主機加固之windows2003

這篇與上一篇的win7主機加固內容大致相似，部分有些不一樣。這篇也能夠用來嘗試加固windows XP。

 

1. 配置管理

1.1用戶策略

注意：在對Windows系統加固以前先新建一個臨時的系統管理員帳號；用來恢復加固中可能出現的問題

1.1.1 用戶權限策略配置（適用於服務器或公用工做站）

1.按下win+R，輸入框輸入 winver，確認系統版本。

2.按下win+R，輸入框輸入 compmgmt.msc，進入「計算機管理->本地用戶和 組->用戶->右鍵-->新用戶」，分別建立安全管理員（secadmin）、審計管理員 （audadmin）；而後將Administrator重命名爲系統管理員（sysadmin）；

3.安全管理員權限配置： 選擇用戶「secadmin」，右擊「屬性」，進入「隸屬於->添加->選擇組->高級->當即查找」，同時選擇 Backup Operators 和 Power Users 組，點擊肯定；

4.審計管理員權限配置： 選擇用戶「audadmin」，右擊「屬性」，進入「隸屬於->添加->選擇組->高級- >當即查找」，同時選擇 Event Log Readers 和 Performance Log User 組， 點擊肯定；

 

 5.系統管理員權限配置： 選擇用戶「sysadmin」，右擊「屬性」，進入「隸屬於->添加->選擇組-> 高級->當即查找」，選擇 Network Configuration Operators 組和 Administrator組，點擊肯定；

 

1.1.2 刪除或禁用系統無關用戶

加固說明：刪除、禁用或鎖定與設備運行、維護等工做無關的帳戶，避免無關帳戶被黑客利用。

1．按下win+R，輸入框輸入 compmgmt.msc；

2．查看窗口左側的本地用戶和組-->用戶-->右側信息欄，查找與設備運行、維護等工做無關的用戶帳戶，右擊刪除；

3．右擊 Guest 用戶，點擊「屬性」，勾選「賬戶已禁用」，點擊肯定。

 

 

1.1.3 開啓屏幕保護程序

（加固說明：操做系統設置開啓屏幕保護，並將時間設定爲 5 分鐘，避免非法用戶使用系統。）

1）進入屏幕保護程序

進入「控制面板->顯示->屏幕保護程序」；

2）選擇屏幕保護程序界面，設置「等待」爲 5，勾選「在恢復時使用密碼保護」，點擊肯定.

1.2身份鑑別

1.2.1 用戶口令複雜度策略

（加固說明：口令長度不小於 8 位，由字母、數字和特殊字符組成，不得與帳戶名相同，避

免口令被暴力破解。）

1. 進入「控制面板->管理工具->本地安全策略->賬戶策略->密碼策略」；

2. 雙擊「密碼長度最小值」，設置「密碼長度最小值」爲 8 個字符，點擊確定；

3.雙擊「密碼必須符合複雜性要求」，勾選已啓用，點擊肯定。

1.2.2 用戶登陸失敗鎖定

（加固說明：配置當用戶連續認證失敗次數超過 5 次，鎖定該用戶使用的帳戶 10 分鐘，避

免帳戶被惡意用戶暴力破解。）

1. 進入「控制面板->管理工具->本地安全策略->帳戶策略->賬戶鎖定策略」；

2. 雙擊「賬戶鎖定閥值」設置，設置無效登陸次數爲 5 次，點擊肯定；

3. 雙擊「賬戶鎖定時間」設置，設置鎖定時間 10 分鐘，點擊肯定。

 

 

1.2.3 用戶口令週期策略

（設置帳戶口令的生存期不長於 90 天，避免密碼泄露。）

1. 進入「控制面板->管理工具->本地安全策略->賬戶策略->密碼策略」；

2. 雙擊「密碼最長使用期限（密碼最長存留期）」，設置「密碼最長使用期限」爲90 天，點擊肯定。

1.2.4 用戶口令過時提

（密碼到期前提示用戶更改密碼，避免用戶因遺忘更換密碼而致使帳戶失效。）

1. 進入「控制面板->管理工具->本地安全策略->本地策略->安全選項」；

2. 雙擊「交互式登陸:在密碼到期前提示用戶更改密碼」，設置爲 10 天，點擊

肯定。

 

1.2.5系統不顯示上次登陸用戶名

 

（操做系統不顯示上次用戶名，避免用戶名泄露。）

 

1. 進入「控制面板->管理工具->本地安全策略->本地策略->安全選項」；

 

2. 雙擊「交互式登錄：不顯示上次的用戶名」，選擇「已啓用」，點擊肯定。

 

1.3主機配置

 

1.3.2 關閉默認共享

 

(關閉 Windows 硬盤默認共享，防止黑客從默認共享進入計算機竊取資料。)

 

1. 進入「開始->控制面板->管理工具->計算機管理（本地）->共享文件夾->共享」；

 

2. 查看右側窗口，選擇對應的共享文件夾（例如 C$，D$，ADMIN$，IPC$等）右擊中止共享。

 

1.3.3 禁止未登陸前關機

（設置 Windows 登陸屏幕上不顯示關閉計算機的選項，避免用戶名暴露。）

1. 進入「控制面板->管理工具->本地安全策略->本地策略->安全選項」；

2. 雙擊「關機: 容許系統在未登陸前關機」，設置屬性爲「已禁用」，

點擊肯定。

 

 

 

1.3.4 關機時清除虛擬內存頁面文件

（設置關機時清除虛擬內存頁面文件，避免虛擬內存信息經過硬盤泄露。）

1. 進入「開始->控制面板->管理工具->本地安全策略->本地策略->安全選項」；

2. 雙擊「關機: 清除虛擬內存頁面文件」，屬性設置爲「已啓用」，點擊肯定。

 

1.3.5 禁止非管理員關機

（僅容許 Administrators 組進行遠端系統強制關機和關閉系統，避免非法用戶關

閉系統。）

1. 進入「開始->控制面板->管理工具->本地安全策略->本地策略->用戶權限分

配」；

2. 分別雙擊「關閉系統」和「從遠程系統強制關機」選項，僅配置系統管理員

（sysadmin）用戶。

1.4軟件管理

1.4.1 卸載無關軟件

1. 確認系統中必須安裝的軟件列表；

2. 刪除與業務系統無關的軟件

進入「開始->控制面板->程序與功能」，查找與系統 業務無關的軟件，選擇須要卸載的軟件，右鍵選擇 「卸載/更改」按鈕，卸載完成。

【備註：禁止安裝與工做無關或存在安全漏洞的軟件，應按照以下原則安裝軟件：

1. 工做站：僅安裝系統客戶端的基礎運行環境和文檔編輯（ WPS），解壓

縮（WinRAR），SSH 客戶端等應用軟件；

2. 服務器：僅安裝承載業務系統運行的基礎軟件環境。】

 

2. 網絡管理

2.1網絡服務管理

2.1.1 關閉沒必要要的服務

注意：主要關閉遠程、打印、共享服務

1.確認系統應用須要使用的服務；

2.按下win+R，輸入框中輸入 services.msc 命令；

3.雙擊須要關閉的服務，點擊中止按鈕以中止當前正在運行的服務；

4.將啓動類型設置爲禁用，點擊肯定。

 

在執行系統加固前確認系統應用無需使用該服務。建議關閉如下服務：

Server

Alerter

Clipbook

Computer Browser

DHCP Client

Messenger

Remote Registry Service

Routing and Remote Access

Telnet  

Print Spooler

Terminal Service  

Task Scheduler

Messenger

remote Registry

DNS Client

2.1.2 啓用 SYN 攻擊保護

（啓用 SYN 攻擊保護，防護黑客 SYN 攻擊。）

1. 按下win+R，輸入框中輸入 regedit 命令；

2. 查看註冊表項，進入

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters；

3. 新建字符串值，重命名爲 SynAttackProtect，雙擊修改數值數據爲 2；

4. 新建字符串值，重命名爲 TcpMaxportsExhausted，雙擊修改數值數據爲 5；

5. 新建字符串值，重命名爲 TcpMaxHalfOpen，雙擊修改數值數據爲 500；

6. 新建字符串值，重命名爲 TcpMaxHalfOpenRetried，雙擊修改數值數據爲

400。

備註

1. 指定觸發 SYN 洪水攻擊保護所必須超過的 TCP 鏈接請求數的閥值爲 5；

2. 指定系統拒絕的鏈接請求數的閾值爲 500；

3. 指定 TCP 的半鏈接數的閾值爲 400。

2.2防火牆功能

（開啓防火牆會影響業務通信，開啓前先聯繫廠家）

2.2.1 開啓防火牆功能

加固說明：打開系統自帶防火牆，減少被網絡攻擊的風險。

操做步驟：

1.按下 +R，輸入框中輸入 Firewall.cpl；

2.點擊啓用 Windows 防火牆。

 

 

2.2.2 防火牆配置訪問控制規則

加固說明：端口禁止開放：TCP21，TCP23，TCP/UDP135，TCP/UDP137，TCP/UDP138，

TCP/UDP139，TCP/UDP445。

端口應限制訪問 IP：TCP3389。

操做步驟：

(1)按下win+R，輸入框中輸入 Firewall.cpl，進入"Windows 防火牆—>例外"

(2)選擇協議和端口；

 

 2.2.3 關閉系統非法端口

（關閉端口：TCP21，TCP23，TCP/UDP135，TCP/UDP137，TCP/UDP138， TCP/UDP139，TCP/UDP445。

端口應限制訪問 IP：TCP3389）

關閉135端口

(1) 單擊 「開始」——「運行」，輸入「dcomcnfg」，單擊「肯定」，打開組件服務。

 

 

(2) 在彈出的「組件服務」對話框中，選擇「計算機」選項。

 

(3) 點擊「計算機」，右鍵單擊「個人電腦」，選擇「屬性」，在出現的「個人電腦

屬性」對話框「默認屬性」選項卡中，去掉「在此計算機上啓用分佈式COM」前的勾。

 

 

(4) 選擇「默認協議」選項卡，選中「面向鏈接的TCP/IP」，單擊「移除」按鈕。

 

 單擊「肯定」按鈕，設置完成，從新啓動系統後便可關閉135端口

關閉端口 13七、13八、139

 

(1) 在控制面板選擇「網絡鏈接」，選擇「本地鏈接」打開。

(2) 單擊「屬性」按鈕。

 

 

(3) 在出現的「本地鏈接屬性」對話框中，選擇「Internet協議（TCP/IP）」，雙擊打開

(4) 在出現的「Internet協議（TCP/IP）屬性」對話框中，單擊「高級」按鈕。

 

(5) 在出現的「高級TCP/IP設置」對話框中，選擇「WINS」選項卡。在「WINS」選項卡，「NetBIOS

設置」下，選擇「禁用TCP/IP上的」 NetBIOS

 

 單擊「肯定」，從新啓動後便可關閉139端口。

關閉 445端口

(1) 單擊「開始」——「運行」，輸入「regedit」，回車，打開註冊表。

(2) 找到註冊表項「HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\Parameters」。

 

(3) 選擇「Parameters」項，右鍵單擊，選擇「新建」——「DWORD值」。

(4) 將DWORD值命名爲「SMBDeviceEnabled」，右鍵單擊「SMBDeviceEnabled」值，選擇「修改」

(5) 在出現的「編輯DWORD值」對話框中，在「數值數據」下，輸入「0」，單擊「肯定」按鈕，完成設置。

 

 

3. 接入管理

3.1外設接口

3.1.1 禁用大容量存儲介質（USB 存儲設備）

（禁用 USB 存儲設備，防止利用 USB 接口非法接入。）

1.按下win+R，在輸入框輸入 regedit，打開註冊表編輯器；

2.進入 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR；

3.雙擊右側註冊表中的「Start」項，修改值爲 4。

3.2自動播放

3.2.1 關閉自動播放功能

（關閉移動存儲介質或光驅的自動播放或自動打開功能，防止惡意程序經過 U 盤或光盤等移動存儲介質感染主機系統。）

1.按下win+R，輸入框中輸入 gpedit.msc，進入「本地組策略編輯器」；

2.配置關閉自動播放策略：

（1） 進入「計算機配置->管理模板->系統」；

（2） 在窗口右下角有個「標準」窗格中，雙擊「關閉自動播放」，選擇「已啓用」；

（3） 在「選項」中，選擇「全部驅動器」，點擊肯定。

 

 

3.3遠程登陸

3.3.1 關閉遠程主機 RDP 服務

（處於網絡邊界的主機 RDP 服務應處於關閉狀態，有遠程登陸需求時可由管理員臨

時開啓，避免非法用戶利用 RDP 服務漏洞進行攻擊。）

（1） 右擊「個人電腦」，選擇「屬性」，點擊「遠程」選項卡；

（2） 取消勾選「啓用這臺計算機上的遠程桌面」和「啓用遠程協助並容許這臺計算機發送邀請」，點擊肯定。

 

 

3.3.2 限制遠程登陸的 IP（若是以關閉遠程桌面，無需進行該操做）

（僅限於指定 IP 地址範圍主機遠程登陸，防止非法主機的遠程訪問。）

1.按下 +R，輸入框輸入 gpedit.msc，進入「本地組策略編輯器」；

2. 分別進入「計算機配置->管理模板->網絡->網絡鏈接->Windows 防火牆->域

配置文件」和「標準配置文件」，執行 三、4 步操做；

3. 雙擊「容許遠程桌面例外」,選擇「已啓用」；

4. 填入容許遠程登陸到本機的主機 IP 地址，並以逗號分隔，點擊肯定。

 

 

3.3.3 禁止用戶更改計算機名

1.按下win+R，輸入框輸入 gpedit.msc，打開「本地組策略編輯器」；

2. 進入「用戶配置->管理模板->桌面」；

3. 雙擊「從‘個人電腦’上下文菜單中刪除屬性」，設置爲「已

啓用」，點擊肯定。

 

 

3.3.4 主機間登陸禁止使用公鑰驗證

（禁止憑據管理器保存經過域身份驗證的密碼和憑據，避免用戶信息泄露。）

1. 進入「控制面板->管理工具->本地安全策略->本地策略->安全選項」；

2. 雙擊「網絡訪問，不容許存儲網絡身份驗證的憑據或.NET Passports」，選擇「已啓

用」，點擊肯定。

3.4 外部鏈接管理

3.4.1 禁止使用無線設備

1.覈實是否存在無線網卡，若存在，請執行如下操做並拔出網卡設備；

2.按下win+R，在輸入框輸入 devmgmt.msc，進入「設備管理器」；

3.選擇網絡適配器，找到無線網卡、藍牙無線收發適配器設備名稱；

4.右擊該設備，選擇「禁用」，點擊「是」。

4. 日誌與審計

4.1日誌與審計

4.1.1 配置日誌策略

（配置系統日誌策略配置文件，對系統登陸、訪問等行爲進行審計，爲後續問題追

溯提供依據。）

1.按下 +R，輸入框輸入 gpedit.msc，進入「本地組策略編輯器」；

2.進入「計算機配置->Windows 設置->安全設置->本地策略->審覈策略」；

 

 

3 對審覈策略進行以下設置：

審覈帳戶登陸事件：成功，失敗;

審覈帳戶管理：成功，失敗;

審覈目錄服務訪問：失敗;

審覈登陸事件：成功，失敗;

審覈對象訪問：成功，失敗;

審覈策略更改：成功，失敗;

審覈特權使用：失敗;

審覈過程追蹤：無審覈;

審覈系統事件：成功，失敗;

4.設置完成後，點擊肯定。

 

 

4.1.2 配置日誌文件大小

（設置日誌文件大小限值，爲審計日誌數據分配合理的存儲空間或存儲時間。）

1. 進入事件查看器的日誌配置

按下 +R，輸入框輸入 eventvwr，進入

進入「控制面板->管理工具->事件查看器->Windows 日誌」；

2.依次右擊「應用程序」、「安全性」、「系統」、「轉發事件」，選擇「屬性->常規」，設置「日誌大小上限」爲 10240KB；  設置 「達到日誌大小上限時->改寫爲 180 天；

 

 

4.1.3 禁止普通用戶修改審計策略

（ 設置合適的用戶權限策略，禁止普通用戶修改和刪除日誌配置。）

將審計策略修改權限僅賦予審計管理員,操做步驟參考

1.1.1 用戶權限策略配置。

 

5. 惡意代碼防範

5.1防病毒軟件

5.1.1 安裝防病毒軟件

（安裝防病毒軟件,防止惡意代碼的攻擊。）

1. 安裝防病毒軟件；

2. 關閉【發現病毒自動處理功能】，

3. 當查到病毒是先查看該文件是否爲重要業務中的，若是是業務中的則添加到白

名單；

4. 若是誤殺了業務軟件，先不要着急卸載殺毒軟件，應該先找到被誤殺的軟件進

行恢復。

5. 使用離線安裝包將病毒庫更新至最新；

6. 後期按期升級殺毒軟件和病毒庫。

 

5.2數據執行保護

5.2.1 數據執行保護（DEP）

（對 Windows 操做系統程序和服務啓用系統自帶 DEP 功能(數據執行保護)，防止

在受保護內存位置運行惡意代碼。）

1. 找到桌面的」個人電腦「或者開始---全部程序-- 個人電腦圖標，右鍵 屬性

2.出現系統屬性對話框中，找到」設置」選項卡

 

 

 

3.出現的 設置菜單中，找到」數據執行保護「 以下圖會出現當前系統可能有影響的程序

 

 

 

4.選擇」經爲基本的windows程序和服務啓用DEP功能「，而後點擊應用便可關閉