Windows系统安全加固分析
最小化方式安装
为了提高系统的安全性,采用最小化方式安装是最可靠的,只安装网络 服务所必需的组件。如果以后有新的服务需求,再安装相应的服务组件 ,并及时进行安全设置。
系统加固工作
对Windows系统安全性方面进行加固,系统加固工作主要包括账户和认 证安全配置、日志安全配置、网络安全配置、文件权限配置,服务安全 配置以及其它安全选项配置等内容,从而使得操作系统变得更加安全可 靠,为以后的工作提供一个良好的环境平台。
Windows系统安全概念
操作系统的安全防护研究通常包括以下几个方面的内容。
(1) 操作系统本身提供的安全功能和安全服务。目前的操作系统本身往往要 提供一定的访问控制、认证与授权等方面的安全服务。
(2) 针对各种常用的操作系统,进行相关配置,使之能正确对付和防御各种 入侵。
(3) 保证操作系统本身所提供的网络服务能得到安全配置。
只有授权过的用户或代表该用户运行的进程才能读、写、创建或删除信息。
账户管理和认证授权
账户与口令的使用通常是许多系统预设的防护措施。事实上,有许多用户的密码和口令是很容易被猜中 的,或者使用系统预设的密码、甚至不设密码。
用户应该要避免使用不当的密码、系统预设密码或 是使用空白密码,也可以配置本地安全策略要求密 码符合安全性要求。
认证授权就是系统验证用户的凭据,如用户名/用户 ID和密码,以验证用户的身份。另一方面,授权是 在系统成功验证用户的身份后,最终授予用户访问 系统资源(如信息,文件,数据库,资金,位置, 几乎任何内容)的权限。
管理账户
重命名Administrator,禁用GUEST
描述:
Administrator账户是微软操作系统的默认系统管理员账户,且此账户 不能被停用,非法入侵者可以暴力猜测这个账户的密码。
Guest账户,即所谓的来宾用户。通过来宾帐户,其他计算机用户可 以临时访问您的计算机,执行关闭系统、查看系统日志等危害性功能 。
实施目的:
管理员帐号容易被猜解;Guest账号容易被非法利用。对于管理员帐 号,要求更改缺省帐户名称,禁用guest(来宾)帐号,提高系统安全性。
实施步骤:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->安全 选项”,找到: “账户:
重命名管理员账户”,右键重命名;
“账户:来宾用户状态:”,右键”已禁用”。
系统更改判断依据
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用 户和组”,记录当前用户状态,查看已更改。
系统不显示上次登录的账户名
描述:
默认情况下,登录对话框中会显示上次登录的账户名。
这使得非法入 侵者可以很容易地得到系统的一些账户名,进而做密码猜测,从而给系统 带来一定的安全隐患。
实施目的:
可以设置登录时不显示上次登录的账户名,来解决这一问题。
实施步骤:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->安全 选项”,找到: “交互式登录:不显示最后的用户名”->右键“已启用”。
清理系统无效帐户
描述:
如果不清理无效帐户,则系统将面临默认账号被非法利用的风险。
实施目的:
删除或锁定与设备运行、维护等与工作无关的账号,提高系统帐户安 全。
实施步骤:
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用 户和组”,删除或锁定与设备运行、维护等与工作无关的账号。
系统状态:
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用 户和组”,根据系统的要求和实际业务情况查看判断是否已删除或锁定与 设备运行、维护等与工作无关的账号。
按照用户类型分配账号
描述:
账号混淆,权限不明确,存在用户越权使用的可能。
实施目的:按照用户分配帐户。根据业务要求,设定不同的用户和用户组。
例如 ,管理员用户,数据库用户,审计用户,来宾用户等。
实施步骤:
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用 户和组”。
结合要求和实际业务情况判断符合要求,根据系统的要求,设定不同的账 户和账户组,管理员用户,数据库用户,审计用户,来宾用户。
系统状态:
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和 组”,根据系统的要求和实际业务情况查看账户和账户组,管理员用户, 数据库用户,审计用户,来宾用户等。
配置密码策略
描述:
增加系统密码被暴力破解的成功率。
实施目的:
设置密码策略,减少密码安全风险;
防止系统弱口令的存在,减少安 全隐患。
对于采用静态口令认证技术的设备,口令长度至少6位,且密码规 则至少应采用字母(大小写穿插)加数字加标点符号(包括通配符)的方 式。
实施步骤:
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码 策略”, “密码必须符合复杂性要求”选择“已启动”,设置自身密码策略。
对于采用静态口令认证技术的设备,帐户口令的留存期不应长于90天 ,其它推荐口令设置如下:
配置账户锁定策略
描述:
增加系统密码被暴力破解的成功率。
实施目的:
对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数 超过n次后,锁定该用户使用的帐户。
设置有效的账户锁定策略有助于防止攻击者猜出系统账户的密码。
实施步骤:
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->账户 锁定策略”中,配置 ”帐户锁定阈值” 不大于10次。
授权
远端系统强制关机设置
描述:
该策略设置允许用户从网络上的远程位置关闭计算机。
任何被分配此 用户权限的人都可能增加系统被管理员以外的用户非法关闭的风险,导致 拒绝服务(DoS)的发生 ,这将使计算机无法为用户请求提供服务。
实施目的:
防止远程用户非法关机,在本地安全设置中从远端系统强制关机只指 派给Administrators组。
实施步骤:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户 权利指派”。
“从远端系统强制关机”设置为“只指派给Administrators 组”