建站
咨詢
售后
建站咨詢
新聞中心
安全配置要求
賬號(hào)
編號(hào):1
要求內(nèi)容 應(yīng)按照不同的用戶分配不同的賬號(hào),避免不同用戶間共享賬號(hào)。避
免用戶賬號(hào)和設(shè)備間通信使用的賬號(hào)共享。
操作指南1、參考配置操作
進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理” ,在“系統(tǒng)工具->本地用戶和組” :
根據(jù)系統(tǒng)的要求,設(shè)定不同的賬戶和賬戶組。
檢測方法
1、 判定條件
結(jié)合要求和實(shí)際業(yè)務(wù)情況判斷符合要求,根據(jù)系統(tǒng)的要求,設(shè)定不
同的賬戶和賬戶組
2、檢測操作
進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理” ,在“系統(tǒng)工具->本地用
戶和組” :
查看根據(jù)系統(tǒng)的要求,設(shè)定不同的賬戶和賬戶組
讓客戶滿意是我們工作的目標(biāo),不斷超越客戶的期望值來自于我們對(duì)這個(gè)行業(yè)的熱愛。我們立志把好的技術(shù)通過有效、簡單的方式提供給客戶,將通過不懈努力成為客戶在信息化領(lǐng)域值得信任、有價(jià)值的長期合作伙伴,公司提供的服務(wù)項(xiàng)目有:域名注冊(cè)、網(wǎng)站空間、營銷軟件、網(wǎng)站建設(shè)、三明網(wǎng)站維護(hù)、網(wǎng)站推廣。
編號(hào):2
要求內(nèi)容
應(yīng)刪除與運(yùn)行、維護(hù)等工作無關(guān)的賬號(hào)。
操作指南
1.參考配置操作
A)可使用用戶管理工具:
開始-運(yùn)行-compmgmt.msc-本地用戶和組-用戶
B)也可以通過 net 命令:
刪除賬號(hào): net user account/de1
停用賬號(hào):net user account/active:no
檢測方法
1.判定條件
結(jié)合要求和實(shí)際業(yè)務(wù)情況判斷符合要求,刪除或鎖定與設(shè)備運(yùn)行、維護(hù)
等與工作無關(guān)的賬號(hào)。
3
注:無關(guān)的賬號(hào)主要指測試帳戶、共享帳號(hào)、長期不用賬號(hào)(半年以上
不用)等
2.檢測操作
開始-運(yùn)行-compmgmt.msc-本地用戶和組-用戶
編號(hào):3
要求內(nèi)容 重命名 Administrator;禁用 guest(來賓)帳號(hào)。
操作指南
1、參考配置操作
進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理” ,在“系統(tǒng)工具->本地用戶和組” :
Administrator->屬性-> 更改名稱
Guest 帳號(hào)->屬性-> 已停用
檢測方法 1、判定條件
缺省賬戶 Administrator名稱已更改。
Guest 帳號(hào)已停用。
2、檢測操作
進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理” ,在“系統(tǒng)工具->本地用
戶和組” :
缺省帳戶->屬性-> 更改名稱
Guest 帳號(hào)->屬性-> 已停用
口令
編號(hào):1
要求內(nèi)容 密碼長度要求:最少 8位
密碼復(fù)雜度要求:至少包含以下四種類別的字符中的三種:
z 英語大寫字母 A, B, C, … Z
z 英語小寫字母 a, b, c, … z
z 阿拉伯?dāng)?shù)字 0, 1, 2, … 9
z 非字母數(shù)字字符,如標(biāo)點(diǎn)符號(hào),@, #, $, %, &, *等
4
操作指南 1、參考配置操作
進(jìn)入“控制面板->管理工具->本地安全策略” ,在“帳戶策略->密碼策略” :
“密碼必須符合復(fù)雜性要求”選擇“已啟動(dòng)”
檢測方法
1、判定條件
“密碼必須符合復(fù)雜性要求”選擇“已啟動(dòng)”
2、檢測操作
進(jìn)入“控制面板->管理工具->本地安全策略” ,在“帳戶策略->密碼
策略” :
查看是否“密碼必須符合復(fù)雜性要求”選擇“已啟動(dòng)”
編號(hào):2
要求內(nèi)容 對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備,賬戶口令的生存期不長于 90
天。
操作指南
1、參考配置操作
進(jìn)入“控制面板->管理工具->本地安全策略” ,在“帳戶策略->密碼策略” : “密碼最長存留期”設(shè)置為“90 天”
檢測方法
1、判定條件
“密碼最長存留期”設(shè)置為“90 天”
2、檢測操作
進(jìn)入“控制面板->管理工具->本地安全策略” ,在“帳戶策略->密碼
策略” :
查看是否“密碼最長存留期”設(shè)置為“90 天”
編號(hào):3
要求內(nèi)容 對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備,應(yīng)配置設(shè)備,使用戶不能重復(fù)
使用最近 5次(含 5 次)內(nèi)已使用的口令。
操作指南
1、參考配置操作
進(jìn)入“控制面板->管理工具->本地安全策略” ,在“帳戶策略->密碼策略” :
“強(qiáng)制密碼歷史”設(shè)置為“記住 5個(gè)密碼”
檢測方法 1、判定條件
“強(qiáng)制密碼歷史”設(shè)置為“記住 5個(gè)密碼”
2、檢測操作
進(jìn)入“控制面板->管理工具->本地安全策略” ,在“帳戶策略->密碼
策略” :
查看是否“強(qiáng)制密碼歷史”設(shè)置為“記住 5 個(gè)密碼”
編號(hào):4
要求內(nèi)容 對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備,應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次
數(shù)超過 6 次(不含 6 次) ,鎖定該用戶使用的賬號(hào)。
操作指南 1、參考配置操作 進(jìn)入“控制面板->管理工具->本地安全策略” ,在“帳戶策略->帳戶
鎖定策略” :
“賬戶鎖定閥值”設(shè)置為 6 次
設(shè)置解鎖閥值:30 分鐘
檢測方法 1、判定條件
“賬戶鎖定閥值”設(shè)置為小于或等于 6 次
2、檢測操作
進(jìn)入“控制面板->管理工具->本地安全策略” ,在“帳戶策略->帳戶
鎖定策略” :
查看是否“賬戶鎖定閥值”設(shè)置為小于等于 6次
補(bǔ)充說明:
設(shè)置不當(dāng)可能導(dǎo)致賬號(hào)大面積鎖定,在域環(huán)境中應(yīng)小心設(shè)置,
Administrator 賬號(hào)本身不會(huì)被鎖定。
授權(quán)
編號(hào):1
6
要求內(nèi)容 本地、遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)只指派給 Administrators 組。
操作指南 1、參考配置操作
進(jìn)入“控制面板->管理工具->本地安全策略” ,在“本地策略->用
戶權(quán)利指派”:
“關(guān)閉系統(tǒng)”設(shè)置為“只指派給 Administrators組”
“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置為“只指派給 Administrators組”
檢測方法 1、判定條件
“關(guān)閉系統(tǒng)”設(shè)置為“只指派給 Administrators組”
“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置為“只指派給 Administrtors組”
2、檢測操作
進(jìn)入“控制面板->管理工具->本地安全策略” ,在“本地策略->用
戶權(quán)利指派”:
查看“關(guān)閉系統(tǒng)”設(shè)置為“只指派給 Administrators 組”
查看是否“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置為“只指派給
Administrators 組”
編號(hào):2
要求內(nèi)容 在本地安全設(shè)置中取得文件或其它對(duì)象的所有權(quán)僅指派給
Administrators。
操作指南 1、參考配置操作
進(jìn)入“控制面板->管理工具->本地安全策略” ,在“本地策略->用
戶權(quán)利指派” :
“取得文件或其它對(duì)象的所有權(quán)”設(shè)置為“只指派給
Administrators 組”
檢測方法 1、判定條件
“取得文件或其它對(duì)象的所有權(quán)”設(shè)置為“只指派給
Administrators 組”
2、檢測操作
進(jìn)入“控制面板->管理工具->本地安全策略” ,在“本地策略->用
7
戶權(quán)利指派” :
查看是否“取得文件或其它對(duì)象的所有權(quán)”設(shè)置為“只指派給
Administrators 組”
編號(hào):3
要求內(nèi)容 在本地安全設(shè)置中只允許授權(quán)帳號(hào)本地、遠(yuǎn)程訪問登陸此計(jì)算機(jī)。
操作指南
1、參考配置操作
進(jìn)入“控制面板->管理工具->本地安全策略” ,在“本地策略->用
戶權(quán)利指派”
“從本地登陸此計(jì)算機(jī)”設(shè)置為“指定授權(quán)用戶”
“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”設(shè)置為“指定授權(quán)用戶”
檢測方法 1、判定條件
“從本地登陸此計(jì)算機(jī)”設(shè)置為“指定授權(quán)用戶”
“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”設(shè)置為“指定授權(quán)用戶”
2、檢測操作
進(jìn)入“控制面板->管理工具->本地安全策略” ,在“本地策略->用
戶權(quán)利指派”
查看是否“從本地登陸此計(jì)算機(jī)”設(shè)置為“指定授權(quán)用戶”
查看是否“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”設(shè)置為“指定授權(quán)用戶”
補(bǔ)丁
編號(hào):1
要求內(nèi)容 在不影響業(yè)務(wù)的情況下,應(yīng)安裝最新的 Service Pack 補(bǔ)丁集。對(duì)
服務(wù)器系統(tǒng)應(yīng)先進(jìn)行兼容性測試。
操作指南 1、參考配置操作
安裝最新的 Service Pack補(bǔ)丁集。
例如截止到 2010 年最新版本: Windows XP 的 Service Pack 為 SP3。
Windows2000 的 Service Pack為 SP4,Windows 2003的 Service
Pack 為 SP2
檢測方法 1、判定條件
2、檢測操作
進(jìn)入控制面板->添加或刪除程序->顯示更新打鉤,查看是否 XP 系
統(tǒng)已安裝SP3, Win2000系統(tǒng)已安裝SP4, Win2003系統(tǒng)已安裝SP2。
防護(hù)軟件
編號(hào):1
要求內(nèi)容 啟用自帶防火墻或安裝第三方威脅防護(hù)軟件。根據(jù)業(yè)務(wù)需要限定允
許訪問網(wǎng)絡(luò)的應(yīng)用程序,和允許遠(yuǎn)程登陸該設(shè)備的 IP地址范圍。
操作指南 1、參考配置操作(以啟動(dòng)自帶防火墻為例)
進(jìn)入“控制面板->網(wǎng)絡(luò)連接->本地連接” ,在高級(jí)選項(xiàng)的設(shè)置中
啟用 Windows 防火墻。
在“例外”中配置允許業(yè)務(wù)所需的程序接入網(wǎng)絡(luò)。
在“例外->編輯->更改范圍”編輯允許接入的網(wǎng)絡(luò)地址范圍。
說明:分為服務(wù)器和操作終端兩種情況:
服務(wù)器該項(xiàng)為可選,操作終端該項(xiàng)為必選
檢測方法 1、判定條件
啟用 Windows 防火墻。
“例外”中允許接入網(wǎng)絡(luò)的程序均為業(yè)務(wù)所需。
2、檢測操作
進(jìn)入“控制面板->網(wǎng)絡(luò)連接->本地連接” ,在高級(jí)選項(xiàng)的設(shè)置中,
查看是否啟用 Windows 防火墻。
查看是否在“例外”中配置允許業(yè)務(wù)所需的程序接入網(wǎng)絡(luò)。
查看是否在“例外->編輯->更改范圍”編輯允許接入的網(wǎng)絡(luò)地址范
圍。
防病毒軟件
編號(hào):1
要求內(nèi)容 安裝防病毒軟件,并及時(shí)更新。
操作指南 1、參考配置操作
9
安裝防病毒軟件,并及時(shí)更新。
檢測方法 1、判定條件
已安裝防病毒軟件,病毒碼更新時(shí)間不早于 1個(gè)月,各系統(tǒng)病毒碼
升級(jí)時(shí)間要求參見各系統(tǒng)相關(guān)規(guī)定。
注:對(duì)于操作終端該項(xiàng)為必選項(xiàng),對(duì)于服務(wù)器該項(xiàng)為可選項(xiàng)
2、檢測操作
控制面板->添加或刪除程序,是否安裝有防病毒軟件。打開防病
毒軟件控制面板,查看病毒碼更新日期。
日志安全要求
編號(hào):1
要求內(nèi)容 設(shè)備應(yīng)配置日志功能,對(duì)用戶登錄進(jìn)行記錄,記錄內(nèi)容包括用戶登
錄使用的賬號(hào),登錄是否成功,登錄時(shí)間,以及遠(yuǎn)程登錄時(shí),用戶
使用的 IP地址。
操作指南
1、參考配置操作
開始->運(yùn)行-> 執(zhí)行“ 控制面板->管理工具->本地安全策略->審核
策略”
審核登錄事件,雙擊,設(shè)置為成功和失敗都審核。
檢測方法
1、判定條件
審核登錄事件,設(shè)置為成功和失敗都審核。
2、檢測操作
開始->運(yùn)行-> 執(zhí)行“ 控制面板->管理工具->本地安全策略->審核
策略”
審核登錄事件,雙擊,查看是否設(shè)置為成功和失敗都審核。
編號(hào):2
要求內(nèi)容 開啟審核策略,以便出現(xiàn)安全問題后進(jìn)行追查
操作指南 1、參考配置操作
對(duì)審核策略進(jìn)行檢查:
開始-運(yùn)行-gpedit.msc
計(jì)算機(jī)配置-Windows 設(shè)置-安全設(shè)置-本地策略-審核策略
以下審核是必須開啟的,其他的可以根據(jù)需要增加:
y 審核系統(tǒng)登陸事件 成功,失敗
y 審核帳戶管理 成功,失敗
y 審核登陸事件 成功,失敗
y 審核對(duì)象訪問 成功
y 審核策略更改 成功,失敗
y 審核特權(quán)使用 成功,失敗
y 審核系統(tǒng)事件 成功,失敗
2、補(bǔ)充說明
可能會(huì)使日志量猛增
檢測方法 1、判定條件
嘗試對(duì)被添加了訪問審核的對(duì)象進(jìn)行訪問,然后查看安全日志中是
否會(huì)有相關(guān)記錄,或通過其他手段激化以配置的審核策略,并觀察
日志中的記錄情況,如果存在記錄條目,則配置成功。
2、檢測操作
編號(hào):3
要求內(nèi)容
設(shè)置日志容量和覆蓋規(guī)則,保證日志存儲(chǔ)
操作指南 1、參考配置操作
開始-運(yùn)行-eventvwr
右鍵選擇日志,屬性,根據(jù)實(shí)際需求設(shè)置:
日志文件大小:可根據(jù)需要制定
超過上限時(shí)的處理方式(建議日志記錄天數(shù)不小于 90天)
2、 補(bǔ)充說明
建議對(duì)每個(gè)日志均進(jìn)行如上操作,同時(shí)應(yīng)保證磁盤空間
檢測方法 1、判定條件
2、檢測操作
開始-運(yùn)行-eventvwr,右鍵選擇日志,屬性,查看日志上限及超
過上線時(shí)的處理方式
不必要的服務(wù)、端口
編號(hào):1
要求內(nèi)容 關(guān)閉不必要的服務(wù)
操作指南 1、參考配置操作
進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理” ,進(jìn)入“服務(wù)和應(yīng)用程
序” :
可根據(jù)具體應(yīng)用情況參考附錄 A,篩選不必要的服務(wù)。
檢測方法 1、判定條件
系統(tǒng)管理員應(yīng)出具系統(tǒng)所必要的服務(wù)列表。
查看所有服務(wù),不在此列表的服務(wù)需關(guān)閉。
2、檢測操作
進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理” ,進(jìn)入“服務(wù)和應(yīng)用程
序” :
查看所有服務(wù),不在此列表的服務(wù)是否已關(guān)閉。
編號(hào): 2
要求內(nèi)容 如需啟用SNMP服務(wù), 則修改默認(rèn)的SNMP Community String設(shè)置。
操作指南 1、參考配置操作
打開“控制面板”,打開“管理工具”中的“服務(wù)”,找到“SNMP
Service”,單擊右鍵打開“屬性”面板中的“安全”選項(xiàng)卡,在這個(gè)配置
界面中,可以修改 community strings,也就是微軟所說的“團(tuán)體名
稱”。
檢測方法 1、判定條件
community strings已改,不是默認(rèn)的“public”
2、檢測操作
打開“控制面板”,打開“管理工具”中的“服務(wù)”,找到“SNMP
Service”,單擊右鍵打開“屬性”面板中的“安全”選項(xiàng)卡,在這個(gè)配置
界面中,查看 community strings,也就是微軟所說的“團(tuán)體名稱”。
編號(hào): 3
要求內(nèi)容 如對(duì)互聯(lián)網(wǎng)開放 WindowsTerminial 服務(wù)(Remote Desktop),需修改
默認(rèn)服務(wù)端口。
操作指南 1、參考配置操作
開始->運(yùn)行 Regedt32
并轉(zhuǎn)到此項(xiàng):
HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal
ServerWinStationsRDP-Tcp
找到 “PortNumber” 子項(xiàng), 會(huì)看到默認(rèn)值 00000D3D, 它是 3389
的十六進(jìn)制表示形式。使用十六進(jìn)制數(shù)值修改此端口號(hào),并保存新
值。
檢測方法 1、判定條件
找到“PortNumber”子項(xiàng),設(shè)定值非 00000D3D,即十進(jìn)制 3389
2、檢測操作
運(yùn)行 Regedt32 ,找到此項(xiàng)并判斷。
啟動(dòng)項(xiàng)
要求內(nèi)容 關(guān)閉無效啟動(dòng)項(xiàng)
操作指南 1、參考配置操作
“開始->運(yùn)行->MSconfig”啟動(dòng)菜單中,取消不必要的啟動(dòng)項(xiàng)。
檢測方法 1、判定條件
2、檢測操作
系統(tǒng)管理員提供業(yè)務(wù)必須的自動(dòng)加載進(jìn)程和服務(wù)列表文檔。
查看“開始->運(yùn)行->MSconfig”啟動(dòng)菜單:
不需要的自動(dòng)加載進(jìn)程是否已禁用和取消。
關(guān)閉自動(dòng)播放功能
編號(hào):1
要求內(nèi)容 關(guān)閉 Windows自動(dòng)播放功能
操作指南 1、參考配置操作
開始→運(yùn)行→gpedit.msc,打開組策略編輯器,瀏覽到計(jì)算機(jī)配置
→管理模板→系統(tǒng),在右邊窗格中雙擊“關(guān)閉自動(dòng)播放”,對(duì)話框中
選擇所有驅(qū)動(dòng)器,確定即可。
檢測方法 1、判定條件
所有驅(qū)動(dòng)器均“關(guān)閉自動(dòng)播放”
2、檢測操作
“關(guān)閉自動(dòng)播放”配置已啟用,啟用范圍:所有驅(qū)動(dòng)器。
共享文件夾
編號(hào):1
要求內(nèi)容 在非域環(huán)境下,關(guān)閉 Windows 硬盤默認(rèn)共享,例如 C$,D$。
操作指南 1、參考配置操作
進(jìn)入“開始->運(yùn)行->Regedit” ,進(jìn)入注冊(cè)表編輯器,更改注冊(cè)表
鍵值:
HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\
下,增加 REG_DWORD 類型的 AutoShareServer 鍵,值為 0。
檢測方法 1、判定條件
HKLM\System\CurrentControlSet\
Services\LanmanServer\Parameters\增加了 REG_DWORD 類型的
AutoShareServer 鍵,值為 0。
2、檢測操作
進(jìn)入“開始->運(yùn)行->Regedit” ,進(jìn)入注冊(cè)表編輯器,更改注冊(cè)表
鍵值:
HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\
,增加 REG_DWORD類型的 AutoShareServer 鍵,值為 0。
編號(hào):2
要求內(nèi)容 設(shè)置共享文件夾的訪問權(quán)限,只允許授權(quán)的賬戶擁有權(quán)限共享此文
件夾。
操作指南 1、參考配置操作
進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理” ,進(jìn)入“系統(tǒng)工具->共
享文件夾” :
查看每個(gè)共享文件夾的共享權(quán)限,只將權(quán)限授權(quán)于指定賬戶。
檢測方法 1、判定條件
查看每個(gè)共享文件夾的共享權(quán)限僅限于業(yè)務(wù)需要,不設(shè)置成為
“everyone” 。
2、檢測操作
進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理” ,進(jìn)入“系統(tǒng)工具->共
享文件夾” :
查看每個(gè)共享文件夾的共享權(quán)限。
使用NTFS文件系統(tǒng)
要求內(nèi)容 在不毀壞數(shù)據(jù)的情況下,將FAT分區(qū)改為NTFS格式
操作指南 1、參考配置操作
將 FAT 卷轉(zhuǎn)換成 NTFS 分區(qū)
CONVERT volume /FS:NTFS[/V] [/CvtArea:filename][/NoSecurity]
[/X]
Vo l ume 指定驅(qū)動(dòng)器號(hào)(后面加一個(gè)冒號(hào)) 、裝載點(diǎn)或卷名
/FS:NTFS 指定要被轉(zhuǎn)換成 NTFS 的卷
/V 指定 CONVERT 應(yīng)該用詳述模式運(yùn)行
/CvtArea:filename 將根目錄中的一個(gè)接續(xù)文件指定為NTFS系統(tǒng)文
件的占位符
15
/NoSecurity 指定每個(gè)人都可以訪問轉(zhuǎn)換的文件和目錄的安全設(shè)置
/X 如果必要,先強(qiáng)行卸載卷,有打開的句柄則無效
例如:
Covert C:/FS:NTFS
備注:
1、新上線系統(tǒng)必須要求 NTFS 分區(qū),已上線系統(tǒng)在不損壞數(shù)據(jù)的
情況下應(yīng)用
2、在有其他非 WIN系統(tǒng)訪問、存在數(shù)據(jù)共享的情況下,不建議將
FAT分區(qū)改為NTFS格式
檢測方法 1、判定條件
2、檢測操作
網(wǎng)絡(luò)訪問
編號(hào):1
要求內(nèi)容 禁用匿名訪問命名管道和共享
16
操作指南 1、參考配置操作
“控制面板->管理工具->本地安全策略” ,在“本地策略->安全選
項(xiàng)”:網(wǎng)絡(luò)訪問:可匿名訪問的共享設(shè)置為全部刪除
“控制面板->管理工具->本地安全策略” ,在“本地策略->安全選
項(xiàng)”:網(wǎng)絡(luò)訪問:可匿名訪問的命名管道 設(shè)置為全部刪除
檢測方法 1、判定條件
全部刪除匿名訪問命名管道和共享
2、 檢測操作
查看“控制面板->管理工具->本地安全策略” ,在“本地策略->安
全選項(xiàng)”:網(wǎng)絡(luò)訪問:可匿名訪問的共享、可匿名訪問的命名管道
是否設(shè)置為全部刪除
編號(hào):2
要求內(nèi)容 禁用可遠(yuǎn)程訪問的注冊(cè)表路徑和子路徑
操作指南 1、參考配置操作
“控制面板->管理工具->本地安全策略” ,在“本地策略->安全選
項(xiàng)”:網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊(cè)表路徑 設(shè)置為全部刪除
“控制面板->管理工具->本地安全策略” ,在“本地策略->安全選
項(xiàng)”:網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊(cè)表路徑和子路徑 設(shè)置為全部刪
除
檢測方法 1、判定條件
全部刪除可遠(yuǎn)程訪問的注冊(cè)表路徑和子路徑
3、 檢測操作
查看“控制面板->管理工具->本地安全策略” ,在“本地策略->安
全選項(xiàng)”:網(wǎng)絡(luò)訪問中,查看,可遠(yuǎn)程訪問的注冊(cè)表路徑、可遠(yuǎn)程
訪問的注冊(cè)表路徑和子路徑是否設(shè)置為全部刪除
會(huì)話超時(shí)設(shè)置
編號(hào):1
17
要求內(nèi)容
對(duì)于遠(yuǎn)程登錄的賬戶,設(shè)置不活動(dòng)所連接時(shí)間 15 分鐘
操作指南 1、參考配置操作
進(jìn)入“控制面板—管理工具—本地安全策略” ,在“安全策略—安
全選項(xiàng)” : “Microsoft 網(wǎng)絡(luò)服務(wù)器”設(shè)置為“在掛起會(huì)話之前所需
的空閑時(shí)間”為 15 分鐘
檢測方法 1、判定條件
“Microsoft 網(wǎng)絡(luò)服務(wù)器”設(shè)置為“在掛起會(huì)話之前所需的空閑時(shí)
間”為 15 分鐘
2、檢測操作
進(jìn)入“控制面板—管理工具—本地安全策略” ,在“安全策略—安
全選項(xiàng)” :查看“Microsoft 網(wǎng)絡(luò)服務(wù)器”設(shè)置
注冊(cè)表設(shè)置
編號(hào):1
要求內(nèi)容 在不影響系統(tǒng)穩(wěn)定運(yùn)行的前提下,對(duì)注冊(cè)表信息進(jìn)行更新。
操作指南 1、參考配置操作
y 自動(dòng)登錄:
HKLM\Software\Microsoft\WindowsNT\
CurrentVersion\Winlogon\AutoAdminLogon (REG_DWORD) 0
y 源路由欺騙保護(hù):
HKLM\System\CurrentControlSet\
Services\Tcpip\Parameters\DisableIPSourceRouting
(REG_DWORD) 2
y 刪除匿名用戶空鏈接
HKEY_LOCAL_MACHINE
SYSTEM\Current\Control\Set\Control\Lsa
將 restrictanonymous 的值設(shè)置為 1,若該值不存在,可以自己
創(chuàng)建,類型為 REG_DWORD
修改完成后重新啟動(dòng)系統(tǒng)生效
y 碎片×××保護(hù):
HKLM\System\CurrentControlSet\
18
Services\Tcpip\Parameters\EnablePMTUDiscovery
(REG_DWORD) 1
y Syn flood ×××保護(hù):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
之下,可設(shè)置:
TcpMaxPortsExhausted。推薦值:5。
TcpMaxHalfOpen。推薦值數(shù)據(jù):500。
TcpMaxHalfOpenRetried。推薦值數(shù)據(jù):400
檢測方法 1、判定條件
2、檢測操作
點(diǎn)擊開始->運(yùn)行,然后在打開行里輸入 regedit,然后單擊確定,查看相
關(guān)注冊(cè)表項(xiàng)進(jìn)行查看;
使用空連接掃描工具無法遠(yuǎn)程枚舉用戶名和用戶組
附錄 A:端口及服務(wù)
服務(wù)名稱 端口 服務(wù)說明 關(guān)閉方法 處置建議
系統(tǒng)服務(wù)部分
echo 7/TCP RFC862_回聲協(xié)議
關(guān)閉"Simple
TCP/IP Services"服
務(wù)。
建議關(guān)閉
echo 7/UDP RFC862_回聲協(xié)議
discard 9/UDP RFC863 廢除協(xié)議
discard 9/TCP RFC863 廢除協(xié)議
daytime 13/UDP RFC867 白天協(xié)議
daytime 13/TCP RFC867 白天協(xié)議
qotd 17/TCP
RFC865 白天協(xié)議的
引用
qotd 17/UDP
RFC865 白天協(xié)議的
引用
chargen 19/TCP
RFC864 字符產(chǎn)生協(xié)
議
19
chargen 19/UDP
RFC864 字符產(chǎn)生協(xié)
議
ftp 21/TCP 文件傳輸協(xié)議(控制)
關(guān)閉"FTP
Publishing Service"
服務(wù)。
根據(jù)情況選擇
開放
smtp 25/TCP 簡單郵件發(fā)送協(xié)議
關(guān)閉"Simple Mail
Transport Protocol"
服務(wù)。
建議關(guān)閉
nameserver
42/TCP
WINS 主機(jī)名服務(wù)
關(guān)閉"Windows
Internet Name
Service"服務(wù)。
建議關(guān)閉
42/UDP
domain
53/UDP
域名服務(wù)器
關(guān)閉"DNS Server"
服務(wù)。
根據(jù)情況選擇
開放
53/TCP
根據(jù)情況選擇
開放
dhcps 67/UDP
DHCP 服務(wù)器
/Internet 連接共享
關(guān)閉"Simple
TCP/IP Services"服
務(wù)。
建議關(guān)閉
dhcpc 68/UDP DHCP協(xié)議客戶端
關(guān)閉"DHCP Client"
服務(wù)。
建議關(guān)閉
http 80/TCP
HTTP 萬維網(wǎng)發(fā)布服
務(wù)
關(guān)閉"World Wide
Web Publishing
Service"服務(wù)。
根據(jù)情況選擇
開放
epmap
135/TCP
RPC服務(wù) 系統(tǒng)基本服務(wù)
無法關(guān)閉
135/UDP 無法關(guān)閉
netbios-ns 137/UDP NetBIOS 名稱解析
在網(wǎng)卡的 TCP/IP選
項(xiàng)中"WINS"頁勾選"
禁用 TCP/IP上的
NETBIOS"
根據(jù)情況選擇
開放
netbios-dgm 138/UDP NetBIOS 數(shù)據(jù)報(bào)服務(wù) 根據(jù)情況選擇
開放
netbios-ssn 139/TCP NetBIOS 會(huì)話服務(wù) 系統(tǒng)基本服務(wù) 無法關(guān)閉
snmp 161/UDP SNMP 服務(wù) 關(guān)閉"SNMP "服務(wù)
根據(jù)情況選擇
開放
https 443/TCP
安全超文本傳輸協(xié)議
關(guān)閉"World Wide
Web Publishing
Service"服務(wù)
根據(jù)情況選擇
開放
20
microsoft-ds
445/UDP
SMB 服務(wù)器
運(yùn)行regedit,打開
HKEY_LOCAL_MA
CHINE\System\Cur
rentControlSet\Serv
ices\NetBT\Parame
ters 添加名為
"SMBDeviceEnable
d"的子鍵,類型
dword,值為0 重新
啟動(dòng)計(jì)算機(jī)
根據(jù)情況選擇
開放
445/TCP
isakmp 500/UDP
IPSec ISAKMP 本地
安全機(jī)構(gòu)
關(guān)閉"IPSEC Policy
Agent"服務(wù)
很少使用的服
務(wù),如不使用
ipsec,建議關(guān)
閉
RADIUS 1645/UDP
舊式 RADIUS
Internet 身份驗(yàn)證服
務(wù)
關(guān)閉"Remote
Access Connection
Manager"服務(wù)
建議關(guān)閉
RADIUS 1646/UDP
舊式 RADIUS
Internet 身份驗(yàn)證服
務(wù)
建議關(guān)閉
radius 1812/UDP
身份驗(yàn)證 Internet 身
份驗(yàn)證服務(wù)
建議關(guān)閉
radacct 1813/UDP
計(jì)帳 Internet 身份驗(yàn)
證服務(wù)
建議關(guān)閉
MSMQ-RPC 2105/TCP
MSMQ-RPC 消息隊(duì)
列
關(guān)閉"Message
Queuing"服務(wù)。
建議關(guān)閉
Termsrv 3389/TCP 終端服務(wù)
關(guān)閉"Terminal
Services"服務(wù)。
根據(jù)情況選擇
開放
其他常用服務(wù)
Apache
80/TCP
8000/TCP
Apache HTTP 服務(wù)
器
關(guān)閉"Apache2"服
務(wù)。
根據(jù)情況選擇
開放
ms-sql-s
1433/TCP
1434/UDP
微軟公司數(shù)據(jù)庫
關(guān)閉
"MSSQLServer"服
務(wù)。
根據(jù)情況選擇
開放
ORACLE 1521/TCP 甲骨文公司數(shù)據(jù)庫
關(guān)閉
"OracleOraHome90
TNSListener"服務(wù)。
根據(jù)情況選擇
開放
21
remote
administrator
4899/TCP
Famatech公司遠(yuǎn)程控
制軟件
關(guān)閉"Remote
Administrator
Service
"服務(wù)。
根據(jù)情況選擇
開放
sybase 5000/TCP Sybase公司數(shù)據(jù)庫
關(guān)閉"Sybase
SQLServer"字樣開
始的服務(wù)。
根據(jù)情況選擇
開放
pcAnywhere
5631/TCP
5632/UDP
Symantec公司遠(yuǎn)程控
制軟件
關(guān)閉"pcAnywhere
Host Service"字樣
開始的服務(wù)。
根據(jù)情況選擇
開放
網(wǎng)頁標(biāo)題:windows操作系統(tǒng)安全運(yùn)維所考慮的安全基線內(nèi)容
地址分享:http://www.ef60e0e.cn/article/ghscij.html
