Windows操作系统安全加固实施工作细则.doc

《Windows操作系统安全加固实施工作细则.doc》由会员分享，可在线阅读，更多相关《Windows操作系统安全加固实施工作细则.doc（109页珍藏版）》请在咨信网上搜索。

Q/ZD 浙 江 省 电 力 公 司 企 业 标 准 编号：Q/××× ———————————————————————————— Windows操作系统安全加固作业指导书 -12-28 公布 -01-01 实施 ———————————————————————————————————— XXX省电力企业 公布 前 言 为深入规范XXX省电力企业Windows操作系统安全加固作业，提升作业质量，促进操作系统安全加固标准化作业，确保业务系统安全、可靠运行，特制订《XXX省电力企业Windows操作系统安全加固作业指导书》。 本作业指导书可作为XXX省电力企业信息专业岗位培训内容和Windows操作系统加固工作要求。 本作业指导书由XXX省电力企业科技信息部归口。 本作业指导书由XXX省电力企业信息技术中心、长兴县供电局提出并起草。 本作业指导书关键起草人：吕斌斌。 本作业指导书由XXX省电力企业信息技术中心负责解释。 目 录 1. 适用范围 4 2. 引用标准 4 3. 作业准备 5 3.1 准备工作 5 3.2 工器具 6 3.3 危险点分析及预控方法 6 4. 工作步骤图 7 4.1 总图 7 4.2 加固步骤 8 5. 作业程序及作业标准 9 6. 统计及汇报 22 Windows操作系统安全加固作业指导书 1. 适用范围 本作业指导书适适用于XXX省电力企业Windows操作系统加固工作。 2. 引用标准 下列标准及技术资料所包含条文，经过在本作业指导书中引用，而组成为本作业指导书条文。本作业指导书出版时，全部版本均为有效。全部标准及技术资料全部会被修订，使用本作业指导书各方应探讨使用下列标准及技术资料最新版本可能性。 《国家电网企业电力安全工作规程》 国家电网生[]503号 《国家电网企业现场标准化作业指导书编制导则（试行）》 信息运安〔〕60号 《国家电网企业信息安全加固实施指南（试行）》 信息运安〔〕44号 《国家电网企业SG186工程信息系统安全等级保护验收标准（试行）》 浙电科信字[]65号 《XXX省电力企业信息系统工作票、操作票使用管理措施（试行）》 3. 作业准备 3.1 准备工作 序号 内容 标准 责任人 1 查看《信息安全加固工作计划》中相关Windows操作系统相关部分，明确系统安全加固工作范围和职责，准备安全加固所需资料。 确定安全加固系统范围，明确加固Windows操作系统资产； 确定加固各相关单位职责，确定加固实施时间和加固实施过程控制方法； 准备加固所需资料,如资产列表、风险评定汇报、安全提议汇报等。 2 核实《Windows操作系统信息安全加固方案》、《Windows操作系统安全加固实施确定单》、《Windows操作系统安全加固后运行情况核查操作单》等加固方案实施相关资料。 依据加固范围内信息系统存在脆弱性和风险，设计信息安全加固实施方法； 组织安全加固相关单位对加固方案可行性进行论证，对于可能影响信息系统正常运行加固项需在测试环境中测试后进行，无法加固脆弱性需提出具体说明，并形成可替换加固方案； 安全加固实施前，依据业务系统运行使用实际情况，设计加固后系统运行状态核查操作步骤（命令、参数、脚本等），加固实施完成后依据该步骤对系统运行状态进行核查。 3 加固前依据业务系统恢复难易程度采取有效备份恢复方法，应确保在安全加固造成系统异常时能够使用备份数据使系统恢复到加固前状态。 安全加固实施前依据业务系统恢复难易程度采取系统等级备份、应用程序等级备份或数据等级备份； 安全加固过程中需修改配置文件应在加固前进行备份。 4 填写、核实工作票、操作票。 依据《XXX省电力企业信息系统工作票、操作票使用管理措施（试行）》要求，填写工作票、操作票，并经相关责任人、签发人书面认可。 5 拥有拟加固Windows操作系统临时管理员权限。 加固实施过程中启用系统管理员帐号和权限。 3.2 工器具 序号 名称 规格/编号 单位 数量 备注 1 安装Nessus扫描软件计算机 Nessus扫描软件更新至最新版本 台 1 3.3 危险点分析及预控方法 序号 危险点 防范方法 1 违反信息安全加固规范性标准。 Windows系统安全加固方案设计、加固实施应依据国家或企业相关标准进行。 2 违反信息安全加固可控性标准。 Windows系统安全加固工作应该做到人员可控、工具可控、项目过程可控，严格实施“两票”制，严禁实施两票要求范围以外操作；加固工作中包含笔记本、扫描器等工具在加固实施前应遵照设备接入相关要求进行设备核查、补丁升级、病毒查杀、残余信息清除等操作，加固过程中产生数据在分析完成后立即删除。 3 违反信息安全加固最小影响标准。 Windows系统安全加固工作应尽可能小地影响系统正常运行，不得对运行中业务系统产生较大影响。关键业务系统信息安全加固应搭建模拟环境做加固测试，同时，加固操作应尽可能安排在系统资源空闲和业务访问量少时段，降低可能发生风险。 4 违反信息安全加固保密标准。 对加固过程数据和结果数据严格保密，不得泄露给任何第三方单位或个人，不得利用此数据进行任何侵害国家电网企业信息系统行为，应经过工作票、保密协议等方法确保数据保密。 4. 工作步骤图 4.1 总图 4.2 加固操作步骤 5. 作业程序及作业标准 序号 工作内容 操作方法及标准 安全方法及注意事项 实施风险 帐号权限加固 1 合理配置应用帐号或用户自建帐号权限 1、 列出应用帐号或用户自建帐号所对应相关应用程序； 2、 依据应用程序实际系统资源、对象使用情况配置应用帐号或用户自建帐号权限，具体操作以下； 3、 单击“开始”和“控制面板”，双击“管理工具”，再双击“当地安全策略”，打开“当地安全设置”控制台； 4、 进入控制台树中“安全设置”、“当地策略”、“用户权限分配”； 5、 在右边窗格中右键对应用户权限策略，然后单击“属性”； 6、 经过添加或删除对应用户帐号分配或收回对应用户权限。 先明确帐号需要合理权限，再进行分配或收回权限操作。 应用帐号或用户自建帐号权限配置不合理可能造成相关应用程序使用异常。 2 删除系统中多出自建帐号 1、 列出系统中全部自建帐号，对于测试帐号、过期帐号、和系统应用不相关帐号等实施下面删除操作； 2、 单击“开始”和“控制面板”，双击“管理工具”，再双击“计算机管理”，打开“计算机管理”控制台； 3、 单击控制台树中“用户”； 4、 右键单击要删除用户帐户，然后单击“删除”； 5、 关闭“计算机管理”控制台。 删除帐号前，确保该帐号和全部应用程序无关，如不能确定，可先禁用该帐号。不能恢复已删除用户帐户。 误删帐号造成帐号相关应用程序运行异常。 3 修改帐号口令，确保系统帐号口令长度和复杂度满足安全要求 1、 单击“开始”和“控制面板”，双击“管理工具”，再双击“计算机管理”，打开“计算机管理”控制台； 2、 单击控制台树中“用户”； 3、 右键单击要更改帐户，然后单击“设置密码”； 4、 设置强密码，按“确定”； 5、 完成口令更改。 设置口令长度，关键系统用户口令长度 >8 位 ； 一 般 系 统 用 户 口 令 长 度 >6位。 修改帐号口令可能造成部分预定口令应用程序运行异常。 4 更改系统管理员帐户 1、 单击“开始”和“控制面板”，双击“管理工具”，再双击“计算机管理”，打开“计算机管理”控制台； 2、 单击控制台树中“组”； 3、 双击右边列表中“Administrator”组，查看并统计“Administrator”组中管理员帐号然后关闭该窗口； 4、 单击控制台树中“用户”； 5、 右键单击右边列表中“Administrator”组中管理员帐号，然后单击“重命名”； 6、 键入新用户名，然后按 Enter； 7、 右键单击右边列表中“Administrator”组中管理员帐号，然后单击“属性”； 8、 更改管理员描述信息，确定退出。 用户名不能和被管理计算机其它用户或组名称相同。用户名最多能够包含 20 个大写或小写字符，但不能包含下列字符： " / \ [ ] : ; | = , + * ? < > 用户名不能只由句点 (.) 和空格组成。 部分应用系统可能需要Administrator等管理员帐号名称，如部分数据库连接需要默认帐号。 5 停用 Guest 帐户 1、 单击“开始”和“控制面板”，双击“管理工具”，再双击“计算机管理”，打开“计算机管理”控制台； 2、 单击控制台树中“用户”； 3、 右键单击要更改“guest”帐户，然后单击“属性”； 4、 选中“帐户已禁用”复选框； 5、 确定退出。 禁用某个用户帐户时，该用户将不许可登录。该帐户将出现在具体信息窗格中，图标上显示一个 X 号。 无可预见风险。 网络服务加固 1 在不影响业务系统正常运行情况下，停止或禁用和承载业务无关服务 1、 单击“开始”和“控制面板”，双击“管理工具”，再双击“计算机管理”，打开“计算机管理”控制台； 2、 单击控制台树中“服务和应用程序”，在展开树下单击“服务”； 3、 右键单击右边列表中不影响业务系统正常运行情况服务，然后单击“属性”； 4、 在“开启类型”中选择停止或禁用，如“服务状态”为已开启，则单击下面“停止”按钮； 5、 确定退出。 下面列举了轻易造成安全隐患服务，应依据实际应用情况，假如不需要能够设置为已严禁或是手动： 服务 Alerter Clipbook Computer Browser Fax Service Internet Connection Sharing Indexing Service Messenger NetMeeting Remote Desktop Sharing Network DDE Network DDE DSDM Remote Access Connection Manager Routing and Remote Access Simple Mail Transport Protocol(SMTP) Task Scheduler Telnet 假如您因为启用或禁用某项服务而在开启计算机时碰到问题，则您能够在安全模式下开启计算机。然后能够更改服务配置或还原默认配置。 应用系统或程序可能对特定系统服务有依靠关系，影响应用系统或程序正常运行。 2 屏蔽承载业务无关网络端口 1、 打开“开始”-“控制面板”-“管理工具”-“计算机管理”，在“服务和应用程序”下“服务”中，确保“Windows Firewall/Internet Connection Sharing”服务已开启； 2、 单击“开始”和“控制面板”，双击“Windows 防火墙”，打开“Windows 防火墙”设置对话框； 3、 在“常规”选项卡中选择“启用”，确保“不许可例外”没有被选中； 4、 在“例外”选项卡中仅添加业务使用网络程序或端口； 5、 在“例外”选项卡中“安全日志统计栏”点击设置按钮，选择“统计被丢弃数据包”和“统计成功连接”； 6、 确定退出。 无。 没有在“例外”选项卡中正确配置网络程序或端口，可能影响网络程序正常运行。 数据访问控制加固 1 将系统关键文件或目录访问权限修改为管理员完全控制、数据拥有者完全控 制 或 配 置 特 殊 权 限 ， 避 免 EVERYONE完全控制 1、 打开 Windows 资源管理器。 2、 找到系统中关键文件或目录（比如：Windows目录、数据目录）右键单击其对应文件或文件夹，单击“属性”，然后单击“安全”选项卡。 3、 给和管理员(Administrators)完全控制权限，给数据拥有者（CREATOR OWNER）完全控制或配置尤其权限，对于需要使用文件或文件夹用户和组，通常只给予“读取和运行”、“列出文件夹目录”及“读取”权限，对于EVERYONE用户，应清除不需要“许可”复选框，避免给予“完全控制”权限。 4、 具体操作以下： a) 要为没有显示于“组或用户名称”框中组或用户设置权限，请单击“添加”。键入想要为其设置权限组或用户名称，然后单击“确定”； b) 要更改或删除现有组或用户权限，请单击该组或用户名称，在下面权限框中更改； c) 要许可或拒绝某一权限，请在“用户或组权限”框中，选中“许可”或“拒绝”复选框； d) 要从“组或用户名称”框中删除组或用户，选中组或用户名，单击“删除”； 无。 实施访问控制后，可能影响有些用户对相关资源访问。 2 将系统分区 FAT32 格式转换为 NTFS 格式 1、 检验系统分区：双击“我电脑”右键单击C盘盘符，，然后单击“属性”，在“常规”标签页中，查看文件系统为FAT32； 2、 关闭全部打开应用程序； 3、 点击开始-运行，输入”CMD”按确定，在命令提醒符下键入转换命令，比如要将驱动器 E 上卷转换为 NTFS 而且显示全部消息，请键入：convert e:/fs:ntfs /v； 4、 要查看convert命令帮助，请键入：convert /?。 假如 convert 无法锁定驱动器（比如，驱动器是系统卷或目前驱动器），则它会在下次重新开启计算机时转换该驱动器。假如您不能立即重新开启计算机以完成转换，则请安排一个重新开启计算机时间，并为转换过程留出所需要时间。 对于从 FAT 或 FAT32 转换为 NTFS 卷，因为现在正在使用磁盘，将会在和最初以 NTFS 格式化卷不一样位置创建 MFT，这么卷性能可能不如最初以 NTFS 格式化卷性能那么好。为取得最好性能，请考虑重新创建这些卷并以 NTFS 文件系统进行格式化。 对磁盘操作异常可能造成数据丢失。 网络访问控制加固 1 关闭多出远程管理方法 1、 查看系统中已经有远程管理方法，比如：VNC、远程桌面、Netmeeting、DameWare Mini Remote Control等； 2、 关闭远程管理程序或服务，假如确实需要，选择一个安全远程管理方法。 对于关键服务器提议经过专用硬件方法（比如经过终端服务器）实现远程管理。 开启远程管理方法存在暴力密码攻击、中间人攻击等风险。 2 安装远程管理服务程序补丁或使用安全远程管理方法 1、 对于选定远程管理方法，安装其最新版本，并安装最新补丁程序； 2、 选择远程管理方法需支持会话加密，并进行正确安全设置。 无。 无可预见风险。 3 设置访问控制策略限制能够访问本机用户或 IP 地址 1、 对于选定远程管理方法，应能设置访问控制策略，对来访IP地址或用户名进行限制； 2、 比如对于远程桌面，必需使用远程桌面用户组控制用于管理远程桌面终端服务器连接权限。 无。 无可预见风险。 4 严禁匿名用户枚举 SAM 帐户和共享 1、 单击“开始”和“控制面板”，双击“管理工具”，再双击“当地安全策略”，打开“当地安全设置”控制台； 2、 进入控制台树中“安全设置”\“当地策略”\“安全选项”； 3、 在右边窗格中右键“网络访问: 不许可 SAM 帐户和共享匿名枚举”策略，然后单击“属性”； 4、 将该策略设置为“已禁用”； 5、 确定退出。 无。 可能影响和用户端、服务和应用程序兼容性。 5 严禁默认共享（IPC$、C$、D$...） 1、点击“开始”、“运行”，输入”regedit”命令按确定，打开注册表； 2、在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \LanmanServer\Parameters下，修改AutoShareServer（ server，）键或Autosharewks（ professional，XP）键： 类型为REG_DWORD，值为0。 假如不存在则添加此键值。 假如删除这些共享，可能对依靠这些共享管理员和程序或服务造成部分问题。比如， SMS和 Microsoft Operations Manager 全部需要管理共享才能正确安装和运作。另外，很多第三方网络备份应用程序也需要管理共享。 口令策略加固 1 设置口令长度，关键系统用户口令长度 >8 位 ； 一 般 系 统 用 户 口 令 长 度 >6位 1、 单击“开始”和“控制面板”，双击“管理工具”，再双击“当地安全策略”，打开“当地安全设置”控制台； 2、 进入控制台树中“安全设置”\“帐户策略”\“密码策略”； 3、 在右边窗格中，右键单击“密码长度最小值”策略设置，然后单击“属性”； 4、 关键系统用户输入最小密码长度大于8位，一 般系统用户输入最小密码长度大于6位； 5、 单击“确定”退出。 无。 无可预见风险。 2 开启口令复杂性要求 1、 单击“开始”和“控制面板”，双击“管理工具”，再双击“当地安全策略”，打开“当地安全设置”控制台； 2、 进入控制台树中“安全设置”\“帐户策略”\“密码策略”； 3、 在右边窗格中，右键单击“密码必需符合复杂性要求”策略设置，然后单击“属性”； 4、 将此策略设置为“已启用”； 5、 单击“确定”退出。 如启用该策略，则密码必需符合以下最低要求： 不包含全部或部分用户帐户名 长度最少为六个字符 包含来自以下四个类别中三个字符： 英文大写字母（从 A 到 Z） 英文小写字母（从 a 到 z） 10 个基础数字（从 0 到 9） 非字母字符（比如，!、$、#、%） 更改或创建密码时，会强制实施复杂性要求。 设置帐号策略后可能造成不符合帐号策略帐号无法登陆，需修改帐号密码，同时管理人员有忘记口令风险。 3 设置口令最短、最长存留期 1、 单击“开始”和“控制面板”，双击“管理工具”，再双击“当地安全策略”，打开“当地安全设置”控制台； 2、 进入控制台树中“安全设置”\“帐户策略”\“密码策略”； 3、 在右边窗格中，右键单击“密码最短使用期限”策略设置，然后单击“属性”； 4、 将此策略设置为“2”天, 单击“确定”； 5、 在右边窗格中，右键单击“密码最长使用期限”策略设置，然后单击“属性”； 6、 将此策略设置为“60”天； 7、 单击“确定”退出。 密码最长使用期限默认值: 42天、密码最短使用期限默认值: 1天。 一些用于开启服务用户帐号在没有设置密码永不过期情况下，有可能在密码存留期过后出现服务运行不正常情况 用户判别加固 1 配置帐户锁定登录失败锁定次数、锁定时间 1、 单击“开始”和“控制面板”，双击“管理工具”，再双击“当地安全策略”，打开“当地安全设置”控制台； 2、 进入控制台树中“安全设置”\“帐户策略”\“帐户锁定策略”； 3、 在右边窗格中，右键单击“复位帐户锁定计数器”策略设置，然后单击“属性”； 4、 将此策略设置为“30”分钟后，单击“确定”； 5、 在右边窗格中，右键单击“帐户锁定时间”策略设置，然后单击“属性”； 6、 将此策略设置为“30”分钟后，单击“确定”； 7、 在右边窗格中，右键单击“帐户锁定阀值”策略设置，然后单击“属性”； 8、 将此策略设置为“5”次； 9、 单击“确定”退出。 该安全设置确定在登录尝试失败计数器被复位为0（即0次失败登录尝试）之前，尝试登录失败以后所需分钟数。有效范围为1到99,999分钟之间，假如定义了帐户锁定阈值，则该复位时间必需小于或等于帐户锁定时间。 无可预见风险。 2 严禁系统自动登录 1、 点击“开始”、“运行”，输入”regedit”命令按确定，打开注册表； 2、 将HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ 下子键：AutoAdminLogon设置为0； 3、 单击“开始”和“控制面板”，双击“管理工具”，再双击“当地安全策略”，打开“当地安全设置”控制台； 4、 进入控制台树中“安全设置”\“当地策略”\“安全选项”； 5、 在右边窗格中右键“交互式开启,不需要按Ctrl+Alt+Del键”策略，然后单击“属性”； 6、 将该策略设置为“已禁用”； 7、 确定退出。 无。 部分应用系统可能需要采取无人职守自开启方法，故设置严禁自动登录后，可能造成这些系统无法正常启用。 3 配置管理控制台超时自动锁定时间，设置屏保口令保护 1、 单击“开始”和“控制面板”，双击 “显示”图标，出现显示属性设置对话框； 2、 单击“屏幕保护程序”选项卡； 3、 从“屏幕保护程序”下拉菜单中选择屏幕保护程序； 4、 在“等候：”对话框中输入开启屏幕保护程序之前系统必需等候分钟数（提议默认值为 15 分钟以内）； 5、 选中“在恢复时使用密码保护”复选框； 6、 单击“确定”退出。 无。 无可预见风险。 审计策略加固 1 配置系统审核策略，配置审核登录事件、审核帐户登录事件、审核帐户管理、审核策略管理、审核系统事件等 1、 单击“开始”和“控制面板”，双击“管理工具”，再双击“当地安全策略”，打开“当地安全设置”控制台； 2、 进入控制台树中“安全设置”\“当地策略”\“审核策略”； 3、 在右边窗格中右键“审核登录事件”策略，然后单击“属性”； 4、 将该策略设置为审核“成功”、“失败”，单击“确定； 5、 对于审核帐户登录事件、审核帐户管理、审核策略管理、审核系统事件等，按上面3、4步操作； 6、 确定退出。 具体审核策略设置参考以下： 审核策略更改 成功 审核登录事件 成功，失败 审查对象访问 无审核 审核过程追踪 无审核 审核目录服务访问 无审核（有活动目录设为“成功，失败”） 审核特权使用 无审核 审核系统事件 成功 审核帐号登录事件 成功，失败 审核帐户管理 成功，失败 无。 增加审核数据量，若不合理设置审核数据存放空间，可能发生系统拒绝服务风险。 2 对审计产生数据分配合理存放空间 进入“控制面板\管理工具\计算机管理”，展开“事件查看器”设置”应用程序”、”安全性”、”系统”日志大小各为100M，按需要改写日志。 依据对日志保留周期要求，在设置后一个周期内不时检验服务器，以验证您所设置日志大小是否依据需要保留了足够事件，并依据日志使用情况调整日志大小。 按需要改写日志将可能从日志中删除较旧事件。攻击者能够利用这种配置，生成大量无关事件来覆盖她们任何攻击证据。 漏洞加固 1 安装系统安全补丁 1、点击“开始”、“运行”，输入”gpedit.msc”命令按确定，打开组策略； 2、进入控制台树中“当地计算机策略”\“计算机配置”\“管理模板”\“Windows组件”\“Windows Update”； 3、在右边窗格中，右键单击“配置自动更新”策略设置，然后单击“属性”； 4、将此策略设置为“启用”，在配置自动更新中选择：“3 - 自动下载并通知安装”，单击“确定”； 5、在右边窗格中，右键单击“指定Intranet Microsoft更新服务位置”策略设置，然后单击“属性”； 6、将此策略设置为“已启用”，在为检测更新设置Intranet更新服务器中填入更新服务器域名或IP地址，在设置Intranet统计服务器中填入统计服务器域名或IP地址，单击“确定”； 7、当桌面右下角出现“已经为您计算机准备好更新。”图标提醒时，双击安装更新。 更新服务器需要设置成本单位SUS服务器域名或IP地址。 定时（可在每个月补丁公布以后）检验服务器补丁安装情况，并立即安排重启服务器使补丁生效。 经过c:\WINDOWS\WindowsUpdate.log文件查看系统补丁安装情况。 安装补丁可能造成系统或应用开启失败，或其它未知情况发生，所以应做好充足测试。 2 关闭存在漏洞和承载业务无关服务 1、在外部用Nessus软件对服务器扫描； 2、查看存在漏洞和承载业务无关服务，将对应程序卸载或关闭该服务（比如不用Apache服务等）； 3、对于存在漏洞且和业务相关服务，进行统计并考虑升级软件版本等方法，或临时采取可接收替换措施进行处理（比如在网络设备上关闭相关端口等）。 Nessus软件对服务器扫描应尽可能安排在系统空闲状态。 无可预见风险。 恶意代码防范 1 配置病毒库升级策略 1、 在 Symantec AntiVirus "文件"菜单上，单击"调度更新"； 2、 在"调度病毒定义更新"对话框中，选中"启用调度自动更新"； 3、 设置 LiveUpdate 调度选项。在"调度病毒定义更新"对话框中，单击"调度"； 4、 在"病毒定义更新调度"对话框中，指定 LiveUpdate 运行频率和时间； 5、 单击"确定"直到返回 Symantec AntiVirus 主窗口。 以省企业统一布署Symatec杀毒软件为例。在集中接收管理网络中，您管理员可能会将更新病毒和安全风险定义分发到工作站。在这种情况下，无须实施任何操作。 无可预见风险。 2 配置病毒查杀策略 1、 在左窗格中，展开"扫描"，然后单击"全方面扫描"； 2、 在右窗格中，单击"选项"； 3、 在"扫描选项"窗口中，文件类型选择“全部文件”并单击"操作"； 4、 在"操作"对话框树中，选择一个病毒或安全风险类型； 5、 对于病毒，选择第一操作：清除威胁，第二操作：隔离威胁； 6、 对于安全风险，选择第一操作：隔离威胁，第二操作：不操作（仅统计）； 7、 单击"确定"直到返回 Symantec AntiVirus 主窗口。 此过程将"配置全方面扫描"用作示例，但您能够为病毒、安全风险项目配置操作，并像配置其它扫描一样进行分类。注意：假如管理员管理您计算机，且这些选项显示一个锁图标，则表示管理员已经将它们锁定，所以您无法更改这些选项。 无可预见风险。 3 强化 TCP/IP 堆栈预防拒绝服务攻击 1、 预防 SYN 攻击：在注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下： 值名称 值 (REG_DWORD) SynAttackProtect 1 TcpMaxPortsExhausted 1 TcpMaxHalfOpen 500 TcpMaxHalfOpenRetried 400 TcpMaxConnectResponseRetransmissions 2 TcpMaxDataRetransmissions 2 EnablePMTUDiscovery 0 KeepAliveTime 300000 (5 minutes) NoNameReleaseOnDemand 1 2、 预防 ICMP 攻击：在注册表项HKLM\System\CurrentControlSet\Services\AFD\Parameters 下： 值名称 值 (REG_DWORD) EnableICMPRedirect 0 3、 预防 SNMP 攻击：：在注册表项HKLM\System\CurrentControlSet\Services\Tcpip\Parameters下： 值名称 值 (REG_DWORD) EnableDeadGWDetect 0 4、 AFD.SYS 保护：在注册表项HKLM\System\CurrentControlSet\Services\AFD\Parameters下： 值名称 值 (REG_DWORD) EnableDynamicBacklog 1 MinimumDynamicBacklog 20 MaximumDynamicBacklog 0 DynamicBacklogGrowthDelta 10 5、 其它保护：在注册表项HKLM\System\CurrentControlSet\Services\Tcpip\Parameters下： 值名称 值 (REG_DWORD) DisableIPSourceRouting 1 EnableFragmentChecking 1 EnableMulticastForwarding 0 IPEnableRouter 0 EnableAddrMaskReply 0 测试这些值更改时，请依据您在生产中预期使用网络卷来进行测试。这些设置会修改被认为是正常阈值，而且偏离经过测试默认值。 未经测试更改这些值可能影响系统性能及相关程序。 6. 统计及汇报 Windows操作系统安全加固实施确定单见附录A,Windows操作系统安全加固作业统计见附录B, Windows操作系统安全加固后运行情况核查统计单见附录C，Windows操作系统用户权限设置参考见附录D，Windows操作系统系统服务参考见附录E。 附录A （规范性附录） Windows操作系统安全加固实施确定单 加固对象 服务器名称： IP地址： 业务系统： 服务器目前状态： 作业内容及危险点列表 序号 作业内容 危险点 危险等级 1 2 3 4 5 6 实施风险分析： 实施确定 实施方案及预案： 操作系统管理员签字： 工作票签发人签字： 附录B （规范性附录） Windows操作系统加固作业统计 作业编号： 作业日期： 年 月 日 作业名称： 作业地点： 序号 项目 完成情况 1 帐号权限加固 合理配置应用帐号或用户自建帐号权限 删除系统中多出自建帐号 修改帐号口令，确保系统帐号口令长度和复杂度满足安全要求 更改系统管理员帐户 停用 Guest 帐户 2 网络服务加固 在不影响业务系统正常运行情况下，停止或禁用和承载业务无关服务 屏蔽承载业务无关网络端口 3 数据访问控制加固 将系统关键文件或目录访问权限修改为管理员完全控制、数据拥有者完全控 制 或 配 置 特 殊 权 限 ， 避 免 EVERYONE完全控制 将系统分区 FAT32 格式转换为 NTFS 格式 4 网络访问控制加固 关闭多出远程管理方法 安装远程管理服务程序补丁或使用 安全远程管理方法 设置访问控制策略限制能够访问本机 用户或 IP 地址 严禁匿名用户枚举 SAM 帐户和共享 严禁默认共享（IPC$、C$、D$...） 5 口令策略加固 设置口令长度，关键系统用户口令长度 >8 位 ； 一 般 系 统 用 户 口 令 长 度 >6位 开启口令复杂性要求 设置口令最短、最长存留期 6 用户判别加固 配置帐户锁定登录失败锁定次数、锁定时间 严禁系统自动登录 配置管理控制台超时自动锁定时间，设置屏保口令保护 7 审计策略加固 配置系统审核策略，配置审核登录事件、审核帐户登录事件、审核帐户管理、审核策略管理、审核系统事件等 对审计产生数据分配合理存放空间 8 漏洞加固 安装系统安全补丁 关闭存在漏洞和承载业务无关服务 9 恶意代码防范 配置病毒库升级策略 配置病毒查杀策略 强化 TCP/IP 堆栈预防拒绝服务攻击 问题及 提议 工作责任人： 工作人员： 附录C （规范性附录） Windows操作系统安全加固后运行情况核查统计单 作业编号： 作业日期： 年 月 日 系统运行是否正常 是_________ 否_________ 业务访问是否正常 是_________ 否_________ 备注 验证人签字 附录D Windows操作系统用户权限设置参考 用户权限许可用户在计算机上或域中实施任务。用户权限包含“登录权限”和“特权”。登录权限控制为谁授予登录计算机权限和她们登录方法。特权控制计算机和域资源访问，而且能够覆盖特定对象上设置权限。 登录权限一个示例是在当地登录计算机能力。特权一个示例是关闭计算机能力。这两种用户权限全部由管理员作为计算机安全设置一部分分配给单个用户或组。 经过组策略可指派用户权利，单击“开始”-“运行”，输入“gpedit.msc”后确定，您能够在组策略对象编辑器以下位置配置用户权限分配设置：计算机配置\Windows 设置\安全设置\当地策略\用户权限分配。 用户权限分配设置参考以下： 1) 从网络访问此计算机 此策略设置确定用户是否能够从网络连接到计算机。很多网络协议均需要此功效，包含基于服务器消息块 (SMB) 协议、NetBIOS、通用 Internet 文件系统 (CIFS) 和组件对象模型 (COM+)。 “从网络访问此计算机”设置可能值为：用户定义帐户列表、没有定义 Ø 漏洞 用户只要能够从其计算机连接到网络，即可访问目标计算机上她们含有权限资源。比如，用户需要“从网络访问此计算机”用户权限以连接到共享打印机和文件夹。假如将此用户权限分配给 Everyone 组，而且一些共享文件夹配置了共享和 NTFS 文件系统 (NTFS) 权限，方便相同组含有读取访问权限，那么组中任何用户均能够查看那些共享文件夹中文件。不过，此情况和带有 Service Pack 1 (SP1) Microsoft Windows Server™  全新安装不一样，因为 Windows Server  中默认共享和 NTFS 权限不包含 Everyone 组。对于从 Windows NT® 4.0 或 Windows  升级计算机，此漏洞可能含有较高等级风险，因为这些操作系统默认权限不如 Windows Server 中默认权限那样严格。 Ø 对策 将“从网络访问此计算机”用户权限仅授予需要访问服务器那些用户。比如，假如将此策略设置配置为 Administrators 和 Users 组，倘若当地 Users 组中包含 Domain Users 组中组员，登录到域用户将能够从域中服务器访问共享资源。 Ø 潜在影响 假如在域控制器上删除全部用户“从网络访问此计算机”用户权限，则任何人全部不能登录到域或使用网络资源。假如在组员服务器上删除此用户权限，用户将无法经过网络连接到这些服务器。假如已安装可选组件，如 ASP.NET 或 Internet 信息服务 (IIS)，可能需要将此用户权限分配给那些组件所需其它帐户。验证是否为其计算机需要访问网络授权用户分配了此用户权限，这一点很关键。