实验名称

window2008基线检查与安全加固

实验环境

功能 属性
操作机 window 2008
IP 192.168.0.3

实验目的

本实验主要学习window账号管理、口令配置、认证授权、日志审计、登录管理、共享安全、安全防护、服务安全等方面。另外增加了自动化加固脚本,来增加系统的安全性和稳定性。

实验工具

window2008

设计者 : 匿名 难度 : 初级

实验内容

步骤一:基本安全配置

1 账号管理

1.1 共享账号安全

操作目的:

账号分配检查,避免共享账号存在

操作方法:

开始->管理工具->计算机管理->系统工具->本地用户和组

加固方法:

根据系统实际使用需求,设定不同的账户和账户组,如:管理员用户,数据库用户,审计用户,来宾用户。

1.2来宾账户(Guest)检查

操作目的:

禁用guest(来宾)账户

操作方法:

开始->管理工具->计算机管理->系统工具->本地用户和组->Guest账户->属性-> 常规页

加固方法:

检查复选框”账户已禁用”项状态,勾选为已禁用来宾账号。

步骤二: 口令设置

2.1 口令复杂度策略

操作目的:

操作系统口令复杂度策略,提高系统安全性。

操作方法:

1、”开始->管理工具->本地安全策略->帐户策略->密码策略->密码长度最小值->属性”

2、”开始->管理工具->本地安全策略->帐户策略->密码策略->密码必须符合复杂性要求->属性”

加固方法:

1、最短密码长度 12个字符;

2、复杂性要求的策略,即密码至少包含以下四种类别的字符中的三种:

英语大写字母 A, B, C, … Z

英语小写字母 a, b, c, … z

西方阿拉伯数字 0, 1, 2, … 9

非字母数字字符,如标点符号,@, #, $, %, &, *等

2.2 口令最长存期策略

操作目的:

要求操作系统的账户口令的最长生存期不长于90天

操作方法:

开始->管理工具->本地安全策略->帐户策略->密码策略->密码最长存留期->属性

加固方法:

设置”密码最长使用期限”值为小于等于90的数值。

步骤三:认证授权

3.1 远程关机授权

操作目的:

在本地安全设置中从远端系统强制关机只指派给Administrators组。

操作方法:

开始->管理工具->本地安全策略->本地策略->用户权限分配->从远程系统强制关机->属性

加固方法:

查看”从远端系统强制关机”权限指派情况”,仅指派给 administrators,符合要求

3.2系统关闭授权

操作目的:

检测本地安全设置中关闭系统仅指派给Administrators组,降低风险。

操作方法:

开始->管理工具->本地安全策略->本地策略->用户权限分配->关闭系统->属性

加固方法:

设置为”只指派给Administrators组”

3.3 文件权限指派

操作目的:

在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators,提高系统安全。

操作方法:

”开始->管理工具->本地安全策略->本地策略->用户权限分配->用户权利指派->取得文件或其它对象的所有权->属性”

加固方法:

设置为”只指派给Administrators组”

3.4 匿名权限限制

操作目的:

在组策略中只允许授权帐号从网络访问(包括网络共享等,但不包括终端服务)此计算机。

操作方法:

开始->管理工具->本地安全策略->本地策略->用户权限分配->从网络访问此计算机->属性

加固方法:

根据需求添加访问组。

步骤四:日志审计

4.1登录日志审核

操作目的:

系统应启用日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址,增加安全性。

操作方法:

开始->管理工具->本地安全策略->本地策略->审核策略->审核登录事件->属性

加固方法:

设置为成功和失败都审核。

4.2系统日志完备性检查

操作目的:

系统日志完备性检查,检查是否启用系统多项审核策略

操作方法:

开始->管理工具->本地安全策略->本地策略->审核策略

审核策略更改

审核对象访问

审核进程跟踪

审核目录服务访问

审核特权使用

审核系统事件

审核账户管理

加固方法:

检测是否启用对Windows系统的审核策略更改

检测是否启用对Windows系统的审核对象访问

检测是否启用Windows系统审核目录服务访问

检测是否启用Windows系统审核特权使用

检测是否启用Windows系统审核系统事件

检测是否启用Windows系统的审核账户管理

检测是否启用Windows系统的审核进程追踪

以上每一项都要勾选”成功”和”失败”项,才符合要求。

4.3日志大小配置

操作目的:

检测系统日志、应用日志、安全日志的大小以及扩展设置是否符合规范

操作方法:

开始->管理工具->服务器管理”, 在”诊断->事件查看器->windows日志”中的:

“系统日志”属性页;

“应用程序日志”属性页;

“安全日志”属性页。

加固方法:

1、设置应用日志文件大小至少为32M B

设置当达到最大的应用日志尺寸时,按需要改写事件

2、设置系统日志文件大小至少为32M B

设置当达到最大的应用日志尺寸时,按需要改写事件

3、设置安全日志文件大小至少为32M B

设置当达到最大的安全日志尺寸时,按需要改写事件

步骤五:登录系统

5.1 远程登录超时配置

操作目的:

检查设置:对于远程登陆的帐号,设置不活动断连时间15分钟,增加安全性。

操作方法:

开始->管理工具->本地安全策略->本地策略->安全选项->Microsoft网络服务器

加固方法:

检查”暂停会话前所需的空闲时间数量”,不活动断连时间15分钟或小于15分钟为符合要求

步骤六:共享安全

6.1 默认共享检查

操作目的:

非域环境中,关闭Windows硬盘默认共享,例如C$,D$

操作方法:

开始->运行->cmd->net share”检查有无默认共享,无任何默认共享为符合要求

加固方法:

”开始->运行->Regedit”,进入注册表编辑器,定位到HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Services\LanmanServer\Parameters\下,增加REG_DWORD类型的AutoShareServer 键,值为 0。

6.2 共享权限检查

操作目的:

查看每个共享文件夹的共享权限,只允许授权的账户拥有权限共享此文件夹,禁止使用共享权限为”everyone”

操作方法:

开始->管理工具->共享和存储管理->卷->(c:)->属性->安全

加固方法:

1、查看每个共享文件夹的共享权限仅限于业务需要,不设置成为”everyone”

2、输出所有共享文件夹信息和具体权限信息;但权限是否符合需求需要后期处理确认

在”共享文件”属性页中,只保留需要的账户。

步骤七:安全防护

7.1 防病毒管理

操作目的:

安装防病毒软件,并及时更新。

操作方法:

检查防病毒进程运行是否正常及当前病毒库版本是否为最新。

加固方法:

安装防病毒软件,并检查是否更新到最新病毒定义。

备注:未安装杀毒软件

7.2 Service Pack管理

操作目的:

安装最新的Service Pack。

操作方法:

右键”我的电脑->属性->常规页”

加固方法:

安装最新的Service Pack,并及时更新。

登录http://10.1.30.233,下载并安装最新的Service Pack。

备注:实验环境没有网络,不支持下载。

步骤八:安全防护

8.1 屏保密码保护

操作目的:

设置带密码的屏幕保护,并将时间设定为15分钟。

操作方法:

”开始->控制面板->外观->显示->更改屏幕保护程序”

加固方法:

检查是否启用了”在恢复时使用密码保护”,并设置等待时间为15分钟或者更短,两项都满足为符合要求。

1、 设置等待时间为”15分钟”;

2、勾选”在恢复时显示登陆屏幕”选择框。

8.2 自动播放关闭

操作目的:

关闭Windows自动播放功能

操作方法:

点击开始->运行→输入gpedit.msc,打开组策略编辑器,浏览到计算机配置->管理模板->Windows 组件->自动播放策略”

加固方法:

在右边窗格中双击”关闭自动播放”,对话框中选择所有驱动器,确定即可。

8.3 SNMP默认口令修改

操作目的:

如需启用SNMP服务,则修改默认的SNMP Community String设置。

操作方法:

进入”开始->管理工具->服务器管理”,在”配置->服务”,找到”SNMP Trap”,单击右键打开”属性”面板中的”常规”选项卡。

加固方法:

确认SNMP 服务已启动;

8.4 启动项检查

操作目的:

列出系统启动时自动加载的进程和服务列表,不在此列表的需关闭。

操作方法:

“开始->运行->MSconfig”启动系统配置实用程序。

加固方法:

查看是否有可疑启动项,对于无法确认程序,需要与管理员进行确认,直接将可以启动项前的勾选框勾选掉。

步骤九:账号管理

9.1 管理员账号更名

操作目的:

对于管理员帐号,要求更改缺省帐户名称administrator

操作方法:

进入”开始->管理工具->服务器管理->配置->本地用户和组”

加固方法:

检测管理员帐户是否改名,已更名为符合要求,“右键Administrator->属性”,更改名称即可

9.2 登录失败账户锁定策略

操作目的:

应配置当用户短时间内连续认证失败次数超过8次(不含8次),锁定该用户使用的账号;设置账户锁定时间为30分钟。

操作方法:

进入”开始->管理工具->本地安全策略->帐户策略->帐户锁定策略->账户锁定阀值->属性页”

加固方法:

1、”静态口令认证技术的设备用户是否连续认证失败次数超过8次(不含8次),锁定该用户的账号”;

2、检查是否设置账号锁定时间为30分钟或更长;

符合以上两项要求即为符合

步骤十:设备管理

10.1 本机防火墙设置

操作目的:

启用Windows 自带防火墙。根据业务需要限定允许访问网络的应用程序,和允许远程登陆该设备的IP地址范围。

操作方法:

”开始->控制面板->系统和安全->Windows防火墙->打开或关闭Windows防火墙选项”

加固方法:

1、启用Windows防火墙。

步骤十一:安全防护

11.1 DEP功能启用

操作目的:

对于Windows 2003及Windows 2008对Windows操作系统程序和服务启用系统自带DEP功能(数据执行保护),防止在受保护内存位置运行有害代码。

操作方法:

进入”开始->控制面板->系统”,在”高级”选项卡的”性能”下的”设置”。进入 “数据执行保护”选项卡。

加固方法:

在“数据执行保护”选项卡中,设置为”仅为基本 Windows 操作系统程序和服务启用DEP”。

步骤十二:服务安全

12.1 服务检查

操作目的:

列出所需要服务的列表(包括所需的系统服务),通过与系统管理员确认无异常服务存在。一般情况下,如无特殊必要,不应安装IIS、DNS、WINS、DHCP等服务或组件。

操作方法:

进入”开始->管理工具->服务器管理”,在”配置->服务”:

查看所有服务,输出所有服务列表,查看是否有异常服务。

加固方法:

1、系统管理员应出具系统所必要的服务列表。

2、查看所有服务,不在此列表的服务需关闭。

或建议关闭

Task Scheduler 计划任务。

Routing and Remote Access在局域网以及广域网环境中为企业提供路由服务。

Remote Registry使远程用户能修改此计算机上的注册表设置。

Print Spooler将文件加载到内存中以便迟后打印。

关闭无线服务和telnet服务。

步骤十三:自动加固脚本

操作目的:

自动加固系统

操作步骤:

打开开始->计算机->本地磁盘(C盘)->jiaoben(文件夹)->打开 win.bat