部分常用主机安全策略

三、部分常用Windows主机安全策略

1.用户、用户组及其权限管理

（1）对系统管理员账号进行限制。系统管理员对系统具有最高的权限，Windows系统管理员的默认账号名为Administrator，很容易成为攻击者猜测和攻击的重要目标，因此需要对系统管理员账号作出必要的设置。

（2）密码策略。通过启用“密码必须符合复杂性要求”，设置“密码长度最小值”、“密码最长存留期”、“密码最短存留期”、“密码强制历史”，停用“为域中用户使用可还原的加密来存储”可以明显地提高用户账户的安全性。

（3）账户锁定策略。通过设置“账户锁定时间”、“账户锁定阈值”、“复位账户锁定计数器”来防止远程的密码猜测攻击。打开控制面板→管理工具→本地安全策略→账户策略→账户锁定策略进行设置，“复位账户锁定计数器”时间不短于5min，“账户锁定时间”不短于5min，“账户锁定阈值”不多于10次。

2.远程访问主机系统

建议不要开启telnet服务，如特殊情况必须开启telnet服务，必须对可以远程访问telnet服务的用户进行限制。创建TelnetClients组，并将需要远程使用telnet服务的用户加入该组，对TelnetClients组进行授权。打开控制面板→管理工具→本地安全策略→本地策略→用户权力指派，按需要进行授权。需要注意尽量避免对Administrator组用户进行授权修改，以免造成系统应用、管理失败。

3.安装Windows补丁

补丁是实现Windows主机系统安全的重要途径。针对Windows操作系统的漏洞，及时安装最近的service pack后发布的Hotfix补丁也十分重要。由于内外网物理隔离，没有与Internet相连，可利用微软提供的光盘升级包完成补丁加载；或在Internet的主机上下载最新升级包，通过移动存储，在需升级的主机上安装。在安装系统补丁的过程中不能够使系统断电或非正常安装完毕而重新启动系统，这样可能会造成系统不能正常启动的严重后果。

4.文件系统增强

NTFS支持细致的文件权限控制、磁盘配额管理、文件加密等特性。NTFS可为用户提供更高层次的安全保证。如果文件系统类型不是NTFS格式，需要转换为NTFS格式，以增加文件系统的安全性。具体方法：在cmd（命令行）方式下，输入：convert＜驱动器盘符＞：/fs：ntfs。

一旦将某个驱动器或分区转换为NTFS格式，用户便无法将其恢复为FAT或FAT32格式。如需返回FAT或FAT32格式，用户必须对驱动器或分区进行重新格式化，并从相应分区上删除包括程序及个人文件在内的所有数据。

5.防病毒

计算机病毒是具有传染性的恶意计算机代码。病毒成为危害Windows系统安全的主要威胁之一。防止计算机病毒必须根据系统的实际情况制定防病毒策略、部署多层防御、定期更新防病毒定义文件和引擎、定期备份文件，及时获得来自安全服务提供商的病毒信息。

安装网络版杀毒软件，每周五通过Internet下载病毒库离线升级包，然后在杀毒服务器上进行更新，每周六凌晨2：00进行分发和升级，但病毒软件对文件系统扫描时会降低系统性能，故需要按服务情况定制扫描策略。

6.系统服务调整

Windows提供的服务种类繁多，不同服务对安全的要求不一，如通过注册表、修改服务配置、停掉不必要的服务和组件等。请单击“控制面板”中的“管理工具”，然后根据具体要求，选择启用或禁用服务和组件。

SNMP服务安全策略：开启SNMP服务会导致信息泄露的安全问题，对没有必要网管的设备建议关闭该服务；对于必须开放该服务的主机，需要在网关设备上限制对SNMP的访问；同时监视是否有猜测SNMP口令的行为，在主机上需要遵守安全策略。

7.安全设置优化

隐含最后登录用户名：在默认情况下最后登录的用户名，使得攻击者可以猜测系统内的用户信息。启用“本地安全策略→本地策略→安全选项→屏幕上不显示上次登录的用户名”阻止未授权访问注册表。在停止或禁用控制面板→管理工具→服务→Remote Registry服务。

8.TCP/IP参数调整和端口过滤

优化TCP/IP，抵抗DoS攻击：Windows主机系统可以通过调整TCP/IP参数来提高系统抵抗DoS攻击的能力，但是，发生DoS攻击时，通过在网络设备上进行包过滤将是一个更有效的策略。

9.WWW服务的安全增强

删除未使用的脚本映射：IIS被预先配置成支持常见的文件扩展名，如.asp和.shtm。当IIS接收到针对其中某一类型文件的请求时，该调用由DLL进行处理。

10.SQL Server服务的安全增强

（1）使用安全的密码策略。SQL Server的认证模式有Windows身份认证和混合身份认证两种。由于SQL Server不能更改超级用户名称，也不能删除这个超级用户，所以我们必须对这个账号进行最强的保护。

如果数据库管理员不希望操作系统管理员通过操作系统登录来接触数据库，可以在账号管理中把系统账号“BUILTIN＼Administrators”删除。不过这样做的结果是，一旦用户账号忘记密码，就没有办法来恢复了。

很多主机使用数据库应用只是用来做查询、修改等简单功能的，应根据实际需要分配账号，并赋予仅仅能够满足应用要求和需要的权限。比如，只要查询功能的，那么就使用一个简单的public账号能够select就可以了。

（2）加强数据库日志的记录。审核数据库登录事件的“失败和成功”，在实例属性中选择“安全性”，将其中的审核级别选定为全部，这样在数据库系统和操作系统日志里面，就详细记录了所有账号的登录事件。

定期查看SQL Server日志检查是否有可疑的登录事件发生，或者使用DOS命令。在实例属性中选择“安全性”，将其中的审核级别选定为全部，这样在数据库系统和操作系统日志里面，就详细记录了所有账号的登录事件。

11.共享服务的安全增强

（1）删除所有默认的网络共享。在默认的情况下，硬盘中所有逻辑分区都是被设置成共享的，但是通过网上邻居是不能看见这些共享的分区，这种“隐形”就是通过共享名称后面加上“＄”来实现的，要访问这些隐形的分区则必须使用UNC路径，即在地址栏中输入“＼＼计算机名称＼共享名”或者使用映射网络驱动器将其映射成本地的硬盘。由于一些扫描网络共享工具的出现，给设置了共享的主机带来极大的不安全因素。

（2）关闭文件和打印机共享。对于不需要共享服务的主机，彻底关闭文件和打印机共享服务，可以根本解决由于Windows的共享功能带来的安全隐患。在拨号和网络连接属性里，取消“Microsoft网络的文件和打印机共享”在高级TCP/IP设置属性页中的WINS栏里面，选择“禁用TCP/IP上的NetBios”。

12.开启系统和文件审核

Windows的日志文件通常有应用程序日志、安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等，可能会根据服务器所开启的服务不同而不同。