Windows 安全配置規(guī)范

1、精品文檔windows 安全配置規(guī)范2010 年 11 月.精品文檔第1章 概述1.1 適用范圍本規(guī)范明確了 windows 操作系統(tǒng)在安全配置方面的基本 要求，可作為編制設(shè)備入網(wǎng)測(cè)試、安全驗(yàn)收、安全檢查規(guī)范 等文檔的參考。適用于中國電信所有運(yùn)行的 windows 操作系統(tǒng)，包括 windows 2000 、 windows xp 、 windows2003, windows7 , windows 2008 以及各版本中的 sever、professional 版本。第2章 安全配置要求2.1賬號(hào)編號(hào)： 1要求內(nèi)容應(yīng)按照不同的用戶分配不同的賬號(hào)，避免不 同用戶間共享賬號(hào)，避免用戶賬號(hào)和設(shè)備間

2、通信使用的賬號(hào)共享。操作指南 1、參考配置操作進(jìn)入“控制面板 -管理工具 -計(jì)算機(jī)管理”，.精品文檔在“系統(tǒng)工具 -本地用戶和組”： 根據(jù)系統(tǒng)的要求，設(shè)定不同的賬戶和賬戶 組。檢測(cè)方法 1、判定條件結(jié)合要求和實(shí)際業(yè)務(wù)情況判斷符合要求，根 據(jù)系統(tǒng)的要求，設(shè)定不同的賬戶和賬戶組 2、檢測(cè)操作進(jìn)入“控制面板 -管理工具 -計(jì)算機(jī)管理”， 在“系統(tǒng)工具 -本地用戶和組”：查看根據(jù)系統(tǒng)的要求，設(shè)定不同的賬戶和賬 戶組編號(hào)： 2要求內(nèi)容應(yīng)刪除與運(yùn)行、維護(hù)等工作無關(guān)的賬號(hào)。 1參考配置操作a）可使用用戶管理工具：開始-運(yùn)行-compmgmt.msc- 本地用戶和組-用戶操作指南 b）也可以通過 net 命令

3、：刪除賬號(hào)： net user account/de1 停用賬號(hào)： net user account/active:no.檢測(cè)方法精品文檔1.判定條件結(jié)合要求和實(shí)際業(yè)務(wù)情況判斷符合要求，刪除或 鎖定與設(shè)備運(yùn)行、維護(hù)等與工作無關(guān)的賬號(hào)。 注：主要指測(cè)試帳戶、共享帳號(hào)、已經(jīng)不用賬號(hào) 等2.檢測(cè)操作開始-運(yùn)行-compmgmt.msc- 本地用戶和組-用戶編號(hào)： 3要求內(nèi)容重命名 administrator ；禁用 guest（來賓） 帳號(hào)。操作指南 1、參考配置操作進(jìn)入“控制面板 -管理工具 -計(jì)算機(jī)管理”， 在“系統(tǒng)工具 -本地用戶和組”： administrator 屬性 更改名稱 guest

4、 帳號(hào)-屬性 已停用檢測(cè)方法 1、判定條件缺省賬戶 administrator 名稱已更改。 guest 帳號(hào)已停用。2、檢測(cè)操作進(jìn)入“控制面板 -管理工具 -計(jì)算機(jī)管理”，.精品文檔在“系統(tǒng)工具 -本地用戶和組”： 缺省帳戶 屬性 更改名稱 guest 帳號(hào)-屬性 已停用2.2口令編號(hào)：1要求內(nèi)容密碼長度要求：最少 8 位密碼復(fù)雜度要求：至少包含以下四種類別的 字符中的三種：l 英語大寫字母 a, b, c, zl 英語小寫字母 a, b, c, zl 阿拉伯?dāng)?shù)字 0, 1, 2, 9l 非字母數(shù)字字符，如標(biāo)點(diǎn)符號(hào)， , #, $, %, &, * 等操作指南 1、參考配置操作進(jìn)入“控制面板

5、 -管理工具-本地安全策 略”，在“帳戶策略 -密碼策略”：“密碼必須符合復(fù)雜性要求”選擇“已啟動(dòng)” 檢測(cè)方法 1、判定條件“密碼必須符合復(fù)雜性要求”選擇“已啟動(dòng)” 2、檢測(cè)操作進(jìn)入“控制面板 -管理工具-本地安全策.精品文檔略”，在“帳戶策略 -密碼策略”： 查看是否“密碼必須符合復(fù)雜性要求”選擇 “已啟動(dòng)”編號(hào)：2要求內(nèi)容對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，賬戶口 令的生存期不長于 90 天。操作指南 1、參考配置操作進(jìn)入“控制面板 -管理工具-本地安全策 略”，在“帳戶策略 -密碼策略”： “密碼最長存留期”設(shè)置為“ 90 天”檢測(cè)方法 1、判定條件“密碼最長存留期”設(shè)置為“ 90 天” 2

6、、檢測(cè)操作進(jìn)入“控制面板 -管理工具-本地安全策 略”，在“帳戶策略 -密碼策略”： 查看是否“密碼最長存留期”設(shè)置為“ 90 天”編號(hào)：3要求內(nèi)容.對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置 設(shè)備，使用戶不能重復(fù)使用最近 5 次（含 5精品文檔次）內(nèi)已使用的口令。操作指南 1、參考配置操作進(jìn)入“控制面板 -管理工具-本地安全策 略”，在“帳戶策略 -密碼策略”：“強(qiáng)制密碼歷史”設(shè)置為“記住 5 個(gè)密碼” 檢測(cè)方法 1、判定條件“強(qiáng)制密碼歷史”設(shè)置為“記住 5 個(gè)密碼” 2、檢測(cè)操作進(jìn)入“控制面板 -管理工具-本地安全策 略”，在“帳戶策略 -密碼策略”：查看是否“強(qiáng)制密碼歷史”設(shè)置為“記住 5

7、個(gè)密碼”編號(hào)：4要求內(nèi)容對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置 當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過 6 次（不含 6 次），鎖定該用戶使用的賬號(hào)。操作指南 1、參考配置操作進(jìn)入“控制面板 -管理工具-本地安全策 略”，在“帳戶策略 -帳戶鎖定策略”： “賬戶鎖定閥值”設(shè)置為 6 次檢測(cè)方法1、判定條件.精品文檔“賬戶鎖定閥值”設(shè)置為小于或等于 6 次 2、檢測(cè)操作進(jìn)入“控制面板 -管理工具-本地安全策 略”，在“帳戶策略 -帳戶鎖定策略”： 查看是否“賬戶鎖定閥值”設(shè)置為小于等于 6 次補(bǔ)充說明：設(shè)置不當(dāng)可能導(dǎo)致賬號(hào)大面積鎖定，在域環(huán) 境中應(yīng)小心設(shè)置，administrator 賬號(hào)本身 不會(huì)被鎖定。

8、2.3授權(quán)編號(hào)：1要求內(nèi)容本 地 、 遠(yuǎn) 端 系 統(tǒng) 強(qiáng) 制 關(guān) 機(jī) 只 指 派 給 administrators 組。操作指南 1、參考配置操作進(jìn)入“控制面板 - 管理工具 - 本地安全策 略”，在“本地策略 -用戶權(quán)利指派” : “ 關(guān) 閉 系 統(tǒng) ” 設(shè) 置 為 “ 只 指 派 給 administrators 組”“從遠(yuǎn)程系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置為“只指派給.精品文檔administrators 組”檢測(cè)方法 1、判定條件“ 關(guān) 閉 系 統(tǒng) ” 設(shè) 置 為 “ 只 指 派 給 administrators 組”“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置為“只指派給 administrtors 組”2、檢測(cè)操

9、作進(jìn)入“控制面板 - 管理工具 - 本地安全策 略”，在“本地策略 -用戶權(quán)利指派” : 查 看 “ 關(guān) 閉 系 統(tǒng) ” 設(shè) 置 為 “ 只 指 派 給 administrators 組”查看是否“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置為“只 指派給 administrators 組”編號(hào)：2要求內(nèi)容在本地安全設(shè)置中取得文件或其它對(duì)象的 所有權(quán)僅指派給 administrators 。操作指南 1、參考配置操作進(jìn)入“控制面板 - 管理工具 - 本地安全策 略”，在“本地策略 -用戶權(quán)利指派”： “取得文件或其它對(duì)象的所有權(quán)”設(shè)置為 “只指派給 administrators 組”.精品文檔檢測(cè)方法 1、判定條

10、件“取得文件或其它對(duì)象的所有權(quán)”設(shè)置為 “只指派給 administrators 組”2、檢測(cè)操作進(jìn)入“控制面板 - 管理工具 - 本地安全策 略”，在“本地策略 -用戶權(quán)利指派”： 查看是否“取得文件或其它對(duì)象的所有權(quán)” 設(shè)置為“只指派給 administrators 組”編號(hào)：3要求內(nèi)容在本地安全設(shè)置中只允許授權(quán)帳號(hào)本地、遠(yuǎn) 程訪問登陸此計(jì)算機(jī)。操作指南 1、參考配置操作進(jìn)入“控制面板 - 管理工具 - 本地安全策 略”，在“本地策略 -用戶權(quán)利指派” “從本地登陸此計(jì)算機(jī)”設(shè)置為“指定授權(quán) 用戶”“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”設(shè)置為“指定授權(quán) 用戶”檢測(cè)方法 1、判定條件“從本地登陸此計(jì)算機(jī)”設(shè)

11、置為“指定授權(quán) 用戶”“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”設(shè)置為“指定授權(quán).精品文檔用戶”2、檢測(cè)操作進(jìn)入“控制面板 - 管理工具 - 本地安全策 略”，在“本地策略 -用戶權(quán)利指派” 查看是否“從本地登陸此計(jì)算機(jī)”設(shè)置為“指 定授權(quán)用戶”查看是否“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”設(shè)置為“指 定授權(quán)用戶”2.4補(bǔ)丁編號(hào)：1要求內(nèi)容在 不 影 響 業(yè) 務(wù) 的 情 況 下 ， 應(yīng) 安 裝 最 新 的service pack補(bǔ)丁集。對(duì)服務(wù)器系統(tǒng)應(yīng)先進(jìn)行兼容性測(cè)試。操作指南 1、參考配置操作安裝最新的 service pack 補(bǔ)丁集，以及最 新的 hotfix 補(bǔ)丁。目前 windows xp 的 service pack

12、為 sp3。windows2000的 service pack為sp4,windows 2003 的 servicepack 為 sp2.精品文檔檢測(cè)方法 1、判定條件2、檢測(cè)操作進(jìn)入控制面板 - 添加或刪除程序 - 顯示更 新打鉤，查看是否 xp 系統(tǒng)已安裝 sp3 ， win2000 系統(tǒng)已安裝 sp4，win2003 系統(tǒng)已安 裝 sp2。同時(shí)檢查所有的 hotfix ，并查看系統(tǒng)安裝的 最后一個(gè)補(bǔ)丁的發(fā)布日期是否與最近最新發(fā)布的補(bǔ)丁日期 一致。2.5防護(hù)軟件編號(hào)：1（可選）要求內(nèi)容啟用自帶防火墻或安裝第三方威脅防護(hù)軟 件。根據(jù)業(yè)務(wù)需要限定允許訪問網(wǎng)絡(luò)的應(yīng)用 程序，和允許遠(yuǎn)程登陸該設(shè)備的

13、 ip 地址范 圍。操作指南 1、參考配置操作（以啟動(dòng)自帶防火墻為例） 進(jìn)入“控制面板 網(wǎng)絡(luò)連接 本地連接”， 在高級(jí)選項(xiàng)的設(shè)置中.精品文檔啟用 windows 防火墻。在“例外”中配置允許業(yè)務(wù)所需的程序接入 網(wǎng)絡(luò)。在“例外-編輯-更改范圍”編輯允許接入 的網(wǎng)絡(luò)地址范圍。檢測(cè)方法 1、判定條件啟用 windows 防火墻?！袄狻敝性试S接入網(wǎng)絡(luò)的程序均為業(yè)務(wù)所 需。2、檢測(cè)操作進(jìn)入“控制面板 網(wǎng)絡(luò)連接 本地連接”， 在 高 級(jí) 選 項(xiàng) 的 設(shè) 置 中 ， 查 看 是 否 啟 用 windows 防火墻。查看是否在“例外”中配置允許業(yè)務(wù)所需的 程序接入網(wǎng)絡(luò)。查看是否在“例外-編輯-更改范圍”編輯

14、 允許接入的網(wǎng)絡(luò)地址范圍。2.6防病毒軟件編號(hào)：1要求內(nèi)容.安裝防病毒軟件，并及時(shí)更新。精品文檔操作指南 1、參考配置操作安裝防病毒軟件，并及時(shí)更新。檢測(cè)方法 1、判定條件已安裝放病毒軟件，病毒碼更新時(shí)間不早于 1 個(gè)月，各系統(tǒng)病毒碼升級(jí)時(shí)間要求參見各 系統(tǒng)相關(guān)規(guī)定。2、檢測(cè)操作控制面板-添加或刪除程序，是否安裝有防 病毒軟件。打開防病毒軟件控制面板，查看 病毒碼更新日期。2.8 日志安全要求編號(hào)： 1要求內(nèi)容設(shè)備應(yīng)配置日志功能，對(duì)用戶登錄進(jìn)行記 錄，記錄內(nèi)容包括用戶登錄使用的賬號(hào)，登 錄是否成功，登錄時(shí)間，以及遠(yuǎn)程登錄時(shí)， 用戶使用的 ip 地址。操作指南 1、參考配置操作開始-運(yùn)行- 執(zhí)行

15、“ 控制面板-管理工具 -本地安全策略 -審核策略”審核登錄事件，雙擊，設(shè)置為成功和失敗都 審核。.精品文檔檢測(cè)方法 1、判定條件審核登錄事件，設(shè)置為成功和失敗都審核。 2、檢測(cè)操作開始-運(yùn)行- 執(zhí)行“ 控制面板-管理工具 -本地安全策略 -審核策略”審核登錄事件，雙擊，查看是否設(shè)置為成功 和失敗都審核。編號(hào)：2要求內(nèi)容開啟審核策略，以便出現(xiàn)安全問題后進(jìn)行追 查操作指南 1、參考配置操作對(duì)審核策略進(jìn)行檢查：開始-運(yùn)行-gpedit.msc計(jì)算機(jī)配置 -windows 設(shè)置 - 安全設(shè)置 - 本地 策略-審核策略以下審核是必須開啟的，其他的可以根據(jù)需 要增加： 審核系統(tǒng)登陸事件成功，失敗 審核帳

16、戶管理 成功，失敗 審核登陸事件 成功，失敗 審核對(duì)象訪問 成功.精品文檔 審核策略更改 成功，失敗 審核特權(quán)使用 成功，失敗 審核系統(tǒng)事件 成功，失敗2、補(bǔ)充說明可能會(huì)使日志量猛增檢測(cè)方法 1、判定條件嘗試對(duì)被添加了訪問審核的對(duì)象進(jìn)行訪問， 然后查看安全日志中是否會(huì)有相關(guān)記錄，或 通過其他手段激化以配置的審核策略，并觀 察日志中的記錄情況，如果存在記錄條目， 則配置成功。2、檢測(cè)操作編號(hào)： 3要求內(nèi)容操作指南.設(shè)置日志容量和覆蓋規(guī)則，保證日志存儲(chǔ) 1、參考配置操作開始-運(yùn)行-eventvwr右鍵選擇日志，屬性，根據(jù)實(shí)際需求設(shè)置： 日志文件大小超過上線時(shí)的處理方式（建議日志記錄天數(shù) 不小于 6

17、0 天）2、精品文檔補(bǔ)充說明建議對(duì)每個(gè)日志均進(jìn)行如上操作，同時(shí)應(yīng)保 證磁盤空間檢測(cè)方法 1、判定條件2、檢測(cè)操作開始-運(yùn)行-eventvwr，右鍵選擇日志，屬性， 查看日志上線及超過上線時(shí)的處理方式2.7windows 服務(wù)編號(hào)：1要求內(nèi)容操作指南關(guān)閉不必要的服務(wù)1、參考配置操作進(jìn)入“控制面板 -管理工具 -計(jì)算機(jī)管理”， 進(jìn)入“服務(wù)和應(yīng)用程序”：查看所有服務(wù)，不在此列表的服務(wù)需關(guān)閉。 可禁用的服務(wù)及其相關(guān)說明如 附表所示檢測(cè)方法 1、判定條件系統(tǒng)管理員應(yīng)出具系統(tǒng)所必要的服務(wù)列表。 查看所有服務(wù)，不在此列表的服務(wù)需關(guān)閉。 2、檢測(cè)操作進(jìn)入“控制面板 -管理工具 -計(jì)算機(jī)管理”，.精品文檔進(jìn)入“

18、服務(wù)和應(yīng)用程序”：查看所有服務(wù)，不在此列表的服務(wù)是否已關(guān) 閉。編號(hào)： 2要求內(nèi)容如需啟用 snmp 服務(wù)，則修改默認(rèn)的 snmp community string 設(shè)置。操作指南 1、參考配置操作打開“控制面板”，打開“管理工具”中的 “服務(wù)”，找到“snmp service”，單擊右鍵 打開“屬性”面板中的“安全”選項(xiàng)卡，在 這 個(gè) 配 置 界 面 中 ， 可 以 修 改 community strings ，也就是微軟所說的“團(tuán)體名稱”。檢測(cè)方法 1、判定條件community strings 已 改 ， 不 是 默 認(rèn) 的 “public”2、檢測(cè)操作打開“控制面板”，打開“管理工具”中

19、的 “服務(wù)”，找到“snmp service”，單擊右鍵 打開“屬性”面板中的“安全”選項(xiàng)卡，在 這個(gè)配置界面中，查看 community strings ， 也就是微軟所說的“團(tuán)體名稱”。.精品文檔編號(hào)： 3要求內(nèi)容如對(duì)互聯(lián)網(wǎng)開放 windowsterminial 服務(wù) (remote desktop) ，需修改默認(rèn)服務(wù)端口。操作指南 1、參考配置操作運(yùn)行 regedt32 并轉(zhuǎn)到此項(xiàng):hkey_local_machinesystemcurrentcontro lsetcontrolterminal serverwinstationsrdp-tcp 找到“portnumber ”子項(xiàng)，會(huì)看到

20、默認(rèn) 值 00000d3d ，它是 3389 的十六進(jìn)制表示 形式。使用十六進(jìn)制數(shù)值修改此端口號(hào)，并 保存新值。檢測(cè)方法 1、判定條件找 到 “ portnumber ” 子 項(xiàng) ， 設(shè) 定 值 非 00000d3d ，即十進(jìn)制 33892、檢測(cè)操作運(yùn)行 regedt32 ,找到此項(xiàng)并判斷。2.8啟動(dòng)項(xiàng)要求內(nèi)容關(guān)閉無效啟動(dòng)項(xiàng).精品文檔操作指南 1、參考配置操作“開始 -運(yùn)行-msconfig”啟動(dòng)菜單中，取 消不必要的啟動(dòng)項(xiàng)。檢測(cè)方法 1、判定條件2、檢測(cè)操作系統(tǒng)管理員提供業(yè)務(wù)必須的自動(dòng)加載進(jìn)程 和服務(wù)列表文檔。查看“開始 -運(yùn)行-msconfig ”啟動(dòng)菜單： 不需要的自動(dòng)加載進(jìn)程是否已禁用

21、和取消。2.9關(guān)閉自動(dòng)播放功能編號(hào)：1要求內(nèi)容操作指南關(guān)閉 windows 自動(dòng)播放功能1、參考配置操作點(diǎn)擊開始運(yùn)行輸入 gpedit.msc，打開組 策略編輯器，瀏覽到計(jì)算機(jī)配置管理模板 系統(tǒng)，在右邊窗格中雙擊“關(guān)閉自動(dòng)播 放”，對(duì)話框中選擇所有驅(qū)動(dòng)器，確定即可。檢測(cè)方法 1、判定條件所有驅(qū)動(dòng)器均“關(guān)閉自動(dòng)播放”.精品文檔2、檢測(cè)操作“關(guān)閉自動(dòng)播放”配置已啟用，啟用范圍： 所有驅(qū)動(dòng)器。2.10共享文件夾編號(hào)： 1要 關(guān)閉 windows 硬盤默認(rèn)共享，例如 c$，d$。 求內(nèi)容操 1、參考配置操作作指南進(jìn)入“開始 運(yùn)行regedit”，進(jìn)入注冊(cè)表編輯器，更改注冊(cè)表鍵值：在 hklmsyste

22、mcurrentcontrolset serviceslanmanserverparameters 下 ， 增 加 reg_dword 類型的 autoshareserver 鍵，值為 0。檢 1、判定條件測(cè) hklmsystemcurrentcontrolset 方 serviceslanmanserverparameters 增加了 reg_dword 法 類型的 autoshareserver 鍵，值為 0。2、檢測(cè)操作.精品文檔進(jìn)入“開始運(yùn)行regedit”，進(jìn)入注冊(cè)表編輯器，更 改注冊(cè)表鍵值： hklmsystemcurrentcontrolsetserviceslanmanserv

23、 erparameters ， 增 加 reg_dword autoshareserver 鍵，值為 0。編號(hào)： 2類 型 的要求內(nèi)容設(shè)置共享文件夾的訪問權(quán)限，只允許授權(quán)的 賬戶擁有權(quán)限共享此文件夾。操作指南 1、參考配置操作進(jìn)入“控制面板 -管理工具 -計(jì)算機(jī)管理”， 進(jìn)入“系統(tǒng)工具 共享文件夾”：查看每個(gè)共享文件夾的共享權(quán)限，只將權(quán)限 授權(quán)于指定賬戶。檢測(cè)方法 1、判定條件查看每個(gè)共享文件夾的共享權(quán)限僅限于業(yè) 務(wù)需要，不設(shè)置成為“ everyone”。 2、檢測(cè)操作進(jìn)入“控制面板 -管理工具 -計(jì)算機(jī)管理”， 進(jìn)入“系統(tǒng)工具 共享文件夾”：查看每個(gè)共享文件夾的共享權(quán)限。.精品文檔2.11使

24、用 ntfs 文件系統(tǒng)要求內(nèi)容在不毀壞數(shù)據(jù)的情況下，將分區(qū)改為 格式操作指南 1、參考配置操作將 fat 卷轉(zhuǎn)換成 ntfs 分區(qū)convert volume /fs:ntfs/v/cvtarea:filename/nosecurity /x volume 指定驅(qū)動(dòng)器號(hào)（后面加一個(gè)冒號(hào)）、 裝載點(diǎn)或卷名/fs:ntfs指定要被轉(zhuǎn)換成 ntfs 的卷/v 指定 convert 應(yīng)該用詳述模式運(yùn)行 /cvtarea:filename 將根目錄中的一個(gè)接 續(xù)文件指定為 ntfs 系統(tǒng)文件的占位符 /nosecurity 指定每個(gè)人都可以訪問轉(zhuǎn)換 的文件和目錄的安全設(shè)置/x 如果必要，先強(qiáng)行卸載卷，有

25、打開的句 柄則無效例如：covert c：/fs:ntfs備注：在有其他非 win 系統(tǒng)訪問、存在數(shù)據(jù) 共享的情況下，不建議將分區(qū)改為.精品文檔 格式檢測(cè)方法 1、判定條件 2、檢測(cè)操作2.12會(huì)話超時(shí)設(shè)置（可選）編號(hào)： 1要求內(nèi)容對(duì)于遠(yuǎn)程登錄的賬戶，設(shè)置不活動(dòng)所連接時(shí) 間 15 分鐘操作指南 1、參考配置操作進(jìn)入“控制面板管理工具本地安全策.精品文檔略”，在“安全策略安全選項(xiàng)”：“microsoft 網(wǎng)絡(luò)服務(wù)器”設(shè)置為“在掛起會(huì)話之前所需 的空閑時(shí)間”為 15 分鐘檢測(cè)方法 1、判定條件“microsoft 網(wǎng)絡(luò)服務(wù)器”設(shè)置為“在掛起 會(huì)話之前所需的空閑時(shí)間”為 15 分鐘2、檢測(cè)操作進(jìn)入“

26、控制面板管理工具本地安全策 略”，在“安全策略安全選項(xiàng)” ：查看 “microsoft 網(wǎng)絡(luò)服務(wù)器”設(shè)置2.13注冊(cè)表：（可選）編號(hào)： 1要 在不影響系統(tǒng)穩(wěn)定運(yùn)行的前提下，對(duì)注冊(cè)表信息進(jìn)行更 求 新。內(nèi)容操 1、參考配置操作作.自動(dòng)登錄：指南精品文檔hklmsoftwaremicrosoftwindowsnt currentversionwinlogonautoadminlogon (reg_dword) 0 源路由欺騙保護(hù)： hklmsystemcurrentcontrolset servicestcpipparametersdisableipsourcero uting (reg_dwor

27、d) 2 刪除匿名用戶空鏈接hkey_local_machine systemcurrentcontrolsetcontrollsa 將 restrictanonymous的值設(shè)置為 1，若該值不存在，可以自己創(chuàng)建，類型為 reg_dword 修改完成后重新啟動(dòng)系統(tǒng)生效 碎片攻擊保護(hù)：hklmsystemcurrentcontrolset servicestcpipparametersenablepmtudiscove ry (reg_dword) 1 syn flood 攻擊保護(hù)： hklmsystemcurrentcontrolset servicestcpipparameterssyna

28、ttackprotect (reg_dword) 2syn 攻擊保護(hù) -管理 tcp 半開 sockets 的最大數(shù)目 :.精品文檔hklmsystemcurrentcontrolsetservicestcpi pparameters tcpmaxhalfopen (reg_dword) 100或 500檢 1、判定條件測(cè) 2、檢測(cè)操作方 點(diǎn)擊開始 -運(yùn)行，然后在打開行里輸入 regedit，然后單 法 擊確定，查看相關(guān)注冊(cè)表項(xiàng)進(jìn)行查看；使用空連接掃描工具無法遠(yuǎn)程枚舉用戶名和用戶組附表：端口及服務(wù)服務(wù)名稱端口服務(wù)說明關(guān)閉方法處置建議echo 7/tcp系統(tǒng)服務(wù)部分 rfc862_ 回聲協(xié)議ec

29、ho 7/udpdiscard 9/udprfc862_ 回聲協(xié)議rfc863 廢除協(xié)議關(guān)閉simpletcp/ip 建議關(guān)services 服 閉務(wù)。discard 9/tcp rfc863 廢除.daytime 13/udpdaytime 13/tcpqotd 17/tcpqotd 17/udpchargen 19/tcpchargen 19/udpftp 21/tcp精品文檔協(xié)議rfc867 白天協(xié)議rfc867 白天協(xié)議rfc865 白天協(xié)議的引用rfc865 白天協(xié)議的引用rfc864 字符產(chǎn)生協(xié)議rfc864 字符產(chǎn)生協(xié)議關(guān)閉ftp 文件傳輸協(xié)議 publishing (控制) s

30、ervice 服務(wù)。關(guān)閉simple根據(jù)情況選擇開放smtp 25/tcp簡單郵件發(fā)送 協(xié)議mailtransportprotocol 服建議關(guān)閉務(wù)。.精品文檔42/tcp關(guān)閉windowsnameserver42/udpwins 主機(jī)名服務(wù)internetname建議關(guān)閉service 服務(wù)。根據(jù)情domain53/udp53/tcp關(guān)閉dns 域名服務(wù)器 server 服務(wù)。況選擇開放根據(jù)情況選擇dhcp 服務(wù)器dhcps 67/udp /internet 連接共享開放關(guān)閉simpletcp/ip 建議關(guān)services 服 閉務(wù)。dhcpc 68/udphttp 80/tcpdhcp 協(xié)

31、議客戶端http 萬維網(wǎng)發(fā)布服務(wù)關(guān)閉dhcpclient 服務(wù)。關(guān)閉worldwide webpublishing建議關(guān)閉根據(jù)情況選擇開放.精品文檔service 服務(wù)。135/tc無法關(guān)epmapp135/udrpc 服務(wù)系統(tǒng)基本服 務(wù)閉無法關(guān)netbios-nsnetbios-dgmp137/ud netbios 名稱p 解析138/ud netbios 數(shù)據(jù)p 報(bào)服務(wù)閉 在網(wǎng)卡的 根據(jù)情 tcp/ip 選項(xiàng) 況選擇 中wins頁 開放 勾選禁用 根據(jù)情 tcp/ip 上的 況選擇 netbios 開放netbios139/tc netbios 會(huì)話 系統(tǒng)基本服無法關(guān)-ssnp服務(wù)務(wù)閉161/udsnmp snmp 服務(wù)p關(guān)閉snmp 服務(wù)根據(jù)情況選擇開放安全超文本傳 關(guān)閉world 輸協(xié)議 wide web443/tchttps