加固手册
加固手册
涉及 windows、linux、HP-UNIX、凝思磐石、麒麟、网络设备H3C华为、网络设备中兴、网络设备cisco、防火墙
| Windows操作系统安全加固操作记录卡 | ||||||||
|---|---|---|---|---|---|---|---|---|
| 序号 | 对应169号文件编号 | 加固大项 | 加固细项 | 操作步骤 | 风险 | 是否执行 | 执行中发现的问题 | |
| 1 | 1.1.1 | 配置管理 | 新建三个用户:secadmin、audadmin和sysadmin secadmin(安全管理员)备份或还原文件 audadmin(审计管理员)管理系统的各种日志信息 sysadmin系统管理员更改文件所有权/重新启动或关闭系统/设置主机名/配置网卡参数/IP 防火墙的管理/配置所有的对外服务。 | 1. 按下win+R,输入框输入 winver,确认系统版本。 2. 按下win+R,输入框输入 compmgmt.msc,进入“计算机管理->本地用户和组->用户->新建用户”,分别创建安全管理员(secadmin)、 审计管理员(audadmin)和系统管理员(sysadmin); 3. 安全管理员权限配置 在 Win XP、 Win 2003、 Win 7 和 Win 2008: 选择用户“secadmin”右击“属性”进入“隶属于->添加->选择组->高级->立即查找”,同时选择 Backup Operators 和Power Users组,点击确定; 在 Win 2000: 选择用户“secadmin”右击“属性”进入“隶属于->添加->选择组”同时选择Backup、Operators 和Power Users 组,点击确定; 4. 审计管理员权限配置 在 Win 7 和 Win 2008: 选择用户“audadmin”,右击“属性”进入“隶属于->添加->选择组->高级->立即查找”同时选择 Event Log Readers 和 Performance Log User组,点击确定; 在 Win 2000、 Win XP 和 Win 2003: 审计管理员隶属于 Users 组,进入“控制面板->管理工具->本地安全策略->本地策略->用户权利指派->管理审核和安全日志”添加用户“audadmin”点击确定; 5. 系统管理员权限配置 在 Win 7 和 Win 2008: (1) 选择用户“sysadmin”右击“属性”进入“隶属于->添加->选择组->高级->立即查找”选择 Network Configuration Operators 组,点击确定; (2) 进入“控制面板->管理工具->本地安全策略->本地策略->用户权限分配(用户权利指派) ->取得文件或其他对象的所有权”添加用户“sysadmin”点击确定 在 Win 2003 和 Win XP: (1) 选择用户“sysadmin”右击“属性”进入“隶属于->添加”选择 Network、Configuration Operators 组,点击确定; (2) 进入“控制面板->管理工具->本地安全策略->本地策略->用户权限分配(用户权利指派)->取得文件或其他对象的所有权”添加用户“sysadmin”点击确定; 在 Win 2000: 选择用户“sysadmin”右击“属性”进入“隶属于->添加”选择 Administrators组,点击确定; 6.Administrator 用户改名 进入“控制面板->管理工具->本地安全策略->本地策略->安全选项”双击“帐户:重命名系统管理员账号”修改Administrator用户的名称 | 无风险 | |||
| 2 | 1.1.2 | 配置管理 | 用户中禁用默认的Guest账户和Administrator账户 | 1. 按下win+R,输入框输入 compmgmt.msc; 2. 进入“计算机管理->系统工具->本地用户和组->用户”; 3. 查看窗口右侧的用户信息栏目, 查找与设备运行、 维护等工作无关的用户账户,右击删除; 4. 右击 Guest 用户,点击“属性”,勾选“帐户已禁用”,点击确定。 5. 禁用 administrator 用户(Win 2000 不适用),右击 administrator 用户,点击“属性”, 勾选“帐户已禁用”,点击确定; | 有可能影响业务。风险一、 1、部分主机的业务系统原本就建立在Administrator上,禁用后必然对业务系统产生影响。 2、业务系统建立在别的账号,与厂家确认禁用Administrator对业务是否产生影响。 | Administration账户只改名,不删除 | ||
| 3 | 1.1.3 | 配置管理 | 设定屏幕保护策略 | 1. 进入屏幕保护程序 在 Win 7:进入“控制面板->显示->个性化->屏幕保护程序”; 在 Win 2000、 Win XP、 Win 2003 和 Win 2008:进入“控制面板->显示->屏幕保护程序(更改屏幕保护程序)”; 2. 选择屏幕保护程序界面,设置“等待”为5,勾选“恢复时显示登录屏幕”,点击确定; | 无风险 | |||
| 4 | 1.1.4 | 配置管理 | 启用访问控制功能,依据安全策略控制用户对资源的访问,防止系统重要数据泄露(适用于 SCADA 等关键服务器) | 1. 修改文件夹选项: 在 Win 2000、 Win 2003、 Win 7 和 Win 2008:默认不需要修改; 在 Win XP: 默认不开启文件夹安全选项,需要手工开启,进入“工具->文件夹选项->查看”取消勾选“使用简单文件共享”选项,点击确定; 2. 确认系统中的重要数据或文件; 3. 进入到需要进行访问控制的文件或目录; 4. 配置权限 在 Win 7 和 Win 2008:右击“文件”或“目录”选择“属性->安全->编辑”,对相应的用户(组)设置合理的权限; 在 Win 2000、 Win XP 和 Win 2003:右击“文件”或“目录”选择“属性->安全->高级->编辑”,对相应的用户(组)设置合理的权限。 | 无风险 | |||
| 5 | 1.2.1 | 配置管理 | 用户口令复杂度策略 | 1. 进入“控制面板->管理工具->本地安全策略->帐户策略->密码策略”; 2. 双击“密码长度最小值”设置“密码长度最小值”为8个字符,点击确定; 3. 双击“密码必须符合复杂性要求”勾选已启用,点击确定。 | 部分业务系统(如故障录波)特殊原因为自动化登录系统、自动登录业务软件,修改密码导致自动登录失败,从而业务软件无法启动。建议与故障录波厂家进行联系,明确口令修改方式。 | |||
| 6 | 1.2.2 | 配置管理 | 用户登录失败锁定 | 1. 进入“控制面板->管理工具->本地安全策略->账户策略->帐户锁定策略”; 2. 双击“帐户锁定阀值” 设置,设置无效登录次数为 5 次,点击确定; 3. 双击“帐户锁定时间” 设置,设置锁定时间 10 分钟,点击确定。 | 无风险 | |||
| 7 | 1.2.3 | 配置管理 | 用户口令周期策略 | 1. 进入“控制面板->管理工具->本地安全策略->帐户策略->密码策略”; 2. 双击“密码最长使用期限(密码最长存留期)”设置“密码最长使用期限”为90天,点击确定。 | 无风险 | |||
| 用户口令 | 1. 按下win+R,输入框输入 compmgmt.msc; 2. 进入“计算机管理->系统工具->本地用户和组->用户”; 3. 右击目标 用户,点击“属性”,去除“密码永不过期”,点击确定。 | 2020技术监督新增内容 | ||||||
| 8 | 1.2.4 | 配置管理 | 用户口令过期提醒 | 1. 进入“控制面板->管理工具->本地安全策略->本地策略->安全选项”; 2. 双击“交互式登录:提示用户在过期之前更改密码”设置为10天,点击确定。 | 无风险 | |||
| 9 | 1.2.5 | 配置管理 | 系统不显示上次登录用户名 | 1. 进入“控制面板->管理工具->本地安全策略->本地策略->安全选项”; 2. 双击“交互式登陆:不显示最后的用户名”选择“已启用”点击确定。备注“交互式登陆:不显示最后的用户名”在WinXP和Win2003中为“交互式登陆: | 无风险 | |||
| 10 | 1.3.1 | 配置管理 | 补丁更新 | 1. 打开命令控制台,输入 systeminfo,查看主机现有的补丁编号; 2. 查看当前系统漏洞是否已安装补丁包; 3. 在微软官方网站下载对应补丁包(https://support.microsoft.com/zh-cn); 4. 验证补丁包 HASH 值,在官方网站搜索所需要安装补丁包的更新说明; 5. 打开对应网页查看文件哈希信息; 6. 验证本地补丁包哈希值; 7. 验证哈希信息正确后,安装补丁包程序。 | 有可能影响业务。风险二、 部分业务系统主机设备年限、系统版本老旧,设备性能较低,打补丁过程中遇到宕机等问题,此类设备打补丁需要现场风险评估。 | |||
| 11 | 1.4.1 | 配置管理 | 禁止用户修改 IP | 1. 按下Win +R,输入框输入 gpedit.msc,打开“本地组策略编辑器”; 2. 进入“用户配置->管理模板->网络->网络连接”; 3. 双击“禁止访问 LAN 连接组件的属性”,设置为已启用,点击确定; 4. 双击“禁止访问 LAN 连接的属性”,设置为已启用,点击确定; 5. 双击“禁用 TCP/IP 高级配置”,设置为已启用,点击确定。 | 无风险,如果业务需要修改 IP,可临时取消,修改完成后重新加固 | |||
| 12 | 1.4.2 | 配置管理 | 禁止用户更改计算机名 | 1. 按下Win+R,输入框输入 gpedit.msc,打开“本地组策略编辑器”; 2. 进入“用户配置->管理模板->桌面”; 3. 双击“从计算机(我的电脑)图标上下文菜单中删除属性”设置为“已启用”,点击确定。 | ||||
| 13 | 1.4.3 | 配置管理 | 删除默认路由 | 在删除默认路由之前,应梳理路由表,手动添加具体的业务路由 1. 按下Win+R,输入框输入cmd; 2. 在命令提示符中输入“route print”,查看是否有缺省路由; 3. 以管理员身份打开命令提示符,输入route delete 0.0.0.0,删除默认路由。 | 有可能影响业务。风险三、 在删除默认路由之前,应梳理路由表,若修改的业务路由不正确,可能造成业务中断 | |||
| 14 | 1.4.4 | 配置管理 | 关闭默认共享 | 1. 进入“开始->控制面板->管理工具->计算机管理(本地)->共享文件夹->共享”; 2. 查看右侧窗口,选择对应的共享文件夹(例如 C$,D$,ADMIN$, IPC$等),右击停止共享。 | 无风险 | 2021年技术监督被查出后整改 | ||
| 15 | 1.4.5 | 配置管理 | 开启用户账户控制设置 | 1. 进入“开始->控制面板->用户账户和家庭安全->用户账户” 2. 更改“用户账户控制设置”,设置为“默认”点击确定。 | 无风险 | |||
| 16 | 1.4.6 | 配置管理 | 禁止未登录前关机 | 1. 进入“控制面板->管理工具->本地安全策略->本地策略->安全选项”; 2. 双击“关机: 允许系统在未登录的情况下关闭”设置属性为“已禁用”,点击确定。 | 无风险 | |||
| 17 | 1.4.7 | 配置管理 | 设置关机时清除虚拟内存页面文件,避免虚拟内存信息通过硬盘泄露。 | 1. 进入“开始->控制面板->管理工具->本地安全策略”; 2. 进入“安全设置->本地策略->安全选项”; 3. 双击“关机: 清除虚拟内存页面文件”,属性设置为“已启用”点击确定。 | 无风险 | |||
| 18 | 1.4.8 | 配置管理 | 禁止非管理员关机 | 1. 进入“开始->控制面板->管理工具->本地安全策略->本地策略->用户权限分配”; 2. 分别双击“关闭系统”和“从远程系统强制关机”选项,仅配置系统管理员(sysadmin)用户。 | 无风险 | |||
| 19 | 1.5.1 | 配置管理 | 按照最小安装的原则,删除操作系统中与业务无关的软件 | 1. 确认系统中必须安装的软件列表; 2. 删除与业务系统无关的软件:在 Win 7 和 Win 2008:进入“开始->控制面板->程序与功能”,查找与系统业务无关的软件,选择需要卸载的软件,右键选择 “卸载/更改” 按钮,卸载完成。 在 Win 2000、 Win XP 和 Win 2003:进入“开始->控制面板->添加或删除程序”,查找与系统业务无关的软件, 选择需要卸载的软件, 右击选择“删除” 按钮, 卸载完成。 | 有可能影响业务。风险四、 对不明软件需与业务系统厂家确认后方可删除。 | |||
| 20 | 2.1.1 | 网络管理 | 应遵循最小安装的原则,仅安装和开启必需的服务,避免系统中存在不必要的服务 | 1. 确认系统应用需要使用的服务; 2. 按下Win+R,输入框中输入 services.msc 命令; 3. 双击需要关闭的服务,点击停止按钮以停止当前正在运行的服务; 4. 将启动类型设置为禁用,点击确定。 建议关闭以下服务: Server Computer Browser DHCP Client(2021年有被查出) Telnet Print Spooler 关闭后,打印机无法使用(2021年有被查出,无打印机的设备肯定可以关闭) Simple Network Management Alerter(Win7、Win2008不适用) Clipbook(Win7、Win2008不适用) Messenger(Win7、Win2008 不适用) Remote Registry Service(Win7、Win 2008不适用) Routing and Remote Access Simple Mail Trasfer Protocol(SMTP)(Win2000不适用,对应的是25端口) Protocol(SNMP) Service (Win XP、Win2000不适用)(假如25端口对应的不是这个服务就甚至25端口也可以不关) Simple Network Management Protocol(SNMP) Trap (Win XP、 Win 2000 不适用) World Wide Web Publishing Service(Win XP、Win2000 不适用) Terminal Service(Win2000 不适用) DNS(2020技术监督新增)(2021年再次被查出)(亿力科技的人说我们不上网一般就是可以关) WINDOWS UPDATE(2020技术监督新增)(2021年再次被查出,是绝对可以禁的) Shell Hardware Detection(2021新增,是自动播放,肯定可以关) | 无风险 | |||
| 21 | 2.1.2 | 网络管理 | 关闭不必要的系统端口 | 1. 核实本机应监听的端口列表; 2. 查看系统当前实际监听的端口列表 在 Win 7、 Win XP、 Win 2003 和 Win 2008:在命令提示符中,输入 netstat -ano命令,查看系统当前网络连接状况; 在 Win 2000:在命令提示符中,输入 netstat -an 命令,查看系统当前网络连接状况; (1)打开任务管理器,根据 PID 来查看端口对应的进程或服务; (2)通过停止进程或禁用服务,关闭不必要的端口; (3)按照白名单原则,仅开放必须的端口; 在 Win XP、 Win7 、 Win 2003 和 Win 2008 中:使用防火墙实现白名单制度,操作步骤参照 2.2.2 配置访问控制规则。 在 Win2000 中: 使用 IP 安全策略实现白名单制度, 操作步骤参照 2.2.2 配置访问控制规则。 以下端口必须关闭:1. 以下端口禁止开放: TCP21,TCP23,TCP/UDP135, TCP/UDP137,TCP/UDP138,(2021技术监督被重点查出) TCP/UDP139,TCP/UDP445。 2. 以下端口应限制访问 IP: TCP3389。 若上述端口被使用,亿力科技厂家建议将相应服务移至其他端口后,再关闭端口 | 有可能影响业务。风险五、 须与业务系统厂家确定业务系统所需端口。 | |||
| 22 | 2.1.3 | 网络管理 | 启用 SYN 攻击保护 | 1. 按下 +R,输入框中输入 regedit 命令; 2. 查看注册表项,进入HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 3. 新建字符串值,重命名为 SynAttackProtect,双击修改数值数据为 2; 4. 新建字符串值,重命名为 TcpMaxportsExhausted,双击修改数值数据为 5; 5. 新建字符串值,重命名为 TcpMaxHalfOpen,双击修改数值数据为 500; 6. 新建字符串值, 重命名为 TcpMaxHalfOpenRetried, 双击修改数值数据为 400 | 无风险 | |||
| 23 | 2.1.4 | 网络管理 | 设置最小挂起时间 | 1. 进入“控制面板->管理工具->本地安全策略->本地策略->安全选项”; 2. 双击“Microsoft 网络服务器: 登录时间过期后断开与客户端的连接” 和“网络安全:在超过登录时间后强制注销”,设置为已启用; 3. 双击“Microsoft 网络服务器: 暂停会话前所需的空闲时间量”设置时间为15 分钟。 2.“Microsoft 网络服务器: 登录时间过期后断开与客户端的连接”在 Win XP 和Win 2003 为“Microsoft 网络服务器: 登录时间用完后自动注销用户”Win 2000无该安全项; 3.“网络安全: 在超过登录时间后强制注销”安全选项在 WinXP 和 Win2003 为“网络安全: 在超过登录时间后强制注销”Win 2000 无该安全项; 4.“Microsoft 网络服务器: 暂停会话前所需的空闲时间量”在 WinXP和 Win2003为“Microsoft 网络服务器: 挂起会话前所需的空闲时间量”在Win 2000为“在断开会话之前所需的空闲时间”。 | 无风险 | |||
| 24 | 2.2.1 | 网络管理 | 开启防火墙 | 1. 按下Win +R,输入框中输入 Firewall.cpl; 2. 选择“打开或关闭 Windows 防火墙”,点击启用 Windows 防火墙 | 有可能影响业务。风险六、 开启防火墙会影响业务运行 | |||
| 25 | 2.2.2 | 网络管理 | 配置访问控制规则 | 在 Win 7 和 Win 2008: (1) 按下Win+R,输入框中输入wf.msc,进入高级安全防火墙,点击“新建规则”; (2) 选择协议和端口; (3) 选择需要进行的操作; (4) 选择规则应用的范围; (5) 命名规则,点击完成。 2. 在 Win 2003、 Win XP: (1) 按下 +R,输入框中输入 Firewall.cpl,进入”Windows 防火墙—>例外”选项卡; (2) 选择协议和端口; (3) 选择需要进行的操作; (4) Win XP 防火墙采用白名单制度,只需勾选系统必须的专用端口。 3. 在Win 2000: (1)按下 +R, 输入框中输入 gpedit.msc,打开本地组策略编辑器,进入“计算机配置->windows 设置->IP 安全策略,在本地机器上”; (2)双击“IP 安全策略,在本地机器上”右击打开“创建 IP 安全策略”点击“下一步”; (3)配置 IP 安全策略名称,取消勾选“激活默认响应规则”点击“下一步”; (4)双击进入新建策略的属性,在“规则”选项中“添加”取消勾选“使用添加向导”点击添加; (5)进入IP筛选器属性,设置目标地址; (6)点击“筛选器操作->添加”,选择安全方法为“许可”; (7) 勾选上述新建的 IP 筛选器和筛选器操作,点击确定; (8) 所有许可策略添加完成后,添加一条拒绝所有连接的IP安全策略, 符合白名单配置的要求。 | 有可能影响业务。风险七、 需要梳理业务端口,避免将业务端口禁用后导致业务不通 | |||
| 26 | 3.1.1 | 接入管理 | 禁用大容量存储介质(USB 存储设备) | 1. 按下Win+R,在输入框输入 regedit,打开注册表编辑器; 2. 进入HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR; 3. 双击右侧注册表中的“Start” 项,修改值为 4。 | 无风险 | |||
| 27 | 3.2.1 | 接入管理 | 关闭自动播放功能 | 1. 按下Win +R,输入框中输入 gpedit.msc,进入“本地组策略编辑器”; 2. 配置关闭自动播放策略: 在 Win 7 和 Win 2008: (1)进入“计算机配置->管理模板->Windows 组件->自动播放策略”; (2)查看右侧小窗口,双击“关闭自动播放”, 选择“已启用”; (3)在“选项” 中,选择“所有驱动器”,点击确定。 在 Win 2000、 Win XP 和 Win 2003: (1)进入“计算机配置->管理模板->系统”; (2)查看右侧小窗口,双击“关闭自动播放”, 选择“已启用”; (3)在“选项” 中,选择“所有驱动器”,点击确定。 | 无风险 | |||
| 28 | 3.3.1 | 接入管理 | 关闭远程主机 RDP 服务 | 在 Win 7 和 Win 2008: (1)右击“计算机”,选择“属性”,点击左侧菜单栏中的“远程设置”; (2) 选择“不允许连接到这台计算机, 取消勾选“允许远程协助连接到这台计算机”,点击确定。 在 Win XP 和 Win 2003: (1)右击“我的电脑”选择“属性”点击“远程” 选项卡; (2) 取消勾选“允许用户 远程连接到这台计算机” 和“允许这台计算机发送远程协助邀请”点击确定 | 无风险,若确需远程管理主机,则需要在3.3.2中设置 | |||
| 29 | 3.3.2 | 接入管理 | 仅限于指定 IP 地址范围主机远程登录,防止非法主机的远程访问 | 1. 按下Win+R,输入框输入 gpedit.msc,进入“本地组策略编辑器”; 2. 分别进入“计算机配置->管理模板->网络->网络连接->Windows 防火墙->域配置文件” 和“标准配置文件”,执行 3、 4 步操作; 3. 双击“允许入站远程桌面例外”, 选择“已启用”; 4. 填入允许远程登录到本机的主机 IP 地址,并以逗号分隔,点击确定。 | 有可能影响业务。风险八、 需要梳理需要远程访问的主机地址,添加策略,允许指定地址远程访问该主机 | |||
| 30 | 3.3.3 | 接入管理 | 系统远程登录仅允许使用 Windows 系统自 带工具,严禁使用第三方远程登录软件。 | 1. 进入“开始->控制面板->程序与功能”(添加删除程序), 查找是否有第三方远程登录软件(服务端); 2. 卸载系统中的第三方远程登录软件。 | 无风险 | |||
| 31 | 3.3.4 | 接入管理 | 限制远程登录时间 | 1. 按下win +R,在输入框输入 gpedit.msc,进入“本地组策略编辑器”; 2. 开启并设置时间限制: 在 Win 7 和 Win 2008: (1) 进入“计算机配置->管理模板->Windows 组件->远程桌面服务->远程桌面会话主机->会话时间限制”, 双击“达到时间限制终止会话”, 选择“已启用”,点击确定; (2) 双击“设置活动但空闲的远程桌面服务会话的时间限制”, 选择“已启用”,设置“活动会话限制” 为 10 分钟,点击确定。 在 Win XP 和 Win 2003: (1) 进入“计算机配置->管理模板->Windows 组件->终端服务->会话”, 双击“到达时间限制时终止会话”,选择“已启用”,点击确定; (2) 双击“为活动但空闲的终端服务会话设置时间限制”, 选择“已启用”, 设置“活动会话限制” 为 10 分钟,点击确定。 | 无风险 | |||
| 32 | 3.3.5 | 接入管理 | 若启用远程桌面服务,建议修改默认服务端口, 防止非法用户利用默认端口访问。 | 1. 按下win +R,在输入框中输入 regedit 命令,打开注册表编辑器; 2. 进入HKLM/System/CurrentControlSet/Control/TerminalServer/WinStations/RDP-Tcp; 3. 双击“PortNumber” 子项,修改值为自定义端口(如 13889), 点击确定。 | 无风险,若启用远程桌面,才需要此步骤 | |||
| 33 | 3.3.6 | 接入管理 | 限制匿名用户连接权限,防止用户远程枚举本地账号 | 1. 按下 Win+R,在输入框输入 gpedit.msc,进入“本地组策略编辑器”; 2. 进入“计算机配置->Window 设置->安全设置->本地策略->安全选项”; 3. 双击“网络访问: 不允许 SAM 帐号和共享的匿名枚举”, 选择“已启用”, 点击确定; 4. 双击“网络访问: 不允许 SAM 帐户的匿名枚举”, 选择“已启用”, 点击确定。 | 无风险 | |||
| 34 | 3.3.7 | 接入管理 | 禁止凭据管理器保存通过域身份验证的密码和凭据,避免用户信息泄露 | 1. 进入“控制面板->管理工具->本地安全策略->本地策略->安全选项”; 2. 双击“网络访问,不允许存储网络身份验证的密码和凭据”,选择“已启用”,点击确定。 | 无风险 | |||
| 35 | 3.4.1 | 接入管理 | 禁止使用无线设备 | 1. 核实是否存在无线网卡,若存在,请执行以下操作并拔出网卡设备; 2. 按下win +R,在输入框输入 devmgmt.msc,进入“设备管理器”; 3. 查找右侧“设备管理器” 的窗口, 选择网络适配器, 找到无线网卡、 蓝牙无线收发适配器设备名称; 4. 右击该设备,选择“禁用”,点击“是”。 | 无风险 | |||
| 36 | 4.1.1 | 日志与审计 | 配置系统日志策略配置文件,对系统登录、访问等行为进行审计,为后续问题追溯提供依据。 | 1. 按下 Win+R,输入框输入 gpedit.msc,进入“本地组策略编辑器”; 2. 进入“计算机配置->Windows 设置->安全设置->本地策略->审核策略”; 3. 对审核策略进行如下设置: 审核账户登录事件:成功,失败; 审核账户管理:成功,失败; 审核目录服务访问:失败; 审核登录事件:成功,失败; 审核对象访问:成功,失败; 审核策略更改:成功,失败; 审核特权使用:失败; 审核过程追踪:无审核; 审核系统事件:成功,失败; 4. 设置完成后,点击确定。 | 无风险 | |||
| 37 | 4.1.2 | 日志与审计 | 配置日志文件大小 | 1. 进入事件查看器的日志配置 在 Win7 和 Win2008: 进入“控制面板->管理工具->事件查看器->Windows 日志”; 在 Win 2000、 Win XP 和 Win2003:进入“控制面板->管理工具->事件查看器”; 2. 依次右击“应用程序”、“安全”、“系统”、“转发事件” 和“Setup”, 选择“属性->常规”, 设置“日志最大大小” 为 102400KB; 3. 按下 +R,输入框输入 gpedit.msc,进入“本地组策略编辑器”; 4. 配置日志覆盖模式 在 Win7 和 Win 2008: 进入“计算机配置->管理模板->Windows 组件->事件日志服务->安全->日志文件写满后自动备份” 和“保留旧事件”, 设置“已启用”; 在 Win 2000、 Win XP 和 Win2003: 按下 +R,输入框输入 eventvwr,进入“事件查看器”; 分别右击“应用程序”、“安全”、“系统”, 选择“属性->常规”, 设置“当达到最大的日志尺寸时->改写久于XX天的事件” 为 180 天; | 无风险 | |||
| 38 | 5.1.1 | 防病毒软件 | 安装防病毒软件 | 1. 安装防病毒软件; 2. 使用离线安装包将病毒库更新至最新; 3. 后期定期升级杀毒软件和病毒库。 | 无风险 | |||
| 39 | 5.2.1 | 数据执行保护 | 数据执行保护(DEP) | 1. 进入“控制面板->系统”; 2. 选择“高级系统设置->高级->性能->设置->数据执行保护”选项卡,勾选“仅为基本Windows操作系统程序和服务启用DEP”点击确定。 | 无风险 | |||
| 40 | 6.1.1 | 清朗篇 | 消除垃圾硬件、文件 | 1、未联网设备退出运行; 2、联系业务系统厂家清理各自系统内保存时间超过1年且无价值的日志文件。 | 无风险 | |||
| 41 | 6.1.2 | 清朗篇 | 消除不良程序行为 | 1、删除输入法互联网更新程序,如搜狗输入法安装目录下PinyinUp.exe程序 2、关闭防病毒软件的互联网更新功能,如360杀毒设置-升级设置-关闭病毒库自动更新、也不显示升级提醒;金山毒霸设置-升级设置-关闭自动升级 | 无风险 | |||
| 42 | 6.1.3 | 清朗篇 | nmap工具利用 | 利用nmap软件探测网络内设备获取系统版本、ip、主机名等信息用于网络内无用策略清理、资产核查等工作 | 无风险 | |||
| 新增 | 关闭135、445、3389端口 | 1、关闭139端口 ipc和RPC漏洞存在于此。鼠标右击“网络邻居”,选择“属性”,再鼠标右击“本地连接”,选择“属性”。选择“TCP/IP协议/属性/高级”,进入“高级TCP/IP设置”对话框,选择“WINS”标签,勾选“禁用TCP/IP上的NETBIOS”一项,关闭NETBIOS(2021技术监督有重点检查). 2、关闭445端口 修改注册表,添加一个键值(HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters)在右面的窗口建立一个SMBDeviceEnabled为DWORD类型键值为0这样就ok了。 3、关闭3389端口 在我的电脑上点右键选“属性”–>“远程”,将里面的远程协助和远程桌面两个选项框里的勾去掉。 (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp)来到这里,找到PortNumber,十进制是3389的,把它改成改成30389了。此外,还要禁用Telnet、Terminal Services这两个危险服务。 4、关闭135的经过注册表更改 (1)、HKEY_LOCAL_MACHINE→SOFTWARE→Microsoft→Ole→EnableDCOM的值改为“N” HKEY_LOCAL_MACHINE→SOFTWARE→Microsoft→Rpc→DCOM Protocols键值中删除“ncacn_ip_tcp” (2)、此外,还需要确认是否停用了“Distributed Transaction Coordinator”此项服务。 (3)、重新启动一下输入CMD,然后直接打入netstat -an这个命令,看,135端口没有了。 | 无风险 |
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 白泽实验室!
