【正文】 相應(yīng)的審核策略 3) 針對(duì)具體目錄，右鍵 — 屬性 — 安全 — 高級(jí) — 審核，可開啟針對(duì) 用戶和組的審核 操作結(jié)果： 開啟系統(tǒng)和文件審核，不會(huì)對(duì)系統(tǒng)造成任何不良的影響。 建議操作： 修改注冊(cè)表： Hive HKEY_LOCAL_MACHINE\SYSTEM Key CurrentControlSet\Services\LanmanServer\Parameters Name AutoShareServer （ nt,2020/server ）Autosharewks(nt/workstation,2020 professional) Type REG_DWORD 德信誠(chéng) 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) Value 0 修改注冊(cè)表后在重新啟動(dòng)機(jī)器后生效。 檢測(cè)內(nèi)容： 關(guān)于 IPSec 的 使 用 請(qǐng) 參 看 ： 建議操作： 德信誠(chéng) 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) 對(duì) IP 連接進(jìn)行限制，只保證自己的 IP 能夠訪問(wèn)，也拒絕其它 IP 進(jìn)行的端口連接，把來(lái)自網(wǎng)絡(luò)上的安全威脅進(jìn)行有效的控制。xp_cmdshell39。 編號(hào)： 3032 名稱： 管 理擴(kuò)展存儲(chǔ)過(guò)程 重要等級(jí)： 中 基本信息： 德信誠(chéng) 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) 對(duì)存儲(chǔ)過(guò)程進(jìn)行大手術(shù)，并且對(duì)帳號(hào)調(diào)用擴(kuò)展存儲(chǔ)過(guò)程的權(quán)限要慎重。不過(guò)這樣做的結(jié)果是一旦sa 帳號(hào)忘記密碼的話，就沒(méi)有辦法來(lái)恢復(fù)了。 9. 展開證書節(jié)點(diǎn)。 德信誠(chéng) 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) 建議操作： 1. 打開 Microsoft Management Console (MMC)。 檢測(cè)內(nèi)容： 刪除下面這些引用： 如果沒(méi)有使用 請(qǐng)刪除此項(xiàng) 基于 Web 的密碼重設(shè) .htr 索引服務(wù)器 .ida Inter 數(shù)據(jù)庫(kù)連接器 （新的網(wǎng)站不使用此連接器；它們使用活動(dòng) Active Server Pages 的 ADO） .idc 德信誠(chéng) 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) 服務(wù)器端包含程序 .shtm、 .stm、 .shtml 建議操作： 1. 打開 Inter 服務(wù)管理器。 2. 右鍵單擊懷疑有問(wèn)題的站點(diǎn)，然后從上下文菜單中選擇 “ 屬性 ” 。 14. 在“整理收藏夾”對(duì)話框中選擇“ Microsoft TechNet Security”快捷方式。 6. 在“脫機(jī)收藏夾向?qū)А敝袉螕簟跋乱徊健薄? 操作結(jié)果： 限制區(qū)域文件傳輸，不會(huì)對(duì)系統(tǒng)造成任何不良的影響。 該危險(xiǎn)存在于多網(wǎng)卡系統(tǒng)主機(jī)上。 ? 該設(shè)置時(shí)缺省設(shè)置，作用于所有接口 ? 對(duì)于用于管理或者冗余的適配器，該值應(yīng)該更大一些。鍵值設(shè)為 2， Socket 的以下選項(xiàng)不再工作： ? 可伸縮窗口（ RFC1323） ? 單個(gè)適配器的 TCP 參數(shù)（初始 RTT、窗口大?。? ? EnableDeadGWDetect ? 類型： REG_DWORD ? 推薦值： 0 ? 描述： 當(dāng)鍵值為 1 時(shí)，允許 TCP 做網(wǎng)關(guān)失效檢測(cè)（ deadgateway detect） ,當(dāng)出現(xiàn)大量連接時(shí)會(huì)自動(dòng)切換到后備網(wǎng)關(guān)，而使攻擊者可以利用這個(gè)特性使系統(tǒng)切換到他們所希望的網(wǎng)關(guān)。 2. 在控制面板 |管理工具 |服 務(wù)里停止或禁用 Remote Registry 服務(wù)。 ? 注銷用戶 操作結(jié)果： 從登陸對(duì)話框中刪除關(guān)機(jī)按鈕 不會(huì)對(duì)系統(tǒng)造成任何不良的影響。 條警示信息 編號(hào)： 3019 名稱： 登陸前顯示一條警示信息 重要等級(jí)： 中 德信誠(chéng) 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) 基本信息： 利用此項(xiàng)功能可以在登陸前提示一些警示信息或注意事項(xiàng)，以保持系統(tǒng)的正常安全運(yùn)行。對(duì)于必須開放該服務(wù)的主機(jī)，需要在網(wǎng)關(guān)設(shè)備上限制對(duì) SNMP 的訪問(wèn)，同時(shí)，監(jiān)視是否有猜測(cè) SNMP 口令的行為。 schedule服務(wù) 編號(hào)： 3015 名稱： 停止 schedule 服務(wù) 重要等級(jí)： 中 基本信息： ? WINDOWS 的 Schedule 服務(wù)可以幫助系統(tǒng)管理員設(shè)計(jì)一個(gè)在某個(gè)時(shí)間執(zhí)行的批任務(wù)。 對(duì) web 瀏覽器和電子郵件 客戶端的策略 編號(hào)： 3013 名稱： 限制在服務(wù)器上使用 web 瀏覽器和電子郵件客戶端 重要等級(jí)： 高 基本信息： ? 瀏覽 web 頁(yè)面和收取電子郵件，將會(huì)導(dǎo)致惡意代碼在本地執(zhí)行。 Inter 上的所有系統(tǒng)、公司的 Intra 都應(yīng)該安裝防病毒軟件。 Hive HKEY_LOCAL_MACHINE\SYSTEM Key \CurrentControlSet\Control\FileSystem Name NtfsDisable8dot3NameCreation Type REG_DWORD Value 1 操作結(jié)果： 實(shí)施文件系統(tǒng)安全增強(qiáng)，不會(huì)對(duì)系統(tǒng)造成任何不良的影響。更改將在下一次重新啟動(dòng)時(shí)生效。 檢測(cè) 內(nèi)容： 打開 “ 我的電腦 ”―― 選中要檢測(cè)的磁盤驅(qū)動(dòng)器 ―― 單擊鼠標(biāo)右鍵選擇 “ 屬性 ”―― 查看文件系統(tǒng)類型，是否為 NTFS 格式； 建議操作： 如果文件系統(tǒng)類型不是 NTFS 格式，需要轉(zhuǎn)換為 NTFS 格式，以增加文件系統(tǒng)的安全性。 操作結(jié)果： 德信誠(chéng) 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) Windows 的補(bǔ)丁是系統(tǒng)安全中重要組成部分，通常情況下安裝補(bǔ)丁不會(huì)對(duì)系統(tǒng)造成任何不良的影響。 德信誠(chéng) 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) 2. 使用微軟的微軟安全分析 (MBSA)工具； ? 下載地址： b15c/ ? 然后雙擊安裝 ； ? 啟動(dòng) Microsoft Baseline Security Analyzer，得出掃描結(jié)果。 系統(tǒng)補(bǔ)丁 描述：補(bǔ)丁是實(shí)現(xiàn) Windows 主機(jī)系統(tǒng)安全的重要途徑。 檢測(cè)內(nèi)容： ? 查看本地安全策略 |賬戶策略 |賬戶鎖定策略來(lái)核實(shí)是否設(shè)置了合適的密碼策略 ? 打開控制面板 ?管理工具 ?本地安全策略； ? 選擇帳戶策略 ?帳戶鎖定策略； ? 檢查各項(xiàng)設(shè)置； 建議操作： ? “復(fù)位賬戶鎖定計(jì)數(shù)器”時(shí)間不短于 5分鐘； ? “賬戶鎖定時(shí)間”不短于 5 分鐘； ? “賬戶鎖定閾值”不多于 10 次； 操作結(jié)果： ? 進(jìn)行賬戶鎖定策略設(shè)置時(shí)，不會(huì)對(duì)系統(tǒng)造成任何不良的影響。 用戶、用戶組及其權(quán)限管理 描述：創(chuàng)建用戶組和用戶，并對(duì)其分配合適的 權(quán)限是 WINDOWS 安全機(jī)制的核心內(nèi)容之一。 ? 有少數(shù)應(yīng)用軟件需要 administrator 名的系統(tǒng)用戶，請(qǐng)視應(yīng)用情況對(duì)該項(xiàng)進(jìn)行修改。 檢測(cè)內(nèi)容： 檢測(cè)是否為 Tel 終端創(chuàng)建了 TelClients 組，并賦予恰當(dāng)?shù)脑L問(wèn)權(quán)限。 針對(duì) Windows NT4 操作系統(tǒng)的漏洞，微軟已經(jīng)發(fā)布到的最高補(bǔ)丁版本為 SP6a。 建議操作： 根據(jù)使用 “ 檢測(cè)內(nèi)容 ” 中提到的補(bǔ)丁測(cè)試方法，對(duì)系統(tǒng)進(jìn)行全面的測(cè)試，然后根據(jù)實(shí)際結(jié)果確定更新系統(tǒng)的哪些補(bǔ)丁程序。 NTFS 可為用戶提供更高層次的安全保證。 操作結(jié)果： 德信誠(chéng) 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) ? 實(shí)施文件系統(tǒng)安全增強(qiáng)，不會(huì)對(duì)系統(tǒng)造成任何不良的影響。 德信誠(chéng) 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) 編號(hào)： 3009 名稱： 移動(dòng)并對(duì)關(guān)鍵文件進(jìn)行訪問(wèn)控制 重要等級(jí)： 高 基本信息： 將所有常用的管理工具放在 %systemroot% 外的特殊目錄下，并對(duì)其進(jìn)行嚴(yán)格的訪問(wèn)控制，保證只有管理員才具有執(zhí)行這些工具的權(quán)限。 檢測(cè)內(nèi)容： 查看對(duì)各個(gè)重要的目錄是否設(shè)置了訪問(wèn)控制列表； 建議操作： 對(duì)各個(gè)重要目錄的訪問(wèn)控制列表的設(shè)置參考下表： F（全部）， R（只讀）， N/A（所有限制） Path ACLs Admin _istrator CREATE OWNER Authentice _ted Users SYSTEM SYSTEMO PERATORS Others %system drive%\ F R R F N/A N/A %system drive% \temp F F F F N/A N/A %systemdrive% \program files F R R F N/A N/A %system root% F F R F N/A N/A %system root%\repair F N/A N/A F N/A N/A 德信誠(chéng) 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) %systemroot％ \system32\config F F L F N/A N/A %system root%\system32\spool F F C F R N/A %systemroot%\profiles F A F F N/A N/A %systemdrive%\ F N/A N/A F N/A N/A %systemdrive%\ F N/A N/A F N/A N/A %systemdrive%\ntldr F N/A N/A F N/A N/A %systemdrive%\ F N/A R F N/A N/A %systemdrive%\ F N/A R F N/A N/A %systemroot%\ F N/A N/A F N/A N/A %systemroot%\ F N/A N/A F N/A N/A %systemroot%\system32\*.exe F N/A N/A F N/A N/A 操作結(jié)果： 實(shí)施文件系統(tǒng)安全增強(qiáng)，不會(huì)對(duì)系統(tǒng)造成任何不良的影響。 建議操作： ? 設(shè)置防病毒系統(tǒng)升級(jí)策略，凌晨 2:00 下載病毒代碼并分發(fā)升級(jí)。 編號(hào)： 3014 名稱： 通過(guò)注冊(cè)表項(xiàng)增強(qiáng)服務(wù)安全 重要等級(jí)： 高 基本信息： ? 通過(guò)注冊(cè)表項(xiàng)增強(qiáng)服務(wù)安全 檢測(cè)內(nèi)容： 在注冊(cè)表檢查 RestrictAnonymous 鍵： Hive HKEY_LOCAL_MACHINE\SYSTEM 德信誠(chéng) 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) Key CurrentControlSet\Control\LSA Name RestrictAnonymous Type REG_DWORD Value 1 在網(wǎng)絡(luò)鄰居里隱藏重要服務(wù)器，增加以下鍵值 : Hive HKEY_LOCAL_MACHINE\SYSTEM Key CurrentControlSet\Services\LanManServer\Parameters Name Hidden Type REG_DWORD Value 1 建議操作： 在注冊(cè)表設(shè)置 RestrictAnonymous 鍵： Hive HKEY_LOCAL_MACHINE\SYSTEM Key CurrentControlSet\Control\LSA Name RestrictAnonymous Type REG_DWORD Value 1 德信誠(chéng) 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) 在 win2020 系統(tǒng)下，使用本地安全策略（如果是域服務(wù)器就是在域服務(wù)器安全和域安全策略中）有選項(xiàng) RestrictAnonymous（匿名連接的額外限制），這個(gè)選項(xiàng)有三個(gè)值： 0： None. Rely on default permissions（無(wú)，取決于默認(rèn)的權(quán)限） 1： Do not allow enumeration of SAM accounts and shares（不允許枚舉 SAM 帳號(hào)和共享） 2： No access without explicit anonymous permissions（沒(méi)有顯式匿名權(quán)限就不允許訪問(wèn)） 0 這個(gè)值是系統(tǒng)默認(rèn)的，無(wú)任何限制，遠(yuǎn)程用戶可以獲得系統(tǒng)所有的賬號(hào)、組信息、共享目錄、網(wǎng)絡(luò)傳輸列表 (NetServerTransportEnum 等等，對(duì)服務(wù)器來(lái)說(shuō)這樣的設(shè)置非常危險(xiǎn)。 檢測(cè)內(nèi)容： 察看是否禁止 SCHEDULE 服務(wù)。 建議操作：