (9)1.3.5SHG-Windows-01-03-05 (10)2日志配置 (11)2.1.1SHG-Windows-02-01-01 (11)2.1.2SHG-Windows-02-01-02 (12)3通信协议 (14)3.1IP协议安全 (14)3.1.1SHG-Windows-03-01-01 (14)3.1.2SHG-Windows-03-01-02 (15)3.1.3SHG-Windows-03-01-03 (16)4设备其他安全要求 (18)4.1屏幕保护 (18)4.1.1SHG-Windows-04-01-01 (18)4.1.2SHG-Windows-04-01-02 (19)4.2共享文件夹及访问权限 (20)4.2.1SHG-Windows-04-02-01 (20)4.2.2SHG-Windows-04-02-02 (21)4.3补丁管理 (23)4.3.1SHG-Windows-04-03-01 (23)4.4防病毒管理 (24)4.4.1SHG-Windows-04-04-01 (24)4.4.2SHG-Windows-04-04-02 (25)4.5W INDOWS服务 (26)4.5.1SHG-Windows-04-05-01 (26)4.5.2SHG-Windows-04-05-02 (28)4.6启动项 (29)4.6.1SHG-Windows-04-06-01 (29)4.6.2SHG-Windows-04-06-02 (30)本文档是Windows操作系统的对于Win系统的设备账号认证、日志、协议、补丁升级、文件系统管理等方面的安全配置要求,共26项。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
甘肃海丰信息科技有限公司Windows系统安全加固技术指导书
◆版本◆密级【绝密】
◆发布甘肃海丰科技◆编号GSHF-0005-OPM-
©2006-2020 HIGHFLYER INFORMATION TECHNOLOGY ,INC.
目录
文档信息 (2)
前言 (3)
一、编制说明 (3)
二、参照标准文件 (3)
三、加固原则 (3)
1.业务主导原则 (3)
2.业务影响最小化原则 (4)
3.实施风险控制 (4)
(一)主机系统 (4)
(二)数据库或其他应用 (4)
4.保护重点 (5)
5.灵活实施 (5)
6.周期性的安全评估 (5)
四、安全加固流程 (5)
1.主机分析安全加固 (6)
2.业务系统安全加固 (7)
五、W INDOWS 2003操作系统加固指南 (8)
1.系统信息 (8)
2.补丁管理 (8)
(一)补丁安装 (8)
3.账号口令 (8)
(一)优化账号 (8)
(二)口令策略 (8)
4.网络服务 (9)
(三)优化服务 (9)
(四)关闭共享 (9)
(五)网络限制 (10)
5.文件系统 (10)
(一)使用NTFS (10)
(二)检查Everyone权限 (10)
(三)限制命令权限 (10)
6.日志审核 (11)
(一)增强日志 (11)
(二)增强审核 (11)
文档信息
■版权声明
本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属甘肃海丰所有,受到有关产权及版权法保护。
任何个人、机构未经甘肃海丰的书面授权许可,不得以任何方式复制或引用本文的任何片断。
■变更记录
时间版本说明修改人
2008-07-09新建本文档郑方
2009-05-27修正了4处错误、删除了IIS5加固部分郑方
2010-10-11新增加固IIS6、SQL2000加固操作指南郑方
前言
一、编制说明
信息安全加固作为信息安全体系建设的重要组成部分,本方案的编制是在充分考虑了客户信息系统,Windows服务器的现状和行业最佳实践,通过风险评估总结了主机系统现有的安全现状,并参考了各类安全政策文件,继承和吸收了国家等级保护、风险评估的经验成果。
本指导书概括地阐述了安全加固介绍、安全加固内容等方面内容。
二、参照标准文件
1)《信息安全技术信息安全风险评估规范》
2)《业务系统安全等级保护基本要求(报批稿)》
3)《业务系统安全等级保护测评准则》(送审稿) 》
三、加固原则
在上述标准文件的基础上,我们建议本次加固归纳了6个原则:
1.业务主导原则
业务系统加固是围绕系统所承载业务的保护。
对业务系统进行加固的根本目的不是保护系统的网络节点、系统节点,而是业务系统所承载的业务、数据以及提供的服务,这种以业务为核心的思想将贯穿整个加固的各个阶段。
因此明确系统业务、分析业务环境、划分业务边界、导出业务安全需求是加固的首要任务,也是决定加固效果和质量的最关键阶段。
要确保业务安全,取决于网络层、系统层、应用层、数据库层等多个层面的安全,因此安全加固服务涉及多个层面、是一个复杂的、循序渐进的过程,不能一撮而就;
不同业务系统要结合系统自身身情况制定相应加固方案,加固的预期效果也应不尽相同。
2.业务影响最小化原则
对于在线系统的加固服务,应通过必要措施将对业务的影响降至最低,并为现场安全测试、检查、加固提供完备的应急服务。
3.实施风险控制
在进行安全加固前,进行小范围的全景负载模拟试验,检验安全加固的有效性和安全可靠性。
在加固过程中安全实施顾问会对操作的每一个步骤及系统状态进行详细记录,一旦发现异常立刻退回上一步。
安全加固过程中可能带来的风险的步骤有:
(一)主机系统
安装补丁;
可能会导致某些特定的服务不可用甚至主机崩溃(尽量采用可卸载的Patch安装方式,如无法卸载则由我方根据以往的经验以及被加固主机的应用特点提出我方的建议,由管理员最终确认)。
修改配置文件禁止某些默认用户登陆;
可能导致某些特定服务不可用(改回配置文件即可恢复)。
停掉某些不必要的系统服务;
可能导致某些应用程序不可用,需管理员事先确认(重新启动服务即可恢复)。
对主机上的某些应用程序进行升级或对配置文件进行调整,以增强安全性;
可能导致应用程序运行不正常(改回配置即可恢复)。
文件系统加固,调整重要系统文件的安全属性和存取权限;
可能导致某些程序无法正常运行(改回属性和权限即可恢复)。
(二)数据库或其他应用
针对系统平台选择安装补丁
可能导致数据库或其他应用无法正常工作,其他依赖于此的应用程序也将受到影响(根据我方的实施经验由实施工程师提出建议,由数据库或应用管理员进行确认,必要时可咨询厂商技术人员)将数据库或其他应用的某些帐户的密码改为强壮的密码
可能导致某些登陆数据库的应用程序需要重新设置(加固前通知相关应用系统管理员,同时设置应用程序)
禁止数据库或其他应用系统使用不必要的网络协议
可能导致某些依赖于相关协议的应用程序无法正常工作(改动前需由数据库或应用管理员进行确认)
正确分配数据库或其他应用相关文件的访问权限
可能导致被遗漏的用户无法访问相关文件(重新设置即可)
删除无用的存储过程或扩展存储过程
可能导致数据库的某些功能无法使用,实施前需经数据库管理员确认
4.保护重点
加固不是事无巨细,对整个单位的所有区域进行面面俱到的保护,而是重点考虑关键业务、关键业务流程、关键信息资产、关键区域,保证加固工作重点突出、有的放矢、目标明确。
5.灵活实施
由于业务系统/网络是与各省公司具体环境相关,不可能设计一种通用的加固方案,也不存在对所有单位都适用的单一解决方案。
应根据实际情况灵活实施,满足各类单位的需要。
6.周期性的安全评估
安全加固工作不应是一次性的,应根据实际情况定期开展,以控制新出现的安全风险。
长久来看,安全加固工作是周期性的,长期性的;在加固后不能抱有一劳永逸的思想,同时也要认知到,安全加固不仅仅是对设备的安全加固,更要结合加固期间的培训交流,培养维护人员安全意识,不断提升安全意识;
四、安全加固流程
安全加固服务是绿盟科技安全服务体系中的重要环节。
是风险评估结果得到落地的重要步骤,针对主机系统的加固流程简介如下:
1)主机设备安全加固
2)业务系统安全加固
1.主机分析安全加固
主机安全是信息系统安全中的基础组成部分,关键数据和信息直接由系统平台提供。
支持分布式计算环境中不断增长的系统平台面临各种安全威胁,包括数据窃取、数据篡改、非授权访问、病毒破坏等。
这时就需要专业的安全加固服务以保障运行和存贮在这些系统平台上的数据的的机密性、完整性和可用性。
主机安全加固服务利用多种技术手段对您信息系统中的操作系统平台提供安全加固和配置优化,同时将其集成到客户已有的环境中。
主机安全加固是指通过一定的技术手段,提高操作系统安全性和抗攻击能力,通常这些技术手段,只能为实施这项技术的这一台主机服务。
所提供的安全加固服务手段有:
1.基本安全配置检测和优化
2.密码系统安全检测和增强
3.系统后门检测
4.提供访问控制策略和安全工具
5.增强远程维护的安全性
6.文件系统完整性审计
7.增强的系统日志分析
8.系统升级与补丁安装
经过良好配置的系统的抗攻击性有极大的增强。
在对系统作相应的安全配置后,结合定期的安全评估和维护服务就使得系统保持在一个较高的安全线之上。
2.业务系统安全加固
业务系统安全是信息系统安全中的重要组成部分,全网后台数据库与前台界面呈现与应用全由业务系统平台提供。
面临各种安全威胁包括非法登陆与访问控制、数据损坏与篡改、漏洞攻击等。
这时就需要专业的安全加固服务以保障运行在这些系统平台上的数据流的机密性、完整性和可用性。
业务系统安全加固服务利用多种技术手段对您信息系统中的业务平台提供安全加固和配置优化,同时将其集成到客户已有的环境中。
业务系统安全加固是指通过一定的技术手段,提高其安全性和抗攻击能力,通常这些技术手段,只能为实施这项技术的这一台设备服务。
所提供的安全加固服务手段有:
1.基本安全配置检测和优化
2.帐户密码系统安全检测和增强
3.文件权限安全优化
4.应用操作日志安全审核与痕迹管理
5.代码安全审核
6.系统日志安全审核与痕迹管理
7.数据库安全配置
8.FTP与WEB服务器安全配置
经过良好配置的业务系统平台的抗攻击性和自身安全性有极大的增强。
在对其作相应的安全配置后,结合定期的安全评估和维护服务就使得其保持在一个较高的安全线之上。
五、Windows 2003操作系统加固指南
1.系统信息
2.补丁管理
(一)补丁安装
3.账号口令
(一)优化账号
(二)口令策略
4.网络服务
(三)优化服务
(四)关闭共享
(五)网络限制
5.文件系统
(一)使用NTFS
(二)检查Everyone权限
(三)限制命令权限
6.日志审核
(一)增强日志
(二)增强审核。