【正文】 德信誠(chéng) 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) Windows 主機(jī)安全配置 手冊(cè) 1. 適用范圍 本文檔的適用操作系統(tǒng)為 Microsoft Windows 2020 Server/Advanced Server Microsoft Windows 2020 Server/Advanced Server 2 更新要求 本文檔每年必須由負(fù)責(zé)人員重新審查內(nèi)容，并按照需求修正。 各操作系統(tǒng)廠(chǎng)商推出新版本時(shí)，亦必須重新審查內(nèi)容及修正。 用戶(hù)、用戶(hù)組及其權(quán)限管理 描述：創(chuàng)建用戶(hù)組和用戶(hù)，并對(duì)其分配合適的 權(quán)限是 WINDOWS 安全機(jī)制的核心內(nèi)容之一。 編號(hào)： 3001 名稱(chēng)： 對(duì)系統(tǒng)管理員賬號(hào)進(jìn)行限制 重要等級(jí)： 高 基本信息： 系統(tǒng)管理員對(duì)系統(tǒng)具有最高的權(quán)限， Windows 系統(tǒng)管理員的默認(rèn)賬號(hào)名為Administrator，很容易成為攻擊者猜測(cè)和攻擊的重要目標(biāo)，因此需要對(duì)系統(tǒng)管理員賬號(hào)作出必要的設(shè)置。 檢測(cè)內(nèi)容： 德信誠(chéng) 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) ? 查看是否有名為 administrator 的用戶(hù)帳號(hào)； ? 查看 administrator 用戶(hù)是否屬于 administrators 組 建議操作： ? 將系統(tǒng)管理員賬號(hào)重命名為一個(gè)普通的、不易引起注意的賬號(hào)名 ? 打開(kāi) 控制面板 ?管理工具 ?本地安全策略； ? 選擇本地策略 ?安全選項(xiàng)； ? 改寫(xiě)：重命名管理員帳戶(hù)； ? 建立一個(gè)以 administrator 命名的賬號(hào)，將所屬用戶(hù)組清除，即所屬組為空，不賦予該帳號(hào)權(quán)限； ? 管理員賬號(hào)的口令應(yīng)該遵循比“密碼策略”更嚴(yán)格的策略 操作結(jié)果： ? 對(duì)系統(tǒng)管理員賬號(hào)進(jìn)行限制，一般不會(huì)對(duì)系統(tǒng)造成任何不良的影響。 ? 有少數(shù)應(yīng)用軟件需要 administrator 名的系統(tǒng)用戶(hù)，請(qǐng)視應(yīng)用情況對(duì)該項(xiàng)進(jìn)行修改。 密碼策略 編號(hào)： 3002 名稱(chēng)： 密碼策略 重要等級(jí)： 高 基本信息： 通過(guò)啟用“ 密碼必須符合復(fù)雜性要求”，設(shè)置“密碼長(zhǎng)度最小值”、“密碼最長(zhǎng)存留期”、“密碼最短存留期”、“密碼強(qiáng)制歷史”，停用“為域中用戶(hù)使用可還原的 德信誠(chéng) 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) 加密來(lái)存儲(chǔ)”可以明顯的提高用戶(hù)賬戶(hù)的安全性。 檢測(cè)內(nèi)容： ? 查看本地安全策略 |賬戶(hù)策略 |密碼策略來(lái)核實(shí)是否設(shè)置了合適的密碼策略 ? 打開(kāi)控制面板 ?管理工具 ?本地安全策略； ? 選擇帳戶(hù)策略 ?密碼策略； ? 檢查各項(xiàng)設(shè)置； 建議操作： ? 啟用“密碼必須必須符合復(fù)雜性要求”； ? “密碼最小長(zhǎng)度”大于 7； ? “密碼最長(zhǎng)存留期”小于 90天； ? “密碼最短存留期”大于 5天； ? “密碼強(qiáng)制歷史”不小 于 5； ? 停用“為域中用戶(hù)使用可還原的加密來(lái)存儲(chǔ)”； 操作結(jié)果： ? 密碼策略對(duì)已經(jīng)存在的密碼無(wú)效，需要對(duì)已存在的密碼進(jìn)行檢查 ? 進(jìn)行密碼策略設(shè)置，不會(huì)對(duì)系統(tǒng)造成任何不良的影響。 ? 特例：在安全策略中定義的策略和添加用戶(hù)時(shí)選擇的密碼永不過(guò)期和用戶(hù)無(wú)法自己修改密碼，以后者為準(zhǔn)。 德信誠(chéng) 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) 賬戶(hù)鎖定策略 編號(hào)： 3003 名稱(chēng)： 賬戶(hù)鎖定策略 重要等級(jí)： 高 基本信息： 通過(guò)設(shè)置“賬戶(hù)鎖定時(shí)間”，“賬戶(hù)鎖定閾值”，“復(fù)位賬戶(hù)鎖定計(jì)數(shù)器”來(lái)防止遠(yuǎn)程的密碼猜測(cè)攻擊。 檢測(cè)內(nèi)容： ? 查看本地安全策略 |賬戶(hù)策略 |賬戶(hù)鎖定策略來(lái)核實(shí)是否設(shè)置了合適的密碼策略 ? 打開(kāi)控制面板 ?管理工具 ?本地安全策略； ? 選擇帳戶(hù)策略 ?帳戶(hù)鎖定策略； ? 檢查各項(xiàng)設(shè)置； 建議操作： ? “復(fù)位賬戶(hù)鎖定計(jì)數(shù)器”時(shí)間不短于 5分鐘； ? “賬戶(hù)鎖定時(shí)間”不短于 5 分鐘； ? “賬戶(hù)鎖定閾值”不多于 10 次； 操作結(jié)果： ? 進(jìn)行賬戶(hù)鎖定策略設(shè)置時(shí)，不會(huì)對(duì)系統(tǒng)造成任何不良的影響。 遠(yuǎn)程訪(fǎng)問(wèn)主機(jī)系統(tǒng) 德信誠(chéng) 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) 描述：被配置為接受遠(yuǎn)程訪(fǎng)問(wèn)連接的任何基于 Windows 的計(jì)算機(jī)用戶(hù)。 對(duì)可以遠(yuǎn)程使用 tel服務(wù)的用戶(hù)進(jìn)行限定 編號(hào)： 3004 名稱(chēng)： 對(duì)可以遠(yuǎn)程使用 tel服務(wù)的用戶(hù)進(jìn)行限定 重要等級(jí)： 中 基本信息： Windows 系統(tǒng)從 2020 開(kāi)始提供遠(yuǎn)程 tel 訪(fǎng)問(wèn)服務(wù)，建議不要開(kāi)啟 tel服務(wù)，如特殊情況必須開(kāi)啟 tel 服務(wù)，必須遵守本規(guī)定對(duì)可以遠(yuǎn)程訪(fǎng)問(wèn)tel 服務(wù)的用戶(hù)進(jìn)行限制。 檢測(cè)內(nèi)容： 檢測(cè)是否為 Tel 終端創(chuàng)建了 TelClients 組，并賦予恰當(dāng)?shù)脑L(fǎng)問(wèn)權(quán)限。 建議操作： ? 創(chuàng)建 TelClients 組，并將需要遠(yuǎn)程使用 tel 服務(wù)的用戶(hù)加入該組 ? 對(duì) TelClients 組進(jìn)行授權(quán) ? 打開(kāi) 控制面板 ?管理工具 ?本地安全策略； ? 本地策略 ?用戶(hù)權(quán)力指派； ? 按需要進(jìn)行授權(quán)； 操作結(jié)果： ? 進(jìn)行 TelClients 賬戶(hù)授權(quán)策略設(shè)置時(shí)，不會(huì)對(duì)系統(tǒng)造成任何不良的影響。 ? 需要注意盡量避免對(duì) Administrator 組用戶(hù)進(jìn)行授權(quán)修改，以免造成系統(tǒng) 德信誠(chéng) 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) 應(yīng)用、管理失敗。 Pcanywhere 遠(yuǎn)程接入 編號(hào)： 3005 名稱(chēng)： Pcanywhere遠(yuǎn)程接入安全設(shè)置 重要等級(jí)： 中 基本信息： Windows 系統(tǒng)可以使用 Pcanywhere 工具方式進(jìn)行遠(yuǎn)程管理，遵守一下設(shè)定對(duì)可以提高遠(yuǎn)程管 理安全性。 檢測(cè)內(nèi)容： ? 是否使用高版本（ ）軟件，較低版本軟件存在大量安全漏洞 ? 是否設(shè)置加密傳輸，建議采用 pcanywhere 加密級(jí)別 ? 回話(huà)結(jié)束后是否注銷(xiāo)用戶(hù) 建議操作： ? 創(chuàng)建新被控端 ? 對(duì)被控端進(jìn)行安全配置 ? 選擇 TCP/IP 方式； ? 設(shè)置面板 ?回話(huà)正常（異常）結(jié)束后使用注銷(xiāo)用戶(hù)保護(hù)； ? 安全選項(xiàng) ?限制每個(gè)呼叫登陸嘗試次數(shù)為 3，完成登陸時(shí)間為 3 分鐘； ? 安全選項(xiàng) ?設(shè)置加密為 pcanywhere 級(jí)別，拒絕較低加密級(jí)別； 德信誠(chéng) 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) 操作結(jié)果： ? 設(shè)置生效需要重新啟動(dòng) Pcanywhere 服務(wù)，主控端應(yīng)配置與被控端 相應(yīng)加密級(jí)別； ? 需要注意本設(shè)置與系統(tǒng)本身認(rèn)證機(jī)制無(wú)關(guān)。 系統(tǒng)補(bǔ)丁 描述：補(bǔ)丁是實(shí)現(xiàn) Windows 主機(jī)系統(tǒng)安全的重要途徑。 Windows補(bǔ)丁 編號(hào)： 3006 名稱(chēng)： 安裝 Windows 補(bǔ)丁 重要等級(jí)： 高 基本信息： 補(bǔ)丁是實(shí)現(xiàn) Windows 主機(jī)系統(tǒng)安全的重要途徑。針對(duì) Windows 2020 操作系統(tǒng)的漏洞，微軟已經(jīng)發(fā)布了三個(gè)大補(bǔ)丁包 Windows 2020 Service Pack 3。 針對(duì) Windows NT4 操作系統(tǒng)的漏洞，微軟已經(jīng)發(fā)布到的最高補(bǔ)丁版本為 SP6a。 及時(shí)安裝最近的 service pack后發(fā)布的 Hotfix 補(bǔ)丁也十分重要。 檢測(cè)內(nèi)容： 1. 使用 Windows Update 在線(xiàn)更新工具；（對(duì) NT 系統(tǒng)無(wú)效） ? 點(diǎn)擊 “ 開(kāi)始－ Windows Update” 直接連接到微軟的 Windows Update 網(wǎng)站； ? 點(diǎn)擊掃描檢測(cè)最新的補(bǔ)丁。補(bǔ)丁分為與安全相關(guān)、與 Windows 相關(guān)和與驅(qū)動(dòng)相關(guān)三個(gè)部分。 ? 掃描的結(jié)果就是該 Windows 主機(jī)系統(tǒng)上所有沒(méi)有安裝的補(bǔ)丁。 德信誠(chéng) 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) 2. 使用微軟的微軟安全分析 (MBSA)工具； ? 下載地址： b15c/ ? 然后雙擊安裝 ； ? 啟動(dòng) Microsoft Baseline Security Analyzer，得出掃描結(jié)果。 3. 使用 hfchk 工 具；（本工具建議在線(xiàn)使用） ? 首先下載該工具 ，下載地址： / ? 安裝 ? 在命令行方式 轉(zhuǎn)到安裝目錄下，輸入 ，回車(chē)即可。 4. 對(duì)于沒(méi)有與 Inter 相連的主機(jī)，如何通過(guò)離線(xiàn)的方式檢查系統(tǒng)未安裝的補(bǔ)??？ 注： 上面提到方法任選其一。 建議操作： 根據(jù)使用 “ 檢測(cè)內(nèi)容 ” 中提到的補(bǔ)丁測(cè)試方法，對(duì)系統(tǒng)進(jìn)行全面的測(cè)試，然后根據(jù)實(shí)際結(jié)果確定更新系統(tǒng)的哪些補(bǔ)丁程序。 下面給出部分與微軟 windows 2020 和 windows NT 系統(tǒng)補(bǔ)丁相關(guān)的下載網(wǎng)址： 微軟簡(jiǎn)體中文更新網(wǎng)址： 微軟英文更新網(wǎng)址： 德信誠(chéng) 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) Windows 2020 簡(jiǎn)體中文版 SP3 下載網(wǎng)址： Windows 2020 英文版 SP3 下載網(wǎng)址： Windows NT SP6a 下載網(wǎng)址： .asp Windows NT SP6a 安全補(bǔ)丁集合 (SRP) 下載網(wǎng)址： asp 1. 下載完畢后，雙擊補(bǔ)丁程序，按照安裝過(guò)程給出 的提示，一步一步進(jìn)行。 2. 安裝結(jié)束后，重新啟動(dòng)系統(tǒng)即可。 3. hotfix 的安裝過(guò)程與 SP 補(bǔ)丁相同，安裝完畢后根據(jù)安裝程序的提示決定是否需要重新啟動(dòng)機(jī)器。 4. 對(duì)于沒(méi)有直接與 Inter 互聯(lián)的主機(jī)，可利用微軟提供的光盤(pán)升級(jí)包完成補(bǔ)丁加載；或在 Inter 網(wǎng)絡(luò)上的主機(jī)下載最新升級(jí)包并刻錄至光盤(pán)載體，在需升級(jí)的主機(jī)上安裝。 操作結(jié)果： 德信誠(chéng) 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) Windows 的補(bǔ)丁是系統(tǒng)安全中重要組成部分，通常情況下安裝補(bǔ)丁不會(huì)對(duì)系統(tǒng)造成任何不良的影響。 注意： 在安裝系統(tǒng)補(bǔ)丁的過(guò)程中不能夠使系統(tǒng)斷電或非正常安裝完畢而重新啟動(dòng)系統(tǒng)， 這樣可能會(huì)造成系統(tǒng)不能正常啟動(dòng)的嚴(yán)重后果。 德信誠(chéng) 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) 文件系統(tǒng)增強(qiáng) 描述： NTFS 支持細(xì)致的文件權(quán)限控制，磁盤(pán)配額管理、文件加密等特性。 NTFS 可為用戶(hù)提供更高層次的安全保證。而 FAT 和 FAT32 系統(tǒng)則不具備上述特性。 NTFS文件系統(tǒng) 編號(hào)： 3007 名稱(chēng)： 使用 NTFS 文件系統(tǒng) 重要等級(jí)： 高 基本信息： NTFS 是微軟 Windows NT/2020/XP 支持的文件系統(tǒng)。 NTFS 支持細(xì)致的文件權(quán)限控制，磁盤(pán)配額管理、文件加密等特性。 NTFS 可為用戶(hù)提供更高層次的安全保證。 檢測(cè) 內(nèi)容： 打開(kāi) “ 我的電腦 ”―― 選中要檢測(cè)的磁盤(pán)驅(qū)動(dòng)器 ―― 單擊鼠標(biāo)右鍵選擇 “ 屬性 ”―― 查看文件系統(tǒng)類(lèi)型，是否為 NTFS 格式； 建議操作： 如果文件系統(tǒng)類(lèi)型不是 NTFS 格式，需要轉(zhuǎn)換為 NTFS 格式，以增加文件系統(tǒng)的安全性。 具體方法： 在 cmd（命令行）方式下，鍵入： convert 驅(qū)動(dòng)器盤(pán)符 : /fs:ntfs 注：一旦將某個(gè)驅(qū)動(dòng)器或分區(qū)轉(zhuǎn)換為 NTFS 格式，您便無(wú)法將其恢復(fù)回 FAT 或 FAT32 格式。如需返回 FAT 或 FAT32 格式，您必須對(duì)驅(qū)動(dòng)器或分區(qū)進(jìn)行重新格式化，并從相應(yīng)分區(qū)上刪除包括程序及 個(gè)人文件在內(nèi)的所有數(shù)據(jù)。 操作結(jié)果： 德信誠(chéng) 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) ? 實(shí)施文件系統(tǒng)安全增強(qiáng)，不會(huì)對(duì)系統(tǒng)造成任何不良的影響。 ? 注意：微軟沒(méi)有提供將 NTFS 系統(tǒng)轉(zhuǎn)換為其它的文件系統(tǒng)，如 FAT 和 FAT32 的功能，如要對(duì)文件系統(tǒng)進(jìn)行其它格式轉(zhuǎn)換需使用第三方工具完成。 刪除 OS/2 和 POSIX 子系統(tǒng) 編號(hào)： 3008 名稱(chēng)： 刪除 OS/2 和 POSIX 子系統(tǒng) 重要等級(jí)： 中 基本信息： Windows2020 和 NT 系統(tǒng)提供了 OS/2 和 POSIX 操作環(huán)境子系統(tǒng)。這些子系統(tǒng)一般情況下不會(huì)使用，應(yīng)該卸載 OS/2 和 POSIX 子系統(tǒng)。 檢測(cè)內(nèi)容： 檢測(cè)注冊(cè)表下面的鍵值： 配置單元項(xiàng) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OS/2 Subsystem for NT 檢測(cè)內(nèi)容 所有子項(xiàng) 配置單元項(xiàng) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control \Session Manager\Environment 名稱(chēng) Os2LibPath 檢測(cè)內(nèi)容 是否存在