Windows 操作系統(tǒng)配置安全基線標(biāo)準(zhǔn) 與操作指南

Windows操作系統(tǒng)配置安全基線標(biāo)準(zhǔn)2018年6月目錄第1章概 第2章賬戶管理、認(rèn)證授 管理缺省賬 密碼復(fù)雜 密碼歷 帳戶鎖定策 遠(yuǎn)程關(guān)機(jī)授 本地關(guān)機(jī)授 禁止Windows自動登 第3章日志配置操 審核登 審核策略更 審核對象訪 審核事件目錄服務(wù)器訪 審核特權(quán)使 審核系統(tǒng)事 審核賬戶管 審核過程追 日志文件大 第4章IP協(xié)議安全配 啟用SYN攻擊保 啟用ICMP攻擊保 啟用SNMP攻擊保 禁用IP源路 啟用碎片攻擊保 第5章設(shè)備其他配置操 共享文件夾權(quán)限控 網(wǎng)絡(luò)訪問用戶授 匿名用戶連接權(quán)限管 遠(yuǎn)程桌面服務(wù)端口管 數(shù)據(jù)執(zhí)行保 惡意代碼防 終端服務(wù)登錄管 系統(tǒng)登錄管 用戶登錄超時管 關(guān)閉Windows自動播放功 配置系統(tǒng)時間同 系統(tǒng)服務(wù)管 第6章系統(tǒng)更 操作系統(tǒng)補(bǔ)丁更 PAGEPAGE1第1安全基線概文檔編制目本文檔針對安裝運(yùn)行微軟nws（包Cnws文檔適用范本文檔適用于Wdws系列操作系統(tǒng)的各類版本，部分操作系文檔修eryj.un。2章賬戶管理、認(rèn)證授操作系統(tǒng)賬管理缺省賬NJAUSBL-Windows-V01-02-01-對于管理員帳號，應(yīng)使用非缺省Administrator帳戶名稱，即重命名管理員帳戶；禁用guest（來賓）帳戶?！癲2、進(jìn)入“控制面板->管理工具->計算機(jī)管理”，在“系統(tǒng)工具->本地用戶和組->用戶”：Guest>屬性，勾選“帳戶缺省賬戶Administrator已更名、Guest已停用?？诿艽a復(fù)雜NJAUSBL-Windows-V01-02-02-8性要求的策略。即密碼至少包含以下四種類別的字符中的三種：A,B,C,…英語小寫字母a,b,c,…z西方阿拉伯?dāng)?shù)字0,1,2,…9非字母數(shù)字字符，如標(biāo)點符號@,#,$,%,&,*進(jìn)入“控制面板->管理工具->本地安全策略”，在“帳戶“密碼歷NJAUSBL-Windows-V01-02-02-90天。進(jìn)入“控制面板->->本地安全策略”，在“帳戶->密碼策略”：查看“密碼最長存留期”（WindowsXP2000、2003）或“密碼最長使用期限”（WindowsVista、7、2008）的值查看本地安全策略，“密碼最長存留期”設(shè)置不長于90天0：表示未設(shè)置，賬號使用期無限長。根據(jù)《南京農(nóng)業(yè)大學(xué)計算機(jī)信息系統(tǒng)密碼安全管理辦法》規(guī)定，密碼最長有效期為30/60/9090帳戶鎖定策NJAUSBL-Windows-V01-02-02-敗次數(shù)超過5（不含5次）進(jìn)入“控制面板->管理工具->本地安全策略”，在“帳戶略->帳戶鎖定策略”：查看“賬戶鎖定閥值”設(shè)查看本地安全策略“賬戶鎖定閥值設(shè)置為小于或等于5次“賬戶鎖定時間”設(shè)置為30分0：表示未設(shè)置，可無限嘗試口令授遠(yuǎn)程關(guān)機(jī)授NJAUSBL-Windows-V01-02-03-Administrators組進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權(quán)利指派”：進(jìn)入“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置，只保留Administrtors組。“給Administrtors組”。Windows7、10中為“用戶權(quán)限分配”項本地關(guān)機(jī)授NJAUSBL-Windows-V01-02-03-在本地安全設(shè)置中，關(guān)閉系統(tǒng)僅指派給Administrators組。進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權(quán)利指派”:進(jìn)入“關(guān)閉系統(tǒng)”設(shè)置，只保留Administrtors組查看本地安全策略，“關(guān)閉系統(tǒng)”設(shè)置為“只指派Administrators組文件或其它對象的所有權(quán)授NJAUSBL-Windows-V01-02-03-進(jìn)入“控制面板->管理工具->本地安全策略”，進(jìn)入“取文件或其它對象的所有權(quán)”設(shè)置，只保留Administrtors組。查看本地安全策略“取得文件或其它對象的所有權(quán)”設(shè)置Administrators組身份鑒WindowsNJAUSBL-Windows-V01-02-04-從“開始->運(yùn)行->輸入：regedit”，查看注冊表項“AutoAminLogon值修改為0AutoAdminLogon1為自動登錄第3章日志配置操日志配審核登NJAUSBL-Windows-V01-03-01-用戶使用的IP地址。進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策-和“失敗”審核策略更NJAUSBL-Windows-V01-03-01-啟用組策略中對Windows系統(tǒng)的審核策略更改，成功和失進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中進(jìn)入“審核策略更改”設(shè)置，勾選“成功”和“失敗”查看本地安全策略“審核策略更改”設(shè)置為成功和失敗都審核對象訪NJAUSBL-Windows-V01-03-01-啟用組策略中對Windows系統(tǒng)的審核對象訪問，成功和失敗進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策和“失敗”查看本地安全策略“審核對象訪問”設(shè)置為成功和失敗都NJAUSBL-Windows-V01-03-01-啟用組策略中對Windows系統(tǒng)的審核目錄服務(wù)訪問，成功進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略中進(jìn)審核目錄服務(wù)訪問設(shè)置功”和“失敗”“審核特權(quán)使NJAUSBL-Windows-V01-03-01-啟用組策略中對Windows系統(tǒng)的審核特權(quán)使用，成功和失進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策和“失敗”查看本地安全策略“審核特權(quán)使用”設(shè)置為成功和失敗都審核系統(tǒng)事NJAUSBL-Windows-V01-03-01-啟用組策略中對Windows系統(tǒng)的審核系統(tǒng)事件，成功和失進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地查看本地安全策略“審核系統(tǒng)事件”設(shè)置為成功和失敗都審核賬戶管NJAUSBL-Windows-V01-03-01-啟用組策略中對Windows系統(tǒng)的審核帳戶管理，成功和失進(jìn)入“控制面板>管理工具>本地安全策略”，在“本地策略>審核策略”中進(jìn)入“審核賬戶管理”設(shè)置，勾選功”和“失敗”“審核過程追NJAUSBL-Windows-V01-03-01-啟用組策略中對Windows系統(tǒng)的審核過程追蹤失敗進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地略>審核策略中進(jìn)“審核過程跟蹤“失敗查看本地安全策略，“審核過程跟蹤”設(shè)置為失敗需要審核日志文件大NJAUSBL-Windows-V01-03-01-設(shè)置應(yīng)用日志文件大小最大20480KB(20M,至少為8192KB8M），設(shè)置當(dāng)達(dá)到最大的日志尺寸時，按需要覆蓋事件進(jìn)入“控制面板->管理工具->事件查看器”，在“事件查設(shè)置至少為的日志尺寸時“按需要覆蓋事件”“應(yīng)用日志”、“系統(tǒng)日志”、“安全日志”屬性中的日志小設(shè)置最大不超過“20480KB”,設(shè)置當(dāng)達(dá)到最大的日志尺寸第4章IP協(xié)議安全配入侵防啟用SYN攻擊保操作系統(tǒng)SYN攻擊保護(hù)安全基線要求NJAUSBL-Windows-V01-04-01-啟用SYN攻擊保護(hù)；指定觸發(fā)SYN洪水攻擊保護(hù)所必須超過的TCP連接請求數(shù)閥值為5；指定處于SYN_RCVD狀態(tài)的TCP連接數(shù)的閾值為500；指定處于至少已發(fā)送一次重傳的SYN_RCVD狀態(tài)中的TCP連接數(shù)的閾值為400在“開始->運(yùn)行->鍵入regedit”查看注冊表項啟用SYN攻擊保護(hù) 推薦值：2(六進(jìn)制)，若該值不存在，可以自己創(chuàng)建，類型為指定在觸發(fā)SYNflood保護(hù)之前超過的TCP連接請求值：TcpMaxPortsExhausted推薦值：5(十六進(jìn)制)，若該值不存在，可以自己創(chuàng)建，類型為DWORD；c.指定SYN_RCVD狀態(tài)中的TCP連接閾值，超過該值則觸發(fā)SYNflood保護(hù)：TcpMaxHalfOpen推薦值：500(十六進(jìn)制)，若該值不存在，可以自己創(chuàng)建，類型為DWORD；d.指定至少發(fā)送一次重傳的SYN_RCVD狀態(tài)中的TCP接閾值，超過該值則觸發(fā)SYNflood保護(hù)：TcpMaxHalfOpenRetried推薦值：400存在，可以自己創(chuàng)建，類型為DWORD SYN攻擊屬于DOS攻擊的一種，它利用TCP協(xié)議缺陷，通過送大量的半連接請求，耗費(fèi)CPU和內(nèi)存資源啟用ICMP攻擊保操作系統(tǒng)ICMP攻擊保護(hù)安全基線要求NJAUSBL-Windows-V01-04-01-在收到ICMP重定向數(shù)據(jù)包時禁止創(chuàng)建高成本的主機(jī)路由，止形成DDOS攻擊在“開始->運(yùn)行->鍵入regedit”EnableICMPRedirect項，推薦值：0，若該值不存在，可自己創(chuàng)建，類型為DWORD查看注冊表項，EnableICMPRedirect值為0有效值：0（禁用），1（啟用）。ICMP協(xié)議屬于網(wǎng)絡(luò)層協(xié)議啟用SNMP攻擊保操作系統(tǒng)SNMP攻擊保護(hù)安全基線要求NJAUSBL-Windows-V01-04-01-在“開始->運(yùn)行->鍵入regedit”EnableDeadGWDetect 推薦值：0，若該值不存在，可自己創(chuàng)建，類型為DWORD查看注冊表項，EnableDeadGWDetect值為0有效值：0（禁用），1（啟用）。簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)來對通信網(wǎng)絡(luò)設(shè)備進(jìn)行管理，易被用于形成大流量的SNMP攻禁用IPIPNJAUSBL-Windows-V01-04-01-IP在“開始->運(yùn)行->鍵入regedit”，查看注冊表項DisableIPSourceRouting項，推薦值：1，若該值不存在可以自己創(chuàng)建，類型為DWORD查看注冊表項，DisableIPSourceRouting1有效值：0（轉(zhuǎn)發(fā)所有數(shù)據(jù)包），1（不轉(zhuǎn)發(fā)源路由數(shù)據(jù)包2（丟棄所有傳入的源路由數(shù)據(jù)包）啟用操作系統(tǒng)TCP碎片攻擊保護(hù)安全基線要求NJAUSBL-Windows-V01-04-01-設(shè)置系統(tǒng)防止遭TCP碎片攻擊導(dǎo)致崩潰或拒絕服務(wù)新建DWORD值，名稱為EnablePMTUDiscovery，值為查看注冊表項，EnablePMTUDiscovery值為0xFFFF的IP碎片，一些老的系統(tǒng)內(nèi)核在處理的時候就會出現(xiàn)問題，導(dǎo)致崩潰或者拒絕服務(wù)。注冊表鍵值0表示不自動探測MTU大小，都使用576字節(jié)的MTU，1表示自動探測MTU大小，可能會被攻擊者強(qiáng)制MTU值變得非常小，從而導(dǎo)致堆第5章設(shè)備其他配置操訪問控制管共享文件夾權(quán)限控NJAUSBL-Windows-V01-05-01-Everyone(“Everyone(任何人)”，則將其刪除NJAUSBL-Windows-V01-05-01-””用戶、“Everyone”組。（Windowsxp,Windows2000）””用戶、“Everyone”組。（WindowsVista、7、2003、“Guest”用戶、“Everyone”組只允許存在AdministratorsBackupOperatorsPowerUsersusersNJAUSBL-Windows-V01-05-01-進(jìn)入控制面板->管理工具->本地安全策略->本地策略->安全選項->網(wǎng)絡(luò)訪問:SAM->屬性已啟用。（Windowsxp,Windows2000,Windows2003,WindowsVista,Windows7,Window8）進(jìn)入控制面板->管理工具->本地安全策略->本地策略->安全選項->對匿名連接的額外限制->屬性->SAM共享。（Windows2008）NJAUSBL-Windows-V01-05-01-修改遠(yuǎn)程桌面服務(wù)默認(rèn)端口,erminalServer\WinStations\RDP-TcperminalServer\Wds\rdpwd\Tds\tcp找到“PortNumber”子項，默認(rèn)值00000D3D33893389查看注冊表“PortNumber”值是否已修改win10已經(jīng)變更為CurrentControlSet001NJAUSBL-Windows-V01-05-01-路徑“本地計算機(jī)策略->計算機(jī)配置->Windows設(shè)置->安全設(shè)置->本地策略->安全選項在右邊窗格中找“網(wǎng)絡(luò)訪問:遠(yuǎn)程訪問的注冊表路徑和子路徑”，配置為空查看組策略中“網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊表路徑和子路數(shù)據(jù)防護(hù)管數(shù)據(jù)執(zhí)行保NJAUSBL-Windows-V01-05-02-對Windows操作系統(tǒng)程序和服務(wù)啟用系統(tǒng)自帶DEP功能進(jìn)入“控制面板－>系統(tǒng)”，在“高級”選項卡的“性能下的“設(shè)置”。進(jìn)入“數(shù)據(jù)執(zhí)行保護(hù)”選項卡。查看“僅為基本W(wǎng)indows操作系統(tǒng)程序和服務(wù)啟用DEP”?！皵?shù)據(jù)執(zhí)行保護(hù)”選項卡已設(shè)置為“僅為基本W(wǎng)indows操系統(tǒng)程序和服務(wù)啟用DEP”適用于WindowsXPSP2及Windows2003，可能影響部分程惡意代碼防NJAUSBL-Windows-V01-05-02-訪問校園網(wǎng)資源控制管終端服務(wù)登錄管NJAUSBL-Windows-V01-05-03-在“系統(tǒng)-運(yùn)行”中執(zhí)行命令regedit打開注冊表，修改下NT\CurenVerioWingonDontDisplayLastUserName查看DontDisplayLastUserName值是否為1系統(tǒng)登錄管NJAUSBL-Windows-V01-05-03-”->“交互式登錄:不顯示最后的用戶名”，點擊“已啟用查看本地安全策略中“交互式登錄:NJAUSBL-Windows-V01-05-03-路徑“本地計算機(jī)策略->計算機(jī)配置->Windows設(shè)置->安全設(shè)網(wǎng)絡(luò)服務(wù)器:登錄時間過期后斷開與客戶端的連接“已啟用”虛擬內(nèi)存管NJAUSBL-Windows-V01-05-03-”->“關(guān)機(jī):清除虛擬內(nèi)存頁面文件”，點擊“已啟用查看“關(guān)機(jī):清除虛擬內(nèi)存頁面文件”是否啟用啟動關(guān)閉Windows自動播放功操作系統(tǒng)Windows