Windows系統(tǒng)主機加固報告

1、密 級：秘密文檔編號：工程代號：XXX政府Windows主機系統(tǒng)平安加固報告XXXXXX年12月23日 TOC o 1-5 h z HYPERLINK l bookmark6 o Current Document 第1章概述1 HYPERLINK l bookmark8 o Current Document 第2章加固主機信息1 HYPERLINK l bookmark10 o Current Document 第3章加固操作2賬戶平安2密碼平安策略2 HYPERLINK l bookmark15 o Current Document 鎖定系統(tǒng)中多余賬戶3 HYPERLINK l bookma

2、rk17 o Current Document 禁用Administrator之外的超級用戶3 HYPERLINK l bookmark19 o Current Document 制空口令帳號4用戶身份識別4設(shè)置自動注銷時間4網(wǎng)絡(luò)與服務(wù)加固4關(guān)閉不必要的服務(wù)4系統(tǒng)設(shè)置平安6關(guān)閉針對主機系統(tǒng)的ping6審計策略設(shè)定6審計日志設(shè)定6文檔信息表文檔基本信息工程名稱XXX政府等保實施當前工程階段Windows主機加固文檔名稱Windows主機系統(tǒng)平安加固報告文檔版本VI. 0是否為正式交付件是文檔創(chuàng)立日期XXX-03-18當前修訂日期XXX-03-21文檔存放路徑文檔審批要求文檔審批信息審閱人職務(wù)審閱

3、時間審閱意見文檔修訂信息版本修正章節(jié)日期作者變更記錄VI. 0無XXX-03-21XXX最初發(fā)行上海寶山區(qū)政府系統(tǒng)平安加固報告第1章概述Windows雖然是一款非常優(yōu)秀的系統(tǒng)，但也應(yīng)當擁有完善的平安措施。通過對Windows主機系統(tǒng)采 取一些基本的平安措施，使之變得平安可靠。平安加固是針對主機的漏洞和脆弱性采取的一種有效的平安手段，可以幫助系統(tǒng)預(yù)防非授權(quán)的對系 統(tǒng)的訪問和蠕蟲病毒的襲擊，使系統(tǒng)可以長期保持高度可信的狀態(tài)。通常對系統(tǒng)和應(yīng)用服務(wù)的平安加固 包括如下方面：用戶帳戶平安用戶身份識別網(wǎng)絡(luò)與服務(wù)數(shù)據(jù)訪問控制網(wǎng)絡(luò)訪問控制文件系統(tǒng)平安審計策略XXX于XXX年03月16日對XXX政府的Windo

4、ws主機進行了平安加固服務(wù)。XXX工程師在寶山區(qū) 政府的機房管理人員的配合下，根據(jù)先前對各主機進行的平安評估報告而確定了對不同系統(tǒng)類型的主機 的平安加固方案，由XXX工程師實施并完成相關(guān)平安加固工作。本報告描述了主機平安加固的整個操作過程，僅供相關(guān)管理員參考。第2章加固主機信息本此對如下主機進行了加固，這里主要包含的是Windows系統(tǒng)的主機。序號IP地址操作系統(tǒng)類型主機用途1172. 16. 1.5Windows Server 2003DNS服務(wù)2Windows Server 2003Mail服務(wù)3Windows Server 2003WEB服務(wù)4Windows Server 2003WCM

5、服務(wù)5Windows Server 2003BS服務(wù)6Windows Server 2003WCM52服務(wù)7Windows Server 2003SQLBK服務(wù)8172. 16. 1. 19Windows Server 2003DMZ和內(nèi)網(wǎng)殺毒9Windows Server 2003監(jiān)控和流量統(tǒng)計10Windows Server 2003寶山博客11Windows Server 2003輿情測試12Windows Server 2003寶山在線管理13Windows Server 2003網(wǎng)站群發(fā)布14Windows Server 2003網(wǎng)站群發(fā)布15Windows Server 2003網(wǎng)

6、站群數(shù)據(jù)庫16Windows Server 2003網(wǎng)站群備份圖表錯誤!使用“開始”選項卡將Heading 1應(yīng)用于要在此處顯示的文字。加固主機列表上海寶山區(qū)政府系統(tǒng)平安加固報告第3章加固操作賬戶平安密碼平安策略Windows主機系統(tǒng)的帳號和密碼是對合法用戶進行驗證的最簡單也是最方便的一種方式。但這種方式 也是最脆弱的一種方式。尤其在面對弱口令、簡單用戶名普遍使用的情況下，主機系統(tǒng)面臨的風險也更為 嚴重。通過檢查并禁用Windows主機系統(tǒng)中一些默認內(nèi)置帳戶，并將為系統(tǒng)中的有效帳戶啟用密碼策略， 要求其滿足一定長度和復雜度要求的密碼，這樣可以使得這種使用最廣泛和普遍的對訪問系統(tǒng)的用戶進行 驗證

7、的方式得到一定程度的增強。名稱密碼平安策略修改設(shè)定值編輯策略設(shè)置密碼最長使用天數(shù)90天在運行中輸入“gpedit.msc”, 在策略編輯器中翻開 “Windows設(shè)置平安設(shè)置 賬戶策略-，密碼策略”設(shè)置密碼最短使用天數(shù)1天設(shè)置強制歷史記錄24設(shè)置口令最短字符8個實施方案連續(xù)輸錯密碼，帳號鎖定3次，15分鐘在運行中輸入“gpedit.msc”, 在策略編輯器中翻開u Windows設(shè)備，平安設(shè)置 賬戶策略-，賬戶鎖定策 略”實施目的保障帳號以及口令的平安實施風險因為Administrator帳戶默認不受鎖定限制，所以一些普通帳戶的用戶因 為忘記密碼，可能嘗試屢次失敗而被鎖定。實施主機 , , ,

8、 0 , 1 , , , 9 , 0 , , 備注在設(shè)定密碼策略時,在運行中輸入“gpedit.msc”，在策略編輯器中打 開“Windows設(shè)置-，平安設(shè)置賬戶策略密碼策略-密碼必須符 合復雜性要求”圖表錯誤!使用“開始”選項卡將Heading2應(yīng)用于要在此處顯示的文字。帳號和口令策略修改上海寶山區(qū)政府系統(tǒng)平安加固報告鎖定系統(tǒng)中多余賬戶名稱編輯策略實施方案在運行中輸入“l(fā)usrmgr.msc，點擊“本地用戶和組-用戶/組。查看當 前系統(tǒng)中的所有用戶和組在“本地用戶和組”中點擊要鎖定的用戶，右鍵“屬性”，在“用戶屬性” 選項卡中的“用戶已停用”的選項前打上勾，再點擊確定，這個用戶就鎖 定了在“

9、本地用戶和組”中點擊要解鎖的用戶，右鍵“屬性”，把“用戶屬性” 選項卡中的“用戶已停用”的選項前的勾取消，再點擊確定，這時用戶就 解鎖了實施目的限制偽帳號，實施風險需要與管理員確認此項操作不會影響到業(yè)務(wù)系統(tǒng)的登錄實施主機, 1 , , , 備注這些偽帳號雖然不能用于登錄但可能建立連接；對于一些保存的系統(tǒng)偽 帳戶如：Guest、 HelpAssistant、 SUPPORT_388945aO、 IWAM_COMPUTER、IUSR_COMPUTER、ASPNET 等可根據(jù)需要鎖定 登陸。圖表：系統(tǒng)多余賬戶審核禁用Administrator之外的超級用戶圖表：禁用Administrator在外的其

10、他超級用戶名稱最小化特權(quán)賬戶的存在實施方案使用命令net user”查看系統(tǒng)中當刖已存在的所有的用戶在“本地用戶和組”中點擊要鎖定的用戶，右鍵“屬性”，在“用戶屬性” 選項卡中的“用戶已停用”的選項前打上勾，再點擊確定，這個用戶就鎖 定了在“本地用戶和組”中點擊要解鎖的用戶，右鍵“屬性”，把“用戶屬性” 選項卡中的“用戶已停用”的選項前的勾取消，再點擊確定，這時用戶就 解鎖了實施目的最小化特權(quán)用戶的存在，防止特權(quán)操作過多，泄漏敏感操作信息實施風險需要與管理員確認此超級用戶的用途。實施主機 , , , 0 , 1 , , , 備注上海寶山區(qū)政府系統(tǒng)平安加固報告制空口令帳號名稱限制空口令賬戶實施方

11、案在設(shè)定密碼策略時,在運行中輸入“gpedit.msc”，在策略編輯器中打 開“Windows設(shè)置平安設(shè)置-本地策略-,平安選項-帳戶：使用 空白密碼的本地帳戶只允許進行控制臺登錄”，將此選項設(shè)置為禁用實施目的消除空口令賬戶帶來的潛在風險實施風險無實施主機 , , , 0 , 1 , , , 備注圖表：禁用空口令本地用戶在本地的登錄用戶身份識別設(shè)置自動注銷時間名稱設(shè)定自動注銷時間實施方案在設(shè)定密碼策略時,在運行中輸入gpedit.msc,在策略編輯器中打 開“計算機配置管理模板-Windows組件-，終端服務(wù)-，會話 為斷開的用戶設(shè)置時間限制”，右鍵“屬性-啟用-5分鐘”實施目的設(shè)置系統(tǒng)登錄后

12、，連接超時時間，增強平安性實施風險無可見風險實施主機, , , 0, 1 , , , 備注在實施加固時，記得備份原始文件圖表321.1：設(shè)置用戶在斷開后的自動注銷時間33網(wǎng)絡(luò)與服務(wù)加固關(guān)閉不必要的服務(wù)Windows系統(tǒng)對外提供強大、多樣的服務(wù)，由于服務(wù)的多樣性及其復雜性，在配置和管理這些服務(wù) 時特別容易犯錯誤，另外，提供這些服務(wù)的軟件本身也存在各種漏洞，所以，在決定系統(tǒng)對外開放服務(wù) 時，必須牢記兩個基本原那么： 只對外開放所需要的服務(wù),關(guān)閉所有不需要的服務(wù)。對外提供的服務(wù)越少，所面臨的外部威脅越 小。在上述基本原那么下，還要進一步檢查系統(tǒng)服務(wù)的功能和平安漏洞。這里針對主機所提供的服務(wù)進行相應(yīng)上

13、海寶山區(qū)政府系統(tǒng)平安加固報告的基本平安配置。名稱限制普通服務(wù)和系統(tǒng)服務(wù)實施方案使用命令net start”或“services.msc”，查看當前己經(jīng)啟用的服務(wù)有那 些實施目的關(guān)閉不必要的服務(wù)以降低風險實施風險根據(jù)實際情況來進行禁止實施主機 , , , 0 , 1 , , , 備注根據(jù)實際情況可以對以下服務(wù)來進行禁止和開啟：Alerter、Clipbook、 Computer Browser、Messenger Remote Registry Service Routing and Remote Access Simple Mail Trasfer Protocol、Simple Networ

14、k Management Protocol service、Simple Network Management Protocol Trap、Telnet、World Wide Web Publishing Service圖表：關(guān)閉不必要的系統(tǒng)服務(wù)服務(wù)名稱端口號協(xié)議HTTP80TCP/UDPHTTPS443TCP/UDPA42424TCPRPC135TCPFTP21TCPNetBIOS138UDPDHCP67UDPMADCAP2535UDPDNS53TCP/UDPsnmp161UDPIMAP143TCPPOP3110TCPSSL995TCPSMTP25TCP/UDPSMB445TCPMacint

15、osh548TCPRADIUS1645/1646/1813/1812UDPKerberos88TCP/UDPTelnet23TCPSMTP25TCPTIME37TCP/UDP第5頁上海寶山區(qū)政府系統(tǒng)平安加固報告圖表：常用服務(wù)和端口對應(yīng)表MSSQL1433/1434TCP/UDPNNTP119TCP系統(tǒng)設(shè)置平安關(guān)閉針對主機系統(tǒng)的ping圖表341-1：關(guān)閉對主機的ping回顯名稱關(guān)閉ping實施方案在運行中輸入命令 netsh firewall set icmsetting type = 8 mode = disable ”實施目的預(yù)防針對ping的攻擊實施風險為以后的網(wǎng)絡(luò)故障排除帶來些許麻煩實施主機, , , 0, 1 , , , 9, 0, , , 17,4,1備注如果要開啟ping在運行中輸入命令netsh firewall set icmsetting type = 8 mode 二 enable ”審計策略設(shè)定審計