Windows安全配置試驗.doc

Windows 系統(tǒng)安全配置實驗第1章 概述1.1 實驗目的本文當介紹了WINDOWS 操作系統(tǒng)的主機應當遵循的操作系統(tǒng)安全性設置操作，本文檔旨在指導系統(tǒng)管理人員或安全檢查人員進行WINDOWS 操作系統(tǒng)的安全合規(guī)性檢查和配置。1.2 實驗環(huán)境說明1.2.1 系統(tǒng)概述本配置實驗的使用者包括：服務器系統(tǒng)管理員、應用管理員、網(wǎng)絡安全管理員。本配置實驗適用的范圍包括：各省公司各部門維護管理的 WINDOWS主機。1.2.2 適用版本W(wǎng)indows Server 2003。第2章 賬號管理、認證授權2.1 賬號安全2.1.1 安全配置實驗一：按照用戶分配帳號1) 實驗目標按照用戶分配用戶。2) 實驗要求根據(jù)系統(tǒng)的要求，設定不同的賬戶和賬戶組，管理員用戶，數(shù)據(jù)庫用戶，審計用戶，來賓用戶等。3) 實驗工具遠程桌面4) 實驗步驟進入“控制面板-管理工具-計算機管理”，在“系統(tǒng)工具-本地用戶和組” ，設定不同的賬戶和賬戶組，管理員用戶，數(shù)據(jù)庫用戶，審計用戶，來賓用戶。 2.1.2安全配置實驗二：刪除或鎖定與設備運行、維護無關帳戶 1) 實驗目標結合要求和實際業(yè)務情況判斷符合要求，刪除或鎖定與設備運行、維護等與工作無關的賬號。2) 實驗要求刪除或鎖定與設備運行、維護等與工作無關的賬號。3) 實驗工具遠程桌面4) 實驗步驟進入“控制面板-管理工具-計算機管理”，在“系統(tǒng)工具-本地用戶和組”，刪除或鎖定與設備運行、維護等與工作無關的賬號。2.1.3 安全配置實驗三：更改管理員帳戶默認名、禁用Guest1) 實驗目標對于管理員帳號，要求更改缺省帳戶名稱，禁用Guest帳戶。2) 實驗要求修改Administrator用戶的帳戶名，禁用Guset。3) 實驗工具遠程桌面4) 實驗步驟1、進入“控制面板-管理工具-計算機管理”，在“系統(tǒng)工具-本地用戶和組”： 2、Administrator鼠標右建 更改名稱 3、Guest帳號-屬性 已停用2.1.4 安全配置實驗四：登陸失敗次數(shù)限制1) 實驗目標對于采用靜態(tài)口令認證技術的設備，應配置當用戶連續(xù)認證失敗次數(shù)超過6次（不含6次），鎖定該用戶使用的賬號。 2) 實驗要求 “賬戶鎖定閥值”設置為小于或等于 6次 。3) 實驗工具遠程桌面4) 實驗步驟1、進入“控制面板-管理工具-本地安全策略”，在“帳戶策略-帳戶鎖定策略” 2、“賬戶鎖定閥值”設置為 6次2.2 口令設置2.2.1安全配置實驗五：密碼復雜性設置1) 實驗目標設置的密碼必需符合復雜性策略要求。2) 實驗要求最短密碼長度 6個字符，啟用本機組策略中密碼必須符合復雜性要求的策略。3) 實驗工具遠程桌面4) 實驗步驟進入“控制面板-管理工具-本地安全策略”，在“帳戶策略-密碼策略”。2、“密碼必須符合復雜性要求”選擇“已啟動” 。3、“密碼長度最小值”設置為“6個字符”。2.2.2安全配置實驗六：賬戶口令過期1) 實驗目標對于采用靜態(tài)口令認證技術的設備，賬戶口令的生存期不長于90天。2) 實驗要求“密碼最長存留期”設置為“90天”。3) 實驗工具遠程桌面4) 實驗步驟進入“控制面板-管理工具-本地安全策略”，在“帳戶策略-密碼策略”1、 查看是否“密碼最長存留期”設置為“90天” 2.2.3 安全配置實驗七：用戶不能使用近期使用過的口令1) 實驗目標對于采用靜態(tài)口令認證技術的設備，應配置設備，使用戶不能重復使用最近5次（含5次）內(nèi)已使用的口令。 2) 實驗要求“強制密碼歷史”設置為“記住5個密碼” 。3) 實驗工具遠程桌面4) 實驗步驟進入“控制面板-管理工具-本地安全策略”，在“帳戶策略-密碼策略”1、 查看是否“強制密碼歷史”設置為“記住5個密碼”2.3 授權2.3.1 安全配置實驗八：關閉計算機只指派個administrator組1) 實驗目標在本地安全設置中從遠端系統(tǒng)強制關機只指派給Administrators組。2) 實驗要求“從遠端系統(tǒng)強制關機”設置為“只指派給Administrators組”。3) 實驗工具遠程桌面4) 實驗步驟進入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權利指派”1、 查看是否“從遠端系統(tǒng)強制關機”設置為“只指派給Administrators組”2.3.2 安全配置實驗九：取得文件或其它對象的所有權僅指派給Administrators1) 實驗目標在本地安全設置中取得文件或其它對象的所有權僅指派給Administrators。2) 實驗要求“取得文件或其它對象的所有權”設置為“只指派給Administrators組” 。3) 實驗工具遠程桌面4) 實驗步驟進入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權利指派”。1、 查看是否“取得文件或其它對象的所有權”設置為“只指派給Administrators組。2.3.3安全配置實驗十：指定授權用戶允許本地登陸此計算機1) 實驗目標在本地安全設置中配置指定授權用戶允許本地登陸此計算機。 2) 實驗要求“從本地登陸此計算機”設置為“指定授權用戶” 。3) 實驗工具遠程桌面4) 實驗步驟進入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權利指派” 2、查看是否“從本地登陸此計算機”設置為“指定授權用戶” 2.3.4 安全配置實驗十一：只允許授權帳號從網(wǎng)絡訪問計算機1) 實驗目標在組策略中只允許授權帳號從網(wǎng)絡訪問(包括網(wǎng)絡共享等，但不包括終端服務)此計算機。2) 實驗要求“從網(wǎng)絡訪問此計算機”設置為“指定授權用戶” 。3) 實驗工具遠程桌面4) 實驗步驟進入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權利指派” 1、 查看是否“從網(wǎng)絡訪問此計算機”設置為“指定授權用戶”第3章 日志審計3.1 日志操作3.1.1 安全配置實驗十二：啟用系統(tǒng)日志 1) 實驗目標設備應配置日志功能，對用戶登錄進行記錄，記錄內(nèi)容包括用戶登錄使用的賬號，登陸是否成功，登錄時間，以及遠程登錄時，用戶使用的IP地址。2) 實驗要求審核登錄事件設置為成功和失敗都審核。3) 實驗工具遠程桌面4) 實驗步驟進入“控制面板-管理工具-本地安全策略”，在“本地策略-審核策略”2、查看是否“審核策略更改”設置為“成功” 和“失敗”都要審核 3.1.2 安全配置實驗十三：啟用對Windows審核過程追蹤1) 實驗目標啟用組策略中對Windows系統(tǒng)的審核失敗的過程追蹤。2) 實驗要求“審核過程追蹤”設置為 “失敗”需要審核。3) 實驗工具遠程桌面4) 實驗步驟進入“控制面板-管理工具-本地安全策略”，在“本地策略-審核策略” 1、 查看是否“審核過程追蹤”設置為 “失敗”需要審核 3.1.3 安全配置實驗十四: 設置日志文件的大小1) 實驗目標應用、系統(tǒng)、安全日志文件大小至少為8192KB，當達到最大的日志尺寸時，按需要改寫事件。 2) 實驗要求“應用日志”、“系統(tǒng)日志”、“安全日志”屬性中的日志大小設置不小于“8192KB” ,設置當達到最大的日志尺寸時，“按需要覆蓋事件” 。3) 實驗工具遠程桌面4) 實驗步驟1、進入“控制面板-管理工具-事件查看器”，在“事件查看器（本地）” 2、“應用日志”、“系統(tǒng)日志”、“安全日志”屬性中的日志大小設置不小于“8192KB” ,設置當達到最大的日志尺寸時，“按需要覆蓋事件” 第4章 IP協(xié)議安全配置操作4.1 安全配置實驗十五：啟用TCP/IP篩選1) 實驗目標對沒有自帶防火墻的Windows系統(tǒng)，啟用Windows系統(tǒng)的IP安全機制(IPSec)或網(wǎng)絡連接上的TCP/IP篩選，只開放業(yè)務所需要的TCP，UDP端口和IP協(xié)議。 2) 實驗要求按需啟用TCP/IP篩選。3) 實驗工具遠程桌面4) 實驗步驟進入“控制面板網(wǎng)絡連接本地連接”，進入“Internet協(xié)議（TCP/IP）屬性高級TCP/IP設置”，在“選項”的屬性中啟用網(wǎng)絡連接上的TCP/IP篩選，查看是否只開放業(yè)務所需要的TCP，UDP端口和IP協(xié)議。 4.2 安全配置實驗十六：啟用Windows防火墻1) 實驗目標啟用Windows XP和Windows 2003 自帶防火墻。根據(jù)業(yè)務需要限定允許訪問網(wǎng)絡的應用程序，和允許遠程登陸該設備的IP地址范圍。 2) 實驗要求按需配置Windows防火墻。3) 實驗工具遠程桌面4) 實驗步驟進入“控制面板網(wǎng)絡連接本地連接”，在高級選項的設置中，查看是否啟用Windows防火墻。查看是否在“例外”中配置允許業(yè)務所需的程序接入網(wǎng)絡。 1、 查看是否在“例外-編輯-更改范圍”編輯允許接入的網(wǎng)絡地址范圍。4.3 安全配置實驗十七：啟用SYN攻擊防護1) 實驗目標啟用SYN攻擊保護。2) 實驗要求指定觸發(fā)SYN洪水攻擊保護所必須超過的TCP連接請求數(shù)閥值為5；指定處于 SYN_RCVD 狀態(tài)的 TCP 連接數(shù)的閾值為500；指定處于至少已發(fā)送一次重傳的 SYN_RCVD 狀態(tài)中的 TCP 連接數(shù)的閾值為400。 3) 實驗工具遠程桌面4) 實驗步驟1、在“開始-運行-鍵入regedit”2、啟用 SYN 攻擊保護的命名值位于注冊表項: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicestcpip parameters之下。值名稱：SynAttackProtect。推薦值：2。指定必須在觸發(fā) SYN flood 保護之前超過的 TCP 連接請求閾值。值名稱：TcpMaxPortsExhausted。推薦值：5。啟用 SynAttackProtect 后，該值指定 SYN_RCVD 狀態(tài)中的 TCP 連接閾值，超過 SynAttackProtect 時，觸發(fā) SYN flood 保護。值名稱：TcpMaxHalfOpen。推薦值數(shù)據(jù)：500。啟用 SynAttackProtect 后，指定至少發(fā)送了一次重傳的SYN_RCVD 狀態(tài)中的 TCP 連接閾值。超過 SynAttackProtect 時，觸發(fā) SYN flood 保護。值名稱：TcpMaxHalfOpenRetried。推薦值數(shù)據(jù)：400。第5章 設備其他配置操作5.1 安全配置實驗十八：屏幕保護1) 實驗目標啟用屏幕保護功能。2) 實驗要求設置帶密碼的屏幕保護，并將時間設定為5分鐘。 3) 實驗工具遠程桌面4) 實驗步驟1、進入“控制面板顯示屏幕保護程序”2、查看是否啟用屏幕保護程序，設置等待時間為“5分鐘”，啟用“在恢復時使用密碼保護” 5.2 安全配置實驗十九：連接超時1) 實驗目標對于遠程登陸的帳號，設置長時間不活動應斷開連接。 2) 實驗要求“Microsoft網(wǎng)絡服務器”設置為“在掛起會話之前所需的空閑時間”為15分鐘。3) 實驗工具遠程桌面4) 實驗步驟1、 進入“控制面板-管理工具-本地安全策略”，在“本地策略-安全選項”： 2、 查看是否“Microsoft網(wǎng)絡服務器”設置為“在掛起會話之前所需的空閑時間”為15分鐘 5.3 安全配置實驗十九：共享文件夾及訪問權限1) 實驗目標在非域環(huán)境中，應關閉Windows硬盤默認共享。2) 實驗要求在HKLMSystemCurrentControlSetServicesLanmanServerParameters下，增加REG_DWORD類型的AutoShareServer 鍵，值為 0。3) 實驗工具遠程桌面4) 實驗步驟進入“開始運行Regedit”，進入注冊表編輯器，更改注冊表鍵值：在HKLM_LOCALE_MACHINESystemCurrentControlSetServicesLanmanServerParameters下，增加REG_DWORD類型的AutoShareServer 鍵，值為 0。 5.4 安全配置實驗二十：給須要共享文件夾設置用戶權限1) 實驗目標查看每個共享文件夾的共享權限，只允許授權的賬戶擁有權限共享此文件夾。 2) 實驗要求查看每個共享文件夾的共享權限僅限于業(yè)務需要，不設置成為“everyone”。 3) 實驗工具遠程桌面4) 實驗步驟1、 進入“控制面板-管理工具-計算機管理”，進入“系統(tǒng)工具共享文件夾”2、 查看每個共享文件夾的共享權限5.5 安全配置實驗二十一：時間同步1) 實驗目標通過微軟Active Directory管理的終端, 或者是獨立終端, 要求配置時間同步源.終端定期執(zhí)行時間同步操作(必要時)。2) 實驗要求給系統(tǒng)配置時間同步。3) 實驗工具遠程桌面4) 實驗步驟a. 在具有PDC Emulator角色的DC上運行如下命令, 以和外部時間源同步 w32tm /config /syncfromflags:manual /manualpeerlist: b. 在PC終端上運行如下命令行同步時間： w32tm /config /update 5.6 安全配置實驗二十二：補丁管理1) 實驗目標應安裝最新的Service Pack補丁集以及所有HotFix補丁，對服務器系統(tǒng)應先進行兼容性測試。2) 實驗要求給系統(tǒng)安裝最新的ServicePack補丁集以及所有Hotfix補丁。3) 實驗工具遠程桌面4) 實驗步驟控制面板-添加或刪除程序-顯示更新打鉤，查看是否XP系統(tǒng)已安裝SP2，Win2000系統(tǒng)已安裝SP4，Win2003系統(tǒng)已安全SP1，查看是否安全全部Hotfix補丁。5.7 安全配置實驗二十三：防病毒管理1) 實驗目標安裝防病毒軟件，并及時更新。2) 實驗要求安裝放病毒軟件，病毒碼更新時間不早于1個月，各系統(tǒng)病毒碼升級時間要求參見各系統(tǒng)相關規(guī)定。3) 實驗工具遠程桌面4) 實驗步驟控制面板-添加或刪除程序，是否安裝有防病毒軟件。打開防病毒軟件控制面板，查看病毒碼更新日期。 5.8 安全配置實驗二十三：啟用DEP功能1) 實驗目標對于Windows XP SP2,SP3及Windows 2003對Windows操作系統(tǒng)程序和服務啟用系統(tǒng)自帶DEP功能(數(shù)據(jù)執(zhí)行保護)，防止在受保護內(nèi)存位置運行有害代碼。 2) 實驗要求啟用“僅為基本 Windows 操作系統(tǒng)程序和服務啟用DEP”的功能。3) 實驗工具遠程桌面4) 實驗步驟、進入“控制面板系統(tǒng)”，在“高級”選項卡的“性能”下的“設置”。進入 “數(shù)據(jù)執(zhí)行保護”選項卡。、查看是否設置為“ 僅為基本W(wǎng)indows 操作系統(tǒng)程序和服務啟用DEP”。 5.9 安全配置實驗二十四：Windows服務1) 實驗目標管理員列出所需要服務的列表(包括所需的系統(tǒng)服務)，不在此列表的服務需關閉。 2) 實驗要求關閉不需要的服務。3) 實驗工具遠程桌面4) 實驗步驟1、進入“控制面板-管理工具-計算機管理”，進入“服務和應用程序”2、查看所有服務，不在此列表的服務需關閉。5.10 安全配置實驗二十五：SNMP安全配置1) 實驗目標如需啟用SNMP服務，則修改默認的SNMP Community String設置。2) 實驗要求修改SNMP的默認community strings。3) 實驗工具遠程桌面4) 實驗步驟打開“控制面板”，打開“管理工具”中的“服務”，找到“SNMP Service”，單擊右鍵打開“屬性”面板中的“安全”選項卡，在這個配置界面中，查看community strings，也就是微軟所說的“團體名稱”，修改默認的“PUBLIC”。5.11 安全配置實驗二十六：IIS安全配置1) 實驗目標如需啟用IIS服務，則將IIS升級到最新版。2) 實驗要求安裝IIS 補丁包或升級到IIS6.0。3) 實驗工具遠程桌面4) 實驗步驟控制面板-添加或刪除