【正文】 控制面板 ?管理工具 ?本地安全策略； ? 本地策略 ?用戶權力指派； ? 按需要進行授權； 操作結果： ? 進行 TelClients 賬戶授權策略設置時，不會對系統(tǒng)造成任何不良的影響。 對可以遠程使用 tel服務的用戶進行限定 編號： 3004 名稱： 對可以遠程使用 tel服務的用戶進行限定 重要等級： 中 基本信息： Windows 系統(tǒng)從 2020 開始提供遠程 tel 訪問服務，建議不要開啟 tel服務，如特殊情況必須開啟 tel 服務，必須遵守本規(guī)定對可以遠程訪問tel 服務的用戶進行限制。 檢測內容： ? 查看本地安全策略 |賬戶策略 |賬戶鎖定策略來核實是否設置了合適的密碼策略 ? 打開控制面板 ?管理工具 ?本地安全策略； ? 選擇帳戶策略 ?帳戶鎖定策略； ? 檢查各項設置； 建議操作： ? “復位賬戶鎖定計數器”時間不短于 5分鐘； ? “賬戶鎖定時間”不短于 5 分鐘； ? “賬戶鎖定閾值”不多于 10 次； 操作結果： ? 進行賬戶鎖定策略設置時，不會對系統(tǒng)造成任何不良的影響。 ? 特例：在安全策略中定義的策略和添加用戶時選擇的密碼永不過期和用戶無法自己修改密碼，以后者為準。 密碼策略 編號： 3002 名稱： 密碼策略 重要等級： 高 基本信息： 通過啟用“ 密碼必須符合復雜性要求”，設置“密碼長度最小值”、“密碼最長存留期”、“密碼最短存留期”、“密碼強制歷史”，停用“為域中用戶使用可還原的 德信誠 培訓網 更多免費資料下載請進： 好好學習社區(qū) 加密來存儲”可以明顯的提高用戶賬戶的安全性。 檢測內容： 德信誠 培訓網 更多免費資料下載請進： 好好學習社區(qū) ? 查看是否有名為 administrator 的用戶帳號； ? 查看 administrator 用戶是否屬于 administrators 組 建議操作： ? 將系統(tǒng)管理員賬號重命名為一個普通的、不易引起注意的賬號名 ? 打開 控制面板 ?管理工具 ?本地安全策略； ? 選擇本地策略 ?安全選項； ? 改寫：重命名管理員帳戶； ? 建立一個以 administrator 命名的賬號，將所屬用戶組清除，即所屬組為空，不賦予該帳號權限； ? 管理員賬號的口令應該遵循比“密碼策略”更嚴格的策略 操作結果： ? 對系統(tǒng)管理員賬號進行限制，一般不會對系統(tǒng)造成任何不良的影響。 用戶、用戶組及其權限管理 描述：創(chuàng)建用戶組和用戶，并對其分配合適的 權限是 WINDOWS 安全機制的核心內容之一。 德信誠 培訓網 更多免費資料下載請進： 好好學習社區(qū) Windows 主機安全配置 手冊 1. 適用范圍 本文檔的適用操作系統(tǒng)為 Microsoft Windows 2020 Server/Advanced Server Microsoft Windows 2020 Server/Advanced Server 2 更新要求 本文檔每年必須由負責人員重新審查內容，并按照需求修正。 各操作系統(tǒng)廠商推出新版本時，亦必須重新審查內容及修正。 編號： 3001 名稱： 對系統(tǒng)管理員賬號進行限制 重要等級： 高 基本信息： 系統(tǒng)管理員對系統(tǒng)具有最高的權限， Windows 系統(tǒng)管理員的默認賬號名為Administrator，很容易成為攻擊者猜測和攻擊的重要目標，因此需要對系統(tǒng)管理員賬號作出必要的設置。 ? 有少數應用軟件需要 administrator 名的系統(tǒng)用戶，請視應用情況對該項進行修改。 檢測內容： ? 查看本地安全策略 |賬戶策略 |密碼策略來核實是否設置了合適的密碼策略 ? 打開控制面板 ?管理工具 ?本地安全策略； ? 選擇帳戶策略 ?密碼策略； ? 檢查各項設置； 建議操作： ? 啟用“密碼必須必須符合復雜性要求”； ? “密碼最小長度”大于 7； ? “密碼最長存留期”小于 90天； ? “密碼最短存留期”大于 5天； ? “密碼強制歷史”不小 于 5； ? 停用“為域中用戶使用可還原的加密來存儲”； 操作結果： ? 密碼策略對已經存在的密碼無效，需要對已存在的密碼進行檢查 ? 進行密碼策略設置，不會對系統(tǒng)造成任何不良的影響。 德信誠 培訓網 更多免費資料下載請進： 好好學習社區(qū) 賬戶鎖定策略 編號： 3003 名稱： 賬戶鎖定策略 重要等級： 高 基本信息： 通過設置“賬戶鎖定時間”，“賬戶鎖定閾值”，“復位賬戶鎖定計數器”來防止遠程的密碼猜測攻擊。 遠程訪問主機系統(tǒng) 德信誠 培訓網 更多免費資料下載請進： 好好學習社區(qū) 描述：被配置為接受遠程訪問連接的任何基于 Windows 的計算機用戶。 檢測內容： 檢測是否為 Tel 終端創(chuàng)建了 TelClients 組，并賦予恰當的訪問權限。 ? 需要注意盡量避免對 Administrator 組用戶進行授權修改，以免造成系統(tǒng) 德信誠 培訓網 更多免費資料下載請進： 好好學習社區(qū) 應用、管理失敗。 檢測內容： ? 是否使用高版本（ ）軟件，較低版本軟件存在大量安全漏洞 ? 是否設置加密傳輸，建議采用 pcanywhere 加密級別 ? 回話結束后是否注銷用戶 建議操作： ? 創(chuàng)建新被控端 ? 對被控端進行安全配置 ? 選擇 TCP/IP 方式； ? 設置面板 ?回話正常（異常）結束后使用注銷用戶保護； ? 安全選項 ?限制每個呼叫登陸嘗試次數為 3，完成登陸時間為 3 分鐘； ? 安全選項 ?設置加密為 pcanywhere 級別，拒絕較低加密級別； 德信誠 培訓網 更多免費資料下載請進： 好好學習社區(qū) 操作結果： ? 設置生效需要重新啟動 Pcanywhere 服務，主控端應配置與被控端 相應加密級別； ? 需要注意本設置與系統(tǒng)本身認證機制無關。 Windows補丁 編號： 3006 名稱： 安裝 Windows 補丁 重要等級： 高 基本信息： 補丁是實現 Windows 主機系統(tǒng)安全的重要途徑。 針對 Windows NT4 操作系統(tǒng)的漏洞，微軟已經發(fā)布到的最高補丁版本為 SP6a。 檢測內容： 1. 使用 Windows Update 在線更新工具；（對 NT 系統(tǒng)無效） ? 點擊 “ 開始－ Windows Update” 直接連接到微軟的 Windows Update 網站； ? 點擊掃描檢測最新的補丁。 ? 掃描的結果就是該 Windows 主機系統(tǒng)上所有沒有安裝的補丁。 3. 使用 hfchk 工 具；（本工具建議在線使用） ? 首先下載該工具 ，下載地址： / ? 安裝 ? 在命令行方式 轉到安裝目錄下，輸入 ，回車即可。 建議操作： 根據使用 “ 檢測內容 ” 中提到的補丁測試方法，對系統(tǒng)進行全面的測試，然后根據實際結果確定更新系統(tǒng)的哪些補丁程序。 2. 安裝結束后，重新啟動系統(tǒng)即可。 4. 對于沒有直接與 Inter 互聯的主機，可利用微軟提供的光盤升級包完成補丁加載；或在 Inter 網絡上的主機下載最新升級包并刻錄至光盤載體，在需升級的主機上安裝。 注意： 在安裝系統(tǒng)補丁的過程中不能夠使系統(tǒng)斷電或非正常安裝完畢而重新啟動系統(tǒng)， 這樣可能會造成系統(tǒng)不能正常啟動的嚴重后果。 NTFS 可為用戶提供更高層次的安全保證。 NTFS文件系統(tǒng) 編號： 3007 名稱： 使用 NTFS 文件系統(tǒng) 重要等級： 高 基本信息： NTFS 是微軟 Windows NT/2020/XP 支持的文件系統(tǒng)。 NTFS 可為用戶提供更高層次的安全保證。 具體方法： 在 cmd（命令行）方式下，鍵入： convert 驅動器盤符 : /fs:ntfs 注：一旦將某個驅動器或分區(qū)轉換為 NTFS 格式，您便無法將其恢復回 FAT 或 FAT32 格式。 操作結果： 德信誠 培訓網 更多免費資料下載請進： 好好學習社區(qū) ? 實施文件系統(tǒng)安全增強，不會對系統(tǒng)造成任何不良的影響。 刪除 OS/2 和 POSIX 子系統(tǒng) 編號： 3008 名稱： 刪除 OS/2 和 POSIX 子系統(tǒng) 重要等級： 中 基本信息： Windows2020 和 NT 系統(tǒng)提供了 OS/2 和 POSIX 操作環(huán)境子系統(tǒng)。 檢測內容： 檢測注冊表下面的鍵值： 配置單元項 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OS/2 Subsystem for NT 檢測內容 所有子項 配置單元項 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control \Session Manager\Environment 名稱 Os2LibPath 檢測內容 是否存在 Os2LibPath 項 配置單元項 HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Control\Session Manager\SubSystems 德信誠 培訓網 更多免費資料下載請進： 好好學習社區(qū) 檢測內容 Posix 和 OS/2 項 建議操作： 通過執(zhí)行下列注冊表操作刪除這些子系統(tǒng)： 配置單元項 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OS/2 Subsystem for NT 操作 刪除所有子項 配置單元項 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control \Session Manager\Environment 名稱 Os2LibPath 操作 刪除 Os2LibPath 項 配置單元項 HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Control\Session Manager\SubSystems 操作 刪除可選的 Posix 和 OS/2 項 然后刪除 \winnt\system32\os2 目錄及其所有子目錄。 操作結果： ? 刪除 OS/2 和 POSIX 子系統(tǒng)， 不會對系統(tǒng)造成任何不良的影響。 德信誠 培訓網 更多免費資料下載請進： 好好學習社區(qū) 編號： 3009 名稱： 移動并對關鍵文件進行訪問控制 重要等級： 高 基本信息： 將所有常用的管理工具放在 %systemroot% 外的特殊目錄下，并對其進行嚴格的訪問控制，保證只有管理員才具有執(zhí)行這些工具的權限。建議使用以下的訪問控制（ ACL） Administrators ：完全控制 SYSTEM ：完全控制 Creator Owner ：完全控制 Everyone ：只讀 德信誠 培訓網 更多免費資料下載請進： 好好學習社區(qū) 操作結果： ? 以上文件根據 WINDOWS 版本不同默認存儲路徑可能不同。 NTFS 生成 文件名格式 編號： 3010 名稱： 關閉 NTFS 生成 文件名格式 ； 重要等級： 高 基本信息： 關閉 NTFS 生成 文件名格式， 即文件名為 1～ 8 個字符，擴展名為 1～ 3 個字符，此種文件格式文件糾錯和文件屬性能力也相對較弱，應該予以關閉 ； 檢測內容： 查看注冊表： *請參見第二章中注冊表相關章節(jié) Hive HKEY_LOCAL_MACHINE\SYSTEM Key \CurrentControlSet\Control\FileSystem 德信誠 培訓網 更多免費資料下載請進： 好好學習社區(qū) Name NtfsDisable8dot3NameCreation Type REG_DWORD Value 查看此鍵值是否為 “1” 建議操作： 修改注冊表， 關閉 NTFS 生成 文件名格式： 修改注冊表后在重新啟動機器后生效。 NTFS 的訪問控制列表 編號： 3011 名稱： 設置 NTFS 的訪問控制列表 重要等級： 中 基本信息： 在使用 NTFS