window操作系统安全加固指南

Windows 操作 系统安全加固指南 2019 年 02 月 本指南仅适用于 Windows 2000 Professional、Windows XP、Windows Server 2003、Windows 7、Windows Server 2008（以下分别简称 Win 2000、Win XP、Win 2003、Win 7、Win 2008）版本 Windows 操作系统。 目 录 1. 配置管理 1 1.1 用户策略 1 1.2 身份鉴别 8 1.3 补丁管理 10 1.4 主机配置 12 1.5 软件管理 16 2. 网络管理 17 2.1 网络服务管理 17 2.2 防火墙功能 22 3. 接入管理 28 3.1 外设接口 28 3.2 自动播放 29 3.3 远程登录 30 3.4 外部连接管理 35 4. 日志与审计 36 4.1 日志与审计 36 5. 恶意代码防范 39 5.1 防病毒软件 39 5.2 数据执行保护 40 1. 配置管理 1.1 用户策略 1.1.1 用户权限策略配置（适用于服务器或公用工作站） 加固项目名称 用户权限策略配置 加固编号 Windows-01-01-01 加固说明 按照仅授予管理用户最小权限的原则设置安全管理员、审计管理员和系统管理员，安全管理员隶属于 Backup Operators 和 Power Users 组，审计管理员隶属于Event Log Readers 和Performance Log User 组，系统管理员隶属于 Network Configuration Operators 组，建立三权分立的安全策略。（适用于服务器或公 用工作站） 适用版本 Win 2000、Win XP、Win 2003、Win7、Win 2008 操作步骤 1. 按下+R，输入框输入 winver，确认系统版本。 2. 按下+R，输入框输入 compmgmt.msc，进入“计算机管理->本地用户和组-> 用户->新建用户”，分别创建安全管理员（secadmin）、审计管理员（audadmin）和系统管理员（sysadmin）； 3. 安全管理员权限配置 在 Win XP、Win 2003、Win 7 和 Win 2008： 选择用户“secadmin”，右击“属性”，进入“隶属于->添加->选择组->高级->立 即查找”，同时选择 Backup Operators 和 Power Users 组，点击确定； 10 在 Win 2000： 选择用户“secadmin”，右击“属性”，进入“隶属于->添加->选择组”，同时选择 Backup Operators 和 Power Users 组，点击确定； 4.审计管理员权限配置 在 Win 7 和 Win 2008： 选择用户“audadmin”，右击“属性”，进入“隶属于->添加->选择组->高级->立 即查找”，同时选择 Event Log Readers 和 Performance Log User 组，点击确定；在 Win 2000、Win XP 和Win 2003： 审计管理员隶属于 Users 组，进入“控制面板->管理工具->本地安全策略->本地 策略->用户权利指派->管理审核和安全日志”,添加用户“audadmin”，点击确定； 5.系统管理员权限配置在 Win 7 和 Win 2008： （1） 选择用户“sysadmin”，右击“属性”，进入“隶属于->添加->选择组->高级 ->立即查找”，选择 Network Configuration Operators 组，点击确定； （2） 进入“控制面板->管理工具->本地安全策略->本地策略->用户权限分配（ 用户权利指派）->取得文件或其他对象的所有权”，添加用户“sysadmin”，点击确定 在 Win 2003 和 Win XP： （1） 选择用户“sysadmin”，右击“属性”，进入“隶属于->添加”，选择 Network Configuration Operators 组，点击确定； （2） 进入“控制面板->管理工具->本地安全策略->本地策略->用户权限分配（用 户权利指派）->取得文件或其他对象的所有权”，添加用户“sysadmin”，点击确定； 在 Win 2000： 选择用户“sysadmin”，右击“属性”，进入“隶属于->添加”，选择 Administrators组，点击确定； 6.Administrator 用户改名 进入“控制面板->管理工具->本地安全策略->本地策略->安全选项”，双击“帐户：重命名系统管理员账号”，修改 Administrator 用户的名称。 备注 建议各管理员所具有的权限： （1） 安全管理员（secadmin）：备份或还原文件； （2） 审计管理员（audadmin）：管理系统的各种日志信息； （3） 系统管理员（sysadmin）：更改文件所有权/重新启动或关闭系统/设置主机名/配置网卡参数/IP 防火墙的管理/配置所有的对外服务。 1.1.2 删除或禁用系统无关用户 加固项目名称 删除或禁用系统无关用户 加固编号 Windows-01-01-02 加固说明 删除、禁用或锁定与设备运行、维护等工作无关的账户，避免无关账户被黑客利 用。 适用版本 Win 2000（部分适用）、Win XP、Win 2003、Win 7、Win 2008 操作步骤 1. 按下+R，输入框输入 compmgmt.msc； 2. 进入“计算机管理->系统工具->本地用户和组->用户”； 3. 查看窗口右侧的用户信息栏目，查找与设备运行、维护等工作无关的用户账户， 右击删除； 4. 右击 Guest 用户，点击“属性”，勾选“帐户已禁用”，点击确定。 5. 禁用 administrator 用户（Win 2000 不适用），右击 administrator 用户，点击“属性”，勾选“帐户已禁用”，点击确定； 6. 若需要临时使用 administrator 用户， 可以通过以下步骤重新启用administrator 用户， （1） 重启主机，在进入 windows 界面之前，按 F5 键，进入安全模式界面（Win 2008需要在按下 F5 之后，按下 F8 进入“高级选项”，才能进入安全模式界面），使用上下键选择“带命令行启动安全模式”，输入回车； （2） 进入安全系统环境，按下 Ctrl+Alt+Del 两次，进入登录界面，输入用户名为 administrator，密码为账户禁用前的密码； （3） 在命令行中输入，net user administrator /active，启用 administrator； （6） 再输入 shutdown -r -t 1 重启主机； （7） 正常启动系统，可以进入 administrator。 备注 建议在进行加固之前，在测试环境中进行测试，确认取消 administrator 对系统 应用的影响，避免由于此加固项导致系统应用异常。 由于加固过程中部分操作需要 administrator 权限，建议在完成所有加固项之后，再进行此项加固中的第五步。 1.1.3 开启屏幕保护程序 加固项目名称 屏幕保护程序时间设置 加固编号 Windows-01-01-03 加固说明 操作系统设置开启屏幕保护，并将时间设定为 5 分钟，避免非法用户使用系统。 适用版本 Win 2000、Win XP、Win 2003、Win 7、Win 2008 操作步骤 1. 进入屏幕保护程序 在 Win 7：进入“控制面板->显示->个性化->屏幕保护程序”； 在 Win 2000、Win XP、Win 2003 和 Win 2008：进入“控制面板->显示->屏幕保护程序（更改屏幕保护程序）”； 2. 选择屏幕保护程序界面，设置“等待”为 5，勾选“恢复时显示登录屏幕”，点击确定； 备注 “恢复时显示登录屏幕”在 Win2000 中为“密码保护”，在 WinXP 中为“在恢复 时返回到欢迎屏幕”，在 Win2003“在恢复时使用密码保护”。 1.1.4 系统重要数据访问控制（适用于 SCADA 等关键服务器） 加固项目名称 系统重要数据访问控制 加固编号 Windows-01-01-04 加固说明 应启用访问控制功能，依据安全策略控制用户对资源的访问，防止系统重要数据 泄露（适用于 SCADA 等关键服务器）。 适用版本 Win 2000、Win XP、Win 2003、Win 7、Win 2008 操作步骤 1. 修改文件夹选项 在 Win 2000、Win 2003、Win 7 和 Win 2008：默认不需要修改； 在 Win XP：默认不开启文件夹安全选项，需要手工开启，进入“工具->文件夹选项->查看”，取消勾选“使用简单文件共享”选项，点击确定； 2. 确认系统中的重要数据或文件； 3. 进入到需要进行访问控制的文件或目录； 4. 配置权限 在 Win 7 和 Win 2008：右击“文件”或“目录”，选择“属性->安全->编辑”，对相应的用户（组）设置合理的权限； 在 Win 2000、Win XP 和 Win 2003：右击“文件”或“目录”，选择“属性->安全->高级->编辑”，对相应的用户（组）设置合理的权限。 备注 根据系统确定重要数据范围，建议加固前在模拟系统中先进行测试。 1.2 身份鉴别 1.2.1 用户口令复杂度策略 加固项目名称 用户账户复杂度策略 加固编号 Windows-01-02-01 加固说明 口令长度不小于 8 位，由字母、数字和特殊字符组成，不得与账户名相同，避免 口令被暴力破解。 适用版本 Win 2000、Win XP、Win 2003、Win 7、Win 2008 操作步骤 1. 进入“控制面板->管理工具->本地安全策略->帐户策略->密码策略”； 2. 双击“密码长度最小值”，设置“密码长度最小值”为 8 个字符，点击确定； 3. 双击“密码必须符合复杂性要求”，勾选已启用，点击确定。 备注 1.2.2 用户登录失败锁定 加固项目名称 用户登录失败锁定 加固编号 Windows-01-02-02 加固说明 配置当用户连续认证失败次数超过 5 次，锁定该用户使用的账户 10 分钟，避免 账户被恶意用户暴力破解。 适用版本 Win 2000、Win XP、Win 2003、Win 7、Win 2008 操作步骤 1. 进入“控制面板->管理工具->本地安全策略->账户策略->帐户锁定策略”； 2. 双击“帐户锁定阀值”设置，设置无效登录次数为 5 次，点击确定； 3. 双击“帐户锁定时间”设置，设置锁定时间 10 分钟，点击确定。 备注 1.2.3 用户口令周期策略 加固项目名称 用户口令周期策略 加固编号 Windows-01-02-03 加固说明 设置账户口令的生存期不长于 90 天，避免密码泄露。 适用版本 Win 2000、Win XP、Win 2003、Win 7、Win 2008 操作步骤 1. 进入“控制面板->管理工具->本地安全策略-