当前位置:   article > 正文

windows基线加固_基线加固的流程

基线加固的流程

1.账号管理与授权

1.1删除或锁定可能无用的账户

描述
删除或锁定无用的账户,定期清理无用账户,防国企用户非法登录

检查方法
进入“控制面板->管理工具->计算机管理->系统工具-> 本地用户和组”
审核不必要的用户和组,审核账户隶属的组权限,审核组用户

操作步骤
根据系统的要求和实际业务情况,设定不通过账户和账户组,如管理员用户、数据库用户、来宾用户等。

1.2删除或锁定与设备运行、维护等与工作无关的账户。

操作风险
需要确认账户用途
按照用户角色分配不通权限的账号
配置项描述
按照用户角色分配不通权限的账号,保证用户权限最小化
进入“控制面板->管理工具->计算机管理->系统工具-> 本地用户和组”
检查方法
审核用户和组,审核账户隶属的组权限,审核组用户
操作步骤
根据系统的要求和实际业务情况,设定不同的账户和账户组,如管理员用户、审计用户、来宾用户等。

1.3口令设置安全策略

描述
口令策略设置相关设置
检查方法
进入“控制面板->管理工具->本地安全策略”,在“账户策略”中:
检查是否符合操作步骤中提到的各标准
操作步骤
将不符合检查内容项进行加固,安全标准配置如下:

安全策略: 密码必须符合复杂性要求 已启用
密码长度最小值 12个字符
密码最短使用期限 1天
密码最长使用期限 90天
强制密码历史 5个记住的密码
用可还原的加密来储存密码 已禁用
账户锁定策略: 账户锁定时间 5分钟
账户锁定阈值 6次无效登录
重置账户锁定计时器 5分钟之后

操作风险

1.4不使用系统默认用户名

描述
administrator、guest等默认账户使用默认用户名,当攻击者发起穷举攻击,使用默认用户大大降低攻击者的攻击难度
检查方法
进入“控制面板->管理工具->计算机管理->系统工具-> 本地用户和组”
检查administrator、guest是否存在
操作步骤
administrator、guest重命名

1.5关闭系统的权限设置

描述
将关闭系统仅指派给administrator组,避免普通用户拥有额外的系统控制权限
检查方法
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权限分配”中:检查管理系统设置
操作步骤
设置“关闭系统”删除除administrators以外其他xiang
操作风险
可能导致某些系统功能异常或应用非正常运行

1.6远端系统强制关机的权限设置

描述
将从远端系统强制关机仅指派给administrators组,避免普通用户拥有额外的系统控制权限
检查方法
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权限分配”中:检查从远程系统强制关机设置。
操作
设置”从远程系统强制关机“删除除administrators以外其他项。

1.7将本地登录设置为指定授权用户

描述
将本地登录设置为指定授权用户
检查方法
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权限分配”中:检查“允许本地登录’设置
操作步骤
设置”允许本地登录“组织保留授权用户,删除其他项

1.8 将从网络访问设置为指定授权用户

描述
将从网络访问设置为指定授权用户
检查方法
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权限分配”中:检查“从网络访问此计算机’设置

2.日志配置要求

2.1 审核策略设置中成功失败都要审核

描述
记录系统的所有审核信息,审核策略设置中成功失败都要审核
检查方法
进入”孔子面板->管理工具->本地安全策略“,在”本地策略->审核策略“中:检查是否符合操作不走中提到的各标准。
操作步骤
将不符合检查内容项进行加固,安全标准配置如下:

审核策略更改:成功和失败
审核登录事件:成功和失败
审核对象访问:成功和失败
审核过程跟踪:失败 审核
目录服务访问:成功和失败
审核特权使用:成功和失败

2.2 日志大小设置

描述
将应用、系统、安全日志查看器大小设置为至少20480KB
检查方法
进入”控制面板->管理工具->事件查看器“,在”事件查看器(本地)“中:(在应用程序日志、全日志和系统日志上点击右键,看属性中的日志大小上限设置,单位为KB。)检查是否符合操作步骤中提到的各标准。
操作步骤
将不符合检查内容项进行加固,安全标准配置如下:

应用日志的容量为20480KB
安全日志的容量为20480KB
系统日志的容量为20480KB
设置当达到最大的日志大小时,”按需要覆盖事件“。并且用户有流程定期转存日志。

	**风险**
		较低
  • 1
  • 2

2.3 高级安全审核-账户登录

描述
高级安全审核-账户登录
检查方法
打开”运行“输入”gpedit.msc“,在”本地组 策略编辑器->计算机配置->windows设置->安全设置->高级安全审核策略配置->系统审核策略->本地组策略对象->账户登录“中:
检查是否符合操作步骤提到的各标准。
操作步骤

将不符合检查内容项进行加固,安全标准配置如下:
审核凭据验证 成功和失败

2.4 高级安全审核-账户管理

描述
高级安全审核-账户管理

检查方法
打开”运行“输入”gpedit.msc“,在”本地组 策略编辑器->计算机配置->windows设置->安全设置->高级安全审核策略配置->系统审核策略->本地组策略对象->账户管理“中:
检查是否符合操作步骤提到的各标准。

操作步骤
将不符合检查内容项进行加固,安全标准配置如下
审核计算机账户管理 成功和失败
审核其他账户管理事件 成功和失败
审核安全组管理 成功和失败
审核用户账户管理 成功和失败
风险

2.5 高级安全审核-详细跟踪

描述
高级安全审核-详细跟踪

检查方法
打开”运行“输入”gpedit.msc“,在”本地组 策略编辑器->计算机配置->windows设置->安全设置->高级安全审核策略配置->系统审核策略->本地组策略对象->详细跟踪“中:
检查是否符合操作步骤提到的各标准。

操作步骤
将不符合检查内容项进行加固,安全标准配置如下:
审核进程创建 成功

风险

2.6 高级安全审核-DS访问

描述
高级安全审核策略-DS访问,DS访问安全审核策略设置提供详细的审核耿总的尝试访问和修改对象在Active Directory域服务(ADDS)。仅在域控制器记录事件这些审核

检查方法
打开”运行“输入”gpedit.msc“,在”本地组 策略编辑器->计算机配置->windows设置->安全设置->高级安全审核策略配置->系统审核策略->本地组策略对象->DS访问“中:
检查是否符合操作步骤提到的各标准。

操作步骤
将不符合检查内容项进行加固,安全标准配置如下:
审核目录服务访问 成功和失败
盛和目录服务更改 成功和失败

风险

2.7 高级安全审核-登录/注销

描述
高级安全审核-登录/注销

检查方法
打开”运行“输入”gpedit.msc“,在”本地组 策略编辑器->计算机配置->windows设置->安全设置->高级安全审核策略配置->系统审核策略->本地组策略对象->登录/注销“中:
检查是否符合操作步骤提到的各标准。

操作步骤
将不符合检查内容项进行加固,安全标准配置如下:
审核注销 成功
审核登录 成功和失败
审核特殊登录 成功

风险

2.8 高级安全审核策略-对象访问

描述
高级安全审核策略-对象访问

检查方法
打开”运行“输入”gpedit.msc“,在”本地组 策略编辑器->计算机配置->windows设置->安全设置->高级安全审核策略配置->系统审核策略->本地组策略对象->对象访问“中:
检查是否符合操作步骤提到的各标准。

操作步骤
将不符合检查内容项进行加固,安全标准如下:
审核文件系统 失败
审核注册表 失败

风险

2.9 高级安全审核-策略更改

描述
高级安全审核-策略更改

检查方法
打开”运行“输入”gpedit.msc“,在”本地组 策略编辑器->计算机配置->windows设置->安全设置->高级安全审核策略配置->系统审核策略->本地组策略对象->策略更改“中:
检查是否符合操作步骤提到的各标准。

操作步骤
将不符合检查内容项进行加固,安全标准配置如下:
审核策略更改 成功和失败
审核身份验证策略更改 成功

风险

2.10 高级安全审核策略-特权使用

描述
高级安全审核策略-特权使用

检查方法
打开”运行“输入”gpedit.msc“,在”本地组 策略编辑器->计算机配置->windows设置->安全设置->高级安全审核策略配置->系统审核策略->本地组策略对象->特权使用“中:
检查是否符合操作步骤提到的各标准。

操作步骤
将不符合检查内容项进行加固,安全标准配置如下:
审核敏感特权使用 成功和失败

风险

2.11 高级安全审核策略-系统

描述
高级安全审核策略-系统

检查方法
打开”运行“输入”gpedit.msc“,在”本地组 策略编辑器->计算机配置->windows设置->安全设置->高级安全审核策略配置->系统审核策略->本地组策略对象->系统“中:
检查是否符合操作步骤提到的各标准。

操作步骤
将不符合检查内容项进行加固,安全标准配置如下:
审核IPsec驱动程序 成功和失败
审核安全状态更改 成功和失败
审核安全系统扩展 成功和失败
审核系统完整性 成功和失败

风险

3 安全选项配置

3.1 Microsoft网络服务器

描述
安全选项-Microsoft网络服务器

检查方法
打开”开始->控制面板->管理工具“,在”本地安全策略->本地策略->安全选项->Microsoft网络中“:
检查是否符合操作步骤中提到各标准

操作步骤
将不符合检查内容项进行加固,安全标准配置如下:
登录时间过期后断开与客户端的连接 已启动
暂停会话前所需的空闲时间数量 15分钟

3.2 关机

描述
安全选项-关机
检查方法
打开”开始->控制面板->管理工具“,在”本地安全策略->本地策略->安全选项->关机“:
检查是否符合操作步骤中提到各标准
操作步骤
将不符合检查内容项进行加固,安全标准配置如下:
清楚虚拟内存页面文件 已禁用
允许系统在为登录的情况下关闭 已禁用

3.3恢复控制台

描述
安全选项-恢复控制台

检查方法
打开”开始->控制面板->管理工具“,在”本地安全策略->本地策略->安全选项->恢复控制台“:
检查是否符合操作步骤中提到各标准

操作步骤
将不符合检查内容项进行加固,安全标准配置如下:
允许自动管理登录 已禁用

风险

3.4 交互式登录

描述
安全选项-交互登录

检查方法
打开”开始->控制面板->管理工具“,在”本地安全策略->本地策略->安全选项->交互式登录“:
检查是否符合操作步骤中提到各标准

操作步骤
将不符合检查内容进行加固,安全标准配置如下:
不显示最后的用户名 已启用
提示用户在过期之前更改密码 30天
无须按Ctrl+Alt+Del 已禁用
需要智能卡 已禁用
之前登录到缓存的次数(域控制器不可用时) 0次
智能卡移除操作 锁定工作站

风险

3.5 设备

描述
安全选项-设备

检查方法
打开”开始->控制面板->管理工具“,在”本地安全策略->本地策略->安全选项->设备“:
检查是否符合操作步骤中提到各标准

操作步骤
将不符合检查内容项进行加固,安全标准配置如下:
防止用户安装打印机驱动程序 已启用
将CD-ROM的访问权限仅限于本地登录的用户 已启用
将软盘驱动器的访问权限仅限于本地登录的用户 已启用
允许对可移动媒体进行格式化并弹出 administrators

风险

3.6 审核

描述
安全选项-审计

检查方法
打开”开始->控制面板->管理工具“,在”本地安全策略->本地策略->安全选项->审核“:
检查是否符合操作步骤中提到各标准

操作步骤
将不符合检查内容项进行加固,安全标准配置如下:
强制审核策略子类别设备(Windows Vista或更高版本)替代审核策略类别设置 已启用
如果无法记录安全审核则立即关闭系统 已禁用

风险

3.7 网络安全

描述
安全选项-网络安全

检查方法
打开”开始->控制面板->管理工具“,在”本地安全策略->本地策略->安全选项->网络安全“:
检查是否符合操作步骤中提到各标准

操作步骤
将不符合检查内容项进行加固,安全标准配置如下:
LAN 管理器身份验证级别 仅发送NTLMv2响应\拒绝LM;
基于NTLM SSP (包括安全RPC)服务器的最小绘画安全 要求NTMV2会话安全,要求128位加密
基于NTLM SSP (包括安全RPC)客户端的最小绘画安全 要求NTMV2会话安全,要求128位加密
不要再下次更改密码时存储LAN manager的哈希值 已启用

风险

3.8 网络访问

描述
安全选项-网络访问

检查方法
打开”开始->控制面板->管理工具“,在”本地安全策略->本地策略->安全选项->网络访问“:
检查是否符合操作步骤中提到各标准

操作步骤
将不符合检查内容项进行加固,安全标准配置如下:
本地账户的共享和安全模式 经典
不允许SAM账户的匿名枚举 已启用
不允许SAM账户和共享的匿名枚举 已启用
不允许存储网络身份验证发密码换日凭据 已启用
将Everyone权限应用域匿名用户 已禁用
可匿名访问的共享 无定义
可匿名访问的命名管道 无定义
可匿名的注册表路径 无定义
可远程访问的注册表路径和子路 无定义
限制对命名管道和共享的匿名访问 已启动
允许匿名SID/名称转换 已禁用

3.9 系统对象

描述
安全选项-系统对象

检查方法
打开”开始->控制面板->管理工具“,在”本地安全策略->本地策略->安全选项->系统对象“:
检查是否符合操作步骤中提到各标准

操作步骤
将不符合检查内容项进行加固,安全标准配置如下:
非windows子系统不要求区分大小写 已启用
加强内不系统对象的默认权限 已启用

风险

3.10系统加密

描述
安全选项-系统加密

检查方法
打开”开始->控制面板->管理工具“,在”本地安全策略->本地策略->安全选项->系统加密“:
检查是否符合操作步骤中提到各标准

操作步骤
将不符合检查内容项进行加固,安全标准配置如下:
为计算机上存储的用户密钥强制使用强密钥保护 用户没次使用密钥时必须键入密码

风险

3.11系统设置

描述
安全选项-系统设置

检查方法
打开”开始->控制面板->管理工具“,在”本地安全策略->本地策略->安全选项->系统设置“:
检查是否符合操作步骤中提到各标准

操作步骤
将不符合检查内容项进行加固,安全标准配置如下:
可选子系统 无

3.12 用户账户控制

描述
安全选项-用户账户控制

检查方法
打开”开始->控制面板->管理工具“,在”本地安全策略->本地策略->安全选项->用户账户控制“:
检查是否符合操作步骤中提到各标准

操作步骤
将不符合检查内容项进行加固,安全标准配置如下:
标准用户的提升提升行为 自动提升请求
管理员批准模式中管理员的提升权限提示的行为 提示凭据
检测应用程序安全并提示提升 已启用
将文件和注册表写入错误虚拟化到每用户位置 已启用
仅提升安装再安全位置的UIAccess应用程序 已启用
提示提升时切换到安全桌面 已启用
以管理员批准模式运行所有管理员 已启用
用域内置管理员账户的管理员批准模式 已启用

风险

3.13 账户

描述
安全选项-账户

检查方法
打开”开始->控制面板->管理工具“,在”本地安全策略->本地策略->安全选项->账户“:
检查是否符合操作步骤中提到各标准

操作步骤
将不符合检查内容项进行加固,安全标准配置如下:
来宾账户状态 已禁用
使用空白密码的本地账户只允许进行控制台登录 已启用
重命名来宾账户 不包含“guets”字段

4 服务配置要求

4.1 启用NTP服务

描述
启用NTP服务,配置统一服务器时钟,应开启NTP服务向网络内指定的NTPserver同步时钟

检查方法
对于已加入域的服务器,系统将自动与域控服务器同步时钟
对于未加入域的服务器,需按以下步骤配置。

操作步骤
点击桌面右下角时钟,开启“更改日期和时钟设置”->“Internet时间”
开启“自动域internet 时间服务器同步”选型,在服务器栏中填写NTP server的IP地址,然后点击“立即更新”

4.2 关闭自动播放功能

描述
关闭自动播放功能,避免执行未经扫描或确认的文件,从而引入木马或病毒

检查方法
点击开始->运行->输入gpedit.msc,打开组策略编辑器,管理模板->windows组件,检查“关闭自动播放”项设置

操作方法
设置“关闭自动播放”已启用

4.3 删除HOST文件下的可疑条目

描述
删除HOST文件下的可疑条目

检查方法
查看是否符合操作中提到的标准,检查C:\windows\system32\drivers\etc目录下的用于静态DNS解析的HOSTS文件内容跟正常

操作步骤
将不符合内容项进行加固,确保C:\windows\system32\drivers\etc目录下的用于静态DNS解析的HOSTS文件内容跟正常,对于未知条目可以与管理员追查

4.4关闭默认共享

描述
关闭默认共享,未经确认的共享操作,尤其是对everyone的共享,会对信息安全造成危害
检查方法
net share或计算机管理-共享

4.5 关闭远程注册表

描述
关闭远程注册次奥,防止用户远程修改或查看系统注册表

检查方法
进入“控制面板->管理工具->计算机管理”,进入”服务和应用程序":
检查“Remote Registry”

操作步骤
设置“Remote Registy”已停用

5 其他配置要求

5.1 安装防毒软件

描述
安装防病毒软件和防病毒软件并及时升级

检查方法
检查杀毒软件的安装和升级情况

操作步骤
安装杀毒软件并升级到最新版本

5.2 设置带密码的屏幕保护

描述
设置带密码的屏幕保护,并将时间设定为5分钟,防止合法用户未及时退出登录

检查方法
进入“控制面板->显示->屏幕保护程序”:
查看是否符合操作中提到的标准

操作步骤
将不符合评估内容项进行加固,查看是否启用屏幕保护程序,设置等待时间为为“5分钟后”恢复时5使用密码保护

5.3启用防火墙

描述
启用Windows自带防火墙,且根据业务需要限定允许访问网络的应用程序,和允许远程登录该用户的IP地址

检查方法
进入“控制面板->网路连接->本地连接”,在高级选项的设置中,查看是否启用windows防火墙,查看是否在“例外”中配置允许业务所需的程序接入网络。查看是否在“例外->编辑->更改范围”编辑允许接入的网络地址范围。

操作步骤
将不符合评估内容项进行加固,启用windows自带防火墙。根据业务需要限定允许远程登录该设备的IP地址范围

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/小舞很执着/article/detail/788666
推荐阅读
相关标签
  

闽ICP备14008679号