計算機終端安全配置手冊(Windows平臺)

-----精品文檔端平安配置手Windows平臺〕2目錄1核策略置................................................................31.1開啟密策略......................................................31.2開啟戶定策略..................................................41.3開啟核策略......................................................42戶置....................................................................52.1UAC〔用帳控制〕提醒...........................................52.2禁用Guest.....................................................62.3取消永不期...................................................................72.4修改密..........................................................83系....................................................................83.1置算機名......................................................83.2置屏幕保程序.................................................133.3防病毒件置.....................................................163.4置.....................................................193.5系更新.................................................203.6置防火.........................................................233.7日志文件置.....................................................244FAQ......................................................................................................25附........................................................................271.常的效勞和功能明................................................272.常端口明........................................................3021核策略置1.1開啟密策略端啟用密策略，置策略校密是否符合要求，以防止置密對算機端造成平安1、翻開『控制面板』->『所有控制面板』->『管理工具』，雙或在『運行』->入secpol.msc，并確。2、在『平安置』->『->『密策略』下，密策略的置。密策略包括：密必符合復(fù)性要求：已啟用密：8位密最留存期：90天3個住的密碼31.2開啟戶定策略端啟用戶定策略，可以有效防止攻者使用暴力破解方式猜想用密。1、翻開『控制面板』->『所有控制面板』->『管理工具』，雙或在『運行』->入secpol.msc，并確。2、在『平安置』->『->『戶定策略』下，戶定策略的置。先修改“戶定置，其它兩會自提示修改帳10次無效登錄帳30分鐘重置戶定數(shù)器：30分之后1.3開啟核策略算機端最根本的入侵試系密、改帳策略、未入侵系日志如下：1.核策略更改：可看更改本地平安策略的看某個用是否更改了用戶限分配、核策略或信任策略。2.核登事件：可看某個用登或注登〕的事件。3.核象看用Windows象〔包括注冊表、效勞、打印機、文件/文件等〕的4.核程跟蹤：可看事件〔如程序運行或程退出〕生的執(zhí)行和系自5.核目效勞訪：可看某個用訪具有其自身系訪控制列表的AD象的事件。6.核特使用：可看某個用在其有行限的算機上行任的4用使用分配的特事件，特指在本地平安策略中分配用的限。7.核系事件：可看某個用關(guān)或重新啟程或程序試行其沒有限的某操作的事件。8.核事件：可看在臺算機用于證戶，用登到其它算機或者從其它算機注的事件。9.核看某個用更改或除更改密或更改用DC中域用、域用象的管理、密1、翻開『控制面板』->『所有控制面板』->『管理工具』，雙或在『運行』->入secpol.msc，并確。2、在『平安置』->『本地策略』->『核策略』下，核策略的置。要求開啟的核策略包括：事件：成功，失敗事件：成功，失敗事件：成功，失敗2戶置2.1UAC〔用帳控制〕提醒UAC〔UserAccountControl〕用帳控制，是WindowsVista以上操作系中一種特殊的提高授的運行模式，即平運行件在普通用特操作，系會出提示〔或稱警告〕，要求用確或入管理。5UAC提醒功能可以件的運行制造人障礙，在使用未件，也會出相的授提示。確保算機平安定運行，當(dāng)系自帳控制應(yīng)點UAC提醒通知置建保存缺省“當(dāng)用算機通知我例如普通用模式運行注冊表會出提示：當(dāng)普通用運行程置管理，需要入管理口令：2.2禁用Guest戶通Guest可以操并破壞算機端，因此任何候都制止開啟算機端的Guest1、翻開『控制面板』->『所有控制面板』->『管理工具』->『算機管理』菜。2、翻開『系工具』->『本地用和』->『用』，示系中所有3、在Guest單選『屬性』菜。4、出的窗口中，復(fù)『【確定】按。62.3取消永不期〞所有版本的Windows操作系，缺省置都是用密永不期；當(dāng)密使用的泄露，因此要求取消戶永不期〞1、翻開『控制面板』->『所有控制面板』->『管理工具』->『算機管理』2、翻開『系工具』->『本地用和』->『用』，，右點指定用，性〞3、去掉永不期〞==============================================注意：7當(dāng)存在多個戶，永不期〞置。==============================================2.4修改密碼密是保端平安的一個根本途徑，通常的破壞行或暴力破解都需要猜想帳。算機端密必符合公司密策略要求。策略如下：1〕不能包含用的示名2〕密最小度：8個字符3〕必需包含以下四字符中的三字符：a〕英文大寫字母〔A到Z〕b)英文小寫字母〔a到z〕c)10個根本數(shù)字〔0到9〕d)非字母字符〔如!、*、@等〕4〕密有效期：90天5〕密失效通知期：15天6〕達(dá)失效通知的模式：通7〕密3個公司最新要求參?IT效勞手冊?。按下CTRL+ALT+DELETE合，并入舊密后，密修改。3系3.1置算機名的算機端名稱，方便管理借助算機名稱來別算機。Windows7置方法：1、在win7桌面上，右點“算機性出的界面中系統(tǒng)82、算機名。3、入合法的算名后，點。94、提示需要重啟算機，點確定。Windows10置方法：1、在win10系桌面上，右單此擇102、點置3、點114、入符合命名算機名，點。124、定，重啟后算機名稱即修改完成。3.2置屏幕保程序算機端屏幕保程序，保的操作系平安，啟用屏幕保程序的等待間小于等于5分。Windows7置方法：1、翻開『控制面板』->『外和個性化』->『更改屏幕保程序』，置屏幕保132、在屏幕保程序下拉列表中程序，等待間置成小于或等于5分，復(fù)『在恢復(fù)使用密?！?，點【確定】按。Windows10置方法：1、在右，擇142、屏界面程序置3在屏幕保程序下拉列表中程序，等待間置成小于或等于5分，復(fù)『在恢復(fù)使用密?！唬c【確定】按。153.3防病毒件置公司施了集中式病毒防，要求所有算機端安裝集中式病毒防SymantecEndpointProtection〔稱SEP==============================================注意：1．由于公司SEP采用分管理模式，安裝前信息平安使用本部2．算機端至少每月行一次病毒活及進(jìn)行完整的病毒全面描。==============================================1、雙任SEP。2、點左的『描威』菜，點『新描』菜。163、【下一步】按。4、擇描文件的型『文件型』型【下一步】按。175、描屬性點【下一步】按。6、置自率及每次描的啟日期和【下一步】按。7、置描的名稱信息，點【完成】按，完成自的置。183.4置算機端的系時保持一致，從而準(zhǔn)確操作時，并現(xiàn)事件的回溯。1、『控制面板』->『所有控制面板』->『日期和Internet192、改置，在Internet間置『與Internet器同步』，并在效勞器下拉列表中入“time.neusoft〞，點【立即更新】按，更新之后點【確定】按。3.5系更新公司部署WSUS(WindowsServerUpdateServices)效勞器，用于及下系補丁，一向公司內(nèi)算機端提供下源。1、在『運行』中入“gpedit.msc，出本地策略20==============================================注意：運行“gpedit.msc〞，如果系提示找不到程序，明操作系版本不支持策略==============================================2、在本地算機策略->算機配置->管理模板->Windows件->WindowsUpdate的右，雙更新【確定】按。配置自更新：213、雙IntranetMicrosoft更新效勞位置入后置置Intranet更新效勞置Intranet器入公司效勞器地址〔://update.neusoft==============================================注意：域名地址完整入“://〞。==============================================4、雙更新測率【確定】按。225、雙自更新立即安裝【確定】按。6算機立即『運行』，wuauclt/detectnow。〞3.6置防火墻Windows防火是操作系自我防工具，可以有效防止算機端被意攻，因此必將Windows防火開啟狀。1、翻開『控制面板』->『所有控制面板』->『Windows防火』，和關(guān)閉Windows防火232、在“用網(wǎng)定Windows防火3.7日志文件置日志文件可以錄算機端的用程序、平安性、系的日志信息，日志文件的合理置可以保系記的日志更合理及系出問時有效追蹤。1、翻開『控制面板』->『所有控制面板』->『管理工具』，雙看器在『運行』->入eventvwr.msc，并確。2、雙『Windows日志』，右單“用程序。3、復(fù)空〔算機端必保存30天的日志，按使用的率置相大小，建不小于102400Kb24==============================================注意：如需要保存更時的日志文件，可以擇〞件日志缺省自存在“C:多，可以手到相目的==============================================2Windows日志』下的置方法同上。4FAQQ1：如何快捷翻開控制面板及常用功能？A1：Win8：按Win+“x〞，在屏幕左下角出：程序與功能、算機管理、控制面板、運行、關(guān)機、重啟、搜索、桌面等常用功能。25Win10：按下Win出屏幕中Windows系-Q2：操作系安裝后，在磁分區(qū)管理中，什么有一個系保存分區(qū)？A2：啟磁分區(qū)管理〔diskmgmt.msc〕后，可以看到系保存分區(qū)〔SystemReserved個分區(qū)中保存了用于啟Windows7系的所有引文件，以及WinRE(Windows恢復(fù)境)使用的必要文件，如果將其除，或其它操作，將導(dǎo)致Windows7無法正常啟及修復(fù)。26附錄1.常的效勞和功能明序效勞名稱描述效勞路徑號在用程序啟時理用程序兼容型1Application\\WINDOWS\system3求。效勞的默運行方式是自，不建更改。Experience2\svchost.exe-knetsvcsInternet接共享提供第三方2Application\\WINDOWS\System3持。效勞的默運行方式是手，如果你接LayerGateway2\alg.exeService了網(wǎng)，會自啟，不建更改。目的智能像(IntelliMirror)策略程3Application\\WINDOWS\system3序提供件的安裝、卸和枚等操作。如果該Management2\svchost.exe-k效勞停頓，用將無法安裝、除或枚任何使netsvcs用智能像方式安裝的程序。如果效勞被禁用，任何依的其他效勞都將無法運行。效勞默的運行方式手，功能主要適用于大型企在后臺端和效勞器之的數(shù)據(jù)。如果禁4Background\\WINDOWS\System3用了BITS，一些功能，如WindowsUpdate，Intelligent2\svchost.exe-k就無法正常運行。效勞的默運行方式是自，TransfernetsvcsService個效勞的主要用途是用于WindowsUpdate或者自更新，最好不要更改個效勞。維網(wǎng)上算機的更新列表，并將列表提供應(yīng)5Computer\\WINDOWS\system3停頓，列表不會被更Browser2\svchost.exe-k新或被禁用，任何直接依于此netsvcs效勞的效勞將無法啟。效勞的默運行方式，不如果你沒有使用局域網(wǎng)或者你根本就不想使用局域網(wǎng)，功能就可以放心禁用，禁用后任然可以使用\\IPUNC路徑他共享的算機。27提供三種管理效勞:效勞，它確定6Cryptographic\\WINDOWS\system3ServicesWindows文件的字;受保的根效勞，它從2\svchost.exe-k此算機添加和除受信根書;和netsvcs密(Key)效勞，它幫助注冊此算機取如果此效勞被止，些管理效勞將無法正常運行。如果此效勞被禁用，任何依它的效勞將無法啟。的所有以及平安數(shù)據(jù)。另外，比方微的網(wǎng)站，WindowsUpdate，或者DRM的網(wǎng)站，很多候它會提供和確Windows文件的名信息。7DHCPClient通注冊和更改IP地址以及DNS名稱來管\\Windows\system32\理網(wǎng)配置。如果效勞停頓了，臺算機將svchost.exe-k無法收到IP地址以及DNS的更新。如果LocalServiceNetworkR效勞被禁用了，那么任何依的其他效勞estricted都將無法運行。效勞的默運行方式是自，如果是手指定的IP，完全可以禁用。只有WinWebProxyAuto-DiscoveryService個效勞依它。8DNSClient此算機解析和沖域名系(DNS)名稱。\\WINDOWS\system3如果此效勞被停頓，算機將不能解析DNS名2\svchost.exe-k稱并定位ActiveDirectory域控制器。NetworkService9IPsecPolicyInternet(IPSec)支持網(wǎng)級的\\Windows\system32\等身份Agentsvchost.exe-k數(shù)據(jù)機密性(加密)以及重播保。此效勞NetworkServiceNetwor行通IP平安策略管理元或命令行工具kRestricted“netshipsec〞的IPSec策略。停頓此服務(wù)，如果策略需要接使用IPSec，可能會遇到網(wǎng)，此效勞停頓，Windows防火的程管理也不再可用。某些公司的網(wǎng)絡(luò)翻開，它提供一個TCP/IP網(wǎng)上客端和效勞器之端到端的平安接。其他的情況建\\Windows\system32\10ProgramCompatibilitysvchost.exe-kAssistantLocalSystemNetworkRServiceestricted作終點映射程序(endpointmapper)和11Remote\\Windows\system32\ProcedureCallCOM效勞控制管理器使用。如果此效勞被停用svchost.exe-krpcss(RPC)或禁用，使用COM或程程用(RPC)效勞的程序工作將不正常。2812Remote\\Windows\system32\使程用能修改此算機上的注冊表置。如果此效勞被止，只有此算機上的用才能修Registrysvchost.exe-kregsvc改注冊表。如果此效勞被禁用，任何依它的服。13Server支持此算機通網(wǎng)的文件、打印、和命名管\\Windows\system32\道共享。如果效勞停頓，些功能不可用。如果svchost.exe-knetsvcs效勞被禁用，任何直接依于此效勞的效勞將無法啟。保本機接入網(wǎng)的文件、打印機和命名管道共享管理，如果不需要在網(wǎng)上共享什么14TaskScheduler使用能在此算機上配置和制定自任的日\\Windows\system32\程。如果此效勞被止，些任將無法在日程svchost.exe-knetsvcs時里運行。如果此效勞被禁用，任何依它的效勞將無法啟。提供TCP/IP(NetBT)效勞上的NetBIOS和15TCP/IP\\Windows\system32\網(wǎng)上客端的NetBIOS名稱解析的支持，從NetBIOSHelpersvchost.exe-k而使用能共享文件、打印和登到網(wǎng)。如LocalServiceNetworkR果此效勞被停用，些功能可能不可用。如果此estricted效勞被禁用，任何依它的效勞將無法啟。主要是支持NetBIOS名稱的解析，使得你可以在登。16WindowsAudio管理基于Windows的程序的音。如果此效勞\\Windows\System32\被停頓，音設(shè)和效果將不能正常工作。如果此svchost.exe-k效勞被禁用，任何依它的效勞將無法啟。LocalServiceNetworkRestricted管理Windows音效勞的音設(shè)。如果此服17WindowsAudio\\Windows\System32\設(shè)和效果將不能正常工作。如果Endpointsvchost.exe-kBuilderLocalSystemNetworkR此效勞被禁用，任何依它的效勞將無法啟。estricted提供Windows份和功能。Windows備18Windows\\Windows\System32\份和版本恢復(fù)功能，一直都不好使。Backupsvchost.exe-kSDRSVC19WindowsError\\Windows\System32\允在程序停頓運行或停頓響時告允提供有解決方案。允為斷和修復(fù)服Reportingsvchost.exe-kServiceWerSvcGroup被停頓，錯無法正確運行，而且可能不示斷效勞和修復(fù)的果。此效勞管理事件和事件日志。它支持日志20WindowsEvent\\Windows\System32\件、檔事件日志以及管Logsvchost.exe-k理事件元數(shù)據(jù)。它可以用XML和文本兩種格LocalServiceNetworkR式示事件。停頓效勞可能危及系的平安性estricted和可靠性。Vista和其他系程序常會用到，的效勞。29子件以及其他內(nèi)容(通可展性21Windows\\Windows\system32\SearchAPI)提供內(nèi)容索引和屬性存。效勞響文件SearchIndexer.exe和子件通知，從而已修改的內(nèi)容制索引。/Embedding如果效勞已停頓或被禁用，源管理器將無法顯示的虛文件視，在源管理器中搜索將回退速度慢的逐搜索。新的桌面搜索功能，默范太小，大了又很消耗以22WindowsTime上的所有客端和效勞器的\\Windows\system32\期同步。如果此效勞被停頓，svchost.exe-k將不可用。如果此效勞被禁用，任何明確依它LocalService的效勞都將不能啟。啟用和安裝Windows和其他程序的23Windows\\Windows\system32\Updatesvchost.exe-knetsvcs更新。如果此效勞被禁用，臺算機的用將無法使用WindowsUpdate或其自更新功能，并且些程序?qū)o法使用WindowsUpdateAgent(WUA)APIWindowsUpdate功能取決于你了，它和BackgroundIntelligentTransferService、ModulesInstaller效勞關(guān)。枚WLAN適配器，管理WLAN接24WLAN\\Windows\system32\和配置文件。很多的候，是要自己置的，AutoConfigsvchost.exe-k不用無網(wǎng)可以關(guān)掉。LocalSystemNetworkRestricted25Workstation使用SMB議并端網(wǎng)與程服\\Windows\System32\的接。如果此效勞已停頓，些接svchost.exe-k將無法使用。如果此效勞已禁用，任何明確依賴LocalService它的效勞將無法啟。和管理到程效勞器的網(wǎng)是局域網(wǎng)中是一個必的效勞，不需問人的共享資源可以。2.常端口明序號端口效勞名明1666DoomSoftwareId木AttackFTP、SatanzBackdoor開放此端口cisco木BackDoor開放此端口。21999identificationport木blazer5開放5000端口。木SocketsdeTroie開放50005001、35321505055000、5001、5321、50505端口。42115木Bugs開放此端口。52140、3150木DeepThroat1.0/3.0開放此端口。3061492stone-design-1木FTP99CMP開放此端口。72000木GirlFriend1.3、Millenium1.0開放此端口。84590木ICQTrojan開放此端口。93129木MasterParadise開放此端口。102001木Millenium1.0、TrojanCow開放此端口。111025、1033networkblackjack木netspy開放2個端口。122023xinuexpansion4木PassRipper開放此端口。13555DSF木PhAse1.0、StealthSpy、IniKiller開放此端口。142801木PhineasPhucker開放此端口。153700木PortalofDoom開放此端口163333dec-notes木Prosiak開放此端口173996、4060木RemoteAnything開放此端口183210、4321木SchoolBus開放此端口191600issd木Shivka-Burka開放此端口。202181木ShockRave開放此端口。211001、1011木Silencer、WebEx開放1001端口。木DolyTrojan開放1011端口。221807木SpySender開放此端口。木StreamingAudioTrojan、PsyberStreamServer、231170Voice開放此端口。2412341243、6711、6776木SubSeven2.0UltorsTrojan開放12346776端口。木SubSeven1.0/1.9開放1243、6711、6776端口。253150木TheInvasor開放此端口。261245木Vodoo開放此端口。272583木W(wǎng)incrash2.0開放此端口。283024、4092木W(wǎng)inCrash開放此端口。294092木W(wǎng)inCrash開放此端口。Linux的mountdBug。是描