windows加固手册.doc

1、信息安全加固手册1 /36 5/21/2019longjilongjilongjilongji密 级：内部信息安全加固手册WINDOWS 系统Ver:1.0二零零五年四月信息安全加固手册2 /36 5/21/2019文档修改记录修改日期 修改人 修改说明 版本号2006-07-29 V1.0信息安全加固手册3 /36 5/21/20191 补丁类 .41.1 最新的 Service Pack.41.2 最新的 Hotfixs.42 端口服务类 .52.1 禁止 alert 服务 .52.2 禁止 Messenger 服务 .62.3 禁止 Telnet 服务 .63 系统参数类 .73.1 禁

2、止自动登录 .73.2 禁止在蓝屏后自动启动机器 .83.4 3.5 防止计算机浏览器欺骗攻击 .84 网络参数类 .94.1 防止碎片包攻击 .95 用户管理、访问控制、审计功能类 .105.1 验证 Passwd 强度 .105.2 密码长度 .115.3 密码使用时间 .125.4 账号登录事件审计 .135.5 账号管理审计 .155.6 目录服务访问审计 .165.7 登录事件审计 .185.8 对象访问审计 .195.9 策略更改审计 .215.10 特权使用审计 .225.11 进程跟踪审计 .245.12 系统事件审计 .255.13 失败登录账号锁定 .275.14 失败登录

3、账号锁定时间 .285.15 登录时间到期时自动退出登录 .295.17 不显示上次登录的用户名 .305.18 防止系统保持计算机账号和口令 .315.19 防止用户安装打印机驱动程序 .325.20 恢复控制台禁止管理员自动登录 .333 防病毒 .353.1 安装防病毒软件及其更新 .35信息安全加固手册4 /36 5/21/20191 补丁类1.1 最新的 Service Pack风险描述 是否已经安装了最新的 Service Pack风险等级 风险高加固建议 从微软的更新网站上下载最新的补丁进行安装加固存在的风险 需要重启系统加固风险规避方法加固成果 升级后能避免攻击者利用微软已公布

4、的漏洞进行攻击加固具体方法WindowsSP 补丁（如 WIN2000 的 SP3）包可以用介质升级；最好选择可以恢复系统的安装方式新烟集团意见新烟集团管理员对本条风险加固的意见： 同意 需要修改（描述修改的意见） 不同意（描述不同意的原因） 签名（签字确认）厂商意见厂商维护人员对本条风险加固的意见： 同意 需要修改（描述修改的意见） 不同意（描述不同意的原因） 签名（签字确认）1.2 最新的 Hotfixs风险描述 是否已经安装了最新的 Hotfixs风险等级 风险高加固建议 从微软的更新网站上下载最新的补丁进行安装加固存在的风险 可能需要重新启动系统信息安全加固手册5 /36 5/21/2

5、019加固风险规避方法加固成果 升级后能避免攻击者利用微软已公布的漏洞进行攻击加固具体方法WIN2000 的 HOTFIX 可以直接点击开始菜单的 Windows Update，直接到 http:/ 升级，最好选择可以恢复系统的安装方式新烟集团意见新烟集团管理员对本条风险加固的意见： 同意 需要修改（描述修改的意见） 不同意（描述不同意的原因） 签名（签字确认）厂商意见厂商维护人员对本条风险加固的意见： 同意 需要修改（描述修改的意见） 不同意（描述不同意的原因） 签名（签字确认）2 端口服务类2.1 禁止 alert 服务风险描述 通知所选用户和计算机有关系统管理级警报。风险等级 风险低加固

6、建议 将 alert 服务停止或者禁用加固存在的风险 加固成果加固具体方法1、打开 控制面板-管理工具-服务窗口2、查看 alert 服务是否已启动3、将服务停止，将其启动类型由“自动”改为“手动”或者“禁用” 。新烟集团意见新烟集团管理员对本条风险加固的意见： 同意 需要修改（描述修改的意见） 不同意（描述不同意的原因） 签名（签字确认）信息安全加固手册6 /36 5/21/2019厂商意见厂商维护人员对本条风险加固的意见： 同意 需要修改（描述修改的意见） 不同意（描述不同意的原因） 签名（签字确认）2.2 禁止 Messenger 服务风险描述 用于把 Alerter 服务器的消息发送给

7、网络上的其它机器风险等级 风险低加固建议 将 Messenger 服务停止或者禁用加固存在的风险 加固成果 不会把 Alerter 服务器的消息发送给网络上的其它机器加固具体方法1、打开 控制面板-管理工具-服务窗口2、查看 Messenger 服务是否已启动3、将服务停止，将其启动类型由“自动”改为“手动”或者“禁用” 。新烟集团意见新烟集团管理员对本条风险加固的意见： 同意 需要修改（描述修改的意见） 不同意（描述不同意的原因） 签名（签字确认）厂商意见厂商维护人员对本条风险加固的意见： 同意 需要修改（描述修改的意见） 不同意（描述不同意的原因） 签名（签字确认）2.3 禁止 Telne

8、t 服务风险描述 该服务在缺省时被安装.用于基于命令行方式的远程管理, 但是该协议在网络上一明文传输数据. 风险等级 风险高加固建议 将 Telnet 服务停止或者禁用，如果需要进行命令行方式的远程管理, 建议使用 SSH 来作为替代加固存在的风险 信息安全加固手册7 /36 5/21/2019加固成果 避免入侵者通过监控 Telnet 协议端口获得敏感信息加固具体方法1、打开 控制面板-管理工具-服务窗口2、查看 Telnet 服务是否已启动3、将服务停止，将其启动类型由“自动”改为“手动”或者“禁用” 。新烟集团意见新烟集团管理员对本条风险加固的意见： 同意 需要修改（描述修改的意见） 不

9、同意（描述不同意的原因） 签名（签字确认）厂商意见厂商维护人员对本条风险加固的意见： 同意 需要修改（描述修改的意见） 不同意（描述不同意的原因） 签名（签字确认）3 系统参数类3.1 禁止自动登录风险描述 自动登录会把用户名和口令以明文的形式保存在注册表中，因此需要禁止自动登录风险等级 风险高加固建议 修改注册表相关键值来禁止自动登录加固存在的风险 加固风险规避方法加固成果 禁止了系统自动登录，避免其它用户从注册表中获得其它用户及其口令加固具体方法1、运行中输入 regedit2、修改键值 HKLMSoftwareMicrosoftWindows NT CurrentVersionWinlo

10、gonAutoAdminLogon 为(REG_DWORD) 0新烟集团意见新烟集团管理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）厂商意见 厂商维护人员对本条风险加固的意见：信息安全加固手册8 /36 5/21/2019同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）3.2 禁止在蓝屏后自动启动机器风险描述 防止有恶意用户故意制造程序错误来重起机器以进行某些操作风险等级 风险低加固建议 修改注册表相关键值来禁止在蓝屏后自动启动机器加固存在的风险 加固风险规避方法加固成果 用户在输入口令时都会用星号遮掩加固具体方法1、

11、运行中输入 regedit2、修改键值 HKLMSystem CurrentControlSetControlCrashControlAutoReboot 为(REG_DWORD) 0新烟集团意见新烟集团管理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）厂商意见厂商维护人员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）3.4 3.5 防止计算机浏览器欺骗攻击风险描述虽然建议终端用户关闭他们的计算机浏览服务,但是也可能不是每个用户都会去执行.该注册表选项在计算机浏览服务被允许时提供对该服务弱点的保护

12、.更详细的信息可以在http:/ 查到.风险等级 风险中加固建议 修改注册表相关键值来防止计算机浏览器欺骗攻击信息安全加固手册9 /36 5/21/2019加固存在的风险 加固风险规避方法加固成果 防止计算机浏览器欺骗攻击加固具体方法1、运行中输入 regedit2、修改键值 HKLMSystem CurrentControlSetServicesMrxSmbParametersRefuseReset 为(REG_DWORD) 1新烟集团意见新烟集团管理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）厂商意见厂商维护人员对本条风险加固的意见：同意

13、需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）4 网络参数类4.1 防止碎片包攻击风险描述 帮助防止碎片包攻击风险等级 风险中加固建议 修改注册表相关键值来帮助防止碎片包攻击加固存在的风险 加固风险规避方法加固成果 能帮助防止碎片包攻击信息安全加固手册10 /36 5/21/2019加固具体方法1、运行中输入 regedit2、修改键值 HKLMSystemCurrentControlSet ServicesTcpipParametersEnablePMTUDiscovery 为(REG_DWORD) 1新烟集团意见新烟集团管理员对本条风险加固的意见：同意需要修改（描述修

14、改的意见）不同意（描述不同意的原因）签名（签字确认）厂商意见厂商维护人员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）5 用户管理、访问控制、审计功能类5.1 验证 Passwd 强度风险描述 验证系统已经存在的 Passwd 强度风险等级 风险高加固建议 核查具有空口令的用户和弱密码的用户，passwd 强度来增强系统安全性加固存在的风险 可能造成某些其他系统来使用弱口令登陆本系统用户来做同步备份或操作的脚本失效加固风险规避方法加固成果 增强用户密码的强度，大大降低用户密码被猜解的可能性加固具体方法验证系统口令强度，对弱口令的用户重新做口令加固。新烟集团意见新烟集团管理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）厂商意见厂商维护人员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）