目錄
賬號管理、認證授權?賬號?ELK-Windows-01-01-01
?ELK-Windows-01-01-02
ELK-Windows-01-01-03
口令?ELK-Windows-01-02-01
???????ELK-Windows-01-02-02
???????授權?ELK-Windows-01-03-01
???????ELK-Windows-01-03-02
???????ELK-Windows-01-03-03
????????ELK-Windows-01-03-04
????????ELK-Windows-01-03-05
日志配置?ELK-Windows-02-01-01
????????ELK-Windows-02-01-02
通信協議?IP協議安全?ELK-Windows-03-01-01
????????ELK-Windows-03-01-02?????????
ELK-Windows-03-01-03
設備其他安全要求?屏幕保護?ELK-Windows-04-01-01
????????ELK-Windows-04-01-02
ELK-Windows-04-02-01
????????ELK-Windows-04-02-02
???????補丁管理?ELK-Windows-04-03-01
???????防病毒管理?ELK-Windows-04-04-01
???????ELK-Windows-04-04-02
???????Windows服務??ELK-Windows-04-05-01
????????ELK-Windows-04-05-02
???????啟動項?ELK-Windows-04-06-01
???????ELK-Windows-04-06-02
本文檔是Windows操作系統的對于Win系統的設備賬號認證、日志、協議、補丁升級、文件系統管理等方面的安全配置要求,共26項。對系統的安全配置審計、加固操作起到指導性作用。
賬號管理、認證授權?賬號?ELK-Windows-01-01-01
| 編號 | ELK-Windows-01-01-01 |
| 名稱 | 按照用戶類型分配賬號 |
| 實施目的 | 根據系統的要求,設定不同的賬戶和賬戶組,管理員用戶,數據庫用戶,審計用戶,來賓用戶等。 |
| 問題影響 | 賬號混淆,權限不明確,存在用戶越權使用的可能。 |
| 系統當前狀態 | 進入“控制面板->管理工具->計算機管理”,在“系統工具->本地用戶和組”:記錄當前用戶狀態 |
| 實施步驟 | 參考配置操作: 進入“控制面板->管理工具->計算機管理”,在“系統工具->本地用戶和組”。 結合要求和實際業務情況判斷符合要求,根據系統的要求,設定不同的賬戶和賬戶組,管理員用戶,數據庫用戶,審計用戶,來賓用戶。 |
| 回退方案 | 刪除新增加的用戶,還原用戶權限到初始設置。部分操作可能無法回退。 |
| 判斷依據 | 進入“控制面板->管理工具->計算機管理”,在“系統工具->本地用戶和組”: 查看賬戶和賬戶組,管理員用戶,數據庫用戶,審計用戶,來賓用戶等。 根據系統的要求和實際業務情況判斷是否符合要求。 |
| 實施風險 | 高 |
| 重要等級 | ★★★ |
| 備注 |
?ELK-Windows-01-01-02
| 編號 | ELK-Windows-01-01-02 |
| 名稱 | 系統無效帳戶清理 |
| 實施目的 | 刪除或鎖定與設備運行、維護等與工作無關的賬號,提高系統帳戶安全。 |
| 問題影響 | 如果不清理無效帳戶,則系統將面臨默認賬號被非法利用的風險 |
| 系統當前狀態 | 進入“控制面板->管理工具->計算機管理”,在“系統工具->本地用戶和組”:記錄當前用戶狀態,備份系統SAM文件。 |
| 實施步驟 | 參考配置操作: 進入“控制面板->管理工具->計算機管理”,在“系統工具->本地用戶和組”。 刪除或鎖定與設備運行、維護等與工作無關的賬號。 |
| 回退方案 | 增加被刪除的用戶,激活被鎖定的用戶,還原用戶權限到初始設置。部分操作可能無法回退。 |
| 判斷依據 | 進入“控制面板->管理工具->計算機管理”,在“系統工具->本地用戶和組”: 查看是否刪除或鎖定與設備運行、維護等與工作無關的賬號。 根據系統的要求和實際業務情況判斷是否符合要求 |
| 實施風險 | 高 |
| 重要等級 | ★★★ |
| 備注 |
ELK-Windows-01-01-03
| 編號 | ELK-Windows-01-01-03 |
| 名稱 | 重命名Administrator,禁用GUEST |
| 實施目的 | 對于管理員帳號,要求更改缺省帳戶名稱;禁用guest(來賓)帳號。提高系統安全性。 |
| 問題影響 | 管理員帳號容易被猜解;Guest賬號容易被非法利用 |
| 系統當前狀態 | 進入“控制面板->管理工具->計算機管理”,在“系統工具->本地用戶和組”。記錄當前用戶狀態 |
| 實施步驟 | 參考配置操作: 進入“控制面板->管理工具->計算機管理”,在“系統工具->本地用戶和組”。 Administrator->屬性-> 更改名稱 Guest帳號->屬性-> 已停用 |
| 回退方案 | 重命名用戶名稱,還原用戶屬性設置 |
| 判斷依據 | 進入“控制面板->管理工具->計算機管理”,在“系統工具->本地用戶和組”: 查看管理員賬號Administrator名稱是否修改,Guest賬號是否禁用。 |
| 實施風險 | 低 |
| 重要等級 | ★ |
| 備注 |
???????口令?ELK-Windows-01-02-01
| 編號 | ELK-Windows-01-02-01 | |||||||||||||||||||||
| 名稱 | 配置密碼策略 | |||||||||||||||||||||
| 實施目的 | 設置密碼策略,減少密碼安全風險;防止系統弱口令的存在,減少安全隱患。對于采用靜態口令認證技術的設備,口令長度至少6位,且密碼規則至少應采用字母(大小寫穿插)加數字加標點符號(包括通配符)的方式。 | |||||||||||||||||||||
| 問題影響 | 增加系統密碼被暴力破解的成功率 | |||||||||||||||||||||
| 系統當前狀態 | 進入“控制面板->管理工具->本地安全策略”,在“帳戶策略->密碼策略”:記錄當前密碼策略情況。 | |||||||||||||||||||||
| 實施步驟 | 參考配置操作: 進入“控制面板->管理工具->本地安全策略”,在“帳戶策略->密碼策略”。 “密碼必須符合復雜性要求”選擇“已啟動”設置如下策略
| |||||||||||||||||||||
| 回退方案 | 還原密碼策略到加固之前配置 | |||||||||||||||||||||
| 判斷依據 | 進入“控制面板->管理工具->本地安全策略”,在“帳戶策略->密碼策略”: 查看“密碼必須符合復雜性要求”?是否選擇“已啟動”。 | |||||||||||||||||||||
| 實施風險 | 低 | |||||||||||||||||||||
| 重要等級 | ★★★ | |||||||||||||||||||||
| 備注 |
???????ELK-Windows-01-02-02
| 編號 | ELK-Windows-01-02-02 | ||||||||||||
| 名稱 | 配置賬戶鎖定策略 | ||||||||||||
| 實施目的 | 設置有效的賬戶鎖定策略有助于防止攻擊者猜出系統賬戶的密碼。 | ||||||||||||
| 問題影響 | 增加系統密碼被暴力破解的成功率 | ||||||||||||
| 系統當前狀態 | 進入“控制面板->管理工具->本地安全策略”,在“帳戶策略->賬戶鎖定策略”:記錄當前賬戶鎖定策略情況。 | ||||||||||||
| 實施步驟 | 參考配置操作: 進入“控制面板->管理工具->本地安全策略”,在“帳戶策略->賬戶鎖定策略”。 設置如下策略:
| ||||||||||||
| 回退方案 | 還原賬戶鎖定策略到加固之前配置 | ||||||||||||
| 判斷依據 | 進入“控制面板->管理工具->本地安全策略”,在“帳戶策略->賬戶鎖定策略”: 查看安全策略是否設置為已啟動和按要求配置。 | ||||||||||||
| 實施風險 | 低 | ||||||||||||
| 重要等級 | ★★★ | ||||||||||||
| 備注 |
???????授權?ELK-Windows-01-03-01
| 編號 | ELK-Windows-01-03-01 |
| 名稱 | 遠端系統強制關機設置 |
| 實施目的 | 防止遠程用戶非法關機,在本地安全設置中從遠端系統強制關機只指派給Administrators組 |
| 問題影響 | 增加系統被管理員以外的用戶非法關閉的風險 |
| 系統當前狀態 | 進入“控制面板->管理工具->本地安全策略”,在“本地策略->用戶權利指派”:查看并記錄“從遠端系統強制關機”的當前設置。 |
| 實施步驟 | 參考配置操作: 進入“控制面板->管理工具->本地安全策略”,在“本地策略->用戶權利指派”。 “從遠端系統強制關機”設置為“只指派給Administrators組”。 |
| 回退方案 | 還原“從遠端系統強制關機”的設置到加固之前配置。 |
| 判斷依據 | 進入“控制面板->管理工具->本地安全策略”,在“本地策略->用戶權利指派”: 查看“從遠端系統強制關機”是否設置為“只指派給Administrators組”。 |
| 實施風險 | 低 |
| 重要等級 | ★★★ |
| 備注 |
???????ELK-Windows-01-03-02
| 編號 | ELK-Windows-01-03-02 |
| 名稱 | 關閉系統設置 |
| 實施目的 | 防止管理員以外的用戶非法關機,在本地安全設置中關閉系統僅指派給Administrators組 |
| 問題影響 | 增加系統被管理員以外的用戶非法關閉的風險 |
| 系統當前狀態 | 進入“控制面板->管理工具->本地安全策略”,在“本地策略->用戶權利指派”:查看并記錄“關閉系統”的當前設置。 |
| 實施步驟 | 參考配置操作: 進入“控制面板->管理工具->本地安全策略”,在“本地策略->用戶權利指派”。 “關閉系統”設置為“只指派給Administrators組”。 |
| 回退方案 | 還原“關閉系統”的設置到加固之前配置 |
| 判斷依據 | 進入“控制面板->管理工具->本地安全策略”,在“本地策略->用戶權利指派”: 查看“關閉系統”是否設置為“只指派給Administrators組”。 |
| 實施風險 | 低 |
| 重要等級 | ★★★ |
| 備注 |
???????ELK-Windows-01-03-03
| 編號 | ELK-Windows-01-03-03 |
| 名稱 | “取得文件或其它對象的所有權”設置 |
| 實施目的 | 防止用戶非法獲取文件,在本地安全設置中取得文件或其它對象的所有權僅指派給Administrators |
| 問題影響 | 增加系統除管理員以外的用戶非法獲取文件的風險 |
| 系統當前狀態 | 進入“控制面板->管理工具->本地安全策略”,在“本地策略->用戶權利指派”:查看并記錄“取得文件或其它對象的所有權”的當前設置。 |
| 實施步驟 | 參考配置操作: 進入“控制面板->管理工具->本地安全策略”,在“本地策略->用戶權利指派”。 “取得文件或其它對象的所有權”設置為“只指派給Administrators組”。 |
| 回退方案 | 還原“取得文件或其它對象的所有權”的設置到加固之前配置 |
| 判斷依據 | 進入“控制面板->管理工具->本地安全策略”,在“本地策略->用戶權利指派”: 查看是否“取得文件或其它對象的所有權”設置為“只指派給Administrators組”。 |
| 實施風險 | 低 |
| 重要等級 | ★★★ |
| 備注 |
????????ELK-Windows-01-03-04
| 編號 | ELK-Windows-01-03-04 |
| 名稱 | “從本地登陸此計算機”設置 |
| 實施目的 | 防止用戶非法登錄主機,在本地安全設置中配置指定授權用戶允許本地登陸此計算機 |
| 問題影響 | 增加物理臨近攻擊和本地物理攻擊以及非授權用戶非法登陸主機的風險 |
| 系統當前狀態 | 進入“控制面板->管理工具->本地安全策略”,在“本地策略->用戶權利指派”:查看并記錄“從本地登陸此計算機”的當前設置。 |
| 實施步驟 | 參考配置操作: 進入“控制面板->管理工具->本地安全策略”,在“本地策略->用戶權利指派” “從本地登陸此計算機”設置為“指定授權用戶” |
| 回退方案 | 還原“從本地登陸此計算機”的設置到加固之前配置 |
| 判斷依據 | 進入“控制面板->管理工具->本地安全策略”,在“本地策略->用戶權利指派”: 查看是否“從本地登陸此計算機”設置為“指定授權用戶”。 |
| 實施風險 | 低 |
| 重要等級 | ★★★ |
| 備注 |
????????ELK-Windows-01-03-05
| 編號 | ELK-Windows-01-03-05 |
| 名稱 | “從網絡訪問此計算機”設置 |
| 實施目的 | 防止網絡用戶非法訪問主機,在組策略中只允許授權帳號從網絡訪問(包括網絡共享等,但不包括終端服務)此計算機。 |
| 問題影響 | 增加非授權用戶非法訪問主機的風險 |
| 系統當前狀態 | 進入“控制面板->管理工具->本地安全策略”,在“本地策略->用戶權利指派”:查看并記錄“從網絡訪問此計算機”的當前設置。 |
| 實施步驟 | 1、參考配置操作 進入“控制面板->管理工具->本地安全策略”,在“本地策略->用戶權利指派” “從網絡訪問此計算機”設置為“指定授權用戶” |
| 回退方案 | 還原“從網絡訪問此計算機”的設置到加固之前配置 |
| 判斷依據 | 進入“控制面板->管理工具->本地安全策略”,在“本地策略->用戶權利指派”: 查看是否“從網絡訪問此計算機”設置為“指定授權用戶”。 |
| 實施風險 | 低 |
| 重要等級 | ★★★ |
| 備注 |
日志配置?ELK-Windows-02-01-01
| 編號 | ELK-Windows-02-01-01 |
| 名稱 | 審核策略設置 |
| 實施目的 | 設置審核策略,記錄系統重要的事件日志,設備應配置日志功能,對用戶登錄進行記錄,記錄內容包括用戶登錄使用的賬號,登錄是否成功,登錄時間,以及遠程登錄時,用戶使用的IP地址 |
| 問題影響 | 無法對用戶的登陸以及登陸后對系統的操作過程、特權使用等進行日志記錄 |
| 系統當前狀態 | 進入“控制面板->管理工具->本地安全策略”,查看并記錄“審核策略”的當前設置。 |
| 實施步驟 | 參考配置操作: 開始->運行-> 執行“控制面板->管理工具->本地安全策略->審核策略” 審核登錄事件,雙擊,設置為成功和失敗都審核。 “審核策略更改”設置為“成功”和“失敗”都要審核 “審核對象訪問”設置為“成功”和“失敗”都要審核 “審核目錄服務器訪問”設置為“成功”和“失敗”都要審核 “審核特權使用”設置為“成功”和“失敗”都要審核 “審核系統事件”設置為“成功”和“失敗”都要審核 “審核賬戶管理”設置為“成功”和“失敗”都要審核 “審核過程追蹤”設置為“失敗”需要審核 |
| 回退方案 | 還原“審核策略”的設置到加固之前配置 |
| 判斷依據 | 開始->運行-> 執行“控制面板->管理工具->本地安全策略->審核策略”: 查看是否設置為成功和失敗都審核。 |
| 實施風險 | 低 |
| 重要等級 | ★★★ |
| 備注 |
????????ELK-Windows-02-01-02
| 編號 | ELK-Windows-02-01-02 |
| 名稱 | 日志記錄策略設置 |
| 實施目的 | 優化系統日志記錄,防止日志溢出。設置應用日志文件大小至少為8192KB,設置當達到最大的日志尺寸時,按需要改寫事件 |
| 問題影響 | 如果日志的大小超過系統默認設置,則無法正常記錄超過最大記錄值后的所有系統日志、應用日志、安全日志等 |
| 系統當前狀態 | 進入“控制面板->管理工具->事件查看器”,查看并記錄“應用日志”、“系統日志”、“安全日志”的當前設置 |
| 實施步驟 | 1、參考配置操作 進入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中: “應用日志”屬性中的日志大小設置不小于“8192KB”?,設置當達到最大的日志尺寸時,“按需要改寫事件” “系統日志”屬性中的日志大小設置不小于“8192KB”?,設置當達到最大的日志尺寸時,“按需要改寫事件” “安全日志”屬性中的日志大小設置不小于“8192KB”?,設置當達到最大的日志尺寸時,“按需要改寫事件” |
| 回退方案 | 還原“應用日志”、“系統日志”、“安全日志”的設置到加固之前配置 |
| 判斷依據 | 進入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中: 查看各項日志屬性中日志大小是否設置為不小于“8192KB”?,是否設置當達到最大的日志尺寸時,“按需要改寫事件”。 |
| 實施風險 | 低 |
| 重要等級 | ★ |
| 備注 |
通信協議?IP協議安全?ELK-Windows-03-01-01
| 編號 | ELK-Windows-03-01-01 |
| 名稱 | 啟用TCP/IP篩選 |
| 實施目的 | 過濾不必要的端口,提高系統安全性,對沒有自帶防火墻的Windows系統,啟用Windows系統的IP安全機制(IPSec)或網絡連接上的TCP/IP篩選,只開放業務所需要的TCP,UDP端口和IP協議 |
| 問題影響 | 如不有效過濾系統中存在的不必要的端口以及默認的端口會增加潛在被攻擊和非法利用的安全風險 |
| 系統當前狀態 | 進入“控制面板->網絡連接->本地連接”,進入“Internet協議(TCP/IP)屬性->高級TCP/IP設置”,在“選項”的屬性中查看“網絡連接上的TCP/IP篩選”的狀態,并記錄 |
| 實施步驟 | 參考配置操作: 系統管理員出示業務所需端口列表。 根據列表只開放系統與業務所需端口。 進入“控制面板->網絡連接->本地連接”,進入“Internet協議(TCP/IP)屬性->高級TCP/IP設置”,在“選項”的屬性中啟用網絡連接上的TCP/IP篩選,只開放業務所需要的TCP,UDP端口和IP協議。 |
| 回退方案 | 還原高級TCP/IP的設置到加固之前配置 |
| 判斷依據 | 系統管理員出示業務所需端口列表。 根據列表只開放系統與業務所需端口。 進入“控制面板->網絡連接->本地連接”,進入“Internet協議(TCP/IP)屬性->高級TCP/IP設置”,在“選項”的屬性中啟用網絡連接上的TCP/IP篩選,查看是否只開放業務所需要的TCP,UDP端口和IP協議。 利用Netstat –an命令查看當前系統開放端口是否與系統管理員所出示的業務所需端口列表相對應;如發現存在與業務和應用無關的端口,則查明后在TPC/IP篩選配置中將其過濾掉。 |
| 實施風險 | 高 |
| 重要等級 | ★ |
| 備注 |
????????ELK-Windows-03-01-02?????????
| 編號 | ELK-Windows-03-01-01 |
| 名稱 | 開啟系統防火墻 |
| 實施目的 | 啟用Windows XP和Windows 2003自帶防火墻,過濾不必要的端口,提高系統安全性。根據業務需要限定允許訪問網絡的應用程序和允許遠程登陸該設備的IP地址范圍。 |
| 問題影響 | 沒有訪問控制,系統可能被非法登陸或使用,從而增加潛在被攻擊的安全風險 |
| 系統當前狀態 | 進入“控制面板->網絡連接->本地連接”,在高級選項的屬性中查看Windows防火墻的狀態,并記錄詳細情況。 |
| 實施步驟 | 參考配置操作: 系統管理員出示業務所需端口列表。 根據列表只開放系統與業務所需端口。 進入“控制面板->網絡連接->本地連接”,在高級選項的設置中:啟用Windows防火墻。 在“例外”中配置允許業務所需的程序接入網絡。 在“例外->編輯->更改范圍”編輯允許接入的網絡地址范圍。 |
| 回退方案 | 還原高級系統防火墻設置到加固之前配置。 |
| 判斷依據 | 進入“控制面板->網絡連接->本地連接”,在高級選項的設置中,查看是否啟用Windows防火墻。 查看是否在“例外”中配置允許業務所需的程序接入網絡。 查看是否在“例外->編輯->更改范圍”編輯允許接入的網絡地址范圍。 |
| 實施風險 | 高 |
| 重要等級 | ★ |
| 備注 |
ELK-Windows-03-01-03
| 編號 | ELK-Windows-03-01-03 |
| 名稱 | 啟用SYN攻擊保護 |
| 實施目的 | 啟用SYN攻擊保護,提高系統安全性;指定觸發SYN洪水攻擊保護所必須超過的TCP連接請求數閥值為5;指定處于 SYN_RCVD 狀態的 TCP 連接數的閾值為500;指定處于至少已發送一次重傳的 SYN_RCVD 狀態中的 TCP 連接數的閾值為400。 |
| 問題影響 | 如不啟用SYN攻擊保護,系統則容易被SYN拒絕服務攻擊后導致迅速當機。 |
| 系統當前狀態 | 在“開始->運行->鍵入regedit” 查看并記錄注冊表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services、SynAttackProtect的值并記錄。 查看并記錄注冊表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 之下。 TcpMaxPortsExhausted TcpMaxHalfOpen TcpMaxHalfOpenRetried 的值并記錄 |
| 實施步驟 | 參考配置操作: 在“開始->運行->鍵入regedit” 啟用 SYN 攻擊保護的命名值位于注冊表項 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 之下。值名稱:SynAttackProtect。推薦值:2。 以下部分中的所有項和值均位于注冊表項 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 之下。 指定必須在觸發 SYN flood 保護之前超過的 TCP 連接請求閾值。值名稱:TcpMaxPortsExhausted。推薦值:5。 啟用 SynAttackProtect 后,該值指定 SYN_RCVD 狀態中的 TCP 連接閾值,超過 SynAttackProtect 時,觸發 SYN flood 保護。值名稱:TcpMaxHalfOpen。推薦值數據:500。 啟用 SynAttackProtect 后,指定至少發送了一次重傳的 SYN_RCVD 狀態中的 TCP 連接閾值。超過 SynAttackProtect 時,觸發 SYN flood 保護。值名稱:TcpMaxHalfOpenRetried。推薦值數據:400。 |
| 回退方案 | 還原注冊表設置到加固之前配置 |
| 判斷依據 | 在開始->運行里輸入regedit,進入注冊表中打開相應的注冊項,查看鍵值是否已啟用和配置,各注冊表鍵值是否均按要求設置。 |
| 實施風險 | 高 |
| 重要等級 | ★ |
| 備注 |
設備其他安全要求?屏幕保護?ELK-Windows-04-01-01
| 編號 | ELK-Windows-04-01-01 |
| 名稱 | 啟用屏幕保護程序 |
| 實施目的 | 啟用屏幕保護程序,防止管理員忘記鎖定機器被非法攻擊;設置帶密碼的屏幕保護,并將時間設定為5分鐘 |
| 問題影響 | 如未啟動屏幕保護并采用密碼恢復,一旦管理員操作系統后忘記鎖定主機,則容易被非法攻擊,以及增加本地物理臨近攻擊的風險。 |
| 系統當前狀態 | 進入“控制面板->顯示->屏幕保護程序”: 查看是否啟用屏幕保護程序 并記錄當前的設置 |
| 實施步驟 | 參考配置操作: 進入“控制面板->顯示->屏幕保護程序”: 啟用屏幕保護程序,設置等待時間為“5分鐘”,啟用“在恢復時使用密碼保護”。 |
| 回退方案 | 還原屏幕保護程序設置到加固之前配置。 |
| 判斷依據 | 進入“控制面板->顯示->屏幕保護程序”: 查看是否啟用屏幕保護程序,設置等待時間為“5分鐘”,啟用“在恢復時使用密碼保護”。 在系統桌面上點擊鼠標右鍵,打開屬性,查看屏幕保護程序選項是否已啟動和配置。 |
| 實施風險 | 低 |
| 重要等級 | ★★★ |
| 備注 |
????????ELK-Windows-04-01-02
| 編號 | ELK-Windows-04-01-02 |
| 名稱 | 設置Microsoft網絡服務器掛起時間 |
| 實施目的 | 設置Microsoft網絡服務器掛起時間,防止管理員忘記鎖定機器被非法利用;對于遠程登陸的帳號,設置不活動斷連時間15分鐘 |
| 問題影響 | 管理員忘記鎖定而被非法利用 |
| 系統當前狀態 | 進入“控制面板->管理工具->本地安全策略”,在“本地策略->安全選項”: 查看是否“Microsoft網絡服務器”設置為“在掛起會話之前所需的空閑時間”為15分鐘。 |
| 實施步驟 | 參考配置操作: 進入“控制面板->管理工具->本地安全策略”,在“本地策略->安全選項”: “Microsoft網絡服務器”設置為“在掛起會話之前所需的空閑時間”為15分鐘。 |
| 回退方案 | 還原“掛起會話之前所需的空閑時間”設置到加固之前配置 |
| 判斷依據 | 進入“控制面板->管理工具->本地安全策略”,在“本地策略->安全選項”: 查看是否“Microsoft網絡服務器”設置為“在掛起會話之前所需的空閑時間”為15分鐘。 |
| 實施風險 | 低 |
| 重要等級 | ★★★ |
| 備注 |
ELK-Windows-04-02-01
| 編號 | ELK-Windows-04-02-01 |
| 名稱 | 關閉默認共享 |
| 實施目的 | 非域環境中,關閉Windows硬盤默認共享,例如C$,D$,提高系統安全性能 |
| 問題影響 | 防止攻擊者利用系統默認共享如:C$、D$等,非法對系統的硬盤進行訪問,以及通過IPC$方式暴力破解帳戶和密碼 |
| 系統當前狀態 | 查看并記錄:注冊表 HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\增加了REG_DWORD類型的AutoShareServer 鍵的值。 |
| 實施步驟 | 參考配置操作: 進入“開始->運行->Regedit”,進入注冊表編輯器, 更改注冊表鍵值:在HKLM\System\CurrentControlSet\ Services\LanmanServer\Parameters\下,增加REG_DWORD類型的AutoShareServer 鍵,值為?0。 |
| 回退方案 | 還原“AutoShareServer” 鍵的值設置到加固之前配置 |
| 判斷依據 | 進入“開始->運行->Regedit”,進入注冊表編輯器,查看HKLM\System\CurrentControlSet\ Services\LanmanServer\Parameters\下,是否已增加REG_DWORD類型的AutoShareServer 鍵,值為?0。 |
| 實施風險 | 低 |
| 重要等級 | ★ |
| 備注 |
????????ELK-Windows-04-02-02
| 編號 | ELK-Windows-04-02-02 |
| 名稱 | 設置共享文件夾訪問權限 |
| 實施目的 | 設置共享文件夾訪問權限,防止用戶非法訪問。只允許授權的賬戶擁有權限共享此文件夾。 |
| 問題影響 | 增加系統未授權的用戶非法訪問共享文件夾的風險 |
| 系統當前狀態 | 進入“控制面板->管理工具->計算機管理”,進入“系統工具->共享文件夾”: 查看并記錄每個共享文件夾的共享權限。 |
| 實施步驟 | 參考配置操作: 進入“控制面板->管理工具->計算機管理”,進入“系統工具->共享文件夾”: 查看每個共享文件夾的共享權限,只將權限授權于指定賬戶。 |
| 回退方案 | 還原每個共享文件夾的共享權限到加固之前配置 |
| 判斷依據 | 進入“控制面板->管理工具->計算機管理”,進入“系統工具->共享文件夾”: 查看每個共享文件夾的共享權限。 查看每個共享文件夾的共享權限是否僅限于業務需要,不設置成為“everyone”。 |
| 實施風險 | 低 |
| 重要等級 | ★★★ |
| 備注 |
???????補丁管理?ELK-Windows-04-03-01
| 編號 | ELK-Windows-04-03-01 |
| 名稱 | 安裝系統補丁 |
| 實施目的 | 修復系統漏洞。應安裝最新的Service Pack補丁集。對服務器系統應先進行兼容性測試。 |
| 問題影響 | 如系統未打補丁或補丁未打全,不是最新的補丁,則面臨容易被攻擊、滲透和控制的風險 |
| 系統當前狀態 | 控制面板->添加或刪除程序->顯示更新打鉤,查看并記錄當前系統安裝的補丁 |
| 實施步驟 | 參考配置操作: 安裝最新的Service Pack補丁集,以及最新的Hotfix補丁。目前Windows XP的Service Pack為SP3。 Windows2000的Service Pack為SP4,Windows 2003的Service Pack為SP2 |
| 回退方案 | 卸載新安裝的補丁 |
| 判斷依據 | 進入控制面板->添加或刪除程序->顯示更新打鉤,查看是否XP系統已安裝SP3,Win2000系統已安裝SP4,Win2003系統已安裝SP2。 同時檢查所有的hotfix,并查看系統安裝的最后一個補丁的發布日期是否與最近最新發布的補丁日期一致。 |
| 實施風險 | 高 |
| 重要等級 | ★★★ |
| 備注 |
???????防病毒管理?ELK-Windows-04-04-01
| 編號 | ELK-Windows-04-04-01 |
| 名稱 | 安裝、更新殺毒軟件 |
| 實施目的 | 安裝防病毒軟件,并及時更新,提高系統防病毒能力 |
| 問題影響 | 如系統中未安裝防病毒軟件或防病毒軟件未及時更新,則系統面臨容易被病毒感染的風險 |
| 系統當前狀態 | 查看是否安裝殺毒軟件;打開防病毒軟件控制面板,查看病毒碼更新日期 |
| 實施步驟 | 參考配置操作: 安裝防病毒軟件,并將病毒庫更新到最新的版本 |
| 回退方案 | 卸載或刪除殺毒軟件 |
| 判斷依據 | 進入控制面板->添加或刪除程序,查看是否安裝有防病毒軟件。同時打開防病毒軟件控制面板,查看病毒碼更新日期。 如已安裝防病毒軟件,則病毒碼更新時間不早于1個月,各系統病毒碼升級時間要求參見各系統相關規定。 |
| 實施風險 | 低 |
| 重要等級 | ★★★ |
| 備注 |
???????ELK-Windows-04-04-02
| 編號 | ELK-Windows-04-04-02 |
| 名稱 | 數據執行保護配置 |
| 實施目的 | 提高系統抵抗非法修改文件的性能。對于Windows XP SP2及Windows 2003對Windows操作系統程序和服務啟用系統自帶DEP功能(數據執行保護),防止在受保護內存位置運行有害代碼。 |
| 問題影響 | 如未配置系統核心的數據執行保護,則無法對在內存位置運行有害代碼進行保護 |
| 系統當前狀態 | 進入“控制面板->系統”,在“高級”選項卡的?“性能”下的“設置”。進入?“數據執行保護”選項卡。查看并記錄“?僅為基本 Windows 操作系統程序和服務啟用DEP”的配置狀態。 |
| 實施步驟 | 參考配置操作: 進入“控制面板->系統”,在“高級”選項卡的?“性能”下的“設置”。進入?“數據執行保護”選項卡。設置為“?僅為基本 Windows 操作系統程序和服務啟用DEP”。 |
| 回退方案 | 將“?僅為基本 Windows 操作系統程序和服務啟用DEP”設置到加固前配置 |
| 判斷依據 | 進入“控制面板->系統”,在“高級”選項卡的?“性能”下的“設置”。進入?“數據執行保護”選項卡。查看是否設置為“?僅為基本 Windows 操作系統程序和服務啟用DEP”。 |
| 實施風險 | 低 |
| 重要等級 | ★ |
| 備注 |
???????Windows服務??ELK-Windows-04-05-01
| 編號 | ELK-Windows-04-05-01 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 名稱 | 關閉服務 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 實施目的 | 關閉系統不必要的服務,提高系統安全性。列出所需要服務的列表(包括所需的系統服務),不在此列表的服務需關閉 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 問題影響 | 如不關閉與業務和應用無關或不必要的服務,則系統面臨容易被攻擊、滲透或利用的風險 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 系統當前狀態 | 運行命令net start 查看當前運行的服務 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 實施步驟 | 參考配置操作: 進入“控制面板->管理工具->計算機管理”,進入“服務和應用程序”: 查看所有服務,不在此列表的服務需關閉。
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 回退方案 | 進入“控制面板->管理工具->計算機管理”,進入“服務和應用程序”,配置并啟動停止的服務 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 判斷依據 | 系統管理員應出具系統所必要的服務列表。 查看所有服務,不在此列表的服務需關閉。 進入“控制面板->管理工具->計算機管理”,進入“服務和應用程序”: 查看所有服務,不在此列表的服務是否已關閉。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 實施風險 | 中 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 重要等級 | ★★★ | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 備注 |
????????ELK-Windows-04-05-02
| 編號 | ELK-Windows-04-05-02 |
| 名稱 | 修改SNMP服務密碼 |
| 實施目的 | 修改SNMP服務密碼,防止泄露系統信息。如需啟用SNMP服務,則修改默認的SNMP Community String設置 |
| 問題影響 | 如未修改SNMP服務的默認密碼,則攻擊者利用SNMP信息探測工具就可以獲取系統信息。從而增加系統被攻擊的風險 |
| 系統當前狀態 | 打開“控制面板”,打開“管理工具”中的“服務”,找到“SNMP Service”,單擊右鍵打開“屬性”面板中的“安全”選項卡,查看community strings的值 |
| 實施步驟 | 參考配置操作: 打開“控制面板”,打開“管理工具”中的“服務”,找到“SNMP Service”,單擊右鍵打開“屬性”面板中的“安全”選項卡,在這個配置界面中,可以修改community strings,也就是微軟所說的“團體名稱”。 |
| 回退方案 | 修改community strings值到加固前狀態 |
| 判斷依據 | 打開“控制面板”,打開“管理工具”中的“服務”,找到“SNMP Service”,單擊右鍵打開“屬性”面板中的“安全”選項卡,在這個配置界面中,查看community strings,是否已改,而不是默認的“public”。 |
| 實施風險 | 中 |
| 重要等級 | ★ |
| 備注 |
???????啟動項?ELK-Windows-04-06-01
| 編號 | ELK-Windows-04-06-01 |
| 名稱 | 關閉無效啟動項 |
| 實施目的 | 關閉無效的服務,提高系統性能,增加系統安全性。列出系統啟動時自動加載的進程和服務列表,不在此列表的需關閉 |
| 問題影響 | 如不禁用和關閉與業務和應用無關或不必要的啟動項和進程,則系統面臨容易被攻擊、滲透或利用的風險 |
| 系統當前狀態 | 查看記錄“開始->運行->MSconfig”啟動菜單中各項配置參數。 |
| 實施步驟 | 參考配置操作: “開始->運行->MSconfig”啟動菜單中,取消不必要的啟動項。 |
| 回退方案 | “開始->運行->MSconfig”啟動菜單中,還原各項啟動參數到加固前狀態。 |
| 判斷依據 | 系統管理員提供業務必須的自動加載進程和服務列表文檔。 查看“開始->運行->MSconfig”啟動菜單: 不需要的自動加載進程是否已禁用和取消。 |
| 實施風險 | 中 |
| 重要等級 | ★★★ |
| 備注 |
???????ELK-Windows-04-06-02
| 編號 | ELK-Windows-04-06-02 |
| 名稱 | 關閉Windows自動播放功能 |
| 實施目的 | 關閉Windows自動播放,防止從移動設備感染病毒 |
| 問題影響 | 如不關閉Windows自動播放,則在進行U盤插入操作的時候,系統將面臨被U盤中的病毒感染的風險 |
| 系統當前狀態 | 點擊開始→運行→輸入gpedit.msc,打開組策略編輯器,瀏覽到計算機配置→管理模板→系統,查看各驅動器?“關閉自動播放”狀態。 |
| 實施步驟 | 參考配置操作: 點擊開始→運行→輸入gpedit.msc,打開組策略編輯器,瀏覽到計算機配置→管理模板→系統,在右邊窗格中雙擊“關閉自動播放”,對話框中選擇所有驅動器,確定即可。 |
| 回退方案 | 打開組策略編輯器,瀏覽到計算機配置→管理模板→系統,還原驅動器?“關閉自動播放”狀態 |
| 判斷依據 | 點擊開始→運行→輸入gpedit.msc,打開組策略編輯器,瀏覽到計算機配置→管理模板→系統: 查看是否所有驅動器均選擇“關閉自動播放”,查看“關閉自動播放”配置是否已啟用,啟用范圍:所有驅動器。 |
| 實施風險 | 低 |
| 重要等級 | ★★★ |
| 備注 |
——情況二)
)
