windows系统安全加固方法
一、身份鉴别
1.密码安全策略
位置:
开始——管理工具——本地安全策略——账户策略——密码策略。
加固设置:
(1)开启密码复杂度
(2)密码长度最小值为8个字符
(3)密码最短使用期限30天
(4)密码最长使用期限90天
(5)强制密码历史5个
2. 账户锁定策略
位置:
开始——管理工具——本地安全策略——账户策略——账号锁定策略。
加固设置:
(1)账户锁定时间30分钟
(2)账户锁定阈值5次
(3)重置账户锁定计算器10分钟
二、访问控制
1. 用户权限分配
位置:
开始——管理工具——本地安全策略——本地策略——用户权限分配。
加固设置:
(1)关闭系统——在本地安全设置中只保留一个administrator。
(2)允许通过远程桌面服务登录——在本地安全设置中只保留一个administrator或者设定自己想添加的用户。
(3)从远程系统强制关机——在本地安全设置中只保留一个administrator。
(4)取得文件或其他对象的所有权——在本地安全设置中只保留一个administrator。
2. 禁止未登录前关机
位置:
开始——管理工具——本地安全策略——本地策略——安全选项——关机:允许系统在未登录的情况下关闭。
加固设置:
(1)禁止未登录关机
3.重命名默认账户
位置:
开始——管理工具——计算机管理——系统工具——本地用户和组——用户。
加固设置:
(1)重命名默认账户的administrator用户名,例如:修改为admin007…
4.删除多余的账户
位置:
开始——管理工具——计算机管理——系统工具——本地用户和组——用户。
加固设置:
(1)删除多余或僵尸账户,可以用命令:net user +用户名 查询该用户的详细信息。
(2)禁用Guest来宾账户。
5.重命名远程桌面3389端口号
位置:
运行——regedit——注册表。
加固设置:
(1)修改TCP3389端口号:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp。
找到PortNumber选项,双击修改右边基数为十进制,然后修改数值数据为:例如6666等…
(2)修改远程桌面3389端口号:HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP-Tcp
找到PortNumber选项,双击修改右边基数为十进制,然后修改数值数据为:例如6666等…
(3)重启计算机
(4)进行远程桌面时,需要在输入的IP后面添加端口,例如:192.168.30.10:6666,就可以正常访问了。
三、安全审计
1.审核策略设置
位置:
开始——管理工具——本地安全策略——本地策略——审核策略。
加固设置:
(1)审核策略更改 修改为:成功,失败
(2)审核登录事件 修改为:成功,失败
(3)审核对象访问 修改为:成功,失败
(4)审核进程跟踪 修改为:成功,失败
(5)审核目录访问访问 修改为:成功,失败
(6)审核特权使用 修改为:成功,失败
(7)审核系统事件 修改为:成功,失败
(8)审核账户登录事件 修改为:成功,失败
(9)审核账户管理 修改为:成功,失败
2.安全日志属性设置
位置:
开始——管理工具——事件查看器——windows日志——依此操作:“应用程序,系统,安全”。
加固设置:
(1)日志属性 —常规——日志最大大小为:200M约等于204800kb
(2)添加日志服务器,把日志上传到日志服务器中,便于能够及时发现问题,具体的可以根据不通的日志服务器进行相应的操作,如果购买日志审计,可以让设备厂商帮忙添加。
四、信息保护
1. 不记住用户名和密码
位置:
开始——管理工具——本地安全策略——本地策略——安全选项——交互式登录:不显示最后的用户名。
加固设置:
(1)属性——修改为:已启用
2.清理内存信息
位置:
开始——管理工具——本地安全策略——本地策略——安全选项——关机:清除虚拟内存页面文件。
加固设置:
(1)属性——修改为:已启用
五、系统资源控制
1.屏幕保护
位置:
开始—控制面板——显示——更改屏幕保护程序
加固设置:
(1)设定屏幕保护程序,等待时间为10分钟,选择在恢复时显示登录屏幕。
2.会话超时锁定
位置:
运行——gpedit.msc——计算机配置——管理模板——windows组件——远程桌面服务——远程桌面会话主机——会话时间限制——设置活动但空闲的远程桌面服务会话的时间限制。
加固设置:
(1)设置已启用,空闲会话限制为10分钟。
六、入侵防御
1.防火墙控制
位置:
win+r打开运行——输入Firewall.cpl——打开防火墙
加固设置:
(1)设置开启防火墙。
(2)在高级设置入站规则中设定阻断高危端口,如:高危端口:TCP:135,137,445,593,1025 UDP:135,137,138,445
注:入站规则与出站规则设定比较简单,就不细说如何设定。
2.IP安全策略
位置:
开始——管理工具——本地安全策略——IP安全策略,在本地计算机
注意:此策略是在防火墙被关闭的情况下使用,防火墙关闭后,入站进站策略不起作用,所以使用IP安全策略。
注意:检查服务中的:“IPSEC Policy Agent” 服务必须在启动状态,在任务管理器中的服务显示的名称为:PolicyAgent。
加固设置:
(1)右击“IP安全策略,在本地计算机”,选择“创建IP安全策略”,然后出现“IP安全策略向导”点击下一步,名称改一下,然后一直下一步,直到完成。(注:如果有让选择“激活默认响应规则”不要选择)。
(2)弹出的窗口先关闭。
(3)继续右击“IP安全策略,在本地计算机”,选择“管理IP筛选器列表和筛选器操作”,第一个界面为:管理IP筛选器列表。点击左下角添加。
(4)弹出的为:IP筛选器列表,修改一下名称。(注:不要使用“添加向导”),然后点击靠右边中间的添加。
(5)点击添加后弹出的为:IP筛选器属性,先点击地址,源地址选择:任何IP地址,目的地址选择:我的IP地址。注:下面的“镜像与源和目标地址正好相反的数据包匹配”,把√号取消)。
(6)点击协议,然后点击选择协议类型,选择TCP协议,设置IP协议端口,第一排选择:从任意端口,第二排选择:到此端口,填写139。
(7)点击确认,点完后应该在IP筛选器列表这个界面,可以在列表中看到刚刚添加的,(注:如果需要描述也可以描述一下,如果还想添加UDP的话,同样的操作)。确认添加的没问题后点击确定。
(8)此时应该回到了管理IP筛选器列表和筛选器操作这个界面,这时选择第二个界面:管理筛选器操作。
(9)把下面使用“添加向导取消”,然后点击添加。
(10)此时界面是:新筛选器操作属性。安全办法选择:阻止。常规中修改一下名称,不要默认,以防忘记。填写好后,先点击应用,再点击确定。
(11)此时也可以在管理筛选器操作的列表中看到刚刚添加的。然后把:管理IP筛选器列表和筛选器操作这个界面关闭。
(12)点击刚刚界面上的IP安全策略,会在右边看到刚刚第(1)步创建的IP安全策略。然后右击选择属性。
(13)在规则中选择添加,(注:取消右下角的使用添加向导),
(14)弹出来的第一个界面点击下一步,第二个界面选择:此规则不指定隧道,然后下一步,第三个界面选择:所有网络连接,然后下一步,第四个界面是IP筛选器列表,选择刚刚已经创建好的IP筛选器,然后下一步,第五个界面是筛选器操作,选择刚刚创建好的筛选器操作。然后下一步,就完成了。(注:不需要选择编辑属性)
(15)然后在刚刚:IP安全规则中能看到刚刚选择的,然后点击应用,最后点击确定。
(16)然后再次右击选择刚刚的:IP安全策略,选择第一个分配。
(17)然后测量,使用另外一台电脑telnet + IP +端口 我测试的虚拟机为 telnet 192.168.30.10 139。如果进不去就设置成功了
(18)未成功检查服务是否正常运行,或者在打开CMD输入:gpupdate /force
3.安装杀毒软件
方案:
(1)购买企业版杀毒软件进行安全,并设定相应的规则。
(2)员工电脑,如若未购买专业的杀毒软件,推荐:火绒杀毒,卡巴斯基等等
七、系统补丁更新
方案:
(1)员工电脑可开启自动更新。
(2)服务器等重要资产补丁,根据相应的漏洞进行更新,在更新之前应做好系统备份,并且做相应的测试。
注意:在实际系统环境中主要更新漏洞补丁,并不一定任何补丁都需要安装。
1.密码安全策略
位置:
开始——管理工具——本地安全策略——账户策略——密码策略。
加固设置:
(1)开启密码复杂度
(2)密码长度最小值为8个字符
(3)密码最短使用期限30天
(4)密码最长使用期限90天
(5)强制密码历史5个
2. 账户锁定策略
位置:
开始——管理工具——本地安全策略——账户策略——账号锁定策略。
加固设置:
(1)账户锁定时间30分钟
(2)账户锁定阈值5次
(3)重置账户锁定计算器10分钟
二、访问控制
1. 用户权限分配
位置:
开始——管理工具——本地安全策略——本地策略——用户权限分配。
加固设置:
(1)关闭系统——在本地安全设置中只保留一个administrator。
(2)允许通过远程桌面服务登录——在本地安全设置中只保留一个administrator或者设定自己想添加的用户。
(3)从远程系统强制关机——在本地安全设置中只保留一个administrator。
(4)取得文件或其他对象的所有权——在本地安全设置中只保留一个administrator。
2. 禁止未登录前关机
位置:
开始——管理工具——本地安全策略——本地策略——安全选项——关机:允许系统在未登录的情况下关闭。
加固设置:
(1)禁止未登录关机
3.重命名默认账户
位置:
开始——管理工具——计算机管理——系统工具——本地用户和组——用户。
加固设置:
(1)重命名默认账户的administrator用户名,例如:修改为admin007…
4.删除多余的账户
位置:
开始——管理工具——计算机管理——系统工具——本地用户和组——用户。
加固设置:
(1)删除多余或僵尸账户,可以用命令:net user +用户名 查询该用户的详细信息。
(2)禁用Guest来宾账户。
5.重命名远程桌面3389端口号
位置:
运行——regedit——注册表。
加固设置:
(1)修改TCP3389端口号:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp。
找到PortNumber选项,双击修改右边基数为十进制,然后修改数值数据为:例如6666等…
(2)修改远程桌面3389端口号:HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP-Tcp
找到PortNumber选项,双击修改右边基数为十进制,然后修改数值数据为:例如6666等…
(3)重启计算机
(4)进行远程桌面时,需要在输入的IP后面添加端口,例如:192.168.30.10:6666,就可以正常访问了。
三、安全审计
1.审核策略设置
位置:
开始——管理工具——本地安全策略——本地策略——审核策略。
加固设置:
(1)审核策略更改 修改为:成功,失败
(2)审核登录事件 修改为:成功,失败
(3)审核对象访问 修改为:成功,失败
(4)审核进程跟踪 修改为:成功,失败
(5)审核目录访问访问 修改为:成功,失败
(6)审核特权使用 修改为:成功,失败
(7)审核系统事件 修改为:成功,失败
(8)审核账户登录事件 修改为:成功,失败
(9)审核账户管理 修改为:成功,失败
2.安全日志属性设置
位置:
开始——管理工具——事件查看器——windows日志——依此操作:“应用程序,系统,安全”。
加固设置:
(1)日志属性 —常规——日志最大大小为:200M约等于204800kb
(2)添加日志服务器,把日志上传到日志服务器中,便于能够及时发现问题,具体的可以根据不通的日志服务器进行相应的操作,如果购买日志审计,可以让设备厂商帮忙添加。
四、信息保护
1. 不记住用户名和密码
位置:
开始——管理工具——本地安全策略——本地策略——安全选项——交互式登录:不显示最后的用户名。
加固设置:
(1)属性——修改为:已启用
2.清理内存信息
位置:
开始——管理工具——本地安全策略——本地策略——安全选项——关机:清除虚拟内存页面文件。
加固设置:
(1)属性——修改为:已启用
五、系统资源控制
1.屏幕保护
位置:
开始—控制面板——显示——更改屏幕保护程序
加固设置:
(1)设定屏幕保护程序,等待时间为10分钟,选择在恢复时显示登录屏幕。
2.会话超时锁定
位置:
运行——gpedit.msc——计算机配置——管理模板——windows组件——远程桌面服务——远程桌面会话主机——会话时间限制——设置活动但空闲的远程桌面服务会话的时间限制。
加固设置:
(1)设置已启用,空闲会话限制为10分钟。
六、入侵防御
1.防火墙控制
位置:
win+r打开运行——输入Firewall.cpl——打开防火墙
加固设置:
(1)设置开启防火墙。
(2)在高级设置入站规则中设定阻断高危端口,如:高危端口:TCP:135,137,445,593,1025 UDP:135,137,138,445
注:入站规则与出站规则设定比较简单,就不细说如何设定。
2.IP安全策略
位置:
开始——管理工具——本地安全策略——IP安全策略,在本地计算机
注意:此策略是在防火墙被关闭的情况下使用,防火墙关闭后,入站进站策略不起作用,所以使用IP安全策略。
注意:检查服务中的:“IPSEC Policy Agent” 服务必须在启动状态,在任务管理器中的服务显示的名称为:PolicyAgent。
加固设置:
(1)右击“IP安全策略,在本地计算机”,选择“创建IP安全策略”,然后出现“IP安全策略向导”点击下一步,名称改一下,然后一直下一步,直到完成。(注:如果有让选择“激活默认响应规则”不要选择)。
(2)弹出的窗口先关闭。
(3)继续右击“IP安全策略,在本地计算机”,选择“管理IP筛选器列表和筛选器操作”,第一个界面为:管理IP筛选器列表。点击左下角添加。
(4)弹出的为:IP筛选器列表,修改一下名称。(注:不要使用“添加向导”),然后点击靠右边中间的添加。
(5)点击添加后弹出的为:IP筛选器属性,先点击地址,源地址选择:任何IP地址,目的地址选择:我的IP地址。注:下面的“镜像与源和目标地址正好相反的数据包匹配”,把√号取消)。
(6)点击协议,然后点击选择协议类型,选择TCP协议,设置IP协议端口,第一排选择:从任意端口,第二排选择:到此端口,填写139。
(7)点击确认,点完后应该在IP筛选器列表这个界面,可以在列表中看到刚刚添加的,(注:如果需要描述也可以描述一下,如果还想添加UDP的话,同样的操作)。确认添加的没问题后点击确定。
(8)此时应该回到了管理IP筛选器列表和筛选器操作这个界面,这时选择第二个界面:管理筛选器操作。
(9)把下面使用“添加向导取消”,然后点击添加。
(10)此时界面是:新筛选器操作属性。安全办法选择:阻止。常规中修改一下名称,不要默认,以防忘记。填写好后,先点击应用,再点击确定。
(11)此时也可以在管理筛选器操作的列表中看到刚刚添加的。然后把:管理IP筛选器列表和筛选器操作这个界面关闭。
(12)点击刚刚界面上的IP安全策略,会在右边看到刚刚第(1)步创建的IP安全策略。然后右击选择属性。
(13)在规则中选择添加,(注:取消右下角的使用添加向导),
(14)弹出来的第一个界面点击下一步,第二个界面选择:此规则不指定隧道,然后下一步,第三个界面选择:所有网络连接,然后下一步,第四个界面是IP筛选器列表,选择刚刚已经创建好的IP筛选器,然后下一步,第五个界面是筛选器操作,选择刚刚创建好的筛选器操作。然后下一步,就完成了。(注:不需要选择编辑属性)
(15)然后在刚刚:IP安全规则中能看到刚刚选择的,然后点击应用,最后点击确定。
(16)然后再次右击选择刚刚的:IP安全策略,选择第一个分配。
(17)然后测量,使用另外一台电脑telnet + IP +端口 我测试的虚拟机为 telnet 192.168.30.10 139。如果进不去就设置成功了
(18)未成功检查服务是否正常运行,或者在打开CMD输入:gpupdate /force
3.安装杀毒软件
方案:
(1)购买企业版杀毒软件进行安全,并设定相应的规则。
(2)员工电脑,如若未购买专业的杀毒软件,推荐:火绒杀毒,卡巴斯基等等
七、系统补丁更新
方案:
(1)员工电脑可开启自动更新。
(2)服务器等重要资产补丁,根据相应的漏洞进行更新,在更新之前应做好系统备份,并且做相应的测试。
注意:在实际系统环境中主要更新漏洞补丁,并不一定任何补丁都需要安装。