Windows系统安全检测与加固手册(2010-7-15修订版).doc

Windows系统安全检测加固手册(修订版) （单位人员内部使用） 注意： 1、本手册基于Windows XP Professional (sp3)版设计，个别加固项对于Windows7和WinXP Home版并不适用 2、如果加固过程中，因系统差异加固项出现出入，可根据实际情况选择“新建注册表项”或忽略该加固选项。 准备工作 简介 对注册表和组策略进行备份，防止加固时的误操作 技术要求 检测对象 □注册表 □组策略 备份方法 1:使用RegistryCleanExpert对注册表进行备份 使用Registry Clean Expert对注册表进行备份。双击应用程序，选择备份Windows注册表 2:使用组策略备份工具对系统全部策略进行备份 双击运行“组策略备份.cmd”，选择Y导出组策略设置 恢复方法 注册表恢复： 1、选择点击 “还原注册表”，选择之前的备份文件恢复，重启后生效。 组策略恢复： 双击策略导入工具“组策略导入.cmd”默认恢复实施前备份的当前路径下的组策略。 点击开始菜单中的“运行”，输入“gpupdate”并回车，系统会刷新组策略使备份组策略其生效。 帐号安全 帐号口令 简介 检查系统帐号、用户帐号、口令的安全性。 技术要求 检测对象 超级管理员帐号口令的安全性 普通用户帐号口令的安全性 帐号登录超时自动退出 加固项 1、加强对超级管理员帐户与普通帐户口令的安全性 打开计算机管理-本地用户与组，向管理员询问超级管理员及普通帐户的密码，判断其安全性。打开“控制面版”-“管理工具”-“本地安全策略”，在“帐户策略”中，设置密码必须符合复杂性要求(已启用)，密码长度最小值（8个字符），密码最长存留期(60天)，密码最短存留期（1天）参数，以保护密码。 2、开启强制密码历史功能 安全记录在默认情况下是没有保护的，把他设置成只有Administrator和系统帐户才有权访问。打开“本地安全策略”-“账户策略”-“密码策略”，修改“强制密码历史（3个记住的密码）”。此策略设置确定在可以重新使用旧密码之前，必须与某个用户帐户关联的唯一新密码个数。 3、帐号登录口令错误与超时自动退出 打开“控制面版”-“管理工具”-“本地安全策略”，在“帐户策略”-“帐户锁定策略”，分别设置阀值，账户锁定阀值（5次无效登录），复位账户锁定计算器（15分钟），账户锁定时间（15分钟）。 帐号设置 简介 检查帐号设置的安全性。 技术要求 检测对象 □Windows系统帐号设置的安全策略 加固项 1、管理员用户默认需要改名 一般扫描工具都会扫描该帐户，所以更名很有必要。打开“控制面版”-“管理工具”-“计算机管理”，在“本地用户和组”中，针对administrator用户进行更名。 2、禁用或删除不必要的系统帐户 曾经为某项工作开设的帐户，现在已经没有作用。要经常检查“本地用户和组”，将闲置或无用的帐户禁用或删除，杜绝安全隐患。例如：Guest 3、禁止枚举帐户 打开“控制面版”-“管理工具”-“本地安全策略”-“本地策略”-“安全选项”，双击“网络访问 不允许SAM帐户的匿名枚举”，在出现的属性对话框中，选择“已启用”，点击确定。 4、禁用远程登陆服务 打开“控制面版”-“管理工具”-“本地安全策略”-“本地策略”-“用户权利指派”，双击“通过终端服务允许登陆”(删除默认用户与组)，对用户和组进行限制。此策略设置确定哪些用户或组有权作为终端服务客户端进行登录。 文件系统安全 系统分区 简介 检查系统分区的安全性 技术要求 检测对象 □系统分区 □系统目录 加固项 1、系统分区及数据存放分区必须为NTFS文件系统 在“我的电脑”中，右击要检查的分区，比如C盘，在弹出菜单中点击“属性”，在出现的C盘的属性对话框中，查看C盘的文件系统是否为NTFS格式。如果不是则可以采取多种方法，比如重新格式化（非系统分区）或在命令提示符下使用convert命令转换分区格式，注意，该命令只能从Fat格式转换为ntfs格式，不可逆。 转换语法： Convert volume /FS:NTFS 转换例子： 将C分区转换为NTFS Convert C:/FS:NTFS 2、系统分区必须分为两个及两个以上的分区 打开磁盘管理器，查看系统分区是否为两个及以上分区，用于备份系统分区。 3、禁用文件同步功能 开始菜单，然后点“运行”，输入“ gpedit.msc” ，弹出“计算机配置”然后依次点击 管理模板 -网络-脱机文件 -禁止“ 允许脱机使用”： ,最后选择“已启用”则可。 目录文件 简介 检查系统目录文件的安全性 技术要求 检测对象 □桌面目录及文件 加固项 1、是否将桌面目录设置在非系统分区下(可选做