本文針對操作系統的賬號管理、賬戶授權、日志配置、通信協議(IP協議安全)以及設置其他安全進行合規性檢查和配置。
一、賬戶管理:
1、分配賬號:
進入“控制面板->管理工具->計算機管理”,在“系統工具->本地用戶和組”,結合要求和實際業務情況判斷符合要求,根據系統的要求,設定不同的賬戶和賬戶組。
2、清除無效賬戶:
進入“控制面板->管理工具->計算機管理”,在“系統工具->本地用戶和組”win8.1本地安全策略,刪除或鎖定與設備運行、維護等與工作無關的賬號。
3、更改缺省賬戶名稱;禁用guest(來賓)賬號:
進入“控制面板->管理工具->計算機管理”,在“系統工具->本地用戶和組”。->屬性-> 更改名稱,Guest賬號->屬性-> 已停用。
4、配置密碼策略:
進入“控制面板->管理工具->本地安全策略”,在“賬戶策略->密碼策略”。“密碼必須符合復雜性要求”選擇“已啟動”設置符合要求的策略。
5、配置賬戶鎖定策略:
進入“控制面板->管理工具->本地安全策略”,在“賬戶策略->賬戶鎖定策略”。
二、賬戶授權:
1、遠端系統強制關機設置:
進入“控制面板->管理工具->本地安全策略”,在“本地策略->用戶權利指派”。“從遠端系統強制關機”設置為“只指派給組”。
2、關閉系統設置:
進入“控制面板->管理工具->本地安全策略”,在“本地策略->用戶權利指派”。“關閉系統”設置為“只指派給組”。
3、“取得文件或其它對象的所有權”設置:
進入“控制面板->管理工具->本地安全策略”,在“本地策略->用戶權利指派”。“取得文件或其它對象的所有權”設置為“只指派給組”。
4“從本地登錄此計算機”設置:
進入“控制面板->管理工具->本地安全策略”,在“本地策略->用戶權利指派”,“從本地登錄此計算機”設置為“指定授權用戶”。
5、“從網絡訪問此計算機”設置:
進入“控制面板->管理工具->本地安全策略”,在“本地策略->用戶權利指派”,“從網絡訪問此計算機”設置為“指定授權用戶”。
三、日志配置:
1、審核策略設置:
開始->運行-> 執行“控制面板->管理工具->本地安全策略->審核策略”
審核登錄事件,雙擊,設置為成功和失敗都審核。
“審核策略更改”設置為“成功”和“失敗”都要審核
“審核對象訪問”設置為“成功”和“失敗”都要審核
“審核目錄服務器訪問”設置為“成功”和“失敗”都要審核
“審核特權使用”設置為“成功”和“失敗”都要審核
“審核系統事件”設置為“成功”和“失敗”都要審核
“審核賬戶管理”設置為“成功”和“失敗”都要審核
“審核過程追蹤”設置為“失敗”需要審核
2、日志記錄策略設置:
進入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中:
“應用日志”屬性中的日志大小設置不小于“”,設置當達到最大的日志尺寸時,“按需要改寫事件”
“系統日志”屬性中的日志大小設置不小于“”,設置當達到最大的日志尺寸時,“按需要改寫事件”
“安全日志”屬性中的日志大小設置不小于“” ,設置當達到最大的日志尺寸時,“按需要改寫事件”。
四、通信協議(IP協議安全):
1、啟用TCP/IP篩選:
系統管理員出示業務所需端口列表。根據列表只開放系統與業務所需端口。進入“控制面板->網絡連接->本地連接”,進入“協議(TCP/IP)屬性->高級TCP/IP設置”,在“選項”的屬性中啟用網絡連接上的TCP/IP篩選,只開放業務所需要的TCP,UDP端口和IP協議。
2、開啟系統防火墻:
系統管理員出示業務所需端口列表。根據列表只開放系統與業務所需端口。進入“控制面板->網絡連接->本地連接”,在高級選項的設置中:啟用防火墻。在“例外”中配置允許業務所需的程序接入網絡。在“例外->編輯->更改范圍”編輯允許接入的網絡地址范圍。
3、啟用SYN攻擊保護:
在“開始->運行->鍵入”啟用 SYN 攻擊保護的命名值位于注冊表項\\\ 之下。值名稱:。推薦值:2。
以下部分中的所有項和值均位于注冊表項 \\\ 之下。
指定必須在觸發 保護之前超過的 TCP 連接請求閾值。值名稱:。推薦值:5。
啟用 后,該值指定 狀態中的 TCP 連接閾值,超過 時,觸發 SYN flood 保護。值名稱:。推薦值數據:500。
啟用 后,指定至少發送了一次重傳的 狀態中的 TCP 連接閾值。超過 時,觸發 SYN flood 保護。值名稱:d。推薦值數據:400。
2012
\\\\Tcpip\\推薦值:2
\\\\Tcpip\\推薦值:500
2008
\\\\推薦值:2
\\\\推薦值:5
\\\\推薦值:E\\\\d推薦值:400
五、設置其他安全要求:
1、啟用屏幕保護程序:
進入“控制面板->顯示->屏幕保護程序”:啟用屏幕保護程序,設置等待時間為“5分鐘”,啟用“在恢復時使用密碼保護”。
2、設置網絡服務器掛起時間:
進入“控制面板->管理工具->本地安全策略”,在“本地策略->安全選項”:“網絡服務器”設置為“在掛起會話之前所需的空閑時間”為15分鐘。
3、關閉默認共享:
進入“開始->運行->”,進入注冊表編輯器更改注冊表鍵值:在HKLM\\\\\\下,增加類型的鍵,值為0。
4、設置共享文件夾訪問權限:
進入“控制面板->管理工具->計算機管理”,進入“系統工具->共享文件夾”:查看每個共享文件夾的共享權限,只將權限授權于指定賬戶。
5、安裝系統補丁:
安裝最新的 Pack補丁集,以及最新的補丁。目前 XP的 Pack為SP3。的 Pack為SP4, 2003的 Pack為SP2。
注意:安裝補丁前,應對操作系統進行兼容性測試,避免補丁打上后系統無法正常使用。
6、安裝、更新殺毒軟件:
安裝防病毒軟件,并將病毒庫更新到最新的版本。
7、數據執行保護配置:
進入“控制面板->系統”,在“高級”選項卡的“性能”下的“設置”。進入 “數據執行保護”選項卡。設置為“僅為基本 操作系統程序和服務啟用DEP”。
8、關閉服務:
進入“控制面板->管理工具->計算機管理”,進入“服務和應用程序”:
查看所有服務,不在此列表的服務都需要(還是評估一下吧)關閉。
服務
啟動類型
包括在成員服務器基準策略中的理由
COM+ 事件服務
手動
允許組件服務的管理
DHCP 客戶端
自動
更新動態 DNS 中的記錄所需
分布式鏈接跟蹤客戶端
自動
用來維護 NTFS 卷上的鏈接
DNS 客戶端
自動
允許解析 DNS 名稱
事件日志
自動
允許在事件日志中查看事件日志消息
邏輯磁盤管理器
自動
需要它來確保動態磁盤信息保持最新
邏輯磁盤管理器管理服務
手動
需要它以執行磁盤管理
自動
加入域時所需
網絡連接
手動
網絡通訊所需
性能日志和警報
手動
收集計算機的性能數據,向日志中寫入或觸發警報
即插即用
自動
標識和使用系統硬件時所需
受保護的存儲區
自動
需要用它保護敏感數據,如私鑰
遠程過程調用 (RPC)
自動
中的內部過程所需
遠程注冊服務
自動
實用工具所需(參見附注)
安全賬戶管理器
自動
存儲本地安全賬戶的帳戶信息
服務器
自動
實用工具所需(參見附注)
系統事件通知
自動
在事件日志中記錄條目所需
TCP/IP 服務
自動
在組策略中進行軟件分發所需(可用來分發修補程序)
管理規范驅動程序
手動
使用“性能日志和警報”實現性能警報時所需
時間服務
自動
需要它來保證 身份驗證有一致的功能
工作站
自動
加入域時所需
9、修改SNMP服務密碼:
打開“控制面板”win8.1本地安全策略,打開“管理工具”中的“服務”,找到“SNMP ”,單擊右鍵打開“屬性”面板中的“安全”選項卡,在這個配置界面中,可以修改 ,也就是微軟所說的“團體名稱”。
10、關閉無效啟動項:
“開始->運行->”啟動菜單中,取消不必要的啟動項。
11、關閉自動播放功能:
點擊開始→運行→輸入.msc,打開組策略編輯器,瀏覽到計算機配置→管理模板→系統,在右邊窗格中雙擊“關閉自動播放”,對話框中選擇所有驅動器,確定即可。