1. 賬戶管理和認證授權(quán)
1.1 賬戶
默認賬戶安全
- 禁用Guest賬戶。
- 禁用或刪除其他無用賬戶(建議先禁用賬戶三個月�����,待確認沒有問題后刪除��。)
操作步驟
打開 控制面板 > 管理工具 > 計算機管理,在 系統(tǒng)工具 > 本地用戶和組 > 用戶 中���,雙擊 Guest 帳戶�,在屬性中選中 帳戶已禁用���,單擊 確定�。
按照用戶分配帳戶
按照用戶分配帳戶���。根據(jù)業(yè)務(wù)要求�����,設(shè)定不同的用戶和用戶組��。例如�����,管理員用戶,數(shù)據(jù)庫用戶�,審計用戶,來賓用戶等�。
操作步驟
打開 控制面板 > 管理工具 > 計算機管理�,在 系統(tǒng)工具 > 本地用戶和組 中��,根據(jù)您的業(yè)務(wù)要求設(shè)定不同的用戶和用戶組�,包括管理員用戶、數(shù)據(jù)庫用戶��、審計用戶�����、來賓用戶等���。
定期檢查并刪除與無關(guān)帳戶
定期刪除或鎖定與設(shè)備運行�、維護等與工作無關(guān)的帳戶�。
操作步驟
打開 控制面板 > 管理工具 > 計算機管理,在 系統(tǒng)工具 > 本地用戶和組 中���,刪除或鎖定與設(shè)備運行��、維護等與工作無關(guān)的帳戶����。
不顯示最后的用戶名
配置登錄登出后�,不顯示用戶名稱����。
操作步驟:
打開 控制面板 > 管理工具 > 本地安全策略�����,在 本地策略 > 安全選項 中�����,雙擊 交互式登錄:不顯示最后的用戶名����,選擇 已啟用 并單擊 確定。
1.2 口令
密碼復(fù)雜度
密碼復(fù)雜度要求必須滿足以下策略:
- 最短密碼長度要求八個字符���。
- 啟用本機組策略中密碼必須符合復(fù)雜性要求的策略���。
即密碼至少包含以下四種類別的字符中的兩種:
- 英語大寫字母 A, B, C, … Z
- 英語小寫字母 a, b, c, … z
- 西方阿拉伯?dāng)?shù)字 0, 1, 2, … 9
- 非字母數(shù)字字符,如標(biāo)點符號�,@, #, $, %, &, *等
操作步驟
打開 控制面板 > 管理工具 > 本地安全策略,在 帳戶策略 > 密碼策略 中���,確認 密碼必須符合復(fù)雜性要求 策略已啟用��。
密碼最長留存期
對于采用靜態(tài)口令認證技術(shù)的設(shè)備�,帳戶口令的留存期不應(yīng)長于90天�����。
操作步驟打開 控制面板 > 管理工具 > 本地安全策略���,在 帳戶策略 > 密碼策略 中����,配置 密碼最長使用期限 不大于90天����。
帳戶鎖定策略
對于采用靜態(tài)口令認證技術(shù)的設(shè)備,應(yīng)配置當(dāng)用戶連續(xù)認證失敗次數(shù)超過10次后�����,鎖定該用戶使用的帳戶�����。
操作步驟
打開 控制面板 > 管理工具 > 本地安全策略,在 帳戶策略 > 帳戶鎖定策略 中���,配置 帳戶鎖定閾值 不大于10次�����。
配置樣例:
1.3 授權(quán)
遠程關(guān)機
在本地安全設(shè)置中���,從遠端系統(tǒng)強制關(guān)機權(quán)限只分配給Administrators組。
操作步驟
打開 控制面板 > 管理工具 > 本地安全策略�,在 本地策略 > 用戶權(quán)限分配 中,配置 從遠端系統(tǒng)強制關(guān)機 權(quán)限只分配給Administrators組���。
本地關(guān)機
在本地安全設(shè)置中關(guān)閉系統(tǒng)權(quán)限只分配給Administrators組�����。
操作步驟
打開 控制面板 > 管理工具 > 本地安全策略�����,在 本地策略 > 用戶權(quán)限分配 中���,配置 關(guān)閉系統(tǒng) 權(quán)限只分配給Administrators組。
用戶權(quán)限指派
在本地安全設(shè)置中,取得文件或其它對象的所有權(quán)權(quán)限只分配給Administrators組��。
操作步驟
打開 控制面板 > 管理工具 > 本地安全策略�,在 本地策略 > 用戶權(quán)限分配 中���,配置 取得文件或其它對象的所有權(quán) 權(quán)限只分配給Administrators組�。
授權(quán)帳戶登陸
在本地安全設(shè)置中���,配置指定授權(quán)用戶允許本地登陸此計算機����。
操作步驟
打開 控制面板 > 管理工具 > 本地安全策略����,在 本地策略 > 用戶權(quán)限分配 中,配置 允許本地登錄 權(quán)限給指定授權(quán)用戶�。
授權(quán)帳戶從網(wǎng)絡(luò)訪問
在本地安全設(shè)置中,只允許授權(quán)賬號從網(wǎng)絡(luò)訪問(包括網(wǎng)絡(luò)共享等�,但不包括終端服務(wù))此計算機。
操作步驟
打開 控制面板 > 管理工具 > 本地安全策略�����,在 本地策略 > 用戶權(quán)限分配 中,配置 從網(wǎng)絡(luò)訪問此計算機 權(quán)限給指定授權(quán)用戶��。
2. 日志配置操作
2.1 日志配置
審核登錄
設(shè)備應(yīng)配置日志功能����,對用戶登錄進行記錄。記錄內(nèi)容包括用戶登錄使用的帳戶���、登錄是否成功�����、登錄時間�、以及遠程登錄時��、及用戶使用的IP地址�����。
操作步驟
打開 控制面板 > 管理工具 > 本地安全策略�����,在 本地策略 > 審核策略 中�,設(shè)置 審核登錄事件����。
審核策略
啟用本地安全策略中對Windows系統(tǒng)的審核策略更改��,成功和失敗操作都需要審核�。
操作步驟
打開 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 審核策略 中�����,設(shè)置 審核策略更改���。
審核對象訪問
啟用本地安全策略中對Windows系統(tǒng)的審核對象訪問,成功和失敗操作都需要審核�。
操作步驟
打開 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 審核策略 中����,設(shè)置 審核對象訪問。
審核事件目錄服務(wù)訪問
啟用本地安全策略中對Windows系統(tǒng)的審核目錄服務(wù)訪問�����,僅需要審核失敗操作�。
操作步驟
打開 控制面板 > 管理工具 > 本地安全策略����,在 本地策略 > 審核策略 中���,設(shè)置 審核目錄服務(wù)器訪問�����。
審核特權(quán)使用
啟用本地安全策略中對Windows系統(tǒng)的審核特權(quán)使用�,成功和失敗操作都需要審核�。
操作步驟
打開 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 審核策略 中���,設(shè)置 審核特權(quán)使用���。
審核系統(tǒng)事件
啟用本地安全策略中對Windows系統(tǒng)的審核系統(tǒng)事件,成功和失敗操作都需要審核��。
操作步驟
打開 控制面板 > 管理工具 > 本地安全策略�,在 本地策略 > 審核策略 中,設(shè)置 審核系統(tǒng)事件�。
審核帳戶管理
啟用本地安全策略中對Windows系統(tǒng)的審核帳戶管理,成功和失敗操作都要審核�����。
操作步驟
打開 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 審核策略 中���,設(shè)置 審核帳戶管理�。
審核過程追蹤
啟用本地安全策略中對Windows系統(tǒng)的審核進程追蹤�,僅失敗操作需要審核。
操作步驟
打開 控制面板 > 管理工具 > 本地安全策略��,在 本地策略 > 審核策略 中�,設(shè)置 審核進程追蹤���。
日志文件大小
設(shè)置應(yīng)用日志文件大小至少為 8192 KB��,可根據(jù)磁盤空間配置日志文件大小����,記錄的日志越多越好��。并設(shè)置當(dāng)達到最大的日志尺寸時����,按需要輪詢記錄日志��。
操作步驟
打開 控制面板 > 管理工具 > 事件查看器����,配置 應(yīng)用日志����、系統(tǒng)日志、安全日志 屬性中的日志大小���,以及設(shè)置當(dāng)達到最大的日志尺寸時的相應(yīng)策略���。
3. IP協(xié)議安全配置
3.1 IP協(xié)議安全
啟用SYN攻擊保護
啟用SYN攻擊保護。
- 指定觸發(fā)SYN洪水攻擊保護所必須超過的TCP連接請求數(shù)閾值為5����。
- 指定處于 SYN_RCVD 狀態(tài)的 TCP 連接數(shù)的閾值為500。
- 指定處于至少已發(fā)送一次重傳的 SYN_RCVD 狀態(tài)中的 TCP 連接數(shù)的閾值為400����。
操作步驟
打開 注冊表編輯器,根據(jù)推薦值修改注冊表鍵值�。
Windows Server 2012
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect
推薦值:2HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpen
推薦值:500
Windows Server 2008
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect
推薦值:2HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted
推薦值:5HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen
推薦值:500HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried
推薦值:400
4. 文件權(quán)限
4.1 共享文件夾及訪問權(quán)限
關(guān)閉默認共享
非域環(huán)境中,關(guān)閉Windows硬盤默認共享����,例如C$�����,D$�。
操作步驟
打開 注冊表編輯器�,根據(jù)推薦值修改注冊表鍵值。
注意: Windows Server 2012版本已默認關(guān)閉Windows硬盤默認共享��,且沒有該注冊表鍵值�。
HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer
推薦值: 0
共享文件夾授權(quán)訪問
每個共享文件夾的共享權(quán)限,只允許授權(quán)的帳戶擁有共享此文件夾的權(quán)限�����。
操作步驟
每個共享文件夾的共享權(quán)限僅限于業(yè)務(wù)需要�,不要設(shè)置成為 Everyone�。打開 控制面板 > 管理工具 > 計算機管理,在 共享文件夾 中�,查看每個共享文件夾的共享權(quán)限。
5. 服務(wù)安全
5.1 禁用TCP/IP上的NetBIOS
禁用TCP/IP上的NetBIOS協(xié)議���,可以關(guān)閉監(jiān)聽的 UDP 137(netbios-ns)�����、UDP 138(netbios-dgm)以及 TCP 139(netbios-ssn)端口��。
操作步驟
- 在 計算機管理 > 服務(wù)和應(yīng)用程序 > 服務(wù) 中禁用 TCP/IP NetBIOS Helper 服務(wù)�。
- 在網(wǎng)絡(luò)連接屬性中,雙擊 Internet協(xié)議版本4(TCP/IPv4)����,單擊 高級。在 WINS 頁簽中�����,進行如下設(shè)置:
禁用不必要的服務(wù)
禁用不必要的服務(wù)��,請參考:
6.安全選項
6.1 啟用安全選項
操作步驟
打開 控制面板 > 管理工具 > 本地安全策略�����,在 本地策略 > 安全選項 中�����,進行如下設(shè)置:
6.2 禁用未登錄前關(guān)機
服務(wù)器默認是禁止在未登錄系統(tǒng)前關(guān)機的。如果啟用此設(shè)置��,服務(wù)器安全性將會大大降低�,給遠程連接的黑客造成可乘之機,強烈建議禁用未登錄前關(guān)機功能��。
操作步驟
打開 控制面板 > 管理工具 > 本地安全策略�����,在 本地策略 > 安全選項 中���,禁用 關(guān)機: 允許系統(tǒng)在未登錄前關(guān)機 策略��。
7. 其他安全配置
7.1 防病毒管理
Windows系統(tǒng)需要安裝防病毒軟件���。
操作步驟
安裝企業(yè)級防病毒軟件,并開啟病毒庫更新及實時防御功能���。
7.2 設(shè)置屏幕保護密碼和開啟時間
設(shè)置從屏幕保護恢復(fù)時需要輸入密碼���,并將屏幕保護自動開啟時間設(shè)定為五分鐘�����。
操作步驟
啟用屏幕保護程序,設(shè)置等待時間為 5分鐘�,并啟用 在恢復(fù)時使用密碼保護。
7.3 限制遠程登陸空閑斷開時間
對于遠程登陸的賬號�����,設(shè)置不活動超過時間15分鐘自動斷開連接��。
操作步驟
打開 控制面板 > 管理工具 > 本地安全策略���,在 本地策略 > 安全選項 中����,設(shè)置 Microsoft網(wǎng)絡(luò)服務(wù)器:暫停會話前所需的空閑時間數(shù)量 屬性為15分鐘���。
7.4 操作系統(tǒng)補丁管理
安裝最新的操作系統(tǒng)Hotfix補丁����。安裝補丁時����,應(yīng)先對服務(wù)器系統(tǒng)進行兼容性測試。
操作步驟
安裝最新的操作系統(tǒng)Hotfix補丁。安裝補丁時�����,應(yīng)先對服務(wù)器系統(tǒng)進行兼容性測試���。
注意:對于實際業(yè)務(wù)環(huán)境服務(wù)器��,建議使用通知并自動下載更新���,但由管理員選擇是否安裝更新,而不是使用自動安裝更新�����,防止自動更新補丁對實際業(yè)務(wù)環(huán)境產(chǎn)生影響����。
