本文針對操作系統(tǒng)的賬號管理�����、賬戶授權(quán)、日志配置���、通信協(xié)議(IP協(xié)議安全)以及設(shè)置其他安全進(jìn)行合規(guī)性檢查和配置���。
一�、賬戶管理:
1、分配賬號:
進(jìn)入“控制面板->管理工具->計算機(jī)管理”,在“系統(tǒng)工具->本地用戶和組”�����,結(jié)合要求和實際業(yè)務(wù)情況判斷符合要求����,根據(jù)系統(tǒng)的要求,設(shè)定不同的賬戶和賬戶組。
2、清除無效賬戶:
進(jìn)入“控制面板->管理工具->計算機(jī)管理”����,在“系統(tǒng)工具->本地用戶和組”win8.1本地安全策略�,刪除或鎖定與設(shè)備運行�、維護(hù)等與工作無關(guān)的賬號。
3、更改缺省賬戶名稱;禁用guest(來賓)賬號:
進(jìn)入“控制面板->管理工具->計算機(jī)管理”�����,在“系統(tǒng)工具->本地用戶和組”��。->屬性-> 更改名稱��,Guest賬號->屬性-> 已停用��。
4、配置密碼策略:
進(jìn)入“控制面板->管理工具->本地安全策略”,在“賬戶策略->密碼策略”?���!懊艽a必須符合復(fù)雜性要求”選擇“已啟動”設(shè)置符合要求的策略。
5����、配置賬戶鎖定策略:
進(jìn)入“控制面板->管理工具->本地安全策略”��,在“賬戶策略->賬戶鎖定策略”。
二���、賬戶授權(quán):
1、遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)設(shè)置:
進(jìn)入“控制面板->管理工具->本地安全策略”�,在“本地策略->用戶權(quán)利指派”���?����!皬倪h(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置為“只指派給組”。
2、關(guān)閉系統(tǒng)設(shè)置:
進(jìn)入“控制面板->管理工具->本地安全策略”,在“本地策略->用戶權(quán)利指派”?�!瓣P(guān)閉系統(tǒng)”設(shè)置為“只指派給組”�。
3、“取得文件或其它對象的所有權(quán)”設(shè)置:
進(jìn)入“控制面板->管理工具->本地安全策略”�����,在“本地策略->用戶權(quán)利指派”�����?��!叭〉梦募蚱渌鼘ο蟮乃袡?quán)”設(shè)置為“只指派給組”�����。
4“從本地登錄此計算機(jī)”設(shè)置:
進(jìn)入“控制面板->管理工具->本地安全策略”�����,在“本地策略->用戶權(quán)利指派”��,“從本地登錄此計算機(jī)”設(shè)置為“指定授權(quán)用戶”。
5����、“從網(wǎng)絡(luò)訪問此計算機(jī)”設(shè)置:
進(jìn)入“控制面板->管理工具->本地安全策略”�����,在“本地策略->用戶權(quán)利指派”,“從網(wǎng)絡(luò)訪問此計算機(jī)”設(shè)置為“指定授權(quán)用戶”�����。
三�����、日志配置:
1���、審核策略設(shè)置:
開始->運行-> 執(zhí)行“控制面板->管理工具->本地安全策略->審核策略”
審核登錄事件���,雙擊�,設(shè)置為成功和失敗都審核����。
“審核策略更改”設(shè)置為“成功”和“失敗”都要審核
“審核對象訪問”設(shè)置為“成功”和“失敗”都要審核
“審核目錄服務(wù)器訪問”設(shè)置為“成功”和“失敗”都要審核
“審核特權(quán)使用”設(shè)置為“成功”和“失敗”都要審核
“審核系統(tǒng)事件”設(shè)置為“成功”和“失敗”都要審核
“審核賬戶管理”設(shè)置為“成功”和“失敗”都要審核
“審核過程追蹤”設(shè)置為“失敗”需要審核
2、日志記錄策略設(shè)置:
進(jìn)入“控制面板->管理工具->事件查看器”���,在“事件查看器(本地)”中:
“應(yīng)用日志”屬性中的日志大小設(shè)置不小于“”,設(shè)置當(dāng)達(dá)到最大的日志尺寸時,“按需要改寫事件”
“系統(tǒng)日志”屬性中的日志大小設(shè)置不小于“”,設(shè)置當(dāng)達(dá)到最大的日志尺寸時,“按需要改寫事件”
“安全日志”屬性中的日志大小設(shè)置不小于“” ,設(shè)置當(dāng)達(dá)到最大的日志尺寸時,“按需要改寫事件”���。
四、通信協(xié)議(IP協(xié)議安全):
1、啟用TCP/IP篩選:
系統(tǒng)管理員出示業(yè)務(wù)所需端口列表����。根據(jù)列表只開放系統(tǒng)與業(yè)務(wù)所需端口����。進(jìn)入“控制面板->網(wǎng)絡(luò)連接->本地連接”���,進(jìn)入“協(xié)議(TCP/IP)屬性->高級TCP/IP設(shè)置”�,在“選項”的屬性中啟用網(wǎng)絡(luò)連接上的TCP/IP篩選,只開放業(yè)務(wù)所需要的TCP����,UDP端口和IP協(xié)議����。
2��、開啟系統(tǒng)防火墻:
系統(tǒng)管理員出示業(yè)務(wù)所需端口列表��。根據(jù)列表只開放系統(tǒng)與業(yè)務(wù)所需端口。進(jìn)入“控制面板->網(wǎng)絡(luò)連接->本地連接”,在高級選項的設(shè)置中:啟用防火墻。在“例外”中配置允許業(yè)務(wù)所需的程序接入網(wǎng)絡(luò)。在“例外->編輯->更改范圍”編輯允許接入的網(wǎng)絡(luò)地址范圍。
3、啟用SYN攻擊保護(hù):
在“開始->運行->鍵入”啟用 SYN 攻擊保護(hù)的命名值位于注冊表項\\\ 之下����。值名稱:�。推薦值:2�����。
以下部分中的所有項和值均位于注冊表項 \\\ 之下。
指定必須在觸發(fā) 保護(hù)之前超過的 TCP 連接請求閾值�����。值名稱:����。推薦值:5。
啟用 后,該值指定 狀態(tài)中的 TCP 連接閾值��,超過 時����,觸發(fā) SYN flood 保護(hù)。值名稱:。推薦值數(shù)據(jù):500�����。
啟用 后�����,指定至少發(fā)送了一次重傳的 狀態(tài)中的 TCP 連接閾值�。超過 時�����,觸發(fā) SYN flood 保護(hù)����。值名稱:d����。推薦值數(shù)據(jù):400。
2012
\\\\Tcpip\\推薦值:2
\\\\Tcpip\\推薦值:500
2008
\\\\推薦值:2
\\\\推薦值:5
\\\\推薦值:E\\\\d推薦值:400
五��、設(shè)置其他安全要求:
1����、啟用屏幕保護(hù)程序:
進(jìn)入“控制面板->顯示->屏幕保護(hù)程序”:啟用屏幕保護(hù)程序����,設(shè)置等待時間為“5分鐘”��,啟用“在恢復(fù)時使用密碼保護(hù)”。
2�、設(shè)置網(wǎng)絡(luò)服務(wù)器掛起時間:
進(jìn)入“控制面板->管理工具->本地安全策略”�,在“本地策略->安全選項”:“網(wǎng)絡(luò)服務(wù)器”設(shè)置為“在掛起會話之前所需的空閑時間”為15分鐘�。
3、關(guān)閉默認(rèn)共享:
進(jìn)入“開始->運行->”�,進(jìn)入注冊表編輯器更改注冊表鍵值:在HKLM\\\\\\下�,增加類型的鍵��,值為0�。
4����、設(shè)置共享文件夾訪問權(quán)限:
進(jìn)入“控制面板->管理工具->計算機(jī)管理”,進(jìn)入“系統(tǒng)工具->共享文件夾”:查看每個共享文件夾的共享權(quán)限�,只將權(quán)限授權(quán)于指定賬戶���。
5��、安裝系統(tǒng)補(bǔ)丁:
安裝最新的 Pack補(bǔ)丁集��,以及最新的補(bǔ)丁����。目前 XP的 Pack為SP3。的 Pack為SP4, 2003的 Pack為SP2��。
注意:安裝補(bǔ)丁前����,應(yīng)對操作系統(tǒng)進(jìn)行兼容性測試���,避免補(bǔ)丁打上后系統(tǒng)無法正常使用�����。
6��、安裝、更新殺毒軟件:
安裝防病毒軟件��,并將病毒庫更新到最新的版本�����。
7�����、數(shù)據(jù)執(zhí)行保護(hù)配置:
進(jìn)入“控制面板->系統(tǒng)”,在“高級”選項卡的“性能”下的“設(shè)置”。進(jìn)入 “數(shù)據(jù)執(zhí)行保護(hù)”選項卡�。設(shè)置為“僅為基本 操作系統(tǒng)程序和服務(wù)啟用DEP”�����。
8、關(guān)閉服務(wù):
進(jìn)入“控制面板->管理工具->計算機(jī)管理”,進(jìn)入“服務(wù)和應(yīng)用程序”:
查看所有服務(wù)�,不在此列表的服務(wù)都需要(還是評估一下吧)關(guān)閉���。
服務(wù)
啟動類型
包括在成員服務(wù)器基準(zhǔn)策略中的理由
COM+ 事件服務(wù)
手動
允許組件服務(wù)的管理
DHCP 客戶端
自動
更新動態(tài) DNS 中的記錄所需
分布式鏈接跟蹤客戶端
自動
用來維護(hù) NTFS 卷上的鏈接
DNS 客戶端
自動
允許解析 DNS 名稱
事件日志
自動
允許在事件日志中查看事件日志消息
邏輯磁盤管理器
自動
需要它來確保動態(tài)磁盤信息保持最新
邏輯磁盤管理器管理服務(wù)
手動
需要它以執(zhí)行磁盤管理
自動
加入域時所需
網(wǎng)絡(luò)連接
手動
網(wǎng)絡(luò)通訊所需
性能日志和警報
手動
收集計算機(jī)的性能數(shù)據(jù)����,向日志中寫入或觸發(fā)警報
即插即用
自動
標(biāo)識和使用系統(tǒng)硬件時所需
受保護(hù)的存儲區(qū)
自動
需要用它保護(hù)敏感數(shù)據(jù)���,如私鑰
遠(yuǎn)程過程調(diào)用 (RPC)
自動
中的內(nèi)部過程所需
遠(yuǎn)程注冊服務(wù)
自動
實用工具所需(參見附注)
安全賬戶管理器
自動
存儲本地安全賬戶的帳戶信息
服務(wù)器
自動
實用工具所需(參見附注)
系統(tǒng)事件通知
自動
在事件日志中記錄條目所需
TCP/IP 服務(wù)
自動
在組策略中進(jìn)行軟件分發(fā)所需(可用來分發(fā)修補(bǔ)程序)
管理規(guī)范驅(qū)動程序
手動
使用“性能日志和警報”實現(xiàn)性能警報時所需
時間服務(wù)
自動
需要它來保證 身份驗證有一致的功能
工作站
自動
加入域時所需
9�����、修改SNMP服務(wù)密碼:
打開“控制面板”win8.1本地安全策略,打開“管理工具”中的“服務(wù)”,找到“SNMP ”����,單擊右鍵打開“屬性”面板中的“安全”選項卡����,在這個配置界面中��,可以修改 �����,也就是微軟所說的“團(tuán)體名稱”�����。
10、關(guān)閉無效啟動項:
“開始->運行->”啟動菜單中,取消不必要的啟動項。
11�����、關(guān)閉自動播放功能:
點擊開始→運行→輸入.msc�����,打開組策略編輯器��,瀏覽到計算機(jī)配置→管理模板→系統(tǒng)�����,在右邊窗格中雙擊“關(guān)閉自動播放”��,對話框中選擇所有驅(qū)動器,確定即可�。
