这套主机加固方案很简单,一步一步按着顺序来弄就可以,部分步骤还配有相关图片。可以先用虚拟机来做一次加固,以防弄错后不好恢复。记得弄个快照,以防万一。下次有空写个win7暴力破解~
1. 配置管理
1.1用户策略
注意:在对Windows系统加固之前先新建一个临时的系统管理员账号;用来恢复加固中可能出现的问题
1.1.1 用户权限策略配置(适用于服务器或公用工作站)
- 按下win+R,输入框输入 winver,确认系统版本。
2.按下win+R,输入框输入 compmgmt.msc,进入“计算机管理->本地用户和 组->用户->右键-->新用户”,分别创建安全管理员(secadmin)、审计管理员 (audadmin);然后将Administrator重命名为系统管理员(sysadmin);
3.安全管理员权限配置 在 Win 7: 选择用户“secadmin”,右击“属性”,进入“隶属于->添加->选择组->高级->立即查找”,同时选择 Backup Operators 和 Power Users 组,点击确定;
4.审计管理员权限配置 在 Win 7: 选择用户“audadmin”,右击“属性”,进入“隶属于->添加->选择组->高级- >立即查找”,同时选择 Event Log Readers 和 Performance Log User 组, 点击确定;
5.系统管理员权限配置在 Win 7: 选择用户“sysadmin”,右击“属性”,进入“隶属于->添加->选择组-> 高级->立即查找”,选择 Network Configuration Operators 组和 Administrator组,点击确定;
建议各管理员所具有的权限:
(1) 安全管理员(secadmin):备份或还原文件;
(2) 审计管理员(audadmin):管理系统的各种日志信息;
(3) 系统管理员(sysadmin):更改文件所有权/重新启动或关闭系统/设置主 机名/配置网卡参数/IP 防火墙的管理/配置所有的对外服务。
1.1.2 删除或禁用系统无关用户
加固说明:删除、禁用或锁定与设备运行、维护等工作无关的账户,避免无关账户被黑客利用。
1.按下win+R,输入框输入 compmgmt.msc;
2.查看窗口左侧的本地用户和组-->用户-->右侧信息栏,查找与设备运行、维护等工作无关的用户账户,右击删除;
3.右击 Guest 用户,点击“属性”,勾选“帐户已禁用”,点击确定。
1.1.3 开启屏幕保护程序
(加固说明:操作系统设置开启屏幕保护,并将时间设定为 5 分钟,避免非法用户使用系统。)
1)进入屏幕保护程序
在 Win 7:进入“控制面板->显示->个性化->屏幕保护程序”;
2)选择屏幕保护程序界面,设置“等待”为 5,勾选“恢复时显示登录屏
幕”,点击确定;
1.2身份鉴别
1.2.1 用户口令复杂度策略
(加固说明:口令长度不小于 8 位,由字母、数字和特殊字符组成,不得与账户名相同,避
免口令被暴力破解。)
1. 进入“控制面板->管理工具->本地策安全略->帐户策略->密码策略”;
2. 双击“密码长度最小值”,设置“密码长度最小值”为 8 个字符,点击确
定;
3. 双击“密码必须符合复杂性要求”,勾选已启用,点击确定。
1.2.2 用户登录失败锁定
(加固说明:配置当用户连续认证失败次数超过 5 次,锁定该用户使用的账户 10 分钟,避
免账户被恶意用户暴力破解。)
1. 进入“控制面板->管理工具->本地安全策略->账户策略->帐户锁定策略”;
2. 双击“帐户锁定阀值”设置,设置无效登录次数为 5 次,点击确定;
3. 双击“帐户锁定时间”设置,设置锁定时间 10 分钟,点击确定。
1.2.3 用户口令周期策略
(设置账户口令的生存期不长于 90 天,避免密码泄露。)
1. 进入“控制面板->管理工具->本地安全策略->帐户策略->密码策略”;
2. 双击“密码最长使用期限(密码最长存留期)”,设置“密码最长使用期限”为90 天,点击确定。
1.2.4 用户口令过期提
(密码到期前提示用户更改密码,避免用户因遗忘更换密码而导致账户失效。)
1. 进入“控制面板->管理工具->本地安全策略->本地策略->安全选项”;
2. 双击“交互式登录:提示用户在过期之前更改密码”,设置为 10 天,点击
确定。
1.2.4 系统不显示上次登录用户名
(操作系统不显示上次用户名,避免用户名泄露。)
1. 进入“控制面板->管理工具->本地安全策略->本地策略->安全选项”;
2. 双击“交互式登陆:不显示最后的用户名”,选择“已启用”,点击确定。
1.3主机配置
1.3.1 禁止用户修改 IP
(规范主机网络配置管理,禁止用户任意更换 IP。)
1.按下win+R,输入框输入 gpedit.msc,打开“本地组策略编辑器”;
2. 进入“用户配置->管理模板->网络->网络连接”;
3. 双击“禁止访问 LAN 连接组件的属性”,设置为已启用,点击确定;
4. 双击“禁止访问 LAN 连接的属性”,设置为已启用,点击确定;
5. 双击“禁用 TCP/IP 高级配置”,设置为已启用,点击确定。
备注:如果业务需要修改 IP,可临时取消,修改完成后重新加固。
1.3.2 关闭默认共享
(关闭 Windows 硬盘默认共享,防止黑客从默认共享进入计算机窃取资料。)
1. 进入“开始->控制面板->管理工具->计算机管理(本地)->共享文件夹->共享”;
2. 查看右侧窗口,选择对应的共享文件夹(例如 C$,D$,ADMIN$,IPC$等)右击停止共享。
1.3.3 开启用户账户控制设置(UAC)
(开启用户账户控制设置(UAC),设置为仅在程序尝试对计算机进行更改时通知
用户。)
1.进入“开始->控制面板->用户账户和家庭安全->用户账户”;
2.更改“用户账户控制设置”,设置为“默认”,点击确定。
1.3.4 禁止未登录前关机
(设置 Windows 登录屏幕上不显示关闭计算机的选项,避免用户名暴露。)
1. 进入“控制面板->管理工具->本地安全策略->本地策略->安全选项”;
2. 双击“关机: 允许系统在未登录的情况下关闭”,设置属性为“已禁用”,
点击确定。
1.3.5 关机时清除虚拟内存页面文件
(设置关机时清除虚拟内存页面文件,避免虚拟内存信息通过硬盘泄露。)
1. 进入“开始->控制面板->管理工具->本地安全策略->本地策略->安全选项”;
2. 双击“关机: 清除虚拟内存页面文件”,属性设置为“已启用”,点击确定。
1.3.6 禁止非管理员关机
(仅允许 Administrators 组进行远端系统强制关机和关闭系统,避免非法用户关
闭系统。)
1. 进入“开始->控制面板->管理工具->本地安全策略->本地策略->用户权限分
配”;
2. 分别双击“关闭系统”和“从远程系统强制关机”选项,仅配置系统管理员
(sysadmin)用户。
1.4软件管理
1.4.1 卸载无关软件
1. 确认系统中必须安装的软件列表;
2. 删除与业务系统无关的软件
在 Win 7 :进入“开始->控制面板->程序与功能”,查找与系统 业务无关的软件,选择需要卸载的软件,右键选择 “卸载/更改”按钮,卸载完成。
【备注:禁止安装与工作无关或存在安全漏洞的软件,应按照如下原则安装软件:
1. 工作站:仅安装系统客户端的基础运行环境和文档编辑( WPS),解压
缩(WinRAR),SSH 客户端等应用软件;
2. 服务器:仅安装承载业务系统运行的基础软件环境。】
2. 网络管理
2.1网络服务管理
2.1.1 关闭不必要的服务
注意:主要关闭远程、打印、共享服务
1.确认系统应用需要使用的服务;
2.按下win+R,输入框中输入 services.msc 命令;
3.双击需要关闭的服务,点击停止按钮以停止当前正在运行的服务;
4.将启动类型设置为禁用,点击确定。
在执行系统加固前确认系统应用无需使用该服务。建议关闭以下服务:
Server
Computer Browser
DHCP Client
Routing and Remote Access
Telnet
Print Spooler
Terminal Service (Win2000 不适用)
Task Scheduler(可选)
Messenger net send(Win XP、Win 2000 为 Messenger)
Simple Mail Trasfer Protocol(SMTP)
Simple Network Management Protocol(SNMP) Service
World Wide Web Publishing Service
DNSClient
2.1.2 启用 SYN 攻击保护
(启用 SYN 攻击保护,防御黑客 SYN 攻击。)
1. 按下win+R,输入框中输入 regedit 命令;
2. 查看注册表项,进入
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters;
3. 新建字符串值,重命名为 SynAttackProtect,双击修改数值数据为 2;
4. 新建字符串值,重命名为 TcpMaxportsExhausted,双击修改数值数据为 5;
5. 新建字符串值,重命名为 TcpMaxHalfOpen,双击修改数值数据为 500;
6. 新建字符串值,重命名为 TcpMaxHalfOpenRetried,双击修改数值数据为
400。
备注
1. 指定触发 SYN 洪水攻击保护所必须超过的 TCP 连接请求数的阀值为 5;
2. 指定系统拒绝的连接请求数的阈值为 500;
3. 指定 TCP 的半连接数的阈值为 400。
2.2防火墙功能
2.2.1 开启防火墙功能
加固说明:打开系统自带防火墙,减小被网络攻击的风险。
操作步骤:1.按下 +R,输入框中输入 Firewall.cpl;
2.选择“打开或关闭 Windows 防火墙”,点击启用 Windows 防火墙。
2.2.2 防火墙配置访问控制规则
加固说明:端口禁止开放:TCP21,TCP23,TCP/UDP135,TCP/UDP137,TCP/UDP138,
TCP/UDP139,TCP/UDP445。
端口应限制访问 IP:TCP3389。
操作步骤:
(1)按下 +R,输入框中输入 wf.msc,进入高级安全防火墙,选择入站规则,点击右边的“新建规则”;
(2) 选择协议和端口;
(3) 选择需要进行的操作;
(4) 选择阻止连接
(5) 选择规则应用的范围;
2.2.3 关闭系统非法端口
(关闭端口:TCP21,TCP23,TCP/UDP135,TCP/UDP137,TCP/UDP138, TCP/UDP139,TCP/UDP445。
端口应限制访问 IP:TCP3389)
关闭135端口
(1) 单击 “开始”——“运行”,输入“dcomcnfg”,单击“确定”,打开组件服务。
(2) 在弹出的“组件服务”对话框中,选择“计算机”选项。
(3) 点击“计算机”,右键单击“我的电脑”,选择“属性”,在出现的“我的电脑
属性”对话框“默认属性”选项卡中,去掉“在此计算机上启用分布式COM”前的勾。
(4) 选择“默认协议”选项卡,选中“面向连接的TCP/IP”,单击“移除”按钮。
单击“确定”按钮,设置完成,重新启动系统后即可关闭135端口
关闭端口 137、138、139
(1) 在控制面板选择“网络和共享中心”图标,打开选择“更改适配器设置”打开“网络连接”。
(2) 右键点击“本地连接”对话框中,单击“属性”按钮。
(3) 在出现的“本地连接属性”对话框中,选择“Internet协议(TCP/IPv4)”,双击打开
(4) 在出现的“Internet协议(TCP/IPv4)属性”对话框中,单击“高级”按钮。
(5) 在出现的“高级TCP/IP设置”对话框中,选择“WINS”选项卡。在“WINS”选项卡,“NetBIOS
设置”下,选择“禁用TCP/IP上的” NetBIOS
单击“确定”,重新启动后即可关闭139端口。
关闭 445端口
(1) 单击“开始”——“运行”,输入“regedit”,回车,打开注册表。
(2) 找到注册表项“HKEY_LOCAL_MACHINESystemControlsetServicesNetBTParameters”。
(3) 选择“Parameters”项,右键单击,选择“新建”——“DWORD值”。
(4) 将DWORD值命名为“SMBDeviceEnabled”,右键单击“SMBDeviceEnabled”值,选择“修改”。
(5) 在出现的“编辑DWORD值”对话框中,在“数值数据”下,输入“0”,单击“确定”按钮,完成设置。
3. 接入管理
3.1外设接口
3.1.1 禁用大容量存储介质(USB 存储设备)
(禁用 USB 存储设备,防止利用 USB 接口非法接入。)
1.按下win+R,在输入框输入 regedit,打开注册表编辑器;
2.进入 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR;
3.双击右侧注册表中的“Start”项,修改值为 4。
3.2自动播放
3.2.1 关闭自动播放功能
(关闭移动存储介质或光驱的自动播放或自动打开功能,防止恶意程序通过 U 盘或光盘等移动存储介质感染主机系统。)
1.按下win+R,输入框中输入 gpedit.msc,进入“本地组策略编辑器”;
2.配置关闭自动播放策略:在 Win 7:
(1) 进入“计算机配置->管理模板->Windows 组件->自动播放策略”;
(2) 查看右侧小窗口,双击“关闭自动播放”,选择“已启用”;
(3) 在下面 关闭自动播放 中,选择“所有驱动器”,点击确定。
3.3远程登录
3.3.1 关闭远程主机 RDP 服务
(处于网络边界的主机 RDP 服务应处于关闭状态,有远程登录需求时可由管理员临
时开启,避免非法用户利用 RDP 服务漏洞进行攻击。)
(1) 右击“计算机”,选择“属性”,点击左侧菜单栏中的“远程设置”;
(2) 选择“不允许连接到这台计算机”,取消勾选“允许远程协助连接到这台计算机”,点击确定。
3.3.2 限制远程登录的 IP(如果以关闭远程桌面,无需进行该操作)
(仅限于指定 IP 地址范围主机远程登录,防止非法主机的远程访问。)
1.按下 +R,输入框输入 gpedit.msc,进入“本地组策略编辑器”;
2. 分别进入“计算机配置->管理模板->网络->网络连接->Windows 防火墙->域
配置文件”和“标准配置文件”,执行 3、4 步操作;
3. 双击“允许入站远程桌面例外”,选择“已启用”;
4. 填入允许远程登录到本机的主机 IP 地址,并以逗号分隔,点击确定。
3.3.3 禁止用户更改计算机名
1.按下win+R,输入框输入 gpedit.msc,打开“本地组策略编辑器”;
2. 进入“用户配置->管理模板->桌面”;
3. 双击“从‘计算机(我的电脑)’图标上下文菜单中删除属性”,设置为“已
启用”,点击确定。
3.3.4 主机间登录禁止使用公钥验证
(禁止凭据管理器保存通过域身份验证的密码和凭据,避免用户信息泄露。)
1. 进入“控制面板->管理工具->本地安全策略->本地策略->安全选项”;
2. 双击“网络访问,不允许存储网络身份验证的密码和凭据”,选择“已启
用”,点击确定。
3.4 外部连接管理
3.4.1 禁止使用无线设备
1.核实是否存在无线网卡,若存在,请执行以下操作并拔出网卡设备;
2.按下win+R,在输入框输入 devmgmt.msc,进入“设备管理器”;
3.查找右侧“设备管理器”的窗口,选择网络适配器,找到无线网卡、蓝牙无线
收发适配器设备名称;
4.右击该设备,选择“禁用”,点击“是”。
4. 日志与审计
4.1日志与审计
4.1.1 配置日志策略
(配置系统日志策略配置文件,对系统登录、访问等行为进行审计,为后续问题追
溯提供依据。)
1.按下 +R,输入框输入 gpedit.msc,进入“本地组策略编辑器”;
2.进入“计算机配置->Windows 设置->安全设置->本地策略->审核策略”;
3.对审核策略进行如下设置:
审核账户登录事件:成功,失败;
审核账户管理:成功,失败;
审核目录服务访问:失败;
审核登录事件:成功,失败;
审核对象访问:成功,失败;
审核策略更改:成功,失败;
审核特权使用:失败;
审核过程追踪:无审核;
审核系统事件:成功,失败;
4.设置完成后,点击确定。
4.1.2 配置日志文件大小
(设置日志文件大小限值,为审计日志数据分配合理的存储空间或存储时间。)
1.进入事件查看器的日志配置
在 Win7:进入“控制面板->管理工具->事件查看器->Windows 日
志”;
2.依次右击“应用程序”、“安全”、“系统”、“转发事件”和
“Setup”,选择“属性->常规”,设置“日志最大大小”为 10240KB;
3.按下 +R,输入框输入 gpedit.msc,进入“本地组策略编辑器”;
4.配置日志覆盖模式
在 Win7:进入“计算机配置->管理模板->Windows 组件->事件日志服务->安全->日志文件写满后自动备份”和“保留旧事件”,设置“已启用”;
4.1.3 禁止普通用户修改审计策略
( 设置合适的用户权限策略,禁止普通用户修改和删除日志配置。)
将审计策略修改权限仅赋予审计管理员,操作步骤参考
1.1.1 用户权限策略配置。
5. 恶意代码防范
5.1防病毒软件
5.1.1 安装防病毒软件
(安装防病毒软件,防止恶意代码的攻击。)
1. 安装防病毒软件;
2. 关闭【发现病毒自动处理功能】,
3. 当查到病毒是先查看该文件是否为重要业务中的,如果是业务中的则添加到白
名单;
4. 如果误杀了业务软件,先不要着急卸载杀毒软件,应该先找到被误杀的软件进
行恢复。
5. 使用离线安装包将病毒库更新至最新;
6. 后期定期升级杀毒软件和病毒库。
5.2数据执行保护
5.2.1 数据执行保护(DEP)
(对 Windows 操作系统程序和服务启用系统自带 DEP 功能(数据执行保护),防止
在受保护内存位置运行恶意代码。)
1. 进入“控制面板->系统”;
2. 选择“高级系统设置->高级->性能->设置->数据执行保护”选项卡,勾选
“仅为基本 Windows 操作系统程序和服务启用 DEP”,点击确定。
