Windows操作系統(tǒng)安全加固設(shè)置

注意：本文來源于網(wǎng)絡(luò)，請謹(jǐn)慎操作。

權(quán)限并非越嚴(yán)越好，設(shè)置不當(dāng)反而會影響服務(wù)，請根據(jù)實際需要選擇。關(guān)于安全方面的設(shè)置建議可以參考：http://www.bingfeng168.cn/faq/list.asp?unid=853

1. 賬戶管理和認(rèn)證授權(quán)

1.1 賬戶

默認(rèn)賬戶安全

禁用Guest賬戶。
禁用或刪除，一般建議禁用（管理助手創(chuàng)建的網(wǎng)站會有ftp同名賬號，不能禁用）

操作步驟

打開控制面板 > 管理工具 > 計算機(jī)管理，在系統(tǒng)工具 > 本地用戶和組 > 用戶中，雙擊 Guest 帳戶，在屬性中選中帳戶已禁用，單擊確定。

定期檢查并刪除與無關(guān)帳戶

定期刪除或鎖定與設(shè)備運行、維護(hù)等與工作無關(guān)的帳戶。

不顯示最后的用戶名

配置登錄登出后，不顯示用戶名稱。

操作步驟：

打開控制面板 > 管理工具 > 本地安全策略，在本地策略 > 安全選項中，雙擊交互式登錄:不顯示最后的用戶名，選擇已啟用并單擊確定。

1.2 口令

密碼復(fù)雜度

密碼復(fù)雜度要求必須滿足以下策略：

最短密碼長度要求八個字符。
啟用本機(jī)組策略中密碼必須符合復(fù)雜性要求的策略。
即密碼至少包含以下四種類別的字符中的兩種：

英語大寫字母 A, B, C, … Z
英語小寫字母 a, b, c, … z
西方阿拉伯?dāng)?shù)字 0, 1, 2, … 9
非字母數(shù)字字符，如標(biāo)點符號，@, #, $, %, &, *等

操作步驟

打開控制面板 > 管理工具 > 本地安全策略，在帳戶策略 > 密碼策略中，確認(rèn) 密碼必須符合復(fù)雜性要求策略已啟用。

帳戶鎖定策略

對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過10次后，鎖定該用戶使用的帳戶。

操作步驟

打開控制面板 > 管理工具 > 本地安全策略，在帳戶策略 > 帳戶鎖定策略中，配置帳戶鎖定閾值不大于10次。

配置樣例：

1.3 授權(quán)

用戶權(quán)限指派

在本地安全設(shè)置中，取得文件或其它對象的所有權(quán)權(quán)限只分配給Administrators組。

操作步驟

打開控制面板 > 管理工具 > 本地安全策略，在本地策略 > 用戶權(quán)限分配中，配置取得文件或其它對象的所有權(quán) 權(quán)限只分配給Administrators組。

2. 日志配置操作

2.1 日志配置

審核登錄

對用戶登錄進(jìn)行記錄。記錄內(nèi)容包括用戶登錄使用的帳戶、登錄是否成功、登錄時間、以及遠(yuǎn)程登錄時、及用戶使用的IP地址。

操作步驟

打開控制面板 > 管理工具 > 本地安全策略，在本地策略 > 審核策略中，設(shè)置審核登錄事件。

審核策略

啟用本地安全策略中對Windows系統(tǒng)的審核策略更改，成功和失敗操作都需要審核。

操作步驟

打開控制面板 > 管理工具 > 本地安全策略，在本地策略 > 審核策略中，設(shè)置審核策略更改。

審核對象訪問

啟用本地安全策略中對Windows系統(tǒng)的審核對象訪問，成功和失敗操作都需要審核。

操作步驟

打開控制面板 > 管理工具 > 本地安全策略，在本地策略 > 審核策略中，設(shè)置審核對象訪問。

審核事件目錄服務(wù)訪問

啟用本地安全策略中對Windows系統(tǒng)的審核目錄服務(wù)訪問，僅需要審核失敗操作。

操作步驟

打開控制面板 > 管理工具 > 本地安全策略，在本地策略 > 審核策略中，設(shè)置審核目錄服務(wù)器訪問。

審核特權(quán)使用

啟用本地安全策略中對Windows系統(tǒng)的審核特權(quán)使用，成功和失敗操作都需要審核。

操作步驟

打開控制面板 > 管理工具 > 本地安全策略，在本地策略 > 審核策略中，設(shè)置審核特權(quán)使用。

審核系統(tǒng)事件

啟用本地安全策略中對Windows系統(tǒng)的審核系統(tǒng)事件，成功和失敗操作都需要審核。

操作步驟

打開控制面板 > 管理工具 > 本地安全策略，在本地策略 > 審核策略中，設(shè)置審核系統(tǒng)事件。

審核帳戶管理

啟用本地安全策略中對Windows系統(tǒng)的審核帳戶管理，成功和失敗操作都要審核。

操作步驟

打開控制面板 > 管理工具 > 本地安全策略，在本地策略 > 審核策略中，設(shè)置審核帳戶管理。

審核過程追蹤

啟用本地安全策略中對Windows系統(tǒng)的審核進(jìn)程追蹤，僅失敗操作需要審核。

操作步驟

打開控制面板 > 管理工具 > 本地安全策略，在本地策略 > 審核策略中，設(shè)置審核進(jìn)程追蹤。

日志文件大小

設(shè)置應(yīng)用日志文件大小至少為 8192 KB，可根據(jù)磁盤空間配置日志文件大小，記錄的日志越多越好。并設(shè)置當(dāng)達(dá)到最大的日志尺寸時，按需要輪詢記錄日志。

操作步驟

打開控制面板 > 管理工具 > 事件查看器，配置應(yīng)用日志、系統(tǒng)日志、安全日志屬性中的日志大小，以及設(shè)置當(dāng)達(dá)到最大的日志尺寸時的相應(yīng)策略。

3. IP協(xié)議安全配置

3.1 IP協(xié)議安全

啟用SYN攻擊保護(hù)

啟用SYN攻擊保護(hù)。

指定觸發(fā)SYN洪水攻擊保護(hù)所必須超過的TCP連接請求數(shù)閾值為5。
指定處于 SYN_RCVD 狀態(tài)的 TCP 連接數(shù)的閾值為500。
指定處于至少已發(fā)送一次重傳的 SYN_RCVD 狀態(tài)中的 TCP 連接數(shù)的閾值為400。

操作步驟

打開注冊表編輯器，根據(jù)推薦值修改注冊表鍵值。

Windows Server 2012

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect
推薦值：2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpen
推薦值：500

Windows Server 2008

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect
推薦值：2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted
推薦值：5
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen
推薦值：500
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried
推薦值：400

4. 文件權(quán)限

4.1 共享文件夾及訪問權(quán)限

關(guān)閉默認(rèn)共享

非域環(huán)境中，關(guān)閉Windows硬盤默認(rèn)共享，例如C$，D$。

操作步驟

打開注冊表編輯器，根據(jù)推薦值修改注冊表鍵值。

注意： Windows Server 2012版本已默認(rèn)關(guān)閉Windows硬盤默認(rèn)共享，且沒有該注冊表鍵值。

HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer
推薦值： 0

共享文件夾授權(quán)訪問

每個共享文件夾的共享權(quán)限，只允許授權(quán)的帳戶擁有共享此文件夾的權(quán)限。

操作步驟

每個共享文件夾的共享權(quán)限僅限于業(yè)務(wù)需要，不要設(shè)置成為 Everyone。打開控制面板 > 管理工具 > 計算機(jī)管理，在共享文件夾中，查看每個共享文件夾的共享權(quán)限。

5. 服務(wù)安全

5.1 禁用TCP/IP上的NetBIOS

禁用TCP/IP上的NetBIOS協(xié)議，可以關(guān)閉監(jiān)聽的 UDP 137（netbios-ns）、UDP 138（netbios-dgm）以及 TCP 139（netbios-ssn）端口。

操作步驟

在計算機(jī)管理 > 服務(wù)和應(yīng)用程序 > 服務(wù) 中禁用 TCP/IP NetBIOS Helper 服務(wù)。
在網(wǎng)絡(luò)連接屬性中，雙擊 Internet協(xié)議版本4（TCP/IPv4），單擊高級。在 WINS 頁簽中，進(jìn)行如下設(shè)置：