序号 | 检查项类型 | 检查项名称 | 配置项描述 | 检查方法 | 操作步骤 | 操作风险 |
1 | 账号管理与授权 | 【基本】删除或锁定可能无用的账户 | 删除或锁定无用的账户,定期清理无用账户,防止过期用户非法登录操作系统。 | 进入”控制面板->管理工具->计算机管理->系统工具->本地用户和组“; 审核不必要的用户和组,审核账户隶属的组权限,审核组用户 | 根据系统的要求和实际业务情况,设定不同的账户和账户组,如管理员用户、数据库用户、审计用户、来宾用户等。删除或锁定与设备运行、维护等工作无关的账户 | 需要确认账户用途 |
2 | 【基本】按照用户角分配不同权限的帐号 | 按照用户角分配不l司权限的帐号,保证用户权限最小化 | 进入”控制面板->管理工具->计算机管理->系统工具->本地用户和组“; 审核不必要的用户和组,审核账户隶属的组权限,审核组用户 | 根据系统的要求和实际业务情况,设定不同的账户和账户组,如管理员用户、数据库用户、审计用户、来宾用户等。 | 需要确认账户用途,确定用户权限。 | |
3 | 【基本】口令设置安全策略 | 口令策略设置相关设置 | 进入”控制面板->管理工具->本地安全策略“,在”账户策略:中; 检查是否符合操作步骤中提到的各种标准。 | 将不符合检查内容项进行加固,安全标准配置如下: 密码策略: 密码必须符合复杂度要求 已启用 密码长度最小值 8个字符 密码最短使用期限 1天 密码最长使用期限 90天 强制密码历史 5个记住的密码 用可还原的加密来储存密码 已禁用 账户锁定策略: 账户锁定时间 5分钟 账户锁定阈值 6次无效登录 重置账户锁定计时器 5分钟 | 低 | |
4 | 不使用系统默认用户名 | administrator、guest等默认账户使用默认用户名,当攻击者发起穷举攻击时,使用默认用户名,会大大降低攻击者的攻击难度。 | 进入”控制面板->管理工具->计算机管理->系统工具->本地用户和组“; 检查administrator、guest是否存在。 | administrator、guest重命名。 | 可能导致某些自动登录的服务异常。 | |
5 | 远端系统强制关机设置 | 将从远端系统强制关机仅指派给administrator组,避免普通用户拥有额外的系统控制权限。 | 进入”控制面板->管理工具->本地安全策略“,在”本地策略->用户权限分配:中; 检查”从远程系统强制关机“设置。 | 设置”从远程系统强制关机“删除除administrator以外其他项。 | 可能导致某些系统功能异常或应用费正常运行。 | |
6 | 关闭系统的权限设置 | 将关闭系统仅指派给administrator组,避免普通用户拥有额外的系统控制权限。 | 进入”控制面板->管理工具->本地安全策略“,在”本地策略->用户权限分配:中; 检查”关闭系统“设置。 | 设置”关闭系统“删除除administrator以外其他项。 | 可能导致某些系统功能异常或应用费正常运行。 | |
7 | 将从本地登录设置为指定授权用户 | 将从本地登录设置为指定授权用户,将登录权限赋予指定用户。 | 进入”控制面板->管理工具->本地安全策略“,在”本地策略->用户权限分配:中; 检查”允许本地登录“设置。 | 设置“允许本地登录”只保留授权用户,删除其他项。 | 可能导致某些系统功能异常或应用费正常运行。 | |
8 | 将从网路访问设置为指定授权用户 | 将从网络访问设置为指定授权用户。 | 进入”控制面板->管理工具->本地安全策略“,在”本地策略->用户权限分配:中; 检查”从网络访问此计算机“设置。 | 设置“从网络访问此计算机”只保留授权用户,删除其他项。 | 可能导致某些系统功能异常或应用费正常运行。 | |
9 | 日志配置要求 | 【基本】审核策略设置中成功失败都要审核 | 记录系统的所有审核信息,审核策略设置中成功失败都要审核。 | 进入”控制面板->管理工具->本地安全策略“,在”本地策略->审核策略:中; 检查是否符合操作步骤中提到的各项标准。 | 将不符合检查内容项进行加固,安全标准配置如下: 审核策略更改:成功,失败 审核登录事件:成功,失败 审核对象访问:成功,失败 审核过程追踪:失败 审核目录服务访问:成功,失败 审核特权使用:成功,失败 审核系统事件:成功,失败 审核账号登录事件:成功,失败 审核账号管理:成功,失败 其他设置无要求。 | 开启无用的审核可能降低系统性能并占用一定磁盘空间 |
10 | 【基本】设置日志查看器大小 | 将应用、系统、安全日志查看器大小设置为至少20180KB。 | 进入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中:(在应用程序日志、安全日志和系统日志上点右键,看属性中的日志大小上线设置,单位为KB) | 将不符合检查内容项进行加固,安全标准配置如下: 应用日志的容量为20480KB 安全日志的容量为20480KB 系统日志的容量为20480KB 设置当达到最大的日志大小时,“安需要覆盖事件”。并且用户有流程定期转存日志。 | 风险较低 | |
11 | 高级安全审核-账户登录 | 高级安全审核策略-账号登录 | 打开“运行“输入gpedit.msc,在”本地组策略编辑器->计算机配置->Windows设置->安全设置->高级安全审核策略配置->本地组策略对象->账号登录“中; 检查是否符合操作步骤中提到的各种标准。 | 将不符合检查内容项进行加固,安全标准配置如下: 审核凭据验证 成功和失败 | 低 | |
12 | 高级安全审核-DS访问 | 高级安全审核策略-DS访问 | 打开“运行“输入gpedit.msc,在”本地组策略编辑器->计算机配置->Windows设置->安全设置->高级安全审核策略配置->本地组策略对象->DS访问“中; 检查是否符合操作步骤中提到的各种标准。 | 将不符合检查内容项进行加固,安全标准配置如下: 审核目录服务访问 成功和失败 审核目录服务更改 成功失败 | 低 | |
13 | 安全选项配置 | Microsoft网络服务器 | 安全选项-Microsoft网路服务器 | 打开“开始-控制面板-管理工具”在“本地安全策略-本地策略-安全选项-Microsoft网络服务器”中 检查是否符合操作步骤中提到的各种标准。 | 将不符合检查内容项进行加固,安全标准配置如下: 登录时间过期后断开与客户端的连接 已启用; 暂停回话前所需的空间时间数量 15分钟; | 中 |
14 | 关机 | 安全选项-关机 | 打开“开始-控制面板-管理工具”在“本地安全策略-本地策略-安全选项-关机”中 检查是否符合操作步骤中提到的各种标准。 | 将不符合检查内容项进行加固,安全标准配置如下: 清除虚拟内存页面文件 已禁用 允许系统在未登录的情况下关闭 已禁用 | 中 | |
15 | 恢复控制台 | 安全选项-恢复控制台 | 打开“开始-控制面板-管理工具”在“本地安全策略-本地策略-安全选项-恢复控制台”中 检查是否符合操作步骤中提到的各种标准。 | 将不符合检查内容项进行加固,安全标准配置如下: 允许自动管理登录 已禁用 | 中 | |
16 | 交互式登录 | 安全选项-交互式登录 | 打开“开始-控制面板-管理工具”在“本地安全策略-本地策略-安全选项-交互式登录”中 检查是否符合操作步骤中提到的各种标准。 | 将不符合检查内容项进行加固,安全标准配置如下: 不显示最后的用户名 已启用 提示用户在过期之前更改密码 30天 无需按Ctrl+Alt+del 已禁用 需要智能卡 已禁用 之前登录到缓存的次数(域控制器不可用时) 0次 智能卡移除操作 锁定工作站 | 中 | |
17 | 设备 | 安全选项-设备 | 打开“开始-控制面板-管理工具”在“本地安全策略-本地策略-安全选项-设备”中 检查是否符合操作步骤中提到的各种标准。 | 将不符合检查内容项进行加固,安全标准配置如下: 防止用户安装打印机驱动程序 已启用 将CD-ROM的访问权限仅限于本地登录的用户 已启用 将软盘驱动程序的访问权限仅限于本地登录的用户 已启用; 允许对可移媒体进行格式化并弹出 administrators | 中 | |
18 | 审核 | 安全选项-审核 | 打开“开始-控制面板-管理工具”在“本地安全策略-本地策略-安全选项-审核”中 检查是否符合操作步骤中提到的各种标准。 | 将不符合检查内容项进行加固,安全标准配置如下: 强制审核策略子类别设置(Windows Vista或更高版本)替代审核策略类别设置 已启用 如果无法记录安全审核则立即关闭系统 已禁用 | 中 | |
19 | 网络安全 | 安全选项-网络安全 | 打开“开始-控制面板-管理工具”在“本地安全策略-本地策略-安全选项-网络安全”中 检查是否符合操作步骤中提到的各种标准。 | 将不符合检查内容项进行加固,安全标准配置如下: LAN管理器身份验证级别 仅发送HRLMv2响应\拒绝LM; LDAP客户端签名要求 协商签名; 基于NTLM SSP(包括安全RPC)服务器的最小会话安全 require NTLMv2 session security,require 128-bit encryption; 基于NTLM SSP(包括安全RPC)客户端的最小会话安全 要求NTLMv2会话安全,要求128位加密 不要在下次更改密码是存储LAN manager的哈希值 已启用 | 中 | |
20 | 网路访问 | 安全选项-网络访问 | 打开“开始-控制面板-管理工具”在“本地安全策略-本地策略-安全选项-网络访问”中 检查是否符合操作步骤中提到的各种标准。 | 将不符合检查内容项进行加固,安全标准如下: 本地账户的共享和安全模式 经典; 不允许SAM账户的匿名枚举 已启用; 不允许SAM账户和共享的匿名枚举 已启用 不允许存储网络省份验证的密码和凭据 已启用; 将everyone权限应用于匿名用户 已禁用 可匿名访问的共享 无定义 可匿名访问的命名管理 无定义 可远程访问的注册表路径 无定义 可远程访问的注册表路径和子路 无 限制对命名管理和共享的匿名访问 已启用 允许匿名SID/名称转换 已禁用 | 中 | |
21 | 系统对象 | 安全选项-系统对象 | 打开“开始-控制面板-管理工具”在“本地安全策略-本地策略-安全选项-系统对象”中 检查是否符合操作步骤中提到的各种标准。 | 将不符合检查内容项进行加固,安全标准如下: 非Windows子系统不要区分大小写 已启用 加强内部系统对象的默认权限(例如,符合链接) 已启用 | 中 | |
22 | 系统加密 | 安全选项-系统加密 | 打开“开始-控制面板-管理工具”在“本地安全策略-本地策略-安全选项-系统加密”中 检查是否符合操作步骤中提到的各种标准。 | 将不符合检查内容项进行加固,安全标准如下: 为计算机上存储的用户密钥强制使用强密钥保护 用户每次使用密钥时必须键入密码。 | 中 | |
23 | 系统设置 | 安全选项-系统设置 | 打开“开始-控制面板-管理工具”在“本地安全策略-本地策略-安全选项-系统设置”中 检查是否符合操作步骤中提到的各种标准。 | 将不符合检查内容项进行加固,安全标准可选子系统 无; | 中 | |
24 | 用户账户控制 | 安全选项-用户账户控制 | 打开“开始-控制面板-管理工具”在“本地安全策略-本地策略-安全选项-用户账户控制”中 检查是否符合操作步骤中提到的各种标准。 | 将不符合检查内容项进行加固,安全标准标准用户的提升提示行为 自动拒绝提升请求; 管理员批准模式中管理员的提升权限提示的行为 提示凭据; 检测应用程序安装并提示提升 已启用 将文件和注册表写入错误虚拟化到每用户位置 已启用 仅提升安装在安全位置的UIAccess应用程序 提示提升时切换到安全桌面 已启用 以管理员批准模式运行所有管理员 已启用 用于内置管理员账户的管理员批准模式 已启用 | 中 | |
25 | 账户 | 安全选项-账户 | 打开“开始-控制面板-管理工具”在“本地安全策略-本地策略-安全选项-账户”中 检查是否符合操作步骤中提到的各种标准。 | 将不符合检查内容项进行加固,安全标准配置如下: 来宾账户状态 已禁用 使用空白密码的本地账户只允许进行控制台登录 已启用; 重命名来宾账户 不包含“guets”字段; | 中 | |
26 | 服务配置要求 | 【基本】启用NTP服务 | 启用NTP服务,配置统一服务器时钟,应开启NTP服务向网络内指定的NTP server同步时钟。 | 对于已加入域的服务器,系统将自动与与控制服务器同步时钟; 对于未加入域的服务器,需按一下步骤配置。 | 点击桌面右下角时钟栏,开启“更改日期和时钟设置”-“Internet时间” 开启“自动与Internet时间服务器同步”选型。在服务器栏中填写NTP server的IP地址,然后点击“立即更新” | 需要时间源,中风险,系统时间更改 |
27 | 【基本】关闭不必要的服务 | 列出所需要服务的列表(包括所需要的系统服务),不在此列表的服务需关闭 | 进入“控制面板->管理工具->计算机管理”,进入“服务和应用程序”查看所有服务,不在此列表的服务关闭。 | 关闭不需要的服务 | 关闭或者停止某些服务可能导致应用运行异常 | |
28 | 【基本】关闭不必要的启动项 | 关闭不必要的启动项,优化系统资源,同时减少引入不必要的系统漏洞 | “开始-运行-Msconfig”启动菜单中检查启动项 | 关闭不必要的启动项 | 需要确认启动项是否必须启动 | |
29 | 【基础】关闭自动播放功能 | 关闭自动播放功能,避免执行未经扫描或确认的文件,从而引入木马或病毒 | 点击开始-运行-输入gpedit.msc,打开组策略编辑器,管理模板-系统 检查“关闭自动播放”项设置 | 设置“关闭自动播放”已启用 | 风险较低 | |
30 | 【基本】审核HOST文件的可疑条目 | 删除HOST文件下的可疑条目 | 查看是否符合操作中提到的标准,检查C:\Windows\system\drivers\etc目录下的用于静态DNS解析的HOST文件内容是否正常 | 将不符合评估内容项进行加固,确保C:\windows\system32\drivers\etc目录下的用于静态DNS解析的HOSTS文件内容正常,对于未知条目可以与管理员追查 | 与系统管理员确认后可执行加固 | |
31 | 关闭远程注册表 | 关闭远程注册表,防止用户远程修改或查看系统注册表 | 进入“控制面板-管理工具-计算机管理“,进入”服务和应用程序“; 检查”remote registry“ | 设置“remote registry”已停用 | 某些应用可能需要次功能 | |
32 | 其他配置要求 | 【基本】安装防病毒软件 | 安装防病毒软件和防病毒软件并及时升级 | 检查杀毒软件的安装和升级情况 | 安装杀毒软件并升级到最新版本 | 需要重启并可能误删正常的系统或应用文件 |
33 | 【基本】service pack补丁更新 | service pack补丁及时更新,将为攻击者提供入侵漏洞 | 检查service pack 补丁版本 | 安装最新service pack补丁包 | 需要重启且未经测试的补丁可能导致应用运行异常 | |
34 | 设置带密码的屏幕保护 | 设置带密码的屏幕保护,并将时间设定为5分钟,防止合法用户未及时推出登录,造成数据泄露 | 进入“控制面板-显示-屏幕保护程序”; 查看是否符合操作中提到的标准 | 将不符合评估内容项进行加固,查看是否启用屏幕保护程序,设置等待时间为“5分钟”,启用“在恢复时使用密码保护” | 风险较低 | |
35 | 启用防火墙 | 计算机配置 启用Windows再带防火墙,切根据业务需要限定允许访问网络的应用程序,和允许远程登录该设备的IP地址范围 | 进入“控制面板-网路连接-本地连接”,在高级选项的设置中,查看是否启用Windows防火墙。 查看是否在“例外”中配置允许业务所需的程序接入的网路地址范围。 | 将不符合评估内容项进行加固,启用Windows自带防火墙。根据业务需要限定允许访问网络的应用程序,和允许远程登陆该设备的IP地址范围。 | 必须正确设置网络控制策略,否则可能导致某些应用无法正常访问网络 | |
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论