系统安全设置参考
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
31
32 33 34
设置当达到最大的安全日志尺寸时,按需要改 写事件 设备应配置日志功能,对用户登录进行记录, 检测是否设置用户登录日志 记录内容包括用户登录使用的账号,登录是否 记录 成功,登录时间,以及远程登录时,用户使用 的IP地址 对没有自带防火墙的Windows系统,启用 检测IP协议安全-网卡筛选设 Windows系统的IP安全机制(IPSec)或网络连接 置是否满足规范 上的TCP/IP筛选,只开放业务所需要的TCP, UDP端口和IP协议 Windows 2000 无自带防火墙 检查Windows XP 或 Windows 启用Windows XP和Windows 2003自带防火墙。 2003是否启用自带防火墙 根据业务需要限定允许访问网络的应用程序, 和允许远程登录该设备的IP地址范围 检测是否启用SYN攻击保护 检测触发SYN洪水攻击保护所必须超过的TCP连 接请求数 检测处于 SYN_RCVD 状态的 TCP连接数 检测处于至少已发送一次重传的 SYN_RCVD 状 态中的 TCP连接数 检测网络服务器挂起会话之 前所需要的时间 对于远程登录的帐号,设置不活动断连时间为 阀值 检查Windows主机Server服务是否开启
19
20
21
设备应配置日志功能,对用户登录进行记录, 记录内容包括用户登录使用的账号,登录是否 成功,登录时间,以及远程登录时,用户使用 的IP地址 检测是否启用对Windows系统 检测是否启用组策略中对Windows系统的审核 的审核策略更改 策略更改 检测是否设置审核账户登录 事件
22 23 24 25 26 27 28 29 30
46 47 48
OWS检查
检查方法 进入控制面板->管理工具->计算机管理->系统工具->本地用户和组-> 用户->重命名Administrator 进入控制面板->管理工具->本地安全策略->帐户策略->密码策略->密 码必须符合复杂性要求->属性:启用启用密码必须符合复杂性要求 进入控制面板->管理工具->本地安全策略,在帐户策略->密码策略: 查看是否密码最长存留期设置为阀值 进入控制面板->管理工具->本地安全策略,在帐户策略->密码策略: 查看是否强制密码历史设置为小于等于阀值 进入控制面板->管理工具->计算机管理->系统工具->本地用户和组-> 用户->Guest帐号->属性->设置已停用 进入控制面板->管理工具->本地安全策略->帐户策略->密码策略->密 码长度最小值->属性->设置最小密码长度=阀值 进入控制面板->管理工具->本地安全策略,在帐户策略->帐户锁定策 略:查看是否账户锁定阀值设置为不等于0 进入控制面板->管理工具->本地安全策略->帐户策略->账号锁定策略>账号锁定时间->属性->设置账号锁定时间为阀值 进入控制面板->管理工具->本地安全策略,在帐户策略->帐户锁定策 略:查看是否账户锁定阀值设置为不等于0 进入控制面板->管理工具->本地安全策略->帐户策略->账号锁定策略>账号锁定时间->属性->设置账号锁定时间为0分钟 进入控制面板->管理工具->本地安全策略,在帐户策略->帐户锁定策 略:查看是否账户锁定阀值设置为不等于0 进入控制面板->管理工具->本地安全策略->帐户策略->账号锁定策略>复位账号锁定计数器->属性->设置复位账号锁定计数器为阀值 进入控制面板->管理工具->本地安全策略,在本地策略->用户权利指 派:设置是否从远端系统强制关机只指派给Administrators组 进入控制面板->管理工具->本地安全策略,在本地策略->用户权利指 派:设置关闭系统只指派给Administrators组 进入控制面板->管理工具->本地安全策略,在本地策略->用户权利指 派:设置是否取得文件或其它对象的所有权为只指派给 进入控制面板->管理工具->本地安全策略,在帐户策略->帐户锁定策 略:查看是否账户锁定阀值设置为小于等于阀值 进入控制面板->管理工具->本地安全策略,在帐户策略->帐户锁定策 略:查看是否账户锁定阀值设置为不等于0 进入控制面板->管理工具->本地安全策略-> 本地策略->安全选项->对 匿名连接的额外限制->属性->不允许枚举SAM帐号和共享 设置注册表如下键值:HKLM\SYSTEM\CurrentControlSet\Control\Lsa 将restrictanonymous的值设置为1,若该值不存在,可以自己创建, 类型为REG_DWORD 开始->运行-> 执行“控制面板->管理工具->本地安全策略->审核策略 ->审核账户登录事件,双击,查看是否设置为阀值 进入控制面板->管理工具->本地安全策略,在本地策略->审核策略 中:设置是否审核策略更改设置为为阀值
WINDOWS检查
序号 1 2 3 4 5 6 7 8 检查是否设置账号锁定时间 9 10 11 12 13 14 15 16 17 18 检查项 检测管理员帐户是否改名 检测密码长度和复杂性策略 检测采用静态口令认证技术 的设备账户口令的生存期 检测采用静态口令认证技术 的设备用户不能重复使用最 近若干次内已使用的口令 检查Guest用户是否禁用 检查最小密码长度 检查项备注 对于管理员帐号,要求更改缺省 Administrator 帐户名称 启用密码必须符合复杂性要求 对于采用静态口令认证技术的设备,检测其账 户口令的生存期不长于阀值(参考标准<90) 对于采用静态口令认证技术的设备,应配置用 户不能重复使用最近若干次已使用的口令 禁用guest(来宾)帐号 密码长度要求不小于阀值(标准>7) 设置为 0 表示永远不会被锁定 检查是否设置账号锁定时间,此策略在设置了 账户锁定阀值后才有效 设置为 0 表示永远不会被锁定 检查是否设置账号锁定时间不小于1分钟(含1 分钟),此策略在设置了账户锁定阀值后才有 检查是否设置复位账号锁定 设置为 0 表示永远不会被锁定 计数器不小于1分钟(包含1分 检查是否设置复位账号锁定计数器,此策略在 钟) 设置了账户锁定阀值后才有效 检测从远端关机的帐户或组 在本地安全设置中从远端系统强制关机只指派 是否仅属于Administrators 给Administrators组 检测关闭系统帐户或组是否 在本地安全设置中关闭系统仅指派给 属仅于Administrators组 Administrators组 检测取得文件或其它对象的 在本地安全设置中取得文件或其它对象的所有 所有权是否仅属于 权仅指派给Administrators 检测静态口令认证技术的设 对于采用静态口令认证技术的设备,应配置当 备用户连续认证失败次数超 用户连续认证失败次数超过若干次,锁定该用 过若干次是否锁定该用户使 户使用的账号 用的账号 检查是否限制匿名用户连接 权限,防止用户远程枚举本 地帐号。 检查是否删除匿名空连接 设置为 0 表示永远不会被锁定 检查是否限制匿名用户连接权限,防止用户远 程枚举本地帐号和共享 检查是否删除匿名空连接
35ห้องสมุดไป่ตู้
36 检测是否启用 SYN 攻击保护 设置 37
38 39 40 41 42 检测Windows是否启用数据执 行保护
检测是否关闭Windows硬盘默 非域环境中,关闭Windows硬盘默认共享,例 认共享 如C$,D$ Windows 2000 无数据执行保护功能
43 44 45
检测Windows是否启用数据执 对于Windows XP SP2及Windows 2003对 行保护 Windows操作系统程序和服务启用系统自带DEP 功能(数据执行保护),防止在受保护内存位置 SNMP 服务是启用 检测SNMP服务是否采用默认 如需启用SNMP服务,则修改默认的SNMP 的public团体名 Community String设置 检测是否关闭Windows自动播 关闭Windows自动播放功能 放功能 检查是否配置Windows自动更 检查是否配置Windows自动更新系统补丁 新系统补丁 检测是否安装杀毒软件 检查手否安装主流杀毒软件
检测是否启用组策略中对Windows系统的审核 对象访问 检测是否启用组策略中对Windows系统的审核 目录服务访问 检测是否启用组策略中对Windows系统的审核 特权使用 检测是否启用组策略中对Windows系统的审核 系统事件 检测是否启用组策略中对Windows系统的审核 帐户管理 检测是否启用组策略中对Windows系统的审核 过程追踪 设置当达到最大的系统日志尺寸时,按需要改 写事件 检测安全日志文件大小
检测是否启用对Windows系统 的审核对象访问 检测是否启用Windows系统审 核目录服务访问 检测是否启用Windows系统审 核特权使用 检测是否启用Windows系统审 核系统事件 检测是否启用Windows系统的 审核账户管理 检测是否启用Windows系统的 审核过程追踪 检测系统日志设置是否满足 规范 检测安全日志设置是否满足 规范 检测安全日志设置是否满足 规范
进入控制面板->管理工具->本地安全策略,在本地策略->审核策略 中:设置为阀值 进入控制面板->管理工具->本地安全策略,在本地策略->审核策略 中: 设置是否审核目录服务器访问设置为阀值 进入控制面板->管理工具->本地安全策略,在本地策略->审核策略 中:设置是否审核特权使用设置为阀值 进入控制面板->管理工具->本地安全策略,在本地策略->审核策略 中:查看是否审核系统事件设置为阀值 进入控制面板->管理工具->本地安全策略,在本地策略->审核策略 中:设置是否审核帐户管理为阀值 进入控制面板->管理工具->本地安全策略,在本地策略->审核策略 中: 查看是否审核过程追踪设置为阀值 进入控制面板->管理工具->事件查看器,在事件查看器(本地)中: 设置当达到最大的系统日志尺寸时,按需要改写事件 进入控制面板->管理工具->事件查看器,在事件查看器(本地)中: 设置是否安全日志属性中的日志大小设置不小于阀值 进入控制面板->管理工具->事件查看器,在事件查看器(本地)中: 设置当达到最大的安全日志尺寸时,按需要改写事件 开始->运行-> 执行“控制面板->管理工具->本地安全策略->审核策略 ”审核登录事件,双击,查看是否设置为阀值 进入控制面板->网络连接->本地连接,进入Internet协议 (TCP/IP)属性->高级TCP/IP设置,在选项的属性中启用网络连接上 的TCP/IP筛选,查看是否只开放业务所需要的TCP,UDP端口和IP协议 Windows 2000 无自带防火墙 进入控制面板->网络连接->本地连接,在高级选项的设置中,查看 是否启用Windows防火墙。查看是否在例外中配置允许业务所需的程序 接入网络。查看是否在例外->编辑->更改范围编辑允许接入的网络地 在开始->运行->键入regedit,在注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Pa rameters 下,值名称为SynAttackProtect,推荐值为2 在开始->运行->键入regedit,在注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Pa rameters 下,值名称为TcpMaxPortsExhausted=阀值 在开始->运行->键入regedit,在注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Pa rameters 下,值名称为TcpMaxHalfOpen=阀值 在开始->运行->键入regedit,在注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Pa rameters 下,值名称为TcpMaxHalfOpenRetried=阀值 进入控制面板->管理工具->本地安全策略,在本地策略->安全选项: 查看是否Microsoft网络服务器设置为在挂起会话之前所需的空闲时间 进入控制面板->管理工具-> 服务,禁用Server 服务 进入开始->运行->Regedit,进入注册表编辑器,更改注册表键值: 在HKLM\System\CurrentControlSet\ Services\LanmanServer\Parameters\下,增加REG_DWORD类型的 Windows 2000 无数据执行保护功能