【正文】 控制面板 ?管理工具 ?本地安全策略； ? 本地策略 ?用戶權(quán)力指派； ? 按需要進(jìn)行授權(quán)； 操作結(jié)果： ? 進(jìn)行 TelClients 賬戶授權(quán)策略設(shè)置時(shí)，不會(huì)對(duì)系統(tǒng)造成任何不良的影響。 對(duì)可以遠(yuǎn)程使用 tel服務(wù)的用戶進(jìn)行限定 編號(hào)： 3004 名稱： 對(duì)可以遠(yuǎn)程使用 tel服務(wù)的用戶進(jìn)行限定 重要等級(jí)： 中 基本信息： Windows 系統(tǒng)從 2020 開始提供遠(yuǎn)程 tel 訪問服務(wù)，建議不要開啟 tel服務(wù)，如特殊情況必須開啟 tel 服務(wù)，必須遵守本規(guī)定對(duì)可以遠(yuǎn)程訪問tel 服務(wù)的用戶進(jìn)行限制。 檢測(cè)內(nèi)容： ? 查看本地安全策略 |賬戶策略 |賬戶鎖定策略來核實(shí)是否設(shè)置了合適的密碼策略 ? 打開控制面板 ?管理工具 ?本地安全策略； ? 選擇帳戶策略 ?帳戶鎖定策略； ? 檢查各項(xiàng)設(shè)置； 建議操作： ? “復(fù)位賬戶鎖定計(jì)數(shù)器”時(shí)間不短于 5分鐘； ? “賬戶鎖定時(shí)間”不短于 5 分鐘； ? “賬戶鎖定閾值”不多于 10 次； 操作結(jié)果： ? 進(jìn)行賬戶鎖定策略設(shè)置時(shí)，不會(huì)對(duì)系統(tǒng)造成任何不良的影響。 ? 特例：在安全策略中定義的策略和添加用戶時(shí)選擇的密碼永不過期和用戶無法自己修改密碼，以后者為準(zhǔn)。 密碼策略 編號(hào)： 3002 名稱： 密碼策略 重要等級(jí)： 高 基本信息： 通過啟用“ 密碼必須符合復(fù)雜性要求”，設(shè)置“密碼長(zhǎng)度最小值”、“密碼最長(zhǎng)存留期”、“密碼最短存留期”、“密碼強(qiáng)制歷史”，停用“為域中用戶使用可還原的 德信誠(chéng) 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) 加密來存儲(chǔ)”可以明顯的提高用戶賬戶的安全性。 檢測(cè)內(nèi)容： 德信誠(chéng) 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) ? 查看是否有名為 administrator 的用戶帳號(hào)； ? 查看 administrator 用戶是否屬于 administrators 組 建議操作： ? 將系統(tǒng)管理員賬號(hào)重命名為一個(gè)普通的、不易引起注意的賬號(hào)名 ? 打開 控制面板 ?管理工具 ?本地安全策略； ? 選擇本地策略 ?安全選項(xiàng)； ? 改寫：重命名管理員帳戶； ? 建立一個(gè)以 administrator 命名的賬號(hào)，將所屬用戶組清除，即所屬組為空，不賦予該帳號(hào)權(quán)限； ? 管理員賬號(hào)的口令應(yīng)該遵循比“密碼策略”更嚴(yán)格的策略 操作結(jié)果： ? 對(duì)系統(tǒng)管理員賬號(hào)進(jìn)行限制，一般不會(huì)對(duì)系統(tǒng)造成任何不良的影響。 用戶、用戶組及其權(quán)限管理 描述：創(chuàng)建用戶組和用戶，并對(duì)其分配合適的 權(quán)限是 WINDOWS 安全機(jī)制的核心內(nèi)容之一。 德信誠(chéng) 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) Windows 主機(jī)安全配置 手冊(cè) 1. 適用范圍 本文檔的適用操作系統(tǒng)為 Microsoft Windows 2020 Server/Advanced Server Microsoft Windows 2020 Server/Advanced Server 2 更新要求 本文檔每年必須由負(fù)責(zé)人員重新審查內(nèi)容，并按照需求修正。 各操作系統(tǒng)廠商推出新版本時(shí)，亦必須重新審查內(nèi)容及修正。 編號(hào)： 3001 名稱： 對(duì)系統(tǒng)管理員賬號(hào)進(jìn)行限制 重要等級(jí)： 高 基本信息： 系統(tǒng)管理員對(duì)系統(tǒng)具有最高的權(quán)限， Windows 系統(tǒng)管理員的默認(rèn)賬號(hào)名為Administrator，很容易成為攻擊者猜測(cè)和攻擊的重要目標(biāo)，因此需要對(duì)系統(tǒng)管理員賬號(hào)作出必要的設(shè)置。 ? 有少數(shù)應(yīng)用軟件需要 administrator 名的系統(tǒng)用戶，請(qǐng)視應(yīng)用情況對(duì)該項(xiàng)進(jìn)行修改。 檢測(cè)內(nèi)容： ? 查看本地安全策略 |賬戶策略 |密碼策略來核實(shí)是否設(shè)置了合適的密碼策略 ? 打開控制面板 ?管理工具 ?本地安全策略； ? 選擇帳戶策略 ?密碼策略； ? 檢查各項(xiàng)設(shè)置； 建議操作： ? 啟用“密碼必須必須符合復(fù)雜性要求”； ? “密碼最小長(zhǎng)度”大于 7； ? “密碼最長(zhǎng)存留期”小于 90天； ? “密碼最短存留期”大于 5天； ? “密碼強(qiáng)制歷史”不小 于 5； ? 停用“為域中用戶使用可還原的加密來存儲(chǔ)”； 操作結(jié)果： ? 密碼策略對(duì)已經(jīng)存在的密碼無效，需要對(duì)已存在的密碼進(jìn)行檢查 ? 進(jìn)行密碼策略設(shè)置，不會(huì)對(duì)系統(tǒng)造成任何不良的影響。 德信誠(chéng) 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) 賬戶鎖定策略 編號(hào)： 3003 名稱： 賬戶鎖定策略 重要等級(jí)： 高 基本信息： 通過設(shè)置“賬戶鎖定時(shí)間”，“賬戶鎖定閾值”，“復(fù)位賬戶鎖定計(jì)數(shù)器”來防止遠(yuǎn)程的密碼猜測(cè)攻擊。 遠(yuǎn)程訪問主機(jī)系統(tǒng) 德信誠(chéng) 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) 描述：被配置為接受遠(yuǎn)程訪問連接的任何基于 Windows 的計(jì)算機(jī)用戶。 檢測(cè)內(nèi)容： 檢測(cè)是否為 Tel 終端創(chuàng)建了 TelClients 組，并賦予恰當(dāng)?shù)脑L問權(quán)限。 ? 需要注意盡量避免對(duì) Administrator 組用戶進(jìn)行授權(quán)修改，以免造成系統(tǒng) 德信誠(chéng) 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) 應(yīng)用、管理失敗。 檢測(cè)內(nèi)容： ? 是否使用高版本（ ）軟件，較低版本軟件存在大量安全漏洞 ? 是否設(shè)置加密傳輸，建議采用 pcanywhere 加密級(jí)別 ? 回話結(jié)束后是否注銷用戶 建議操作： ? 創(chuàng)建新被控端 ? 對(duì)被控端進(jìn)行安全配置 ? 選擇 TCP/IP 方式； ? 設(shè)置面板 ?回話正常（異常）結(jié)束后使用注銷用戶保護(hù)； ? 安全選項(xiàng) ?限制每個(gè)呼叫登陸嘗試次數(shù)為 3，完成登陸時(shí)間為 3 分鐘； ? 安全選項(xiàng) ?設(shè)置加密為 pcanywhere 級(jí)別，拒絕較低加密級(jí)別； 德信誠(chéng) 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) 操作結(jié)果： ? 設(shè)置生效需要重新啟動(dòng) Pcanywhere 服務(wù)，主控端應(yīng)配置與被控端 相應(yīng)加密級(jí)別； ? 需要注意本設(shè)置與系統(tǒng)本身認(rèn)證機(jī)制無關(guān)。 Windows補(bǔ)丁 編號(hào)： 3006 名稱： 安裝 Windows 補(bǔ)丁 重要等級(jí)： 高 基本信息： 補(bǔ)丁是實(shí)現(xiàn) Windows 主機(jī)系統(tǒng)安全的重要途徑。 針對(duì) Windows NT4 操作系統(tǒng)的漏洞，微軟已經(jīng)發(fā)布到的最高補(bǔ)丁版本為 SP6a。 檢測(cè)內(nèi)容： 1. 使用 Windows Update 在線更新工具；（對(duì) NT 系統(tǒng)無效） ? 點(diǎn)擊 “ 開始－ Windows Update” 直接連接到微軟的 Windows Update 網(wǎng)站； ? 點(diǎn)擊掃描檢測(cè)最新的補(bǔ)丁。 ? 掃描的結(jié)果就是該 Windows 主機(jī)系統(tǒng)上所有沒有安裝的補(bǔ)丁。 3. 使用 hfchk 工 具；（本工具建議在線使用） ? 首先下載該工具 ，下載地址： / ? 安裝 ? 在命令行方式 轉(zhuǎn)到安裝目錄下，輸入 ，回車即可。 建議操作： 根據(jù)使用 “ 檢測(cè)內(nèi)容 ” 中提到的補(bǔ)丁測(cè)試方法，對(duì)系統(tǒng)進(jìn)行全面的測(cè)試，然后根據(jù)實(shí)際結(jié)果確定更新系統(tǒng)的哪些補(bǔ)丁程序。 2. 安裝結(jié)束后，重新啟動(dòng)系統(tǒng)即可。 4. 對(duì)于沒有直接與 Inter 互聯(lián)的主機(jī)，可利用微軟提供的光盤升級(jí)包完成補(bǔ)丁加載；或在 Inter 網(wǎng)絡(luò)上的主機(jī)下載最新升級(jí)包并刻錄至光盤載體，在需升級(jí)的主機(jī)上安裝。 注意： 在安裝系統(tǒng)補(bǔ)丁的過程中不能夠使系統(tǒng)斷電或非正常安裝完畢而重新啟動(dòng)系統(tǒng)， 這樣可能會(huì)造成系統(tǒng)不能正常啟動(dòng)的嚴(yán)重后果。 NTFS 可為用戶提供更高層次的安全保證。 NTFS文件系統(tǒng) 編號(hào)： 3007 名稱： 使用 NTFS 文件系統(tǒng) 重要等級(jí)： 高 基本信息： NTFS 是微軟 Windows NT/2020/XP 支持的文件系統(tǒng)。 NTFS 可為用戶提供更高層次的安全保證。 具體方法： 在 cmd（命令行）方式下，鍵入： convert 驅(qū)動(dòng)器盤符 : /fs:ntfs 注：一旦將某個(gè)驅(qū)動(dòng)器或分區(qū)轉(zhuǎn)換為 NTFS 格式，您便無法將其恢復(fù)回 FAT 或 FAT32 格式。 操作結(jié)果： 德信誠(chéng) 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) ? 實(shí)施文件系統(tǒng)安全增強(qiáng)，不會(huì)對(duì)系統(tǒng)造成任何不良的影響。 刪除 OS/2 和 POSIX 子系統(tǒng) 編號(hào)： 3008 名稱： 刪除 OS/2 和 POSIX 子系統(tǒng) 重要等級(jí)： 中 基本信息： Windows2020 和 NT 系統(tǒng)提供了 OS/2 和 POSIX 操作環(huán)境子系統(tǒng)。 檢測(cè)內(nèi)容： 檢測(cè)注冊(cè)表下面的鍵值： 配置單元項(xiàng) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OS/2 Subsystem for NT 檢測(cè)內(nèi)容 所有子項(xiàng) 配置單元項(xiàng) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control \Session Manager\Environment 名稱 Os2LibPath 檢測(cè)內(nèi)容 是否存在 Os2LibPath 項(xiàng) 配置單元項(xiàng) HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Control\Session Manager\SubSystems 德信誠(chéng) 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) 檢測(cè)內(nèi)容 Posix 和 OS/2 項(xiàng) 建議操作： 通過執(zhí)行下列注冊(cè)表操作刪除這些子系統(tǒng)： 配置單元項(xiàng) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OS/2 Subsystem for NT 操作 刪除所有子項(xiàng) 配置單元項(xiàng) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control \Session Manager\Environment 名稱 Os2LibPath 操作 刪除 Os2LibPath 項(xiàng) 配置單元項(xiàng) HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Control\Session Manager\SubSystems 操作 刪除可選的 Posix 和 OS/2 項(xiàng) 然后刪除 \winnt\system32\os2 目錄及其所有子目錄。 操作結(jié)果： ? 刪除 OS/2 和 POSIX 子系統(tǒng)， 不會(huì)對(duì)系統(tǒng)造成任何不良的影響。 德信誠(chéng) 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) 編號(hào)： 3009 名稱： 移動(dòng)并對(duì)關(guān)鍵文件進(jìn)行訪問控制 重要等級(jí)： 高 基本信息： 將所有常用的管理工具放在 %systemroot% 外的特殊目錄下，并對(duì)其進(jìn)行嚴(yán)格的訪問控制，保證只有管理員才具有執(zhí)行這些工具的權(quán)限。建議使用以下的訪問控制（ ACL） Administrators ：完全控制 SYSTEM ：完全控制 Creator Owner ：完全控制 Everyone ：只讀 德信誠(chéng) 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) 操作結(jié)果： ? 以上文件根據(jù) WINDOWS 版本不同默認(rèn)存儲(chǔ)路徑可能不同。 NTFS 生成 文件名格式 編號(hào)： 3010 名稱： 關(guān)閉 NTFS 生成 文件名格式 ； 重要等級(jí)： 高 基本信息： 關(guān)閉 NTFS 生成 文件名格式， 即文件名為 1～ 8 個(gè)字符，擴(kuò)展名為 1～ 3 個(gè)字符，此種文件格式文件糾錯(cuò)和文件屬性能力也相對(duì)較弱，應(yīng)該予以關(guān)閉 ； 檢測(cè)內(nèi)容： 查看注冊(cè)表： *請(qǐng)參見第二章中注冊(cè)表相關(guān)章節(jié) Hive HKEY_LOCAL_MACHINE\SYSTEM Key \CurrentControlSet\Control\FileSystem 德信誠(chéng) 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) Name NtfsDisable8dot3NameCreation Type REG_DWORD Value 查看此鍵值是否為 “1” 建議操作： 修改注冊(cè)表， 關(guān)閉 NTFS 生成 文件名格式： 修改注冊(cè)表后在重新啟動(dòng)機(jī)器后生效。 NTFS 的訪問控制列表 編號(hào)： 3011 名稱： 設(shè)置 NTFS 的訪問控制列表 重要等級(jí)： 中 基本信息： 在使用 NTFS