【正文】 Performance Logs Performance Logs 是性能監(jiān)視記錄器建立的，它們可以通過編輯注冊(cè)表中的 HKLM\System\CurrentControlSet\Services\SysmonLog 的 DefaultLogFileFolder 值來完成。 。 （ 5）目錄列表記錄 管理員可以把它看成自己設(shè)定的 LOG 記錄，安排每天的一些敏感目錄列表復(fù)位向到你的LOG 分區(qū)是一個(gè)比較好的辦法，如果有新的文件突然產(chǎn)生，就可以跟蹤它。 建議操作： （ 1）更改日志文件目錄 通過修改注冊(cè)表來更改日志文件的存放目錄；（應(yīng)用程序 LOG，安全 LOG，系統(tǒng) LOG， DNS服務(wù)器 LOG，目錄服務(wù)，和文件復(fù)制服務(wù)的 LOG 文件都是可以通過 Eventlog 查看器查看的，他們的鍵值保存在 HKLM\System\CurrentControlSet\Services\Eventlog 下。 檢測(cè)內(nèi)容： ? 開啟對(duì)注冊(cè)表的審核，一定把審核事件降低到最低限度，防止日志文件過大。 檢測(cè)內(nèi)容： 通過檢測(cè)撥號(hào)與網(wǎng)絡(luò)連接的屬性頁中，連接上安裝的網(wǎng)絡(luò)組鍵和高級(jí) TCP/IP 設(shè)置屬性頁中的 WINS 欄里面有關(guān) bios 的設(shè) 置可以判斷文件和打印共享是否測(cè)底關(guān)閉 ” 建議操作： 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) ? 在撥號(hào)和網(wǎng)絡(luò)連接屬性里，取消“ Microsoft 網(wǎng)絡(luò)的文件和打印機(jī)共享” ? 在高級(jí) TCP/IP 設(shè)置屬性頁中的 WINS 欄里面，選擇“禁用 TCP/IP 上的 NetBios； 操作結(jié)果： 對(duì)于不需要共享文件和打印機(jī)的主機(jī)，采用上面策略不會(huì)對(duì)系統(tǒng)造成任何不良影響。 編號(hào)： 3036 名稱： 限制匿名網(wǎng)絡(luò)訪問 重要等級(jí)： 高 基本信息： Windows NT 、 2020 允許未授權(quán)用戶開列域中的用戶。 Windows 主機(jī)上共享服務(wù)的安全增強(qiáng) 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) 共享 編號(hào)： 3035 名稱： 刪除所有默認(rèn)的網(wǎng)絡(luò)共享 重要等級(jí)： 高 基本信息： 默認(rèn)的情況下，硬盤中所有邏輯分區(qū)都是被設(shè)置成共享的，但是通過網(wǎng)上鄰居是不能看見這些共享的分區(qū)，這種 “ 隱形 ” 就是通過共享名稱后面加上 “$” 來實(shí)現(xiàn)的，要訪問這些隱形的分區(qū)則必須使用 UNC 路徑，即在地址欄中鍵入 “ \\計(jì)算機(jī)名稱 \共享名 ” 或者使用映射網(wǎng)絡(luò)驅(qū)動(dòng)器將其映射成本地的硬盤，由于一些掃描網(wǎng)絡(luò)共享工具的出現(xiàn)，給設(shè)置了共享的主機(jī)帶來極大的不安全因素。 SLAMMER蠕蟲 編號(hào)： 3034 名稱： SLAMMER 蠕蟲 重要等級(jí)： 高 基本信息： 在 2020 年 1 月 24 日（周五）晚， Microsoft 發(fā)現(xiàn)一種導(dǎo)致世界范圍內(nèi)網(wǎng)絡(luò)流量激增的 Inter 攻擊，名為 Sapphire 或 Slammer 的蠕蟲病毒。 IP 限制 編號(hào)： 3033 名稱： 對(duì)網(wǎng)絡(luò)連接進(jìn)行 IP 限制 重要等級(jí)： 中 基本信息： SQL Server 2020 數(shù)據(jù)庫系統(tǒng)本身沒有提供網(wǎng)絡(luò)連接的安全解決辦法，但是 Windows 2020提供了這樣的安全機(jī)制。39。如果你需要這個(gè)存儲(chǔ)過程，請(qǐng)用這個(gè)語句也可以恢復(fù)過來。 檢測(cè)內(nèi)容： 審核數(shù)據(jù)庫登錄事件的“失敗和成功”， 建議操作： 如果你不需要擴(kuò)展存儲(chǔ)過程 xp_cmdshell 請(qǐng)把它去掉。 findstr /C:登錄 d:\Microsoft SQL Server\MSSQL\LOG\*.* 在實(shí)例屬性中選擇“安全性”，將其中的審核級(jí)別選定為全部，這樣在數(shù)據(jù)庫系統(tǒng)和操作系統(tǒng)日志里面，就詳細(xì)記錄了所有帳號(hào)的登錄事件。比如，只要查詢功能的，那么就使用一個(gè)簡(jiǎn)單的 public 帳號(hào)能夠 select 就可以了。安全的帳號(hào)策略還包括不要讓管理員權(quán)限的帳號(hào)泛濫。 操作結(jié)果： 在 IIS 服務(wù)器上更新根目錄的 CA 證書不會(huì)對(duì)系統(tǒng)造成任何不良的影響。 7. 單擊 “ 完成 ” 。 3. 選擇 “ 證書 ” 并單擊 “ 添加 ” 。 檢測(cè)內(nèi)容： 不知道發(fā)布根目錄證書的公司名稱，那么就不應(yīng)當(dāng)信任他們，刪除其證書！注意，不要?jiǎng)h除 Microsoft 或 VeriSign 根目錄。 3. 單擊“主屬性”。 編號(hào)： 3028 名稱： 刪除未使用的腳本映射 重要等級(jí)： 中 基本信息： IIS 被預(yù)先配置成支持常見的文件擴(kuò)展名，如 .asp 和 .shtm。 4. 選中 “ 啟用日志 ” 復(fù)選框。 編號(hào)： 3027 名稱： 啟用日志記錄 重要等級(jí)： 高 基本信息： 查看服務(wù)器是否正在受到攻擊，日志將非常重要 。 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) 16. 單擊“ Microsoft TechNet Security 屬性”對(duì)話框的“下載”選項(xiàng)卡。 12. 單擊“確定”。 8. 單擊“下一步”。 4. 選中“允許脫機(jī)使用”復(fù)選框。 IIS版本和安裝最新的補(bǔ)丁 編號(hào)： 3026 名稱： 及時(shí)升級(jí)最新的 IIS 版本和安裝最新的補(bǔ)丁 重要等級(jí)： 高 基本信息： IIS 的漏洞已經(jīng)成為危害 Windows 系統(tǒng)的主要安全隱患，解決 IIS 安全漏洞的最直接的 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) 辦法就是及時(shí)的升級(jí) IIS 版本和安裝最新的安全補(bǔ)丁。如果網(wǎng)絡(luò)中只有一個(gè) DNS 服務(wù)器，應(yīng)該禁止該功能；如果存在輔 DNS 服務(wù)器，應(yīng)該限制區(qū)域文件傳輸?shù)?DNS 服務(wù)器范圍。 建議操作： 若要禁用路由，打開 “ 控制面板 ” － “ 網(wǎng)絡(luò) ” － “ 協(xié)議 ” － “TCP/IP 協(xié)議 ” － “ 屬性 ”－ “ 路由 ” 然后清除 “ 啟用 IP 轉(zhuǎn)發(fā) ” 復(fù)選框。 操作結(jié)果： 上述設(shè)置加固 TCP/IP 堆棧，應(yīng)付 DoS 的攻擊，不會(huì)對(duì)系統(tǒng)造成任何不良的影響。 ? \Interfaces\PerformRouterDiscovery 未發(fā)現(xiàn) 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) ? 類型： REG_DWORD ? 推薦值： 0 ? 描述：設(shè)為 0 可以禁止 Windows 2020/NT 基于每個(gè)接口進(jìn)行路由器發(fā)現(xiàn)（ RFC 1256 討論這個(gè)問題），所以可以防止偽造的路由器攻擊（ Router Spoofing）。如果遠(yuǎn)程系統(tǒng)仍然可達(dá)而且工作，則保持該傳輸?shù)倪B接。 ? EnablePMTUDiscovery ? 類型： REG_DWORD ? 推薦值： 0 ? 描述：鍵值設(shè)為 1 時(shí)， Tcp 會(huì)發(fā)現(xiàn)傳輸路徑上的最大傳輸單元（ MTU），這樣就消除傳輸路徑上的分片。 檢測(cè)內(nèi)容： 檢測(cè)以下注冊(cè)表的鍵值 建議操作： 將 “ 檢測(cè)內(nèi)容 ” 中的注冊(cè)表鍵值，添加、更改為下面的推薦設(shè)置： ? SynAttackProtect（在 windows 200 professional 未發(fā)現(xiàn)這個(gè)鍵值，是否需要?jiǎng)?chuàng)建？ ? 類型： REG_DWORD ? 推薦值： 2 ? 描述：使 TCP/IP 調(diào)整 SYNACKS 的 重傳。 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) 編號(hào)： 3022 名稱： 對(duì)關(guān)鍵注冊(cè)表項(xiàng)進(jìn)行訪問控制 重要等級(jí)： 高 基本信息： 應(yīng)在限定用戶對(duì)注冊(cè)表訪問權(quán)限后，對(duì)一些關(guān)鍵的注冊(cè)表項(xiàng)應(yīng)該嚴(yán)格訪問控制并進(jìn)行嚴(yán)密監(jiān)視，防止它們被攻擊者用于啟動(dòng) trojan 木馬程序。 在KEY_LOCAL_MACHINE\System\CurrentControlSet\Contro\SecurePipeServers \winreg\AllowedPaths 鍵值中指定義了某些允許非管理員訪問的路徑 關(guān)閉遠(yuǎn)程用戶修改此計(jì)算機(jī)上的注冊(cè)表設(shè)置，只有此計(jì)算機(jī)上的用戶才能修改注冊(cè)表。 禁止遠(yuǎn)程注冊(cè)表訪問。 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) 檢測(cè)內(nèi)容： 注銷當(dāng)前用戶查看登陸界面 上是否顯示有關(guān)機(jī)按鈕。 檢測(cè)內(nèi)容： 注銷當(dāng)前用戶查看登陸界面上是否顯示登陸警告信息。 檢測(cè)內(nèi)容： 注銷當(dāng)前用戶查看登陸界面上是 否顯示上次登陸用戶。 檢測(cè)內(nèi)容： 通過控制面板 |管理工具 |服務(wù)察看 munity 字符串是否為 public，和檢查是否限制可以訪問 SNMP 服務(wù)的主機(jī)。 操作結(jié)果： 根據(jù)情況停掉不必要的服務(wù)和組件，將會(huì)對(duì)影響系統(tǒng)提供相應(yīng)服務(wù)。這就意味著入侵者可以修改 Schedule 配置并放入一個(gè) TROJAN 木馬程序來修改網(wǎng)絡(luò)的訪問權(quán)限。 控制對(duì)注冊(cè)表的訪問，新創(chuàng)建下面鍵值： Hive HKEY_LOCAL_MACHINE\SYSTEM Key \CurrentControlSet\Control\SecurePipeServers Name \winreg 確定注冊(cè)表的訪問權(quán)限是安全的： Hive HKEY_LOCAL_MACHINE\SYSTEM 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) 限制注冊(cè)表修改權(quán)限，對(duì)下列關(guān)鍵注冊(cè)表項(xiàng)應(yīng)該加以監(jiān)控，防止 trojan 木馬自動(dòng)運(yùn)行。 系統(tǒng)服務(wù)調(diào)整 描述： Windows 提供的服務(wù)種類繁多，不同 服務(wù)對(duì)安全的要求不一，如通過注冊(cè)表、修改服務(wù)配置、停掉不必要的服務(wù)和組件等。 操作結(jié)果： ? 安裝防病毒軟件及其更新，不會(huì)對(duì)系統(tǒng)造成任何不良的影響。 檢測(cè)內(nèi)容： ? 檢測(cè)并下載來自防病毒軟件提供商的最新病毒庫。防止計(jì)算機(jī)病毒必須根據(jù)系統(tǒng)的實(shí)際制定防病毒策略、部署多層防御、定期更新防病毒定義文件和引擎、定期備份文件，及時(shí)獲得來自安全服務(wù)提供商的病毒信息。 訪問控制功能可用于對(duì)特定用戶、計(jì)算機(jī)或 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) 用戶組的訪問權(quán)限進(jìn)行限制。 ? 移動(dòng)上面所列出的命令并進(jìn)行嚴(yán)格的訪問控制，不會(huì)對(duì)系統(tǒng)造成任何不良的影響。 ? 可在網(wǎng)絡(luò)服務(wù)中卸載 其它系統(tǒng)類型服務(wù)、協(xié)議。這些子系統(tǒng)一般情況下不會(huì)使用，應(yīng)該卸載 OS/2 和 POSIX 子系統(tǒng)。如需返回 FAT 或 FAT32 格式，您必須對(duì)驅(qū)動(dòng)器或分區(qū)進(jìn)行重新格式化，并從相應(yīng)分區(qū)上刪除包括程序及 個(gè)人文件在內(nèi)的所有數(shù)據(jù)。 NTFS 支持細(xì)致的文件權(quán)限控制，磁盤配額管理、文件加密等特性。 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) 文件系統(tǒng)增強(qiáng) 描述： NTFS 支持細(xì)致的文件權(quán)限控制，磁盤配額管理、文件加密等特性。 3. hotfix 的安裝過程與 SP 補(bǔ)丁相同，安裝完畢后根據(jù)安裝程序的提示決定是否需要重新啟動(dòng)機(jī)器。 4. 對(duì)于沒有與 Inter 相連的主機(jī)，如何通過離線的方式檢查系統(tǒng)未安裝的補(bǔ)丁？ 注： 上面提到方法任選其一。補(bǔ)丁分為與安全相關(guān)、與 Windows 相關(guān)和與驅(qū)動(dòng)相關(guān)三個(gè)部分。針對(duì) Windows 2020 操作系統(tǒng)的漏洞，微軟已經(jīng)發(fā)布了三個(gè)大補(bǔ)丁包 Windows 2020 Service Pack 3。 Pcanywhere 遠(yuǎn)程接入 編號(hào)： 3005 名稱： Pcanywhere遠(yuǎn)程接入安全設(shè)置 重要等級(jí)： 中 基本信息： Windows 系統(tǒng)可以使用 Pcanywhere 工具方式進(jìn)行遠(yuǎn)程管理，遵守一下設(shè)定對(duì)可以提高遠(yuǎn)程管 理安全性。 對(duì)可以遠(yuǎn)程使用 tel服務(wù)的用戶進(jìn)行限定 編號(hào)： 3004 名稱： 對(duì)可以遠(yuǎn)程使用 tel服務(wù)的用戶進(jìn)行限定 重要等級(jí)： 中 基本信息： Windows 系統(tǒng)從 2020 開始提供遠(yuǎn)程 tel 訪問服務(wù)，建議不要開啟 tel服務(wù)，如特殊情況必須開啟 tel 服務(wù)，必須遵守本規(guī)定對(duì)可以遠(yuǎn)程訪問tel 服務(wù)的用戶進(jìn)行限制。 ? 特例：在安全策略中定義的策略和添加用戶時(shí)選擇的密碼永不過期和用戶無法自己修改密碼，以后者為準(zhǔn)。 檢測(cè)內(nèi)容： 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) ? 查看是否有名為 administrator 的用戶帳號(hào)； ? 查看 administrator 用戶是否屬于 administrators 組 建議操作： ? 將系統(tǒng)管理員賬號(hào)重命名為一個(gè)普通的、不易引起注意的賬號(hào)名 ? 打開 控制面板 ?管理工具 ?本地安全策略； ? 選擇本地策略 ?安全選項(xiàng)； ? 改寫：重命名管理員帳戶； ? 建立一個(gè)以 admi