主机操作系统加固策略Word下载.doc
- 文档编号:4049731
- 上传时间:2023-05-02
- 格式:DOC
- 页数:95
- 大小:1.56MB
主机操作系统加固策略Word下载.doc
《主机操作系统加固策略Word下载.doc》由会员分享,可在线阅读,更多相关《主机操作系统加固策略Word下载.doc(95页珍藏版)》请在冰点文库上搜索。
实施编号:
Topsec-Win2003-1101
实施名称:
补丁检测及安装
系统当前状态:
运行cmd打开命令提示符窗口,再输入systeminfo查看目前补丁信息
实施方案:
确认系统安装了SP2;
使用Windowsupdate或者手工安装最新补丁
实施目的:
升级操作系统为最新版本,修补所有已知的安全漏洞
实施风险:
安装某些补丁可能导致主机启动失败,或其他未知情况发生,建议先在测试机器上安装测试后再实施部署到生产机上
回退方案
卸载安装补丁
是否实施:
实施工程师备注:
1.1.3系统用户口令及策略加固
Topsec-Win2003-1201
系统用户口令策略加固
查看系统“本地安全设置”-“帐户策略”中“密码策略”和“账号锁定策略”当前情况:
(以下为示例图)
密码必须符合复杂性要求:
启用
密码长度最小值8个字符
密码最长使用期限:
90天
强制密码历史:
24个记住的密码
帐户锁定阀值:
3次无效登陆
帐户锁定时间:
15分钟
复位帐户锁定计数器:
15分钟之后
策略更改后,督促现有用户更改其登陆口令以符合最新策略要求。
保障用户账号及口令的安全,防止口令猜测攻击。
账号锁定后15分钟后才解锁。
恢复默认值
Topsec-Win2003-1202
禁用guest账户权限
开始—控制面板—管理工具—计算机管理—本地用户和组—用户—guest—右键—属性—常规—选择用户已停用
Guest账号无法删除,故应避免Guest账号被黑客激活作为后门使用。
无
启用GUEST用户
Topsec-Win2003-1203
Administrator帐户重命名
开始—控制面板—管理工具—计算机管理—本地用户和组—用户—选择administrator—右键重命名
Administrator是系统默认管理员帐户,重命名Administrator可增加账号安全性。
修改回到默认用户Administrator
1.1.4日志及审核策略配置
Topsec-Win2003-1301
设置主机审核策略
在“本地安全策略”-“本地策略”中查看系统“审核策略”:
审核策略更改成功,失败
审核登陆事件成功,失败
审核对象访问失败
审核目录服务访问成功,失败
审核特权使用失败
审核系统事件成功,失败
审核账户登陆事件成功,失败
审核帐户管理成功,失败
对重要事件进行审核记录,方便日后出现问题时查找问题根源。
恢复默认状态
Topsec-Win2003-1302
调整事件日志的大小及覆盖策略
日志类型日志大小覆盖策略
应用程序日志K覆盖早于天的日志
安全日志K覆盖早于天的日志
系统日志K覆盖早于天的日志
应用程序日志80000K覆盖早于30天的日志
安全日志80000K覆盖早于30天的日志
系统日志80000K覆盖早于30天的日志
其他日志(如存在)80000K覆盖早于30天的日志
增大日志大小,避免由于日志文件容量过小导致重要日志记录遗漏
恢复默认设置
1.1.5安全选项策略配置
Topsec-Win2003-1401
Microsoft网络服务器:
当登录时间用完时自动注销用户
查看系统当前设置:
在管理工具->
本地安全策略->
选择本地策略->
选择安全选项->
Microsoft网络服务器:
当登录时间用完时自动注销用户(改成已启用)!
可以避免用户在不适合的时间登录到系统,或者用户登录到系统后忘记退出登录
Topsec-Win2003-1402
在挂起会话之前所需的空闲时间
在挂起会话之前所需的空闲时间(小于等于30分钟)
设置挂起会话之前所需的空闲时间为30分钟
Topsec-Win2003-1403
Microsoft网络客户端:
发送未加密的密码到第三方SMB服务器
Microsoft网络客户端:
发送未加密的密码到第三方SMB服务器(禁用)
禁止发送未加密的密码到第三方SMB服务器
Topsec-Win2003-1404
故障恢复控制台:
允许对所有驱动器和文件夹进行软盘复制和访问
允许对所有驱动器和文件夹进行软盘复制和访问(禁用)
Windows2003控制台恢复的另一个特性是它禁止访问硬盘驱动器上的所有文件和目录。
它仅允许访问每个卷的根目录和%systemroot%目录及子目录,即使是这样它还限制不允许把硬盘驱动器上的文件拷贝到软盘上。
Topsec-Win2003-1405
允许自动系统管理级登录
允许自动系统管理级登录(禁用)
恢复控制台是Windows2003的一个新特性,它在一个不能启动的系统上给出一个受限的命令行访问界面。
该特性可能会导致任何可以重起系统的人绕过账号口令限制和其它安全设置而访问系统。
Topsec-Win2003-1406
关机时清掉页面文件
关机:
清除虚拟内存页面文件(启用)
某些第三方的程序可能把一些没有的加密的密码存在内存中,页面文件中也可能含有另外一些敏感的资料。
关机的时候清除页面文件,防止造成意外的信息泄漏。
Topsec-Win2003-1407
允许系统在未登录前关机
允许系统在未登录前关机(禁用)
在未登录前不能关闭计算机
Topsec-Win2003-1408
交互式登录:
不显示上次的用户名
不显示上次的用户名(启用)
登陆时不显示上次的用户名,防止暴露用户名。
Topsec-Win2003-1409
不需要按Ctrl+Alt+Del
不需要按Ctrl+Alt+Del(禁用)
登录时需要按CTRL+ALT+DEL。
Topsec-Win2003-1410
可被缓存的前次登录个数(在域控制器不可用的情况下)
可被缓存的前次登录个数(设置缓存数为0,此项对域服务器无效。
)
Topsec-Win2003-1411
网络访问:
不允许SAM帐户和共享的匿名枚举
不允许SAM帐户和共享的匿名枚举(启用)
禁止使用匿名用户空连接枚举系统敏感信息
Topsec-Win2003-1412
不允许为网络身份验证储存凭证或.NETpassports
不允许为网络身份验证储存凭证或.NETpassports(启用)
Topsec-Win2003-1413
审核:
如果无法记录安全审核则立即关闭系统
如果无法记录安全审核则立即关闭系统(启用)
Topsec-Win2003-1414
对全局系统对象的访问进行审核
对全局系统对象的访问进行审核(启用)
Topsec-Win2003-1415
对备份和还原权限的使用进行审核
对备份和还原权限的使用进行审核(启用)
1.1.6用户权限策略配置
Topsec-Win2003-1501
关闭系统:
只有Administrators组
选择用户权限分配->
“关闭系统”中删除其他用户组,只保留Administrators组
Topsec-Win2003-1502
通过终端服务拒绝登陆:
加入Guests组
“通过终端服务拒绝登陆”中加入Guests组
Topsec-Win2003-1503
通过终端服务允许登陆:
只加入Administrators组
“通过终端服务允许登陆”中只加入Administrators组
Topsec-Win2003-1504
从网络访问此计算机中删除PowerUsers和BackupOperators
“从网络访问此计算机”中删除PowerUsers和BackupOperators
1.1.7注册表安全设置
Topsec-Win2003-1601
禁止自动登录
禁止自动登录:
编辑注册表
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\AutoAdminLogon(REG_DWORD)值设置为0(如无需新建)
如果需要恢复自动登陆,请重新设置自动登陆或修改AutoAdminLogon的值为1.
Topsec-Win2003-1602
禁止CD自动运行
HKLM\System\CurrentControlSet\Services\CDrom\Autorun(REG_DWORD)值设置为0(如无需新建)
Topsec-Win2003-1603
启用源路由欺骗保护
启用源路由欺骗保护:
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\
新建(REG_DWORD)值名称为DisableIPSourceRouting参数为2
防护在网络上发生的源路由欺骗
无,如服务器启用路由功能,则会影响相关功能。
删除新建DisableIPSourceRouting字段
Topsec-Win2003-1604
删除IPC共享
使用netshare命令查看系统当前的共享资源:
禁用IPC连接:
打开注册表编辑器,依次展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]分支,在右侧窗口中找到"
restrictanonymous"
子键,将其值改为"
1"
即可。
删除服务器上的管理员共享:
HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer(如无需新建)(REG_DWORD)值参数为0
如系统存在其他人为设置共享,建议删除。
删除主机因为管理而开放的共享,减小安全风险
某些应用软件可能需要系统默认共享,应询问管理员确认。
恢复"
值为原始状态、删除新建的”AutoshareServer”
Topsec-Win2003-1605
启用进行最大包长度路径检测
启用进行最大包长度路径检测:
新建项(REG_DWORD)值名称为EnablePMTUDiscovery参数为1
该项值为1时,将自动检测出可以传输的数据包的大小,可以用来提高传输效率,如出现故障或安全起见,设项值为0,表示使用固定MTU值576bytes。
删除新建的”EnablePMTUDiscovery”
Topsec-Win2003-1606
防止SYNFlood攻击
防止SYNFlood攻击:
新建(REG_DWORD)名称为SynAttackProtect参数为2
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\
新建(REG_DWORD)名称为TcpMaxHalfOpen参数为100或500(选十进制)
启动syn攻击保护。
缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护。
删除新建的”SynAttackProtect”、”TcpMaxHalfOpen”注册表项
1.1.8网络与服务加固
Topsec-Win2003-1701
卸载、禁用、停止不需要的服务
检测分析系统已启动的不必要的服务包括:
停止、禁用不需要的服务,如有必要则删除已安装的服务。
下面列出部分服务以做参考:
名称
建议设置
Alerter
禁用
Clipbook
ComputerBrowser
InternetConnectionSharing
Messenger
RemoteRegistryService
RoutingandRemoteAccess
Server
TCP/IPNetBIOSHelperService
TerminalServices
SimpleMailTrasferProtocol(SMTP)
SimpleNetworkManagementProtocol(SNMP)Service
SimpleNetworkManagementProtocol(SNMP)Trap
Telnet
WorldWideWebPublishingService
避免未知漏洞给主机带来的潜在风险
可能由于管理员对主机所开放服务不了解,导致有用服务被停止或卸载。
实施前请与相关应用开发厂商联系确认该服务与业务应用无关联。
恢复禁用的服务为原始状态
1.1.9其他安全性加固
Topsec-Win2003-1801
安装防火墙和防病毒软件
防火墙可以有效地拦截对服务器的非法入侵,防止非法远程主机对服务器的扫描,提高服务器的安全性。
防病毒软件可以有效查杀病毒、木马等。
根据业务需要开启相关端口和协议,请与开发沟通应用业务需要启用的端口和协议;
失误配置会影响应用服务提供正常服务。
卸载安装的软件及策略设置
Topsec-Win2003-1802
查找异常端口和服务
运行cmd打开命令提示符,输入netstat–an查看端口;
输入netstart查看服务;
关闭异常端口(各端口关闭方法不同,视情况而定加固方案)、禁用异常服务。
关闭异常端口、禁用异
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 主机 操作系统 加固 策略