扁平网站 文案,天水市建设路第二小学网站,广州网站建设是什么,php做网站要多久目录
账号管理、认证授权 账号 ELK-Windows-01-01-01 ELK-Windows-01-01-02
ELK-Windows-01-01-03
口令 ELK-Windows-01-02-01
ELK-Windows-01-02-02
授权 ELK-Windows-01-03-01
ELK-Windows-01-03-02
ELK-Win…
目录
账号管理、认证授权 账号 ELK-Windows-01-01-01 ELK-Windows-01-01-02
ELK-Windows-01-01-03
口令 ELK-Windows-01-02-01
ELK-Windows-01-02-02
授权 ELK-Windows-01-03-01
ELK-Windows-01-03-02
ELK-Windows-01-03-03
ELK-Windows-01-03-04
ELK-Windows-01-03-05
日志配置 ELK-Windows-02-01-01
ELK-Windows-02-01-02
通信协议 IP协议安全 ELK-Windows-03-01-01
ELK-Windows-03-01-02
ELK-Windows-03-01-03
设备其他安全要求 屏幕保护 ELK-Windows-04-01-01
ELK-Windows-04-01-02
ELK-Windows-04-02-01
ELK-Windows-04-02-02
补丁管理 ELK-Windows-04-03-01
防病毒管理 ELK-Windows-04-04-01
ELK-Windows-04-04-02
Windows服务 ELK-Windows-04-05-01
ELK-Windows-04-05-02
启动项 ELK-Windows-04-06-01
ELK-Windows-04-06-02 本文档是Windows操作系统的对于Win系统的设备账号认证、日志、协议、补丁升级、文件系统管理等方面的安全配置要求共26项。对系统的安全配置审计、加固操作起到指导性作用。
账号管理、认证授权 账号 ELK-Windows-01-01-01 编号 ELK-Windows-01-01-01 名称 按照用户类型分配账号 实施目的 根据系统的要求设定不同的账户和账户组管理员用户数据库用户审计用户来宾用户等。 问题影响 账号混淆权限不明确存在用户越权使用的可能。 系统当前状态 进入“控制面板-管理工具-计算机管理”在“系统工具-本地用户和组”记录当前用户状态 实施步骤 参考配置操作 进入“控制面板-管理工具-计算机管理”在“系统工具-本地用户和组”。 结合要求和实际业务情况判断符合要求根据系统的要求设定不同的账户和账户组管理员用户数据库用户审计用户来宾用户。 回退方案 删除新增加的用户还原用户权限到初始设置。部分操作可能无法回退。 判断依据 进入“控制面板-管理工具-计算机管理”在“系统工具-本地用户和组” 查看账户和账户组管理员用户数据库用户审计用户来宾用户等。 根据系统的要求和实际业务情况判断是否符合要求。 实施风险 高 重要等级 ★★★ 备注 ELK-Windows-01-01-02 编号 ELK-Windows-01-01-02 名称 系统无效帐户清理 实施目的 删除或锁定与设备运行、维护等与工作无关的账号提高系统帐户安全。 问题影响 如果不清理无效帐户则系统将面临默认账号被非法利用的风险 系统当前状态 进入“控制面板-管理工具-计算机管理”在“系统工具-本地用户和组”记录当前用户状态备份系统SAM文件。 实施步骤 参考配置操作 进入“控制面板-管理工具-计算机管理”在“系统工具-本地用户和组”。 删除或锁定与设备运行、维护等与工作无关的账号。 回退方案 增加被删除的用户激活被锁定的用户还原用户权限到初始设置。部分操作可能无法回退。 判断依据 进入“控制面板-管理工具-计算机管理”在“系统工具-本地用户和组” 查看是否删除或锁定与设备运行、维护等与工作无关的账号。 根据系统的要求和实际业务情况判断是否符合要求 实施风险 高 重要等级 ★★★ 备注 ELK-Windows-01-01-03 编号 ELK-Windows-01-01-03 名称 重命名Administrator禁用GUEST 实施目的 对于管理员帐号要求更改缺省帐户名称禁用guest来宾帐号。提高系统安全性。 问题影响 管理员帐号容易被猜解Guest账号容易被非法利用 系统当前状态 进入“控制面板-管理工具-计算机管理”在“系统工具-本地用户和组”。记录当前用户状态 实施步骤 参考配置操作 进入“控制面板-管理工具-计算机管理”在“系统工具-本地用户和组”。 Administrator属性 更改名称 Guest帐号-属性 已停用 回退方案 重命名用户名称还原用户属性设置 判断依据 进入“控制面板-管理工具-计算机管理”在“系统工具-本地用户和组” 查看管理员账号Administrator名称是否修改Guest账号是否禁用。 实施风险 低 重要等级 ★ 备注 口令 ELK-Windows-01-02-01 编号 ELK-Windows-01-02-01 名称 配置密码策略 实施目的 设置密码策略减少密码安全风险防止系统弱口令的存在减少安全隐患。对于采用静态口令认证技术的设备口令长度至少6位且密码规则至少应采用字母大小写穿插加数字加标点符号包括通配符的方式。 问题影响 增加系统密码被暴力破解的成功率 系统当前状态 进入“控制面板-管理工具-本地安全策略”在“帐户策略-密码策略”记录当前密码策略情况。 实施步骤 参考配置操作 进入“控制面板-管理工具-本地安全策略”在“帐户策略-密码策略”。 “密码必须符合复杂性要求”选择“已启动”设置如下策略 策略 默认设置 推荐最低设置 强制执行密码历史记录 记住 1 个密码 记住5个密码 密码最长期限 42 天 90 天 密码最短期限 0 天 2 天 最短密码长度 0 个字符 8 个字符 密码必须符合复杂性要求 禁用 启用 为域中所有用户使用可还原的加密来储存密码 禁用 禁用 回退方案 还原密码策略到加固之前配置 判断依据 进入“控制面板-管理工具-本地安全策略”在“帐户策略-密码策略” 查看“密码必须符合复杂性要求” 是否选择“已启动”。 实施风险 低 重要等级 ★★★ 备注 ELK-Windows-01-02-02 编号 ELK-Windows-01-02-02 名称 配置账户锁定策略 实施目的 设置有效的账户锁定策略有助于防止攻击者猜出系统账户的密码。 问题影响 增加系统密码被暴力破解的成功率 系统当前状态 进入“控制面板-管理工具-本地安全策略”在“帐户策略-账户锁定策略”记录当前账户锁定策略情况。 实施步骤 参考配置操作 进入“控制面板-管理工具-本地安全策略”在“帐户策略-账户锁定策略”。 设置如下策略 策略 默认设置 推荐最低设置 账户锁定时间 未定义 30 分钟 账户锁定阈值 0 6 次无效登录 复位账户锁定计数器 未定义 30 分钟 回退方案 还原账户锁定策略到加固之前配置 判断依据 进入“控制面板-管理工具-本地安全策略”在“帐户策略-账户锁定策略” 查看安全策略是否设置为已启动和按要求配置。 实施风险 低 重要等级 ★★★ 备注 授权 ELK-Windows-01-03-01 编号 ELK-Windows-01-03-01 名称 远端系统强制关机设置 实施目的 防止远程用户非法关机在本地安全设置中从远端系统强制关机只指派给Administrators组 问题影响 增加系统被管理员以外的用户非法关闭的风险 系统当前状态 进入“控制面板-管理工具-本地安全策略”在“本地策略-用户权利指派”:查看并记录“从远端系统强制关机”的当前设置。 实施步骤 参考配置操作 进入“控制面板-管理工具-本地安全策略”在“本地策略-用户权利指派”。 “从远端系统强制关机”设置为“只指派给Administrators组”。 回退方案 还原“从远端系统强制关机”的设置到加固之前配置。 判断依据 进入“控制面板-管理工具-本地安全策略”在“本地策略-用户权利指派”: 查看“从远端系统强制关机”是否设置为“只指派给Administrators组”。 实施风险 低 重要等级 ★★★ 备注 ELK-Windows-01-03-02 编号 ELK-Windows-01-03-02 名称 关闭系统设置 实施目的 防止管理员以外的用户非法关机在本地安全设置中关闭系统仅指派给Administrators组 问题影响 增加系统被管理员以外的用户非法关闭的风险 系统当前状态 进入“控制面板-管理工具-本地安全策略”在“本地策略-用户权利指派”:查看并记录“关闭系统”的当前设置。 实施步骤 参考配置操作 进入“控制面板-管理工具-本地安全策略”在“本地策略-用户权利指派”。 “关闭系统”设置为“只指派给Administrators组”。 回退方案 还原“关闭系统”的设置到加固之前配置 判断依据 进入“控制面板-管理工具-本地安全策略”在“本地策略-用户权利指派”: 查看“关闭系统”是否设置为“只指派给Administrators组”。 实施风险 低 重要等级 ★★★ 备注 ELK-Windows-01-03-03 编号 ELK-Windows-01-03-03 名称 “取得文件或其它对象的所有权”设置 实施目的 防止用户非法获取文件在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators 问题影响 增加系统除管理员以外的用户非法获取文件的风险 系统当前状态 进入“控制面板-管理工具-本地安全策略”在“本地策略-用户权利指派”:查看并记录“取得文件或其它对象的所有权”的当前设置。 实施步骤 参考配置操作 进入“控制面板-管理工具-本地安全策略”在“本地策略-用户权利指派”。 “取得文件或其它对象的所有权”设置为“只指派给Administrators组”。 回退方案 还原“取得文件或其它对象的所有权”的设置到加固之前配置 判断依据 进入“控制面板-管理工具-本地安全策略”在“本地策略-用户权利指派” 查看是否“取得文件或其它对象的所有权”设置为“只指派给Administrators组”。 实施风险 低 重要等级 ★★★ 备注 ELK-Windows-01-03-04 编号 ELK-Windows-01-03-04 名称 “从本地登陆此计算机”设置 实施目的 防止用户非法登录主机在本地安全设置中配置指定授权用户允许本地登陆此计算机 问题影响 增加物理临近攻击和本地物理攻击以及非授权用户非法登陆主机的风险 系统当前状态 进入“控制面板-管理工具-本地安全策略”在“本地策略-用户权利指派”:查看并记录“从本地登陆此计算机”的当前设置。 实施步骤 参考配置操作 进入“控制面板-管理工具-本地安全策略”在“本地策略-用户权利指派” “从本地登陆此计算机”设置为“指定授权用户” 回退方案 还原“从本地登陆此计算机”的设置到加固之前配置 判断依据 进入“控制面板-管理工具-本地安全策略”在“本地策略-用户权利指派” 查看是否“从本地登陆此计算机”设置为“指定授权用户”。 实施风险 低 重要等级 ★★★ 备注 ELK-Windows-01-03-05 编号 ELK-Windows-01-03-05 名称 “从网络访问此计算机”设置 实施目的 防止网络用户非法访问主机在组策略中只允许授权帐号从网络访问(包括网络共享等但不包括终端服务)此计算机。 问题影响 增加非授权用户非法访问主机的风险 系统当前状态 进入“控制面板-管理工具-本地安全策略”在“本地策略-用户权利指派”:查看并记录“从网络访问此计算机”的当前设置。 实施步骤 1、参考配置操作 进入“控制面板-管理工具-本地安全策略”在“本地策略-用户权利指派” “从网络访问此计算机”设置为“指定授权用户” 回退方案 还原“从网络访问此计算机”的设置到加固之前配置 判断依据 进入“控制面板-管理工具-本地安全策略”在“本地策略-用户权利指派” 查看是否“从网络访问此计算机”设置为“指定授权用户”。 实施风险 低 重要等级 ★★★ 备注 日志配置 ELK-Windows-02-01-01 编号 ELK-Windows-02-01-01 名称 审核策略设置 实施目的 设置审核策略记录系统重要的事件日志设备应配置日志功能对用户登录进行记录记录内容包括用户登录使用的账号登录是否成功登录时间以及远程登录时用户使用的IP地址 问题影响 无法对用户的登陆以及登陆后对系统的操作过程、特权使用等进行日志记录 系统当前状态 进入“控制面板-管理工具-本地安全策略”查看并记录“审核策略”的当前设置。 实施步骤 参考配置操作 开始-运行- 执行“控制面板-管理工具-本地安全策略-审核策略” 审核登录事件双击设置为成功和失败都审核。 “审核策略更改”设置为“成功”和“失败”都要审核 “审核对象访问”设置为“成功”和“失败”都要审核 “审核目录服务器访问”设置为“成功”和“失败”都要审核 “审核特权使用”设置为“成功”和“失败”都要审核 “审核系统事件”设置为“成功”和“失败”都要审核 “审核账户管理”设置为“成功”和“失败”都要审核 “审核过程追踪”设置为“失败”需要审核 回退方案 还原“审核策略”的设置到加固之前配置 判断依据 开始-运行- 执行“控制面板-管理工具-本地安全策略-审核策略” 查看是否设置为成功和失败都审核。 实施风险 低 重要等级 ★★★ 备注 ELK-Windows-02-01-02 编号 ELK-Windows-02-01-02 名称 日志记录策略设置 实施目的 优化系统日志记录防止日志溢出。设置应用日志文件大小至少为8192KB设置当达到最大的日志尺寸时按需要改写事件 问题影响 如果日志的大小超过系统默认设置则无法正常记录超过最大记录值后的所有系统日志、应用日志、安全日志等 系统当前状态 进入“控制面板-管理工具-事件查看器”查看并记录“应用日志”、“系统日志”、“安全日志”的当前设置 实施步骤 1、参考配置操作 进入“控制面板-管理工具-事件查看器”在“事件查看器本地”中 “应用日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时“按需要改写事件” “系统日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时“按需要改写事件” “安全日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时“按需要改写事件” 回退方案 还原“应用日志”、“系统日志”、“安全日志”的设置到加固之前配置 判断依据 进入“控制面板-管理工具-事件查看器”在“事件查看器本地”中 查看各项日志属性中日志大小是否设置为不小于“8192KB” ,是否设置当达到最大的日志尺寸时“按需要改写事件”。 实施风险 低 重要等级 ★ 备注 通信协议 IP协议安全 ELK-Windows-03-01-01 编号 ELK-Windows-03-01-01 名称 启用TCP/IP筛选 实施目的 过滤不必要的端口提高系统安全性对没有自带防火墙的Windows系统启用Windows系统的IP安全机制(IPSec)或网络连接上的TCP/IP筛选只开放业务所需要的TCPUDP端口和IP协议 问题影响 如不有效过滤系统中存在的不必要的端口以及默认的端口会增加潜在被攻击和非法利用的安全风险 系统当前状态 进入“控制面板网络连接本地连接”进入“Internet协议TCP/IP属性高级TCP/IP设置”在“选项”的属性中查看“网络连接上的TCP/IP筛选”的状态并记录 实施步骤 参考配置操作 系统管理员出示业务所需端口列表。 根据列表只开放系统与业务所需端口。 进入“控制面板网络连接本地连接”进入“Internet协议TCP/IP属性高级TCP/IP设置”在“选项”的属性中启用网络连接上的TCP/IP筛选只开放业务所需要的TCPUDP端口和IP协议。 回退方案 还原高级TCP/IP的设置到加固之前配置 判断依据 系统管理员出示业务所需端口列表。 根据列表只开放系统与业务所需端口。 进入“控制面板网络连接本地连接”进入“Internet协议TCP/IP属性高级TCP/IP设置”在“选项”的属性中启用网络连接上的TCP/IP筛选查看是否只开放业务所需要的TCPUDP端口和IP协议。 利用Netstat –an命令查看当前系统开放端口是否与系统管理员所出示的业务所需端口列表相对应如发现存在与业务和应用无关的端口则查明后在TPC/IP筛选配置中将其过滤掉。 实施风险 高 重要等级 ★ 备注 ELK-Windows-03-01-02 编号 ELK-Windows-03-01-01 名称 开启系统防火墙 实施目的 启用Windows XP和Windows 2003自带防火墙过滤不必要的端口提高系统安全性。根据业务需要限定允许访问网络的应用程序和允许远程登陆该设备的IP地址范围。 问题影响 没有访问控制系统可能被非法登陆或使用从而增加潜在被攻击的安全风险 系统当前状态 进入“控制面板网络连接本地连接”在高级选项的属性中查看Windows防火墙的状态并记录详细情况。 实施步骤 参考配置操作 系统管理员出示业务所需端口列表。 根据列表只开放系统与业务所需端口。 进入“控制面板网络连接本地连接”在高级选项的设置中启用Windows防火墙。 在“例外”中配置允许业务所需的程序接入网络。 在“例外-编辑-更改范围”编辑允许接入的网络地址范围。 回退方案 还原高级系统防火墙设置到加固之前配置。 判断依据 进入“控制面板网络连接本地连接”在高级选项的设置中查看是否启用Windows防火墙。 查看是否在“例外”中配置允许业务所需的程序接入网络。 查看是否在“例外-编辑-更改范围”编辑允许接入的网络地址范围。 实施风险 高 重要等级 ★ 备注 ELK-Windows-03-01-03 编号 ELK-Windows-03-01-03 名称 启用SYN攻击保护 实施目的 启用SYN攻击保护提高系统安全性指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阀值为5指定处于 SYN_RCVD 状态的 TCP 连接数的阈值为500指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值为400。 问题影响 如不启用SYN攻击保护系统则容易被SYN拒绝服务攻击后导致迅速当机。 系统当前状态 在“开始-运行-键入regedit” 查看并记录注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services、SynAttackProtect的值并记录。 查看并记录注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 之下。 TcpMaxPortsExhausted TcpMaxHalfOpen TcpMaxHalfOpenRetried 的值并记录 实施步骤 参考配置操作 在“开始-运行-键入regedit” 启用 SYN 攻击保护的命名值位于注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 之下。值名称SynAttackProtect。推荐值2。 以下部分中的所有项和值均位于注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 之下。 指定必须在触发 SYN flood 保护之前超过的 TCP 连接请求阈值。值名称TcpMaxPortsExhausted。推荐值5。 启用 SynAttackProtect 后该值指定 SYN_RCVD 状态中的 TCP 连接阈值超过 SynAttackProtect 时触发 SYN flood 保护。值名称TcpMaxHalfOpen。推荐值数据500。 启用 SynAttackProtect 后指定至少发送了一次重传的 SYN_RCVD 状态中的 TCP 连接阈值。超过 SynAttackProtect 时触发 SYN flood 保护。值名称TcpMaxHalfOpenRetried。推荐值数据400。 回退方案 还原注册表设置到加固之前配置 判断依据 在开始-运行里输入regedit进入注册表中打开相应的注册项查看键值是否已启用和配置各注册表键值是否均按要求设置。 实施风险 高 重要等级 ★ 备注 设备其他安全要求 屏幕保护 ELK-Windows-04-01-01 编号 ELK-Windows-04-01-01 名称 启用屏幕保护程序 实施目的 启用屏幕保护程序防止管理员忘记锁定机器被非法攻击设置带密码的屏幕保护并将时间设定为5分钟 问题影响 如未启动屏幕保护并采用密码恢复一旦管理员操作系统后忘记锁定主机则容易被非法攻击以及增加本地物理临近攻击的风险。 系统当前状态 进入“控制面板显示屏幕保护程序” 查看是否启用屏幕保护程序 并记录当前的设置 实施步骤 参考配置操作 进入“控制面板显示屏幕保护程序” 启用屏幕保护程序设置等待时间为“5分钟”启用“在恢复时使用密码保护”。 回退方案 还原屏幕保护程序设置到加固之前配置。 判断依据 进入“控制面板显示屏幕保护程序” 查看是否启用屏幕保护程序设置等待时间为“5分钟”启用“在恢复时使用密码保护”。 在系统桌面上点击鼠标右键打开属性查看屏幕保护程序选项是否已启动和配置。 实施风险 低 重要等级 ★★★ 备注 ELK-Windows-04-01-02 编号 ELK-Windows-04-01-02 名称 设置Microsoft网络服务器挂起时间 实施目的 设置Microsoft网络服务器挂起时间防止管理员忘记锁定机器被非法利用对于远程登陆的帐号设置不活动断连时间15分钟 问题影响 管理员忘记锁定而被非法利用 系统当前状态 进入“控制面板-管理工具-本地安全策略”在“本地策略-安全选项” 查看是否“Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟。 实施步骤 参考配置操作 进入“控制面板-管理工具-本地安全策略”在“本地策略-安全选项” “Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟。 回退方案 还原“挂起会话之前所需的空闲时间”设置到加固之前配置 判断依据 进入“控制面板-管理工具-本地安全策略”在“本地策略-安全选项” 查看是否“Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟。 实施风险 低 重要等级 ★★★ 备注 ELK-Windows-04-02-01 编号 ELK-Windows-04-02-01 名称 关闭默认共享 实施目的 非域环境中关闭Windows硬盘默认共享例如C$D$提高系统安全性能 问题影响 防止攻击者利用系统默认共享如C$、D$等非法对系统的硬盘进行访问以及通过IPC$方式暴力破解帐户和密码 系统当前状态 查看并记录注册表 HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\增加了REG_DWORD类型的AutoShareServer 键的值。 实施步骤 参考配置操作 进入“开始运行Regedit”进入注册表编辑器 更改注册表键值在HKLM\System\CurrentControlSet\ Services\LanmanServer\Parameters\下增加REG_DWORD类型的AutoShareServer 键值为 0。 回退方案 还原“AutoShareServer” 键的值设置到加固之前配置 判断依据 进入“开始运行Regedit”进入注册表编辑器查看HKLM\System\CurrentControlSet\ Services\LanmanServer\Parameters\下是否已增加REG_DWORD类型的AutoShareServer 键值为 0。 实施风险 低 重要等级 ★ 备注 ELK-Windows-04-02-02 编号 ELK-Windows-04-02-02 名称 设置共享文件夹访问权限 实施目的 设置共享文件夹访问权限防止用户非法访问。只允许授权的账户拥有权限共享此文件夹。 问题影响 增加系统未授权的用户非法访问共享文件夹的风险 系统当前状态 进入“控制面板-管理工具-计算机管理”进入“系统工具共享文件夹” 查看并记录每个共享文件夹的共享权限。 实施步骤 参考配置操作 进入“控制面板-管理工具-计算机管理”进入“系统工具共享文件夹” 查看每个共享文件夹的共享权限只将权限授权于指定账户。 回退方案 还原每个共享文件夹的共享权限到加固之前配置 判断依据 进入“控制面板-管理工具-计算机管理”进入“系统工具共享文件夹” 查看每个共享文件夹的共享权限。 查看每个共享文件夹的共享权限是否仅限于业务需要不设置成为“everyone”。 实施风险 低 重要等级 ★★★ 备注 补丁管理 ELK-Windows-04-03-01 编号 ELK-Windows-04-03-01 名称 安装系统补丁 实施目的 修复系统漏洞。应安装最新的Service Pack补丁集。对服务器系统应先进行兼容性测试。 问题影响 如系统未打补丁或补丁未打全不是最新的补丁则面临容易被攻击、渗透和控制的风险 系统当前状态 控制面板-添加或删除程序-显示更新打钩查看并记录当前系统安装的补丁 实施步骤 参考配置操作 安装最新的Service Pack补丁集以及最新的Hotfix补丁。目前Windows XP的Service Pack为SP3。 Windows2000的Service Pack为SP4,Windows 2003的Service Pack为SP2 回退方案 卸载新安装的补丁 判断依据 进入控制面板-添加或删除程序-显示更新打钩查看是否XP系统已安装SP3Win2000系统已安装SP4Win2003系统已安装SP2。 同时检查所有的hotfix并查看系统安装的最后一个补丁的发布日期是否与最近最新发布的补丁日期一致。 实施风险 高 重要等级 ★★★ 备注 防病毒管理 ELK-Windows-04-04-01 编号 ELK-Windows-04-04-01 名称 安装、更新杀毒软件 实施目的 安装防病毒软件并及时更新提高系统防病毒能力 问题影响 如系统中未安装防病毒软件或防病毒软件未及时更新则系统面临容易被病毒感染的风险 系统当前状态 查看是否安装杀毒软件打开防病毒软件控制面板查看病毒码更新日期 实施步骤 参考配置操作 安装防病毒软件并将病毒库更新到最新的版本 回退方案 卸载或删除杀毒软件 判断依据 进入控制面板-添加或删除程序查看是否安装有防病毒软件。同时打开防病毒软件控制面板查看病毒码更新日期。 如已安装防病毒软件则病毒码更新时间不早于1个月各系统病毒码升级时间要求参见各系统相关规定。 实施风险 低 重要等级 ★★★ 备注 ELK-Windows-04-04-02 编号 ELK-Windows-04-04-02 名称 数据执行保护配置 实施目的 提高系统抵抗非法修改文件的性能。对于Windows XP SP2及Windows 2003对Windows操作系统程序和服务启用系统自带DEP功能(数据执行保护)防止在受保护内存位置运行有害代码。 问题影响 如未配置系统核心的数据执行保护则无法对在内存位置运行有害代码进行保护 系统当前状态 进入“控制面板系统”在“高级”选项卡的 “性能”下的“设置”。进入 “数据执行保护”选项卡。查看并记录“ 仅为基本 Windows 操作系统程序和服务启用DEP”的配置状态。 实施步骤 参考配置操作 进入“控制面板系统”在“高级”选项卡的 “性能”下的“设置”。进入 “数据执行保护”选项卡。设置为“ 仅为基本 Windows 操作系统程序和服务启用DEP”。 回退方案 将“ 仅为基本 Windows 操作系统程序和服务启用DEP”设置到加固前配置 判断依据 进入“控制面板系统”在“高级”选项卡的 “性能”下的“设置”。进入 “数据执行保护”选项卡。查看是否设置为“ 仅为基本 Windows 操作系统程序和服务启用DEP”。 实施风险 低 重要等级 ★ 备注 Windows服务 ELK-Windows-04-05-01 编号 ELK-Windows-04-05-01 名称 关闭服务 实施目的 关闭系统不必要的服务提高系统安全性。列出所需要服务的列表(包括所需的系统服务)不在此列表的服务需关闭 问题影响 如不关闭与业务和应用无关或不必要的服务则系统面临容易被攻击、渗透或利用的风险 系统当前状态 运行命令net start 查看当前运行的服务 实施步骤 参考配置操作 进入“控制面板-管理工具-计算机管理”进入“服务和应用程序” 查看所有服务不在此列表的服务需关闭。 服务 启动类型 包括在成员服务器基准策略中的理由 COM 事件服务 手动 允许组件服务的管理 DHCP 客户端 自动 更新动态 DNS 中的记录所需 分布式链接跟踪客户端 自动 用来维护 NTFS 卷上的链接 DNS 客户端 自动 允许解析 DNS 名称 事件日志 自动 允许在事件日志中查看事件日志消息 逻辑磁盘管理器 自动 需要它来确保动态磁盘信息保持最新 逻辑磁盘管理器管理服务 手动 需要它以执行磁盘管理 Netlogon 自动 加入域时所需 网络连接 手动 网络通讯所需 性能日志和警报 手动 收集计算机的性能数据向日志中写入或触发警报 即插即用 自动 Windows 标识和使用系统硬件时所需 受保护的存储区 自动 需要用它保护敏感数据如私钥 远程过程调用 (RPC) 自动 Windows 中的内部过程所需 远程注册服务 自动 hfnetchk 实用工具所需参见附注 安全帐户管理器 自动 存储本地安全帐户的帐户信息 服务器 自动 hfnetchk 实用工具所需参见附注 系统事件通知 自动 在事件日志中记录条目所需 TCP/IP NetBIOS Helper 服务 自动 在组策略中进行软件分发所需可用来分发修补程序 Windows 管理规范驱动程序 手动 使用“性能日志和警报”实现性能警报时所需 Windows 时间服务 自动 需要它来保证 Kerberos 身份验证有一致的功能 工作站 自动 加入域时所需 回退方案 进入“控制面板-管理工具-计算机管理”进入“服务和应用程序”配置并启动停止的服务 判断依据 系统管理员应出具系统所必要的服务列表。 查看所有服务不在此列表的服务需关闭。 进入“控制面板-管理工具-计算机管理”进入“服务和应用程序” 查看所有服务不在此列表的服务是否已关闭。 实施风险 中 重要等级 ★★★ 备注 ELK-Windows-04-05-02 编号 ELK-Windows-04-05-02 名称 修改SNMP服务密码 实施目的 修改SNMP服务密码防止泄露系统信息。如需启用SNMP服务则修改默认的SNMP Community String设置 问题影响 如未修改SNMP服务的默认密码则攻击者利用SNMP信息探测工具就可以获取系统信息。从而增加系统被攻击的风险 系统当前状态 打开“控制面板”打开“管理工具”中的“服务”找到“SNMP Service”单击右键打开“属性”面板中的“安全”选项卡查看community strings的值 实施步骤 参考配置操作 打开“控制面板”打开“管理工具”中的“服务”找到“SNMP Service”单击右键打开“属性”面板中的“安全”选项卡在这个配置界面中可以修改community strings也就是微软所说的“团体名称”。 回退方案 修改community strings值到加固前状态 判断依据 打开“控制面板”打开“管理工具”中的“服务”找到“SNMP Service”单击右键打开“属性”面板中的“安全”选项卡在这个配置界面中查看community strings是否已改而不是默认的“public”。 实施风险 中 重要等级 ★ 备注 启动项 ELK-Windows-04-06-01 编号 ELK-Windows-04-06-01 名称 关闭无效启动项 实施目的 关闭无效的服务提高系统性能增加系统安全性。列出系统启动时自动加载的进程和服务列表不在此列表的需关闭 问题影响 如不禁用和关闭与业务和应用无关或不必要的启动项和进程则系统面临容易被攻击、渗透或利用的风险 系统当前状态 查看记录“开始-运行-MSconfig”启动菜单中各项配置参数。 实施步骤 参考配置操作 “开始-运行-MSconfig”启动菜单中取消不必要的启动项。 回退方案 “开始-运行-MSconfig”启动菜单中还原各项启动参数到加固前状态。 判断依据 系统管理员提供业务必须的自动加载进程和服务列表文档。 查看“开始-运行-MSconfig”启动菜单 不需要的自动加载进程是否已禁用和取消。 实施风险 中 重要等级 ★★★ 备注 ELK-Windows-04-06-02 编号 ELK-Windows-04-06-02 名称 关闭Windows自动播放功能 实施目的 关闭Windows自动播放防止从移动设备感染病毒 问题影响 如不关闭Windows自动播放则在进行U盘插入操作的时候系统将面临被U盘中的病毒感染的风险 系统当前状态 点击开始→运行→输入gpedit.msc打开组策略编辑器浏览到计算机配置→管理模板→系统查看各驱动器 “关闭自动播放”状态。 实施步骤 参考配置操作 点击开始→运行→输入gpedit.msc打开组策略编辑器浏览到计算机配置→管理模板→系统在右边窗格中双击“关闭自动播放”对话框中选择所有驱动器确定即可。 回退方案 打开组策略编辑器浏览到计算机配置→管理模板→系统还原驱动器 “关闭自动播放”状态 判断依据 点击开始→运行→输入gpedit.msc打开组策略编辑器浏览到计算机配置→管理模板→系统 查看是否所有驱动器均选择“关闭自动播放”查看“关闭自动播放”配置是否已启用启用范围所有驱动器。 实施风险 低 重要等级 ★★★ 备注
