Windows主机安全加固&检查列表.doc

《Windows主机安全加固&检查列表.doc》由会员分享，可在线阅读，更多相关《Windows主机安全加固&检查列表.doc（13页珍藏版）》请在咨信网上搜索。

目 录 1 账户管理 3 1.1 用户管理 3 1.2 弱口令修改 3 1.3 密码策略 3 1.4 帐户锁定策略 3 2 本地策略 4 2.1 审核策略： 4 3 服务 5 3.1 关闭不必须的服务 5 4 网络协议 7 4.1 删除TCP/IP外的其他网络协议： 7 4.2 解除NetBios与TCP/IP协议的绑定： 7 4.3 使用TCP/IP筛选限制端口： 7 5 注册表设置 8 5.1 关闭默认共享 8 5.2 减少DDOS攻击的影响 8 5.3 处理HTTP/FTP半连接请求 8 5.4 禁用CD-ROM的自动运行 8 5.5 删除OS2、POSIX子系统 9 5.6 防止ICMP重定向报文的攻击 9 5.7 禁止响应ICMP路由通告报文 9 5.8 保护内核对象标志 9 5.9 禁止建立空连接 9 5.10 禁用路由功能 9 5.11 检查RUN 10 6 文件系统与权限 11 6.1 使用NTFS文件系统 11 6.2 保护重要的EXE程序 11 6.3 删除无用的系统文件和目录 11 6.4 保护重要系统文件和目录 12 6.5 加密重要、敏感文件 12 6.6 系统、文件的备份： 12 7 常规安全 13 7.1 更新Windows安全补丁： 13 7.2 使用防病毒软件： 13 7.3 使用木马扫描软件： 13 7.4 使用个人防火墙： 13 7.5 其他常规安全设置： 14 1 账户管理 1.1 用户管理 序号 用户管理 检查确认 1 停用guest帐号： 以防止未授权的用户访问。默认停用，检查确认。 2 限制不必要用户的数量： 除日常使用、管理用帐号外，停用其他不必要的帐号、删除废弃帐号 3 重命名administrator帐号： 重命名administrator帐号，创建一个低权限的名为“administrator”的本地帐号，设置复杂密码，作为陷阱帐号。 方法：控制面板－》管理工具－》计算机管理－》本地用户和组 1.2 弱口令修改 使用口令猜测工具扫描计算机的弱口令帐户，并根据扫描结果，提交用户修改 1.3 密码策略 序号 策略 设置 检查确认 1 密码必须符合复杂性要求 启用 2 密码长度最小值 6位 3 密码最长存留期 30天 4 密码最短存留期 5 密码强制历史 5次 方法：控制面板－》管理工具－》本地安全策略－》帐户策略 1.4 帐户锁定策略 序号 策略 设置 检查确认 1 复位帐户锁定计数器 20分钟 2 帐户锁定时间 20分钟 3 帐户锁定阀值 3次 方法：控制面板－》管理工具－》本地安全策略－》帐户策略 第 13 页 共 13 页 2 本地策略 2.1 审核策略： 序号 策略 设置 检查确认 1 审核策略更改 成功 失败 2 审核登录事件 成功 失败 3 审核对象访问 失败 4 审核过程追踪 5 审核目录服务访问 失败 6 审核特权使用 失败 7 审核系统事件 成功 失败 8 审核帐户登录事件 成功 失败 9 审核帐户管理 成功 失败 方法：控制面板－》管理工具－》本地安全策略－》本地策略 3 服务 3.1 关闭不必须的服务 序号 服务 设置 说明 1 Alerter 手动 提供管理性的警告功能，通过NetSend命令 2 Application Management 手动 提供软件安装服务，诸如分派，发行以及删除 3 ClipBook 己禁用 通过网络共享剪贴板中的内容 4 Computer Browser 手动 维护网上邻居的计算机列表（局域网内仅需启用一台） 5 DHCP Client 已禁用 手动配置网络设置时，禁用此服务 6 Distributed link tracking client 手动 局域网文件、资源连接信息更新（较耗内存） 7 Distributed Transaction Coordinator 手动 SQL Server使用 8 Error reporting service 己禁用 发送错误报告给微软 9 Fax 己禁用 提供传真功能 10 Indexing Service 己禁用 很耗资源的目录索引服务，应禁用 11 Internet Connection Sharing 手动 用于Internet连接共享 12 IPSEC Policy Agent 手动 用于IP安全协议（IPSEC），VPN、无线等用 13 Logical Disk Manager 手动 用于支持磁盘管理控制，设置成手动，需要时启动 14 Logical Disk Manager Administrative Service 手动 15 Messenger 手动 和Alerter服务一同使用，与MSN没有关系 16 Net Logon 手动 只用于在基于域的网络中登录 17 NetMeeting Remote Desktop Sharing 已禁用 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。 18 Network Connections 手动 管理“网络和拨号连接”文件夹中对象 19 Network DDE 已禁用 动态数据交换。ClipBook服务时少数几个使用网络DDE的程序之一。禁用以防被远程启动 20 Network DDE DSDM 已禁用 21 NT LM Security Support Provider 手动 提供RPC连接的验证，极少用，Exchange Server使用 22 Performance Logs and Alerts 手动 配置性能日志和警报 23 Portable Media Serial Number Service 手动 获取连接到计算机上的便携音乐播放器序列号，向播放器传送受保护的内容时需要这个序列号 24 QoS RSVP 手动 为应用程序提供QOS，常见的为NetMeeting 25 Remote Access Auto Connection Manager 已禁用 常用于自动拨号到ISP，非拨号用户可禁用 26 Remote Access Connection Manager 手动 创建网络连接并管理网络连接文件夹 27 Remote Desktop Help Session Manager 已禁用 远程协助功能，WinXP用，危险且耗资源，应禁用 28 Remote Procedure Call (RPC) Locator 手动 帮助网络上其他计算机发现这台计算机上的基于RPC的程序，不常见。 29 Remote Registry Service 已禁用 远程修改注册表，危险的操作，应禁用 30 Removable Storage 手动 管理脱机存储媒体，一般用于磁带备份等 31 Routing and Remote Access 已禁用 在局域网以及广域网环境中为企业提供路由服务 32 Smart Card 手动 用于支持智能卡身份验证硬件 33 Smart Card Helper 手动 34 TCP/IP NetBIOS Helper Service 手动 提供NetBIOS名字管理 35 Telephony 手动 支持调制解调器的连接 36 Telnet 已禁用 提供通过远程命令行对系统的访问 37 terminal services 已禁用 实现远程登录本地电脑，快速用户切换和远程桌面 38 Uninterruptible Power Supply 手动 管理连接到计算机的不间断电源(UPS) 39 Windows Installer 手动 管理Windows安全程序（.msi） 40 Windows Management Instrumentation Driver Extensions 手动 与驱动程序间交换系统管理信息 41 Windows Time 手动 时间同步服务 说明： Ÿ 以上服务列表基于Win2000系统，也包括WinXP中少量危险的服务 Ÿ 以上未提及的服务为重要的系统服务，保持默认的自动设置，应用程序的服务请按情况设置 Ÿ 以上列表中多数服务默认情况下已经为手动启动，检查确认 Ÿ 配置方法： 在“运行”中输入“services.msc”或者：控制面板－》计算机管理－》服务，中进行相应的修改 4 网络协议 4.1 删除TCP/IP外的其他网络协议： 删除TCP/IP外的NETBEUI，IPX/SPX等其他协议，删除文件和打印共享 方法：本地连接－》属性 4.2 解除NetBios与TCP/IP协议的绑定： 减少NetBios漏洞的攻击企图和系统信息泄漏 方法： 本地连接－》属性－》TCP/IP－》属性－》高级－》WINS－》禁用TCP/IP上的NetBios 4.3 使用TCP/IP筛选限制端口： UDP协议和ICMP协议一样是基于无连结的，一样容易伪造，所以如果不是必要（例如要从UDP提供DNS服务之类）应该选择全部不允许，避免受到洪水（Flood）或碎片（Fragment）攻击 最右边的一个编辑框是定义IP协议过滤的，我们选择只允许TCP协议通过，添加一个6（6是TCP在IP协议中的代码，IPPROTO_TCP=6） 方法： 本地连接－》属性－》TCP/IP－》属性－》高级－》选项－》TCP/IP筛选 5 注册表设置 5.1 关闭默认共享 注册表项： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 序号 键值 类型 值 说明 1 添加键值AutoShareServer DWORD 0 关闭C$等共享 2 添加键值AutoShareWKS DWORD 0 关闭ADMIN$共享 关闭IPC$共享 5.2 减少DDOS攻击的影响 注册表项： HKLM\System\CurrentControlSet\Services\Tcpip\Parameters 序号 键值 类型 值 说明 1 SynAttackProtect DWORD 2 2 EnableICMPRedirec DWORD 0 3 SynAttackProtect DWORD 2 4 EnableDeadGWDetect DWORD 0 5 EnablePMTUDiscovery DWORD 0 6 KeepAliveTime DWORD 300,000 7 DisableIPSourceRoutin DWORD 2 8 TcpMaxConnectResponseRetransmissions DWORD 2 9 TcpMaxDataRetransmissions DWORD 3 10 PerformRouterDiscovery DWORD 0 11 TCPMaxPortsExhausted DWORD 5 5.3 处理HTTP/FTP半连接请求 注册表项： HKLM\System\CurrentControlSet\Services\AFD\Parameters 序号 键值 类型 值 说明 1 DynamicBacklogGrowthDelta DWORD 10 2 EnableDynamicBacklog DWORD 1 3 MinimumDynamicBacklog DWORD 20 4 MaximumDynamicBacklog DWORD 20000 5.4 禁用CD-ROM的自动运行 防止恶意程序的自动加载运行，防止病毒等的扩散。 注册表项： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer 序号 键值 类型 值 说明 1 NoDriveTypeAutoRun DWORD 0xFF 5.5 删除OS2、POSIX子系统 注册表项： HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems 序号 动作 1 删除以下键值：Optional；OS2；POSIX 5.6 防止ICMP重定向报文的攻击 注册表项： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 序号 键值 类型 值 说明 1 EnableICMPRedirects DWORD 0 5.7 禁止响应ICMP路由通告报文 注册表项： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface 序号 键值 类型 值 说明 2 PerformRouterDiscovery DWORD 0 5.8 保护内核对象标志 注册表项： HKLM\SYSTEM\CurrentControlSet\Control\Session Manager 序号 键值 类型 值 说明 1 EnhancedSecurityLevel DWORD 1 5.9 禁止建立空连接 注册表项： Local_Machine\System\CurrentControlSet\Control\LSA 序号 键值 类型 值 说明 1 RestrictAnonymous DWORD 1 5.10 禁用路由功能 注册表项： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\ 序号 键值 类型 值 说明 1 IPEnableRouter DWORD 0 5.11 检查RUN 注册表项： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrenVersion\Run 序号 动作 1 检查RUN，是否存在可疑的启动项目 6 文件系统与权限 6.1 使用NTFS文件系统 NTFS相对FAT32拥有更优秀的安全、效率和功能。在可能的情况下，所有分区都应该使用NTFS格式 6.2 保护重要的EXE程序 序号 文件 位置 设置 1 cmd.exe c:\winnt\system32\ 只能由管理员访问，其他用户不能访问 2 finger.exe c:\winnt\system32\ 只能由管理员访问，其他用户不能访问 3 nbtstat.exe c:\winnt\system32\ 只能由管理员访问，其他用户不能访问 4 netstat.exe c:\winnt\system32\ 只能由管理员访问，其他用户不能访问 5 rsh.exe c:\winnt\system32\ 只能由管理员访问，其他用户不能访问 6 rcp.exe c:\winnt\system32\ 只能由管理员访问，其他用户不能访问 7 route.exe c:\winnt\system32\ 只能由管理员访问，其他用户不能访问 8 telnet.exe c:\winnt\system32\ 只能由管理员访问，其他用户不能访问 9 tftp.exe c:\winnt\system32\ 只能由管理员访问，其他用户不能访问 10 tracert.exe c:\winnt\system32\ 只能由管理员访问，其他用户不能访问 11 c:\winnt\system32\ 只能由管理员访问，其他用户不能访问 12 net.exe c:\winnt\system32\ 只能由管理员访问，其他用户不能访问 13 ipconfig.exe c:\winnt\system32\ 只能由管理员访问，其他用户不能访问 14 ping.exe c:\winnt\system32\ 只能由管理员访问，其他用户不能访问 15 regedt32.exe c:\winnt\system32\ 只能由管理员访问，其他用户不能访问 备注：另一种方法为创建一个只能由管理员访问的目录，把上述的文件都移到该目录中 6.3 删除无用的系统文件和目录 序号 类别 文件/目录 说明 1 DOS文件 dos（目录） 查找并删除，防止攻击者进入DOS 2 OS/2子系统文件 OS2（目录） Os2.exe Os2srv.exe Os2ss.exe Netapi.os2 查找并删除 3 POSIX子系统 Posix.exe Psxdll.dll Psxss.exe 查找并删除 6.4 保护重要系统文件和目录 在更高的安全需求的情况下，将需要对其他重要的系统文件和目录进行更为细致的访问权限控制，防止普通用户越权行为的发生。 详尽的重要系统文件和目录的信息，在需要实施的情况下，将在附件中提供 6.5 加密重要、敏感文件 对计算机上的重要文件、敏感数据进行加密存储，使用Windows的加密文件系统（EFS）或者第三方的加密软件进行保护。 6.6 系统、文件的备份： 对操作系统、重要文件，视具体需求，通过服务器集中备份、磁带、移动介质备份等方式进行异地备份 7 常规安全 7.1 更新Windows安全补丁： 及时升级Windows的安全补丁，是保证操作系统系统安全的重要基础。建立健全的补丁管理体系，高效管理补丁的获取、测试、升级和检查。保证各个Windows系统的健壮性。 在可能的情况下，在局域网内部署Microsoft SUS服务器，进行整个办公网主机的补丁升级管理，通过配置将客户端的升级路径指向SUS服务器，加快Windows补丁升级流程。 同时在SUS服务器上部署MBSA。在使用 SUS 进行修补程序管理，必须使用 MBSA 进行审核和扫描。MBSA 将报告操作系统上缺少的安全更新和 Service Pack，并识别其漏洞。 进行全面的补丁升级检查，获取各个主机的补丁升级情况。 在安全加固中，对检查出的未完成所有Windows安全补丁升级的计算机进行补丁升级工作，并在实施完成后进行扫描确认。 7.2 使用防病毒软件： 安装防病毒软件，建立优良的病毒检测、响应、和病毒库升级机制。减少各种病毒、蠕虫和木马所带来的危害。 进行完整的病毒扫描，以确认进行安全加固前，主机上不存在病毒。 检查计算机中防病毒软件的安装、升级、使用情况。主机的评估病毒防护策略的完善性。 7.3 使用木马扫描软件： 通过安装木马扫描软件，辅助防病毒软件，检查扫描进程加载、端口开放情况等，检测当前系统中存在的木马。 进行完整的木马扫描，以确保在进行安全加固前主机上不存在可疑的木马程序。 7.4 使用个人防火墙： 个人防火墙系统，能检查过滤进出的网络流量，阻挡攻击者的扫描探测和未授权的访问企图。 检查主机上个人防火墙的安装、使用情况，未安装的进行安装，并对访问策略进行安全增强。 7.5 其他常规安全设置： 把共享文件的权限从”everyone”组改成“授权用户” 在BIOS中设定启动密码 把应用程序安装在非系统分区上 设置屏幕保护密码