windows server 安全設(shè)置規(guī)范

鹽田教育局WINDOWS服務(wù)器安全設(shè)置規(guī)范,,,,

編號,檢查項(xiàng)目,操作項(xiàng)目及規(guī)范,是否進(jìn)行安全設(shè)置,備注

1,磁盤與陣列,所有分區(qū)為NTFS格式陣列為RAID5,是□否□,

,,關(guān)閉任何分區(qū)的自動運(yùn)行特性(金山殺毒可以關(guān)閉此特性),是□否□,

2,協(xié)議,"不要安裝不需要的協(xié)議，如IPX/SPX,NetBIOS,一般情況下僅TCP/IP協(xié)議即可",是□否□,

3,帳號,保證禁止guest帳號,是□否□,

,,將administrator改名為比較難猜的帳號(注意:需要與應(yīng)用系統(tǒng)開發(fā)人員確認(rèn)，以防導(dǎo)致應(yīng)用系統(tǒng)運(yùn)行異常),是□否□,

,,密碼唯一性：記錄上次的6個密碼,是□否□,

,,帳號失敗登錄鎖定的門限：10,是□否□,

,,鎖定后重新啟用的時間間隔：720分鐘,是□否□,

,,密碼使用字母、數(shù)字、特殊字符三者混合組成,是□否□,

,,建立另一個備用管理員賬號，防止特殊情況發(fā)生,是□否□,

,,設(shè)置“本地安全策略→本地策略→安全選項(xiàng)”中的匿名連接的額外限制為“不容許枚舉SAM賬號和共享”,是□否□,

,,設(shè)置“本地安全策略→本地策略→安全選項(xiàng)”中不顯示上次登錄用戶名,是□否□,

,,設(shè)置“本地安全策略→本地策略→中用戶權(quán)力指派”中限制更改系統(tǒng)時間、關(guān)閉系統(tǒng)的權(quán)力僅管理員。,是□否□,

4,"文件與目錄

權(quán)限","將C:\winnt,C:\winnt\config,C:\winnt\system32,C:\winnt\system等目錄的訪問權(quán)限做限制，限制everyone的寫權(quán)限，限制users組的讀寫權(quán)限",是□否□,

,,"將各分區(qū)的根目錄的everyone從權(quán)限列表中刪除,然后分別添加Administrators的權(quán)限。不要給Guests任何權(quán)限",是□否□,

,,運(yùn)行Sfc/enable啟動文件保護(hù)機(jī)制，以保護(hù)重要系統(tǒng)文件被修改。,是□否□,

,,WEB主目錄、系統(tǒng)、日志分別安裝在不同分區(qū),是□否□,

5,注冊表修正,限制LSA匿名訪問:將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA中RestricAnonymousREG_DWORD值設(shè)為1,是□否□,

,,去除所有網(wǎng)絡(luò)共享:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\中AutoShareServerREG_DWORD值設(shè)為0再創(chuàng)建一個AutoShareWks雙字節(jié)值，設(shè)置為0（注意大小寫）。,是□否□,

,,禁止建立空連接:Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous的值改成1,是□否□,

,,"有必要開遠(yuǎn)程桌面的服務(wù)器要修改服務(wù)端口:在“HKLM\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations”

處找到類似RDP-TCP的子鍵，修改PortNumber值。",是□否□,

,,"445端口惹出了不少問題關(guān)閉方法修改注冊表，添加一個鍵值HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters

Name:SMBDeviceEnabledType:REG_DWORDvalue:0",是□否□,

,,"通過修改注冊表防止小規(guī)模DDOS攻擊：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建""DWORD值""值名為""SynAttackProtect""數(shù)據(jù)值為""1""",是□否□,

6,隱藏服務(wù)器,隱藏服務(wù)器：減少來自局域網(wǎng)的嗅探netconfigserver/hidden:yes,是□否□,

7,禁用DUMP,"禁止dumpfile的產(chǎn)生,dump文件在系統(tǒng)崩潰和藍(lán)屏的時候是一份很有用的查找問題的資料。然而，它也能夠給黑客提供一些敏感信息比如一些應(yīng)用程序的密碼等?？刂泼姘?gt;系統(tǒng)屬性>高級>啟動和故障恢復(fù)把寫入調(diào)試信息改成無",是□否□,

8,禁用遠(yuǎn)程訪問,"打開組策略編輯器，依次展開“計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→本地策略→安全選項(xiàng)”，

在右側(cè)窗口中找到“網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑”，然后在打開的窗口中，將可遠(yuǎn)程訪問的注冊表路徑和子路徑內(nèi)容全部設(shè)置為空即可。",是□否□,

9,"本地安全

策略配置",賬戶策略>密碼策略>密碼最短使用期限改成0天[即密碼不過期],是□否□,

,,賬戶策略>賬戶鎖定策略>賬戶鎖定閾值5次賬戶鎖定時間10分鐘[個人推薦配置],是□否□,

,,"本地策略>審核策略>

賬戶管理成功失敗

登錄事件成功失敗

對象訪問失敗

策略更改成功失敗

特權(quán)使用失敗

系統(tǒng)事件成功失敗

目錄服務(wù)訪問失敗

賬戶登錄事件成功失敗",是□否□,

,,"本地策略>安全選項(xiàng)>清除虛擬內(nèi)存頁面文件更改為""已啟用""

>不顯示上次的用戶名更改為""已啟用""

>不需要按CTRL+ALT+DEL更改為""已啟用""

>不允許SAM賬戶的匿名枚舉更改為""已啟用""

>不允許SAM賬戶和共享的匿名枚舉更改為""已啟用""

>重命名來賓賬戶更改成一個復(fù)雜的賬戶名

>重命名系統(tǒng)管理員賬號更改一個自己用的賬號[同時可建立一個無用戶組的Administrat賬戶]

",是□否□,

10,"刪除不安全

組件","WScript.Shell、Shell.application這兩個組件一般一些ASP木馬或一些惡意程序都會使用到。

regsvr32/uwshom.ocx卸載WScript.Shell組件

regsvr32/ushell32.dll卸載Shell.application組件刪除前與應(yīng)用系統(tǒng)開發(fā)人員確認(rèn)

",是□否□,

11,關(guān)閉不必要的端口,"應(yīng)該封閉這些端口，主要有：TCP135、139、445、593、1025端口和UDP135、137、138、445端口，一些流行病毒的后門端口（如TCP2745、3127、6129端口），以及遠(yuǎn)程服務(wù)訪問端口3389。具體方法為：網(wǎng)上鄰居>屬性>本地連接>屬性>internet協(xié)議(tcp/ip)>屬性>高級>選項(xiàng)>tcp/ip篩選>屬性打開tcp/ip篩選，添加需要的tcp,udp,協(xié)議即可。

",是□否□,

12,刪除默認(rèn)共享,"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters新建DWORD值，名稱設(shè)為AutoShareServer值設(shè)為0

",是□否□,

13,禁止ADMIN$缺省共享,"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters項(xiàng)，添加鍵值A(chǔ)utoShareWKs、REG_DWORD設(shè)置值為0

",是□否□,

14,不讓系統(tǒng)顯示上次登錄的用戶名,"默認(rèn)情況下，登錄對話框中會顯示上次登錄的用戶名。這使得別人可以很容易地得到系統(tǒng)的一些用戶名，進(jìn)而做密碼猜測。修改注冊表可以不讓對話框里顯示上次登錄的用戶名。方法為：打開注冊表編輯器并找到注冊表“HKLM\Software\Microsoft\WindowsT\CurrentVersion\Winlogon\Dont-DisplayLastUserName”，把REG_SZ的鍵值改成1。

",是□否□,

15,隱藏重要文件/目錄,"

可以修改注冊表實(shí)現(xiàn)完全隱藏:“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠標(biāo)右擊“CheckedValue”，選擇修改，把數(shù)值由1改為0

",是□否□,

16,禁用DCOM,"

運(yùn)行中輸入Dcomcnfg.exe。回車，單擊“控制臺根節(jié)點(diǎn)”下的“組件服務(wù)”。打開“計(jì)算機(jī)”子文件夾。對于本地計(jì)算機(jī)，請以右鍵單擊“我的電腦”，然后選擇“屬性”。選擇“默認(rèn)屬性”選項(xiàng)卡。

清除“在這臺計(jì)算機(jī)上啟用分布式COM”復(fù)選框。

",是□否□,

17,關(guān)閉華醫(yī)生Dr.Watson,"

在開始-運(yùn)行中輸入""drwtsn32""，或者開始-程序-附件-系統(tǒng)工