1.账户号管理与授权
1.1 删除或锁定无用的账号
配置描述删除或锁定无用账号,定期清理无用账号,防止过去用户非法登录检查方法“控制面板”“管理工具”“计算机管理”“系统工具”"本地用户"中审核不必要的用户和组,
审核账户隶属的组权限,审核组用户。操作步骤根据系统的要求和实际业务情况,设定不同的账户和账户组,如管理员、数据库用户、
审计用户、guest用户等等。删除或锁定与设备运行、维护等与工作无关的账户回退操作还原配置操作风险确认账户用途是否可选必选
1.2 按用户角色分配不同权限
配置描述按用户分配不同的权限,保证用户权限最小化检查方法“控制面板”“管理工具”“计算机管理”“系统工具”"本地用户"中审核用户和组,审核账户隶属的组权限,审核组用户。操作步骤根据系统的要求和实际业务情况,设定不同的账户和账户组,如管理员、数据库用户、审计用户、guest用户等等。回退操作还原配置操作风险确认账号用途及所需权限是否可选必选
1.3 口令复杂度检测
配置描述口令策略设置复杂度检测,简单口令不允许被设置检查方法“控制面板”“管理工具”“本地安全策略”,在"账户策略""密码策略"中检查"密码必须符合复杂度要求"设置操作步骤开启"密码必须符合复杂度要求"回退操作还原配置操作风险低是否可选必选
1.4 设置不能重复使用相同的口令
配置描述设置不能重复使用最近5次(含5次)内已使用的口令检查方法“控制面板”“管理工具”“本地安全策略”,在"账户策略""密码策略"中检查"强制密码历史"设置操作步骤设置"强制密码历史"大于等于5回退操作还原配置操作风险低是否可选必选
1.5 不使用系统默认用户名
配置描述administrator、guest等默认账户使用默认用户名,当攻击者发起穷举攻击时,使用默认用户名会降低攻击难度检查方法“控制面板”“管理工具”“计算机管理”“系统工具”"本地用户"中检查administrator、guest是否存在操作步骤重命名administrator、guest用户回退操作还原配置操作风险可能导致某些自动登录服务异常是否可选必选
1.6 口令有效期不长于90天
配置描述定期更改登录口令,有效期不长于90天检查方法“控制面板”“管理工具”“本地安全策略”,在"账户策略""密码策略"中检查"密码最长留存期"设置操作步骤设置"密码最长留存期"小于等于90天回退操作还原配置操作风险低是否可选必选
1.7 设定连续认证失败次数
配置描述设置连续认证失败次数超过6次(不含6次)锁定该账号检查方法“控制面板”“管理工具”“本地安全策略”,在"账户策略""用户锁定策略"中检查"账号锁定阈值"设置操作步骤设置"账号锁定阈值"小于6回退操作还原配置操作风险可能导致恶意尝试锁定用户是否可选必选
1.8 远端系统强制关机权限设置
配置描述将从远端系统强制关机仅指派给Administrator组,避免普通用户拥有额外的系统控制权检查方法“控制面板”“管理工具”“本地安全策略”,在"本地策略""用户权限指派"中检查"从远端系统强制关机"设置操作步骤"从远端系统强制关机"设置中删除Administrator以外的其他选项回退操作还原配置操作风险可能导致某些系统功能异常或应用非正常运行是否可选必选
1.9 关闭系统的权限设置
配置描述将关闭系统仅指派给Administrator组,避免普通用户拥有额外的系统控制权检查方法“控制面板”“管理工具”“本地安全策略”,在"本地策略""用户权限指派"中检查"关闭系统"设置操作步骤从"关闭系统"设置中删除除Administrator以外的其他选项回退操作还原配置操作风险可能导致某些系统功能异常或应用非正常运行是否可选必选
1.10 取得文件或其他对象的所有权设置
配置描述将取得文件或其他对象所有权设置仅指派给Administrator组,避免普通用户拥有额外的系统控制权检查方法“控制面板”“管理工具”“本地安全策略”,在"本地策略""用户权限指派"中检查"取得文件或其它对象所有权"设置操作步骤从"取得文件或其他对象所有权"设置中删除除Administrator以外的其他选项回退操作还原配置操作风险可能导致某些系统功能异常或应用非正常运行是否可选必选
1.11 将从本地登录设置为指定授权用户
配置描述将从本地登录设置为指定授权用户,将登录权限赋予指定用户检查方法“控制面板”“管理工具”“本地安全策略”,在"本地策略""用户权限指派"中检查"从本地登录"设置操作步骤从"从本地登录"设置中只保留授权用户,删除其他选项回退操作还原配置操作风险可能导致某些系统功能异常或应用非正常运行是否可选必选
1.12 将从网络访问设置为指定授权用户
配置描述将从网络访问设置为指定授权用户检查方法“控制面板”“管理工具”“本地安全策略”,在"本地策略""用户权限指派"中检查"从网络访问"设置操作步骤从"从网络访问"设置中只保留授权用户,删除其他选项回退操作还原配置操作风险可能导致某些系统功能异常或应用非正常运行是否可选必选
2. 日志审计
2.1 审核策略设置
配置描述记录系统的所有审核信息,审核策略设置中成功失败都要审核检查方法“控制面板”“管理工具”“本地安全策略”,在"本地策略""审核策略"中检查是否符合操作中提到的标准操作步骤将不符合评估的内容项进行加固,安全标注如下:
审核策略更改:成功和失败
审核登录事件:成功和失败
审核系统事件:成功和失败
审核账号登录事件:成功和失败
审核账号管理:成功和失败
审核对象访问:失败
审核特权使用:失败
审核目录服务访问:失败
审核过程跟踪:失败回退操作还原配置操作风险降低系统性能并占用一定磁盘空间是否可选必选
2.2 日志查看器设置
配置描述将应用、系统、安全日志查看器大小设置为至少8192KB检查方法“控制面板”“管理工具”“事件查看器”,在"事件查看器(本地)"中检查是否符合操作中提到的标准
(在应用程序日志、安全日志和系统日志上点击右键,查看属性中的日志大小上限设置)操作步骤将不符合内容进行加固,应用日志、安全日志、系统日志的容量均为8192KB。设置当达到最大日志大小时,
“按需要覆盖事件”。并定期转存日志。回退操作还原配置操作风险低是否可选必选
3. IP协议安全
3.1 开启TCP/IP筛选
配置描述对于不自带防火墙的系统,需要开启TCP/IP筛选,
只能开放业务所以需要的TCP、UDP和IP协议(如windows2000)检查方法"控制面板”“网络连接”“本地连接”“Internet协议(TCP/IP)属性”"高级TCP/IP设置”,
在"选项"的属性中启用网络连接上的TCP/IP筛选,根据列表查看是否只开放业务所需的TCP、UDP端口和IP协议操作步骤注意异常端口,与管理员追查异常端口相关项。对没有自带防火墙的Windows系统,
启用Windows系统的IP安全机制(IPSec)或网络连接上TCP/IP筛选,只开放业务所需要的TCP、UDP端口额IP协议。回退操作还原配置操作风险正确配置网络访问控制功能,否则可能导致某些应用无法正常访问网络是否可选必选
3.2 启用防火墙
配置描述启用windows主机防火墙,根据业务需要限定允许访问网络的应用程序和允许远程登录该设备的IP地址范围检查方法“控制面板”“网络连接”“本地连接”,在高级选项的设置中,
查看是否启用Windows防火墙 查看是否在"例外"中配置允许业务所需的程序接入网络
查看是否在"例外"“编辑”"更改范围"编辑允许接入的网络地址范围操作步骤将不符合内容进行加固,启用Windows防火墙。
根据业务需要限定允许访问的应用程序和允许远程登录该设备的IP地址范围回退操作还原配置操作风险正确配置网络访问控制功能,否则可能导致某些应用无法正常访问网络是否可选必选
3.3 启用SYN攻击保护
配置描述启用SYN攻击保护,当攻击者发起SYN攻击时,避免CPU和内存资源被过度消耗检查方法"Win+R"键入regedit
- 启用SYN攻击保护的命名值位于注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下 值名称:SynAttackProtect
Windows2003推荐值:1 Windows2000、2008、2012推荐值:2 - 指定必须在触发SYN flood保护之前超过TCP连接请求阈值 值名称:TcpMaxPortsExhausted
Windows2000、2003、2008推荐值:5 - 启用SynAttackProtect后,该值指定SYN_RCVD状态中的TCP来连接阈值,
超过SynAttackProtect时,触发SYN flood保护 值名称:TcpMaxHalfOpen
Windows2000、2003、2008、2012推荐之:500 - 启用SynAttackProtect后,指定至少发送了一次重传的SYN_RCVD状态中的TCP连接阈值。
超过SynAttackProtect时,触发SynAttackProtect时,触发SYN flood保护。 值名称:TcpMaxHalfOpenRetried
Windows2000、2003、2008推荐值:400操作步骤备份注册表原有的配置 将不符合内容进行加固,启用SYN攻击保护;
指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阈值为5;
指定处于SYN_RCVD状态的TCP连接数的阈值为500;
指定处于至少已发送一次重传的SYN_RCVD状态中的TCP连接数的阈值为400回退操作还原配置操作风险正确配置网络访问控制功能,否则可能导致某些应用无法正常访问网络是否可选必选
4. 服务配置
4.1 关闭不必要的服务
配置描述列出所需要服务的列表(包括所需的系统服务),不在此列表的服务需要关闭检查方法“控制面板”“管理工具”“计算机管理”,进入"服务和应用程序",查看所有服务,不在列表中的服务需要关闭操作步骤关闭不需要的服务,如: Remote Registry SNMP Service Print Spooler Telnet Computer Browser Messenger回退操作还原配置操作风险正确配置网络访问控制功能,否则可能导致某些应用无法正常访问网络是否可选必选
4.2 关闭自动播放功能
配置描述关闭自动播放功能,避免执行未经扫描或确认的文件,从而引入木马或病毒检查方法"Win+R”gpedit.msc,打开组策略编辑器,管理模板系统,检查"关闭自动播放"项设置操作步骤设置启用"关闭自动播放"回退操作还原配置操作风险低是否可选必选
4.3 SNMP Community String设置
配置描述如需启用SNMP服务,修改默认SNMP Community String设置检查方法“控制面板”“管理工具”“计算机管理”,进入"服务和应用程序”,检查"SNMP Service",
"属性"面板中的"安全"选项卡的community strings设置操作步骤community strings改为其他,不是默认的"public"回退操作还原配置操作风险可能导致服务异常是否可选必选
4.4 关闭远程注册表
配置描述关闭远程注册表,防止用户远程修改或查看系统注册表检查方法“控制面板”“管理工具”“计算机管理”,进入"服务和应用程序”,检查"Remote Registry”操作步骤设置"Remote Registry"已停用回退操作还原配置操作风险某些应用可能需要此功能是否可选必选
4.5 启用NTP服务
配置描述启用NTP服务,向指定的NTPServer进行时间同步检查方法已加入域控的服务器,系统会自动同步 未加入域控的服务器,设置如下操作步骤点击桌面右下角时钟栏,开启"更改日期和始终设置"-“internet时间”,
开启"自动与internet时间服务器同步"选项,在服务器栏中填写ntp server的IP地址或域名,然后点击"立即更新"回退操作还原配置操作风险是否可选必选
4.6 关闭不必要的启动项
配置描述关闭不必要的启动项,优化系统资源,同时减少一如不必要的系统漏洞检查方法"Win+R"MSconfig启动菜单中检查启动项操作步骤关闭不必要的启动项回退操作还原配置操作风险确认启动项是否必须是否可选必选
4.7 审核HOST文件的可疑条目
配置描述删除HOST文件中的可疑条目检查方法查看是否符合操作中提到的标准,检查C:\windows\system32\drivers\etc目录下用于静态DNS解析的HOSTS文件
内容是否正常操作步骤1. 备份HOSTS文件
2. 将不符合评估内容项进行加固,确保C:\windows\system32\drivers\etc目录下用于静态DNS解析的HOSTS文件
内容正常,对于未知条目需要与管理员确认追查回退操作还原配置操作风险需与管理员确认是否可选必选
4.8 存在未知或无用的应用程序
配置描述定期清理应用程序列表中无用或为止的程序,防止系统被植入木马或病毒检查方法检查"添加或删除程序"面板中的列表操作步骤备份应用程序的配置文件 与管理员确认后卸载不必要的应用程序回退操作重新安装程序,还原配置文件操作风险可能需要重启服务器是否可选必选
4.9 关闭默认共享
配置描述关闭默认共享,未经确认的共享操作(尤其是对everyone的共享),会对信息安全造成严重威胁检查方法net share或"计算机管理"“共享”操作步骤关闭Windows硬盘默认共享,如ADMIN
,
C
,C
,C,D$ "Win+R"Regedit,进入注册表编辑器,
更改注册表键值,在HKLM\System\CurrentControlSet\Services\LanmanServer\Parameter\下,
增加REG_DWORD类型的AutoShareServer键,值为0回退操作还原配置操作风险可能导致某些必须使用共享的程序异常运行是否可选必选
4.10 非everyone授权共享
配置描述共享文件夹中,设置只允许授权账户拥有权限共享此文件夹检查方法检查共享文件夹中的授权用户操作步骤设置共享文件夹中的授权用户为指定用户,而非everyone回退操作还原配置操作风险可能导致某些必须使用共享的程序异常运行是否可选必选
4.11 删除匿名访问共享
配置描述共享文件夹应明确共享对象,不允许匿名访问检查方法”控制面板"“管理工具”“本地安全策略”,在"在本地策略" "安全选项"中检查”网络访问:可匿名访问的共享"设置操作步骤删除"网络访问:可匿名访问的共享"中所有选项回退操作还原配置操作风险可能导致某些系统功能异常或应用非正常运行是否可选必选
4.12 挂起会话前所需的空闲时间设置
配置描述对于远程登录的账号,设置不活动断开时间为1小时,长时间空闲账号将自动登出检查方法”控制面板"“管理工具”“本地安全策略”,在"在本地策略""安全选项"中检查”Microsoft网络服务器:
在挂起会话前所需的空闲时间"设置操作步骤设置”Microsoft网络服务器:在挂起会话前所需的空闲时间"小于等于15分钟回退操作还原配置操作风险可能导致某些应用非正常运行是否可选必选
5. Windows更新
5.1 禁用"关闭Windows"对话框中显示"安装更新并关机”选项
配置描述禁用"关闭Windows"对话框中显示"安装更新并关机",防止误操作关闭windows服务器检查方法"Win+R”gpedit.msc “管理模板”"windows组件”"Windows更新"中查看"关闭Windows"对话框中显示"安装更新并关机"配置操作步骤设置"关闭Windows"对话框中显示"安装更新并关机"为禁用回退操作还原配置操作风险低是否可选必选
5.2 自动更新配置
配置描述配置windows自动更新检查方法"Win+R”gpedit.msc
“管理模板”"windows组件”"Windows更新"中进行查看操作步骤设置"自动更新"为启用
设置"配置自动更新"为自动下载更新,但不自动安装
设置"预定安装日期"为每天自动安装设置"预定安装时间"为3小时(按企业具体需求而定)回退操作还原配置操作风险更新可能导致某些服务运行异常是否可选必选
5.3 重新计划自动更新计划的安装
配置描述启用"重新计划自动更新计划的安装"配置,
本策略是否需要在系统启动时推迟进行自动安装更新。
本策略主要在已经配置了自动更新来进行更新预安装。如果禁用了“配置自动更新”策略,本策略页 无效。检查方法检查"等待系统启动"配置 检查"重新计划自动更新计划的安装"配置操作步骤设置"等待系统启动"为1分钟 设置"重新计划自动更新计划的安装”为启用回退操作还原配置操作风险低是否可选必选
6. MSS策略
6.1 IP源路由保护级别
配置描述设置 IP 源路由的保护级别检查方法操作步骤“Win+R”regedit进入注册表编辑器,更改注册表键值,
在"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Prameters”
添加名称为"DisableIPSourceRouting”,类型为DWORD、值为0-2。
0:转发所有数据包
1:不转发源路由的数据包
2:丢弃所有传入源路由的数据包回退操作删除"DisableIPSourceRouting”操作风险可能导致某些应用运行异常是否可选必选
6.2 为不同类型的网络传输配置IPSec免除
配置描述规定是否可以为不同类型的网络传输配置 IPSec免除,如IKE 和 Kerberos 验证协议.检查方法不过滤ISAKMP 流量操作步骤回退操作操作风险是否可选必选
6.3 自动登录
配置描述是否允许一个可以物理上登录到计算机的用户自动登录。检查方法操作步骤"Win+R”netplwiz,设置使用要使用本计算机,用户必须输入用户名和密码回退操作还原配置操作风险是否可选必选
6.4 是否允许ICMP包重定向来重载OSPF合成路由
配置描述是否允许 ICMP 包重新定向来重载 OSPF(Open Shortest Path First)合成路由检查方法操作步骤禁用回退操作还原配置操作风险是否可选必选
6.5 是否允许 IRDP 检测配置默认网关地址是否允许计算机忽略除WINS服务器的NetBIOS 名称解析请求
配置描述设置是否允许 IRDP(ICMP Router Discovery Protocol )检测和配置默认网关地址。检查方法操作步骤禁用回退操作还原配置操作风险是否可选必选
6.6 允许计算机忽略除WINS服务器的NetBIOS名称解析请求
配置描述默认情况下,运行NetBIOS的计算机会响应名称解释请求。该策略设置是否忽略除WINS服务器外的名称解释请求。检查方法操作步骤启用回退操作还原配置操作风险是否可选必选
6.7 动态连接库(DLL)预加载的脆弱性预防
配置描述该策略允许用户控制 DLL 搜索路径算法。在不指定完全限定路径的情况下加载 DLL 时,
LoadLibrary API 和 LoadLibraryEx API 将使用DLL 搜索路径算法。检查方法操作步骤阻止从WebDAV文件夹加载 DLL回退操作还原配置操作风险是否可选必选
6.8 发送keep-alive包的间隔时间
配置描述设置网络子系统尝试检查TCP会话是否还处于活动状态的频率。检查方法操作步骤300000 毫秒回退操作还原配置操作风险是否可选必选
6.9 启用安全 DLL 搜索模式
配置描述设置Windows定位驱动文件(.dlls)的方式。如果启用该策略,则首先在系统文件中搜索;
如果禁用该策略,则首先在当前目录中搜索。检查方法操作步骤启用回退操作还原配置操作风险是否可选必选
6.10 启用计算机停止生成 8.3 类型文件名
配置描述为了兼容 16 位系统,需要为系统的每个文件生成一个8.3类型的兼容文件名,
攻击者可以通过这些8.3类型文件名访问系统中的任何文件。该策略设置是否停止生成 8.3 类型文件名。检查方法NTFS不允许创建短文件名操作步骤回退操作还原配置操作风险是否可选必选
6.11 安全事件日志文件大小的告警阈值
配置描述该策略规定在安全日志的大小达到最高阀值时,如果没有配置安全日志覆盖时间,则创建一个审核日志。检查方法操作步骤90%回退操作还原配置操作风险是否可选必选
6.12 屏幕保护宽限时间
配置描述设置屏幕保护程序控制屏幕到系统被锁定之间的时间间隔。检查方法操作步骤0回退操作还原配置操作风险是否可选必选
6.13 未确认数据的重传次数
配置描述设置在已经存在的 TCP 流中,转发多少次没有确认的数据。检查方法操作步骤3ci回退操作还原配置操作风险是否可选必选
版权归原作者 知名“矿工” 所有, 如有侵权,请联系我们删除。