Windows 操作系统安全加固指南2019 年 02 月本指南仅适用于 Windows 2000 Professional、Windows XP、Windows Server 2003、Windows 7、Windows Server 2008(以下分别简称 Win 2000、Win XP、Win 2003、Win 7、Win 2008)版本 Windows 操作系统目 录1. 配置管理 11.1 用户策略 11.2 身份鉴别 81.3 补丁管理 101.4 主机配置 121.5 软件管理 162. 网络管理 172.1 网络服务管理 172.2 防火墙功能 223. 接入管理 283.1 外设接口 283.2 自动播放 293.3 远程登录 303.4 外部连接管理 354. 日志与审计 364.1 日志与审计 365. 恶意代码防范 395.1 防病毒软件 395.2 数据执行保护 401. 配置管理1.1 用户策略1.1.1 用户权限策略配置(适用于服务器或公用工作站)加固项目名称用户权限策略配置加固编号Windows-01-01-01加固说明按照仅授予管理用户最小权限的原则设置安全管理员、审计管理员和系统管理员,安全管理员隶属于 Backup Operators 和 Power Users 组,审计管理员隶属于Event Log Readers 和Performance Log User 组,系统管理员隶属于 Network Configuration Operators 组,建立三权分立的安全策略。
适用于服务器或公用工作站)适用版本Win 2000、Win XP、Win 2003、Win7、Win 2008操作步骤1. 按下+R,输入框输入 winver,确认系统版本2. 按下+R,输入框输入 compmgmt.msc,进入“计算机管理->本地用户和组-> 用户->新建用户”,分别创建安全管理员(secadmin)、审计管理员(audadmin)和系统管理员(sysadmin);3. 安全管理员权限配置在 Win XP、Win 2003、Win 7 和 Win 2008:选择用户“secadmin”,右击“属性”,进入“隶属于->添加->选择组->高级->立即查找”,同时选择 Backup Operators 和 Power Users 组,点击确定;10在 Win 2000:选择用户“secadmin”,右击“属性”,进入“隶属于->添加->选择组”,同时选择 Backup Operators 和 Power Users 组,点击确定;4.审计管理员权限配置在 Win 7 和 Win 2008:选择用户“audadmin”,右击“属性”,进入“隶属于->添加->选择组->高级->立即查找”,同时选择 Event Log Readers 和 Performance Log User 组,点击确定;在 Win 2000、Win XP 和Win 2003:审计管理员隶属于 Users 组,进入“控制面板->管理工具->本地安全策略->本地策略->用户权利指派->管理审核和安全日志”,添加用户“audadmin”,点击确定;5.系统管理员权限配置在 Win 7 和 Win 2008:(1) 选择用户“sysadmin”,右击“属性”,进入“隶属于->添加->选择组->高级->立即查找”,选择 Network Configuration Operators 组,点击确定;(2) 进入“控制面板->管理工具->本地安全策略->本地策略->用户权限分配( 用户权利指派)->取得文件或其他对象的所有权”,添加用户“sysadmin”,点击确定在 Win 2003 和 Win XP:(1) 选择用户“sysadmin”,右击“属性”,进入“隶属于->添加”,选择 Network Configuration Operators 组,点击确定;(2) 进入“控制面板->管理工具->本地安全策略->本地策略->用户权限分配(用户权利指派)->取得文件或其他对象的所有权”,添加用户“sysadmin”,点击确定;在 Win 2000:选择用户“sysadmin”,右击“属性”,进入“隶属于->添加”,选择 Administrators组,点击确定;6.Administrator 用户改名进入“控制面板->管理工具->本地安全策略->本地策略->安全选项”,双击“帐户:重命名系统管理员账号”,修改 Administrator 用户的名称。
备注建议各管理员所具有的权限:(1) 安全管理员(secadmin):备份或还原文件;(2) 审计管理员(audadmin):管理系统的各种日志信息;(3) 系统管理员(sysadmin):更改文件所有权/重新启动或关闭系统/设置主机名/配置网卡参数/IP 防火墙的管理/配置所有的对外服务1.1.2 删除或禁用系统无关用户加固项目名称删除或禁用系统无关用户加固编号Windows-01-01-02加固说明删除、禁用或锁定与设备运行、维护等工作无关的账户,避免无关账户被黑客利用适用版本Win 2000(部分适用)、Win XP、Win 2003、Win 7、Win 2008操作步骤1. 按下+R,输入框输入 compmgmt.msc;2. 进入“计算机管理->系统工具->本地用户和组->用户”;3. 查看窗口右侧的用户信息栏目,查找与设备运行、维护等工作无关的用户账户, 右击删除;4. 右击 Guest 用户,点击“属性”,勾选“帐户已禁用”,点击确定5. 禁用 administrator 用户(Win 2000 不适用),右击 administrator 用户,点击“属性”,勾选“帐户已禁用”,点击确定;6. 若需要临时使用 administrator 用户, 可以通过以下步骤重新启用administrator 用户,(1) 重启主机,在进入 windows 界面之前,按 F5 键,进入安全模式界面(Win 2008需要在按下 F5 之后,按下 F8 进入“高级选项”,才能进入安全模式界面),使用上下键选择“带命令行启动安全模式”,输入回车;(2) 进入安全系统环境,按下 Ctrl+Alt+Del 两次,进入登录界面,输入用户名为 administrator,密码为账户禁用前的密码;(3) 在命令行中输入,net user administrator /active,启用 administrator;(6) 再输入 shutdown -r -t 1 重启主机;(7) 正常启动系统,可以进入 administrator。
备注建议在进行加固之前,在测试环境中进行测试,确认取消 administrator 对系统应用的影响,避免由于此加固项导致系统应用异常由于加固过程中部分操作需要 administrator 权限,建议在完成所有加固项之后,再进行此项加固中的第五步1.1.3 开启屏幕保护程序加固项目名称屏幕保护程序时间设置加固编号Windows-01-01-03加固说明操作系统设置开启屏幕保护,并将时间设定为 5 分钟,避免非法用户使用系统适用版本Win 2000、Win XP、Win 2003、Win 7、Win 2008操作步骤1. 进入屏幕保护程序在 Win 7:进入“控制面板->显示->个性化->屏幕保护程序”;在 Win 2000、Win XP、Win 2003 和 Win 2008:进入“控制面板->显示->屏幕保护程序(更改屏幕保护程序)”;2. 选择屏幕保护程序界面,设置“等待”为 5,勾选“恢复时显示登录屏幕”,点击确定;备注“恢复时显示登录屏幕”在 Win2000 中为“密码保护”,在 WinXP 中为“在恢复时返回到欢迎屏幕”,在 Win2003“在恢复时使用密码保护”1.1.4 系统重要数据访问控制(适用于 SCADA 等关键服务器)加固项目名称系统重要数据访问控制加固编号Windows-01-01-04加固说明应启用访问控制功能,依据安全策略控制用户对资源的访问,防止系统重要数据泄露(适用于 SCADA 等关键服务器)。
适用版本Win 2000、Win XP、Win 2003、Win 7、Win 2008操作步骤1. 修改文件夹选项在 Win 2000、Win 2003、Win 7 和 Win 2008:默认不需要修改;在 Win XP:默认不开启文件夹安全选项,需要手工开启,进入“工具->文件夹选项->查看”,取消勾选“使用简单文件共享”选项,点击确定;2. 确认系统中的重要数据或文件;3. 进入到需要进行访问控制的文件或目录;4. 配置权限在 Win 7 和 Win 2008:右击“文件”或“目录”,选择“属性->安全->编辑”,对相应的用户(组)设置合理的权限;在 Win 2000、Win XP 和 Win 2003:右击“文件”或“目录”,选择“属性->安全->高级->编辑”,对相应的用户(组)设置合理的权限备注根据系统确定重要数据范围,建议加固前在模拟系统中先进行测试1.2 身份鉴别1.2.1 用户口令复杂度策略加固项目名称用户账户复杂度策略加固编号Windows-01-02-01加固说明口令长度不小于 8 位,由字母、数字和特殊字符组成,不得与账户名相同,避免口令被暴力破解适用版本Win 2000、Win XP、Win 2003、Win 7、Win 2008操作步骤1. 进入“控制面板->管理工具->本地安全策略->帐户策略->密码策略”;2. 双击“密码长度最小值”,设置“密码长度最小值”为 8 个字符,点击确定;3. 双击“密码必须符合复杂性要求”,勾选已启用,点击确定。
备注1.2.2 用户登录失败锁定加固项目名称用户登录失败锁定加固编号Windows-01-02-02加固说明配置当用户连续认证失败次数超过 5 次,锁定该用户使用的账户 10 分钟,避免账户被恶意用户暴力破解适用版本Win 2000、Win XP、Win 2003、Win 7、Win 2008操作步骤1. 进入“控制面板->管理工具->本地安全策略->账户策略->帐户锁定策略”;2. 双击“帐户锁定阀值”设置,设置无效登录次数为 5 次,点击确定;3. 双击“帐户锁定时间”设置,设置锁定时间 10 分钟,点击确定备注1.2.3 用户口令周期策略加固项目名称用户口令周期策略加固编号Windows-01-02-03加固说明设置账户口令的生存期不长于 90 天,避免密码泄露适用版本Win 2000、Win XP、Win 2003、Win 7、Win 2008操作步骤1. 进入“控制面板->管理工具->本地安全策略-。