Windows安全加強手冊

1      身份鑒别

1.1         密碼安全政策

要求：作業系統和資料庫系統管理使用者身份鑒别資訊應具有不易被冒用的特點，密碼應有複雜度要求并定期更換。

目的：設定有效的密碼政策，防止攻擊者破解出密碼。

操作步驟：

【位置】開始—管理工具—本地安全政策—帳戶政策—密碼政策，加強設定為下圖所示：

1.2         帳号鎖定政策

要求：應啟用登入失敗處理功能，可采取結束會話、限制非法登入次數和自動退出等措施。

目的：遭遇密碼破解時，暫時鎖定帳号，降低密碼被猜解的可能性。

【位置】開始—管理工具—本地安全政策—帳戶政策—帳号鎖定政策，加強後如下圖所示：

1.3         安全的遠端管理方式

要求：當對伺服器進行遠端管理時，應采取必要措施，防止鑒别資訊在網絡傳輸過程中被竊聽。

目的：防止遠端管理過程中，密碼等敏感資訊被竊聽

【位置】開始—管理工具—遠端桌面服務—遠端桌面會話主機配置，右鍵“RDP-Tcp”,選擇“屬性”—“正常”，加強後如下圖所示：

2      通路控制

2.1         關閉預設共享

要求：應啟用通路控制功能，依據安全政策控制使用者對資源的通路。

目的：如果沒有關閉系統預設共享，攻擊者通過 IPC$方式暴力破解帳戶的密碼，而後利用系統預設共享如：C$、D$等，對系統的硬碟進行通路

【位置】開始—管理工具—共享和存儲管理，記錄目前配置，預設如下圖所示：

右鍵依次點選C$、D$、ADMIN$，停止共享，加強後如下圖所示：

net share C$ /del

net share D$ /del

net share ADMIN$ /del

【位置】運作—regedit進入系統資料庫，在HKEY_LOCAL_MACHINE—SYSTEM—CurrentControlSet—Services—LanmanServer—Parameters下，新增AutoShareServer、AutoShareWks兩個鍵，類型為DWORD（32位），值為0，如下圖所示：

2.2         使用者權限配置設定

要求：應根據管理使用者的角色配置設定權限，實作管理使用者的權限分離，僅授予管理使用者所需的最小權限。

目的：如果系統沒有對帳号進行嚴格的權限配置設定，則黑客可以利用低權限的帳号登陸終端，甚至關閉系統。

【位置】開始—管理工具—本地安全政策—本地政策—使用者權限配置設定，“關閉系統”，記錄目前配置，預設如下圖所示：

隻保留Administrators組、其它全部删除

“允許通過遠端桌面服務登入”，記錄目前配置，預設如下圖所示：

2.3         禁止未登入前關機

目的:禁止系統在未登入前關機，防止非法使用者随意關閉系統。

操作步驟:

【位置】開始—管理工具—本地安全政策—本地政策—安全選項—“關機：允許系統在未登入的情況下關閉”，預設如下圖所示：

2.4        重命名預設帳号

要求：應嚴格限制預設帳戶的通路權限，重命名系統預設帳戶，修改這些帳戶的預設密碼。

目的：修改預設帳号，防止攻擊者破解密碼。

【位置】開始—管理工具—計算機管理—系統工具—本地使用者群組—使用者，可修改成下圖所示：

2.5         多餘帳号

要求:應及時删除多餘的、過期的帳戶，避免共享帳戶的存在。

目的:删除或禁用臨時、過期及可疑的帳号，防止被非法利用。

【位置】開始—管理工具—計算機管理—系統工具—本地使用者群組—使用者，詢問管理者每個帳号的用途，确認多餘的帳号，然後右鍵點選“删除”或“禁用”。可使用net user 使用者名  指令檢視該使用者的詳細資訊，如下所示：

3      安全審計

要求:

審計範圍應覆寫到伺服器和重要用戶端上的每個作業系統使用者和資料庫使用者；

審計内容應包括重要使用者行為、系統資源的異常使用和重要系統指令的使用等系統内重要的安全相關事件；

審計記錄應包括事件的日期、時間、類型、主體辨別、客體辨別和結果等；應能夠根據記錄資料進行分析，并生成審計報表；

應保護審計程序，避免受到未預期的中斷；

應保護審計記錄，避免受到未預期的删除、修改或覆寫等。

3.1         稽核政策設定

目的:開啟稽核政策，若日後系統出現故障、安全事故則可以檢視系統日志檔案，排除故障、追查入侵者的資訊等。

【位置】運作—管理工具—本地安全政策—本地政策—稽核政策，政策建議設定為：

3.2         安全日志屬性設定

目的:防止重要日志資訊被覆寫

【位置】開始—管理工具—事件檢視器—Windows日志，“應用程式”、“系統”、“安全” 依次如下操作：

4      剩餘資訊保護

4.1         不記住使用者名和密碼

目的:應保證作業系統和資料庫管理系統使用者的鑒别資訊所在的存儲空間，被釋放或再配置設定給其他使用者前得到完全清除，無論這些資訊是存放在硬碟上還是在記憶體中。

【位置】開始—管理工具—本地安全政策—本地政策—安全選項

“互動式登入：不顯示最後的使用者名”，預設如下圖所示：

選擇“已啟用”

4.2         清理記憶體資訊

要求:應確定系統内的檔案、目錄和資料庫記錄等資源所在的存儲空間，被釋放或重新配置設定給其他使用者前得到完全清除。

目的：及時清理存放在系統中的使用者鑒别資訊，防止資訊外洩，被黑客利用

【位置】開始—管理工具—本地安全政策—本地政策—安全選項—關機：清除虛拟記憶體頁面檔案，設定如下所示：

4.3         關閉調試資訊

目的：系統啟動失敗時，為了分析啟動失敗的原因，記憶體資訊會自動轉儲到硬碟中。其中資料對普通使用者無用,及時清理存這些資訊或禁止出錯轉儲，防止外洩被黑客利用。

【位置】開始—計算機—右鍵“屬性”—進階系統設定—進階—啟動和故障恢複—設定，設定如下所示：

5      入侵防範

5.1         解除安裝備援元件

要求:作業系統遵循最小安裝的原則，僅安裝需要的元件和應用程式，并通過設定更新伺服器等方式保持系統更新檔及時得到更新。

目的：解除安裝WScript.Shell, Shell.application這兩個元件，防止黑客通過腳本來提權。

【位置】運作—cmd，執行如下資訊：

5.2       關閉不必要服務

目的:關閉與系統業務無關或不必要的服務，減小系統被黑客被攻擊、滲透的風險。

【位置】開始—管理工具—服務，可禁用如下服務：

IP Helper             （Ipv6技術   啟動類型：禁用   服務狀态：停止）

Remote Registry  （Ipv6技術   啟動類型：禁用   服務狀态：停止）

Themes                （主題管理   啟動類型：禁用   服務狀态：停止）

6      惡意代碼防範

6.1         防毒軟體

要求:應安裝防惡意代碼軟體，并及時更新防惡意代碼軟體版本和惡意代碼庫。

目的:安裝防毒軟體，對惡意代碼等進行防範及清除。

推薦防毒軟體：

卡巴斯基：http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe

大蜘蛛：http://free.drweb.ru/download+cureit+free

火絨安全軟體：https://www.huorong.cn

360殺毒：http://sd.360.cn/download_center.html

7      系統資源控制

7.1         螢幕保護

要求:應根據安全政策設定登入終端的操作逾時鎖定。

目的：設定屏保密碼，提高伺服器的安全性

【位置】開始—控制台—顯示—更改螢幕保護程式，如下所示：

7.2         設定會話逾時鎖定政策

要求:設定會話逾時鎖定功能，提高伺服器的安全性。

【位置】運作—gpedit.msc—計算機配置—管理模版—Windows元件—遠端桌面服務—遠端桌面會話主機—會話時間限制—設定活動但空閑的遠端桌面服務會話的時間限制，設定如下資訊：