Windows主机加固方案一、加固主机列表本次安全加固服务的对象包括:编号IP地址操作系统用途或服务Windows2000AdvaneedServerIIS服务器一、固方案操作系统加固方案补丁安装编号:Windows-02001名称:补丁安装系统当前状态:实施方案:使用Windowsupdate安装取新补丁实施目的:可以使系统版本为最新版本实施风险:安装补丁可能导致主机启动失败,或其他未知情况发生。是否实施:是否(客户填写)帐号、口令策略修改编号:Windows-03002,Windows-03003,Windows-03004名称:帐号口令策略修改系统当前状态:密码长度最小值0字符密码最长存留期42天密码最短存留期0天帐号锁定计数器无帐户锁定时间0实施方案:帐户锁定阀值无密码长度最小值7字符密码最长存留期90天密码最短存留期30天帐号锁定计数器5次实施目的:保障帐号以及口令的安全5分钟实施风险:设帐户帐号策略后可能导致不符合帐号策略的帐号无法登录,需修改不符合帐号策略的密码(注:管理员不受帐号策略限制,但管理员密码应复杂以避免被暴力猜测导致安全风是否实施:是否(客户填写)编号:Windows-03002,Windows-03003,Windows-03004名称:更改默认管理员用户名系统当前状态:默认官理员帐号为administrator实施方案:更改默认管理员用户名实施目的:默认管理员帐号可能被攻击者用来进行密码暴力猜测,可能由于太多的错误密码尝试导致该帐户被锁定。建议修改默认管理员用户名。实施风险:无,但此步骤不总是必要。是否实施:是否(客户填写)网络与服务加固编号:Windows-04005名称:将暂时不需要开放的服务停止系统当前状态:已启动且需要停止的服务包括:Alerter服务ComputerBrowser服务IPSECPolicyAgent服务Messenger服务MicrosoftSearch服务PrintSpooler服务RunAsService服务RemoteRegistryService服务SecurityAccountsManager服务TaskScheduler服务TCP/IPNetBIOSHelperService服务实施方案:开始|运行||将上述服务的启动类型设置为手动并停止上述服务实施目的:避免未知漏洞给主机带来的风险实施风险:可能由于管理员对主机所开放服务不了解,导致该服务被卸载。由于某服务被禁止使得依赖于此服务的其他服务不能正常启动。是否实施:是否(客户填写)文件系统加固编号:Windows-05002名称:限制特定执行文件的权限系统当前状态:未对敏感执行文件设置合适的权限实施方案:通过实施我公司的安全策略文件对特定文件权限进行限制,禁止Guests用户组访问这些文件。实施目的:禁止Guests用户组访问以下文件:实施风险:在极少数情况下,某些网页可能调用来完成某种功能,限制的执行权限可能导致调用cmd失败。是否实施:是否(客户填写)日志审核增强编号:Windows-06001名称:设置主机审核策略系统当前状态:审核策略更改无审核审核登录事件成功、失败审核对象访问无审核审核过程追踪无审核审核目录服务访问无审核实施目后出现故障时用于排查故障。是否实施:编号:名称:调整事件日志的大小、覆盖策系统当前状态:大覆盖方应用日512覆盖早于7天的事实施方审核策略更改成功审核登录事件无审核审核对象访问成功,失败审核过程追踪无审核审核目录服务访问无审核审核特权使用无审核审核系统事件成功,失败审核帐户登录事件成功,失败(客户填写)Windows-06002,Windows-06003,Windows-06004通过实施我公司的安全策咯文件修覆盖早述值7天的事件系统日志512K覆盖早于7天的事件实施方案:审核特权使用审核系统事件核帐户登录事件审核帐户管理无审核无审核审成功、失败成功、失败通过实施我公司的安全策略文件修改下述值:件进行审核,在核实施风险:大小覆盖方式应用日志16382K覆盖早于30天的事件安全日志16384K覆盖早于30天的事件系统日志16384K覆盖早于30天的事件实施目的:增大日志量大小,避免由于日志文件容量过小导致日志记录不全。实施风险:无是否实施:是否(客户填写)安全性增强编号:Windows-07001名称:禁止匿名用户连接(空连接)系统当前状态:注册表如下键值:HKLM\SYSTEM\CurrentControlSet\Control\Lsa“restrictanonymous"的值为0实施方案:通过实施我公司的安全策略文件将该值修改为“1”,类型为REG_DWORD。实施目的...
