windows操作系统安全防护强制性要求.docVIP

Windows XP操作系统安全防护强制性要求 PAGE 35 Windows 操作系统安全防护 强制性要求 二〇一四年五月 PAGE I 目录 TOC \o 1-3 \h \z \u 1. 系统用户口令及策略加固 1 1.1. 系统用户口令策略加固 1 1.2. 用户权限设置 1 1.3. 禁用Guest（来宾）帐户 2 1.4. 禁止使用超级管理员帐号 3 1.5. 删除多余的账号 3 2. 日志审核策略配置 4 2.1. 设置主机审核策略 4 2.2. 调整事件日志的大小及覆盖策略 4 2.3. 启用系统失败日志记录功能 5 3. 安全选项策略配置 5 3.1. 设置挂起会话的空闲时间 5 3.2. 禁止发送未加密的密码到第三方 SMB 服务器 6 3.3. 禁用对所有驱动器和文件夹进行软盘复制和访问 6 3.4. 禁止故障恢复控制台自动登录 6 3.5. 关机时清除虚拟内存页面文件 7 3.6. 禁止系统在未登录前关机 7 3.7. 不显示上次登录的用户名 7 3.8. 登录时需要按 CTRL+ALT+DEL 8 3.9. 可被缓存的前次登录个数 8 3.10. 不允许 SAM 帐户和共享的匿名枚举 8 3.11. 不允许为网络身份验证储存凭证或 .NET Passports 9 3.12. 如果无法记录安全审核则立即关闭系统 9 3.13. 禁止从本机发送远程协助邀请 9 3.14. 关闭故障恢复自动重新启动 9 4. 用户权限策略配置 10 4.1. 禁止用户组通过终端服务登录 10 4.2. 只允许管理组通过终端服务登录 10 4.3. 限制从网络访问此计算机 10 5. 用户权限策略配置 11 5.1. 禁止自动登录 11 5.2. 禁止光驱自动运行 11 5.3. 启用源路由欺骗保护 11 5.4. 删除 IPC 共享 12 6. 网络与服务加固 12 6.1. 卸载、禁用、停止不需要的服务 12 6.2. 禁用不必要进程，防止病毒程序运行 13 6.3. 关闭不必要启动项，防止病毒程序开机启动 22 6.4. 检查是否开启不必要的端口 30 6.5. 修改默认的远程桌面端口 31 6.6. 启用客户端自带防火墙 31 6.7. 检测 DDOS 攻击保护设置 32 6.8. 检测 ICMP攻击保护设置 32 6.9. 检测 TCP碎片攻击保护设置 33 7. 其他安全性加固 34 7.1. 安装防火墙和防病毒软件 34 7.2. 使用NTFS文件系统 34 7.3. 文件权限安全 35 7.4. 未经签名的驱动程序软件安装管理 35 7.5. 屏幕保护 36 7.6. 检查数据执行保护 36 PAGE 1 系统用户口令及策略加固 系统用户口令策略加固 实施名称： 系统用户口令策略加固 系统当前状态： 查看系统“本地安全设置”－“帐户策略”中“ 密码策略”和“账号锁定策略”当前情况 实施方案： 密码必须符合复杂性要求：启用 密码长度最小值 8 个字符 密码最长使用期限： 90 天 强制密码历史： 24 个记住的密码 帐户锁定阀值： 3 次无效登录 帐户锁定时间： 15 分钟 复位帐户锁定计数器： 15 分钟之后 策略更改后，督促现有用户更改其登录口令以符合最新策略要求。 实施目的： 保障用户账号及口令的安全，防止口令猜测攻击。 实施风险： 无 用户权限设置 实施名称： 禁止除管理员外的一般用户远程登录计算机或关闭计算机，同时禁止无用帐号的登录，可以防止恶意用户通过破解一般低权限的用户口令后使用该用户登录进行提权攻击。 系统当前状态： 开始 → 运行 → gpedit.msc 计算机配置 → Windows设置 → 安全设置 → 本地策略 → 用户权利指派 实施方案： 1．参考配置操作 检查用户权限策略是否设置： 开始 → 运行 → gpedit.msc 计算机配置 → Windows设置 → 安全设置 → 本地策略 → 用户权利指派 此处有较多选项，建议对以下四项进行检查： ? 从网络访问此计算机（可选） ? 从远程系统强制关机 ? 拒绝本地登录 建议做如下设置： ? 从远程系统强制关机的权利仅指派给Administrators ? 设置取得文件或其它对象的所有权为只指派给Administrators组 ? 拒绝本地登录： IUSR_MACHINENAME、IWAN_MACHINENAME等不需要使