(完整版)Wnow主机操作系统加固规范V

合集下载

主机操作系统加固策略

引言：主机操作系统加固策略是一项关键的安全措施，旨在增强主机操作系统的安全性，提高系统的稳定性和保护敏感数据。

本文将对主机操作系统加固策略进行详细阐述，并提供针对每个方面的具体的加固措施。

概述：操作系统作为计算机硬件和软件之间的接口，起着连接和协调的作用。

操作系统本身也容易成为黑客攻击的目标。

因此，我们需要采取一系列的加固策略来保护主机操作系统的安全性。

正文内容：1.基础配置加固1.1安装和配置最新的操作系统补丁1.2关闭不必要的服务和端口1.3设置强密码策略1.4启用防火墙2.用户权限管理2.1使用最小权限原则2.2定期审查和更新用户权限2.3禁止共享账户2.4实施多因素身份验证3.安全策略3.1启用安全审计日志3.2实施登录失败限制3.3禁用自动登录3.4限制账户访问3.5实施密码策略4.文件和目录权限管理4.1实施适当的访问控制策略4.2限制对系统文件和目录的访问权限4.3定期检查和修复权限设置4.4实施文件完整性监控5.安全审计与监控5.1配置安全审计日志5.2监控主机系统日志5.3启用入侵检测系统5.4实施网络流量监控5.5定期进行系统漏洞扫描总结：主机操作系统加固策略是务必要进行的一项工作，主要涉及基础配置加固、用户权限管理、安全策略、文件和目录权限管理以及安全审计与监控等方面。

通过执行这些加固策略，可以提高主机操作系统的安全性，并减少黑客攻击的风险。

同时，定期审查和更新这些策略也是至关重要的，以适应不断变化的安全威胁。

最终，成功实施主机操作系统加固策略将为组织提供一个强大的防线，保护敏感数据和业务运行的安全。

windows系统安全加固(修正版)

➢操作系统概述
❖NT 系列
Windows Server 2003 ( 2003 ) Windows Server 2008 ( 2008 ) Windows Home Server ( 2008 ) Windows HPC Server 2008 ( 2010 )
Windows系统安全问题
➢操作系统概述 ➢操作系统安全概念 ➢操作系统配置问题 ➢操作系统安全漏洞问题
计算机里通常安装有了些不必要的服务,如果这些服务没有用的话，最好能将这些服务关闭。例如:为了能够在远程方便的管理服务器，很多机器的终端服务都是开着的如果开了要确认已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务。要留意服务器上开启的所有服务并每天检查。
2.4 关闭不必要的服务
2.6开启系统审核策略
从图中可以看到,9个审核策略都没有打开。最好将这些信息审核信息都打开。以便于以后出现安全事件的时候进行查找。双击要打开的审核策略选项。
2.7 开启密码策略
系统密码在默认的情况下都是没有开启的。打开“控制面板”→“管理工具”→“本地安全设置”→“审核策略”。
2.7 开启密码策略
Windows系统安全加固
主要内容
Windows系统安全问题 Windows系统安全加固
操作系统安全问题
➢操作系统概述 ➢操作系统安全概念 ➢操作系统安全配置问题 ➢操作系统安全漏洞问题
➢操作系统概述
❖MS- Dos
Windows 1.0 ( 1985 ) Windows 2.0 ( 1987 ) Windows 2.1 ( 1988 ) windows 3.0 ( 1990 ) windows 3.1 ( 1992 ) Windows 3.2 ( 1994 )

Wnow主机操作系统加固规范V

Windows主机操作系统加固规范2019年11月目录1账号管理、认证授权 .................................................................................1.1账号..............................................................................................................1.1.1SHG-Windows-01-01-01 ......................................................................1.1.2SHG-Windows-01-01-02 ......................................................................1.1.3SHG-Windows-01-01-03 ......................................................................1.2口令..............................................................................................................1.2.1SHG-Windows-01-02-01 ......................................................................1.2.2SHG-Windows-01-02-02 ......................................................................1.3授权..............................................................................................................1.3.1SHG-Windows-01-03-01 ......................................................................1.3.2SHG-Windows-01-03-02 ......................................................................1.3.3SHG-Windows-01-03-03 ......................................................................1.3.4SHG-Windows-01-03-04 ......................................................................1.3.5SHG-Windows-01-03-05 ...................................................................... 2日志配置........................................................................................................2.1.1SHG-Windows-02-01-01 ......................................................................2.1.2SHG-Windows-02-01-02 ...................................................................... 3通信协议........................................................................................................3.1IP协议安全...............................................................................................3.1.1SHG-Windows-03-01-01 ......................................................................3.1.2SHG-Windows-03-01-02 ......................................................................3.1.3SHG-Windows-03-01-03 ...................................................................... 4设备其他安全要求......................................................................................4.1屏幕保护 ....................................................................................................4.1.1SHG-Windows-04-01-01 ......................................................................4.1.2SHG-Windows-04-01-02 ......................................................................4.2共享文件夹及访问权限.........................................................................4.2.1SHG-Windows-04-02-01 ......................................................................4.2.2SHG-Windows-04-02-02 ......................................................................4.3补丁管理 ....................................................................................................4.3.1SHG-Windows-04-03-01 ......................................................................4.4防病毒管理................................................................................................4.4.1SHG-Windows-04-04-01 ......................................................................4.4.2SHG-Windows-04-04-02 ......................................................................4.5W INDOWS服务..........................................................................................4.5.1SHG-Windows-04-05-01 ......................................................................4.5.2SHG-Windows-04-05-02 ......................................................................4.6启动项.........................................................................................................4.6.1SHG-Windows-04-06-01 ......................................................................4.6.2SHG-Windows-04-06-02 ......................................................................本文档是Windows操作系统的对于Win系统的设备账号认证、日志、协议、补丁升级、文件系统管理等方面的安全配置要求，共26项。

各类操作系统加固基本要求

各类操作系统加固基本要求在当今数字化的时代，操作系统作为计算机系统的核心，其安全性至关重要。

操作系统加固是指通过一系列的技术和管理措施，提高操作系统的安全性和稳定性，防止未经授权的访问、攻击和数据泄露。

本文将介绍各类操作系统加固的基本要求，帮助您更好地保护系统安全。

一、Windows 操作系统加固1、系统更新与补丁管理保持 Windows 操作系统及时更新是加固的首要任务。

微软会定期发布安全补丁来修复系统中的漏洞，因此应确保自动更新功能处于开启状态，并定期检查是否有新的更新需要安装。

2、用户账户管理创建具有强密码的用户账户，并避免使用简单易猜的密码。

对于不再使用的账户，应及时删除。

同时，限制用户的权限，只给予其完成工作所需的最低权限。

3、防火墙与防病毒软件启用 Windows 自带的防火墙，并配置合适的规则，允许合法的网络流量通过，阻止可疑的连接请求。

安装可靠的防病毒软件，并保持病毒库的更新，定期进行全盘扫描。

4、服务与端口管理关闭不必要的服务和端口，减少系统的攻击面。

可以通过“服务”管理控制台查看正在运行的服务，并禁用那些不常用或不安全的服务。

5、组策略设置利用组策略来加强系统的安全性，例如限制可移动存储设备的使用、禁止自动播放功能、设置密码策略等。

二、Linux 操作系统加固1、内核更新与软件包管理定期更新Linux 内核和安装的软件包，以修复可能存在的安全漏洞。

使用官方的软件源，并确保软件源的安全性。

2、用户与权限管理创建具有有限权限的用户账户，避免使用 root 账户进行日常操作。

为不同的用户和组分配适当的权限，遵循最小权限原则。

3、 SSH 安全配置如果使用 SSH 进行远程访问，修改默认的端口号，禁用 root 用户的远程登录，并使用密钥认证代替密码认证。

4、防火墙配置使用iptables 或firewalld 等防火墙工具，配置规则来控制网络访问。

只开放必要的端口，阻止不必要的流量。

2Windows系统安全加固

WINDOWS平台安然设置
4.XP账户数据库密码
二重密码回护：“启动密码”就是在系统启动是显示的，在从头启动系统后，起首出现的就是提示你输入“启动密码”，输入了准确的密码后就会出现Windows XP的登录界面，输入用户名和密码后算是完全登录系统。
1. 设置启动密码入手下手→运行”，输入“Syskey”号令，弹出“保证Windows XP账户数据库安然”----更新” 。在“启动密码”界面中点选“密码
步调5：在图2-4中，单击“添加”按钮，掀开“选择用户”对话框，单击“高级”按钮，再单击“当即查找”按钮，双击对话框底部的“huang”选项，如图2-5所示。此时，在“输入对象名称来选择”文本框中主动出现了已重命名的办理员账户名称，如“TEST\huang”(计较机名\账户名) ，如图2-6所示。
启动”单项选择框。 2. 作废这个系统启动密码，那么在“启动密码”界面中点选“系统产生的密码”下面的“在本机上保存
启动密码” ，一定后系统密码就会保存到硬盘上，不才次启动电脑时就不会再出现启动密码的窗口了。
假如健忘了密码点办? (小组会商、思虑〕
假设何去除进入物理机的BIOS设置的密码? 假设何去除物理开奥密码? 假设何探测WINDOWS登录密码？
能准确对于和防御各类入侵。 (3) 保证操作系统本身所供应的收集办事能取得安然设置装备摆设。只有经由授权的用户或代表该用户运行的历程才能读、写、创建或
删除信息。
1、 WINDOWS密码设置实训
为提高计较机WINDOWS操作系统的安然性，可
作哪些安然设置装备摆设？〔小组会商，总结〕
3分w钟indows系统的安然审计和安然设置装备摆设
3. 完成义务所需的装备和软件装有Windows Server 2003操作系统的PC机1台，或

WebSphere系统加固规范V0.1

WebSphere系统加固规范2013年3月目录1账号管理、认证授权 (1)1.1账号 (1)1.1.1SHG-WebSphere-01-01-01 (1)1.1.2SHG-WebSphere-01-01-02 (3)1.2认证授权 (5)1.2.1SHG-WebSphere-01-02-01 (5)1.2.2SHG-WebSphere-01-02-02 (6)1.2.3SHG-WebSphere-01-02-03 (8)2日志配置 (9)2.1.1SHG-WebSphere-02-01-01 (9)3通信协议 (11)3.1.1SHG-WebSphere-03-01-01 (11)4设备其他安全要求 (13)4.1安装部署 (13)4.1.1SHG-WebSphere-04-01-01 (13)4.1.2SHG-WebSphere-04-01-02 (14)4.1.3SHG-WebSphere-04-01-03 (15)4.1.4SHG-WebSphere-04-01-04 (16)4.1.5SHG-WebSphere-04-01-05 (17)4.1.6SHG-WebSphere-04-01-06 (18)4.1.7SHG-WebSphere-04-01-07 (19)4.1.8SHG-WebSphere-04-01-08 (20)4.1.9SHG-WebSphere-04-01-09 (22)4.2运行维护 (23)4.2.1SHG-WebSphere-04-02-01 (23)4.2.2SHG-WebSphere-04-02-02 (28)4.2.3SHG-WebSphere-04-02-03 (29)4.3备份容错 (30)4.3.1SHG-WebSphere-04-03-01 (30)5附录：系统开放端口及对应服务说明 (31)1账号管理、认证授权1.1账号1.1.1S H G-W e b S p h e r e-01-01-01回复用户角色到加固前状态以管理员身份打开管理控制台,执行：5.点击“应用程序”-->”企业应用程序”6.双击要查看的应用程序中★★★1.1.2S H G-W e b S p h e r e-01-01-02删除EVERYONE组将ALL_AUTHENTICATED组角色仅设为”控制台命名读”与应用程序开发人员确认命名服务权限修改对应用程序的影响,一般来说，除非J2EE应用程序明确指定了它的命名空间访问需求，否则更改缺省策略可能会导致在运行时发生意外的org.omg.CORBA.NO_PERMISSION 异常5. 删除EVERYONE组6. 将ALL_AUTHENTICATED组角色仅设为”控制台命名读”以管理员身份打开管理控制台,执行：5.点击“环境”-->命名-->CORBA 命名服务用户6.查看服务用户1.2认证授权1.2.1S H G-W e b S p h e r e-01-02-011.2.2S H G-W e b S p h e r e-01-02-023. 分配用户角色为monitor（监控员）、Configurator(配置员)、Operator（操作员）Administrator(管理员)之一使用管理角色分配给用户合适的管理权限1.2.3S H G-W e b S p h e r e-01-02-032日志配置2.1.1S H G-W e b S p h e r e-02-01-013通信协议3.1.1S H G-W e b S p h e r e-03-01-01回复加固前状态4设备其他安全要求4.1安装部署4.1.1S H G-W e b S p h e r e-04-01-014.1.2S H G-W e b S p h e r e-04-01-024.1.3S H G-W e b S p h e r e-04-01-034.1.4S H G-W e b S p h e r e-04-01-044.1.5S H G-W e b S p h e r e-04-01-054.1.6S H G-W e b S p h e r e-04-01-064.1.7S H G-W e b S p h e r e-04-01-074.1.8S H G-W e b S p h e r e-04-01-084.1.9S H G-W e b S p h e r e-04-01-094.2运行维护4.2.1S H G-W e b S p h e r e-04-02-018. 选择“install fix packs”，点击”Next”按钮9. 选择”Fix pack directory”，点击”Next”按钮10. 查看要安装的补丁包是否是自已需要和版本匹配的11. 点击”Next”按钮12. 开始安装13. 点击”Finish”完成补丁安装4.2.2S H G-W e b S p h e r e-04-02-024.2.3S H G-W e b S p h e r e-04-02-034.3备份容错4.3.1S H G-W e b S p h e r e-04-03-015附录：系统开放端口及对应服务说明。

Windows主机操作系统加固规范V0.1

Windows主机操作系统加固规范2019年8月目录1账号管理、认证授权 (1)1.1账号 (1)1.1.1SHG-Windows-01-01-01 (1)1.1.2SHG-Windows-01-01-02 (2)1.1.3SHG-Windows-01-01-03 (3)1.2口令 (4)1.2.1SHG-Windows-01-02-01 (4)1.2.2SHG-Windows-01-02-02 (5)1.3授权 (6)1.3.1SHG-Windows-01-03-01 (6)1.3.2SHG-Windows-01-03-02 (7)1.3.3SHG-Windows-01-03-03 (8)1.3.4SHG-Windows-01-03-04 (9)1.3.5SHG-Windows-01-03-05 (10)2日志配置 (11)2.1.1SHG-Windows-02-01-01 (11)2.1.2SHG-Windows-02-01-02 (12)3通信协议 (14)3.1IP协议安全 (14)3.1.1SHG-Windows-03-01-01 (14)3.1.2SHG-Windows-03-01-02 (15)3.1.3SHG-Windows-03-01-03 (16)4设备其他安全要求 (18)4.1屏幕保护 (18)4.1.1SHG-Windows-04-01-01 (18)4.1.2SHG-Windows-04-01-02 (19)4.2共享文件夹及访问权限 (20)4.2.1SHG-Windows-04-02-01 (20)4.2.2SHG-Windows-04-02-02 (21)4.3补丁管理 (23)4.3.1SHG-Windows-04-03-01 (23)4.4防病毒管理 (24)4.4.1SHG-Windows-04-04-01 (24)4.4.2SHG-Windows-04-04-02 (25)4.5W INDOWS服务 (26)4.5.1SHG-Windows-04-05-01 (26)4.5.2SHG-Windows-04-05-02 (28)4.6启动项 (29)4.6.1SHG-Windows-04-06-01 (29)4.6.2SHG-Windows-04-06-02 (30)本文档是Windows操作系统的对于Win系统的设备账号认证、日志、协议、补丁升级、文件系统管理等方面的安全配置要求，共26项。

Windows系统安全加固简要操作指南

（建议默认值为15分钟）。
5.选择“密码保护”框。
6.单击“确定”设置密码保护的屏幕保护程序。
帐户锁定时间（15分钟）
帐户锁定阀值（50次无效登录）
审核策略：采用Windows默认安装配置，未优化。
建议配置为：
审核策略更改（成功）
审核登录事件（成功,失败）
审核对象访问（成功,失败）
审核过程追踪（成功,失败）
审核目录服务访问(没有定义)
审核特权使用(没有定义)
审核系统事件（成功）
审核帐户登录事件（成功,失败）
Local_Machine\\System\\CurrentControlSet\\Control\\LSA\\RestrictAnonymous的值改成1
未删除服务器上的管理员共享（C$、D$和Admin$等）。
删除服务器上的管理员共享（C$、D$和Admin$等）。
未禁用自动运行。在光盘等媒体插入时可能启动恶意程序
Windows系统安全加固简要操作指南
脆弱性种类
脆弱性子类
说明建议
操作结果
1.安全补丁、防毒措施
系统未安装最新的Service Pack。
察看被评估主机是否安装最新的Service Pack2。
系统未安装防病毒软件。
察看系统托盘，防病毒软件。
系统未安装全部的HotFix。
查看是否安装更新最新的hotfix
建议禁止自动运行
4.安全服务措施
服务安全设置
关闭alerter、clipbook、computer browser、fax service、indexing service、iis admin servies、net login、telnet、tcp/ip netbios helper serveric等无关的服务

操作系统安全加固

文件系统
• Windows文件系统 – FAT • FAT 16
• FAT 32
– NTFS • 将 FAT 卷转换成 NTFS
– convert C: /FS:NTFS
第二十九页，共60页。
用户(yònghù)
• 用户和组 • 特殊的组 • Administrators、Guests、Power Users …… • 可通过net localgroup命令(mìng lìng)打印 • 特殊的用户 • Administrator、Guest • 可通过net user命令(mìng lìng)打印 • 隐藏帐号 • net user hide$ password /add
第十一页，共60页。
补丁(bù ding)
• 检查系统补丁安装情况 • 命令行执行systeminfo,查看系统已经安装的补丁列表 • • 补丁更新 • 手动安装：使用IE访问，按提示安装必要的activeX控件后，按提示安装补丁 • 开始 – 控制面板 – 自动更新，在自动更新面板中选中自动（建议(jiànyì)）(U)，
第三十页，共60页。
用户(yònghù)
• 加固要点 • 检查用户 • 克隆 • 隐藏(yǐncáng) • 清除用户 • 未使用的 • 未知的 • 锁定用户 • Guest • SUPPORT_XXXXX
第三十一页，共60页。
设置(shèzhì)重要文件权限
• 权限(quánxiàn) • 前提（关键字） • NTFS • Administrators
以停止当前(dāngqián)正在运行的服务
第十五页，共60页。
SNMP服务(fúwù)
• 修改SNMP的字符串 • 为什么要修改SNMP的字符串？它会泄露(xièlòu)什么？ • 通过 SNMP服务，远程恶意用户可以列举本地的帐号、帐号组、运行的进程、安装的

初级安全入门——Windows操作系统的安全加固

初级安全入门——Windows操作系统的安全加固实验网络拓扑如下：工具简介•Kali操作系统•Kali Linux是安全业内最知名的安全渗透测试专用操作系统。

它的前身就是业界知名的BackTrack操作系统。

BackTrack在2013年停止更新，转为Kali Linux。

Kali Linux集成了海量渗透测试、网络扫描、攻击等专用工具。

通过系统更新，用户可以快速获取最新的各类工具。

所以，Kali Linux是专业人员的不二选择。

•Nmap•Nmap（网络映射器）是一款用于网络发现和安全审计的网络安全工具，它是自由软件。

软件名字Nmap是Network Mapper的简称。

通常情况下，Nmap用于：列举网络主机清单，管理服务升级调度，监控主机，服务运行状况。

•Nessus•1998年, Nessus 的创办人 Renaud Deraison 展开了一项名为"Nessus"的计划，其计划目的是希望能为因特网社群提供一个免费、威力强大、更新频繁并简易使用的远端系统安全扫描程序。

它提供完整的电脑漏洞扫描服务, 并随时更新其漏洞数据库；不同于传统的漏洞扫描软件, Nessus 可同时在本机或远端上摇控, 进行系统的漏洞分析扫描；其运作效能能随着系统的资源而自行调整。

如果将主机加入更多的资源(例如加快CPU速度或增加内存大小),其效率表现可因为丰富资源而提高；完整支持SSL (Secure Socket Layer)。

•Metasploit•Metasploit是一个免费的、可下载的框架，通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。

它本身附带数百个已知软件漏洞的专业级漏洞攻击工具。

实验场景一：补丁安装任务一：由于这些漏洞都是已知windows系统及其组件的相关漏洞，请到微软官方查询漏洞详情和下载对应补丁。

某公司经过一次系统漏洞扫描检测，发现办公网部分的windows7 SP1系统主机皆含有MS17-010、MS12020、MS15-034漏洞。

WIINDOWS系统安全加固方案

【荆州创业学校】WIINDOWS系统安全加固方案周大勇（XX民间工艺技师学院，XX 荆州 434020）【摘要】：安全加固是针对主机的漏洞和脆弱性采取的一种有效的安全手段，可以帮助系统抵御外来的入侵和蠕虫病毒的袭击，使系统可以长期保持在高度可信的状态。

【关键词】：系统加固网络安全 WINDOWS系统【引言】：安全加固是针对主机的漏洞和脆弱性采取的一种有效的安全手段，可以帮助系统抵御外来的入侵和蠕虫病毒的袭击，使系统可以长期保持在高度可信的状态。

通常对系统和应用服务的安全加固包括如下方面：1）安装最新补丁2）账号、口令策略调整3）网络与服务加固4）文件系统权限增强5）日志审核功能增强6）安全性增强1、安全加固风险分析通过前期对系统的资产调查、扫描、人工检查和分析，提出系统的安全加固的方案，在加固过程中可能产生对系统的不同程度、不同方面的影响（具体影响因素和大小详见安全加固方案中的实施风险的描述）。

针对不同的风险可选择的策略如下：对于实施风险极高的加固项目，因为其极有可能对系统运行造成破坏，或中断正常业务，所以经主机管理员确认后，不在本次加固中实施。

对于实施风险不高，即使造成影响，也可以尽快恢复，不会影响正常业务的加固项目，建议选择业务空闲时段，由主机管理员作好系统备份，加固过程中监控主机的运行状况。

对于实时性要求高的业务主机，建议先作好系统备份，如有可能加固项目预先在测试环境进行测试通过后，再正式执行加固。

2、高风险漏洞分析2.1通过SMB会话可以访问Windows系统磁盘下的任意文件通过SMB会话访问Windows系统磁盘下的任意文件。

恶意攻击者可以对您系统上的文件进行复制、篡改、删除等操作，从而可造成XX文件泄漏、破坏系统运行、获取目标系统的控制权限等.解决方案：1）使用足够强壮的密码或者禁止共享。

2）设置严格的权限控制：在防火墙上设置为拒绝非授权用户访问。

2.2检测到目标主机上管理员组XX存在简单口令扫描检测出部分具有管理员权限的XX存在简单口令，这允许攻击者远程以该用户身份登录系统，获取目标系统的控制权限。

Windows系统安全检测与加固手册2019-7-15修订版word精品文档12页

Windows系统安全检测加固手册(修订版)
（单位人员内部使用）
注意：
1、本手册基于Windows XP Professional (sp3)版设计，个别加固项对于Windows7和WinXP Home版并不适用
2、如果加固过程中，因系统差异加固项出现出入，可根据实际情况选择“新建注册表项”或忽略该加固选项。

准备工作
1帐号安全
1.1 帐号口令
1.2 帐号设置
2文件系统安全2.1 系统分区
2.2 目录文件
3系统配置3.1 系统设置
3.2 安全策略
3.3 系统任务
3.4 系统时钟
4网络服务安全4.1 服务禁用
4.2 远程管理
5系统访问控制
5.1 防火墙
6病毒及恶意代码防护6.1 病毒防护
7补丁与更新安全
8日志及审计的安全性
8.1 日志和审计
附加项1
附加项2。

Windows主机安全加固

封面作者：Pan Hongliang仅供个人学习目录1账户管理 (3)1.1 用户管理 (3)1.2 弱口令修改 (3)1.3 密码策略 (3)1.4 帐户锁定策略 (3)2本地策略 (4)2.1 审核策略： (4)3服务 (5)3.1 关闭不必须的服务 (5)4网络协议 (7)4.1 删除TCP/IP外的其他网络协议： (7)4.2 解除NetBios与TCP/IP协议的绑定： (7)4.3 使用TCP/IP筛选限制端口： (7)5注册表设置 (8)5.1 关闭默认共享 (8)5.2 减少DDOS攻击的影响 (8)5.3 处理HTTP/FTP半连接请求 (8)5.4 禁用CD-ROM的自动运行 (8)5.5 删除OS2、POSIX子系统 (9)5.6 防止ICMP重定向报文的攻击 (9)5.7 禁止响应ICMP路由通告报文 (9)5.8 保护内核对象标志 (9)5.9 禁止建立空连接 (9)5.10 禁用路由功能 (9)5.11 检查RUN (9)6文件系统与权限 (10)6.1 使用NTFS文件系统 (10)6.2 保护重要的EXE程序 (10)6.3 删除无用的系统文件和目录 (10)6.4 保护重要系统文件和目录 (11)6.5 加密重要、敏感文件 (11)6.6 系统、文件的备份： (11)7常规安全 (12)7.1 更新Windows安全补丁： (12)7.2 使用防病毒软件： (12)7.3 使用木马扫描软件： (12)7.4 使用个人防火墙： (12)7.5 其他常规安全设置： (12)1账户管理1.1用户管理1.2弱口令修改使用口令猜测工具扫描计算机的弱口令帐户，并根据扫描结果，提交用户修改1.3密码策略1.4帐户锁定策略2本地策略2.1审核策略：3服务3.1关闭不必须的服务4网络协议4.1删除TCP/IP外的其他网络协议：删除TCP/IP外的NETBEUI，IPX/SPX等其他协议，删除文件和打印共享方法：本地连接－》属性4.2解除NetBios与TCP/IP协议的绑定：减少NetBios漏洞的攻击企图和系统信息泄漏方法：本地连接－》属性－》TCP/IP－》属性－》高级－》WINS－》禁用TCP/IP上的NetBios 4.3使用TCP/IP筛选限制端口：UDP协议和ICMP协议一样是基于无连结的，一样容易伪造，所以如果不是必要（例如要从UDP提供DNS服务之类）应该选择全部不允许，避免受到洪水（Flood）或碎片（Fragment）攻击最右边的一个编辑框是定义IP协议过滤的，我们选择只允许TCP协议通过，添加一个6（6是TCP在IP协议中的代码，IPPROTO_TCP=6）方法：本地连接－》属性－》TCP/IP－》属性－》高级－》选项－》TCP/IP筛选5注册表设置5.1关闭默认共享注册表项：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters5.2减少DDOS攻击的影响注册表项：HKLM\System\CurrentControlSet\Services\Tcpip\Parameters5.3处理HTTP/FTP半连接请求注册表项：HKLM\System\CurrentControlSet\Services\AFD\Parameters5.4禁用CD-ROM的自动运行防止恶意程序的自动加载运行，防止病毒等的扩散。