Windows-等保-安全加固相关配置

一、账户管理：

1、分配账号：

进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”，结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的账户和账户组。

2、清除无效账户：

进入“控制面板->管理工具->->本地用户和组”，删除或锁定与设备运行、维护等与工作无关的账号。

帐户很多是黑客们入侵系统的突破口，系统的帐户越多，黑客们得到合法用户的权限可能性一般也就越大。去掉所有的测试帐户、共享帐号和普通部门帐号等等。用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不使用的帐户。

也可创建一个名为“admin”的本地帐户（陷阱帐号），把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。 这样可以让那些企图入侵者忙上一段时间了，并且可以借此发现它们的入侵企图。可以将该用户隶属的组修改成Guests组。密码为大于32位的数字＋字符＋符号密码。建立的陷阱帐号。

3、更改缺省账户名称；禁用guest（来宾）账号：

进入“控制面板->管理工具->->本地用户和组”。Administrator－>属性－> 更改名称，Guest账号->属性－> 已停用。

或

1)点击“开始-运行”，在运行窗口中输入compmgmt.msc命令，打开计算机管理窗口。

2)以此展开“系统工具-本地用户和组”，确保Guest处于被停用状态。

4、配置密码策略：

进入“控制面板->管理工具->本地安全策略”，在“账户策略->密码策略”。“密码必须符合复杂性要求”选择“已启动”设置符合要求的策略。

 或者

1)点击“开始-运行”，在运行输入框中输入secpol.msc命令，打开本地安全设置。

2)以此点“安全设置-账户策略-密码策略”。

密码至少包含以下四种类别的字符中的三种：

英语大写字母 A, B, C, … Z 

英语小写字母 a, b, c, … z 

西方阿拉伯数字 0, 1, 2, … 9 

非字母数字字符，如标点符号，@, #, $, %, &, *等

· 最短密码长度 8个字符。

· 密码最长存留期”设置为“30天。

· 强制密码历史”设置为“记住5个密码。

5、配置账户锁定策略：

进入“控制面板->管理工具->本地安全策略”，在“账户策略->账户锁定策略”。

或

1)点击“开始-运行”，在运行输入框中输入secpol.msc命令，打开本地安全设置

2)以此点“安全设置-账户策略-账户锁定策略”

6、管理员账户改名

Windows 主机中的Administrator帐号是不能被停用的，这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。 不要使用Admin之类的名字，改了等于没改，尽量把它伪装成普通用户，比如改成：guest-one。具体操作的时候只要选中帐户名改名就可以了。

二、账户授权：

1、远端系统强制关机设置：

进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”。“从远端系统强制关机”设置为“只指派给Administrators组”。

2、关闭系统设置：

进入“”，在“”。“关闭系统”设置为“只指派给Administrators组”。

3、“取得文件或其它对象的所有权”设置：

进入“”，在“”。“取得文件或其它对象的所有权”设置为“只指派给Administrators组”。

4“从本地登录此计算机”设置：

进入“”，在“”，“从本地登录此计算机”设置为“指定授权用户”。

5、“从网络访问此计算机”设置：

进入“”，在“”，“从网络访问此计算机”设置为“指定授权用户”。

三、日志配置：

1、审核策略设置：

开始->运行-> 执行“控制面板->管理工具->本地安全策略->审核策略”

审核登录事件，双击，设置为成功和失败都审核。

“审核策略更改”设置为“成功”和“失败”都要审核

“审核对象访问”设置为“成功”和“失败”都要审核

“审核目录服务器访问”设置为“成功”和“失败”都要审核

“审核特权使用”设置为“成功”和“失败”都要审核

“审核系统事件”设置为“成功”和“失败”都要审核

“审核账户管理”设置为“成功”和“失败”都要审核

“审核过程追踪”设置为“失败”需要审核

2、日志记录策略设置：

进入“控制面板->管理工具->事件查看器”，在“事件查看器（本地）”中：

“应用日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时，“按需要改写事件”

“系统日志”属性中的日志大小设置不小于“8192KB”,“按需要改写事件”

“安全日志”属性中的日志大小设置不小于“8192KB” ,“按需要改写事件”。

四、通信协议（IP协议安全）：

1、启用TCP/IP筛选：

系统管理员出示业务所需端口列表。根据列表只开放系统与业务所需端口。进入“控制面板－>网络连接－>本地连接”，进入“Internet协议（TCP/IP）属性－>高级TCP/IP设置”，在“选项”的属性中启用网络连接上的TCP/IP筛选，只开放业务所需要的TCP，UDP端口和IP协议。

2、开启系统防火墙：

进入“控制面板－>网络连接－>本地连接”，在高级选项的设置中：启用Windows防火墙。在“例外”中配置允许业务所需的程序接入网络。在“例外->编辑->更改范围”编辑允许接入的网络地址范围。

3、启用SYN攻击保护：

在“开始->运行->键入regedit”启用 SYN 攻击保护的命名值位于注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 之下。值名称：SynAttackProtect。推荐值：2。

以下部分中的所有项和值均位于注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 之下。

指定必须在触发 SYNflood 保护之前超过的 TCP 连接请求阈值。值名称：TcpMaxPortsExhausted。推荐值：5。

启用SynAttackProtect 后，该值指定SYN_RCVD 状态中的 TCP 连接阈值，超过 SynAttackProtect 时，触发 SYN flood 保护。值名称：TcpMaxHalfOpen。推荐值数据：500。

启用 SynAttackProtect 后，指定至少发送了一次重传的 SYN_RCVD 状态中的 TCP 连接阈值。超过 SynAttackProtect 时，触发 SYN flood 保护。值名称：TcpMaxHalfOpenRetried。推荐值数据：400。

Windows Server 2012

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect推荐值：2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpen推荐值：500

Windows Server 2008

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect推荐值：2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted推荐值：5

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen推荐值：500HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried推荐值：400

五、设置其他安全要求：

1、启用屏幕保护程序：

进入“控制面板－>显示－>屏幕保护程序”：启用屏幕保护程序，设置等待时间为“5分钟”，启用“在恢复时使用密码保护”。

2、设置Microsoft网络服务器挂起时间：

进入“控制面板->管理工具->本地安全策略”，在“本地策略->安全选项”：“Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟。

3、关闭默认共享：

进入“开始－>运行－>Regedit”，进入注册表编辑器更改注册表键值：在HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\下，增加REG_DWORD类型的AutoShareServer键，值为0。

或

1)点击“开始-运行”，在运行窗口中输入compmgmt.msc命令，打开计算机管理窗口。

2)以此展开“系统工具-共享文件夹-共享”，确保C$、D$、E$等被停用状态。

4、设置共享文件夹访问权限:

进入“控制面板->管理工具->计算机管理”，进入“系统工具－>共享文件夹”：查看每个共享文件夹的共享权限，只将权限授权于指定账户。

5、安装系统补丁：

安装最新的Service Pack补丁集，以及最新的Hotfix补丁。目前Windows XP的Service Pack为SP3。Windows2000的Service Pack为SP4,Windows 2003的Service Pack为SP2。

注意：安装补丁前，应对操作系统进行兼容性测试，避免补丁打上后系统无法正常使用。

6、安装、更新杀毒软件：

安装防病毒软件，并将病毒库更新到最新的版本。

7、数据执行保护配置：

进入“控制面板－>系统”，在“高级”选项卡的“性能”下的“设置”。进入 “数据执行保护”选项卡。设置为“仅为基本 Windows 操作系统程序和服务启用DEP”，防止在受保护内存位置运行有害代码。

8、关闭服务：

进入“控制面板->管理工具->计算机管理”，进入“服务和应用程序”：

查看所有服务，不在此列表的服务都需要（还是评估一下吧）关闭。

 

9、修改SNMP服务密码：

打开“控制面板”，打开“管理工具”中的“服务”，找到“SNMP Service”，单击右键打开“属性”面板中的“安全”选项卡，在这个配置界面中，可以修改community strings，也就是微软所说的“团体名称”。

10、关闭无效启动项：

“开始->运行->MSconfig”启动菜单中，取消不必要的启动项。

11、关闭Windows自动播放功能：

点击开始→运行→输入gpedit.msc，打开组策略编辑器，浏览到计算机配置→管理模板→系统，在右边窗格中双击“关闭自动播放”，对话框中选择所有驱动器，确定即可。