windows加固手冊v1.0復(fù)習(xí)課程

windows2008加固手冊V1.0精品文檔3.2Windows2008系統(tǒng)分區(qū)采用NTFS格式在安裝系統(tǒng)時，應(yīng)該直接將分區(qū)格式化為NTFS格式，NTFS格式能帶來更高的使用效率，和更好的安全性能，能提供ACL訪問控制，文件加密，壓縮等功能。如果磁盤文件系統(tǒng)為 FAT32，應(yīng)該將系統(tǒng)文件轉(zhuǎn)化成 NTFS格式。系統(tǒng)補丁加固時需要根據(jù)Windowsupdate的補丁更新通告，及時安裝 Windows最新補丁，并需要定時進(jìn)行檢查是否有新的補丁。Windows2008自動更新選項在：開始—WindowsUpdate—查看高級選項，可以根據(jù)需要選擇 windows安裝更新的方法。注意事項：建議打補丁前先做好系統(tǒng)及數(shù)據(jù)的備份，并在實驗環(huán)境中測試成功后方可在業(yè)務(wù)系統(tǒng)上進(jìn)行補丁安裝。獲取補?。篧indowupdate：選擇“復(fù)查并安裝更新”，根據(jù)系統(tǒng)需求選擇需要的補丁。獲取單個補丁程序：安裝補?。焊卵a丁到最新Windowupdate安裝方式可以根據(jù)提示直接安裝 , 安裝完后需要重新啟動使補丁生效。收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除精品文檔單個補丁，下載完后，直接雙擊安裝，安裝完后需要重新啟動使補丁生效。權(quán)限設(shè)置嚴(yán)格設(shè)置文件系統(tǒng)權(quán)限，防止非法用戶未經(jīng)授權(quán)訪問敏感文件、文件夾或使用危險的系統(tǒng)命令。對winnt\system32目錄下的部分文件需做特殊權(quán)限設(shè)置，只允許 system和administrators組完全控制，其余帳戶、帳戶組無任何權(quán)限，文件列表如下：net.exe attrib.exe net1.exe cacls.exe cmd.exe telnet.exeat.exe用戶和組權(quán)限系統(tǒng)默認(rèn)的用戶和組可能存在安全隱患，關(guān)閉 guest用戶及系統(tǒng)無用的用戶。在“控制面板/管理工具/計算機管理”中設(shè)置。用戶 隱患 解決方法Administrator管理員帳號擁有最高權(quán)限，默認(rèn)的用戶 administrator不能被刪除停用，建也容易被人實施窮舉猜測等攻擊。 議更改用戶名并設(shè)置強密碼，同時建立一個普通帳戶的administrator用戶來迷惑攻擊者。Guest 來賓帳號能訪問everybody權(quán)限的任何 應(yīng)該檢查系統(tǒng)guest用戶是否被停文件。 用，如果沒有應(yīng)該設(shè)置該用戶停用。收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除精品文檔帳戶策略(密碼策略和帳戶鎖定策略 )在“控制面板/管理工具/本地安全策略”中，在左邊的選項樹中選擇“安全設(shè)置/帳戶碼策略/密碼策略”。系統(tǒng)默認(rèn)沒有開啟任何帳戶策略，處于安全的考慮應(yīng)該開啟相應(yīng)的策略來保障帳戶的安全性。策略設(shè)置密碼策略密碼必須符合復(fù)雜性要求啟用密碼長度最小值8位密碼最長保存期60天密碼最短保存期2天強制密碼歷史24個為域中用戶使用可還原的加密來存儲密碼 停用在“控制面板/管理工具/本地安全策略”中，在左邊的選項樹中選擇“安全設(shè)置/帳戶碼策略/帳戶鎖定策略”。策略 設(shè)置 帳戶鎖定策略復(fù)位帳戶鎖定計數(shù)器 15分鐘帳戶鎖定時間 15分鐘帳戶鎖定閥值 5次無效登陸審核策略在“控制面板/管理工具/本地安全策略”中，在左邊的選項樹中選擇“安全設(shè)置/本地策略/審核策略”。用戶審核策略能夠監(jiān)控用戶的登陸等事件和系統(tǒng)事件，合理的設(shè)置能便于發(fā)生事件后進(jìn)行跟蹤調(diào)查。收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除精品文檔策略 設(shè)置審核策略更改 成功/失敗審核登陸事件 成功/失敗審核對象訪問 失敗審核過程追蹤 失敗審核目錄服務(wù)訪問 失敗審核特權(quán)使用 失敗審核系統(tǒng)事件 成功/失敗審核帳戶登陸事件 成功/失敗審核帳戶管理 成功/失敗用戶權(quán)限分配在“控制面板 /管理工具/本地安全策略”中，在左邊的選項樹中選擇“安全設(shè)置 /本地策略/用戶權(quán)限分配”，查看以下參數(shù)的設(shè)置是否符合需求：從網(wǎng)絡(luò)上訪問此計算機：可以設(shè)置禁止everyone用戶訪問，注意，不能禁止IIS的賬號的訪問權(quán)利；關(guān)閉系統(tǒng)：administrators取得文件或其它對象的所有權(quán)： administrators安全選項在“控制面板/管理工具/本地安全策略”中，在左邊的選項樹中選擇“安全設(shè)置/本地策略/安全選項”。系統(tǒng)默認(rèn)的部分安全選項存在安全隱患，進(jìn)行合適的安全選項設(shè)置能更好的加強系統(tǒng)安全性。Microsoft網(wǎng)絡(luò)服務(wù)器：在掛起會話之前所需的空閑時間： 15分鐘Microsoft網(wǎng)絡(luò)服務(wù)器：當(dāng)?shù)卿洉r間用完時就自動注銷用戶： 啟用關(guān)機：清除虛擬內(nèi)存頁面文件： 啟用收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除精品文檔交互式登陸：不需要按 CTRL+ALT+DEL：禁用交互式登陸：不顯示上次的用戶名： 啟用網(wǎng)絡(luò)安全：LANManager身份驗證級別： 僅發(fā)送NTLMv2響應(yīng)，拒絕LM&NTLM （可能造成某些系統(tǒng)無法進(jìn)行身份訪問）交互式登陸：可被緩存的以前登錄次數(shù)（在域控制器不可用的情況下）：0次登錄交互式登陸：在密碼到期前提示用戶更改密碼： 14天設(shè)備：只有本地登錄的用戶才能訪問 CD-ROM：啟用設(shè)備：只有本地登錄的用戶才能訪問軟盤： 啟用日志設(shè)置系統(tǒng)默認(rèn)設(shè)置中“事件查看器”的日志文件大小為16384K，按需要覆蓋事件。默認(rèn)的日志文件大小,時間也過短，為便于后期事件查看應(yīng)該進(jìn)行更改。在“控制面板/管理工具/事件查看器”中，用鼠標(biāo)右鍵逐一單擊窗口左側(cè)的“應(yīng)用程序日志”、“安全日志”、“系統(tǒng)日志”，在彈出菜單中選擇“屬性”，在屬性對話框中將日志大小該為51200KB。系統(tǒng)服務(wù)設(shè)置對系統(tǒng)運行的服務(wù)應(yīng)該進(jìn)行嚴(yán)格控制，一些不應(yīng)該開啟的服務(wù)或是會帶來安全性問題的服務(wù)原則上都應(yīng)該關(guān)閉。停止不需要的服務(wù)：DHCPClientWINSServiceSNMPServiceFaxServiceIndexingServicesMessengerServicePrintSpooler收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除精品文檔RemoteRegistryServiceSimpleTCP/IPServicesTCP/IPNetbiosHelperServiceSMTP/FTP/IISAdmin/WWWPublish共享連接Netbios共享能帶來非常高的安全威脅，默認(rèn)的 Admin$，IPC$，磁盤共享都能帶來安全問題，建議將不需要的共享進(jìn)行關(guān)閉?？赏ㄟ^修改注冊表徹底禁止共享。參考3.2.11注冊表設(shè)置。共享說明設(shè)置IPC$遠(yuǎn)程IPC共享關(guān)閉共享ADMIN$默認(rèn)管理共享關(guān)閉共享C$系統(tǒng)默認(rèn)共享關(guān)閉共享D$系統(tǒng)默認(rèn)共享關(guān)閉共享E$系統(tǒng)默認(rèn)共享關(guān)閉共享其他安全項設(shè)置1：屏幕保護程序合理的使用屏幕保護程序能保護用戶在暫時離開電腦時，被本地攻擊者使用系統(tǒng)。啟動屏幕保護程序，設(shè)置自動啟動時間為5分鐘，并設(shè)置密碼。2：注冊表設(shè)置檢查RUN、RUNONCE是否有異常程序[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce][HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除精品文檔禁止