安全基线之Windows
账户号管理与授权
删除或锁定无用的账号
| 配置描述 | 删除或锁定无用账号,定期清理无用账号,防止过去用户非法登录 |
|---|---|
| 检查方法 | "控制面板""管理工具""计算机管理""系统工具""本地用户"中审核不必要的用户和组, 审核账户隶属的组权限,审核组用户。 |
| 操作步骤 | 根据系统的要求和实际业务情况,设定不同的账户和账户组,如管理员、数据库用户、 审计用户、guest用户等等。删除或锁定与设备运行、维护等与工作无关的账户 |
| 回退操作 | 还原配置 |
| 操作风险 | 确认账户用途 |
| 是否可选 | 必选 |
按用户角色分配不同权限
| 配置描述 | 按用户分配不同的权限,保证用户权限最小化 |
|---|---|
| 检查方法 | "控制面板""管理工具""计算机管理""系统工具""本地用户"中审核用户和组,审核账户隶属的组权限,审核组用户。 |
| 操作步骤 | 根据系统的要求和实际业务情况,设定不同的账户和账户组,如管理员、数据库用户、审计用户、guest用户等等。 |
| 回退操作 | 还原配置 |
| 操作风险 | 确认账号用途及所需权限 |
| 是否可选 | 必选 |
口令复杂度检测
| 配置描述 | 口令策略设置复杂度检测,简单口令不允许被设置 |
|---|---|
| 检查方法 | "控制面板""管理工具""本地安全策略",在"账户策略""密码策略"中检查"密码必须符合复杂度要求"设置 |
| 操作步骤 | 开启"密码必须符合复杂度要求" |
| 回退操作 | 还原配置 |
| 操作风险 | 低 |
| 是否可选 | 必选 |
设置不能重复使用相同的口令
| 配置描述 | 设置不能重复使用最近5次(含5次)内已使用的口令 |
|---|---|
| 检查方法 | "控制面板""管理工具""本地安全策略",在"账户策略""密码策略"中检查"强制密码历史"设置 |
| 操作步骤 | 设置"强制密码历史"大于等于5 |
| 回退操作 | 还原配置 |
| 操作风险 | 低 |
| 是否可选 | 必选 |
不使用系统默认用户名
| 配置描述 | administrator、guest等默认账户使用默认用户名,当攻击者发起穷举攻击时,使用默认用户名会降低攻击难度 |
|---|---|
| 检查方法 | "控制面板""管理工具""计算机管理""系统工具""本地用户"中检查administrator、guest是否存在 |
| 操作步骤 | 重命名administrator、guest用户 |
| 回退操作 | 还原配置 |
| 操作风险 | 可能导致某些自动登录服务异常 |
| 是否可选 | 必选 |
口令有效期不长于90天
| 配置描述 | 定期更改登录口令,有效期不长于90天 |
|---|---|
| 检查方法 | "控制面板""管理工具""本地安全策略",在"账户策略""密码策略"中检查"密码最长留存期"设置 |
| 操作步骤 | 设置"密码最长留存期"小于等于90天 |
| 回退操作 | 还原配置 |
| 操作风险 | 低 |
| 是否可选 | 必选 |
设定连续认证失败次数
| 配置描述 | 设置连续认证失败次数超过6次(不含6次)锁定该账号 |
|---|---|
| 检查方法 | "控制面板""管理工具""本地安全策略",在"账户策略""用户锁定策略"中检查"账号锁定阈值"设置 |
| 操作步骤 | 设置"账号锁定阈值"小于6 |
| 回退操作 | 还原配置 |
| 操作风险 | 可能导致恶意尝试锁定用户 |
| 是否可选 | 必选 |
远端系统强制关机权限设置
| 配置描述 | 将从远端系统强制关机仅指派给Administrator组,避免普通用户拥有额外的系统控制权 |
|---|---|
| 检查方法 | "控制面板""管理工具""本地安全策略",在"本地策略""用户权限指派"中检查"从远端系统强制关机"设置 |
| 操作步骤 | 从"从远端系统强制关机"设置中删除除Administrator以外的其他选项 |
| 回退操作 | 还原配置 |
| 操作风险 | 可能导致某些系统功能异常或应用非正常运行 |
| 是否可选 | 必选 |
关闭系统的权限设置
| 配置描述 | 将关闭系统仅指派给Administrator组,避免普通用户拥有额外的系统控制权 |
|---|---|
| 检查方法 | "控制面板""管理工具""本地安全策略",在"本地策略""用户权限指派"中检查"关闭系统"设置 |
| 操作步骤 | 从"关闭系统"设置中删除除Administrator以外的其他选项 |
| 回退操作 | 还原配置 |
| 操作风险 | 可能导致某些系统功能异常或应用非正常运行 |
| 是否可选 | 必选 |
取得文件或其他对象的所有权设置
| 配置描述 | 将取得文件或其他对象所有权设置仅指派给Administrator组,避免普通用户拥有额外的系统控制权 |
|---|---|
| 检查方法 | "控制面板""管理工具""本地安全策略",在"本地策略""用户权限指派"中检查"取得文件或其它对象所有权"设置 |
| 操作步骤 | 从"取得文件或其他对象所有权"设置中删除除Administrator以外的其他选项 |
| 回退操作 | 还原配置 |
| 操作风险 | 可能导致某些系统功能异常或应用非正常运行 |
| 是否可选 | 必选 |
将从本地登录设置为指定授权用户
| 配置描述 | 将从本地登录设置为指定授权用户,将登录权限赋予指定用户 |
|---|---|
| 检查方法 | "控制面板""管理工具""本地安全策略",在"本地策略""用户权限指派"中检查"从本地登录"设置 |
| 操作步骤 | 从"从本地登录"设置中只保留授权用户,删除其他选项 |
| 回退操作 | 还原配置 |
| 操作风险 | 可能导致某些系统功能异常或应用非正常运行 |
| 是否可选 | 必选 |
将从网络访问设置为指定授权用户
| 配置描述 | 将从网络访问设置为指定授权用户 |
|---|---|
| 检查方法 | "控制面板""管理工具""本地安全策略",在"本地策略""用户权限指派"中检查"从网络访问"设置 |
| 操作步骤 | 从"从网络访问"设置中只保留授权用户,删除其他选项 |
| 回退操作 | 还原配置 |
| 操作风险 | 可能导致某些系统功能异常或应用非正常运行 |
| 是否可选 | 必选 |
日志配置
审核策略设置
| 配置描述 | 记录系统的所有审核信息,审核策略设置中成功失败都要审核 |
|---|---|
| 检查方法 | "控制面板""管理工具""本地安全策略",在"本地策略""审核策略"中检查是否符合操作中提到的标准 |
| 操作步骤 | 将不符合评估的内容项进行加固,安全标注如下: 审核策略更改:成功和失败 审核登录事件:成功和失败 审核系统事件:成功和失败 审核账号登录事件:成功和失败 审核账号管理:成功和失败 审核对象访问:失败 审核特权使用:失败 审核目录服务访问:失败 审核过程跟踪:失败 |
| 回退操作 | 还原配置 |
| 操作风险 | 降低系统性能并占用一定磁盘空间 |
| 是否可选 | 必选 |
日志查看器设置
| 配置描述 | 将应用、系统、安全日志查看器大小设置为至少8192KB |
|---|---|
| 检查方法 | "控制面板""管理工具""事件查看器",在"事件查看器(本地)"中检查是否符合操作中提到的标准 (在应用程序日志、安全日志和系统日志上点击右键,查看属性中的日志大小上限设置) |
| 操作步骤 | 将不符合内容进行加固,应用日志、安全日志、系统日志的容量均为8192KB。设置当达到最大日志大小时, "按需要覆盖事件"。并定期转存日志。 |
| 回退操作 | 还原配置 |
| 操作风险 | 低 |
| 是否可选 | 必选 |
IP协议安全
开启TCP/IP筛选
| 配置描述 | 对于不自带防火墙的系统,需要开启TCP/IP筛选,只能开放业务所以需要的TCP、UDP和IP协议(如windows2000) |
|---|---|
| 检查方法 | "控制面板”"网络连接""本地连接""Internet协议(TCP/IP)属性""高级TCP/IP设置”,在"选项"的属性中启用网络连接上的TCP/IP筛选,根据列表查看是否只开放业务所需的TCP、UDP端口和IP协议 |
| 操作步骤 | 注意异常端口,与管理员追查异常端口相关项。对没有自带防火墙的Windows系统,启用Windows系统的IP安全机制(IPSec)或网络连接上TCP/IP筛选,只开放业务所需要的TCP、UDP端口额IP协议。 |
| 回退操作 | 还原配置 |
| 操作风险 | 正确配置网络访问控制功能,否则可能导致某些应用无法正常访问网络 |
| 是否可选 | 必选 |
启用防火墙
| 配置描述 | 启用windows主机防火墙,根据业务需要限定允许访问网络的应用程序和允许远程登录该设备的IP地址范围 |
|---|---|
| 检查方法 | "控制面板""网络连接""本地连接",在高级选项的设置中,查看是否启用Windows防火墙 查看是否在"例外"中配置允许业务所需的程序接入网络 查看是否在"例外""编辑""更改范围"编辑允许接入的网络地址范围 |
| 操作步骤 | 将不符合内容进行加固,启用Windows防火墙。根据业务需要限定允许访问的应用程序和允许远程登录该设备的IP地址范围 |
| 回退操作 | 还原配置 |
| 操作风险 | 正确配置网络访问控制功能,否则可能导致某些应用无法正常访问网络 |
| 是否可选 | 必选 |
启用SYN攻击保护
| 配置描述 | 启用SYN攻击保护,当攻击者发起SYN攻击时,避免CPU和内存资源被过度消耗 |
|---|---|
| 检查方法 | "Win+R"键入regedit 1. 启用SYN攻击保护的命名值位于注册表项: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下 值名称:SynAttackProtect Windows2003推荐值:1 Windows2000、2008、2012推荐值:2 2. 指定必须在触发SYN flood保护之前超过TCP连接请求阈值 值名称:TcpMaxPortsExhausted Windows2000、2003、2008推荐值:5 3. 启用SynAttackProtect后,该值指定SYN_RCVD状态中的TCP来连接阈值,超过SynAttackProtect时,触发SYN flood保护 值名称:TcpMaxHalfOpen Windows2000、2003、2008、2012推荐之:500 4. 启用SynAttackProtect后,指定至少发送了一次重传的SYN_RCVD状态中的TCP连接阈值。超过SynAttackProtect时,触发SynAttackProtect时,触发SYN flood保护。 值名称:TcpMaxHalfOpenRetried Windows2000、2003、2008推荐值:400 |
| 操作步骤 | 1. 备份注册表原有的配置 2. 将不符合内容进行加固,启用SYN攻击保护;指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阈值为5;指定处于SYN_RCVD状态的TCP连接数的阈值为500;指定处于至少已发送一次重传的SYN_RCVD状态中的TCP连接数的阈值为400 |
| 回退操作 | 还原配置 |
| 操作风险 | 正确配置网络访问控制功能,否则可能导致某些应用无法正常访问网络 |
| 是否可选 | 必选 |
服务配置
关闭不必要的服务
| 配置描述 | 列出所需要服务的列表(包括所需的系统服务),不在此列表的服务需要关闭 |
|---|---|
| 检查方法 | "控制面板""管理工具""计算机管理",进入"服务和应用程序",查看所有服务,不在列表中的服务需要关闭 |
| 操作步骤 | 关闭不需要的服务,如: Remote Registry SNMP Service Print Spooler Telnet Computer Browser Messenger |
| 回退操作 | 还原配置 |
| 操作风险 | 正确配置网络访问控制功能,否则可能导致某些应用无法正常访问网络 |
| 是否可选 | 必选 |
关闭自动播放功能
| 配置描述 | 关闭自动播放功能,避免执行未经扫描或确认的文件,从而引入木马或病毒 |
|---|---|
| 检查方法 | "Win+R”gpedit.msc,打开组策略编辑器,管理模板系统,检查"关闭自动播放"项设置 |
| 操作步骤 | 设置启用"关闭自动播放" |
| 回退操作 | 还原配置 |
| 操作风险 | 低 |
| 是否可选 | 必选 |
SNMP Community String设置
| 配置描述 | 如需启用SNMP服务,修改默认SNMP Community String设置 |
|---|---|
| 检查方法 | "控制面板”"管理工具""计算机管理",进入"服务和应用程序",检查"SNMP Service", "属性"面板中的"安全"选项卡的community strings设置 |
| 操作步骤 | community strings改为其他,不是默认的"public" |
| 回退操作 | 还原配置 |
| 操作风险 | 可能导致服务异常 |
| 是否可选 | 必选 |
关闭远程注册表
| 配置描述 | 关闭远程注册表,防止用户远程修改或查看系统注册表 |
|---|---|
| 检查方法 | "控制面板”"管理工具""计算机管理",进入"服务和应用程序”,检查"Remote Registry" |
| 操作步骤 | 设置"Remote Registry"已停用 |
| 回退操作 | 还原配置 |
| 操作风险 | 某些应用可能需要此功能 |
| 是否可选 | 必选 |
启用NTP服务
| 配置描述 | 启用NTP服务,向指定的NTPServer进行时间同步 |
|---|---|
| 检查方法 | 已加入域控的服务器,系统会自动同步 未加入域控的服务器,设置如下 |
| 操作步骤 | 点击桌面右下角时钟栏,开启"更改日期和始终设置"-"internet时间", 开启"自动与internet时间服务器同步"选项,在服务器栏中填写ntp server的IP地址或域名,然后点击"立即更新" |
| 回退操作 | 还原配置 |
| 操作风险 | |
| 是否可选 | 必选 |
关闭不必要的启动项
| 配置描述 | 关闭不必要的启动项,优化系统资源,同时减少一如不必要的系统漏洞 |
|---|---|
| 检查方法 | "Win+R"MSconfig启动菜单中检查启动项 |
| 操作步骤 | 关闭不必要的启动项 |
| 回退操作 | 还原配置 |
| 操作风险 | 确认启动项是否必须 |
| 是否可选 | 必选 |
审核HOST文件的可疑条目
| 配置描述 | 删除HOST文件中的可疑条目 |
|---|---|
| 检查方法 | 查看是否符合操作中提到的标准,检查C:\windows\system32\drivers\etc目录下用于静态DNS解析的HOSTS文件 内容是否正常 |
| 操作步骤 | 1. 备份HOSTS文件 2. 将不符合评估内容项进行加固,确保C:\windows\system32\drivers\etc目录下用于静态DNS解析的HOSTS文件 内容正常,对于未知条目需要与管理员确认追查 |
| 回退操作 | 还原配置 |
| 操作风险 | 需与管理员确认 |
| 是否可选 | 必选 |
存在未知或无用的应用程序
| 配置描述 | 定期清理应用程序列表中无用或为止的程序,防止系统被植入木马或病毒 |
|---|---|
| 检查方法 | 检查"添加或删除程序"面板中的列表 |
| 操作步骤 | 备份应用程序的配置文件 与管理员确认后卸载不必要的应用程序 |
| 回退操作 | 重新安装程序,还原配置文件 |
| 操作风险 | 可能需要重启服务器 |
| 是否可选 | 必选 |
关闭默认共享
| 配置描述 | 关闭默认共享,未经确认的共享操作(尤其是对everyone的共享),会对信息安全造成严重威胁 |
|---|---|
| 检查方法 | net share或"计算机管理""共享" |
| 操作步骤 | 关闭Windows硬盘默认共享,如ADMIN$,C$,D$ "Win+R"Regedit,进入注册表编辑器, 更改注册表键值,在HKLM\System\CurrentControlSet\Services\LanmanServer\Parameter\下, 增加REG_DWORD类型的AutoShareServer键,值为0 |
| 回退操作 | 还原配置 |
| 操作风险 | 可能导致某些必须使用共享的程序异常运行 |
| 是否可选 | 必选 |
非everyone授权共享
| 配置描述 | 共享文件夹中,设置只允许授权账户拥有权限共享此文件夹 |
|---|---|
| 检查方法 | 检查共享文件夹中的授权用户 |
| 操作步骤 | 设置共享文件夹中的授权用户为指定用户,而非everyone |
| 回退操作 | 还原配置 |
| 操作风险 | 可能导致某些必须使用共享的程序异常运行 |
| 是否可选 | 必选 |
删除匿名访问共享
| 配置描述 | 共享文件夹应明确共享对象,不允许匿名访问 |
|---|---|
| 检查方法 | ”控制面板""管理工具""本地安全策略",在"在本地策略" "安全选项"中检查”网络访问:可匿名访问的共享"设置 |
| 操作步骤 | 删除"网络访问:可匿名访问的共享"中所有选项 |
| 回退操作 | 还原配置 |
| 操作风险 | 可能导致某些系统功能异常或应用非正常运行 |
| 是否可选 | 必选 |
挂起会话前所需的空闲时间设置
| 配置描述 | 对于远程登录的账号,设置不活动断开时间为1小时,长时间空闲账号将自动登出 |
|---|---|
| 检查方法 | ”控制面板""管理工具""本地安全策略",在"在本地策略""安全选项"中检查”Microsoft网络服务器: 在挂起会话前所需的空闲时间"设置 |
| 操作步骤 | 设置”Microsoft网络服务器:在挂起会话前所需的空闲时间"小于等于15分钟 |
| 回退操作 | 还原配置 |
| 操作风险 | 可能导致某些应用非正常运行 |
| 是否可选 | 必选 |
Windows更新
禁用"关闭Windows"对话框中显示"安装更新并关机”选项
| 配置描述 | 禁用"关闭Windows"对话框中显示"安装更新并关机",防止误操作关闭windows服务器 |
|---|---|
| 检查方法 | "Win+R”gpedit.msc "管理模板""windows组件”"Windows更新"中查看"关闭Windows"对话框中显示"安装更新并关机"配置 |
| 操作步骤 | 设置"关闭Windows"对话框中显示"安装更新并关机"为禁用 |
| 回退操作 | 还原配置 |
| 操作风险 | 低 |
| 是否可选 | 必选 |
自动更新配置
| 配置描述 | 配置windows自动更新 |
|---|---|
| 检查方法 | "Win+R”gpedit.msc "管理模板""windows组件”"Windows更新"中进行查看 |
| 操作步骤 | 设置"自动更新"为启用 设置"配置自动更新"为自动下载更新,但不自动安装 设置"预定安装日期"为每天自动安装设置"预定安装时间"为3小时(按企业具体需求而定) |
| 回退操作 | 还原配置 |
| 操作风险 | 更新可能导致某些服务运行异常 |
| 是否可选 | 必选 |
重新计划自动更新计划的安装
| 配置描述 | 启用"重新计划自动更新计划的安装"配置, 本策略是否需要在系统启动时推迟进行自动安装更新。 本策略主要在已经配置了自动更新来进行更新预安装。如果禁用了“配置自动更新”策略,本策略页 无效。 |
|---|---|
| 检查方法 | 检查"等待系统启动"配置 检查"重新计划自动更新计划的安装"配置 |
| 操作步骤 | 设置"等待系统启动"为1分钟 设置"重新计划自动更新计划的安装”为启用 |
| 回退操作 | 还原配置 |
| 操作风险 | |
| 是否可选 | 必选 |
MSS策略
IP源路由保护级别
| 配置描述 | 设置 IP 源路由的保护级别 |
|---|---|
| 检查方法 | |
| 操作步骤 | "Win+R”regedit进入注册表编辑器,更改注册表键值,在"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Prameters" 添加名称为"DisableIPSourceRouting”,类型为DWORD、值为0-2。 0:转发所有数据包 1:不转发源路由的数据包 2:丢弃所有传入源路由的数据包 |
| 回退操作 | 删除"DisableIPSourceRouting” |
| 操作风险 | 可能导致某些应用运行异常 |
| 是否可选 | 必选 |
为不同类型的网络传输配置IPSec免除
| 配置描述 | 规定是否可以为不同类型的网络传输配置 IPSec免除,如IKE 和 Kerberos 验证协议. |
|---|---|
| 加固措施 | 不过滤ISAKMP 流量 |
| 操作步骤 | |
| 回退操作 | |
| 操作风险 | |
| 是否可选 | 必选 |
自动登录
| 配置描述 | 是否允许一个可以物理上登录到计算机的用户自动登录。 |
|---|---|
| 检查方法 | |
| 操作步骤 | "Win+R”netplwiz,设置使用要使用本计算机,用户必须输入用户名和密码 |
| 回退操作 | 还原配置 |
| 操作风险 | |
| 是否可选 | 必选 |
是否允许ICMP包重定向来重载OSPFh合成路由
| 配置描述 | 是否允许 ICMP 包重新定向来重载 OSPF(Open Shortest Path First)合成路由 |
|---|---|
| 检查方法 | |
| 加固措施 | 禁用 |
| 回退操作 | 还原配置 |
| 操作风险 | |
| 是否可选 | 必选 |
是否允许 IRDP 检测配置默认网关地址是否允许计算机忽略除WINS服务器的NetBIOS 名称解析请求
| 配置描述 | 设置是否允许 IRDP(ICMP Router Discovery Protocol )检测和配置默认网关地址。 |
|---|---|
| 检查方法 | |
| 加固措施 | 禁用 |
| 回退操作 | 还原配置 |
| 操作风险 | |
| 是否可选 | 必选 |
允许计算机忽略除WINS服务器的NetBIOS名称解析请求
| 配置描述 | 默认情况下,运行NetBIOS的计算机会响应名称解释请求。该策略设置是否忽略除WINS服务器外的名称解释请求。 |
|---|---|
| 检查方法 | |
| 加固措施 | 启用 |
| 回退操作 | 还原配置 |
| 操作风险 | |
| 是否可选 | 必选 |
动态连接库(DLL)预加载的脆弱性预防
| 配置描述 | 该策略允许用户控制 DLL 搜索路径算法。在不指定完全限定路径的情况下加载 DLL 时, LoadLibrary API 和 LoadLibraryEx API 将使用DLL 搜索路径算法。 |
|---|---|
| 检查方法 | |
| 加固措施 | 阻止从WebDAV文件夹加载 DLL |
| 回退操作 | 还原配置 |
| 操作风险 | |
| 是否可选 | 必选 |
发送keep-alive包的间隔时间
| 配置描述 | 设置网络子系统尝试检查TCP会话是否还处于活动状态的频率。 |
|---|---|
| 检查方法 | |
| 加固措施 | 300000 毫秒 |
| 回退操作 | 还原配置 |
| 操作风险 | |
| 是否可选 | 必选 |
启用安全 DLL 搜索模式
| 配置描述 | 设置Windows定位驱动文件(.dlls)的方式。如果启用该策略,则首先在系统文件中搜索; 如果禁用该策略,则首先在当前目录中搜索。 |
|---|---|
| 检查方法 | |
| 加固措施 | 启用 |
| 回退操作 | 还原配置 |
| 操作风险 | |
| 是否可选 | 必选 |
启用计算机停止生成 8.3 类型文件名
| 配置描述 | 为了兼容 16 位系统,需要为系统的每个文件生成一个8.3类型的兼容文件名, 攻击者可以通过这些8.3类型文件名访问系统中的任何文件。该策略设置是否停止生成 8.3 类型文件名。 |
|---|---|
| 检查方法 | |
| 加固措施 | NTFS不允许创建短文件名 |
| 回退操作 | 还原配置 |
| 操作风险 | |
| 是否可选 | 必选 |
安全事件日志文件大小的告警阈值
| 配置描述 | 该策略规定在安全日志的大小达到最高阀值时,如果没有配置安全日志覆盖时间,则创建一个审核日志。 |
|---|---|
| 检查方法 | |
| 加固措施 | 90% |
| 回退操作 | 还原配置 |
| 操作风险 | |
| 是否可选 | 必选 |
屏幕保护宽限时间
| 配置描述 | 设置屏幕保护程序控制屏幕到系统被锁定之间的时间间隔。 |
|---|---|
| 检查方法 | |
| 加固措施 | 0 |
| 回退操作 | 还原配置 |
| 操作风险 | |
| 是否可选 | 必选 |
未确认数据的重传次数
| 配置描述 | 设置在已经存在的 TCP 流中,转发多少次没有确认的数据。 |
|---|---|
| 检查方法 | |
| 加固措施 | 3次 |
| 回退操作 | 还原配置 |
| 操作风险 | |
| 是否可选 | 必选 |
暂无评论...
