Windows Server的基线安全(等保要求)检查项类别名称方式检查项预期是否达标加固建议文档IP协议防火墙TCP/IP筛选配置手动业务所需的TCP,UDP端口和IP协议是否开放0开放业务所需的TCP,UDP端口和IP协议是否启用Windows系统自带的防火墙自动启用windows自带的防火墙0更改允许接入网络的地址范围是否启用SYN攻击保护自动在注册表中存在SynAttackProtect,TcpMaxPortsExhausted,TcpMaxHalfOpen,
TcpMaxHalfOpenRetried,四个注册表项,且四个注册表项均为推荐值0四种注册表项值均设置为推荐值其他是否开启屏幕保护自动启用屏幕保护程序,启用“在恢复时使用密码保护”0启用屏幕保护程序,启用“在恢复时使用密码保护”,并设置等待时间“具体时间依照客户需求”口令查看注册表信息自动查看以下五种注册表项的值;自动登录;源路由欺骗保护;删除匿名用户空链接;
碎片攻击保护;syn flood攻击保护。五种注册表项值均为推荐值。0将五种注册表项值设置为推荐值是否关闭Windows自动播放功能自动注册表项值NoDriverTypeAutoRun REG_DWORD 0xff0组策略所有设置中启用“关闭自动播放”匿名远程连接自动可匿名访问的共享 为空
可匿名访问的命名管道 为空0在组策略中,将“可匿名访问的共享”和“可匿名访问的命名管道”的值设置为空【部署文档】Windows Server安全基线加固-组策略禁用匿名远程连接,禁用远程访问的注册表和子路径是否禁用远程访问的注册表和子路径自动可远程访问的注册表路径和子路径 为空
可远程访问的注册表路径 为空0在组策略中,修改“可远程访问的注册表路径和子路径”和“可远程访问的注册表路径”的配置为空查看密码要求自动MinimumPasswordLength >= 8
PasswordComplexity = 10在组策略中,启用“密码必须符合复杂性要求”并将密码长度最小值“设置为至少8个字符【部署文档】Windows Server安全基线加固-通过组策略设置密码安全策略查看密码最长保留期自动0在组策略中,将”密码最长使用期限“设置为”不长于90天“查看强制密码历史自动PasswordHistorySize >= 50在组策略中,将”强制密码历史“设置记住5个密码查看账户锁定阈值自动LockoutBadCount <= 6且LockoutBadCount > 00在组策略中,将”账户锁定阈值“设置为10次启动项是否关闭无效启动项手动手动,显示Windows启动程序信息(msconfig)0取消不必要的启动项授权在本地安全设置中只允许授权账号本地、远程访问登陆此计算机自动SeNetworkLogonRight = *S-1-5-32-5440在组策略中,进入"用户权利(权限)指派",将“从网络访问此计算机”只设置为“administrators组”【部署文档】Windows Server安全基线加固-通过组策略为用户权限指派进行授权关键权限指派安全 要求允许本地登录自动0在组策略中,进入"用户权利(权限)指派",将“允许本地登录”设置为只有“Administrators”远端系统强制关机是否只指派给Administrator组自动0在组策略中,进入"用户权利(权限)指派",将“从远端系统强制关机”设置为“只指派给Administrators组”取得文件或其他对象的所有权是否仅指派给Administrators自动0在组策略中,进入"用户权利(权限)指派",将“取得文件或其他对象的所有权”设置为“只指派给Administrators组”文件系统是否关闭系统默认的共享文件夹自动使用net share命令时,没有描述为“默认共享”的文件夹01. 进入“控制面板”->"管理工具"->"计算机管理"->"系统工具"->"共享文件夹“->"共享"
2. 将”默认共享“的共享名删除掉
3. 修改注册表值,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下
增加REG_DWORD类型的AutoShareServer键,值为0;REG_DWORD类型的AutoShareWKS键,值为0.查看共享文件夹的访问权限自动不存在Everyone0输入“compmgmt.msc”,进入“系统工具” ->"共享文件夹"->“共享”,查看每个共享文件夹的共享权限,直降权限授予指定账户查看文件系统格式自动0将FAT卷转换为NTFS分区:convert volume:/fs:ntfs 使用方法:convert C:/fs:ntfs日志审核账户登录事件自动0将“审核账户登录事件”设置为“成功”和“失败”都需要审核【部署文档】Windows Server安全基线加固-通过组策略设置审核策略启用审核账户管理自动0将“审核账户管理”设置为“成功和失败”都需要审核启用审核过程追踪自动0将“审核过程追踪”设置为“成功和失败”都需要审核启用审核目录服务访问自动0将“审核目录服务器访问”设置为“成功”和“失败”都要审核启用审核策略更改自动0将“审核策略更改‘设置为”成功“和”失败“都需要审核启用审核对象访问自动0将”审核对象访问“设置为”成功“和”失败“都需要审核
版权归原作者 AdatumCC 所有, 如有侵权,请联系我们删除。