资源描述
《信息安全加固手册》
longjilongjilongjilongji
密 级:内部
信息安全加固手册
WINDOWS系统
Ver:1.0
二零零五年四月
文档修改记录
修改日期
修改人
修改说明
版本号
2006-07-29
V1.0
1 补丁类 4
1.1 最新的Service Pack 4
1.2 最新的Hotfixs 4
2 端口服务类 5
2.1 禁止alert服务 5
2.2 禁止Messenger服务 6
2.3 禁止Telnet服务 6
3系统参数类 7
3.1禁止自动登录 7
3.2禁止在蓝屏后自动启动机器 8
3.4 3.5防止计算机浏览器欺骗攻击 8
4网络参数类 9
4.1防止碎片包攻击 9
5用户管理、访问控制、审计功能类 10
5.1验证Passwd强度 10
5.2密码长度 11
5.3密码使用时间 12
5.4账号登录事件审计 13
5.5账号管理审计 15
5.6目录服务访问审计 16
5.7登录事件审计 18
5.8对象访问审计 19
5.9策略更改审计 21
5.10特权使用审计 22
5.11进程跟踪审计 24
5.12系统事件审计 25
5.13失败登录账号锁定 27
5.14失败登录账号锁定时间 28
5.15登录时间到期时自动退出登录 29
5.17不显示上次登录的用户名 30
5.18防止系统保持计算机账号和口令 31
5.19防止用户安装打印机驱动程序 32
5.20恢复控制台禁止管理员自动登录 33
3 防病毒 35
3.1 安装防病毒软件及其更新 35
1 补丁类
1.1 最新的Service Pack
风险描述
是否已经安装了最新的Service Pack
风险等级
风险高
加固建议
从微软的更新网站上下载最新的补丁进行安装
加固存在的风险
需要重启系统
加固风险规避方法
加固成果
升级后能避免攻击者利用微软已公布的漏洞进行攻击
加固具体方法
WindowsSP补丁(如WIN2000的SP3)包可以用介质升级;
最好选择可以恢复系统的安装方式
新烟集团意见
新烟集团管理员对本条风险加固的意见:
l 同意
l 需要修改(描述修改的意见)
l 不同意(描述不同意的原因)
l 签名(签字确认)
厂商意见
厂商维护人员对本条风险加固的意见:
l 同意
l 需要修改(描述修改的意见)
l 不同意(描述不同意的原因)
l 签名(签字确认)
1.2 最新的Hotfixs
风险描述
是否已经安装了最新的Hotfixs
风险等级
风险高
加固建议
从微软的更新网站上下载最新的补丁进行安装
加固存在的风险
可能需要重新启动系统
加固风险规避方法
加固成果
升级后能避免攻击者利用微软已公布的漏洞进行攻击
加固具体方法
WIN2000的HOTFIX可以直接点击开始菜单的Windows Update,直接到 升级,最好选择可以恢复系统的安装方式
新烟集团意见
新烟集团管理员对本条风险加固的意见:
l 同意
l 需要修改(描述修改的意见)
l 不同意(描述不同意的原因)
l 签名(签字确认)
厂商意见
厂商维护人员对本条风险加固的意见:
l 同意
l 需要修改(描述修改的意见)
l 不同意(描述不同意的原因)
l 签名(签字确认)
2 端口服务类
2.1 禁止alert服务
风险描述
通知所选用户和计算机有关系统管理级警报。
风险等级
风险低
加固建议
将alert服务停止或者禁用
加固存在的风险
加固成果
加固具体方法
1、打开 控制面板->管理工具->服务窗口
2、查看alert服务是否已启动
3、将服务停止,将其启动类型由“自动”改为“手动”或者“禁用”。
新烟集团意见
新烟集团管理员对本条风险加固的意见:
l 同意
l 需要修改(描述修改的意见)
l 不同意(描述不同意的原因)
l 签名(签字确认)
厂商意见
厂商维护人员对本条风险加固的意见:
l 同意
l 需要修改(描述修改的意见)
l 不同意(描述不同意的原因)
l 签名(签字确认)
2.2 禁止Messenger服务
风险描述
用于把Alerter服务器的消息发送给网络上的其它机器
风险等级
风险低
加固建议
将Messenger服务停止或者禁用
加固存在的风险
加固成果
不会把Alerter服务器的消息发送给网络上的其它机器
加固具体方法
1、打开 控制面板->管理工具->服务窗口
2、查看Messenger服务是否已启动
3、将服务停止,将其启动类型由“自动”改为“手动”或者“禁用”。
新烟集团意见
新烟集团管理员对本条风险加固的意见:
l 同意
l 需要修改(描述修改的意见)
l 不同意(描述不同意的原因)
l 签名(签字确认)
厂商意见
厂商维护人员对本条风险加固的意见:
l 同意
l 需要修改(描述修改的意见)
l 不同意(描述不同意的原因)
l 签名(签字确认)
2.3 禁止Telnet服务
风险描述
该服务在缺省时被安装.用于基于命令行方式的远程管理, 但是该协议在网络上一明文传输数据.
风险等级
风险高
加固建议
将Telnet服务停止或者禁用,如果需要进行命令行方式的远程管理, 建议使用SSH来作为替代
加固存在的风险
加固成果
避免入侵者通过监控Telnet协议端口获得敏感信息
加固具体方法
1、打开 控制面板->管理工具->服务窗口
2、查看Telnet服务是否已启动
3、将服务停止,将其启动类型由“自动”改为“手动”或者“禁用”。
新烟集团意见
新烟集团管理员对本条风险加固的意见:
l 同意
l 需要修改(描述修改的意见)
l 不同意(描述不同意的原因)
l 签名(签字确认)
厂商意见
厂商维护人员对本条风险加固的意见:
l 同意
l 需要修改(描述修改的意见)
l 不同意(描述不同意的原因)
l 签名(签字确认)
3系统参数类
3.1禁止自动登录
风险描述
自动登录会把用户名和口令以明文的形式保存在注册表中,因此需要禁止自动登录
风险等级
风险高
加固建议
修改注册表相关键值来禁止自动登录
加固存在的风险
加固风险规避方法
加固成果
禁止了系统自动登录,避免其它用户从注册表中获得其它用户及其口令
加固具体方法
1、运行中输入regedit
2、修改键值HKLM\Software\Microsoft\Windows NT\ CurrentVersion\Winlogon\AutoAdminLogon 为(REG_DWORD) 0
新烟集团意见
新烟集团管理员对本条风险加固的意见:
同意
需要修改(描述修改的意见)
不同意(描述不同意的原因)
签名(签字确认)
厂商意见
厂商维护人员对本条风险加固的意见:
同意
需要修改(描述修改的意见)
不同意(描述不同意的原因)
签名(签字确认)
3.2禁止在蓝屏后自动启动机器
风险描述
防止有恶意用户故意制造程序错误来重起机器以进行某些操作
风险等级
风险低
加固建议
修改注册表相关键值来禁止在蓝屏后自动启动机器
加固存在的风险
加固风险规避方法
加固成果
用户在输入口令时都会用星号遮掩
加固具体方法
1、运行中输入regedit
2、修改键值HKLM\System\ CurrentControlSet\Control\CrashControl\AutoReboot 为(REG_DWORD) 0
新烟集团意见
新烟集团管理员对本条风险加固的意见:
同意
需要修改(描述修改的意见)
不同意(描述不同意的原因)
签名(签字确认)
厂商意见
厂商维护人员对本条风险加固的意见:
同意
需要修改(描述修改的意见)
不同意(描述不同意的原因)
签名(签字确认)
3.4 3.5防止计算机浏览器欺骗攻击
风险描述
虽然建议终端用户关闭他们的计算机浏览服务,但是也可能不是每个用户都会去执行.该注册表选项在计算机浏览服务被允许时提供对该服务弱点的保护.更详细的信息可以在
风险等级
风险中
加固建议
修改注册表相关键值来防止计算机浏览器欺骗攻击
加固存在的风险
加固风险规避方法
加固成果
防止计算机浏览器欺骗攻击
加固具体方法
1、运行中输入regedit
2、修改键值HKLM\System\ CurrentControlSet\Services\MrxSmb\Parameters\RefuseReset 为(REG_DWORD) 1
新烟集团意见
新烟集团管理员对本条风险加固的意见:
同意
需要修改(描述修改的意见)
不同意(描述不同意的原因)
签名(签字确认)
厂商意见
厂商维护人员对本条风险加固的意见:
同意
需要修改(描述修改的意见)
不同意(描述不同意的原因)
签名(签字确认)
4网络参数类
4.1防止碎片包攻击
风险描述
帮助防止碎片包攻击
风险等级
风险中
加固建议
修改注册表相关键值来帮助防止碎片包攻击
加固存在的风险
加固风险规避方法
加固成果
能帮助防止碎片包攻击
加固具体方法
1、运行中输入regedit
2、修改键值HKLM\System\CurrentControlSet\ Services\Tcpip\Parameters\EnablePMTUDiscovery 为(REG_DWORD) 1
新烟集团意见
新烟集团管理员对本条风险加固的意见:
同意
需要修改(描述修改的意见)
不同意(描述不同意的原因)
签名(签字确认)
厂商意见
厂商维护人员对本条风险加固的意见:
同意
需要修改(描述修改的意见)
不同意(描述不同意的原因)
签名(签字确认)
5用户管理、访问控制、审计功能类
5.1验证Passwd强度
风险描述
验证系统已经存在的Passwd强度
风险等级
风险高
加固建议
核查具有空口令的用户和弱密码的用户,passwd强度来增强系统安全性
加固存在的风险
可能造成某些其他系统来使用弱口令登陆本系统用户来做同步备份或操作的脚本失效
加固风险规避方法
加固成果
增强用户密码的强度,大大降低用户密码被猜解的可能性
加固具体方法
验证系统口令强度,对弱口令的用户重新做口令加固。
新烟集团意见
新烟集团管理员对本条风险加固的意见:
同意
需要修改(描述修改的意见)
不同意(描述不同意的原因)
签名(签字确认)
厂商意见
厂商维护人员对本条风险加固的意见:
同意
需要修改(描述修改的意见)
不同意(描述不同意的原因)
签名(签字确认)
5.2密码长度
风险描述
密码长度太短会造成很容易被猜解
风险等级
l 风险中
加固建议
设定密码最低长度将能很好增强系统密码安全性
加固存在的风险
加固风险规避方法
加固成果
加固后能增强用户口令保护强度
加固具体方法
l WIN2000系统,
1. 运行secpol.msc命令
2. 打开“本地安全设置”对话框,依次展开“帐户策略-密码策略”
3. 查看是否具有设置
4. 密码策略,密码长度大于8位、必须启用密码复杂性要求;
l WINNT系统
没有密码策略,提高安全意识,设置合理口令。
注意事项:
由于WINNT系统没有密码策略设置选项,管理员应重视手动增强WINNT系统的密码增强设置。
新烟集团意见
新烟集团管理员对本条风险加固的意见:
l 同意
l 需要修改(描述修改的意见)
l 不同意(描述不同意的原因)
l 签名(签字确认)
厂商意见
厂商维护人员对本条风险加固的意见:
l 同意
l 需要修改(描述修改的意见)
l 不同意(描述不同意的原因)
l 签名(签字确认)
5.3密码使用时间
风险描述
一个密码长时间使用会比较容易被猜解
风险等级
风险中
加固建议
设定密码最长使用时间将能很好增强系统密码安全性
加固存在的风险
加固风险规避方法
加固成果
加固后能增强用户口令保护强度
加固具体方法
WIN2000系统,
运行secpol.msc命令
打开“本地安全设置”对话框,依次展开“帐户策略-密码策略”
查看是否具有设置
密码策略,最短存留期大于5天、最长存留期小于90天
WINNT系统
没有密码策略,提高安全意识,设置合理口令。
注意事项:
由于WINNT系统没有密码策略设置选项,管理员应重视手动增强WINNT系统的密码增强设置。
新烟集团意见
新烟集团管理员对本条风险加固的意见:
l 同意
l 需要修改(描述修改的意见)
l 不同意(描述不同意的原因)
l 签名(签字确认)
厂商意见
厂商维护人员对本条风险加固的意见:
l 同意
l 需要修改(描述修改的意见)
l 不同意(描述不同意的原因)
l 签名(签字确认)
5.4账号登录事件审计
风险描述
修改账号登录事件审计
风险等级
风险低
加固建议
增强账号登录事件审计将能很好增强系统日志审核安全性
加固存在的风险
加固风险规避方法
加固成果
加固后能掌握更多日志信息便于系统安全审查
加固具体方法
l WIN2000系统
1、运行中输入secpol.msc命令
2、打开“本地安全设置”对话框,依次展开“本地策略-审核策略”,是否具有审核策略;
2、 修改审核策略如下:
审核帐户登录事件 成功, 失败
l WINNT系统
1、 点击“开始->程序->管理工具->事件查看器”,
2、 选择“查看”菜单是否为“所有事件”。
WINNT没有此设置项,查看时通过选择“筛选事件”可以使管理更加关注系统的异常行为,管理员要密切关注登录事件的失败记录、特权使用的失败记录以及其他异常行为等。例如C:\WINNT\system32目录的安全审计。
新烟集团意见
新烟集团管理员对本条风险加固的意见:
l 同意
l 需要修改(描述修改的意见)
l 不同意(描述不同意的原因)
l 签名(签字确认)
厂商意见
厂商维护人员对本条风险加固的意见:
l 同意
l 需要修改(描述修改的意见)
l 不同意(描述不同意的原因)
l 签名(签字确认)
5.5账号管理审计
风险描述
修改账号管理审计
风险等级
风险低
加固建议
增强账号管理审计将能很好增强系统日志审核安全性
加固存在的风险
加固风险规避方法
加固成果
可以跟踪账号的创建,改名,用户组的创建和改名,账号口令的更改等.加固后能掌握更多日志信息便于系统安全审查
加固具体方法
l WIN2000系统
1、运行中输入secpol.msc命令
2、打开“本地安全设置”对话框,依次展开“本地策略-审核策略”,是否具有审核策略;
3、 修改审核策略如下:
审核帐户管理 成功, 失败
l WINNT系统
1、 点击“开始->程序->管理工具->事件查看器”,
2、 选择“查看”菜单是否为“所有事件”。
WINNT没有此设置项,查看时通过选择“筛选事件”可以使管理更加关注系统的异常行为,管理员要密切关注登录事件的失败记录、特权使用的失败记录以及其他异常行为等。例如C:\WINNT\system32目录的安全审计。
新烟集团意见
新烟集团管理员对本条风险加固的意见:
l 同意
l 需要修改(描述修改的意见)
l 不同意(描述不同意的原因)
l 签名(签字确认)
厂商意见
厂商维护人员对本条风险加固的意见:
l 同意
l 需要修改(描述修改的意见)
l 不同意(描述不同意的原因)
l 签名(签字确认)
5.6目录服务访问审计
风险描述
修改目录服务访问审计
风险等级
风险低
加固建议
增强目录服务访问审计将能很好增强系统日志审核安全性
加固存在的风险
加固风险规避方法
加固成果
加固后能掌握更多日志信息便于系统安全审查
加固具体方法
(仅域控制器才需要审计目录服务访问)
l WIN2000系统
1、运行中输入secpol.msc命令
2、打开“本地安全设置”对话框,依次展开“本地策略-审核策略”,是否具有审核策略;
4、 修改审核策略如下:
审核目录服务访问 成功, 失败
l WINNT系统
1、 点击“开始->程序->管理工具->事件查看器”,
2、 选择“查看”菜单是否为“所有事件”。
WINNT没有此设置项,查看时通过选择“筛选事件”可以使管理更加关注系统的异常行为,管理员要密切关注登录事件的失败记录、特权使用的失败记录以及其他异常行为等。例如C:\WINNT\system32目录的安全审计。
新烟集团意见
新烟集团管理员对本条风险加固的意见:
l 同意
l 需要修改(描述修改的意见)
l 不同意(描述不同意的原因)
l 签名(签字确认)
厂商意见
厂商维护人员对本条风险加固的意见:
l 同意
l 需要修改(描述修改的意见)
l 不同意(描述不同意的原因)
l 签名(签字确认)
5.7登录事件审计
风险描述
修改登录事件审计
风险等级
风险低
加固建议
增强登录事件审计将能很好增强系统日志审核安全性
加固存在的风险
加固风险规避方法
加固成果
加固后能掌握更多日志信息便于系统安全审查
加固具体方法
l WIN2000系统
1、运行中输入secpol.msc命令
2、打开“本地安全设置”对话框,依次展开“本地策略-审核策略”,是否具有审核策略;
5、 修改审核策略如下:
审核登录事件 成功, 失败
l WINNT系统
1、 点击“开始->程序->管理工具->事件查看器”,
2、 选择“查看”菜单是否为“所有事件”。
WINNT没有此设置项,查看时通过选择“筛选事件”可以使管理更加关注系统的异常行为,管理员要密切关注登录事件的失败记录、特权使用的失败记录以及其他异常行为等。例如C:\WINNT\system32目录的安全审计。
新烟集团意见
新烟集团管理员对本条风险加固的意见:
l 同意
l 需要修改(描述修改的意见)
l 不同意(描述不同意的原因)
l 签名(签字确认)
厂商意见
厂商维护人员对本条风险加固的意见:
l 同意
l 需要修改(描述修改的意见)
l 不同意(描述不同意的原因)
l 签名(签字确认)
5.8对象访问审计
风险描述
修改对象访问审计
风险等级
风险低
加固建议
增强对象访问审计将能很好增强系统日志审核安全性
加固存在的风险
加固风险规避方法
加固成果
用于跟踪特定用户对特定文件的访问,加固后能掌握更多日志信息便于系统安全审查
加固具体方法
l WIN2000系统
1、运行中输入secpol.msc命令
2、打开“本地安全设置”对话框,依次展开“本地策略-审核策略”,是否具有审核策略;
6、 修改审核策略如下:
审核对象访问 失败
l WINNT系统
1、 点击“开始->程序->管理工具->事件查看器”,
2、 选择“查看”菜单是否为“所有事件”。
WINNT没有此设置项,查看时通过选择“筛选事件”可以使管理更加关注系统的异常行为,管理员要密切关注登录事件的失败记录、特权使用的失败记录以及其他异常行为等。例如C:\WINNT\system32目录的安全审计。
新烟集团意见
新烟集团管理员对本条风险加固的意见:
l 同意
l 需要修改(描述修改的意见)
l 不同意(描述不同意的原因)
l 签名(签字确认)
厂商意见
厂商维护人员对本条风险加固的意见:
l 同意
l 需要修改(描述修改的意见)
l 不同意(描述不同意的原因)
l 签名(签字确认)
5.9策略更改审计
风险描述
修改策略更改审计
风险等级
风险低
加固建议
增强策略更改审计将能很好增强系统日志审核安全性
加固存在的风险
加固风险规避方法
加固成果
加固后能掌握更多日志信息便于系统安全审查
加固具体方法
l WIN2000系统
1、运行中输入secpol.msc命令
2、打开“本地安全设置”对话框,依次展开“本地策略-审核策略”,是否具有审核策略;
7、 修改审核策略如下:
审核策略更改 成功, 失败
l WINNT系统
1、 点击“开始->程序->管理工具->事件查看器”,
2、 选择“查看”菜单是否为“所有事件”。
WINNT没有此设置项,查看时通过选择“筛选事件”可以使管理更加关注系统的异常行为,管理员要密切关注登录事件的失败记录、特权使用的失败记录以及其他异常行为等。例如C:\WINNT\system32目录的安全审计。
新烟集团意见
新烟集团管理员对本条风险加固的意见:
l 同意
l 需要修改(描述修改的意见)
l 不同意(描述不同意的原因)
l 签名(签字确认)
厂商意见
厂商维护人员对本条风险加固的意见:
l 同意
l 需要修改(描述修改的意见)
l 不同意(描述不同意的原因)
l 签名(签字确认)
5.10特权使用审计
风险描述
修改特权使用审计
风险等级
风险低
加固建议
增强特权使用审计将能很好增强系统日志审核安全性
加固存在的风险
加固风险规避方法
加固成果
用于跟踪用户对超出赋予权限的使用,加固后能掌握更多日志信息便于系统安全审查
加固具体方法
l WIN2000系统
1、运行中输入secpol.msc命令
2、打开“本地安全设置”对话框,依次展开“本地策略-审核策略”,是否具有审核策略;
8、 修改审核策略如下:
审核特权使用 失败
l WINNT系统
1、 点击“开始->程序->管理工具->事件查看器”,
2、 选择“查看”菜单是否为“所有事件”。
WINNT没有此设置项,查看时通过选择“筛选事件”可以使管理更加关注系统的异常行为,管理员要密切关注登录事件的失败记录、特权使用的失败记录以及其他异常行为等。例如C:\WINNT\system32目录的安全审计。
新烟集团意见
新烟集团管理员对本条风险加固的意见:
l 同意
l 需要修改(描述修改的意见)
l 不同意(描述不同意的原因)
l 签名(签字确认)
厂商意见
厂商维护人员对本条风险加固的意见:
l 同意
l 需要修改(描述修改的意见)
l 不同意(描述不同意的原因)
l 签名(签字确认)
5.11进程跟踪审计
风险描述
修改进程跟踪审计
风险等级
风险低
加固建议
该事件的日志将会增长的非常快,建议仅在绝对必须时才使用
加固存在的风险
加固风险规避方法
加固成果
用于跟踪每次一个用户启动,停止或改变一个进程,加固后能掌握更多日志信息便于系统安全审查
加固具体方法
l WIN2000系统
1、运行中输入secpol.msc命令
2、打开“本地安全设置”对话框,依次展开“本地策略-审核策略”,是否具有审核策略;
9、 修改审核策略如下:
审核过程追踪 成功, 失败
l WINNT系统
1、 点击“开始->程序->管理工具->事件查看器”,
2、 选择“查看”菜单是否为“所有事件”。
WINNT没有此设置项,查看时通过选择“筛选事件”可以使管理更加关注系统的异常行为,管理员要密切关注登录事件的失败记录、特权使用的失败记录以及其他异常行为等。例如C:\WINNT\system32目录的安全审计。
新烟集团意见
新烟集团管理员对本条风险加固的意见:
l 同意
l 需要修改(描述修改的意见)
l 不同意(描述不同意的原因)
l 签名(签字确认)
厂商意见
厂商维护人员对本条风险加固的意见:
l 同意
l 需要修改(描述修改的意见)
l 不同意(描述不同意的原因)
l 签名(签字确认)
5.12系统事件审计
风险描述
修改系统事件审计
风险等级
风险低
加固建议
加固存在的风险
加固风险规避方法
加固成果
系统事件审计相当关键,它包括启动,关闭计算机,或其它安全相关的事件,加固后能掌握更多日志信息便于系统安全审查
加固具体方法
l WIN2000系统
1、运行中输入secpol.msc命令
2、打开“本地安全设置”对话框,依次展开“本地策略-审核策略”,是否具有审核策略;
10、 修改审核策略如下:
审核系统事件 成功, 失败
l WINNT系统
1、 点击“开始->程序->管理工具->事件查看器”,
2、 选择“查看”菜单是否为“所有事件”。
WINNT没有此设置项,查看时通过选择“筛选事件”可以使管理更加关注系统的异常行为,管理员要密切关注登录事件的失败记录、特权使用的失败记录以及其他异常行为等。例如C:\WINNT\system32目录的安全审计。
新烟集团意见
新烟集团管理员对本条风险加固的意见:
l 同意
l 需要修改(描述修改的意见)
l 不同意(描述不同意的原因)
l 签名(签字确认)
厂商意见
厂商维护人员对本条风险加固的意见:
l 同意
l 需要修改(描述修改的意见)
l 不同意(描述不同意的原因)
l 签名(签字确认)
5.13失败登录账号锁定
风险描述
修改失败登录账号锁定次数
风险等级
风险中
加固建议
设定登录失败次数为3
加固存在的风险
加固风险规避方法
加固成果
登录失败次数超出设定后该帐户会被锁定
加固具体方法
l WIN2000系统
1、运行中输入secpol.msc命令
2、打开“本地安全设置”对话框,依次展开“帐户策略-账户锁定策略”
11、 修改帐户锁定阀值为3
l WINNT系统
由于WINNT系统没有帐户锁定策略设置选项,管理员应重视手动增强WINNT系统的密码增强设置。
新烟集团意见
新烟集团管理员对本条风险加固的意见:
l 同意
l 需要修改(描述修改的意见)
l 不同意(描述不同意的原因)
l 签名(签字确认)
厂商意见
厂商维护人员对本条风险加固的意见:
l 同意
l 需要修改(描述修改的意见)
l 不同意(描述不同意的原因)
l 签名(签字确认)
5.14失败登录账号锁定时间
风险描述
修改账号锁定取消周期
风险等级
风险中
加固建议
设定账号锁定取消周期为15分钟
加固存在的风险
加固风险规避方法
加固成果
登录失败次数超出设定后该帐户会被锁定,15分钟后锁定取消
加固具体方法
l WIN2000系统
1、运行中输入secpol.msc命令
2、打开“本地安全设置”对话框,依次展开“帐户策略-账户锁定策略”
12、 修改帐户锁定时间为15分钟
l WINNT系统
由于WINNT系统没有帐户锁定策略设置选项,管理员应重视手动增强WINNT系统的密码增强设置。
新烟集团意见
新烟集团管理员对本条风险加固的意见:
l 同意
l 需要修改(描述修改的意见)
l 不同意(描述不同意的原因)
l 签名(签字确认)
厂商意见
厂商维护人员对本条风险加固的意见:
l 同意
l 需要修改(描述修改的意见)
l 不同意(描述不同意的原因)
l 签名(签字确认)
5.15登录时间到期时自动退出登录
风险描述
设置登录时间到期时自动退出登录
风险等级
风险中
加固建议
允许当登录时间到期时自动退出登录能很好的增强系统安全性
加固存在的风险
加固风险规避方法
加固成果
可以避免用户在不适合的时间登录到系统,或者用户登录到系统后忘记退出登录
加固具体方法
进入“控制面板/管理工具/本地安全策略“,在“本地策略->安全选项”中当登录时间到期时自动退出登录: “启用”;
新烟集团意见
新烟集团管理员对本条风险加固的意见:
l 同意
l 需要修改(描述修改的意见)
l 不同意(描述不同意的原因)
l 签名(签字确认)
厂商意见
厂商维护人员对本条风险加固的意见:
l 同意
l 需要修改(描述修改的意见)
l 不同意(描述不同意的原因)
l 签名(签字确认)
5.17不显示上次登录的用户名
风险描述
设置系统不显示上次登录的用户名
风险等级
风险中
加固建议
不显示上次登录的用户名能很好的增强系统安全性
加固存在的风险
加固风险规避方法
加固成果
可以避免用户得到上次登录的用户信息
加固具体方法
进入“控制面板/管理工具/本地安全策略“,在“本地策略->安全选项”中登陆屏幕上不要显示上次登陆的用户名: “启用”;
新烟集团意见
新烟集团管理员对本条风险加固的意见:
l 同意
l 需要修改(描述修改的意见)
l 不同意(描述不同意的原因)
l 签名(签字确认)
厂商意见
厂商维护人员对本条风险加固的意见:
l 同意
l 需要修改(描述修改的意见)
l 不同意(描述不同意的原因)
l 签名(签字确认)
5.18防止系统保持计算机账号和口令
风险描述
设置系统防止系统保持计算机账号和口令
风险等级
风险中
加固建议
防止系统保持计算机账号和口令能很好的增强系统安全性
加固存在的风险
加固风险规避方法
加固成果
当一台计算机作为一个域的一部分时,该计算机有它自己的用户名和口令,加固后可以避免用户得到这些信息
加固具体方法
进入“控制面板/管理工具/本地安全策略“,在“本地策略->安全选项”中防止计算机帐户密码的系统维护: “启用”;
新烟集团意见
新烟集团管理员对本条风险加固的意见:
l 同意
l 需要修改(描述修改的意见)
l 不同意(描述不同意的原因)
l 签名(签字确认)
厂商意见
厂商维护人员对本条风险加固的意见:
l 同意
l 需要修改(描述修改的意见)
l 不同意(描述不同意的原因)
l 签名(签字确认)
5.19防止用户安装打印机驱动程序
风险描述
设置系统防止用户安装打印机驱动程序
风险等级
风险低
加固建议
当一个打印机驱动程序安装到系统上时,它的代码被直接安装到操作系统的特权空间,打印机驱动程序可以获得比任何用户更大的特权.因此打印机驱动程序中可能会含有特洛伊木马。防止用户安装打印机驱动程序能很好的增强系统安全性
加固存在的风险
加固风险规避方法
加固成果
加固后可以避免因用户安装的打印机驱动程序中的含有木马程序而被入侵这种情况
加固具体方法
进入“控制面板/管理工具/本地安全策略“,在“本地策略->安全选项”中防止用户安装打印机驱动程序: “启用”;
新烟集团意见
新烟集团管理员对本条风险加固的意见:
l 同意
l 需要修改(描述修改的意见)
l 不同意(描述不同意的原因)
l 签名(签字确认)
厂商意见
厂商维护人员对本条风险加固的意见:
l 同意
l 需要修改(描述修改的意见)
l 不同意(描述不同意的原因)
l 签名(签字确认)
5.20恢复控制台禁止管理员自动登录
风险描述
设置系统禁止恢复控制台管理员自动登录
风险等级
风险低
加固建议
恢复控制台是Windows 2000的一个新特性,它在一个不能启动的系统上给出一个受限的命令行访问界面.该特性可能会导致任何可以重起系统的人绕过账号口令限制和其它安全设置而访问系统,因此需要禁止管理员自动登录
加固存在的风险
加固风险规避方法
加固成果
加固后可以避免因用户安装的打印机驱动程序中的含有木马程序而被入侵这种情况
加固具体方法
进入“控制面板/管理工具/本地安全策略“,在“本地策略->安全选项”中故障恢复控制台:允许自动系统管理级登录 “停用”;
新烟集团意见
新烟集团管理员对本条风险加固的意见:
l 同意
l 需要修改(描述修改的意见)
l 不同意(描述不同意的原因)
l 签名(签字确认)
厂商意见
厂商维护人员对本条风险加固的意见:
l 同意
l 需要修改(描述修改的意见)
l 不同意(描述不同意的原因)
l 签名(签字确认)
3 防病毒
描述:计算机病毒是具有传染性的恶意计算机代码。病毒成为危害windows系统的安全主要威胁之一。防止计算机病毒必须根据系统的实际制定防病毒策略、部署多层防御、定期更新防病毒定义文件和引擎、定期备份文件,及时获得来自安全服务提供商的病毒信息。
3.1 安装防病毒软件及其更新
编号:
名称:
安装防病毒软件及其更新
重要等级:
高
基本信息:
ü 保护系统时,最重要的事情之一就是使用防病毒软件并确保它的及时更新。Internet 上的所有系统、公司的 Intranet都应该安装防病毒软件。并且建立适当的策略确保病毒库得到及时的更新。
检测内容:
ü 检测并下载来自防病毒软件提供商的最新病毒库。
建议操作:
ü 设置防病毒系统升级策略,凌晨2:00下载病毒代码并分发升级。因数据量较大,可选择非业务忙时进行。
ü 根据病毒软件来更新病毒库。
操作结果:
ü 安装防病毒软件及其更新,不会对系统造成任何不良的影响。
ü 但病毒软件对文件系统扫描时会降低系统性能,故需要按服务情况定制扫描策略。
36 /36 1/9/2025
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
