1. 賬戶管理和認證授權
1.1 賬戶
默認賬戶安全禁用Guest賬戶���。禁用或刪除其他無用賬戶(建議先禁用賬戶三個月,待確認沒有問題后刪除��。)
操作步驟
打開 控制面板 > 管理工具 > 計算機管理����,在 系統工具 > 本地用戶和組 > 用戶 中���,雙擊 Guest 帳戶��,在屬性中選中 帳戶已禁用�����,單擊 確定。
按照用戶分配帳戶
按照用戶分配帳戶�。根據業務要求,設定不同的用戶和用戶組��。例如��,管理員用戶��,數據庫用戶����,審計用戶,來賓用戶等�����。
操作步驟
打開 控制面板 > 管理工具 > 計算機管理�,在 系統工具 > 本地用戶和組 中,根據您的業務要求設定不同的用戶和用戶組���,包括管理員用戶����、數據庫用戶、審計用戶��、來賓用戶等���。
定期檢查并刪除與無關帳戶
定期刪除或鎖定與設備運行、維護等與工作無關的帳戶�����。
操作步驟
打開 控制面板 > 管理工具 > 計算機管理�����,在 系統工具 > 本地用戶和組 中��,刪除或鎖定與設備運行�����、維護等與工作無關的帳戶�����。
不顯示最后的用戶名
配置登錄登出后��,不顯示用戶名稱���。
操作步驟:
打開 控制面板 > 管理工具 > 本地安全策略�����,在 本地策略 > 安全選項 中�����,雙擊 交互式登錄:不顯示最后的用戶名,選擇 已啟用 并單擊 確定�����。
1.2 口令
密碼復雜度
密碼復雜度要求必須滿足以下策略:
最短密碼長度要求八個字符�����。啟用本機組策略中密碼必須符合復雜性要求的策略���。
即密碼至少包含以下四種類別的字符中的兩種:英語大寫字母 A, B, C, … Z 英語小寫字母 a, b, c, … z 西方阿拉伯數字 0, 1, 2, … 9 非字母數字字符�����,如標點符號�����,@, #, $, %, &, *等
操作步驟
打開 控制面板 > 管理工具 > 本地安全策略��,在 帳戶策略 > 密碼策略 中,確認 密碼必須符合復雜性要求 策略已啟用�����。
密碼最長留存期
對于采用靜態口令認證技術的設備�����,帳戶口令的留存期不應長于90天�����。
操作步驟打開 控制面板 > 管理工具 > 本地安全策略��,在 帳戶策略 > 密碼策略 中�����,配置 密碼最長使用期限 不大于90天���。
帳戶鎖定策略
對于采用靜態口令認證技術的設備���,應配置當用戶連續認證失敗次數超過10次后,鎖定該用戶使用的帳戶�����。
操作步驟
打開 控制面板 > 管理工具 > 本地安全策略����,在 帳戶策略 > 帳戶鎖定策略 中�����,配置 帳戶鎖定閾值 不大于10次��。
配置樣例:
1.3 授權
遠程關機
在本地安全設置中,從遠端系統強制關機權限只分配給Administrators組�����。
操作步驟
打開 控制面板 > 管理工具 > 本地安全策略��,在 本地策略 > 用戶權限分配 中�,配置 從遠端系統強制關機 權限只分配給Administrators組��。
本地關機
在本地安全設置中關閉系統權限只分配給Administrators組��。
操作步驟
打開 控制面板 > 管理工具 > 本地安全策略�����,在 本地策略 > 用戶權限分配 中���,配置 關閉系統 權限只分配給Administrators組��。
用戶權限指派
在本地安全設置中,取得文件或其它對象的所有權權限只分配給Administrators組��。
操作步驟
打開 控制面板 > 管理工具 > 本地安全策略���,在 本地策略 > 用戶權限分配 中�����,配置 取得文件或其它對象的所有權 權限只分配給Administrators組��。
授權帳戶登陸
在本地安全設置中���,配置指定授權用戶允許本地登陸此計算機���。
操作步驟
打開 控制面板 > 管理工具 > 本地安全策略��,在 本地策略 > 用戶權限分配 中���,配置 允許本地登錄 權限給指定授權用戶��。
授權帳戶從網絡訪問
在本地安全設置中�,只允許授權帳號從網絡訪問(包括網絡共享等,但不包括終端服務)此計算機��。
操作步驟
打開 控制面板 > 管理工具 > 本地安全策略���,在 本地策略 > 用戶權限分配 中,配置 從網絡訪問此計算機 權限給指定授權用戶���。
2. 日志配置操作
2.1 日志配置
審核登錄
設備應配置日志功能,對用戶登錄進行記錄��。記錄內容包括用戶登錄使用的帳戶�����、登錄是否成功���、登錄時間、以及遠程登錄時���、及用戶使用的IP地址����。
操作步驟
打開 控制面板 > 管理工具 > 本地安全策略�����,在 本地策略 > 審核策略 中,設置 審核登錄事件���。
審核策略
啟用本地安全策略中對Windows系統的審核策略更改,成功和失敗操作都需要審核�。
操作步驟
打開 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 審核策略 中��,設置 審核策略更改��。
審核對象訪問
啟用本地安全策略中對Windows系統的審核對象訪問���,成功和失敗操作都需要審核。
操作步驟
打開 控制面板 > 管理工具 > 本地安全策略��,在 本地策略 > 審核策略 中����,設置 審核對象訪問。
審核事件目錄服務訪問
啟用本地安全策略中對Windows系統的審核目錄服務訪問��,僅需要審核失敗操作���。
操作步驟
打開 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 審核策略 中,設置 審核目錄服務器訪問���。
審核特權使用
啟用本地安全策略中對Windows系統的審核特權使用�����,成功和失敗操作都需要審核�。
操作步驟
打開 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 審核策略 中�,設置 審核特權使用。
審核系統事件
啟用本地安全策略中對Windows系統的審核系統事件��,成功和失敗操作都需要審核��。
操作步驟
打開 控制面板 > 管理工具 > 本地安全策略�����,在 本地策略 > 審核策略 中��,設置 審核系統事件���。
審核帳戶管理
啟用本地安全策略中對Windows系統的審核帳戶管理���,成功和失敗操作都要審核��。
操作步驟
打開 控制面板 > 管理工具 > 本地安全策略���,在 本地策略 > 審核策略 中,設置 審核帳戶管理���。
審核過程追蹤
啟用本地安全策略中對Windows系統的審核進程追蹤��,僅失敗操作需要審核�����。
操作步驟
打開 控制面板 > 管理工具 > 本地安全策略���,在 本地策略 > 審核策略 中,設置 審核進程追蹤�����。
日志文件大小
設置應用日志文件大小至少為 8192 KB,可根據磁盤空間配置日志文件大小���,記錄的日志越多越好��。并設置當達到最大的日志尺寸時��,按需要輪詢記錄日志��。
操作步驟
打開 控制面板 > 管理工具 > 事件查看器����,配置 應用日志��、系統日志��、安全日志 屬性中的日志大小�,以及設置當達到最大的日志尺寸時的相應策略。
3. IP協議安全配置
3.1 IP協議安全
啟用SYN攻擊保護
啟用SYN攻擊保護��。
指定觸發SYN洪水攻擊保護所必須超過的TCP連接請求數閾值為5。指定處于 SYN_RCVD 狀態的 TCP 連接數的閾值為500���。指定處于至少已發送一次重傳的 SYN_RCVD 狀態中的 TCP 連接數的閾值為400�����。
操作步驟
打開 注冊表編輯器���,根據推薦值修改注冊表鍵值。
Windows Server 2012
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters/SynAttackProtect
推薦值:2HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters/TcpMaxHalfOpen
推薦值:500
Windows Server 2008
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/SynAttackProtect
推薦值:2HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/TcpMaxPortsExhausted
推薦值:5HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/TcpMaxHalfOpen
推薦值:500HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/TcpMaxHalfOpenRetried
推薦值:400
4. 文件權限
4.1 共享文件夾及訪問權限
關閉默認共享
非域環境中�,關閉Windows硬盤默認共享�����,例如C$��,D$�����。
操作步驟
打開 注冊表編輯器���,根據推薦值修改注冊表鍵值。
注意: Windows Server 2012版本已默認關閉Windows硬盤默認共享�����,且沒有該注冊表鍵值�����。
HKLM/System/CurrentControlSet/Services/LanmanServer/Parameters/AutoShareServer
推薦值: 0
共享文件夾授權訪問
每個共享文件夾的共享權限�����,只允許授權的帳戶擁有共享此文件夾的權限。
操作步驟
每個共享文件夾的共享權限僅限于業務需要�����,不要設置成為 Everyone��。打開 控制面板 > 管理工具 > 計算機管理,在 共享文件夾 中���,查看每個共享文件夾的共享權限�。
5. 服務安全
5.1 禁用TCP/IP上的NetBIOS
禁用TCP/IP上的NetBIOS協議�����,可以關閉監聽的 UDP 137(netbios-ns)��、UDP 138(netbios-dgm)以及 TCP 139(netbios-ssn)端口��。
操作步驟
在 計算機管理 > 服務和應用程序 > 服務 中禁用 TCP/IP NetBIOS Helper 服務��。在網絡連接屬性中���,雙擊 Internet協議版本4(TCP/IPv4)�����,單擊 高級��。在 WINS 頁簽中���,進行如下設置:
禁用不必要的服務
禁用不必要的服務�����,請參考:
6.安全選項
6.1 啟用安全選項
操作步驟
打開 控制面板 > 管理工具 > 本地安全策略��,在 本地策略 > 安全選項 中��,進行如下設置:
6.2 禁用未登錄前關機
服務器默認是禁止在未登錄系統前關機的�����。如果啟用此設置,服務器安全性將會大大降低�����,給遠程連接的黑客造成可乘之機�,強烈建議禁用未登錄前關機功能。
操作步驟
打開 控制面板 > 管理工具 > 本地安全策略�,在 本地策略 > 安全選項 中��,禁用 關機: 允許系統在未登錄前關機 策略��。
7. 其他安全配置
7.1 防病毒管理
Windows系統需要安裝防病毒軟件���。
操作步驟
安裝企業級防病毒軟件�����,并開啟病毒庫更新及實時防御功能���。
7.2 設置屏幕保護密碼和開啟時間
設置從屏幕保護恢復時需要輸入密碼��,并將屏幕保護自動開啟時間設定為五分鐘���。
操作步驟
啟用屏幕保護程序,設置等待時間為 5分鐘��,并啟用 在恢復時使用密碼保護�����。
7.3 限制遠程登陸空閑斷開時間
對于遠程登陸的帳號���,設置不活動超過時間15分鐘自動斷開連接。
操作步驟
打開 控制面板 > 管理工具 > 本地安全策略���,在 本地策略 > 安全選項 中���,設置 Microsoft網絡服務器:暫停會話前所需的空閑時間數量 屬性為15分鐘�����。
7.4 操作系統補丁管理
安裝最新的操作系統Hotfix補丁。安裝補丁時���,應先對服務器系統進行兼容性測試��。
操作步驟
安裝最新的操作系統Hotfix補丁。安裝補丁時���,應先對服務器系統進行兼容性測試���。
注意:對于實際業務環境服務器,建議使用通知并自動下載更新��,但由管理員選擇是否安裝更新�����,而不是使用自動安裝更新���,防止自動更新補丁對實際業務環境產生影響�。
