窗户加固计划

1帐户管理，身份验证和授权... 1

1.1帐户... 1

1.2密码... 1

1.3授权... 2

2日志配置操作... 3

3 IP协议安全性配置操作... 6

4其他设备配置操作... 6

4.1屏幕保护程序... 6

4.2共享文件夹和访问权限... 7

4.3补丁程序管理... 7

4.4防病毒管理... 8

4.5 Windows服务... 8

4.6启动项目... 9

身份验证功能用于确认登录系统的用户的真实身份. 身份验证功能的具体实现方法包括静态密码，动态密码，指纹和其他生物身份验证技术. 授权功能赋予系统帐户操作权限，并限制用户执行超出其帐户权限的操作.

编号: 安全要求-设备-一般配置-1

内容: 根据用户分配帐户. 根据系统要求，设置不同的帐户和帐户组，管理员用户，用户，审核用户，来宾用户等.

操作: 满意.

编号: 安全要求-设备-WINDOWS-配置-2-可选

内容: 删除或锁定与设备操作和维护等工作无关的帐户.

操作: 满意.

编号: 安全要求-设备-WINDOWS-配置-3-可选

内容: 对于管理员帐户，需要更改默认帐户名；禁用访客帐户.

操作: 删除来宾；管理员名称无需修改.

编号: 安全要求-设备-WINDOWS-配置4

内容: 密码的最小长度为6个字符，因此在本机策略中启用密码必须符合复杂性要求. 也就是说，密码至少包含以下四种字符中的三种.

动作:

在“帐户策略->密码策略”下，输入“控制面板->管理工具->本地安全策略”:

“密码必须满足复杂性要求”，然后选择“启用”.

编号: 安全要求-设备-WINDOWS-配置-35

内容: 对于使用静态密码身份验证技术的设备，帐户密码的有效期不超过90天.

操作: 在“帐户策略->密码策略”下输入“控制面板->管理工具->本地安全策略”:

“最长密码保留期限”设置为“ 90天”.

编号: 安全要求-设备-WINDOWS-配置-36-可选

内容: 对于使用静态密码身份验证技术的设备，应对其进行配置，以使用户无法重用最近5次（包括5次）使用过的密码.

操作: 在“帐户策略->密码策略”下输入“控制面板->管理工具->本地安全策略”:

“强制密码历史记录”设置为“记住5个密码”.

编号: 安全要求-设备-WINDOWS-配置-37

内容: 对于使用静态密码身份验证技术的设备，应将其配置为在连续的身份验证失败次数超过6次（不包括6次）时锁定用户使用的帐户.

操作: 转到“帐户策略->帐户锁定策略”下的“控制面板->管理工具->本地安全策略”:

“帐户锁定阈值”设置为6次.

注意: 它不适合实施，网络登录被锁定后，管理帐户将影响维护工作. MISC的Windows主机没有到外部网络的开放接口.

编号: 安全要求-设备-WINDOWS-配置5

内容: 在本地安全设置中从远程系统强制关闭仅分配给Administrators组.

操作: 转到“控制面板->管理工具->本地安全策略”，在“本地策略->用户权限分配”下:

“从远程系统强制关机”设置为“仅分配给管理员组”.

编号: 安全要求-设备-WINDOWS-配置6

内容: 在本地安全设置中关闭系统仅分配给Administrators组.

操作: 转到“控制面板->管理工具->本地安全策略”，在“本地策略->用户权限分配”下:

“关闭系统”设置为“仅分配给管理员组”.

编号: 安全要求-设备-WINDOWS-配置7

内容: 本地安全设置中文件或其他对象的所有权仅分配给管理员.

操作: 转到“控制面板->管理工具->本地安全策略”，在“本地策略->用户权限分配”下:

“将文件或其他对象的所有权”设置为“仅分配给管理员组”.

编号: 安全要求-设备-WINDOWS-配置8

内容: 在本地安全设置中配置指定的授权用户，以允许本地登录到此计算机.

操作: 转到“控制面板->管理工具->本地安全策略”，位于“本地策略->用户权限分配”下

“从此计算机本地登录”设置为“指定的授权用户”.

编号: 安全要求-设备-WINDOWS-配置9

内容: 在组策略中，仅允许授权帐户从网络访问此计算机（包括网络共享，但不允许终端服务）.

操作: 转到“控制面板->管理工具->本地安全策略”，位于“本地策略->用户权限分配”下

“从网络访问此计算机”设置为“指定授权用户”.

编号: 安全要求-设备-WINDOWS-配置-38

内容: 设备应配置有日志功能以记录用户的登录信息. 记录的内容包括用户使用的帐户，登录是否成功，登录时间以及用户在远程登录过程中使用的IP地址.

操作: 开始->运行->执行“控制面板->管理工具->本地安全策略->审核策略”

要审核登录事件，请双击并设置为审核成功和失败.

编号: 安全要求-设备-WINDOWS-configuration-10

内容: 在“组策略”中启用对Windows系统的审核策略更改，必须审核成功和失败.

操作: 在“本地策略->审核策略”中输入“控制面板->管理工具->本地安全策略”

将“审核政策更改”设置为“成功”，并且必须审核“失败”.

编号: 安全要求-设备-WINDOWS-configuration-11

内容: 在组策略中启用审核对象对Windows系统的访问. 成功和失败必须经过审核.

操作: 转到“控制面板->管理工具->本地安全策略”windows日志事件编号分类，在“本地策略->审核策略”中:

将审核对象访问权限设置为“成功”，并且必须审核“失败”.

编号: 安全要求-设备-WINDOWS-配置12

内容: 在组策略中启用对Windows系统的审核目录服务访问，失败.

操作: 转到“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中:

将“审核目录服务器访问”设置为“成功”，将“失败”设置为要审核.

编号: 安全要求-设备-WINDOWS-configuration-13

内容: 在组策略中为Windows系统启用审计特权. 成功和失败必须经过审核.

操作: 转到“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中:

将“使用审核特权”设置为“成功”，将“失败”设置为要审核.

编号: 安全要求-设备-WINDOWS-配置14

内容: 在组策略中启用Windows中系统事件的审核. 成功和失败必须经过审核.

操作: 转到“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中:

将“审核系统事件”设置为“成功”，将“失败”设置为审核.

编号: 安全要求-设备-WINDOWS-配置15

内容: 在“组策略”中为Windows系统启用审核帐户管理，必须审核成功和失败.

操作: 转到“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中:

将“审核帐户管理”设置为“成功”，并且必须审核“失败”.

编号: 安全要求-设备-WINDOWS-配置16

内容: 在组策略中启用Windows系统的审核过程跟踪失败.

操作: 转到“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中:

审核过程跟踪设置为“失败”，需要进行审核.

编号: 安全要求-设备-WINDOWS-configuration-17-可选

内容: 将应用程序日志文件的大小设置为至少8192KBwindows日志事件编号分类，并设置达到最大日志大小时根据需要重写的事件.

操作: 在“事件查看器（本地）”中输入“控制面板->管理工具->事件查看器”:

“应用程序日志”属性中的日志大小设置不少于“ 8192KB”，并且当达到最大日志大小时，“根据需要重写事件”.

编号: 安全要求-设备-WINDOWS-配置-18-可选

内容: 将系统日志文件的大小设置为至少8192KB，并设置达到最大日志大小时根据需要重写的事件.

操作: 在“事件查看器（本地）”中输入“控制面板->管理工具->事件查看器”:

“系统日志”属性中的日志大小设置不少于“ 8192KB”，并且当达到最大日志大小时，“根据需要重写事件”.

编号: 安全要求-设备-WINDOWS-配置-19-可选

内容: 将安全日志文件的大小设置为至少8192KB，并设置达到最大日志大小时根据需要重写的事件.

操作: 在“事件查看器（本地）”中输入“控制面板->管理工具->事件查看器”:

“安全日志”属性中的日志大小设置不少于“ 8192KB”，并且当达到最大日志大小时，“根据需要重写事件”.

编号: 安全要求-设备-WINDOWS-configuration-20-可选

内容: 对于没有内置防火墙的Windows系统，请启用Windows系统的IP安全机制（IPSec）或在网络连接上启用TCP / IP筛选，并且仅打开Windows Server 2003所需的TCP，UDP端口和IP协议. 业务.

操作: 未启用. 边界防火墙已根据应用程序配置了访问策略，并且计算机不需要使用TCP / IP过滤. 这种要求仅对直接连接到公共网络的裸机（无防火墙保护）有意义. 内部生产网络是一个受信任的环境.

编号: 安全要求-设备-WINDOWS-配置-21-可选

内容: 使用内置防火墙启用Windows XP和Windows 2003. 根据业务需要限制允许访问网络的应用程序和允许远程登录设备的IP地址范围.

操作: 与上述相同.

编号: 安全要求-设备-WINDOWS-配置-22-可选

内容: 启用SYN攻击防护；指定触发SYN Flood攻击保护所必须超过的TCP连接请求数的阈值； 5;指定处于SYN_RCVD状态的TCP连接数的阈值； 500;指定至少已发送一次重传. 处于SYN_RCVD状态的TCP连接数的阈值为400.

操作: 未启用. 洪水攻击的形成要求在公共网络上有足够的木偶机器. MISC系统的Windows主机通过边界与外部网络和其他内部网络隔离，因此无法构建.

编号: 安全要求-设备-WINDOWS-配置23

内容: 使用密码设置屏幕保护程序并将时间设置为5分钟.

操作: 输入“控制面板->显示->屏幕保护程序”:

启用屏幕保护程序，将等待时间设置为“ 5分钟”，然后启用“在恢复期间使用密码保护”.

编号: 安全要求-设备-WINDOWS-配置24

内容: 对于远程登录帐户，请将非活动断开连接时间设置为15分钟.

操作: 在“本地策略->安全选项”中输入“控制面板->管理工具->本地安全策略”:

“ Microsoft Web Server”设置为“暂停会话之前的空闲时间”为15分钟.

编号: 安全要求-设备-WINDOWS-configuration-25-可选

内容: 在非域环境中，请关闭Windows硬盘的默认共享，例如C $，D $.

操作: 暂时未实现. 现有Windows的某些应用程序具有域环境.

编号: 安全要求-设备-WINDOWS-配置-26

内容: 查看每个共享文件夹的共享权限. 仅允许授权帐户共享此文件夹.

操作: 无需共享文件夹，无需任何操作.

编号: 安全要求设备-WINDOWS-configuration-27

内容: 应安装最新的Service Pack补丁集. 首先应测试服务器系统的兼容性.

操作: 检查操作系统版本是否为Windows XP SP2 / Windows2000 SP4 / Windows 2003 SP1

应该在现有网络上配置自动更新.

编号: 安全要求-设备-WINDOWS-配置-28-可选

内容: 应安装最新的Hotfix修补程序. 首先应测试服务器系统的兼容性.

操作: 应在现有网络上配置自动更新.

编号: 安全要求设备-WINDOWS-configuration-29

内容: 安装防病毒软件并及时更新.

操作: 当前网络上已安装了Norton或其他防病毒软件.

编号: 安全要求-设备-WINDOWS-configuration-30-可选

内容: 对于Windows XP SP2和Windows 2003，为Windows操作系统程序和服务启用了系统自己的DEP功能（数据执行保护），以防止有害代码在受保护的内存位置中运行.

操作: 无需任何操作，安全性意义不大.

编号: 安全要求-设备-WINDOWS-配置-31

内容: 列出所需服务（包括所需系统服务）的列表. 不在此列表中的服务需要关闭.

编号: 安全要求-设备-WINDOWS-配置-34

内容: 列出系统启动时自动加载的进程和服务的列表，而不在此列表中的进程和服务需要关闭.

操作: 开始->运行-> MSconfig

1）在所有Windows系统上禁用标准服务

改变

剪贴簿

传真服务

互联网连接共享

消息排队

信使

网络会议远程桌面共享

路由和远程访问

简单邮件传输协议（smtp）

智能卡

智能卡助手

tcp / ip打印服务器

telnet

2）需要适当关闭的服务

重点是FTP和HTTP，如果业务需要，请保留它. 因非业务需要而禁用.

3）其他保持不变

编号: 安全要求-设备-WINDOWS-配置-32-可选

内容: 如果需要启用SNMP服务，请修改默认的SNMP社区字符串设置

操作: 打开“控制面板”，在“管理工具”中打开“服务”，找到“ SNMP服务”，右键单击以打开“属性”面板中的“安全”选项卡，在此配置界面中，您可以修改社区字符串，这就是Microsoft所说的“组名”.

编号: 安全要求-设备-WINDOWS-配置-33-可选

内容: 如果需要启用IIS服务，请将IIS升级到最新补丁.

操作: 没有IIS应用程序，没有操作.

编号: 安全要求-设备-WINDOWS-配置-34

内容: 列出系统启动时自动加载的进程和服务的列表，而不在此列表中的进程和服务需要关闭.

操作: 在2.4.5中完成.

编号: 安全要求-设备-WINDOWS-配置-35

内容: 关闭Windows自动播放功能

操作: 单击开始→运行→输入gpedit.msc，打开组策略编辑器，浏览到计算机配置→管理模板→系统，双击右窗格中的“关闭自动播放”，在对话框中选择所有驱动器当然.

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-195617-1.html