实验环境
操作系统:Windows Server 2012
系统密码:
安全加固项
1、用户系统
1.1 加固项名称:
Administrator账户停用
加固说明:
防止 Administrator 账户被黑客爆破出密码,避免Administrator账户被黑客利用获取计算机系统权限。只有一个管理员账户时无法禁用,需要创建另一个管理员账户
操作步骤:
1、按下 win+r,输入 compmgmt.msc;
2、进入“计算机管理 -->系统工具-->本地用户和组-->用户”
3、右击Administrator用户,点击“属性”,勾选“账户已禁用”,修改完毕后点击确定
1.2 加固项名称:
Administrator重命名
加固说明:
管理员账号容易被猜解;对于管理员账号,要求更默认账户名称,提高系统安全性
操作步骤:
1.按下win+r,输入 compmgmt.msc;
2.进入“计算机管理->系统工具->本地用户和组->用户”;
3.右击Administrator用户,点击“重命名”,更改为其他名字,修改完毕后点击确定
1.3 加固项名称:
Guest账户停用
加固说明:
Guest账号容易被非法利用,禁用Guest(来宾)账号,提高系统安全性
操作步骤:
1.按下win+r,输入 compmgmt.msc;
2.进入“计算机管理->系统工具->本地用户和组->用户”;
3.右击Guest用户,点击“属性”,勾选“帐户已禁用”,修改完毕后点击确定
1.4加固项名称:
Guest账户重命名
加固说明:
Guest账号容易被猜解;对于Guest(来宾)账号,要求更默认账户名称,提高系统安全性
操作步骤:
1.按下win+r,输入 compmgmt.msc;
2.进入“计算机管理->系统工具->本地用户和组->用户”;
3.右击Guest用户,点击“重命名”,更改为其他名字,修改完毕后点击确定
1.5加固项名称:
关闭系统,仅Administrators组
加固说明:
防止管理员以外的用户非法关机,在本地安全设置中关闭系统仅指派给Administrators组
操作步骤:
4.开始->控制面板->系统和安全->管理工具->本地安全策略->本地策略->用户权限分配;
5.双击“关闭系统”->本地安全设置->修改仅Administrators组,修改完毕后点击确定
1.6加固项名称:
远程强制关机,仅Administrators组
加固说明:
仅允许 Administrators 组进行远端系统强制关机和关闭系统,避免非法用户关闭系统
操作步骤:
1.开始->控制面板->系统和安全-→管理工具->本地安全策略->本地策略->用户权限分配;
2.分别双击“关闭系统”和“从远程系统强制关机”选项,修改仅Administrators组,修改完毕后点击确定
1.7 加固项名称:
取得文件或其他对象的所有权限,仅Administrators组
加固说明:
防止用户非法获取文件,在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators
操作步骤:
1.开始->控制面板->系统和安全-→管理工具->本地安全策略->本地策略->用户权限分配;
2.双击“取得文件或其他对象的所有权”,修改仅Administrators组,修改完毕后点击确定
1.8加固项名称:
从网络访问此计算机,指定授权账户
加固说明:
防止网络用户非法访问主机,在组策略中只允许授权账号从网络访问(包括网络共享等,但不包括终端服务)此计算机
操作步骤:
1.开始->控制面板->系统和安全->管理工具->本地安全策略->本地策略->用户权限分配;
2.双击“从网络访问此计算机”,点击“添加用户或组”设置指定授权用户,修改完毕后点击确定
口令策略
2.1加固项名称:
密码长度最小值
加固说明:
密码长度过小容易被暴力破解
操作步骤:
1.开始->控制面板->系统和安全->管理工具->本地安全策略->账户策略->密码策略;
2.双击“密码长度最小值”,设置“密码长度最小值”为8个字符,点击确定
2.2加固项名称:
密码必须符合复杂性要求
加固说明:
口令长度不小于8位,由字母、数字和特殊字符组成,不得与账户名相同,避免口令被暴力破解
操作步骤:
1.开始->控制面板->系统和安全->管理工具->本地安全策略->账户策略->密码策略;
2.双击“密码必须符合复杂性要求”,选择“已启用”,点击确定
2.3 加固项名称:
密码最短使用期限
加固说明:
设置账户密码最短使用期限为0天,避免密码泄露后被利用
操作步骤:
1.开始->控制面板->系统和安全->管理工具->本地安全策略->账户策略->密码策略;
2.双击“密码最短使用期限”,设置“密码最短使用期限”为0天,点击确定
2.4加固项名称:
密码最长使用期限
加固说明:
设置账户口令的生存期不长于90天,避免密码泄露后被利用
操作步骤:
1.开始->控制面板->系统和安全->管理工具->本地安全策略->账户策略->密码策略;
2.双击“密码最长使用期限”,设置“密码最短使用期限”为90天,点击确定
2.5 加固项名称:
强制密码历史
加固说明:
防止密码重复使用。许多用户希望在较长的时间段内为其账户重复使用相同的密码。为特定账户使用相同密码的时间越长,攻击者通过暴力攻击确定密码的几率就越大。
操作步骤:
1.开始->控制面板->系统和安全->管理工具->本地安全策略->账户策略->密码策略;
2.双击“强制密码历史”,设置“强制密码历史”为5个,点击确定
2.6 加固项名称:
账户锁定阈值
加固说明:
配置当用户连续认证失败次数超过3次,锁定该用户使用的账户30分钟,避免账户被恶意用户暴力破解。默认为0则不符合安全加固要求
操作步骤:
1.开始->控制面板->系统和安全-→管理工具->本地安全策略->账户策略->账户锁定阀值;
2.双击“帐户锁定阈值”,设置“帐户锁定阈值”为3次,点击确定
2.7 加固项名称:
账户锁定时间
加固说明:
配置当用户连续认证失败次数超过设置的阀值,锁定该用户使用的账户30分钟,避免账户被恶意用户暴力破解。默认为0则不符合安全加固要求,大于等于30分钟则符合安全加固要求
操作步骤:
1.开始->控制面板->系统和安全->管理工具->本地安全策略->账户策略->账户锁定阀值;
2.双击“帐户锁定时间”,设置“帐户锁定时间”为30分钟,点击确定
2.8加固项名称:
重置账户锁定计数器
加固说明:
在某次登录尝试失败之后将登录尝试失败计数器重置为0次错误登录尝试之前需要的时间,默认为0则不符合安全加固要求,大于等于30分钟则符合安全加固要求
操作步骤:
1.开始->控制面板->系统和安全-→管理工具->本地安全策略->账户策略->账户锁定阀值;
2.双击“重置账户锁定计数器”,设置“重置账户锁定计数器”为60分钟,点击确定
系统日志
3.1加固项名称:
审核策略更改、审核登录事件、审核对象访问、审核进程跟踪、审核目录服务访问、审核特权使用、审核系统事件、审核账户登录事件、审核账户管理
加固说明:
通过本地组策略的方式打开审核策略,则可以记录用户大部分在操作系统上所作的操作,对于事后的应急响应入侵排查起到了至关重要的作用。对应的安全策略都开启则符合安全加固要求
操作步骤:
1.开始->控制面板->系统和安全->管理工具->本地安全策略->本地策略->审核策略;
2.双击上述加固项,并勾选“成功”和“失败”,点击确定
访问控制登录超时安全选项
4.1加固项名称:
Microsoft 网络服务器:登录时间过期后断开与客户端的连接
加固说明:
此安全设置确定在连接到本地计算机的用户超出其用户账户的有效登录时间时是否断开与用户的连接。此设置会影响服务器消息块(SMB)组件。如果启用了此策略,一旦客户端的登录时间过期,该策略便会强制断开与SMB服务建立的客户端会话。开启则符合安全加固要求
操作步骤:
1.开始->控制面板->系统和安全-→管理工具->本地安全策略->本地策略->安全选项;
2.双击“Microsoft 网络服务器:登录时间过期后断开与客户端的连接”,并勾选“已启用”,点击确定
4.2 加固项名称:
交互式登录:提示用户过期之前修改密码
加固说明:
确定提前多长时间(以天为单位)向用户发出其密码即将过期的警告。借助该提前警告,用户有时间构造足够强大的密码。提前至少5天则符合安全加固要求
操作步骤:
1.开始->控制面板->系统和安全-→管理工具->本地安全策略->本地策略->安全选项;
2.双击“交互式登录:提示用户过期之前修改密码”,设置为5天,点击确定
4.3 加固项名称:
交互式登录:不显示最后的用户名
加固说明:
该安全设置确定是否在Windows登录屏幕中显示最后登录到计算机的用户的名称。如果启用该策略,则不会在登录屏幕中显示最后成功登录的用户的名称。若显示最后登录到计算机的用户的名称,则黑客可猜解此用户的密码
操作步骤:
1.开始->控制面板->系统和安全-→管理工具->本地安全策略->本地策略->安全选项;
2.双击“交互式登录:不显示最后的用户名”,并勾选“已启用”,点击确定
4.4 加固项名称:
网络访问:本地帐户的共享和安全模型
加固说明:
对登陆的用户进行身份验证,对不同的用户授予不同类型的访问权限,提高系统安全性
操作步骤:
1.开始->控制面板->系统和安全->管理工具->本地安全策略->本地策略->安全选项;
2.双击“网络访问:本地账户的共享和安全模型”,并选择“经典”,点击确定
4.5加固项名称:
网络访问:不允许SAM账户的匿名枚举
加固说明:
Windows 允许匿名用户执行某些操枚举用户得操作,防止黑客枚举用户名并猜解其密码
操作步骤:
1.开始->控制面板->系统和安全->管理工具->本地安全策略->本地策略->安全选项;
2.双击“网络访问:不允许SAM账户的匿名枚举”,并勾选“已启用”,点击确定
4.6加固项名称:
账户:使用空密码的本地账户只允许进行控制台登录
加固说明:
此安全设置确定未进行密码保护的本地账户是否可以用于从物理计算机控制台之外的位置登录。如果启用此设置,则未进行密码保护的本地账户将仅能够通过计算机的键盘登录
操作步骤:
1.开始->控制面板->系统和安全->管理工具->本地安全策略->本地策略->安全选项;
2.双击“帐户:使用空密码的本地账户只允许进行控制台登录”,并勾选“已启用”,点击确定
4.7加固项名称:
用户账户控制:提示提升时切换到安全桌面
加固说明:
管理员和标准用户的所有权限提升请求都将转至安全桌面,相对而言安全桌面可帮助防止输入和输出欺骗
操作步骤:
1.开始->控制面板->系统和安全->管理工具->本地安全策略->本地策略->安全选项;
2.双击“用户账户控制:提示提升时切换到安全桌面”,并勾选“已启用”,点击确定
5.信息保护
5.1加固项名称:
检查是否关闭默认共享盘
加固说明:
关闭不必要的共享文件夹,防止敏感信息泄露
操作步骤:
1.开始->控制面板->系统和安全->管理工具->计算机管理->共享文件夹->共享;
2.查看右侧窗口,选择对应的共享文件夹(例如C$、D$、ADMIN$、IPC$等),右击停止共享
5.2 加固项名称:
禁止全部驱动器自动播放
加固说明:
将介质插入驱动器,自动播放就开始从驱动器中进行读取操作。这样,程序的安装文件和音频媒体上的音乐将立即启动,这可能导致一些伪装的恶意程序被执行
操作步骤:
1.开始->控制面板->硬件->自动播放;
2.所有的驱动器都选择“不执行操作”,点击保存
5.3 加固项名称:
检查共享文件夹中授权账户是否为指定账户
加固说明:
不同的共享文件夹需要对不同的账户指定不同的权限,防止非法用户读取敏感文件,需指定一个账户用来文件共享
操作步骤:
1.开始->控制面板->系统和安全->管理工具->计算机管理->共享文件夹->共享;
2.查看右侧窗口,选择对应的共享文件夹(例如C$、D$、ADMIN$、IPC$等),右击选择“属性”;
3.切换到共享->高级共享->权限,然后设置指定用户,点击确定
5.4加固项名称:
检查是否关闭了远程注册表
加固说明:
关闭则符合要求,
操作步骤:
1.按住win+r键,输入services.msc;
2.找到Remote Registy,右键选择“属性”,“启动类型”选择“禁用”