windows加固

2023年12月8日发(作者：)

设备名称序号加固项主机名在用账户名风险等级加固标准1用户权限策略配置低三权分立策略2删除或禁用系统无关账号低删除或禁用3开启屏幕保护程序低开启4口令复杂度策略低85678用户登录失败锁定用户口令周期策略 用户口令过期提醒系统不显示上次登录用户名低低低高090天10天启用9 禁止未登录前关机中启用10关机时清除虚拟内存页面文件低启用11 禁止非管理员关机中关机权限12主机间登录禁止使用公钥验证低启用13 配置日志审计策略低启用14 禁止用户修改IP高启用15禁止用户更改计算机名低启用16关闭自动播放功能低关闭17 限制远程登录的IP中限制18限制远程登录时间低10分钟19限制匿名用户远程连接低限制20关闭不必要的服务高关闭21启用SYN攻击保护中开启22禁用大容量存储介质（USB存储设备）高禁用USB23 开启防火墙功能高开启24配置访问控制规则高开启25关闭不必要的系统端口高关闭26关闭远程主机RDP服务中关闭272829开启用户账户控制设置（重启生效）卸载无关软件 限制远程登录协议低高中启用卸载删除30禁止使用无线设备低禁用31 配置日志文件大小低启用32关闭默认共享（重启不生效）低关闭33数据执行保护（DEP）低启用3435补丁更新删除默认路由配置高高打补丁删除默认路由网卡信息加固说明按照仅授予管理用户最小权限的原则设置安全管理员、审计管理员和系统管理1.输入框输入 ，进入“计算机管理->本地员，安全管理员隶属于 Backup用户和组->用户->新建用户”，分别创建安全管理员Operators 和 Power Users 组，审计管理（secadmin）、审计管理员（audadmin）和系统管理员员隶属于Event Log Readers和（sysadmin）；Performance Log User组，系统管理员隶2.把权限组加入到相应账号中属于NetworkConfiguration Operators组，建立三权分立的安全策略。（适用于服务器或公用工作站）1.计算机管理->系统工具->本地用户和组->用户删除、禁用或锁定与设备运行、维护等2.右击删除无关账号工作无关的账户，避免无关账户被黑客3.右击Guest账号--属性--禁用。利用。1.在Win 7：进入 控制面板->显示->个性化->屏幕保护程序->5分钟；操作系统设置开启屏幕保护，并将时间2.在Win 2000、Win XP、Win 2003和Win 2008：进入 控设定为5分钟，避免非法用户使用系统。制面板->显示->屏幕保护程序（更改屏幕保护程序）；1.进入“控制面板->管理工具->本地安全策略->帐户策略->密码策略”；口令长度不小于8位，由字母、数字和特2.双击“密码长度最小值”，设置“密码长度最小值”为8个殊字符组成，不得与账户名相同，避免字符，点击确定；口令被暴力破解。3.双击“密码必须符合复杂性要求”，勾选已启用，点击确定。进入控制面板->管理工具->本地安全策略，在帐户策略配置当用户连续认证失败次数超过 5->帐户锁定策略：查看是否账户锁定标准值设置为小于次，锁定该用户使用的账户 10 分钟，避等于5次；免账户被恶意用户暴力破解。进入控制面板->管理工具->本地安全策略，在帐户策略设置账户口令的生存期不长于90天，避->密码策略：密码最长存留期设置为90天免密码泄露。进入控制面板->管理工具->本地安全策略->安全选项->密码到期前提示用户更改密码，避免用密码到期前提示用户更改密码，设置为10天户因遗忘更换密码而导致账户失效。进入控制面板->管理工具->本地安全策略->安全选项->操作系统不显示上次用户名，避免用户双击"交互式登陆:不显示最后的用户名"，选择启用。名泄露。1.进入“控制面板->管理工具->本地安全策略->本地策略->安全选项”；设置Windows 登录屏幕上不显示关闭计2.双击“关机: 允许系统在未登录的情况下关闭”，设置属算机的选项，避免用户名暴露。性为“已禁用”，点击确定。1.进入“开始->控制面板->管理工具->本地安全策略”；2.进入“安全设置->本地策略->安全选项”；设置关机时清除虚拟内存页面文件，避3.双击“关机: 清除虚拟内存页面文件”，属性设置为“已启免虚拟内存信息通过硬盘泄露。用”。1.进入“开始->控制面板->管理工具->本地安全策略->仅允许 Administrators 组进行远端系统本地策略->用户权限分配”；强制关机和关闭系统，避免非法用户关2.分别双击“关闭系统”和“从远程系统强制关机”选项，仅闭系统。配置系统管理员（sysadmin）用户。。加固方法1.进入“控制面板->管理工具->本地安全策略->本地策略->安全选项”；禁止凭据管理器保存通过域身份验证的2.双击“"网络访问，不允许存储网络身份验证的密码和凭密码和凭据，避免用户信息泄露。据”，选择“已启用”，点击确定。1.按windows键+R，输入，进入“本地组策略编辑器”；2.进入“计算机配置->Windows设置->安全设置->本地策略->审核策略”；3.对审核策略进行如下设置：审核账户登录事件：成功，失败;配置系统日志策略配置文件，对系统登审核账户管理：成功，失败;录、访问等行为进行审计，为后续问题审核目录服务访问：失败;追溯提供依据。审核登录事件：成功，失败;审核对象访问：成功，失败;审核策略更改：成功，失败;审核特权使用：失败;审核过程追踪：无审核;审核系统事件：成功，失败;规范主机网络配置管理，禁止用户任意1.按windows键+R，输入—进入 本地组策略更换IP。编辑器—用户配置—管理模板—网络—网络连接；备注：2.分别双击 禁止访问LAN连接组件的属性; 禁止访问LAN如果业务需要修改IP，可临时取消，修连接的属性；禁止TCP/IP高级配置；设置为已启用改完成后重新加固。1.按windows键+R，输入—进入 本地组策略编辑器—用户配置—管理模板—桌面；禁止用户更改计算机名2.双击“从‘计算机（我的电脑）’图标上下文菜单中删除属性”，设置为“已启用”，点击确定。1.按windows键+R，输入，进入“本地组策略编辑器”；2.配置关闭自动播放策略：在Win 7和Win 2008:（1）进入“计算机配置->管理模板->Windows组件->自动播放策略”；（2）查看右侧小窗口，双击“关闭自动播放”，选择“已启用”；（3）在“选项”中，选择“所有驱动器”，点击确定。在Win 2000、Win XP和Win 2003:（1）进入“计算机配置->管理模板->系统”；（2）查看右侧小窗口，双击“关闭自动播放”，选择“已启用”；30（3）在“选项”中，选择“所有驱动器”，点击确定。1.按windows键+R，输入，进入“本地组策略编辑器”；2.分别进入“计算机配置->管理模板->网络->网络连接->Windows防火墙->域配置文件”和“标准配置文件”，执行3、4步操作；3.双击“允许入站远程桌面例外”,选择“已启用”；4.填入允许远程登录到本机的主机IP地址，并以逗号分隔，点击确定。关闭移动存储介质或光驱的自动播放或自动打开功能，防止恶意程序通过U盘或光盘等移动存储介质感染主机系统。仅限于指定IP地址范围主机远程登录，防止非法主机的远程访问。1.按windows键+R，输入，进入“本地组策略编辑器”；win7和win8:(1)进入“计算机配置->管理模板->Windows 组件->远程桌面服务->远程桌面会话主机->会话时间限制”，双击“达到时间限制终止会话”，选择“已启用”，(2)双击“设置活动但空闲的远程桌面服务会话的时间限制设置远程桌面服务在某个活动或空闲会”，选择“已启用”，设置“活动会话限制”为10分钟话超时后自动终止，防止被非法用户利在Win XP和Win 2003:用。(1)进入“计算机配置->管理模板->Windows组件->终端服务->会话”，双击“到达时间限制时终止会话”，选择“已启用”，点击确定；(2)双击“为活动但空闲的终端服务会话设置时间限制”，选择“已启用”，设置“活动会话限制”为10分钟，点击确定。1.按windows键+R，输入，进入“本地组策略编辑器”；2.进入“计算机配置->Window设置->安全设置->本地策略->安全选项”；限制匿名用户连接权限，防止用户远程3.双击“网络访问：不允许SAM帐号和共享的匿名枚举”，枚举本地账号。选择“已启用”，点击确定；4.双击“网络访问："不允许 SAM 帐户的匿名枚举”，选择已启用，点击确定。运行中输入命令；ServerAlerter （Win 7、Win 2008 不适用）Clipbook （Win 7、Win 2008不适用）Computer BrowserDHCP ClientMessenger （Win 7、Win 2008不适用）Remote Registry Service（Win 7、Win 2008不适用）Routing and Remote AccessSimple Mail Trasfer Protocol(SMTP) （Win2000不适用）Simple Network Management Protocol(SNMP) Service（Win XP、Win 2000不适用）Simple Network Management Protocol(SNMP) Trap应遵循最小安装的原则，仅安装和开启（Win XP、Win 2000 不适用）必需的服务，避免系统中存在不必要的Telnet服务。World Wide Web Publishing Service （Win XP、Win2000不适用）Print SpoolerTerminal Service （Win2000不适用）Task Scheduler（可选）Messenger net send（Win XP、Win 2000为Messenger）remote Registry（Win XP、Win 2000为remote Registryservice不适用）SSDPDiscovery（Win2000不适用）DNSClientWindows Remote Management（WS-Management)（可选，Win2000不适用）1.按windows键+R，输入regedit命令；2.查看注册表项，进入HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters；3.新建字符串值，重命名为SynAttackProtect，双击修改数值数据为2；4.新建字符串值，重命名为TcpMaxportsExhausted，双击修改数值数据为5；5.新建字符串值，重命名为TcpMaxHalfOpen，双击修改数值数据为500；6.新建字符串值，重命名为TcpMaxHalfOpenRetried，双击修改数值数据为400。启用SYN攻击保护，防御黑客SYN攻击。备注：1.指定触发SYN洪水攻击保护所必须超过的TCP连接请求数的阀值为5；2.指定系统拒绝的连接请求数的阈值为500；3.指定TCP的半连接数的阈值为400。1.按windows键+R，输入regedit，打开注册表编辑器；2.进入禁用USB存储设备，防止利用USB接口非HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServ法接入。iceUSBSTOR3.双击右侧注册表中的“Start”项，修改值为4。1.按windows键+R，输入;打开系统自带防火墙，减小被网络攻击2.选择“打开或关闭Windows防火墙”，点击启用Windows的风险。防火墙。Win2000 使用 IP 安全策略实现访问控7和win2008，通过配置防火墙白名单策略。制，其他Windows 系统使用防火墙实现2000使用IP安全策略实现访问控制。访问控制，增加系统抵御网络攻击的能力。1.使用防火墙或者IP安全策略实现白名单制度。遵循白名单的原则，仅开放系统应用所(1)以下端口禁止开放：TCP21，TCP23，需的专用端口，避免系统中存在不必要TCTCP/UDP139，TCP/UDP445。的端口。2.以下端口应限制访问IP：TCP3389。1.右击“计算机”，选择“属性”，点击左侧菜单栏中的“远程处于网络边界的主机RDP服务应处于关设置”；闭状态，有远程登时开启，避免非法用2.选择“不允许连接到这台计算机”，取消勾选“允许远程户利用RDP服务漏洞进行攻击。协助连接到这台计算机”，点击确定。开启用户账户控制设置（UAC），设置1.进入“开始->控制面板->用户账户和家庭安全->用户账为仅在程序尝试对计算机进行更改时通户”；知用户。2.更改“用户账户控制设置”，设置为“默认”，点击确定。适用版本：Win 7、Win 2008。开始->控制面板->程序与功能；选择需要卸载的软件，按照最小安装的原则，删除操作系统中右键选择 “卸载/更改”按钮，卸载完成。与业务无关的软件。1.进入“开始->控制面板->程序与功能”（添加删除程系统远程登录仅允许使用 Windows 系统序），查找是否有第三方远程登录软件（服务端）；自带工具，严禁使用第三方远程登录软2.卸载系统中的第三方远程登录软件。件。1.核实是否存在无线网卡，若存在，请执行以下操作并拔出网卡设备；2.按windows键+R，输入，进入“设备管理禁用无线网卡、蓝牙设备，防止设备通器”；过无线网络进行通信。3.查找右侧“设备管理器”的窗口，选择网络适配器，找到无线网卡、蓝牙无线收发适配器设备名称；右击该设备，选择“禁用”，点击“是”。1.进入事件查看器的日志配置：进入“控制面板->管理工具->事件查看器->Windows日志；2.依次右击“应用程序”、“安全”、“系统”、“转发事件”和“Setup”，选择“属设置日志文件大小限值，为审计日志数性->常规”，设置“日志最大大小”为102400KB；据分配合理的存储空间或存储时间。3.按windows键+R，输入，进入“本地组策略编辑器”；4.在 Win7 和 Win 2008:进入“计算机配置->管理模板->Windows 组件->事件日志服务->安全->日志文件写满后自动备份”和“保留旧事件”，设置“已启用”；1.进入“开始->控制面板->管理工具->计算机管理（本地）->共享文件夹->共享”；2.查看右侧窗口，选择对应的共享文件夹（例如C$，D$，ADMIN$，IPC$等），右击停止共享。1.进入“控制面板->系统”；2.选择“高级系统设置->高级->性能->设置->数据执行保护”选项卡，勾选仅为基本 Windows 操作系统程序和服务启用DEP”，点击确定。关闭Windows硬盘默认共享，防止黑客从默认共享进入计算机窃取资料。对Windows操作系统程序和服务启用系统自带DEP功能(数据执行保护)，防止在受保护内存位置运行恶意代码。安装官方补丁，严禁安装第三方补丁，查看当前系统漏洞是否已安装补丁包，到官网下载补丁避免被黑客或恶意代码利用已知的安全包（/zh-cn）漏洞进行攻击。下输入route print，检查是否有默认路由；主机禁止使用默认路由，避免利用默认2.已管理员身份打开命令提示符,输入route del 0.0.0.0 删路由探测网络。除默认路由。操作系统版本win7 企业版(64bit)是否需要加固加固记录1.输入框输入 ，进入“计算机管理->本地用户和组->用户->新建用户”，分别创建安全管理员（secadmin）、审计管理员（audadmin）和系统管理员（sysadmin）；2.把权限组加入到相应账号中硬件参数加固状态处理器：Intel Core(TM) i3-4170 CPU @3.7处理器数量：4操作人员是否1.在Win 7：进入 控制面板->显示->个性化->屏幕保护程序->5分钟；2.在Win 2000、Win XP、Win 2003和Win 2008：进入 控制面板->显示->屏幕保护程序（更改屏幕保护程序）；1.进入“控制面板->管理工具->本地安全策略->帐户策略->密码策略”；2.双击“密码长度最小值”，设置“密码长度最小值”为8个字符，点击确定；进入控制面板->管理工具->本地安全策略，在帐户策略->帐户锁定策略：查看是否账户锁定标准值设置为小于等于5次；设置账户口令的生存期不长于90天，避免密码泄露。进入控制面板->管理工具->本地安全策略->安全选项->密码到期前提示用户更改密码，设置为10天进入控制面板->管理工具->本地安全策略->安全选项->双击"交互式登陆:不显示最后的用户名"，选择启用。1.进入“控制面板->管理工具->本地安全策略->本地策略->安全选项”；2.双击“关机: 允许系统在未登录的情况下关闭”，设置属性为“已禁用”，点击确定。1.进入“开始->控制面板->管理工具->本地安全策略”；2.进入“安全设置->本地策略->安全选项”；3.双击“关机: 清除虚拟内存页面文件”，属性设置为“已启用”。1.进入“开始->控制面板->管理工具->本地安全策略->本地策略->用户权限分配”；2.分别双击“关闭系统”和“从远程系统强制关机”选项，仅配置系统管理员（sysadmin）用户。。是是是是是是是是是是是是是1.进入“控制面板->管理工具->本地安全策略->本地策略->安全选项”；2.双击“"网络访问，不允许存储网络身份验证的密码和凭据”，选择“已启用”，点击确定。1.按windows键+R，输入，进入“本地组策略编辑器”；2.进入“计算机配置->Windows设置->安全设置->本地策略->审核策略”；3.对审核策略进行如下设置：审核账户登录事件：成功，失败;审核账户管理：成功，失败;审核目录服务访问：失败;审核登录事件：成功，失败;审核对象访问：成功，失败;审核策略更改：成功，失败;审核特权使用：失败;审核过程追踪：无审核;审核系统事件：成功，失败;1.按windows键+R，输入—进入 本地组策略编辑器—用户配置—管理模板—网络—网络连接；2.分别双击 禁止访问LAN连接组件的属性; 禁止访问LAN连接的属性；禁止TCP/IP高级配置；设置为已启用1.按windows键+R，输入—进入 本地组策略编辑器—用户配置—管理模板—桌面；2.双击“从‘计算机（我的电脑）’图标上下文菜单中删除属性”，设置为“已启用”，点击确定。1.按windows键+R，输入，进入“本地组策略编辑器”；2.配置关闭自动播放策略：在Win 7和Win 2008:（1）进入“计算机配置->管理模板->Windows组件->自动播放策略”；（2）查看右侧小窗口，双击“关闭自动播放”，选择“已启用”；（3）在“选项”中，选择“所有驱动器”，点击确定。是否是是1.按windows键+R，输入，进入“本地组策略编辑器”；win7和win8:(1)进入“计算机配置->管理模板->Windows 组件->远程桌面服务->远程桌面会话主机->会话时间限制”，双击“达到时间限制终止会话”，选择“已启用”，(2)双击“设置活动但空闲的远程桌面服务会话的时间限制”，选择“已启用”，设置“活动会话限制”为10分钟在Win XP和Win 2003:(1)进入“计算机配置->管理模板->Windows组件->终端服务->会话”，双击“到达时间限制时终止会话”，选择“已启用”，点击确定；(2)双击“为活动但空闲的终端服务会话设置时间限制”，选择“已启用”，设置“活动会话限制”为10分钟，点击确定。1.按windows键+R，输入，进入“本地组策略编辑器”；2.进入“计算机配置->Window设置->安全设置->本地策略->安全选项”；3.双击“网络访问：不允许SAM帐号和共享的匿名枚举”，选择“已启用”，点击确定；4.双击“网络访问："不允许 SAM 帐户的匿名枚举”，选择已启用，点击确定。是 Client服务关闭 Client关闭 Discovery服务关闭 服务关闭是是1.按windows键+R，输入regedit命令；2.查看注册表项，进入HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters；3.新建字符串值，重命名为SynAttackProtect，双击修改数值数据为2；4.新建字符串值，重命名为TcpMaxportsExhausted，双击修改数值数据为5；5.新建字符串值，重命名为TcpMaxHalfOpen，双击修改数值数据为500；6.新建字符串值，重命名为TcpMaxHalfOpenRetried，双击修改数值数据为400。1.按windows键+R，输入regedit，打开注册表编辑器；2.进入HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceUSBSTOR3.双击右侧注册表中的“Start”项，修改值为4。否否是135、445端口关闭处于网络边界的主机RDP服务应处于关闭状态，有远程登时开启，避免非法用户利用RDP服务漏洞进行攻击。1.进入“开始->控制面板->用户账户和家庭安全->用户账户”；2.更改“用户账户控制设置”，设置为“默认”，点击确定。是是否否否是1.进入事件查看器的日志配置：进入“控制面板->管理工具->事件查看器->Windows日志；2.依次右击“应用程序”、“安全”、“系统”、“转发事件”和“Setup”，选择“属性->常规”，设置“日志最大大小”为102400KB；3.按windows键+R，输入，进入“本地组策略编辑器”；4.进入“计算机配置->管理模板->Windows 组件->事件日志服务->安全->日志文件写满后自动备份”，设置“已启用”；否否否运行内存：4G理器：Intel Core(TM) i3-4170 CPU @3.70GHz处理器数量：4日期备注