主机加固之windows2003

这篇与上一篇的win7主机加固内容大致相似，部分有些不一样。这篇也能够用来尝试加固windows XP。

 

1. 配置管理

1.1用户策略

注意：在对Windows系统加固以前先新建一个临时的系统管理员帐号；用来恢复加固中可能出现的问题

1.1.1 用户权限策略配置（适用于服务器或公用工做站）

1.按下win+R，输入框输入 winver，确认系统版本。

2.按下win+R，输入框输入 compmgmt.msc，进入“计算机管理->本地用户和 组->用户->右键-->新用户”，分别建立安全管理员（secadmin）、审计管理员 （audadmin）；而后将Administrator重命名为系统管理员（sysadmin）；

3.安全管理员权限配置： 选择用户“secadmin”，右击“属性”，进入“隶属于->添加->选择组->高级->当即查找”，同时选择 Backup Operators 和 Power Users 组，点击肯定；

4.审计管理员权限配置： 选择用户“audadmin”，右击“属性”，进入“隶属于->添加->选择组->高级- >当即查找”，同时选择 Event Log Readers 和 Performance Log User 组， 点击肯定；

 

 5.系统管理员权限配置： 选择用户“sysadmin”，右击“属性”，进入“隶属于->添加->选择组-> 高级->当即查找”，选择 Network Configuration Operators 组和 Administrator组，点击肯定；

 

1.1.2 删除或禁用系统无关用户

加固说明：删除、禁用或锁定与设备运行、维护等工做无关的帐户，避免无关帐户被黑客利用。

1．按下win+R，输入框输入 compmgmt.msc；

2．查看窗口左侧的本地用户和组-->用户-->右侧信息栏，查找与设备运行、维护等工做无关的用户帐户，右击删除；

3．右击 Guest 用户，点击“属性”，勾选“账户已禁用”，点击肯定。

 

 

1.1.3 开启屏幕保护程序

（加固说明：操做系统设置开启屏幕保护，并将时间设定为 5 分钟，避免非法用户使用系统。）

1）进入屏幕保护程序

进入“控制面板->显示->屏幕保护程序”；

2）选择屏幕保护程序界面，设置“等待”为 5，勾选“在恢复时使用密码保护”，点击肯定.

1.2身份鉴别

1.2.1 用户口令复杂度策略

（加固说明：口令长度不小于 8 位，由字母、数字和特殊字符组成，不得与帐户名相同，避

免口令被暴力破解。）

1. 进入“控制面板->管理工具->本地安全策略->账户策略->密码策略”；

2. 双击“密码长度最小值”，设置“密码长度最小值”为 8 个字符，点击确定；

3.双击“密码必须符合复杂性要求”，勾选已启用，点击肯定。

1.2.2 用户登陆失败锁定

（加固说明：配置当用户连续认证失败次数超过 5 次，锁定该用户使用的帐户 10 分钟，避

免帐户被恶意用户暴力破解。）

1. 进入“控制面板->管理工具->本地安全策略->帐户策略->账户锁定策略”；

2. 双击“账户锁定阀值”设置，设置无效登陆次数为 5 次，点击肯定；

3. 双击“账户锁定时间”设置，设置锁定时间 10 分钟，点击肯定。

 

 

1.2.3 用户口令周期策略

（设置帐户口令的生存期不长于 90 天，避免密码泄露。）

1. 进入“控制面板->管理工具->本地安全策略->账户策略->密码策略”；

2. 双击“密码最长使用期限（密码最长存留期）”，设置“密码最长使用期限”为90 天，点击肯定。

1.2.4 用户口令过时提

（密码到期前提示用户更改密码，避免用户因遗忘更换密码而致使帐户失效。）

1. 进入“控制面板->管理工具->本地安全策略->本地策略->安全选项”；

2. 双击“交互式登陆:在密码到期前提示用户更改密码”，设置为 10 天，点击

肯定。

 

1.2.5系统不显示上次登陆用户名

 

（操做系统不显示上次用户名，避免用户名泄露。）

 

1. 进入“控制面板->管理工具->本地安全策略->本地策略->安全选项”；

 

2. 双击“交互式登录：不显示上次的用户名”，选择“已启用”，点击肯定。

 

1.3主机配置

 

1.3.2 关闭默认共享

 

(关闭 Windows 硬盘默认共享，防止黑客从默认共享进入计算机窃取资料。)

 

1. 进入“开始->控制面板->管理工具->计算机管理（本地）->共享文件夹->共享”；

 

2. 查看右侧窗口，选择对应的共享文件夹（例如 C$，D$，ADMIN$，IPC$等）右击中止共享。

 

1.3.3 禁止未登陆前关机

（设置 Windows 登陆屏幕上不显示关闭计算机的选项，避免用户名暴露。）

1. 进入“控制面板->管理工具->本地安全策略->本地策略->安全选项”；

2. 双击“关机: 容许系统在未登陆前关机”，设置属性为“已禁用”，

点击肯定。

 

 

 

1.3.4 关机时清除虚拟内存页面文件

（设置关机时清除虚拟内存页面文件，避免虚拟内存信息经过硬盘泄露。）

1. 进入“开始->控制面板->管理工具->本地安全策略->本地策略->安全选项”；

2. 双击“关机: 清除虚拟内存页面文件”，属性设置为“已启用”，点击肯定。

 

1.3.5 禁止非管理员关机

（仅容许 Administrators 组进行远端系统强制关机和关闭系统，避免非法用户关

闭系统。）

1. 进入“开始->控制面板->管理工具->本地安全策略->本地策略->用户权限分

配”；

2. 分别双击“关闭系统”和“从远程系统强制关机”选项，仅配置系统管理员

（sysadmin）用户。

1.4软件管理

1.4.1 卸载无关软件

1. 确认系统中必须安装的软件列表；

2. 删除与业务系统无关的软件

进入“开始->控制面板->程序与功能”，查找与系统 业务无关的软件，选择须要卸载的软件，右键选择 “卸载/更改”按钮，卸载完成。

【备注：禁止安装与工做无关或存在安全漏洞的软件，应按照以下原则安装软件：

1. 工做站：仅安装系统客户端的基础运行环境和文档编辑（ WPS），解压

缩（WinRAR），SSH 客户端等应用软件；

2. 服务器：仅安装承载业务系统运行的基础软件环境。】

 

2. 网络管理

2.1网络服务管理

2.1.1 关闭没必要要的服务

注意：主要关闭远程、打印、共享服务

1.确认系统应用须要使用的服务；

2.按下win+R，输入框中输入 services.msc 命令；

3.双击须要关闭的服务，点击中止按钮以中止当前正在运行的服务；

4.将启动类型设置为禁用，点击肯定。

 

在执行系统加固前确认系统应用无需使用该服务。建议关闭如下服务：

Server

Alerter

Clipbook

Computer Browser

DHCP Client

Messenger

Remote Registry Service

Routing and Remote Access

Telnet  

Print Spooler

Terminal Service  

Task Scheduler

Messenger

remote Registry

DNS Client

2.1.2 启用 SYN 攻击保护

（启用 SYN 攻击保护，防护黑客 SYN 攻击。）

1. 按下win+R，输入框中输入 regedit 命令；

2. 查看注册表项，进入

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters；

3. 新建字符串值，重命名为 SynAttackProtect，双击修改数值数据为 2；

4. 新建字符串值，重命名为 TcpMaxportsExhausted，双击修改数值数据为 5；

5. 新建字符串值，重命名为 TcpMaxHalfOpen，双击修改数值数据为 500；

6. 新建字符串值，重命名为 TcpMaxHalfOpenRetried，双击修改数值数据为

400。

备注

1. 指定触发 SYN 洪水攻击保护所必须超过的 TCP 链接请求数的阀值为 5；

2. 指定系统拒绝的链接请求数的阈值为 500；

3. 指定 TCP 的半链接数的阈值为 400。

2.2防火墙功能

（开启防火墙会影响业务通信，开启前先联系厂家）

2.2.1 开启防火墙功能

加固说明：打开系统自带防火墙，减少被网络攻击的风险。

操做步骤：

1.按下 +R，输入框中输入 Firewall.cpl；

2.点击启用 Windows 防火墙。

 

 

2.2.2 防火墙配置访问控制规则

加固说明：端口禁止开放：TCP21，TCP23，TCP/UDP135，TCP/UDP137，TCP/UDP138，

TCP/UDP139，TCP/UDP445。

端口应限制访问 IP：TCP3389。

操做步骤：

(1)按下win+R，输入框中输入 Firewall.cpl，进入"Windows 防火墙—>例外"

(2)选择协议和端口；

 

 2.2.3 关闭系统非法端口

（关闭端口：TCP21，TCP23，TCP/UDP135，TCP/UDP137，TCP/UDP138， TCP/UDP139，TCP/UDP445。

端口应限制访问 IP：TCP3389）

关闭135端口

(1) 单击 “开始”——“运行”，输入“dcomcnfg”，单击“肯定”，打开组件服务。

 

 

(2) 在弹出的“组件服务”对话框中，选择“计算机”选项。

 

(3) 点击“计算机”，右键单击“个人电脑”，选择“属性”，在出现的“个人电脑

属性”对话框“默认属性”选项卡中，去掉“在此计算机上启用分布式COM”前的勾。

 

 

(4) 选择“默认协议”选项卡，选中“面向链接的TCP/IP”，单击“移除”按钮。

 

 单击“肯定”按钮，设置完成，从新启动系统后便可关闭135端口

关闭端口 13七、13八、139

 

(1) 在控制面板选择“网络链接”，选择“本地链接”打开。

(2) 单击“属性”按钮。

 

 

(3) 在出现的“本地链接属性”对话框中，选择“Internet协议（TCP/IP）”，双击打开

(4) 在出现的“Internet协议（TCP/IP）属性”对话框中，单击“高级”按钮。

 

(5) 在出现的“高级TCP/IP设置”对话框中，选择“WINS”选项卡。在“WINS”选项卡，“NetBIOS

设置”下，选择“禁用TCP/IP上的” NetBIOS

 

 单击“肯定”，从新启动后便可关闭139端口。

关闭 445端口

(1) 单击“开始”——“运行”，输入“regedit”，回车，打开注册表。

(2) 找到注册表项“HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\Parameters”。

 

(3) 选择“Parameters”项，右键单击，选择“新建”——“DWORD值”。

(4) 将DWORD值命名为“SMBDeviceEnabled”，右键单击“SMBDeviceEnabled”值，选择“修改”

(5) 在出现的“编辑DWORD值”对话框中，在“数值数据”下，输入“0”，单击“肯定”按钮，完成设置。

 

 

3. 接入管理

3.1外设接口

3.1.1 禁用大容量存储介质（USB 存储设备）

（禁用 USB 存储设备，防止利用 USB 接口非法接入。）

1.按下win+R，在输入框输入 regedit，打开注册表编辑器；

2.进入 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR；

3.双击右侧注册表中的“Start”项，修改值为 4。

3.2自动播放

3.2.1 关闭自动播放功能

（关闭移动存储介质或光驱的自动播放或自动打开功能，防止恶意程序经过 U 盘或光盘等移动存储介质感染主机系统。）

1.按下win+R，输入框中输入 gpedit.msc，进入“本地组策略编辑器”；

2.配置关闭自动播放策略：

（1） 进入“计算机配置->管理模板->系统”；

（2） 在窗口右下角有个“标准”窗格中，双击“关闭自动播放”，选择“已启用”；

（3） 在“选项”中，选择“全部驱动器”，点击肯定。

 

 

3.3远程登陆

3.3.1 关闭远程主机 RDP 服务

（处于网络边界的主机 RDP 服务应处于关闭状态，有远程登陆需求时可由管理员临

时开启，避免非法用户利用 RDP 服务漏洞进行攻击。）

（1） 右击“个人电脑”，选择“属性”，点击“远程”选项卡；

（2） 取消勾选“启用这台计算机上的远程桌面”和“启用远程协助并容许这台计算机发送邀请”，点击肯定。

 

 

3.3.2 限制远程登陆的 IP（若是以关闭远程桌面，无需进行该操做）

（仅限于指定 IP 地址范围主机远程登陆，防止非法主机的远程访问。）

1.按下 +R，输入框输入 gpedit.msc，进入“本地组策略编辑器”；

2. 分别进入“计算机配置->管理模板->网络->网络链接->Windows 防火墙->域

配置文件”和“标准配置文件”，执行 三、4 步操做；

3. 双击“容许远程桌面例外”,选择“已启用”；

4. 填入容许远程登陆到本机的主机 IP 地址，并以逗号分隔，点击肯定。

 

 

3.3.3 禁止用户更改计算机名

1.按下win+R，输入框输入 gpedit.msc，打开“本地组策略编辑器”；

2. 进入“用户配置->管理模板->桌面”；

3. 双击“从‘个人电脑’上下文菜单中删除属性”，设置为“已

启用”，点击肯定。

 

 

3.3.4 主机间登陆禁止使用公钥验证

（禁止凭据管理器保存经过域身份验证的密码和凭据，避免用户信息泄露。）

1. 进入“控制面板->管理工具->本地安全策略->本地策略->安全选项”；

2. 双击“网络访问，不容许存储网络身份验证的凭据或.NET Passports”，选择“已启

用”，点击肯定。

3.4 外部链接管理

3.4.1 禁止使用无线设备

1.核实是否存在无线网卡，若存在，请执行如下操做并拔出网卡设备；

2.按下win+R，在输入框输入 devmgmt.msc，进入“设备管理器”；

3.选择网络适配器，找到无线网卡、蓝牙无线收发适配器设备名称；

4.右击该设备，选择“禁用”，点击“是”。

4. 日志与审计

4.1日志与审计

4.1.1 配置日志策略

（配置系统日志策略配置文件，对系统登陆、访问等行为进行审计，为后续问题追

溯提供依据。）

1.按下 +R，输入框输入 gpedit.msc，进入“本地组策略编辑器”；

2.进入“计算机配置->Windows 设置->安全设置->本地策略->审核策略”；

 

 

3 对审核策略进行以下设置：

审核帐户登陆事件：成功，失败;

审核帐户管理：成功，失败;

审核目录服务访问：失败;

审核登陆事件：成功，失败;

审核对象访问：成功，失败;

审核策略更改：成功，失败;

审核特权使用：失败;

审核过程追踪：无审核;

审核系统事件：成功，失败;

4.设置完成后，点击肯定。

 

 

4.1.2 配置日志文件大小

（设置日志文件大小限值，为审计日志数据分配合理的存储空间或存储时间。）

1. 进入事件查看器的日志配置

按下 +R，输入框输入 eventvwr，进入

进入“控制面板->管理工具->事件查看器->Windows 日志”；

2.依次右击“应用程序”、“安全性”、“系统”、“转发事件”，选择“属性->常规”，设置“日志大小上限”为 10240KB；  设置 “达到日志大小上限时->改写为 180 天；

 

 

4.1.3 禁止普通用户修改审计策略

（ 设置合适的用户权限策略，禁止普通用户修改和删除日志配置。）

将审计策略修改权限仅赋予审计管理员,操做步骤参考

1.1.1 用户权限策略配置。

 

5. 恶意代码防范

5.1防病毒软件

5.1.1 安装防病毒软件

（安装防病毒软件,防止恶意代码的攻击。）

1. 安装防病毒软件；

2. 关闭【发现病毒自动处理功能】，

3. 当查到病毒是先查看该文件是否为重要业务中的，若是是业务中的则添加到白

名单；

4. 若是误杀了业务软件，先不要着急卸载杀毒软件，应该先找到被误杀的软件进

行恢复。

5. 使用离线安装包将病毒库更新至最新；

6. 后期按期升级杀毒软件和病毒库。

 

5.2数据执行保护

5.2.1 数据执行保护（DEP）

（对 Windows 操做系统程序和服务启用系统自带 DEP 功能(数据执行保护)，防止

在受保护内存位置运行恶意代码。）

1. 找到桌面的”个人电脑“或者开始---全部程序-- 个人电脑图标，右键 属性

2.出现系统属性对话框中，找到”设置”选项卡

 

 

 

3.出现的 设置菜单中，找到”数据执行保护“ 以下图会出现当前系统可能有影响的程序

 

 

 

4.选择”经为基本的windows程序和服务启用DEP功能“，而后点击应用便可关闭