windows 基线加固

需要加固的7个点

  • 身份鉴别
  • 访问控制
  • 安全审计
  • 资源控制
  • 剩余信息保护
  • 入侵防范
  • 恶意代码防范

1、身份鉴别

配置方法:进入控制面板->管理工具->本地安全策略-> 本地策略-

·更改默认adminstrator账户名
·禁用gest(来宾账号)
----------------------------
密码方面:
·密码复杂性要求
·最小密码长度不能小于8位
·账户口令的生存期:静态口令认证,账户口令的生存期不长于90天
·口令重复次数:静态口令认证,不能重复使用最近5次内已使用的口令
·口令认证失败次数:静态口令认证失败次数不超过6次。
·账号锁定时间账号锁定时间:设置账号锁定时间不小于1分钟
·账号锁定计数器:确定登录尝试失败之后和登录尝试失败计数器被复位为 0 次失败登录尝试之前经过的分钟数,时间应小于或等于帐户锁定时间
·口令到期提示口令到期提示:密码到期前2个周提示更换密码
·域成员禁用更改机器账户密码:域成员禁用更改机器账户密码
·限制匿名用户连接:检查是否限制匿名用户连接权限,防止用户远程枚举本地帐号和共享

2、访问控制

--进入控制面板->管理工具->服务器管理->配置->本地用户和组
·检查是否存在共享账号 
----------------------------
--进入控制面板->管理工具->本地安全策->本地策略->用户权限分配
·远程关机授权:在本地安全设置中从远端系统强制关机只指派给Administrators组
·本地关机:在本地安全设置中关闭系统仅指派给Administrators组。
·文件权限指派:在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。
·授权帐户登陆:在本地安全设置中配置指定授权用户允许本地登陆此计算机。
·授权帐户从网络访问:在组策略中只允许授权帐号从网络访问(包括网络共享等,但不包括终端服务)此计算机。
·关闭默认共享:非域环境中,关闭Windows硬盘默认共享,例如C$,D$。
检测操作步骤:进入“开始->运行->Regedit”,进入注册表编辑器,查看在HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters\下,增加REG_DWORD类型的AutoShareServer键,值为 0
·共享文件夹授权访问:查看每个共享文件夹的共享权限,只允许授权的帐户拥有权限共享此文件夹。
检测操作步骤:进入“控制面板->管理工具->计算机管理”,进入“系统工具->共享文件夹”:查看每个共享文件夹的共享权限,只将权限授权于指定帐户。不设置成为“everyone”。

3、安全审计

·windows time服务设为已启动
配置方法:控制面板->管理工具->服务->开启时间服务
·用户登录日志记录:设备应配置日志功能,对用户登录进行记录,记录内容包括 “用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地”
配置方法:配置方法:“控制面板->管理工具->本地安全策略->审核策略”审核登录事件,双击,查看是否设置为成功和失败都审核
·系统日志完备性检查
配置操作:控制面板->管理工具->本地安全策略->本地策略->审核策略->每项都设置->“成功”和“失败”都要审核需要配置的策略:

4、资源控制

·启用 登录时间用完时自动注销账户
配置方法:进入控制面板->管理工具->本地安全策略->安全选项->网络安全-检查是否启用登录时间用完时自动注销用户
·远程登录超时配置:检查对于远程登陆的帐号,设置不活动断连时间15分钟
配置方法:进入“控制面板->管理工具->本地安全策略->安全选项”:“Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟

5、剩余信息保护

·启用 不显示上次的用户名
说明:交互式登录不显示上次用户名
配置方法:进入控制面板->管理工具->本地安全策略->安全选项->启用不显示上次的用户名

·关机前清除虚拟内存页面
检测操作步骤:进入“控制面板->管理工具->本地安全策略->安全选项

·不启用可还原的加密来存储密码
安全基线项说明:不启用可还原的加密来存储密码,防止能够获取明文密码。
检测操作步骤:进入“控制面板->管理工具->本地安全策略->账户策略”:不启用“用可还原的加密来存储密码”

6、入侵防范

·数据执行保护
安全基线项说明:对于Windows XP SP2及Windows 2003 Server对Windows操作系统程序和服务启用系统自带DEP功能(数据执行保护),防止在受保护内存位置运行有害代码
检测操作步骤:进入“控制面板->系统”,在“高级”选项卡的 “性能”下的“设置”。进入 “数据执行保护”选项卡。查看“仅为基本 Windows 操作系统程序和服务启用DEP”。

windows 基线加固_第1张图片

7、恶意代码防范

安装防毒软件并及时更新系统

你可能感兴趣的:(基线加固)