1 安全基线要求 2
1.1 系统补丁 2
1.2 审计与账户策略 2
1.2.1 审核口令设置安全策略 2
1.2.2 审核策略 3
1.3 事件日志设置 3
1.4 安全选项设置 3
1.4.1 Microsoft网络服务器 3
1.4.2 Microsoft网络客户端 3
1.4.3 交互式登录设置 4
1.4.4 网络访问 4
1.4.5 网络安全 4
1.4.6 故障恢复控制台 5
1.4.7 关机 5
1.4.8 系统加密 5
1.4.9 系统对象 5
1.4.10 帐户 6
1.4.11 设备设置 6
1.5 用户权限分配 6
1.6 注册表设置 7
1.6.1 审核空连接设置 7
1.6.2 审核注册表开启型木马 7
1.6.3 SYN攻击保护 7
1.6.4 DDOS攻击防御 8
1.7 其他安全防护 8
1.7.1 关闭自动播放功能 8
1.7.2 Windows防火墙状态 8
1.7.3 审核网络共享安全 9
1.7.4 SNMP服务的共同体字符串设置 9
1.7.5 应用程序检查 9
1.7.6 HOSTS文件检查 9
1 安全基线要求
1.1 系统补丁
| 配置项名称 | 系统Service Pack和其他Hotfix的安装情况 |
| 操作步骤 | 查看Windows Server 2003安装的SP情况: 点击开始(start)->运行(run),输入命令“winver”,回车; 记录当前的SP版本号。 查看Windows Server 2003安装的其他补丁的情况: (导出HKLM_LOCAL_MACHINE\Software\\Microsoft\\Windows NT\\Current version \\hotfix的内容为Hotfix.reg),与微软最新的补丁列表进行比对,安装所有Critical/important级别补丁,建议使用Windows Update或建立内部SUS系统对其他级别补丁进行检查 |
| 安全建议 | Windows 2003 Server应安装SP2。并安装所有严重和重要级别的最新的补丁程序(hotfix)。 建议:建议使用内部WSUS服务器升级所有关键补丁 |
| 备注 |
1.2.1 审核口令设置安全策略
| 配置项名称 | 审核口令设置安全策略 |
| 操作步骤 | 开始→控制面板→管理工具→本地安全策略→帐户策略 |
| 安全建议 | 密码必须符合复杂性要求 已启用; 密码长度最小值 7; 密码最长使用期限 42天; 密码最短使用期限 1天; 强制密码历史 6个; 用可还原的加密来储存密码 已禁用; 复位帐户锁定计时器 5分钟; 帐户锁定时间 5分钟; 帐户锁定阈值 15次。 |
| 备注 |
| 配置项名称 | 审核策略 |
| 操作步骤 | 开始→控制面板→管理工具→本地安全策略→本地策略→审核策略 |
| 安全建议 | 安全标准设置如下: 审核策略更改:成功和失败 审核登录事件:成功和失败 审核对象访问:成功和失败 审计过程跟踪:无审核 审计目录服务访问:无审核 审核使用:无审核 审核系统事件:成功和失败 审核帐户登录事件:成功和失败 审核帐户管理:成功和失败 |
| 备注 | 对于DC服务器,审核登录事件应只审核失败 |
| 配置项名称 | 事件日志设置 |
| 操作步骤 | 开始→控制面板→管理工具→事件查看器(在应用程序日志、安全日志和系统日志上点右键,看属性中的最大文件大小,单位为KB。) |
| 安全建议 | 建议应用日志的容量为16M,安全日志的容量为80M,系统日志的容量为16M。并且用户有流程定期的转存日志。日志保存期限最小为60天。 |
| 备注 |
1.4.1 Microsoft网络服务器
| 配置项名称 | 安全选项- Microsoft网络服务端 |
| 操作步骤 | 开始→控制面板→管理工具→本地安全策略→本地策略→安全选项 |
| 安全建议 | 建议设置在挂起会话之前的所需的空闲时间 15分钟; |
| 备注 |
| 配置项名称 | 安全选项- Microsoft网络客户端 |
| 操作步骤 | 开始→控制面板→管理工具→本地安全策略→本地策略→安全选项 |
| 安全建议 | 发送未加密的密码到第三方SMB服务器 已启用; |
| 备注 |
| 配置项名称 | 安全选项-交互式登录 |
| 操作步骤 | 开始→控制面板→管理工具→本地安全策略→本地策略→安全选项 |
| 安全建议 | 建议设置不显示上次登录的用户名 已启用; 不需要按Ctrl+Alt+Del 已禁用; 用户试图登录时消息标题和消息文字 申明信息或警告信息; 在密码到期前提示用户更改密码建议最小设置 14天 |
| 备注 |
| 配置项名称 | 安全选项- 网络访问 |
| 操作步骤 | 开始→控制面板→管理工具→本地安全策略→本地策略→安全选项 |
| 安全建议 | 1.允许匿名SID/名称 转换 已禁用; 2.不允许SAM帐户的匿名枚举 已启用; 3.不允许SAM帐户和共享的匿名枚举 已启用; 4.不允许为网络身份验证储存凭证或.net passports 已启用; 5.让每个人(Everyone)权限应用于匿名用户 已禁用; 6.匿名访问命名管道和共享 已启用; 7.本地帐户的共享和安全模式 经典; 8.可匿名访问的命名管道 无; 9.可远程访问的注册表路径 System\\CurrentControlSet\\Control\\ProductOptions System\\CurrentControlSet\\Control\\Server Applications Software\\Microsoft\\WindowsNT\\CurrentVersion |
| 备注 |
| 配置项名称 | 安全选项- 网络安全 |
| 操作步骤 | 开始→控制面板→管理工具→本地安全策略→本地策略→安全选项 |
| 安全建议 | 不要在下次更改密码时存储LAN manager的哈希值 已启用; LAN manager身份验证级别 仅发送 NTLMv2响应\拒绝 LM; LDAP客户端签名要求 协商签名; |
| 备注 |
| 配置项名称 | 安全选项-故障恢复控制台 |
| 操作步骤 | 开始→控制面板→管理工具→本地安全策略→本地策略→安全选项 |
| 安全建议 | 建议设置允许系统自动管理级登录 已禁用。 |
| 备注 |
| 配置项名称 | 安全选项-关机 |
| 操作步骤 | 开始→控制面板→管理工具→本地安全策略→本地策略→安全选项 |
| 安全建议 | 清除虚拟内存页面文件 已启用; 允许系统在未登录前关机 已禁用。 |
| 备注 |
| 配置项名称 | 安全选项-系统加密 |
| 操作步骤 | 开始→控制面板→管理工具→本地安全策略→本地策略→安全选项 |
| 安全建议 | 存储在计算机上的用户密钥强制使用强密钥保护 用户每次使用密钥时必须键入密码。 |
| 备注 |
| 配置项名称 | 安全选项-系统对象 |
| 操作步骤 | 开始→控制面板→管理工具→本地安全策略→本地策略→安全选项 |
| 安全建议 | 由管理员(administrators)组成员所创建的对象的默认所有者 对象创建者; 增强内部系统对象的默认权限 已启用。 |
| 备注 |
| 配置项名称 | 安全选项- 安全选项 |
| 操作步骤 | 开始→控制面板→管理工具→本地安全策略→本地策略→安全选项 |
| 安全建议 | 来宾帐户状态 已禁用; 使用空白密码的本地帐户只允许进行控制台登录 已启用; 重命名系统管理员帐户不要使用administrator; 如果来宾帐号为非禁用状态,则也应该重命名来宾帐户。 |
| 备注 |
| 配置项名称 | 安全选项-设备 |
| 操作步骤 | 开始→控制面板→管理工具→本地安全策略→本地策略→安全选项 |
| 安全建议 | 允许格式化与弹出可移动媒体 administrators; 防止用户安装打印机驱动程序 已启用 未签名驱动程序的安装操作 允许安装但发出警告。 |
| 备注 |
| 配置项名称 | 用户权限分配 |
| 操作步骤 | 开始→控制面板→管理工具→本地安全策略→本地策略→用户权限分配 |
| 安全建议 | 调整进程的内存配额 NETWORK SERVICE,LOCAL SERVICE,Administrators 关闭系统 administrators 允许在本地登录 Administrators 通过终端服务允许登录 Administrators 更改系统时间 Administrators 创建页面文件 Administrators 创建标记对象 无 创建永久共享对象 无 调试程序 无 拒绝从网络访问这台计算机 ANONOYMOUS LOGON, Guests 允许计算机和用户账户被信任以便用于委任 无 从远程系统强制关机 Administrators 生成安全审核 Local Service,Network Service 增加计划优先级 Administrators 装载和卸载设备驱动程序 Administrators |
| 备注 |
1.6.1 审核空连接设置
| 配置项名称 | 审核空连接设置 |
| 操作步骤 | 检查注册表设置: HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\restrictanonymous REG_DWORD 0x0 缺省 0x1 匿名用户无法列举本机用户列表 0x2 匿名用户无法连接本机IPC$共享 |
| 安全建议 | 安全标准设置为1 不建议使用2,否则可能会造成一些服务无法启动,如SQL Server。 |
| 备注 |
| 配置项名称 | 审核注册表开启型木马 |
| 操作步骤 | 运行->regedit,查看以下注册项: HKEY_LOCAL_MACHINE\\SOFTWAR|EMicrosoft\\Windows\\CurrentVersion\\Run HKEY_LOCAL_MACHINE\\SOFTWAREMicrosoft\\Windows\\CurrentVersion\\RunOnce HKEY_LOCAL_MACHINE\\SOFTWARE|Microsoft\\Windows\\CurrentVersion\\RunOnceEx 把结果分别导出为run.reg、runonce.reg、runonceex.reg |
| 安全建议 | 删除这些注册项下的可疑键值。 |
| 备注 | 一些木马与后门程序通过改写注册表来自动装载入系统。 |
| 配置项名称 | 审核注册表开启SYN攻击保护 |
| 操作步骤 | 运行->regedit,查看以下注册项: HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters 值名称SynAttackProtect是否为1 值名称TcpMaxPortsExhausted是否等于5 值名称TcpMaxHalfOpen是否等于500 值名称TcpMaxHalfOpenRetried是否等于400 |
| 安全建议 | 运行->regedit,检查以下注册项: HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters 值名称为SynAttackProtect,将值改为1 值名称改为TcpMaxPortsExhausted=5 值名称改为TcpMaxHalfOpen=500 值名称改为TcpMaxHalfOpenRetried=400 |
| 备注 |
| 配置项名称 | 审核注册表开启DDOS攻击保护 |
| 操作步骤 | 运行->regedit,查看以下注册项: HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters 值名称EnableICMPRedirect是否等于0 |
| 安全建议 | 运行->regedit,检查以下注册项: HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters 值名称改为EnableICMPRedirect=0 |
| 备注 |
1.7.1 关闭自动播放功能
| 配置项名称 | 关闭Windows自动播放功能 |
| 操作步骤 | 点击开始→运行→输入gpedit.msc,打开组策略编辑器,浏览到计算机配置→管理模板→系统,在右边窗格中双击“关闭自动播放”,对话框中选择所有驱动器,确定即可。 |
| 安全建议 | 建议“关闭自动播放”配置已启用,启用范围:所有驱动器。 |
| 备注 |
| 配置项名称 | 审核Windows防火墙是否开启 |
| 操作步骤 | 在本地连接→属性中查看防火墙的开启情况,并是否设定了正常的访问程序和访问端口 |
| 安全建议 | 开启防火墙,设置必要的程序和端口,只开放业务所需要的TCP、UDP端口。 |
| 备注 |
| 配置项名称 | 审核网络共享安全 |
| 操作步骤 | 在cmd窗口中运行:net share > C:\\netshare.txt 并另存为netshare.txt 检查本地网络共享路径 |
| 安全建议 | 关闭或删除不必要的网络共享,删除各驱动器根目录的默认共享、远程管理。如本机不用共享文件给其他人使用,则在本地连接属性中,禁用“Microsoft网络的文件和打印共享”。 |
| 备注 |
| 配置项名称 | SNMP服务的共同体字符串设置 |
| 操作步骤 | 开始—>控制面板—>管理工具—>服务,双击SNMP service 服务,点击“安全选项”,查看“团体名称”。 |
| 安全建议 | 在开启了SNMP服务的前提下,SNMP服务的共同体字符串设置应该取消使用默认的public和private,设置复杂一些的字符串。 |
| 备注 |
| 配置项名称 | 应用程序检查 |
| 操作步骤 | 检查“添加或删除程序”面板中的列表 |
| 安全建议 | 不要安装不必要的应用程序,向管理员确认可卸载的应用软件项。 |
| 备注 |
| 配置项名称 | HOSTS文件检查 |
| 操作步骤 | 检查C:\\windows\\system32\\drivers\\etc目录下的用于静态DNS解析的HOSTS文件内容是否正常。 |
| 安全建议 | 确保C:\\windows\\system32\\drivers\\etc目录下的用于静态DNS解析的HOSTS文件内容正常,对于未知条目可以与管理员追查。 |
| 备注 |
Copyright © 2019-2025 51dongshi.net 版权所有
违法及侵权请联系:TEL:177 7030 7066 E-MAIL:11247931@qq.com 本站由北京市万商天勤律师事务所王兴未律师提供法律服务
