Windows操作系統(tǒng)安全加固規(guī)范 包括日志配置、通信協(xié)議（IP協(xié)議安全）

本文針對Windows操作系統(tǒng)的賬號管理、賬戶授權(quán)、日志配置、通信協(xié)議（IP協(xié)議安全）以及設(shè)置其他安全進行合規(guī)性檢查和配置。

一、賬戶管理：

1、分配賬號：

進入“控制面板->管理工具->計算機管理”，在“系統(tǒng)工具->本地用戶和組”，結(jié)合要求和實際業(yè)務(wù)情況判斷符合要求，根據(jù)系統(tǒng)的要求，設(shè)定不同的賬戶和賬戶組。

2、清除無效賬戶：

進入“控制面板->管理工具->計算機管理”，在“系統(tǒng)工具->本地用戶和組”，刪除或鎖定與設(shè)備運行、維護等與工作無關(guān)的賬號。

3、更改缺省賬戶名稱；禁用guest（來賓）賬號：

進入“控制面板->管理工具->計算機管理”，在“系統(tǒng)工具->本地用戶和組”。Administrator－>屬性－> 更改名稱，Guest賬號->屬性－> 已停用。

4、配置密碼策略：

進入“控制面板->管理工具->本地安全策略”，在“賬戶策略->密碼策略”?！懊艽a必須符合復雜性要求”選擇“已啟動”設(shè)置符合要求的策略。

5、配置賬戶鎖定策略：

進入“控制面板->管理工具->本地安全策略”，在“賬戶策略->賬戶鎖定策略”。

二、賬戶授權(quán)：

1、遠端系統(tǒng)強制關(guān)機設(shè)置：

進入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權(quán)利指派”?！皬倪h端系統(tǒng)強制關(guān)機”設(shè)置為“只指派給Administrators組”。

2、關(guān)閉系統(tǒng)設(shè)置：

進入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權(quán)利指派”?！瓣P(guān)閉系統(tǒng)”設(shè)置為“只指派給Administrators組”。

3、“取得文件或其它對象的所有權(quán)”設(shè)置：

進入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權(quán)利指派”?！叭〉梦募蚱渌鼘ο蟮乃袡?quán)”設(shè)置為“只指派給Administrators組”。

4“從本地登錄此計算機”設(shè)置：

進入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權(quán)利指派”，“從本地登錄此計算機”設(shè)置為“指定授權(quán)用戶”。

5、“從網(wǎng)絡(luò)訪問此計算機”設(shè)置：

進入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權(quán)利指派”，“從網(wǎng)絡(luò)訪問此計算機”設(shè)置為“指定授權(quán)用戶”。

三、日志配置：

1、審核策略設(shè)置：

開始->運行-> 執(zhí)行“控制面板->管理工具->本地安全策略->審核策略”

審核登錄事件，雙擊，設(shè)置為成功和失敗都審核。

“審核策略更改”設(shè)置為“成功”和“失敗”都要審核

“審核對象訪問”設(shè)置為“成功”和“失敗”都要審核

“審核目錄服務(wù)器訪問”設(shè)置為“成功”和“失敗”都要審核

“審核特權(quán)使用”設(shè)置為“成功”和“失敗”都要審核

“審核系統(tǒng)事件”設(shè)置為“成功”和“失敗”都要審核

“審核賬戶管理”設(shè)置為“成功”和“失敗”都要審核

“審核過程追蹤”設(shè)置為“失敗”需要審核

2、日志記錄策略設(shè)置：

進入“控制面板->管理工具->事件查看器”，在“事件查看器（本地）”中：

“應用日志”屬性中的日志大小設(shè)置不小于“8192KB”,設(shè)置當達到最大的日志尺寸時，“按需要改寫事件”

“系統(tǒng)日志”屬性中的日志大小設(shè)置不小于“8192KB”,設(shè)置當達到最大的日志尺寸時，“按需要改寫事件”

“安全日志”屬性中的日志大小設(shè)置不小于“8192KB” ,設(shè)置當達到最大的日志尺寸時，“按需要改寫事件”。

四、通信協(xié)議（IP協(xié)議安全）：

1、啟用TCP/IP篩選：

系統(tǒng)管理員出示業(yè)務(wù)所需端口列表。根據(jù)列表只開放系統(tǒng)與業(yè)務(wù)所需端口。進入“控制面板－>網(wǎng)絡(luò)連接－>本地連接”，進入“Internet協(xié)議（TCP/IP）屬性－>高級TCP/IP設(shè)置”，在“選項”的屬性中啟用網(wǎng)絡(luò)連接上的TCP/IP篩選，只開放業(yè)務(wù)所需要的TCP，UDP端口和IP協(xié)議。

2、開啟系統(tǒng)防火墻：

系統(tǒng)管理員出示業(yè)務(wù)所需端口列表。根據(jù)列表只開放系統(tǒng)與業(yè)務(wù)所需端口。進入“控制面板－>網(wǎng)絡(luò)連接－>本地連接”，在高級選項的設(shè)置中：啟用Windows防火墻。在“例外”中配置允許業(yè)務(wù)所需的程序接入網(wǎng)絡(luò)。在“例外->編輯->更改范圍”編輯允許接入的網(wǎng)絡(luò)地址范圍。

3、啟用SYN攻擊保護：

在“開始->運行->鍵入regedit”啟用 SYN 攻擊保護的命名值位于注冊表項HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。值名稱：SynAttackProtect。推薦值：2。

以下部分中的所有項和值均位于注冊表項 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。

指定必須在觸發(fā) SYNflood 保護之前超過的 TCP 連接請求閾值。值名稱：TcpMaxPortsExhausted。推薦值：5。

啟用SynAttackProtect 后，該值指定SYN_RCVD 狀態(tài)中的 TCP 連接閾值，超過 SynAttackProtect 時，觸發(fā) SYN flood 保護。值名稱：TcpMaxHalfOpen。推薦值數(shù)據(jù)：500。

啟用 SynAttackProtect 后，指定至少發(fā)送了一次重傳的 SYN_RCVD 狀態(tài)中的 TCP 連接閾值。超過 SynAttackProtect 時，觸發(fā) SYN flood 保護。值名稱：TcpMaxHalfOpenRetried。推薦值數(shù)據(jù)：400。

Windows Server 2012

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersSynAttackProtect推薦值：2

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersTcpMaxHalfOpen推薦值：500

Windows Server 2008

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSynAttackProtect推薦值：2

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpMaxPortsExhausted推薦值：5

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpMaxHalfOpen推薦值：500HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpMaxHalfOpenRetried推薦值：400

五、設(shè)置其他安全要求：

1、啟用屏幕保護程序：

進入“控制面板－>顯示－>屏幕保護程序”：啟用屏幕保護程序，設(shè)置等待時間為“5分鐘”，啟用“在恢復時使用密碼保護”。

2、設(shè)置Microsoft網(wǎng)絡(luò)服務(wù)器掛起時間：

進入“控制面板->管理工具->本地安全策略”，在“本地策略->安全選項”：“Microsoft網(wǎng)絡(luò)服務(wù)器”設(shè)置為“在掛起會話之前所需的空閑時間”為15分鐘。

3、關(guān)閉默認共享：

進入“開始－>運行－>Regedit”，進入注冊表編輯器更改注冊表鍵值：在HKLMSystemCurrentControlSetServicesLanmanServerParameters下，增加REG_DWORD類型的AutoShareServer鍵，值為0。

4、設(shè)置共享文件夾訪問權(quán)限:

進入“控制面板->管理工具->計算機管理”，進入“系統(tǒng)工具－>共享文件夾”：查看每個共享文件夾的共享權(quán)限，只將權(quán)限授權(quán)于指定賬戶。

5、安裝系統(tǒng)補?。?/p>

安裝最新的Service Pack補丁集，以及最新的Hotfix補丁。目前Windows XP的Service Pack為SP3。Windows2000的Service Pack為SP4,Windows 2003的Service Pack為SP2。

注意：安裝補丁前，應對操作系統(tǒng)進行兼容性測試，避免補丁打上后系統(tǒng)無法正常使用。

6、安裝、更新殺毒軟件：

安裝防病毒軟件，并將病毒庫更新到最新的版本。

7、數(shù)據(jù)執(zhí)行保護配置：

進入“控制面板－>系統(tǒng)”，在“高級”選項卡的“性能”下的“設(shè)置”。進入 “數(shù)據(jù)執(zhí)行保護”選項卡。設(shè)置為“僅為基本 Windows 操作系統(tǒng)程序和服務(wù)啟用DEP”。

8、關(guān)閉服務(wù)：

進入“控制面板->管理工具->計算機管理”，進入“服務(wù)和應用程序”：

查看所有服務(wù)，不在此列表的服務(wù)都需要（還是評估一下吧）關(guān)閉。

?

?

9、修改SNMP服務(wù)密碼：

打開“控制面板”，打開“管理工具”中的“服務(wù)”，找到“SNMP Service”，單擊右鍵打開“屬性”面板中的“安全”選項卡，在這個配置界面中，可以修改community strings，也就是微軟所說的“團體名稱”。

10、關(guān)閉無效啟動項：

“開始->運行->MSconfig”啟動菜單中，取消不必要的啟動項。

11、關(guān)閉Windows自動播放功能：

點擊開始→運行→輸入gpedit.msc，打開組策略編輯器，瀏覽到計算機配置→管理模板→系統(tǒng)，在右邊窗格中雙擊“關(guān)閉自動播放”，對話框中選擇所有驅(qū)動器，確定即可。

?