windows服务器的基线安全(等保要求参考)
下图是需要做基线配置的选项
备注:具体都已经贴出来了,按照这个参考可以达标合格,有部分需要人工现场核实确认,这个要根据具体环境进行操作。
1、防火墙TCP\IP筛选配置
1.进入“控制面板”->“网络连接”->“本地连接”; 2.进入“Internet协议(TCP/IP)->属性”->“高级->TCP/IP设置”; 3.在“选项”的属性中启用网络连接上的TCP/IP筛选,只开放业务所需要的TCP,UDP端口和IP协议。
2、是否启用Windows系统自带的自带防火墙
1.进入“控制面板”->“网络连接”->“本地连接”; 2.在高级选项的设置中启用Windows防火墙,在“例外”中配置允许业务所需的程序接入网络。 3.在“例外”->“编辑”->“更改范围”编辑允许接入的网络地址范围。
3、是否启用SYN攻击保护
1.打开cmd窗口,输入regedit”启用 SYN 攻击保护的命名值位于注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 之下,添加以下几个键值: (1)SynAttackProtect.推荐值:1.类型为:REG_DWORD。 (此数据的有效值为0-2)。 (2)TcpMaxPortsExhausted.推荐值:5.类型为:REG_DWORD。(此数据的有效值为在0-ffff(16进制)。 (3)TcpMaxHalfOpen.推荐值:500.类型为:REG_DWORD。(此数据的有效值为在64-ffff(16进制)。 (4)TcpMaxHalfOpenRetried.推荐值:400.类型为:REG_DWORD。(此数据的有效值为在50-ffff(16进制)。
4、是否开启屏幕保护
1.进入“控制面板”->“显示”->“屏幕保护程序”; 2.启用屏幕保护程序,设置等待时间为“5分钟”,启用“在恢复时使用密码保护”。 注:不同版本系统操作略有不同
5、查看注册表信息
1.点击“开始”->“运行”,然后在打开行里输入“regedit”,然后单击确定; 2.依次查看如下注册表项并设置键值 自动登录: HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\AutoAdminLogon (REG_DWORD) 0 源路由欺骗保护: HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting (REG_DWORD) 2 删除匿名用户空链接: HKEY_LOCAL_MACHINE\SYSTEM\Current\Control\Set\Control\Lsa 将 restrictanonymous 的值设置为 1,若该值不存在,可以自己创建,类型为 REG_DWORD修改完成后重新启动系统生效 碎片攻击保护: HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscovery (REG_DWORD) 1 Syn flood攻击保护: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services之下,可设置: TcpMaxPortsExhausted 推荐值:5, TcpMaxHalfOpen 推荐值数据:500, TcpMaxHalfOpenRetried 推荐值数据:400。
CU_OS_Windows_B_5.1.30 是否关闭windows自动播放功能 自动 1
CU_OS_Windows_B_5.1.31 匿名远程连接 自动 1
CU_OS_Windows_B_5.1.32 是否禁用可远程访问的注册表路径和子路径 自动 1
口令 CU_OS_Windows_B_5.1.4 查看密码要求 自动 1
CU_OS_Windows_B_5.1.5 查看密码最长保留期 自动 1
CU_OS_Windows_B_5.1.6 查看强制密码历史 自动 1
CU_OS_Windows_B_5.1.7 查看账户锁定阈值 自动 1
启动项 CU_OS_Windows_B_5.1.21 是否关闭无效启动项 手动 1
授权 CU_OS_Windows_B_5.1.10 在本地安全设置中只允许授权帐号本地、远程访问登陆此计算机 自动 1
CU_OS_Windows_B_5.1.34 关键权限指派安全 要求允许本地登录 自动 1
CU_OS_Windows_B_5.1.8 远端系统强制关机是否只指派给Administrators组 自动 1
CU_OS_Windows_B_5.1.9 取得文件或其它对象的所有权是否仅指派给Administrators 自动 1
文件系统 CU_OS_Windows_B_5.1.17 是否关闭系统默认的共享文件夹 自动 1
CU_OS_Windows_B_5.1.23 查看共享文件夹的访问权限 自动 1
CU_OS_Windows_B_5.1.24 查看文件系统格式 自动 1
日志 CU_OS_Windows_B_5.1.11 审核帐户登录事件 自动 1
CU_OS_Windows_B_5.1.12_1 启用审核帐户管理 自动 1
CU_OS_Windows_B_5.1.12_2 启用审核过程追踪 自动 1
CU_OS_Windows_B_5.1.12_4 启用审核目录服务访问 自动 1
CU_OS_Windows_B_5.1.12_6 启用审核策略更改 自动 1
CU_OS_Windows_B_5.1.12_7 启用审核对象访问 自动 1
CU_OS_Windows_B_5.1.12_8 审核登录事件 自动 1
CU_OS_Windows_B_5.1.13 查看日志容量和覆盖规则 自动 1
服务和端口 CU_OS_Windows_B_5.1.20_1 禁止Alerter服务(仅用于XP系统下) 自动 1
CU_OS_Windows_B_5.1.20_10 禁止SimpleMailTrasferProtocol服务 自动 1
CU_OS_Windows_B_5.1.20_11 禁止SNMPService服务 自动 1
CU_OS_Windows_B_5.1.20_12 禁止SNMPTrap服务 自动 1
CU_OS_Windows_B_5.1.20_2 禁用TELNET服务 自动 1
CU_OS_Windows_B_5.1.20_3 禁止ComputerBrowser服务 自动 1
CU_OS_Windows_B_5.1.20_4 禁止Messenger服务(仅用于XP系统下) 自动 1
CU_OS_Windows_B_5.1.20_5 禁止RemoteRegistry服务 自动 1
CU_OS_Windows_B_5.1.20_6 禁止PrintSpooler服务 自动 1
CU_OS_Windows_B_5.1.20_8 禁止TerminalService服务 自动 1
CU_OS_Windows_B_5.1.20_9 禁止WorldWideWebPublishing服务 自动 1
CU_OS_Windows_B_5.1.22 对互联网开放Windows Terminial服务端口号 自动 1
网络访问 CU_OS_Windows_B_5.1.25 查看远程登录不活动连接时间 自动 1
CU_OS_Windows_B_5.1.29 SNMP安全设置 自动 1
补丁 CU_OS_Windows_B_5.1.18 Windows自动更新配置为“自动下载并安装 自动 1
CU_OS_Windows_B_5.1.27 查看是否安装最新补丁集 手动 1
账号 CU_OS_Windows_B_5.1.1 不同的用户分配不同的账号,避免不同用户间共享账号。查看设定不同的账户和账户组 自动 1
CU_OS_Windows_B_5.1.12_3 启用审核系统事件 自动 1
CU_OS_Windows_B_5.1.12_5 启用审核特权使用 自动 1
CU_OS_Windows_B_5.1.2 查看所有账号,删除无关账号 手动 1
CU_OS_Windows_B_5.1.3 查看管理员账号与guest账号 自动 1
CU_OS_Windows_B_5.1.33 本地系统强制关机是否只指派给Administrators组 自动 1
防病毒软件 CU_OS_Windows_B_5.1.28 查看是否安装防病毒软件
