windows20xx加固手册

windows20xx加固手册内容摘要：

安全加固内容 客户环境调查 边界及物理安全 升级与补丁 操作系统加固 IIS 加固 其他 安全配置 3 客户信息调查 客户网络环境（如：服务器前有没有 fw，有些什么服务器） 硬件信息 操作系统信息（版本，补丁情况） IIS 的版本 主机是否在一个 windows 域里 是否使用数据库，什么数据库 是否需要远程管理 是否需要终端访问服务 4 边界及物理安全 设置边界防火墙只允许访问服务器的必要端口；部署防御 DoS 的功能；阻止服务器 发出的主动连接 设置 BIOS 密码 在 BIOS 里设置系统只能从硬盘启动，不允许从软盘和 CDROM 启动 至少创建两个 NTFS 分区，一个用来存放系统文件（ C 盘），一个用来存放数据（如 E 盘） 卸载不需要的组网协议 5 升级与补丁 大企业，带 SUS（软件升级服务）包的 SMS（系统管理服务器），微软出品 北京思科蓝通信设备有限公司 Windows 2020 安全加固手册 版权所有，违者必究 第 6 页，共 10 页 中小企业， SUS 的独立版本 个人用户， MBSA （微软基准安全分析器）； Reskit 工具包里的 srvinfo 第三方工具， Shavlik 公司的 HFNetChk Pro 6 操作系统加固 帐号安全 及策略 删除各类共享 审计 服务最小化 防 DoS 设置 配置 IPSec 过滤器 帐号安全 及策略 密码策略 密码必须符合复杂性要求：启用 密码长度最小值： 8 个字符 密码最长存留期： 70 天 密码最短存留期： 30 天 强制密码历史： 3 个记住的密码 帐户锁定阀值： 5 次无效登陆 帐户锁定时间： 15 分钟 复位帐户锁定计数器： 15 分钟之后 Guest 及 administrator 帐号管理 给 guest 帐号设置一个足够复杂的密码； 将 guest 帐号改名，并且禁用 guest 帐号； 禁止 Guest 帐号本地登录和网络登录的权限。 （打开“本地安全策略” “本地策略” “用户权利指派”，在“拒绝本地登陆”和“拒绝从网络访问这台计算机”中添加 guest 帐号） 为 administrator 改名，尽可能隐藏信息，防止口令猜测等攻击。 其他相关策略 删除无用帐户，尽可能减少系统安全隐患； 隐藏控制台上次登陆用户名 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\winlogon 键值： DontDisplayLastUserName 类型： GEG_SZ 值： 1 从通过网络访问此计算机中删除 Everyone 组。 在用户权利指派下，从通过网络访问此计算机中删除 Power Users 和 Backup Operators。 为交互登录启动消息文本。 启用 不允许匿名访问 SAM 帐号和共享。 北京思科蓝通信设备有限公司 Windows 2020 安全加固手册 版权所有，违者必究 第 7 页，共 10 页 启用 不允许为网络验证存储凭据或 Passport。 启用 在下一次密码变更时不存储 LANMAN 哈希值。 启用 清除虚拟内存页面文件。 禁止 IIS 匿名用户在本地登录。 (用户权限指派 〉拒绝本地登录 〉添加 IUSER_XXX) 启用 交互登录 :不显示上次的用户名。 从文件共享中删除允许匿名登录的 DFS$和 COMCFG。 禁用活动桌面 删除各类共享 关闭 NetBIOS 网络和拨号连接 本地连接属性 Inter 协议 属性 高级 选项 Wins 里选中“禁用 tcp/ip 上的 bios” 确定生效后， TCP139 UDP 137 138 将被关闭。 网络和拨号连接 本地。