Windows操作系统安全加固规范 包括日志配置、通信协议（IP协议安全）

本文针对Windows操作系统的账号管理、账户授权、日志配置、通信协议（IP协议安全）以及设置其他安全进行合规性检查和配置。

一、账户管理：

1、分配账号：

进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”，结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的账户和账户组。

2、清除无效账户：

进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”，删除或锁定与设备运行、维护等与工作无关的账号。

3、更改缺省账户名称；禁用guest（来宾）账号：

进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”。Administrator－>属性－> 更改名称，Guest账号->属性－> 已停用。

4、配置密码策略：

进入“控制面板->管理工具->本地安全策略”，在“账户策略->密码策略”。“密码必须符合复杂性要求”选择“已启动”设置符合要求的策略。

5、配置账户锁定策略：

进入“控制面板->管理工具->本地安全策略”，在“账户策略->账户锁定策略”。

二、账户授权：

1、远端系统强制关机设置：

进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”。“从远端系统强制关机”设置为“只指派给Administrators组”。

2、关闭系统设置：

进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”。“关闭系统”设置为“只指派给Administrators组”。

3、“取得文件或其它对象的所有权”设置：

进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”。“取得文件或其它对象的所有权”设置为“只指派给Administrators组”。

4“从本地登录此计算机”设置：

进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”，“从本地登录此计算机”设置为“指定授权用户”。

5、“从网络访问此计算机”设置：

进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”，“从网络访问此计算机”设置为“指定授权用户”。

三、日志配置：

1、审核策略设置：

开始->运行-> 执行“控制面板->管理工具->本地安全策略->审核策略”

审核登录事件，双击，设置为成功和失败都审核。

“审核策略更改”设置为“成功”和“失败”都要审核

“审核对象访问”设置为“成功”和“失败”都要审核

“审核目录服务器访问”设置为“成功”和“失败”都要审核

“审核特权使用”设置为“成功”和“失败”都要审核

“审核系统事件”设置为“成功”和“失败”都要审核

“审核账户管理”设置为“成功”和“失败”都要审核

“审核过程追踪”设置为“失败”需要审核

2、日志记录策略设置：

进入“控制面板->管理工具->事件查看器”，在“事件查看器（本地）”中：

“应用日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时，“按需要改写事件”

“系统日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时，“按需要改写事件”

“安全日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”。

四、通信协议（IP协议安全）：

1、启用TCP/IP筛选：

系统管理员出示业务所需端口列表。根据列表只开放系统与业务所需端口。进入“控制面板－>网络连接－>本地连接”，进入“Internet协议（TCP/IP）属性－>高级TCP/IP设置”，在“选项”的属性中启用网络连接上的TCP/IP筛选，只开放业务所需要的TCP，UDP端口和IP协议。

2、开启系统防火墙：

系统管理员出示业务所需端口列表。根据列表只开放系统与业务所需端口。进入“控制面板－>网络连接－>本地连接”，在高级选项的设置中：启用Windows防火墙。在“例外”中配置允许业务所需的程序接入网络。在“例外->编辑->更改范围”编辑允许接入的网络地址范围。

3、启用SYN攻击保护：

在“开始->运行->键入regedit”启用 SYN 攻击保护的命名值位于注册表项HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。值名称：SynAttackProtect。推荐值：2。

以下部分中的所有项和值均位于注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。

指定必须在触发 SYNflood 保护之前超过的 TCP 连接请求阈值。值名称：TcpMaxPortsExhausted。推荐值：5。

启用SynAttackProtect 后，该值指定SYN_RCVD 状态中的 TCP 连接阈值，超过 SynAttackProtect 时，触发 SYN flood 保护。值名称：TcpMaxHalfOpen。推荐值数据：500。

启用 SynAttackProtect 后，指定至少发送了一次重传的 SYN_RCVD 状态中的 TCP 连接阈值。超过 SynAttackProtect 时，触发 SYN flood 保护。值名称：TcpMaxHalfOpenRetried。推荐值数据：400。

Windows Server 2012

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersSynAttackProtect推荐值：2

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersTcpMaxHalfOpen推荐值：500

Windows Server 2008

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSynAttackProtect推荐值：2

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpMaxPortsExhausted推荐值：5

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpMaxHalfOpen推荐值：500HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpMaxHalfOpenRetried推荐值：400

五、设置其他安全要求：

1、启用屏幕保护程序：

进入“控制面板－>显示－>屏幕保护程序”：启用屏幕保护程序，设置等待时间为“5分钟”，启用“在恢复时使用密码保护”。

2、设置Microsoft网络服务器挂起时间：

进入“控制面板->管理工具->本地安全策略”，在“本地策略->安全选项”：“Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟。

3、关闭默认共享：

进入“开始－>运行－>Regedit”，进入注册表编辑器更改注册表键值：在HKLMSystemCurrentControlSetServicesLanmanServerParameters下，增加REG_DWORD类型的AutoShareServer键，值为0。

4、设置共享文件夹访问权限:

进入“控制面板->管理工具->计算机管理”，进入“系统工具－>共享文件夹”：查看每个共享文件夹的共享权限，只将权限授权于指定账户。

5、安装系统补丁：

安装最新的Service Pack补丁集，以及最新的Hotfix补丁。目前Windows XP的Service Pack为SP3。Windows2000的Service Pack为SP4,Windows 2003的Service Pack为SP2。

注意：安装补丁前，应对操作系统进行兼容性测试，避免补丁打上后系统无法正常使用。

6、安装、更新杀毒软件：

安装防病毒软件，并将病毒库更新到最新的版本。

7、数据执行保护配置：

进入“控制面板－>系统”，在“高级”选项卡的“性能”下的“设置”。进入 “数据执行保护”选项卡。设置为“仅为基本 Windows 操作系统程序和服务启用DEP”。

8、关闭服务：

进入“控制面板->管理工具->计算机管理”，进入“服务和应用程序”：

查看所有服务，不在此列表的服务都需要（还是评估一下吧）关闭。

9、修改SNMP服务密码：

打开“控制面板”，打开“管理工具”中的“服务”，找到“SNMP Service”，单击右键打开“属性”面板中的“安全”选项卡，在这个配置界面中，可以修改community strings，也就是微软所说的“团体名称”。

10、关闭无效启动项：

“开始->运行->MSconfig”启动菜单中，取消不必要的启动项。

11、关闭Windows自动播放功能：

点击开始→运行→输入gpedit.msc，打开组策略编辑器，浏览到计算机配置→管理模板→系统，在右边窗格中双击“关闭自动播放”，对话框中选择所有驱动器，确定即可。