windows主机安全配置手册

windows主机安全配置手册内容摘要：

\winreg\AllowPaths\winreg Name AllowPaths Type REG_DWORD Value 1 Hive Key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Hive Key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce Hive Key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunOnceEx Hive Key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\ CurrentVersion\AeDebug Hive Key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\ CurrentVersion\WinLogon 德信诚 培训网 更多免费资料下载请进： 好好学习社区 Type REG_SZ Value 1 操作结果： 通过注册表项增强服务安全，不会对系统造成任何不良的影响。 schedule服务 编号： 3015 名称： 停止 schedule 服务 重要等级： 中 基本信息：  WINDOWS 的 Schedule 服务可以帮助系统管理员设计一个在某个时间执行的批任务。 由于 Schedule 服务通常在系统帐号下执行，它可以修改帐号的权限。 这就意味着入侵者可以修改 Schedule 配置并放入一个 TROJAN 木马程序来修改网络的访问权限。 检测内容： 察看是否禁止 SCHEDULE 服务。 建议操作：  打开控制面板；  选择任务计划；  删除已有任务计划；  点击高级菜单 停用任务计划程序； 操作结果：  停止 schedule 服务，不会对系统造成任何不良的影响； 德信诚 培训网 更多免费资料下载请进： 好好学习社区  该操作不影响应 用程序自定义计划执行；  如有调用系统 schedule 服务的应用，请慎重操作； 编号： 3016 名称： 根据情况停掉不必要的服务和组件 重要等级： 中 基本信息：  WindowsNT/2020 服务器在默认安装情况下会安装上大量的服务和组件，从服务器安全角度来考虑，结合用户应用，很多服务和组件都是没有必要开启而且容易造成安全隐患的，可根据实际情况关闭或卸载。 检测内容：  常用的服务和组件：证书服务、群集服务、索引服务、 IIS、管理和监视工具、消息排队服务、 网络、连接服务（ DNS,WINS 等）、远程安装服务、远程存储服务、脚本调试器、终端服务和终端、许可程序、媒体服务、 IE 中禁止运行 ActiveX,JavaApplets，Cookies 写入权限等  服务说明请参考“控制面板 管理工具 服务”中的描述 建议操作：  请单击“控制面板”中的“管理工具”，然后根据具体要求，选择启用或禁用服务和组件。 操作结果： 根据情况停掉不必要的服务和组件，将会对影响系统提供相应服务。 德信诚 培训网 更多免费资料下载请进： 好好学习社区 SNMP 服务安全策略 编号： 3017 名称： 限制对 SNMP 的访问 重要 等级： 中 基本信息： 开启 SNMP 服务会导致信息泄漏的安全问题，对没有必要网管的设备建议关闭该服务。 对于必须开放该服务的主机，需要在网关设备上限制对 SNMP 的访问，同时，监视是否有猜测 SNMP 口令的行为。 在主机上需要遵守下面的安全策略。 检测内容： 通过控制面板 |管理工具 |服务察看 munity 字符串是否为 public，和检查是否限制可以访问 SNMP 服务的主机。 建议操作：  打开控制面板 管理工具 服务  察看 SNMP 服务的属性，在 Security 标签下，增加可以访问本机 SNMP 服务的主机的IP地址，同时，修改具有读取权限和写入权限的缺省字符串。 操作结果：  如果修改了字符串需要在相应的网管设备在修改配置，以保证可以对该设备进行正常的网管 安全设置优化 描述：在 Windows 中，存储关于计算机配置信息的数据库，优化配置提高安全性。 德信诚 培训网 更多免费资料下载请进： 好好学习社区 编号： 3018 名称： 隐含最后登陆用户名 重要等级： 中 基本信息： Windows NT/2020 在缺省情况下最后登陆的用户名，使得攻击者可以猜测系统内的用户信息。 检测内容： 注销当前用户查看登陆界面上是 否显示上次登陆用户。 建议操作：  Win2020 系统：启用“本地安全策略 |本地策略 |安全选项 |屏幕上不显示上次登陆的用户名”  windowsNT：  打开注册表管理器 regedit  打开 HKEY_LOCAL_MACHINE/SOFTWARE/MICROSOFT/Windows NT/Current Version/Winlogon  清空“ DefaultDomainName”和“ DefaultUserName”键值 操作结果： 隐含最后登陆用户名不会对系统造成任何不良的影响。 条警示信息 编号： 3019 名称： 登陆前显示一条警示信息 重要等级： 中 德信诚 培训网 更多免费资料下载请进： 好好学习社区 基本信息： 利用此项功能可以在登陆前提示一些警示信息或注意事项，以保持系统的正常安全运行。 同时防止用户对远程终端服务口令进行自动化的脚本猜测。 检测内容： 注销当前用户查看登陆界面上是否显示登陆警告信息。 建议操作：  Win2020：设置“本地安全策略 |本地策略 |安全选项 |用户试图登录时消息文字”  WinNT：  打开注册表管理器 regedit  HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WindowsNT\Current Version\Winlogon\  修改“ LegalNoticeCaption”键值为警告信息。 操作结果： 登陆前显示一条警示信息不会对系统造成任何不良的影响。 编号： 3020 名称： 从登陆对话框中删除关机按钮 重要等级： 高 基本信息： 如果在登陆界面上出现 “ 关机 ” 按钮的话，所有能够接触到该主机的用户都可以关闭机器，这是及其危险的，因此建议在登陆界面上删除 “ 关机 ” 按钮。 德信诚 培训网 更多免费资料下载请进： 好好学习社区 检测内容： 注销当前用户查看登陆界面 上是否显示有关机按钮。 建议操作：  Win2020：停用“本地安全策略 |本地策略 |安全选项 |允许为登录前关机”  WinNT：  打开注册表管理器 regedit  HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WindowsNT\Current Version\Winlogon\  修改“ ShutdownWithoutLogon”键值为 0。  注销用户 操作结果： 从登陆对话框中删除关机按钮 不会对系统造成任何不良的影响。 编号： 3021 名称 ： 阻止未授权访问注册表 重要等级： 高 基本信息： 注册表编辑器支持远程 Windows NT 注册表访问。 禁止远程注册表访问。 检测内容： 德信诚 培训网 更多免费资料下载请进： 好好学习社区 检测注册表 Hive HKEY_LOCAL_MACHINE\SYSTEM Key \CurrentControlSet\Control\SecurePipeServers Name \winreg 在该键值中设置的安全权限定义哪些用户或组可以连接到系统以便对注册表进行远程访问。 默认的 Windows NT Workstation 安装未定义该键值，不限制对注册表的远程访问。 Windows NT Server 只 允 许 管 理 员 远 程 访 问 绝 大 多 数 注 册 表。 在KEY_LOCAL_MACHINE\System\CurrentControlSet\Contro\SecurePipeServers \winreg\AllowedPaths 键值中指定义了某些允许非管理员访问的路径 关闭远程用户修改此计算机上的注册表设置，只有此计算机上的用户才能修改注册表。 建议操作： 1. 添加上述注册表键值，限制对远程注册表的访问。 2. 在控制面板 |管理工具 |服 务里停止或禁用 Remote Registry 服务。 （ windows2020默认打开） 操作结果： 上述设置限制了对注册表的远程访问，不会对系统造成任何不良的影响。 德信诚 培训网 更多免费资料下载请进： 好好学习社区 编号： 3022 名称： 对关键注册表项进行访问控制 重要等级： 高 基本信息： 应在限定用户对注册表访问权限后，对一些关键的注册表项应该严格访问控制并进行严密监视，防止它们被攻击者用于启动 trojan 木马程序。 检测内容： 检测注册表下面的内容： 注册表路径： HKEY_Local Machine\SOFTWARE\Microsoft\Widows\CurrentVersion\ 键名 缺省权限 能启动代码执行的值 Run Everyone 设置值 任意 RunOnce Server Operators 设置值 任意 RunOnceEx Everyone 设置值 任意 AeDebug Everyone 设置值 Debugger Winlogon Server Operators 设置值 Userinit 建议操作： 注册表路径： HKEY_Local Machine\SOFTWARE\Microsoft\Widows\CurrentVersion\ 对其默认的属性进行修改，推荐值为： 德信诚 培训网 更多免费资料下载请进： 好好学习社区 键名 缺省权限 能启动代码执行的值 Run Everyone 设置值 任意 RunOnce Server Operators 设置值 任意 RunOnceEx Everyone 设置值 任意 AeDebug Everyone 设置值 Debugger Winlogon Server Operators 设置值 Userinit  Creator Owner Full Control  Administrator Full Control  System Full Control  Everyone Read 操作结果： 对所有重要的注册表项进行访问控制限制，不会对系统造成任何不良的影响。 描述：调整 Windows 系统 TCP/IP 协议参数的设置，可以提高 windows 抵抗拒绝服务攻击的能力，同时可以防止利用网络配置的“跳板式”攻击。 TCP/IP，抵抗 DoS攻击 编号： 3023 名称： 优化 TCP/IP 参数，抵抗拒绝服务 重要等级： 高 德信诚 培训网 更多免费资料下载请进： 好好学习社区 （ DOS）攻击 基本信息： Windows 主机系统可以通过调整 TCP/IP 参数来提高系统抵抗 Dos 攻击的能力，但是，发生 Dos 攻击时，通过在网络设备上进行包过滤将是一个更有效的策略。 检测内容： 检测以下注册表的键值 建议操作： 将 “ 检测内容 ” 中的注册表键值，添加、更改为下面的推荐设置：  SynAttackProtect（在 windows 200 professional 未发现这个键值，是否需要创建。  类型： REG_DWORD  推荐值： 2  描述：使 TCP/IP 调整 SYNACKS 的 重传。 当出现 SYNATTACK 迹象时，使连接对超时的响应更快。 键值设为 2， Socket 的以下选项不再工作：  可伸缩窗口（ RFC1323）  单个适配器的 TCP 参数（初始。