WINDOWS安全管理规范
目录
上线前阶段 (3)
1)组策略设置 (3)
2)账号安全设置 (4)
3)防火墙安全设置 (4)
4)禁用服务 (4)
5)修改注册表,默认远程端口以及放SYN_FLOOD (5)
6)禁用IPv6 (5)
7)禁用NetBIOS (6)
8)监控安装 (6)
9)站点文件Hash以及文件目录的审计设置 (6)
10)杀毒安装 (6)
11)安全扫描 (7)
12)Windows更新 (7)
13)站点备份 (7)
14)安装日志收集器 (7)
15)服务器SSL配置 (7)
16)IPS和WAF加入防护 (7)
17)修改主机名 (8)
18)IIS权限设置 (8)
日常维护阶段 (11)
1)监控查看 (11)
2)杀毒 (11)
3)安全扫描 (11)
4)站点文件一致性检查 (12)
5)站点备份 (12)
6)Windows更新 (12)
7)日志的查看 (12)
被入侵后 (12)
1)站点文件一致性检查 (12)
2)系统文件一致性检查 (12)
3)无法找到原因的处理 (13)
上线前阶段
1)组策略设置
●计算机配置-windows设置-安全设置-高级审核策略配置-账户登录-审核凭据验证-成功,失败
●计算机配置-windows设置-安全设置-高级审核策略配置-账户登录-审核Kerberos 身份验证服务-成功,失败
●计算机配置-windows设置-安全设置-高级审核策略配置-账户登录-审核Kerberos 服务票证操作-成功,失败
●计算机配置-windows设置-安全设置-高级审核策略配置-账户登录-审核其他帐户登录事件-成功,失败
●
●计算机配置-windows设置-安全设置-高级审核策略配置-账号管理-审核计算机帐户管理-成功,失败
●计算机配置-windows设置-安全设置-高级审核策略配置-账号管理-审核其他帐户管理事件-成功,失败
●计算机配置-windows设置-安全设置-高级审核策略配置-账号管理-审核用户帐户管理-成功,失败
●计算机配置-windows设置-安全设置-高级审核策略配置-账号管理-审核应用程序组管理-成功,失败
●计算机配置-windows设置-安全设置-高级审核策略配置-账号管理-审核通讯组管理-成功,失败
●计算机配置-windows设置-安全设置-高级审核策略配置-账号管理-审核安全组管理-成功,失败
●计算机配置-windows设置-安全设置-高级审核策略配置-详细跟踪-审核进程创建-成功,失败
●计算机配置-windows设置-安全设置-高级审核策略配置-详细跟踪-审核进程终止-成功,失败
●计算机配置-windows设置-安全设置-高级审核策略配置-登录/注销-审核帐户锁定-成功,失败
●计算机配置-windows设置-安全设置-高级审核策略配置-登录/注销-审核注销-成功,失败
●计算机配置-windows设置-安全设置-高级审核策略配置-登录/注销-审核登录-成功,失败
●计算机配置-windows设置-安全设置-高级审核策略配置-登录/注销-审核特殊登录-成功,失败
●计算机配置-windows设置-安全设置-高级审核策略配置-登录/注销-审核其他登录/注销事件-成功,失败
●计算机配置-windows设置-安全设置-高级审核策略配置-对象访问-审核已生成应用程序-成功,失败
●计算机配置-windows设置-安全设置-高级审核策略配置-对象访问-审核详细的文件共享-成功,失败
●计算机配置-windows设置-安全设置-高级审核策略配置-对象访问-审核文件系统-成功,失败
●计算机配置-windows设置-安全设置-高级审核策略配置-对象访问-审核注册表-成功,失败
●计算机配置-windows设置-安全设置-高级审核策略配置-对象访问-审核SAM-成功,失败
●计算机配置-windows设置-安全设置-高级审核策略配置-对象访问-审核证书服务-成功,失败
●
●计算机配置-windows设置-安全设置-高级审核策略配置-策略更改-审核审核策略更改-成功,失败
●计算机配置-windows设置-安全设置-高级审核策略配置-策略更改-审核身份验证策略更改-成功,失败
●计算机配置-windows设置-安全设置-高级审核策略配置-策略更改-审核授权策略更改-成功,失败
●计算机配置-windows设置-安全设置-高级审核策略配置-策略更改-审核MPSSVC规则级别策略更改-成功,失败
●计算机配置-windows设置-安全设置-高级审核策略配置-策略更改-审核其他策略更改事件-成功,失败
●计算机配置-windows设置-安全设置-高级审核策略配置-策略更改-审核筛选平台策略更改-成功,失败
●计算机配置-windows设置-安全设置-高级审核策略配置-特权使用-审核敏感权限使用-成功,失败
●计算机配置-windows设置-安全设置-高级审核策略配置-系统-审核其他系统事件-成功,失败
●计算机配置-windows设置-安全设置-高级审核策略配置-系统-审核安全状态更改-成功,失败
●计算机配置-windows设置-安全设置-高级审核策略配置-系统-审核安全系统扩展-成功,失败
●计算机配置-windows设置-安全设置-高级审核策略配置-系统-审核系统完整性-成功,失败
●计算机配置-windows设置-安全设置-本地策略-安全选项-网络访问:不允许SAM账户的匿名枚举-启用
●计算机配置-windows设置-安全设置-本地策略-安全选项-网络访问:不允许SAM账户和共享的匿名枚举-启用
●计算机配置-windows设置-安全设置-本地策略-用户权限分配-从网络访问此计算机-删除除管理员以外其他账号
●计算机配置->管理模板->网络->DNS客户端->关闭多播名称解析->启用
●计算机配置->Windows组件->远程桌面服务->远程桌面会话主机->会话时间限制->设置活动但空闲的远程桌面服务会话时间限制-30分钟
●计算机配置->Windows组件->远程桌面服务->远程桌面会话主机->连接->限制连接的数量-2
●计算机配置->Windows组件->事件日志服务->安全->指定日志文件大小 500M
●计算机配置->Windows组件->事件日志服务->安装程序->指定日志文件大小 500M
●计算机配置->Windows组件->事件日志服务->系统->指定日志文件大小 500M
●计算机配置->Windows组件->事件日志服务->应用程序->指定日志文件大小 500M
●计算机配置->Windows组件->Windows登录选项->在用户登录期间显示有关以前的登录信息
●计算机配置->Windows组件->Windows更新->对已有用户登录的计算机,计划的自动安装更新不执行重新启动
2)账号安全设置
3)防火墙安全设置
4)禁用服务
5) 修改注册表,默认远程端口以及放SYN_FLOOD
6) 禁用IPv6
7) 禁用NetBIOS
8) 监控安装
9) 站点文件Hash以及文件目录的审计设置
FileIntergrityCheck.txt FileIntegrityCheck.py 10) 杀毒安装
McAfeeSmartInstall.exe
11) 安全扫描
12) Windows更新
13) 站点备份
14) 安装日志收集器
15) 服务器SSL配置
ITrusIIS.exe 16) IPS和WAF加入防护
17) 修改主机名
18) IIS权限设置
1.全局站点权限设置
a)IIS->处理程序映射->编辑功能权限
读取
脚本
2.静态文件目录权限
对于不包含*.php,*.aspx,*.asp,*.jsp等动态网页文件的目录,即可定义为静态文件目录
a)选择对应目录->处理映射程序->编辑功能权限
读取
19) TOMCAT安全设置
日常维护阶段
1)监控查看
●运维人员每天最少查看一次自身管理服务器的监控
●查看监控时应该留意以下位置,发现该数字不为0时,应该检查自身服务器是否有不被支持或报错的监控项目
●
●
2)杀毒
3)安全扫描
4)站点文件一致性检查
5)站点备份
6)Windows更新
7)日志的查看
被入侵后
1)站点文件一致性检查
2)系统文件一致性检查
3)无法找到原因的处理。