最新Windows安全配置规范资料

《Windows操作系统安全配置》课程标准一、课程定位本课程属于信息安全与管理专业核心能力学习领域课程,是专业核心课程。

主要目标是让学生掌握Windows操作系统的安装及安全配置的知识，包括了解Windows的发展历程及现状，安全策略的制定与实施方法，掌握Windows操作系统的安装及安全配置方法，掌握账户安全策略、数据安全策略、服务券策略等的设置。

本课程培养学生具有网络安全管理相关岗位或个人计算机实施安全配置管理的能力、提高计算机抵抗安全风险的能力等。

二、课程目标（一）素质目标（1）具有科学的世界观、人生观和价值观，践行社会主义荣辱观；具有爱国主义精神；具有责任心和社会责任感；具有法律意识。

（2）具有合理的知识结构和一定的知识储备；具有不断更新知识和自我完善的能力；具有持续学习和终身学习的能力；具有一定的创新意识、创新精神及创新能力；具有一定的人文和艺术修养；具有良好的人际沟通能力。

（3）掌握必需的信息安全与管理专业知识，能够从事企业信息安全工程设计与实施、具备各种常规安全设备的安装、管理、维护和使用的能力；能够协助管理层，完成企业常规信息安全管理工作；具有一定的数理与国际思维能力；具有一定的工程意识和效益意识。

（4）具有良好的职业道德和职业操守；具有较强的祖师观念和集体意识；具有较强的执行能力以及较高的工作效率和安全意识。

（5）具有健康的体魄和良好的身体素质；拥有积极的人生态度；具有良好的心理调试能力。

（二）能力目标（1）具备安全配置需求分析能力；（2）具备操作系统安装能力；（3）具备操作系统用户管理能力；（4）具备安全配置策略设计能力；（5）具备资源配置与管理能力；（6）具备各种服务的部署能力；（7）具备安全配置实施能力；（8）具备安全配置测试与运维能力。

（三）知识目标（1）理解Windows系统安全要素；（2）掌握Windows操作系统的安装与配置（3）掌握Windows操作系统的管理能力；（4）掌握Windows系统账户安全设置；（5）掌握Windows系统资源的安全防护方法；（6）熟知安全配置的意义和特征；（7）熟知安全配置的主要技术；（8）掌握windows系统受到的威胁和解决策略；（9）熟悉操作系统安全加固知识；三、课程内容组织表1 课程内容组织表四、教学实施建议教学实施建议采用线上线下混合式教学模式。

计算机终端安全配置手册（Windows 平台）目录1审核策略设置 (3)1.1开启密码策略 (3)1.2开启帐户锁定策略 (4)1.3开启审核策略 (4)2帐户设置 (5)2.1UAC（用户帐户控制）提醒 (5)2.2禁用Guest 帐户 (6)2.3取消“密码永不过期” (7)2.4修改密码 (8)3系统设置 (8)3.1设置计算机名 (8)3.2设置屏幕保护程序 (13)3.3防病毒软件设置 (16)3.4设置时钟同步 (19)3.5系统补丁自动更新 (20)3.6设置防火墙 (23)3.7日志文件设置 (24)4FAQ (25)附录 (27)1.常见的服务和功能说明 (27)2.常见端口说明 (30)1审核策略设置1.1开启密码策略计算机终端启用密码策略，设置帐户密码时会依据密码策略校验密码是否符合要求，以避免设置帐户密码为非强密码对计算机终端造成安全风险。

设置要求：必须设置方法：1、打开『控制面板』->『所有控制面板项』->『管理工具』，双击“本地安全策略” ，或在『运行』->输入secpol.msc，并确认。

2、在『安全设置』->『帐户策略』->『密码策略』下，进行密码策略的设置。

密码策略包括：∙密码必须符合复杂性要求：已启用∙密码长度最小值：8 位∙密码最长留存期：90 天∙强制密码历史：3 个记住的密码1.2开启帐户锁定策略计算机终端启用帐户锁定策略，可以有效防止攻击者使用暴力破解方式猜测用户密码。

设置要求：必须设置方法：1、打开『控制面板』->『所有控制面板项』->『管理工具』，双击“本地安全策略”，或在『运行』-> 输入secpol.msc，并确认。

2、在『安全设置』->『帐户策略』->『帐户锁定策略』下，进行帐户锁定策略的设置。

先修改“帐户锁定阈值”设置，其它两项会自动提示修改∙帐户锁定阈值：10 次无效登录∙帐户锁定时间：30 分钟∙重置帐户锁定计数器：30 分钟之后1.3开启审核策略审核策略是计算机终端最基本的入侵检测方法，当尝试对系统进行某些方式（如尝试用户密码、改变帐户策略、未经许可的文件访问等）入侵时审核策略会进行系统日志记录。

系统安全配置技术规范-W i n d o w s-标准化文件发布号：（9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII系统安全配置技术规范—Windows212211文档说明（一）变更信息（二）文档审核人目录1. 适用范围 ..................................................................................................... 错误!未定义书签。

2. 帐号管理与授权 ......................................................................................... 错误!未定义书签。

【基本】删除或锁定可能无用的帐户 ................................................. 错误!未定义书签。

【基本】按照用户角色分配不同权限的帐号 ..................................... 错误!未定义书签。

【基本】口令策略设置不符合复杂度要求 ......................................... 错误!未定义书签。

【基本】设定不能重复使用口令......................................................... 错误!未定义书签。

不使用系统默认用户名 .................................................................... 错误!未定义书签。

口令生存期不得长于90天 .............................................................. 错误!未定义书签。

WindowsServer2023安全配置1. 启用防火墙：Windows Server 2023内置了防火墙功能，用户可以通过配置防火墙规则来限制网络流量，防止恶意攻击和未经授权的访问。

2. 更新系统补丁：定期更新Windows Server 2023的系统补丁和安全更新，以修复已知的漏洞和安全问题。

3. 安装安全软件：安装杀毒软件、防火墙和其他安全工具，确保系统的安全状态。

4. 配置用户权限：合理配置用户权限，限制用户对系统和应用程序的访问权限，降低被恶意软件攻击和非法访问的风险。

5. 使用加密通信：启用SSL/TLS协议，使用HTTPS协议访问网页，使用加密协议进行远程访问等，以保障通信内容的机密性和完整性。

6. 启用安全审计：通过启用Windows Server 2023的安全审计功能，记录关键事件和活动，帮助追踪和排查安全问题。

7. 加强远程访问控制：对远程访问进行认证和授权管理，使用VPN等安全通道进行远程访问，提高远程访问的安全性。

8. 设定密码策略：设置密码复杂度要求、密码过期策略、账户锁定策略等，加强账户和密码安全管理。

综上所述，通过合理的安全配置，用户可以提高Windows Server 2023系统的安全性，降低面临的安全风险。

同时，用户也需要定期对系统进行安全评估和漏洞扫描，及时更新安全策略，以应对不断变化的安全威胁。

9. 数据备份与恢复：配置定期数据备份和灾难恢复策略，确保在系统遭受攻击或数据丢失时能够及时恢复数据。

备份数据应存储在安全可靠的地方，并进行加密保护，以免被恶意攻击者获取。

10. 关闭不必要的服务：在Windows Server 2023上，往往会默认安装一些不必要的服务和功能，这些服务可能会成为潜在的安全隐患。

建议管理员进行分类评估，关闭那些不必要的服务和功能，以减少系统的攻击面。

11. 加强身份验证：采用多因素身份验证(MFA)作为访问系统的标准，确保只有经过授权的用户才能够成功访问系统。

贵州大学实验报告（小三号，加黑）学院：计算机科学与技术专业：信息安全班级：121实验数据系统安全试验：一、账户和密码的安全设置1、删除不在使用的账户，禁止guest账户删除不再使用的用户禁用guest账户2、启用账户策略启动密码复杂性要求验证发现不符合要求设置密码长度最小值密码最短使用期限密码最长使用期限设置账户锁定阀值设置账户锁定时间3、开机时设置为不自动显示上次登录用户4、禁止枚举账户名二、文件系统安全设置1、删除everyone组的操作权限2、对同一磁盘进行不同的用户全选分配查看磁盘高级安全设置三、用加密软件EFS加密硬盘数据创建新用户加密文件切换用户，访问被加密的文件切换回来，在控制台添加证书查看证书详细信息导出证书再次切换用户，同过证书查看文件：导入证书选择文件查看文件四、启用审查与日志查看1、打开审查策略对相应的选项进行设置，如审核账户管理2、查看时间日志查看安全性双击选中项，可查看具体信息五、启用安全策略与安全模板1、启用安全模板在安全配置和分析中打开数据库分析计算机分析结果配置计算机2、创建安全模板设置密码长度最小值六、利用MBSA检查和配置系统安全1、系统漏洞扫描设置参数2、扫描结果查看详情和查看纠正方法Windows中web、ftp服务器的安全配置：一、用IIS建立高安全性的Web服务器1、删除不必要的虚拟目录2、停止默认的Web站点新建一个网站3、对IIS中的文件和目录进行分类，分别设置权限4、删除不必要的应用程序映射5、维护日志安全指定路径修改路径的权限6、修改端口值二、Ftp服务器的安全配置停止默认Ftp站点将自己的Ftp站点的默认端口号改成其他值启用日志记录复选框，并设置其日志文件目录取消允许匿名连接删除除Adminstrator用户之外的一切用户设置Ftp的主目录在目录安全性的选项卡中添加被拒绝或允许访问的IP地址思考题：1、单击网站的右键，选择【属性】，点击目录安全性，在【身份验证和访问控制】中选择【编辑】，在【身份验证方法】中选择【基于身份验证】。

Windows 安全配置规范
2010 年 11 月
第1章概述
1.1 适用范围
本规范明确了Windows 操作系统在安全配置方面的基本要求，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。

适用于中国电信所有运行的Windows 操作系统，包括Windows 2000、Windows XP 、Windows2003, Windows7 , Windows 2008 以及各版本中的Sever、Professional版本。

第2章安全配置要求2.1 账号
编号：1
编号：2
编号：3
2.2 口令编号：1
编号：2
编号：3
编号：4
2.3 授权编号：1
编号：2
编号：3
2.4 补丁
编号：1
2.5 防护软件编号：1（可选）
2.6 防病毒软件编号：1
2.8 日志安全要求编号：1
编号：2
编号：3
2.7 Windows 服务编号：1
编号：2
编号：3
2.8 启动项
2.9 关闭自动播放功能编号：1
2.10 共享文件夹编号：1
编号：2
2.11使用NTFS 文件系统
2.12 会话超时设置（可选）编号：1
2.13 注册表：（可选）编号：1
附表：端口及服务。

精品文档Windows 安全配置规范2010 年 11 月第1章概述1.1 适用范围本规范明确了Windows 操作系统在安全配置方面的基本要求，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。

适用于中国电信所有运行的Windows 操作系统，包括Windows 2000 、 Windows XP、 Windows2003, W indows7 , Windows 2008 以及各版本中的 Sever 、 Professional版本。

第 2章安全配置要求2.1 账号编号： 1要求内容应按照不同的用户分配不同的账号，避免不同用户间共享账号，避免用户账号和设备间通信使用的账号共享。

操作指南1、参考配置操作进入“控制面板 -> 管理工具 -> 计算机管理” ，在“系统工具 -> 本地用户和组” ：根据系统的要求，设定不同的账户和账户组。

检测方法1、判定条件结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的账户和账户组2、检测操作进入“控制面板 -> 管理工具 -> 计算机管理” ，在“系统工具 -> 本地用户和组” ：查看根据系统的要求，设定不同的账户和账户组编号： 2要求内容应删除与运行、维护等工作无关的账号。

1．参考配置操作A）可使用用户管理工具：开始 - 运行 -compmgmt.msc- 本地用户和组 - 用户操作指南B）也可以通过net 命令：删除账号：net user account/de1停用账号： net user account/active:no1.判定条件结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的账号。

注：主要指测试帐户、共享帐号、已经不用账号检测方法等2.检测操作开始 - 运行 -compmgmt.msc- 本地用户和组 - 用户编号： 3要求内容重命名 Administrator；禁用guest（来宾）帐号。

原则关掉所有不使用的服务,不安装所有与服务器无关的软件,打好所有补丁修改3389HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\T erminalServer\Wds\Repwd\Tds\T cp, 看到那个PortNumber没有?0xd3d，这个是16进制，就是3389啦，我改XXXX这个值是RDP(远程桌面协议)的默认值，也就是说用来配置以后新建的RDP服务的，要改已经建立的RDP服务，我们去下一个键值：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStatio ns这里应该有一个或多个类似RDP-TCP的子健（取决于你建立了多少个RDP服务），一样改掉PortNumber。

修改系统日志保存地址默认位置为应用程序日志、安全日志、系统日志、DNS日志默认位置：%systemroot%\system32\config，默认文件大小512KB，管理员都会改变这个默认大小。

安全日志文件：%systemroot%\system32\config\SecEvent.EVT系统日志文件：%systemroot%\system32\config\SysEvent.EVT应用程序日志文件：%systemroot%\system32\config\AppEvent.EVTInternet信息服务FTP日志默认位置：%systemroot%\system32\logfiles\msftpsvc1\，默认每天一个日志Internet信息服务WWW日志默认位置：%systemroot%\system32\logfiles\w3svc1\，默认每天一个日志Scheduler(任务计划)服务日志默认位置：%systemroot%\schedlgu.txt应用程序日志，安全日志，系统日志，DNS服务器日志，它们这些LOG文件在注册表中的：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EventlogSchedluler(任务计划)服务日志在注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgentSQL删掉或改名xplog70.dll[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\paramet"AutoShareServer"=dword:00000000"AutoShareWks"=dword:00000000// AutoShareWks 对pro版本// AutoShareServer 对server版本// 0 禁止管理共享admin$,c$,d$之类默认共享[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA] "restrictanonymous"=dword:00000001//0x1 匿名用户无法列举本机用户列表//0x2 匿名用户无法连接本机IPC$共享(可能sql server不能够启动)本地安全策略封TCP端口:21(FTP,换FTP端口)23(TELNET),53(DNS),135,136,137,138,139,443,445,1028,1433,3389可封TCP端口:1080,3128,6588,8080(以上为代理端口).25(SMTP),161(SNMP),67(引导) 封UDP端口:1434(这个就不用说了吧)封所有ICMP,即封PING以上是最常被扫的端口,有别的同样也封,当然因为80是做WEB用的审核策略为审核策略更改:成功,失败审核登录事件:成功,失败审核对象访问:失败审核对象追踪:成功,失败审核目录服务访问:失败审核特权使用:失败审核系统事件:成功,失败审核账户登录事件:成功,失败审核账户管理:成功,失败密码策略:启用“密码必须符合复杂性要求","密码长度最小值"为6个字符,"强制密码历史"为5次,"密码最长存留期"为30天.在账户锁定策略中设置:"复位账户锁定计数器"为30分钟之后,"账户锁定时间"为30分钟,"账户锁定值"为30分钟.安全选项设置:本地安全策略==本地策略==安全选项==对匿名连接的额外限制,双击对其中有效策略进行设置,选择"不允许枚举SAM账号和共享",因为这个值是只允许非NULL用户存取SAM账号信息和共享信息,一般选择此项.禁止登录屏幕上显示上次登录的用户名控制面板==管理工具==本地安全策略==本地策略==安全选项HKEY_LOCAL_MACHINE\SOFTTWARE\Microsoft\WindowsNT\CurrentVesion\Winlogn 项中的Don't Display Last User Name串，将其数据修改为1禁TCP/IP中的禁用TCP/IP上的NetBIOS修改默认管理用户名(这就不用说了吧),禁用Guest帐号,除了ADMIN组的用户可以远程登陆本机完,别的用户的远程登陆都去掉WEB目录用户权限设定...依次做下面的工作:选取整个硬盘：system：完全控制administrator：完全控制(允许将来自父系的可继承性权限传播给对象)b.\program files\common files：everyone：读取及运行列出文件目录读取(允许将来自父系的可继承性权限传播给对象)c.\inetpub\wwwroot：iusr_machine：读取及运行列出文件目录读取(允许将来自父系的可继承性权限传播给对象)e.\winnt\system32：选择除inetsrv和centsrv以外的所有目录，去除“允许将来自父系的可继承性权限传播给对象”选框，复制。

WINDOWS安全管理规范目录上线前阶段 (3)1)组策略设置 (3)2)账号安全设置 (4)3)防火墙安全设置 (4)4)禁用服务 (4)5)修改注册表,默认远程端口以及放SYN_FLOOD (5)6)禁用IPv6 (5)7)禁用NetBIOS (6)8)监控安装 (6)9)站点文件Hash以及文件目录的审计设置 (6)10)杀毒安装 (6)11)安全扫描 (7)12)Windows更新 (7)13)站点备份 (7)14)安装日志收集器 (7)15)服务器SSL配置 (7)16)IPS和WAF加入防护 (7)17)修改主机名 (8)18)IIS权限设置 (8)日常维护阶段 (11)1)监控查看 (11)2)杀毒 (11)3)安全扫描 (11)4)站点文件一致性检查 (12)5)站点备份 (12)6)Windows更新 (12)7)日志的查看 (12)被入侵后 (12)1)站点文件一致性检查 (12)2)系统文件一致性检查 (12)3)无法找到原因的处理 (13)上线前阶段1)组策略设置●计算机配置-windows设置-安全设置-高级审核策略配置-账户登录-审核凭据验证-成功,失败●计算机配置-windows设置-安全设置-高级审核策略配置-账户登录-审核Kerberos 身份验证服务-成功,失败●计算机配置-windows设置-安全设置-高级审核策略配置-账户登录-审核Kerberos 服务票证操作-成功,失败●计算机配置-windows设置-安全设置-高级审核策略配置-账户登录-审核其他帐户登录事件-成功,失败●●计算机配置-windows设置-安全设置-高级审核策略配置-账号管理-审核计算机帐户管理-成功,失败●计算机配置-windows设置-安全设置-高级审核策略配置-账号管理-审核其他帐户管理事件-成功,失败●计算机配置-windows设置-安全设置-高级审核策略配置-账号管理-审核用户帐户管理-成功,失败●计算机配置-windows设置-安全设置-高级审核策略配置-账号管理-审核应用程序组管理-成功,失败●计算机配置-windows设置-安全设置-高级审核策略配置-账号管理-审核通讯组管理-成功,失败●计算机配置-windows设置-安全设置-高级审核策略配置-账号管理-审核安全组管理-成功,失败●计算机配置-windows设置-安全设置-高级审核策略配置-详细跟踪-审核进程创建-成功,失败●计算机配置-windows设置-安全设置-高级审核策略配置-详细跟踪-审核进程终止-成功,失败●计算机配置-windows设置-安全设置-高级审核策略配置-登录/注销-审核帐户锁定-成功,失败●计算机配置-windows设置-安全设置-高级审核策略配置-登录/注销-审核注销-成功,失败●计算机配置-windows设置-安全设置-高级审核策略配置-登录/注销-审核登录-成功,失败●计算机配置-windows设置-安全设置-高级审核策略配置-登录/注销-审核特殊登录-成功,失败●计算机配置-windows设置-安全设置-高级审核策略配置-登录/注销-审核其他登录/注销事件-成功,失败●计算机配置-windows设置-安全设置-高级审核策略配置-对象访问-审核已生成应用程序-成功,失败●计算机配置-windows设置-安全设置-高级审核策略配置-对象访问-审核详细的文件共享-成功,失败●计算机配置-windows设置-安全设置-高级审核策略配置-对象访问-审核文件系统-成功,失败●计算机配置-windows设置-安全设置-高级审核策略配置-对象访问-审核注册表-成功,失败●计算机配置-windows设置-安全设置-高级审核策略配置-对象访问-审核SAM-成功,失败●计算机配置-windows设置-安全设置-高级审核策略配置-对象访问-审核证书服务-成功,失败●●计算机配置-windows设置-安全设置-高级审核策略配置-策略更改-审核审核策略更改-成功,失败●计算机配置-windows设置-安全设置-高级审核策略配置-策略更改-审核身份验证策略更改-成功,失败●计算机配置-windows设置-安全设置-高级审核策略配置-策略更改-审核授权策略更改-成功,失败●计算机配置-windows设置-安全设置-高级审核策略配置-策略更改-审核MPSSVC规则级别策略更改-成功,失败●计算机配置-windows设置-安全设置-高级审核策略配置-策略更改-审核其他策略更改事件-成功,失败●计算机配置-windows设置-安全设置-高级审核策略配置-策略更改-审核筛选平台策略更改-成功,失败●计算机配置-windows设置-安全设置-高级审核策略配置-特权使用-审核敏感权限使用-成功,失败●计算机配置-windows设置-安全设置-高级审核策略配置-系统-审核其他系统事件-成功,失败●计算机配置-windows设置-安全设置-高级审核策略配置-系统-审核安全状态更改-成功,失败●计算机配置-windows设置-安全设置-高级审核策略配置-系统-审核安全系统扩展-成功,失败●计算机配置-windows设置-安全设置-高级审核策略配置-系统-审核系统完整性-成功,失败●计算机配置-windows设置-安全设置-本地策略-安全选项-网络访问:不允许SAM账户的匿名枚举-启用●计算机配置-windows设置-安全设置-本地策略-安全选项-网络访问:不允许SAM账户和共享的匿名枚举-启用●计算机配置-windows设置-安全设置-本地策略-用户权限分配-从网络访问此计算机-删除除管理员以外其他账号●计算机配置->管理模板->网络->DNS客户端->关闭多播名称解析->启用●计算机配置->Windows组件->远程桌面服务->远程桌面会话主机->会话时间限制->设置活动但空闲的远程桌面服务会话时间限制-30分钟●计算机配置->Windows组件->远程桌面服务->远程桌面会话主机->连接->限制连接的数量-2●计算机配置->Windows组件->事件日志服务->安全->指定日志文件大小 500M●计算机配置->Windows组件->事件日志服务->安装程序->指定日志文件大小 500M●计算机配置->Windows组件->事件日志服务->系统->指定日志文件大小 500M●计算机配置->Windows组件->事件日志服务->应用程序->指定日志文件大小 500M●计算机配置->Windows组件->Windows登录选项->在用户登录期间显示有关以前的登录信息●计算机配置->Windows组件->Windows更新->对已有用户登录的计算机,计划的自动安装更新不执行重新启动2)账号安全设置3)防火墙安全设置4)禁用服务5) 修改注册表,默认远程端口以及放SYN_FLOOD6) 禁用IPv67) 禁用NetBIOS8) 监控安装9) 站点文件Hash以及文件目录的审计设置FileIntergrityCheck.txt FileIntegrityCheck.py 10) 杀毒安装McAfeeSmartInstall.exe11) 安全扫描12) Windows更新13) 站点备份14) 安装日志收集器15) 服务器SSL配置ITrusIIS.exe 16) IPS和WAF加入防护17) 修改主机名18) IIS权限设置1.全局站点权限设置a)IIS->处理程序映射->编辑功能权限读取脚本2.静态文件目录权限对于不包含*.php,*.aspx,*.asp,*.jsp等动态网页文件的目录,即可定义为静态文件目录a)选择对应目录->处理映射程序->编辑功能权限读取19) TOMCAT安全设置日常维护阶段1)监控查看●运维人员每天最少查看一次自身管理服务器的监控●查看监控时应该留意以下位置,发现该数字不为0时,应该检查自身服务器是否有不被支持或报错的监控项目●●2)杀毒3)安全扫描4)站点文件一致性检查5)站点备份6)Windows更新7)日志的查看被入侵后1)站点文件一致性检查2)系统文件一致性检查3)无法找到原因的处理。