本文件旨在指導系統管理人員或安全檢查人員進行Windows作業系統的安全合規性檢查和配置,需要的朋友可以參考下。
1. 賬戶管理和認證授權
1.1 賬戶
預設賬戶安全禁用Guest賬戶。禁用或刪除其他無用賬戶(建議先禁用賬戶三個月,待確認沒有問題後刪除。)
操作步驟
開啟 控制皮膚 > 管理工具 > 計算機管理,在 系統工具 > 本地使用者和組 > 使用者 中,雙擊 Guest 帳戶,在屬性中選中 帳戶已禁用,單擊 確定。
按照使用者分配帳戶
按照使用者分配帳戶。根據業務要求,設定不同的使用者和使用者組。例如,管理員使用者,資料庫使用者,審計使用者,來賓使用者等。
操作步驟
開啟 控制皮膚 > 管理工具 > 計算機管理,在 系統工具 > 本地使用者和組 中,根據您的業務要求設定不同的使用者和使用者組,包括管理員使用者、資料庫使用者、審計使用者、來賓使用者等。
定期檢查並刪除與無關帳戶
定期刪除或鎖定與裝置執行、維護等與工作無關的帳戶。
操作步驟
開啟 控制皮膚 > 管理工具 > 計算機管理,在 系統工具 > 本地使用者和組 中,刪除或鎖定與裝置執行、維護等與工作無關的帳戶。
不顯示最後的使用者名稱
配置登入登出後,不顯示使用者名稱稱。
操作步驟:
開啟 控制皮膚 > 管理工具 > 本地安全策略,在 本地策略 > 安全選項 中,雙擊 互動式登入:不顯示最後的使用者名稱,選擇 已啟用 並單擊 確定。
1.2 口令
密碼複雜度
密碼複雜度要求必須滿足以下策略:
最短密碼長度要求八個字元。啟用本機組策略中密碼必須符合複雜性要求的策略。
即密碼至少包含以下四種類別的字元中的兩種:英語大寫字母 A, B, C, … Z 英語小寫字母 a, b, c, … z 西方阿拉伯數字 0, 1, 2, … 9 非字母數字字元,如標點符號,@, #, $, %, &, *等
操作步驟
開啟 控制皮膚 > 管理工具 > 本地安全策略,在 帳戶策略 > 密碼策略 中,確認 密碼必須符合複雜性要求 策略已啟用。
密碼最長留存期
對於採用靜態口令認證技術的裝置,帳戶口令的留存期不應長於90天。
操作步驟開啟 控制皮膚 > 管理工具 > 本地安全策略,在 帳戶策略 > 密碼策略 中,配置 密碼最長使用期限 不大於90天。
帳戶鎖定策略
對於採用靜態口令認證技術的裝置,應配置當使用者連續認證失敗次數超過10次後,鎖定該使用者使用的帳戶。
操作步驟
開啟 控制皮膚 > 管理工具 > 本地安全策略,在 帳戶策略 > 帳戶鎖定策略 中,配置 帳戶鎖定閾值 不大於10次。
配置樣例:
1.3 授權
遠端關機
在本地安全設定中,從遠端系統強制關機許可權只分配給Administrators組。
操作步驟
開啟 控制皮膚 > 管理工具 > 本地安全策略,在 本地策略 > 使用者許可權分配 中,配置 從遠端系統強制關機 許可權只分配給Administrators組。
本地關機
在本地安全設定中關閉系統許可權只分配給Administrators組。
操作步驟
開啟 控制皮膚 > 管理工具 > 本地安全策略,在 本地策略 > 使用者許可權分配 中,配置 關閉系統 許可權只分配給Administrators組。
使用者許可權指派
在本地安全設定中,取得檔案或其它物件的所有權許可權只分配給Administrators組。
操作步驟
開啟 控制皮膚 > 管理工具 > 本地安全策略,在 本地策略 > 使用者許可權分配 中,配置 取得檔案或其它物件的所有權許可權只分配給Administrators組。
授權帳戶登陸
在本地安全設定中,配置指定授權使用者允許本地登陸此計算機。
操作步驟
開啟 控制皮膚 > 管理工具 > 本地安全策略,在 本地策略 > 使用者許可權分配 中,配置 允許本地登入 許可權給指定授權使用者。
授權帳戶從網路訪問
在本地安全設定中,只允許授權帳號從網路訪問(包括網路共享等,但不包括終端服務)此計算機。
操作步驟
開啟 控制皮膚 > 管理工具 > 本地安全策略,在 本地策略 > 使用者許可權分配 中,配置 從網路訪問此計算機 許可權給指定授權使用者。
2. 日誌配置操作
2.1 日誌配置
稽核登入
裝置應配置日誌功能,對使用者登入進行記錄。記錄內容包括使用者登入使用的帳戶、登入是否成功、登入時間、以及遠端登入時、及使用者使用的IP地址。
操作步驟
開啟 控制皮膚 > 管理工具 > 本地安全策略,在 本地策略 > 稽核策略 中,設定 稽核登入事件。
稽核策略
啟用本地安全策略中對Windows系統的稽核策略更改,成功和失敗操作都需要稽核。
操作步驟
開啟 控制皮膚 > 管理工具 > 本地安全策略,在 本地策略 > 稽核策略 中,設定 稽核策略更改。
稽核物件訪問
啟用本地安全策略中對Windows系統的稽核物件訪問,成功和失敗操作都需要稽核。
操作步驟
開啟 控制皮膚 > 管理工具 > 本地安全策略,在 本地策略 > 稽核策略 中,設定 稽核物件訪問。
稽核事件目錄服務訪問
啟用本地安全策略中對Windows系統的稽核目錄服務訪問,僅需要稽核失敗操作。
操作步驟
開啟 控制皮膚 > 管理工具 > 本地安全策略,在 本地策略 > 稽核策略 中,設定 稽核目錄伺服器訪問。
稽核特權使用
啟用本地安全策略中對Windows系統的稽核特權使用,成功和失敗操作都需要稽核。
操作步驟
開啟 控制皮膚 > 管理工具 > 本地安全策略,在 本地策略 > 稽核策略 中,設定 稽核特權使用。
稽核系統事件
啟用本地安全策略中對Windows系統的稽核系統事件,成功和失敗操作都需要稽核。
操作步驟
開啟 控制皮膚 > 管理工具 > 本地安全策略,在 本地策略 > 稽核策略 中,設定 稽核系統事件。
稽核帳戶管理
啟用本地安全策略中對Windows系統的稽核帳戶管理,成功和失敗操作都要稽核。
操作步驟
開啟 控制皮膚 > 管理工具 > 本地安全策略,在 本地策略 > 稽核策略 中,設定 稽核帳戶管理。
稽核過程追蹤
啟用本地安全策略中對Windows系統的稽核程式追蹤,僅失敗操作需要稽核。
操作步驟
開啟 控制皮膚 > 管理工具 > 本地安全策略,在 本地策略 > 稽核策略 中,設定 稽核程式追蹤。
日誌檔案大小
設定應用日誌檔案大小至少為 8192 KB,可根據磁碟空間配置日誌檔案大小,記錄的日誌越多越好。並設定當達到最大的日誌尺寸時,按需要輪詢記錄日誌。
操作步驟
開啟 控制皮膚 > 管理工具 > 事件檢視器,配置 應用日誌、系統日誌、安全日誌 屬性中的日誌大小,以及設定當達到最大的日誌尺寸時的相應策略。
3. IP協議安全配置
3.1 IP協議安全
啟用SYN攻擊保護
啟用SYN攻擊保護。
指定觸發SYN洪水攻擊保護所必須超過的TCP連線請求數閾值為5。指定處於 SYN_RCVD 狀態的 TCP 連線數的閾值為500。指定處於至少已傳送一次重傳的 SYN_RCVD 狀態中的 TCP 連線數的閾值為400。
操作步驟
開啟 登錄檔編輯器,根據推薦值修改登錄檔鍵值。
Windows Server 2012
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect
推薦值:2HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpen
推薦值:500
Windows Server 2008
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect
推薦值:2HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted
推薦值:5HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen
推薦值:500HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried
推薦值:400
4. 檔案許可權
4.1 共享資料夾及訪問許可權
關閉預設共享
非域環境中,關閉Windows硬碟預設共享,例如C$,D$。
操作步驟
開啟 登錄檔編輯器,根據推薦值修改登錄檔鍵值。
注意: Windows Server 2012版本已預設關閉Windows硬碟預設共享,且沒有該登錄檔鍵值。
HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer
推薦值: 0
共享資料夾授權訪問
每個共享資料夾的共享許可權,只允許授權的帳戶擁有共享此資料夾的許可權。
操作步驟
每個共享資料夾的共享許可權僅限於業務需要,不要設定成為 Everyone。開啟 控制皮膚 > 管理工具 > 計算機管理,在 共享資料夾 中,檢視每個共享資料夾的共享許可權。
5. 服務安全
5.1 禁用TCP/IP上的NetBiOS
禁用TCP/IP上的NetBIOS協議,可以關閉監聽的 UDP 137(netbios-ns)、UDP 138(netbios-dgm)以及 TCP 139(netbios-ssn)埠。
操作步驟
在 計算機管理 > 服務和應用程式 > 服務 中禁用 TCP/IP NetBIOS Helper 服務。在網路連線屬性中,雙擊 Internet協議版本4(TCP/IPv4),單擊 高階。在 WINS 頁籤中,進行如下設定:
禁用不必要的服務
禁用不必要的服務,請參考:
6.安全選項
6.1 啟用安全選項
操作步驟
開啟 控制皮膚 > 管理工具 > 本地安全策略,在 本地策略 > 安全選項 中,進行如下設定:
6.2 禁用未登入前關機
伺服器預設是禁止在未登入系統前關機的。如果啟用此設定,伺服器安全性將會大大降低,給遠端連線的駭客造成可乘之機,強烈建議禁用未登入前關機功能。
操作步驟
開啟 控制皮膚 > 管理工具 > 本地安全策略,在 本地策略 > 安全選項 中,禁用 關機: 允許系統在未登入前關機 策略。
7. 其他安全配置
7.1 防病毒管理
Windows系統需要安裝防病毒軟體。
操作步驟
安裝企業級防病毒軟體,並開啟病毒庫更新及實時防禦功能。
7.2 設定螢幕保護密碼和開啟時間
設定從螢幕保護恢復時需要輸入密碼,並將螢幕保護自動開啟時間設定為五分鐘。
操作步驟
啟用螢幕保護程式,設定等待時間為 5分鐘,並啟用 在恢復時使用密碼保護。
7.3 限制遠端登陸空閒斷開時間
對於遠端登陸的帳號,設定不活動超過時間15分鐘自動斷開連線。
操作步驟
開啟 控制皮膚 > 管理工具 > 本地安全策略,在 本地策略 > 安全選項 中,設定 Microsoft網路伺服器:暫停會話前所需的空閒時間數量 屬性為15分鐘。
7.4 作業系統補丁管理
安裝最新的作業系統Hotfix補丁。安裝補丁時,應先對伺服器系統進行相容性測試。
操作步驟
安裝最新的作業系統Hotfix補丁。安裝補丁時,應先對伺服器系統進行相容性測試。
注意:對於實際業務環境伺服器,建議使用通知並自動下載更新,但由管理員選擇是否安裝更新,而不是使用自動安裝更新,防止自動更新補丁對實際業務環境產生影響。