Windows安全系统配置要求规范

实用文档

2.12

编号：1 会话超时设置（可选）

要求内容 操作指南 对于远程登录的账户，设置不活动所连接时间15分钟 1、参考配置操作 进入“控制面板—管理工具—本地安全策略”，在“安全策略—安全选项”：“Microsoft 网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟 检测方法 1、判定条件 “Microsoft 网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟 2、检测操作 进入“控制面板—管理工具—本地安全策略”，在“安全策略—安全选项”：查看“Microsoft 网络服务器”设置

实用文档

2.13

编号：1

注册表：（可选）

要求内容 操作指南 在不影响系统稳定运行的前提下，对注册表信息进行更新。 1、参考配置操作 ? 自动登录： HKLM\\Software\\Microsoft\\WindowsNT\\ CurrentVersion\\Winlogon\\AutoAdminLogon (REG_DWORD) 0 ? 源路由欺骗保护： HKLM\\System\\CurrentControlSet\\ Services\\Tcpip\\Parameters\\DisableIPSourceRouting (REG_DWORD) 2 ? 删除匿名用户空链接 HKEY_LOCAL_MACHINE SYSTEM\\Current\\Control\\Set\\Control\\Lsa 将restrictanonymous 的值设置为1，若该值不存在，可以自己创建，类型为REG_DWORD 修改完成后重新启动系统生效 ? 碎片攻击保护： HKLM\\System\\CurrentControlSet\\ Services\\Tcpip\\Parameters\\EnablePMTUDiscovery (REG_DWORD) 1 ? Syn flood 攻击保护： HKLM\\System\\CurrentControlSet\\ Services\\Tcpip\\Parameters\\SynAttackProtect (REG_DWORD) 2 SYN攻击保护-管理TCP半开sockets的最大数目: HKLM\\System\\CurrentControlSet\\Services\\Tcpip\\Parameters\\ TcpMaxHalfOpen (REG_DWORD) 100 或 500

实用文档

检测方法 1、判定条件 2、检测操作 点击开始->运行，然后在打开行里输入regedit，然后单击确定，查看相关注册表项进行查看； 使用空连接扫描工具无法远程枚举用户名和用户组 附表：端口及服务

服务名称 端口 服务说明 系统服务部分 echo echo discard discard daytime daytime qotd qotd chargen chargen 7/TCP 7/UDP 9/UDP 9/TCP 13/UDP 13/TCP 17/TCP 17/UDP 19/TCP 19/UDP RFC862_回声协议 RFC862_回声协议 RFC863 废除协议 RFC863 废除协议 RFC867 白天协议 RFC867 白天协议 RFC865 白天协议的引用 RFC865 白天协议的引用 RFC864 字符产生协议 RFC864 字符产生协议 关闭\ftp 21/TCP 文件传输协议(控制) Publishing Service\服务。 关闭\smtp 25/TCP 简单邮件发送协议 Transport Protocol\服务。 42/TCP nameserver 42/UDP WINS 主机名服务 关闭\Internet Name Service\服务。 建议关闭 建议关闭 根据情况选择开放 关闭方法 处置建议 关闭\TCP/IP Services\服务。 建议关闭

实用文档

53/UDP domain 53/TCP DHCP 服务器/Internet 连接共享 DHCP协议客户端 域名服务器 根据情况选择关闭\Server\服务。 开放 根据情况选择开放 关闭\TCP/IP Services\服务。 关闭\服务。 关闭\建议关闭 dhcps 67/UDP dhcpc 68/UDP 建议关闭 http 80/TCP HTTP 万维网发布服务 Web Publishing Service\服务。 根据情况选择开放 无法关闭 无法关闭 根据情况选择开放 根据情况选择开放 无法关闭 根据情况选择开放 根据情况选择开放 epmap netbios-ns netbios-dgm netbios-ssn snmp 135/TCP 135/UDP 137/UDP 138/UDP 139/TCP 161/UDP RPC服务 NetBIOS 名称解析 NetBIOS 数据报服务 NetBIOS 会话服务 SNMP 服务 安全超文本传输协议 系统基本服务 在网卡的TCP/IP选项中\页勾选\禁用TCP/IP上的NETBIOS\系统基本服务 关闭\服务 关闭\Web Publishing Service\服务 运行regedit，打开HKEY_LOCAL_MACHINhttps 443/TCP 445/UDP E\\System\\CurrentControlSet\\Services\\NetBT\\Parameters添加名为\\的子键，类型dword，值为0重新启动计算机 很少使用的服根据情况选择开放 microsoft-ds SMB 服务器 445/TCP isakmp 500/UDP IPSec ISAKMP 本地安全机构 旧式 RADIUS 关闭\务，如不使用Agent\服务 关闭\Access Connection Manager\服务 建议关闭 ipsec，建议关闭 RADIUS 1645/UDP Internet 身份验证服务

实用文档

旧式 RADIUS RADIUS 1646/UDP Internet 身份验证服务 radius 1812/UDP 身份验证 Internet 身份验证服务 计帐 Internet 身份验证服务 MSMQ-RPC 消息队列 关闭\Queuing\服务。 关闭\Services\服务。 建议关闭 建议关闭 radacct 1813/UDP 建议关闭 MSMQ-RPC 2105/TCP 建议关闭 Termsrv 3389/TCP 终端服务 其他常用服务 根据情况选择开放 Apache 80/TCP 8000/TCP Apache HTTP 服务器 关闭\服务。 根据情况选择开放 ms-sql-s 1433/TCP 1434/UDP 微软公司数据库 关闭\服务。 关闭根据情况选择开放 ORACLE 1521/TCP 甲骨文公司数据库 \NSListener\服务。 关闭\根据情况选择开放 remote administrator 4899/TCP Famatech公司远程控制软件 Administrator Service \服务。 关闭\根据情况选择开放 sybase 5000/TCP Sybase公司数据库 SQLServer\字样开始的服务。 根据情况选择开放 pcAnywhere 5631/TCP 5632/UDP Symantec公司远程控制软件 关闭\Host Service\字样开始的服务。 根据情况选择开放