【正文】 德信誠 培訓(xùn)網(wǎng) 更多免費資料下載請進(jìn)： 好好學(xué)習(xí)社區(qū) Windows 主機安全配置 手冊 1. 適用范圍 本文檔的適用操作系統(tǒng)為 Microsoft Windows 2020 Server/Advanced Server Microsoft Windows 2020 Server/Advanced Server 2 更新要求 本文檔每年必須由負(fù)責(zé)人員重新審查內(nèi)容，并按照需求修正。 各操作系統(tǒng)廠商推出新版本時，亦必須重新審查內(nèi)容及修正。 用戶、用戶組及其權(quán)限管理 描述：創(chuàng)建用戶組和用戶，并對其分配合適的 權(quán)限是 WINDOWS 安全機制的核心內(nèi)容之一。 編號： 3001 名稱： 對系統(tǒng)管理員賬號進(jìn)行限制 重要等級： 高 基本信息： 系統(tǒng)管理員對系統(tǒng)具有最高的權(quán)限， Windows 系統(tǒng)管理員的默認(rèn)賬號名為Administrator，很容易成為攻擊者猜測和攻擊的重要目標(biāo)，因此需要對系統(tǒng)管理員賬號作出必要的設(shè)置。 檢測內(nèi)容： 德信誠 培訓(xùn)網(wǎng) 更多免費資料下載請進(jìn)： 好好學(xué)習(xí)社區(qū) ? 查看是否有名為 administrator 的用戶帳號； ? 查看 administrator 用戶是否屬于 administrators 組 建議操作： ? 將系統(tǒng)管理員賬號重命名為一個普通的、不易引起注意的賬號名 ? 打開 控制面板 ?管理工具 ?本地安全策略； ? 選擇本地策略 ?安全選項； ? 改寫：重命名管理員帳戶； ? 建立一個以 administrator 命名的賬號，將所屬用戶組清除，即所屬組為空，不賦予該帳號權(quán)限； ? 管理員賬號的口令應(yīng)該遵循比“密碼策略”更嚴(yán)格的策略 操作結(jié)果： ? 對系統(tǒng)管理員賬號進(jìn)行限制，一般不會對系統(tǒng)造成任何不良的影響。 ? 有少數(shù)應(yīng)用軟件需要 administrator 名的系統(tǒng)用戶，請視應(yīng)用情況對該項進(jìn)行修改。 密碼策略 編號： 3002 名稱： 密碼策略 重要等級： 高 基本信息： 通過啟用“ 密碼必須符合復(fù)雜性要求”，設(shè)置“密碼長度最小值”、“密碼最長存留期”、“密碼最短存留期”、“密碼強制歷史”，停用“為域中用戶使用可還原的 德信誠 培訓(xùn)網(wǎng) 更多免費資料下載請進(jìn)： 好好學(xué)習(xí)社區(qū) 加密來存儲”可以明顯的提高用戶賬戶的安全性。 檢測內(nèi)容： ? 查看本地安全策略 |賬戶策略 |密碼策略來核實是否設(shè)置了合適的密碼策略 ? 打開控制面板 ?管理工具 ?本地安全策略； ? 選擇帳戶策略 ?密碼策略； ? 檢查各項設(shè)置； 建議操作： ? 啟用“密碼必須必須符合復(fù)雜性要求”； ? “密碼最小長度”大于 7； ? “密碼最長存留期”小于 90天； ? “密碼最短存留期”大于 5天； ? “密碼強制歷史”不小 于 5； ? 停用“為域中用戶使用可還原的加密來存儲”； 操作結(jié)果： ? 密碼策略對已經(jīng)存在的密碼無效，需要對已存在的密碼進(jìn)行檢查 ? 進(jìn)行密碼策略設(shè)置，不會對系統(tǒng)造成任何不良的影響。 ? 特例：在安全策略中定義的策略和添加用戶時選擇的密碼永不過期和用戶無法自己修改密碼，以后者為準(zhǔn)。 德信誠 培訓(xùn)網(wǎng) 更多免費資料下載請進(jìn)： 好好學(xué)習(xí)社區(qū) 賬戶鎖定策略 編號： 3003 名稱： 賬戶鎖定策略 重要等級： 高 基本信息： 通過設(shè)置“賬戶鎖定時間”，“賬戶鎖定閾值”，“復(fù)位賬戶鎖定計數(shù)器”來防止遠(yuǎn)程的密碼猜測攻擊。 檢測內(nèi)容： ? 查看本地安全策略 |賬戶策略 |賬戶鎖定策略來核實是否設(shè)置了合適的密碼策略 ? 打開控制面板 ?管理工具 ?本地安全策略； ? 選擇帳戶策略 ?帳戶鎖定策略； ? 檢查各項設(shè)置； 建議操作： ? “復(fù)位賬戶鎖定計數(shù)器”時間不短于 5分鐘； ? “賬戶鎖定時間”不短于 5 分鐘； ? “賬戶鎖定閾值”不多于 10 次； 操作結(jié)果： ? 進(jìn)行賬戶鎖定策略設(shè)置時，不會對系統(tǒng)造成任何不良的影響。 遠(yuǎn)程訪問主機系統(tǒng) 德信誠 培訓(xùn)網(wǎng) 更多免費資料下載請進(jìn)： 好好學(xué)習(xí)社區(qū) 描述：被配置為接受遠(yuǎn)程訪問連接的任何基于 Windows 的計算機用戶。 對可以遠(yuǎn)程使用 tel服務(wù)的用戶進(jìn)行限定 編號： 3004 名稱： 對可以遠(yuǎn)程使用 tel服務(wù)的用戶進(jìn)行限定 重要等級： 中 基本信息： Windows 系統(tǒng)從 2020 開始提供遠(yuǎn)程 tel 訪問服務(wù)，建議不要開啟 tel服務(wù)，如特殊情況必須開啟 tel 服務(wù)，必須遵守本規(guī)定對可以遠(yuǎn)程訪問tel 服務(wù)的用戶進(jìn)行限制。 檢測內(nèi)容： 檢測是否為 Tel 終端創(chuàng)建了 TelClients 組，并賦予恰當(dāng)?shù)脑L問權(quán)限。 建議操作： ? 創(chuàng)建 TelClients 組，并將需要遠(yuǎn)程使用 tel 服務(wù)的用戶加入該組 ? 對 TelClients 組進(jìn)行授權(quán) ? 打開 控制面板 ?管理工具 ?本地安全策略； ? 本地策略 ?用戶權(quán)力指派； ? 按需要進(jìn)行授權(quán)； 操作結(jié)果： ? 進(jìn)行 TelClients 賬戶授權(quán)策略設(shè)置時，不會對系統(tǒng)造成任何不良的影響。 ? 需要注意盡量避免對 Administrator 組用戶進(jìn)行授權(quán)修改，以免造成系統(tǒng) 德信誠 培訓(xùn)網(wǎng) 更多免費資料下載請進(jìn)： 好好學(xué)習(xí)社區(qū) 應(yīng)用、管理失敗。 Pcanywhere 遠(yuǎn)程接入 編號： 3005 名稱： Pcanywhere遠(yuǎn)程接入安全設(shè)置 重要等級： 中 基本信息： Windows 系統(tǒng)可以使用 Pcanywhere 工具方式進(jìn)行遠(yuǎn)程管理，遵守一下設(shè)定對可以提高遠(yuǎn)程管 理安全性。 檢測內(nèi)容： ? 是否使用高版本（ ）軟件，較低版本軟件存在大量安全漏洞 ? 是否設(shè)置加密傳輸，建議采用 pcanywhere 加密級別 ? 回話結(jié)束后是否注銷用戶 建議操作： ? 創(chuàng)建新被控端 ? 對被控端進(jìn)行安全配置 ? 選擇 TCP/IP 方式； ? 設(shè)置面板 ?回話正常（異常）結(jié)束后使用注銷用戶保護； ? 安全選項 ?限制每個呼叫登陸嘗試次數(shù)為 3，完成登陸時間為 3 分鐘； ? 安全選項 ?設(shè)置加密為 pcanywhere 級別，拒絕較低加密級別； 德信誠 培訓(xùn)網(wǎng) 更多免費資料下載請進(jìn)： 好好學(xué)習(xí)社區(qū) 操作結(jié)果： ? 設(shè)置生效需要重新啟動 Pcanywhere 服務(wù)，主控端應(yīng)配置與被控端 相應(yīng)加密級別； ? 需要注意本設(shè)置與系統(tǒng)本身認(rèn)證機制無關(guān)。 系統(tǒng)補丁 描述：補丁是實現(xiàn) Windows 主機系統(tǒng)安全的重要途徑。 Windows補丁 編號： 3006 名稱： 安裝 Windows 補丁 重要等級： 高 基本信息： 補丁是實現(xiàn) Windows 主機系統(tǒng)安全的重要途徑。針對 Windows 2020 操作系統(tǒng)的漏洞，微軟已經(jīng)發(fā)布了三個大補丁包 Windows 2020 Service Pack 3。 針對 Windows NT4 操作系統(tǒng)的漏洞，微軟已經(jīng)發(fā)布到的最高補丁版本為 SP6a。 及時安裝最近的 service pack后發(fā)布的 Hotfix 補丁也十分重要。 檢測內(nèi)容： 1. 使用 Windows Update 在線更新工具；（對 NT 系統(tǒng)無效） ? 點擊 “ 開始－ Windows Update” 直接連接到微軟的 Windows Update 網(wǎng)站； ? 點擊掃描檢測最新的補丁。補丁分為與安全相關(guān)、與 Windows 相關(guān)和與驅(qū)動相關(guān)三個部分。 ? 掃描的結(jié)果就是該 Windows 主機系統(tǒng)上所有沒有安裝的補丁。 德信誠 培訓(xùn)網(wǎng) 更多免費資料下載請進(jìn)： 好好學(xué)習(xí)社區(qū) 2. 使用微軟的微軟安全分析 (MBSA)工具； ? 下載地址： b15c/ ? 然后雙擊安裝 ； ? 啟動 Microsoft Baseline Security Analyzer，得出掃描結(jié)果。 3. 使用 hfchk 工 具；（本工具建議在線使用） ? 首先下載該工具 ，下載地址： / ? 安裝 ? 在命令行方式 轉(zhuǎn)到安裝目錄下，輸入 ，回車即可。 4. 對于沒有與 Inter 相連的主機，如何通過離線的方式檢查系統(tǒng)未安裝的補?。? 注： 上面提到方法任選其一。 建議操作： 根據(jù)使用 “ 檢測內(nèi)容 ” 中提到的補丁測試方法，對系統(tǒng)進(jìn)行全面的測試，然后根據(jù)實際結(jié)果確定更新系統(tǒng)的哪些補丁程序。 下面給出部分與微軟 windows 2020 和 windows NT 系統(tǒng)補丁相關(guān)的下載網(wǎng)址： 微軟簡體中文更新網(wǎng)址： 微軟英文更新網(wǎng)址： 德信誠 培訓(xùn)網(wǎng) 更多免費資料下載請進(jìn)： 好好學(xué)習(xí)社區(qū) Windows 2020 簡體中文版 SP3 下載網(wǎng)址： Windows 2020 英文版 SP3 下載網(wǎng)址： Windows NT SP6a 下載網(wǎng)址： .asp Windows NT SP6a 安全補丁集合 (SRP) 下載網(wǎng)址： asp 1. 下載完畢后，雙擊補丁程序，按照安裝過程給出 的提示，一步一步進(jìn)行。 2. 安裝結(jié)束后，重新啟動系統(tǒng)即可。 3. hotfix 的安裝過程與 SP 補丁相同，安裝完畢后根據(jù)安裝程序的提示決定是否需要重新啟動機器。 4. 對于沒有直接與 Inter 互聯(lián)的主機，可利用微軟提供的光盤升級包完成補丁加載；或在 Inter 網(wǎng)絡(luò)上的主機下載最新升級包并刻錄至光盤載體，在需升級的主機上安裝。 操作結(jié)果： 德信誠 培訓(xùn)網(wǎng) 更多免費資料下載請進(jìn)： 好好學(xué)習(xí)社區(qū) Windows 的補丁是系統(tǒng)安全中重要組成部分，通常情況下安裝補丁不會對系統(tǒng)造成任何不良的影響。 注意： 在安裝系統(tǒng)補丁的過程中不能夠使系統(tǒng)斷電或非正常安裝完畢而重新啟動系統(tǒng)， 這樣可能會造成系統(tǒng)不能正常啟動的嚴(yán)重后果。 德信誠 培訓(xùn)網(wǎng) 更多免費資料下載請進(jìn)： 好好學(xué)習(xí)社區(qū) 文件系統(tǒng)增強 描述： NTFS 支持細(xì)致的文件權(quán)限控制，磁盤配額管理、文件加密等特性。 NTFS 可為用戶提供更高層次的安全保證。而 FAT 和 FAT32 系統(tǒng)則不具備上述特性。 NTFS文件系統(tǒng) 編號： 3007 名稱： 使用 NTFS 文件系統(tǒng) 重要等級： 高 基本信息： NTFS 是微軟 Windows NT/2020/XP 支持的文件系統(tǒng)。 NTFS 支持細(xì)致的文件權(quán)限控制，磁盤配額管理、文件加密等特性。 NTFS 可為用戶提供更高層次的安全保證。 檢測 內(nèi)容： 打開 “ 我的電腦 ”―― 選中要檢測的磁盤驅(qū)動器 ―― 單擊鼠標(biāo)右鍵選擇 “ 屬性 ”―― 查看文件系統(tǒng)類型，是否為 NTFS 格式； 建議操作： 如果文件系統(tǒng)類型不是 NTFS 格式，需要轉(zhuǎn)換為 NTFS 格式，以增加文件系統(tǒng)的安全性。 具體方法： 在 cmd（命令行）方式下，鍵入： convert 驅(qū)動器盤符 : /fs:ntfs 注：一旦將某個驅(qū)動器或分區(qū)轉(zhuǎn)換為 NTFS 格式，您便無法將其恢復(fù)回 FAT 或 FAT32 格式。如需返回 FAT 或 FAT32 格式，您必須對驅(qū)動器或分區(qū)進(jìn)行重新格式化，并從相應(yīng)分區(qū)上刪除包括程序及 個人文件在內(nèi)的所有數(shù)據(jù)。 操作結(jié)果： 德信誠 培訓(xùn)網(wǎng) 更多免費資料下載請進(jìn)： 好好學(xué)習(xí)社區(qū) ? 實施文件系統(tǒng)安全增強，不會對系統(tǒng)造成任何不良的影響。 ? 注意：微軟沒有提供將 NTFS 系統(tǒng)轉(zhuǎn)換為其它的文件系統(tǒng)，如 FAT 和 FAT32 的功能，如要對文件系統(tǒng)進(jìn)行其它格式轉(zhuǎn)換需使用第三方工具完成。 刪除 OS/2 和 POSIX 子系統(tǒng) 編號： 3008 名稱： 刪除 OS/2 和 POSIX 子系統(tǒng) 重要等級： 中 基本信息： Windows2020 和 NT 系統(tǒng)提供了 OS/2 和 POSIX 操作環(huán)境子系統(tǒng)。這些子系統(tǒng)一般情況下不會使用，應(yīng)該卸載 OS/2 和 POSIX 子系統(tǒng)。 檢測內(nèi)容： 檢測注冊表下面的鍵值： 配置單元項 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OS/2 Subsystem for NT 檢測內(nèi)容 所有子項 配置單元項 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control \Session Manager\Environment 名稱 Os2LibPath 檢測內(nèi)容 是否存在