主机加固之win7

北慕城南 提交于 2019-12-01 07:56:48

这套主机加固方案很简单,一步一步按着顺序来弄就可以,部分步骤还配有相关图片。可以先用虚拟机来做一次加固,以防弄错后不好恢复。记得弄个快照,以防万一。下次有空写个win7暴力破解~

1. 配置管理

1.1用户策略

注意:在对Windows系统加固之前先新建一个临时的系统管理员账号;用来恢复加固中可能出现的问题

1.1.1 用户权限策略配置(适用于服务器或公用工作站)

  1. 按下win+R,输入框输入 winver,确认系统版本。

 

 

 

         2.按下win+R,输入框输入 compmgmt.msc,进入“计算机管理->本地用户和 组->用户->右键-->新用户”,分别创建安全管理员(secadmin)、审计管理员 (audadmin);然后将Administrator重命名为系统管理员(sysadmin);

      3.安全管理员权限配置 Win 7: 选择用户“secadmin”,右击“属性”,进入“隶属于->添加->选择组->高级->立即查找”,同时选择 Backup Operators 和 Power Users 组,点击确定;

 

 

        4.审计管理员权限配置 Win 7: 选择用户“audadmin”,右击“属性”,进入“隶属于->添加->选择组->高级- >立即查找”,同时选择 Event Log Readers 和 Performance Log User 组, 点击确定;

 

 

         5.系统管理员权限配置在 Win 7: 选择用户“sysadmin”,右击“属性”,进入“隶属于->添加->选择组-> 高级->立即查找”,选择 Network Configuration Operators 组和 Administrator组,点击确定;

 

 

 

建议各管理员所具有的权限:

(1) 安全管理员(secadmin):备份或还原文件;

(2) 审计管理员(audadmin):管理系统的各种日志信息;

(3) 系统管理员(sysadmin):更改文件所有权/重新启动或关闭系统/设置主 机名/配置网卡参数/IP 防火墙的管理/配置所有的对外服务。

 

1.1.2 删除或禁用系统无关用户

 

加固说明:删除、禁用或锁定与设备运行、维护等工作无关的账户,避免无关账户被黑客利用。

1.按下win+R,输入框输入 compmgmt.msc;

2.查看窗口左侧的本地用户和组-->用户-->右侧信息栏,查找与设备运行、维护等工作无关的用户账户,右击删除;

3.右击 Guest 用户,点击“属性”,勾选“帐户已禁用”,点击确定。

 

 

 

1.1.3 开启屏幕保护程序

(加固说明:操作系统设置开启屏幕保护,并将时间设定为 5 分钟,避免非法用户使用系统。)

1)进入屏幕保护程序

Win 7:进入“控制面板->显示->个性化->屏幕保护程序”;

2)选择屏幕保护程序界面,设置“等待”为 5,勾选“恢复时显示登录屏

”,点击确定;

 

 

 

1.2身份鉴别

1.2.1 用户口令复杂度策略

(加固说明:口令长度不小于 8 位,由字母、数字和特殊字符组成,不得与账户名相同,避

免口令被暴力破解。

1. 进入“控制面板->管理工具->本地策安全略->帐户策略->密码策略”;

2. 双击“密码长度最小值”,设置“密码长度最小值”为 8 个字符,点击确

定;

3. 双击“密码必须符合复杂性要求”,勾选已启用,点击确定。

1.2.2 用户登录失败锁定

(加固说明:配置当用户连续认证失败次数超过 5 次,锁定该用户使用的账户 10 分钟,避

免账户被恶意用户暴力破解。

1. 进入“控制面板->管理工具->本地安全策略->账户策略->帐户锁定策略”;

2. 双击“帐户锁定阀值”设置,设置无效登录次数为 5 次,点击确定;

3. 双击“帐户锁定时间”设置,设置锁定时间 10 分钟,点击确定。

1.2.3 用户口令周期策略

设置账户口令的生存期不长于 90 天,避免密码泄露。

1. 进入“控制面板->管理工具->本地安全策略->帐户策略->密码策略”;

2. 双击“密码最长使用期限(密码最长存留期)”,设置“密码最长使用期限”为90 天,点击确定。

1.2.4 用户口令过期提

密码到期前提示用户更改密码,避免用户因遗忘更换密码而导致账户失效。

1. 进入“控制面板->管理工具->本地安全策略->本地策略->安全选项”;

2. 双击“交互式登录:提示用户在过期之前更改密码”,设置为 10 天,点击

确定。

1.2.4 系统不显示上次登录用户名

操作系统不显示上次用户名,避免用户名泄露。

1. 进入“控制面板->管理工具->本地安全策略->本地策略->安全选项”;

2. 双击“交互式登陆:不显示最后的用户名”,选择“已启用”,点击确定。

1.3主机配置

 

1.3.1 禁止用户修改 IP

 

规范主机网络配置管理,禁止用户任意更换 IP。

 

1.按下win+R,输入框输入 gpedit.msc,打开“本地组策略编辑器”;

 

2. 进入“用户配置->管理模板->网络->网络连接”;

 

3. 双击“禁止访问 LAN 连接组件的属性”,设置为已启用,点击确定;

 

4. 双击“禁止访问 LAN 连接的属性”,设置为已启用,点击确定;

 

5. 双击“禁用 TCP/IP 高级配置”,设置为已启用,点击确定。

 

备注:如果业务需要修改 IP,可临时取消,修改完成后重新加固。

1.3.2 关闭默认共享

(关闭 Windows 硬盘默认共享,防止黑客从默认共享进入计算机窃取资料。)

1. 进入“开始->控制面板->管理工具->计算机管理(本地)->共享文件夹->共享”;

2. 查看右侧窗口,选择对应的共享文件夹(例如 C$,D$,ADMIN$,IPC$等)右击停止共享。

1.3.3 开启用户账户控制设置(UAC)

(开启用户账户控制设置(UAC),设置为仅在程序尝试对计算机进行更改时通知

用户。)

1.进入“开始->控制面板->用户账户和家庭安全->用户账户”;

2.更改“用户账户控制设置”,设置为“默认”,点击确定。

1.3.4 禁止未登录前关机

(设置 Windows 登录屏幕上不显示关闭计算机的选项,避免用户名暴露。)

1. 进入“控制面板->管理工具->本地安全策略->本地策略->安全选项”;

2. 双击“关机: 允许系统在未登录的情况下关闭”,设置属性为“已禁用”,

点击确定。

1.3.5 关机时清除虚拟内存页面文件

(设置关机时清除虚拟内存页面文件,避免虚拟内存信息通过硬盘泄露。)

1. 进入“开始->控制面板->管理工具->本地安全策略->本地策略->安全选项”;

2. 双击“关机: 清除虚拟内存页面文件”,属性设置为“已启用”,点击确定。

1.3.6 禁止非管理员关机

(仅允许 Administrators 组进行远端系统强制关机和关闭系统,避免非法用户关

闭系统。)

1. 进入“开始->控制面板->管理工具->本地安全策略->本地策略->用户权限分

”;

2. 分别双击“关闭系统”和“从远程系统强制关机”选项,仅配置系统管理员

sysadmin)用户。

 

 

 

1.4软件管理

1.4.1 卸载无关软件

1. 确认系统中必须安装的软件列表;

2. 删除与业务系统无关的软件

Win 7 :进入“开始->控制面板->程序与功能”,查找与系统 业务无关的软件,选择需要卸载的软件,右键选择 “卸载/更改”按钮,卸载完成。

【备注:禁止安装与工作无关或存在安全漏洞的软件,应按照如下原则安装软件:

1. 工作站:仅安装系统客户端的基础运行环境和文档编辑( WPS),解压

缩(WinRAR),SSH 客户端等应用软件;

2. 服务器:仅安装承载业务系统运行的基础软件环境。】

 

2. 网络管理

 

2.1网络服务管理

 

2.1.1 关闭不必要的服务

 

注意:主要关闭远程、打印、共享服务

 

1.确认系统应用需要使用的服务;

 

2.按下win+R,输入框中输入 services.msc 命令;

 

3.双击需要关闭的服务,点击停止按钮以停止当前正在运行的服务;

 

4.将启动类型设置为禁用,点击确定。

 

 

 

在执行系统加固前确认系统应用无需使用该服务。建议关闭以下服务:

Server

Computer Browser

DHCP Client

Routing and Remote Access

Telnet  

Print Spooler

Terminal Service (Win2000 不适用)

Task Scheduler(可选)

Messenger net send(Win XP、Win 2000 为 Messenger)

Simple Mail Trasfer Protocol(SMTP)

Simple Network Management Protocol(SNMP) Service

World Wide Web Publishing Service

DNSClient

2.1.2 启用 SYN 攻击保护

启用 SYN 攻击保护,防御黑客 SYN 攻击。

1. 按下win+R,输入框中输入 regedit 命令;

2. 查看注册表项,进入

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters;

3. 新建字符串值,重命名为 SynAttackProtect,双击修改数值数据为 2;

 

 

4. 新建字符串值,重命名为 TcpMaxportsExhausted,双击修改数值数据为 5;

5. 新建字符串值,重命名为 TcpMaxHalfOpen,双击修改数值数据为 500;

6. 新建字符串值,重命名为 TcpMaxHalfOpenRetried,双击修改数值数据为

400。

备注

1. 指定触发 SYN 洪水攻击保护所必须超过的 TCP 连接请求数的阀值为 5;

2. 指定系统拒绝的连接请求数的阈值为 500;

3. 指定 TCP 的半连接数的阈值为 400。

2.2防火墙功能

2.2.1 开启防火墙功能

加固说明:打开系统自带防火墙,减小被网络攻击的风险。

操作步骤:1.按下 +R,输入框中输入 Firewall.cpl;

2.选择“打开或关闭 Windows 防火墙”,点击启用 Windows 防火墙。

 

 

 

2.2.2 防火墙配置访问控制规则

加固说明:端口禁止开放:TCP21,TCP23,TCP/UDP135,TCP/UDP137,TCP/UDP138,

TCP/UDP139,TCP/UDP445。

端口应限制访问 IP:TCP3389。

操作步骤:

(1)按下 +R,输入框中输入 wf.msc,进入高级安全防火墙,选择入站规则,点击右边的“新建规则”;

 

 

 (2) 选择协议和端口;

 

 

 (3) 选择需要进行的操作;

 

 

 (4) 选择阻止连接

 

 

 (5) 选择规则应用的范围;

 

 

2.2.3 关闭系统非法端口

关闭端口:TCP21,TCP23,TCP/UDP135,TCP/UDP137,TCP/UDP138, TCP/UDP139,TCP/UDP445。

端口应限制访问 IP:TCP3389

关闭135端口

(1) 单击 “开始”——“运行”,输入“dcomcnfg”,单击“确定”,打开组件服务。

 

 

 (2) 在弹出的“组件服务”对话框中,选择“计算机”选项。

 

 

 

(3) 点击“计算机”,右键单击“我的电脑”,选择“属性”,在出现的“我的电脑

属性”对话框“默认属性”选项卡中,去掉“在此计算机上启用分布式COM”前的勾。

 

 

 (4) 选择“默认协议”选项卡,选中“面向连接的TCP/IP”,单击“移除”按钮。

 

 

 

单击“确定”按钮,设置完成,重新启动系统后即可关闭135端口

 

关闭端口 137、138、139

 

(1) 在控制面板选择“网络和共享中心”图标,打开选择“更改适配器设置”打开“网络连接”。

 

 

 

 

 

(2) 右键点击“本地连接”对话框中,单击“属性”按钮。

(3) 在出现的“本地连接属性”对话框中,选择“Internet协议(TCP/IPv4)”,双击打开

(4) 在出现的“Internet协议(TCP/IPv4)属性”对话框中,单击“高级”按钮。

(5) 在出现的“高级TCP/IP设置”对话框中,选择“WINS”选项卡。在“WINS”选项卡,“NetBIOS

设置”下,选择“禁用TCP/IP上的” NetBIOS

 

 单击“确定”,重新启动后即可关闭139端口。

 

关闭 445端口

(1) 单击“开始”——“运行”,输入“regedit”,回车,打开注册表。

(2) 找到注册表项“HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\Parameters”。

 

 (3) 选择“Parameters”项,右键单击,选择“新建”——“DWORD值”。

 

 (4) 将DWORD值命名为“SMBDeviceEnabled”,右键单击“SMBDeviceEnabled”值,选择“修改”。

 

 (5) 在出现的“编辑DWORD值”对话框中,在“数值数据”下,输入“0”,单击“确定”按钮,完成设置。

 

 

3. 接入管理

3.1外设接口

3.1.1 禁用大容量存储介质(USB 存储设备)

禁用 USB 存储设备,防止利用 USB 接口非法接入。

1.按下win+R,在输入框输入 regedit,打开注册表编辑器;

2.进入 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR;

3.双击右侧注册表中的“Start”项,修改值为 4。

 

 

3.2自动播放

3.2.1 关闭自动播放功能

关闭移动存储介质或光驱的自动播放或自动打开功能,防止恶意程序通过 U 盘或光盘等移动存储介质感染主机系统。

 

1.按下win+R,输入框中输入 gpedit.msc,进入“本地组策略编辑器”;

 

2.配置关闭自动播放策略:在 Win 7:

 

1) 进入“计算机配置->管理模板->Windows 组件->自动播放策略”;

 

2) 查看右侧小窗口,双击“关闭自动播放”,选择“已启用”;

 

3) 在下面 关闭自动播放 中,选择“所有驱动器”,点击确定。

 

 

 

3.3远程登录

3.3.1 关闭远程主机 RDP 服务

处于网络边界的主机 RDP 服务应处于关闭状态,有远程登录需求时可由管理员临

时开启,避免非法用户利用 RDP 服务漏洞进行攻击。

1) 右击“计算机”,选择“属性”,点击左侧菜单栏中的“远程设置”;

 

 2) 选择“不允许连接到这台计算机”,取消勾选“允许远程协助连接到这台计算机”,点击确定。

 

 

3.3.2 限制远程登录的 IP(如果以关闭远程桌面,无需进行该操作)

仅限于指定 IP 地址范围主机远程登录,防止非法主机的远程访问。

1.按下 +R,输入框输入 gpedit.msc,进入“本地组策略编辑器”;

2. 分别进入“计算机配置->管理模板->网络->网络连接->Windows 防火墙->域

配置文件”和“标准配置文件”,执行 3、4 步操作;

3. 双击“允许入站远程桌面例外”,选择“已启用”;

4. 填入允许远程登录到本机的主机 IP 地址,并以逗号分隔,点击确定。

 

3.3.3 禁止用户更改计算机名

 

1.按下win+R,输入框输入 gpedit.msc,打开“本地组策略编辑器”;

 

2. 进入“用户配置->管理模板->桌面”;

 

3. 双击“从‘计算机(我的电脑)’图标上下文菜单中删除属性”,设置为“已

 

启用”,点击确定。

3.3.4 主机间登录禁止使用公钥验证

禁止凭据管理器保存通过域身份验证的密码和凭据,避免用户信息泄露。

1. 进入“控制面板->管理工具->本地安全策略->本地策略->安全选项”;

2. 双击“网络访问,不允许存储网络身份验证的密码和凭据”,选择“已启

”,点击确定。

 

3.4 外部连接管理

3.4.1 禁止使用无线设备

1.核实是否存在无线网卡,若存在,请执行以下操作并拔出网卡设备;

2.按下win+R,在输入框输入 devmgmt.msc,进入“设备管理器”;

3.查找右侧“设备管理器”的窗口,选择网络适配器,找到无线网卡、蓝牙无线

收发适配器设备名称;

4.右击该设备,选择“禁用”,点击“是”。

4. 日志与审计

4.1日志与审计

4.1.1 配置日志策略

配置系统日志策略配置文件,对系统登录、访问等行为进行审计,为后续问题追

溯提供依据。

1.按下 +R,输入框输入 gpedit.msc,进入“本地组策略编辑器”;

2.进入“计算机配置->Windows 设置->安全设置->本地策略->审核策略”;

 

 

3.对审核策略进行如下设置:

审核账户登录事件:成功,失败;

审核账户管理:成功,失败;

审核目录服务访问:失败;

审核登录事件:成功,失败;

审核对象访问:成功,失败;

审核策略更改:成功,失败;

审核特权使用:失败;

审核过程追踪:无审核;

审核系统事件:成功,失败;

4.设置完成后,点击确定。

 

4.1.2 配置日志文件大小

 

设置日志文件大小限值,为审计日志数据分配合理的存储空间或存储时间。

 

1.进入事件查看器的日志配置

 

Win7:进入“控制面板->管理工具->事件查看器->Windows 日

 

”;

 

2.依次右击“应用程序”、“安全”、“系统”、“转发事件”和

 

“Setup”,选择“属性->常规”,设置“日志最大大小”为 10240KB;

 

 

3.按下 +R,输入框输入 gpedit.msc,进入“本地组策略编辑器”;

4.配置日志覆盖模式

Win7:进入“计算机配置->管理模板->Windows 组件->事件日志服务->安全->日志文件写满后自动备份”和“保留旧事件”,设置“已启用”;

4.1.3 禁止普通用户修改审计策略

 设置合适的用户权限策略,禁止普通用户修改和删除日志配置。

将审计策略修改权限仅赋予审计管理员,操作步骤参考

1.1.1 用户权限策略配置。

 

5. 恶意代码防范

5.1防病毒软件

5.1.1 安装防病毒软件

安装防病毒软件,防止恶意代码的攻击。

1. 安装防病毒软件;

2. 关闭【发现病毒自动处理功能】,

3. 当查到病毒是先查看该文件是否为重要业务中的,如果是业务中的则添加到白

名单;

4. 如果误杀了业务软件,先不要着急卸载杀毒软件,应该先找到被误杀的软件进

行恢复。

5. 使用离线安装包将病毒库更新至最新;

6. 后期定期升级杀毒软件和病毒库。

5.2数据执行保护

5.2.1 数据执行保护(DEP)

Windows 操作系统程序和服务启用系统自带 DEP 功能(数据执行保护),防止

在受保护内存位置运行恶意代码。

1. 进入“控制面板->系统”;

2. 选择“高级系统设置->高级->性能->设置->数据执行保护”选项卡,勾选

“仅为基本 Windows 操作系统程序和服务启用 DEP”,点击确定。

 

 

 

易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!