目录
账号管理、认证授权?账号?ELK-Windows-01-01-01
???????授权?ELK-Windows-01-03-01
通信协议?IP协议安全?ELK-Windows-03-01-01
????????ELK-Windows-03-01-02?????????
设备其他安全要求?屏幕保护?ELK-Windows-04-01-01
???????补丁管理?ELK-Windows-04-03-01
???????防病毒管理?ELK-Windows-04-04-01
???????Windows服务??ELK-Windows-04-05-01
???????启动项?ELK-Windows-04-06-01
本文档是Windows操作系统的对于Win系统的设备账号认证、日志、协议、补丁升级、文件系统管理等方面的安全配置要求,共26项。对系统的安全配置审计、加固操作起到指导性作用。
| 编号 | ELK-Windows-01-01-01 |
| 名称 | 按照用户类型分配账号 |
| 实施目的 | 根据系统的要求,设定不同的账户和账户组,管理员用户,数据库用户,审计用户,来宾用户等。 |
| 问题影响 | 账号混淆,权限不明确,存在用户越权使用的可能。 |
| 系统当前状态 | 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:记录当前用户状态 |
| 实施步骤 | 参考配置操作: 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”。 结合要求和实际业务情况判断符合要求,根据系统的要求,设定不同的账户和账户组,管理员用户,数据库用户,审计用户,来宾用户。 |
| 回退方案 | 删除新增加的用户,还原用户权限到初始设置。部分操作可能无法回退。 |
| 判断依据 | 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”: 查看账户和账户组,管理员用户,数据库用户,审计用户,来宾用户等。 根据系统的要求和实际业务情况判断是否符合要求。 |
| 实施风险 | 高 |
| 重要等级 | ★★★ |
| 备注 |
| 编号 | ELK-Windows-01-01-02 |
| 名称 | 系统无效帐户清理 |
| 实施目的 | 删除或锁定与设备运行、维护等与工作无关的账号,提高系统帐户安全。 |
| 问题影响 | 如果不清理无效帐户,则系统将面临默认账号被非法利用的风险 |
| 系统当前状态 | 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:记录当前用户状态,备份系统SAM文件。 |
| 实施步骤 | 参考配置操作: 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”。 删除或锁定与设备运行、维护等与工作无关的账号。 |
| 回退方案 | 增加被删除的用户,激活被锁定的用户,还原用户权限到初始设置。部分操作可能无法回退。 |
| 判断依据 | 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”: 查看是否删除或锁定与设备运行、维护等与工作无关的账号。 根据系统的要求和实际业务情况判断是否符合要求 |
| 实施风险 | 高 |
| 重要等级 | ★★★ |
| 备注 |
| 编号 | ELK-Windows-01-01-03 |
| 名称 | 重命名Administrator,禁用GUEST |
| 实施目的 | 对于管理员帐号,要求更改缺省帐户名称;禁用guest(来宾)帐号。提高系统安全性。 |
| 问题影响 | 管理员帐号容易被猜解;Guest账号容易被非法利用 |
| 系统当前状态 | 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”。记录当前用户状态 |
| 实施步骤 | 参考配置操作: 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”。 Administrator->属性-> 更改名称 Guest帐号->属性-> 已停用 |
| 回退方案 | 重命名用户名称,还原用户属性设置 |
| 判断依据 | 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”: 查看管理员账号Administrator名称是否修改,Guest账号是否禁用。 |
| 实施风险 | 低 |
| 重要等级 | ★ |
| 备注 |
| 编号 | ELK-Windows-01-02-01 | |||||||||||||||||||||
| 名称 | 配置密码策略 | |||||||||||||||||||||
| 实施目的 | 设置密码策略,减少密码安全风险;防止系统弱口令的存在,减少安全隐患。对于采用静态口令认证技术的设备,口令长度至少6位,且密码规则至少应采用字母(大小写穿插)加数字加标点符号(包括通配符)的方式。 | |||||||||||||||||||||
| 问题影响 | 增加系统密码被暴力破解的成功率 | |||||||||||||||||||||
| 系统当前状态 | 进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:记录当前密码策略情况。 | |||||||||||||||||||||
| 实施步骤 | 参考配置操作: 进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”。 “密码必须符合复杂性要求”选择“已启动”设置如下策略
| |||||||||||||||||||||
| 回退方案 | 还原密码策略到加固之前配置 | |||||||||||||||||||||
| 判断依据 | 进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”: 查看“密码必须符合复杂性要求”?是否选择“已启动”。 | |||||||||||||||||||||
| 实施风险 | 低 | |||||||||||||||||||||
| 重要等级 | ★★★ | |||||||||||||||||||||
| 备注 |
| 编号 | ELK-Windows-01-02-02 | ||||||||||||
| 名称 | 配置账户锁定策略 | ||||||||||||
| 实施目的 | 设置有效的账户锁定策略有助于防止攻击者猜出系统账户的密码。 | ||||||||||||
| 问题影响 | 增加系统密码被暴力破解的成功率 | ||||||||||||
| 系统当前状态 | 进入“控制面板->管理工具->本地安全策略”,在“帐户策略->账户锁定策略”:记录当前账户锁定策略情况。 | ||||||||||||
| 实施步骤 | 参考配置操作: 进入“控制面板->管理工具->本地安全策略”,在“帐户策略->账户锁定策略”。 设置如下策略:
| ||||||||||||
| 回退方案 | 还原账户锁定策略到加固之前配置 | ||||||||||||
| 判断依据 | 进入“控制面板->管理工具->本地安全策略”,在“帐户策略->账户锁定策略”: 查看安全策略是否设置为已启动和按要求配置。 | ||||||||||||
| 实施风险 | 低 | ||||||||||||
| 重要等级 | ★★★ | ||||||||||||
| 备注 |
| 编号 | ELK-Windows-01-03-01 |
| 名称 | 远端系统强制关机设置 |
| 实施目的 | 防止远程用户非法关机,在本地安全设置中从远端系统强制关机只指派给Administrators组 |
| 问题影响 | 增加系统被管理员以外的用户非法关闭的风险 |
| 系统当前状态 | 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:查看并记录“从远端系统强制关机”的当前设置。 |
| 实施步骤 | 参考配置操作: 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”。 “从远端系统强制关机”设置为“只指派给Administrators组”。 |
| 回退方案 | 还原“从远端系统强制关机”的设置到加固之前配置。 |
| 判断依据 | 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”: 查看“从远端系统强制关机”是否设置为“只指派给Administrators组”。 |
| 实施风险 | 低 |
| 重要等级 | ★★★ |
| 备注 |
| 编号 | ELK-Windows-01-03-02 |
| 名称 | 关闭系统设置 |
| 实施目的 | 防止管理员以外的用户非法关机,在本地安全设置中关闭系统仅指派给Administrators组 |
| 问题影响 | 增加系统被管理员以外的用户非法关闭的风险 |
| 系统当前状态 | 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:查看并记录“关闭系统”的当前设置。 |
| 实施步骤 | 参考配置操作: 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”。 “关闭系统”设置为“只指派给Administrators组”。 |
| 回退方案 | 还原“关闭系统”的设置到加固之前配置 |
| 判断依据 | 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”: 查看“关闭系统”是否设置为“只指派给Administrators组”。 |
| 实施风险 | 低 |
| 重要等级 | ★★★ |
| 备注 |
| 编号 | ELK-Windows-01-03-03 |
| 名称 | “取得文件或其它对象的所有权”设置 |
| 实施目的 | 防止用户非法获取文件,在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators |
| 问题影响 | 增加系统除管理员以外的用户非法获取文件的风险 |
| 系统当前状态 | 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:查看并记录“取得文件或其它对象的所有权”的当前设置。 |
| 实施步骤 | 参考配置操作: 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”。 “取得文件或其它对象的所有权”设置为“只指派给Administrators组”。 |
| 回退方案 | 还原“取得文件或其它对象的所有权”的设置到加固之前配置 |
| 判断依据 | 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”: 查看是否“取得文件或其它对象的所有权”设置为“只指派给Administrators组”。 |
| 实施风险 | 低 |
| 重要等级 | ★★★ |
| 备注 |
| 编号 | ELK-Windows-01-03-04 |
| 名称 | “从本地登陆此计算机”设置 |
| 实施目的 | 防止用户非法登录主机,在本地安全设置中配置指定授权用户允许本地登陆此计算机 |
| 问题影响 | 增加物理临近攻击和本地物理攻击以及非授权用户非法登陆主机的风险 |
| 系统当前状态 | 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:查看并记录“从本地登陆此计算机”的当前设置。 |
| 实施步骤 | 参考配置操作: 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派” “从本地登陆此计算机”设置为“指定授权用户” |
| 回退方案 | 还原“从本地登陆此计算机”的设置到加固之前配置 |
| 判断依据 | 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”: 查看是否“从本地登陆此计算机”设置为“指定授权用户”。 |
| 实施风险 | 低 |
| 重要等级 | ★★★ |
| 备注 |
| 编号 | ELK-Windows-01-03-05 |
| 名称 | “从网络访问此计算机”设置 |
| 实施目的 | 防止网络用户非法访问主机,在组策略中只允许授权帐号从网络访问(包括网络共享等,但不包括终端服务)此计算机。 |
| 问题影响 | 增加非授权用户非法访问主机的风险 |
| 系统当前状态 | 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:查看并记录“从网络访问此计算机”的当前设置。 |
| 实施步骤 | 1、参考配置操作 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派” “从网络访问此计算机”设置为“指定授权用户” |
| 回退方案 | 还原“从网络访问此计算机”的设置到加固之前配置 |
| 判断依据 | 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”: 查看是否“从网络访问此计算机”设置为“指定授权用户”。 |
| 实施风险 | 低 |
| 重要等级 | ★★★ |
| 备注 |
| 编号 | ELK-Windows-02-01-01 |
| 名称 | 审核策略设置 |
| 实施目的 | 设置审核策略,记录系统重要的事件日志,设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址 |
| 问题影响 | 无法对用户的登陆以及登陆后对系统的操作过程、特权使用等进行日志记录 |
| 系统当前状态 | 进入“控制面板->管理工具->本地安全策略”,查看并记录“审核策略”的当前设置。 |
| 实施步骤 | 参考配置操作: 开始->运行-> 执行“控制面板->管理工具->本地安全策略->审核策略” 审核登录事件,双击,设置为成功和失败都审核。 “审核策略更改”设置为“成功”和“失败”都要审核 “审核对象访问”设置为“成功”和“失败”都要审核 “审核目录服务器访问”设置为“成功”和“失败”都要审核 “审核特权使用”设置为“成功”和“失败”都要审核 “审核系统事件”设置为“成功”和“失败”都要审核 “审核账户管理”设置为“成功”和“失败”都要审核 “审核过程追踪”设置为“失败”需要审核 |
| 回退方案 | 还原“审核策略”的设置到加固之前配置 |
| 判断依据 | 开始->运行-> 执行“控制面板->管理工具->本地安全策略->审核策略”: 查看是否设置为成功和失败都审核。 |
| 实施风险 | 低 |
| 重要等级 | ★★★ |
| 备注 |
| 编号 | ELK-Windows-02-01-02 |
| 名称 | 日志记录策略设置 |
| 实施目的 | 优化系统日志记录,防止日志溢出。设置应用日志文件大小至少为8192KB,设置当达到最大的日志尺寸时,按需要改写事件 |
| 问题影响 | 如果日志的大小超过系统默认设置,则无法正常记录超过最大记录值后的所有系统日志、应用日志、安全日志等 |
| 系统当前状态 | 进入“控制面板->管理工具->事件查看器”,查看并记录“应用日志”、“系统日志”、“安全日志”的当前设置 |
| 实施步骤 | 1、参考配置操作 进入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中: “应用日志”属性中的日志大小设置不小于“8192KB”?,设置当达到最大的日志尺寸时,“按需要改写事件” “系统日志”属性中的日志大小设置不小于“8192KB”?,设置当达到最大的日志尺寸时,“按需要改写事件” “安全日志”属性中的日志大小设置不小于“8192KB”?,设置当达到最大的日志尺寸时,“按需要改写事件” |
| 回退方案 | 还原“应用日志”、“系统日志”、“安全日志”的设置到加固之前配置 |
| 判断依据 | 进入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中: 查看各项日志属性中日志大小是否设置为不小于“8192KB”?,是否设置当达到最大的日志尺寸时,“按需要改写事件”。 |
| 实施风险 | 低 |
| 重要等级 | ★ |
| 备注 |
| 编号 | ELK-Windows-03-01-01 |
| 名称 | 启用TCP/IP筛选 |
| 实施目的 | 过滤不必要的端口,提高系统安全性,对没有自带防火墙的Windows系统,启用Windows系统的IP安全机制(IPSec)或网络连接上的TCP/IP筛选,只开放业务所需要的TCP,UDP端口和IP协议 |
| 问题影响 | 如不有效过滤系统中存在的不必要的端口以及默认的端口会增加潜在被攻击和非法利用的安全风险 |
| 系统当前状态 | 进入“控制面板->网络连接->本地连接”,进入“Internet协议(TCP/IP)属性->高级TCP/IP设置”,在“选项”的属性中查看“网络连接上的TCP/IP筛选”的状态,并记录 |
| 实施步骤 | 参考配置操作: 系统管理员出示业务所需端口列表。 根据列表只开放系统与业务所需端口。 进入“控制面板->网络连接->本地连接”,进入“Internet协议(TCP/IP)属性->高级TCP/IP设置”,在“选项”的属性中启用网络连接上的TCP/IP筛选,只开放业务所需要的TCP,UDP端口和IP协议。 |
| 回退方案 | 还原高级TCP/IP的设置到加固之前配置 |
| 判断依据 | 系统管理员出示业务所需端口列表。 根据列表只开放系统与业务所需端口。 进入“控制面板->网络连接->本地连接”,进入“Internet协议(TCP/IP)属性->高级TCP/IP设置”,在“选项”的属性中启用网络连接上的TCP/IP筛选,查看是否只开放业务所需要的TCP,UDP端口和IP协议。 利用Netstat –an命令查看当前系统开放端口是否与系统管理员所出示的业务所需端口列表相对应;如发现存在与业务和应用无关的端口,则查明后在TPC/IP筛选配置中将其过滤掉。 |
| 实施风险 | 高 |
| 重要等级 | ★ |
| 备注 |
| 编号 | ELK-Windows-03-01-01 |
| 名称 | 开启系统防火墙 |
| 实施目的 | 启用Windows XP和Windows 2003自带防火墙,过滤不必要的端口,提高系统安全性。根据业务需要限定允许访问网络的应用程序和允许远程登陆该设备的IP地址范围。 |
| 问题影响 | 没有访问控制,系统可能被非法登陆或使用,从而增加潜在被攻击的安全风险 |
| 系统当前状态 | 进入“控制面板->网络连接->本地连接”,在高级选项的属性中查看Windows防火墙的状态,并记录详细情况。 |
| 实施步骤 | 参考配置操作: 系统管理员出示业务所需端口列表。 根据列表只开放系统与业务所需端口。 进入“控制面板->网络连接->本地连接”,在高级选项的设置中:启用Windows防火墙。 在“例外”中配置允许业务所需的程序接入网络。 在“例外->编辑->更改范围”编辑允许接入的网络地址范围。 |
| 回退方案 | 还原高级系统防火墙设置到加固之前配置。 |
| 判断依据 | 进入“控制面板->网络连接->本地连接”,在高级选项的设置中,查看是否启用Windows防火墙。 查看是否在“例外”中配置允许业务所需的程序接入网络。 查看是否在“例外->编辑->更改范围”编辑允许接入的网络地址范围。 |
| 实施风险 | 高 |
| 重要等级 | ★ |
| 备注 |
| 编号 | ELK-Windows-03-01-03 |
| 名称 | 启用SYN攻击保护 |
| 实施目的 | 启用SYN攻击保护,提高系统安全性;指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阀值为5;指定处于 SYN_RCVD 状态的 TCP 连接数的阈值为500;指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值为400。 |
| 问题影响 | 如不启用SYN攻击保护,系统则容易被SYN拒绝服务攻击后导致迅速当机。 |
| 系统当前状态 | 在“开始->运行->键入regedit” 查看并记录注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services、SynAttackProtect的值并记录。 查看并记录注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 之下。 TcpMaxPortsExhausted TcpMaxHalfOpen TcpMaxHalfOpenRetried 的值并记录 |
| 实施步骤 | 参考配置操作: 在“开始->运行->键入regedit” 启用 SYN 攻击保护的命名值位于注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 之下。值名称:SynAttackProtect。推荐值:2。 以下部分中的所有项和值均位于注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 之下。 指定必须在触发 SYN flood 保护之前超过的 TCP 连接请求阈值。值名称:TcpMaxPortsExhausted。推荐值:5。 启用 SynAttackProtect 后,该值指定 SYN_RCVD 状态中的 TCP 连接阈值,超过 SynAttackProtect 时,触发 SYN flood 保护。值名称:TcpMaxHalfOpen。推荐值数据:500。 启用 SynAttackProtect 后,指定至少发送了一次重传的 SYN_RCVD 状态中的 TCP 连接阈值。超过 SynAttackProtect 时,触发 SYN flood 保护。值名称:TcpMaxHalfOpenRetried。推荐值数据:400。 |
| 回退方案 | 还原注册表设置到加固之前配置 |
| 判断依据 | 在开始->运行里输入regedit,进入注册表中打开相应的注册项,查看键值是否已启用和配置,各注册表键值是否均按要求设置。 |
| 实施风险 | 高 |
| 重要等级 | ★ |
| 备注 |
| 编号 | ELK-Windows-04-01-01 |
| 名称 | 启用屏幕保护程序 |
| 实施目的 | 启用屏幕保护程序,防止管理员忘记锁定机器被非法攻击;设置带密码的屏幕保护,并将时间设定为5分钟 |
| 问题影响 | 如未启动屏幕保护并采用密码恢复,一旦管理员操作系统后忘记锁定主机,则容易被非法攻击,以及增加本地物理临近攻击的风险。 |
| 系统当前状态 | 进入“控制面板->显示->屏幕保护程序”: 查看是否启用屏幕保护程序 并记录当前的设置 |
| 实施步骤 | 参考配置操作: 进入“控制面板->显示->屏幕保护程序”: 启用屏幕保护程序,设置等待时间为“5分钟”,启用“在恢复时使用密码保护”。 |
| 回退方案 | 还原屏幕保护程序设置到加固之前配置。 |
| 判断依据 | 进入“控制面板->显示->屏幕保护程序”: 查看是否启用屏幕保护程序,设置等待时间为“5分钟”,启用“在恢复时使用密码保护”。 在系统桌面上点击鼠标右键,打开属性,查看屏幕保护程序选项是否已启动和配置。 |
| 实施风险 | 低 |
| 重要等级 | ★★★ |
| 备注 |
| 编号 | ELK-Windows-04-01-02 |
| 名称 | 设置Microsoft网络服务器挂起时间 |
| 实施目的 | 设置Microsoft网络服务器挂起时间,防止管理员忘记锁定机器被非法利用;对于远程登陆的帐号,设置不活动断连时间15分钟 |
| 问题影响 | 管理员忘记锁定而被非法利用 |
| 系统当前状态 | 进入“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项”: 查看是否“Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟。 |
| 实施步骤 | 参考配置操作: 进入“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项”: “Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟。 |
| 回退方案 | 还原“挂起会话之前所需的空闲时间”设置到加固之前配置 |
| 判断依据 | 进入“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项”: 查看是否“Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟。 |
| 实施风险 | 低 |
| 重要等级 | ★★★ |
| 备注 |
| 编号 | ELK-Windows-04-02-01 |
| 名称 | 关闭默认共享 |
| 实施目的 | 非域环境中,关闭Windows硬盘默认共享,例如C$,D$,提高系统安全性能 |
| 问题影响 | 防止攻击者利用系统默认共享如:C$、D$等,非法对系统的硬盘进行访问,以及通过IPC$方式暴力破解帐户和密码 |
| 系统当前状态 | 查看并记录:注册表 HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\增加了REG_DWORD类型的AutoShareServer 键的值。 |
| 实施步骤 | 参考配置操作: 进入“开始->运行->Regedit”,进入注册表编辑器, 更改注册表键值:在HKLM\System\CurrentControlSet\ Services\LanmanServer\Parameters\下,增加REG_DWORD类型的AutoShareServer 键,值为?0。 |
| 回退方案 | 还原“AutoShareServer” 键的值设置到加固之前配置 |
| 判断依据 | 进入“开始->运行->Regedit”,进入注册表编辑器,查看HKLM\System\CurrentControlSet\ Services\LanmanServer\Parameters\下,是否已增加REG_DWORD类型的AutoShareServer 键,值为?0。 |
| 实施风险 | 低 |
| 重要等级 | ★ |
| 备注 |
| 编号 | ELK-Windows-04-02-02 |
| 名称 | 设置共享文件夹访问权限 |
| 实施目的 | 设置共享文件夹访问权限,防止用户非法访问。只允许授权的账户拥有权限共享此文件夹。 |
| 问题影响 | 增加系统未授权的用户非法访问共享文件夹的风险 |
| 系统当前状态 | 进入“控制面板->管理工具->计算机管理”,进入“系统工具->共享文件夹”: 查看并记录每个共享文件夹的共享权限。 |
| 实施步骤 | 参考配置操作: 进入“控制面板->管理工具->计算机管理”,进入“系统工具->共享文件夹”: 查看每个共享文件夹的共享权限,只将权限授权于指定账户。 |
| 回退方案 | 还原每个共享文件夹的共享权限到加固之前配置 |
| 判断依据 | 进入“控制面板->管理工具->计算机管理”,进入“系统工具->共享文件夹”: 查看每个共享文件夹的共享权限。 查看每个共享文件夹的共享权限是否仅限于业务需要,不设置成为“everyone”。 |
| 实施风险 | 低 |
| 重要等级 | ★★★ |
| 备注 |
| 编号 | ELK-Windows-04-03-01 |
| 名称 | 安装系统补丁 |
| 实施目的 | 修复系统漏洞。应安装最新的Service Pack补丁集。对服务器系统应先进行兼容性测试。 |
| 问题影响 | 如系统未打补丁或补丁未打全,不是最新的补丁,则面临容易被攻击、渗透和控制的风险 |
| 系统当前状态 | 控制面板->添加或删除程序->显示更新打钩,查看并记录当前系统安装的补丁 |
| 实施步骤 | 参考配置操作: 安装最新的Service Pack补丁集,以及最新的Hotfix补丁。目前Windows XP的Service Pack为SP3。 Windows2000的Service Pack为SP4,Windows 2003的Service Pack为SP2 |
| 回退方案 | 卸载新安装的补丁 |
| 判断依据 | 进入控制面板->添加或删除程序->显示更新打钩,查看是否XP系统已安装SP3,Win2000系统已安装SP4,Win2003系统已安装SP2。 同时检查所有的hotfix,并查看系统安装的最后一个补丁的发布日期是否与最近最新发布的补丁日期一致。 |
| 实施风险 | 高 |
| 重要等级 | ★★★ |
| 备注 |
| 编号 | ELK-Windows-04-04-01 |
| 名称 | 安装、更新杀毒软件 |
| 实施目的 | 安装防病毒软件,并及时更新,提高系统防病毒能力 |
| 问题影响 | 如系统中未安装防病毒软件或防病毒软件未及时更新,则系统面临容易被病毒感染的风险 |
| 系统当前状态 | 查看是否安装杀毒软件;打开防病毒软件控制面板,查看病毒码更新日期 |
| 实施步骤 | 参考配置操作: 安装防病毒软件,并将病毒库更新到最新的版本 |
| 回退方案 | 卸载或删除杀毒软件 |
| 判断依据 | 进入控制面板->添加或删除程序,查看是否安装有防病毒软件。同时打开防病毒软件控制面板,查看病毒码更新日期。 如已安装防病毒软件,则病毒码更新时间不早于1个月,各系统病毒码升级时间要求参见各系统相关规定。 |
| 实施风险 | 低 |
| 重要等级 | ★★★ |
| 备注 |
| 编号 | ELK-Windows-04-04-02 |
| 名称 | 数据执行保护配置 |
| 实施目的 | 提高系统抵抗非法修改文件的性能。对于Windows XP SP2及Windows 2003对Windows操作系统程序和服务启用系统自带DEP功能(数据执行保护),防止在受保护内存位置运行有害代码。 |
| 问题影响 | 如未配置系统核心的数据执行保护,则无法对在内存位置运行有害代码进行保护 |
| 系统当前状态 | 进入“控制面板->系统”,在“高级”选项卡的?“性能”下的“设置”。进入?“数据执行保护”选项卡。查看并记录“?仅为基本 Windows 操作系统程序和服务启用DEP”的配置状态。 |
| 实施步骤 | 参考配置操作: 进入“控制面板->系统”,在“高级”选项卡的?“性能”下的“设置”。进入?“数据执行保护”选项卡。设置为“?仅为基本 Windows 操作系统程序和服务启用DEP”。 |
| 回退方案 | 将“?仅为基本 Windows 操作系统程序和服务启用DEP”设置到加固前配置 |
| 判断依据 | 进入“控制面板->系统”,在“高级”选项卡的?“性能”下的“设置”。进入?“数据执行保护”选项卡。查看是否设置为“?仅为基本 Windows 操作系统程序和服务启用DEP”。 |
| 实施风险 | 低 |
| 重要等级 | ★ |
| 备注 |
| 编号 | ELK-Windows-04-05-01 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 名称 | 关闭服务 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 实施目的 | 关闭系统不必要的服务,提高系统安全性。列出所需要服务的列表(包括所需的系统服务),不在此列表的服务需关闭 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 问题影响 | 如不关闭与业务和应用无关或不必要的服务,则系统面临容易被攻击、渗透或利用的风险 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 系统当前状态 | 运行命令net start 查看当前运行的服务 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 实施步骤 | 参考配置操作: 进入“控制面板->管理工具->计算机管理”,进入“服务和应用程序”: 查看所有服务,不在此列表的服务需关闭。
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 回退方案 | 进入“控制面板->管理工具->计算机管理”,进入“服务和应用程序”,配置并启动停止的服务 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 判断依据 | 系统管理员应出具系统所必要的服务列表。 查看所有服务,不在此列表的服务需关闭。 进入“控制面板->管理工具->计算机管理”,进入“服务和应用程序”: 查看所有服务,不在此列表的服务是否已关闭。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 实施风险 | 中 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 重要等级 | ★★★ | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 备注 |
| 编号 | ELK-Windows-04-05-02 |
| 名称 | 修改SNMP服务密码 |
| 实施目的 | 修改SNMP服务密码,防止泄露系统信息。如需启用SNMP服务,则修改默认的SNMP Community String设置 |
| 问题影响 | 如未修改SNMP服务的默认密码,则攻击者利用SNMP信息探测工具就可以获取系统信息。从而增加系统被攻击的风险 |
| 系统当前状态 | 打开“控制面板”,打开“管理工具”中的“服务”,找到“SNMP Service”,单击右键打开“属性”面板中的“安全”选项卡,查看community strings的值 |
| 实施步骤 | 参考配置操作: 打开“控制面板”,打开“管理工具”中的“服务”,找到“SNMP Service”,单击右键打开“属性”面板中的“安全”选项卡,在这个配置界面中,可以修改community strings,也就是微软所说的“团体名称”。 |
| 回退方案 | 修改community strings值到加固前状态 |
| 判断依据 | 打开“控制面板”,打开“管理工具”中的“服务”,找到“SNMP Service”,单击右键打开“属性”面板中的“安全”选项卡,在这个配置界面中,查看community strings,是否已改,而不是默认的“public”。 |
| 实施风险 | 中 |
| 重要等级 | ★ |
| 备注 |
| 编号 | ELK-Windows-04-06-01 |
| 名称 | 关闭无效启动项 |
| 实施目的 | 关闭无效的服务,提高系统性能,增加系统安全性。列出系统启动时自动加载的进程和服务列表,不在此列表的需关闭 |
| 问题影响 | 如不禁用和关闭与业务和应用无关或不必要的启动项和进程,则系统面临容易被攻击、渗透或利用的风险 |
| 系统当前状态 | 查看记录“开始->运行->MSconfig”启动菜单中各项配置参数。 |
| 实施步骤 | 参考配置操作: “开始->运行->MSconfig”启动菜单中,取消不必要的启动项。 |
| 回退方案 | “开始->运行->MSconfig”启动菜单中,还原各项启动参数到加固前状态。 |
| 判断依据 | 系统管理员提供业务必须的自动加载进程和服务列表文档。 查看“开始->运行->MSconfig”启动菜单: 不需要的自动加载进程是否已禁用和取消。 |
| 实施风险 | 中 |
| 重要等级 | ★★★ |
| 备注 |
| 编号 | ELK-Windows-04-06-02 |
| 名称 | 关闭Windows自动播放功能 |
| 实施目的 | 关闭Windows自动播放,防止从移动设备感染病毒 |
| 问题影响 | 如不关闭Windows自动播放,则在进行U盘插入操作的时候,系统将面临被U盘中的病毒感染的风险 |
| 系统当前状态 | 点击开始→运行→输入gpedit.msc,打开组策略编辑器,浏览到计算机配置→管理模板→系统,查看各驱动器?“关闭自动播放”状态。 |
| 实施步骤 | 参考配置操作: 点击开始→运行→输入gpedit.msc,打开组策略编辑器,浏览到计算机配置→管理模板→系统,在右边窗格中双击“关闭自动播放”,对话框中选择所有驱动器,确定即可。 |
| 回退方案 | 打开组策略编辑器,浏览到计算机配置→管理模板→系统,还原驱动器?“关闭自动播放”状态 |
| 判断依据 | 点击开始→运行→输入gpedit.msc,打开组策略编辑器,浏览到计算机配置→管理模板→系统: 查看是否所有驱动器均选择“关闭自动播放”,查看“关闭自动播放”配置是否已启用,启用范围:所有驱动器。 |
| 实施风险 | 低 |
| 重要等级 | ★★★ |
| 备注 |