Service Packs和Hotfixs安装情况:运行cmd打开命令提示符窗口,再输入systeminfo查看目前补丁信息
审计和帐号策略操作:点击开始->设置->控制面板,然后双击管理工具,最后双击本地安全策略,开始进行检查密码策略:密码必须符合复杂性要求(启用)密码策略:密码长度最小值(8)密码策略:密码最长使用期限(90天)密码策略:密码最短使用期限(1天)密码策略:强制密码历史(24)避免用户更改口令时使用以前使用过的口令,可以防止密码的泄露。密码策略:用可还原的加密来储存密码(禁用)
帐户锁定策略:复位帐户锁定计数器(15分钟之后)帐户锁定策略:帐户锁定时间(15分钟)帐户锁定策略:帐户锁定阀值(3次无效登录)
安全选项:帐户:来宾状态(已禁用)
审核策略:审核策略更改(成功和失败)审核策略:审核登录事件(成功和失败)审核策略:审核对象访问(失败)用于跟踪特定用户对特定文件的访问。审核策略:审核过程跟踪(可选)跟踪每次一个用户启动,停止或改变一个进程,该事件的日志将会增长的非常快,建议仅在绝对必须时才使用。审核策略:审核目录服务访问(未定义)仅域控制器才需要审计目录服务访问。审核策略:审核特权使用(失败)用于跟踪用户对超出赋予权限的使用。审核策略:审核系统事件(成功和失败)系统事件审计相当关键,它包括启动、关闭计算机,或其它安全相关的事件。审核策略:审核帐户登录事件(成功和失败)审核策略:审核帐户管理(成功和失败)用于跟踪账号的创建、改名、用户组的创建和改名、账号口令的更改等。
安全设置Microsoft 网络服务器:当登录时间用完时自动注销用户(启用)可以避免用户在不适合的时间登录到系统,或者用户登录到系统后忘记退出登录 Microsoft 网络服务器:在挂起会话之前所需的空闲时间(小于等于30分钟)Microsoft 网络客户端:发送未加密的密码到第三方SMB服务器:(禁用)故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问(禁用)Windows 2003控制台恢复的另一个特性是它禁止访问硬盘驱动器上的所有文件和目录。它仅允许访问每个卷的根目录和%systemroot%目录及子目录,即使是这样它还限制不允许把硬盘驱动器上的文件拷贝到软盘上。 故障恢复控制台:允许自动系统管理级登录(禁用)关机:清除虚拟内存页面文件(启用)关机:允许系统在未登录前关机(禁用)交互式登录:不显示上次的用户名(启用)交互式登录:不需要按Ctrl+Alt+Del(禁用)交互式登录:可被缓存的前次登录个数(在域控制器不可用的情况下)(0)帐户:重命名系统管理员账户(除了Administrator 的其它名字)网络访问:不允许SAM帐户和共享的匿名枚举(启用)网络访问:不允许为网络身份验证储存凭证或 .NET passports(启用)审核:如果无法记录安全审核则立即关闭系统 (启用)审核:对全局系统对象的访问进行审核(启用)审核:对备份和还原权限的使用进行审核(启用)关闭系统: 只有Administrators组通过终端服务拒绝登陆:加入Guests、User组通过终端服务允许登陆:只加入Administrators组从网络访问此计算机中删除PowerUsers和BackupOperators
注册表安全设置 运行regedit,然后进行检查禁止自动登录 自动登录会把用户名和口令以明文的形式保存在注册表中。 HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\AutoAdminLogon (REG_DWORD) 0禁止CD自动运行: HKLM\System\CurrentControlSet\Services\CDrom\ Autorun (REG_DWORD) 0删除服务器上的管理员共享: HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer (REG_DWORD) 0 每个Windows NT/2000机器在安装后都缺省存在”管理员共享”,它们被限制只允许管理员使用,但是它们会在网络上以Admin$,c$等来暴露每个卷的根目录和%systemroot%目录。源路由欺骗保护: .HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting (REG_DWORD) 2帮助防止碎片包攻击: HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscovery (REG_DWORD) 1防止SYN Flood攻击: HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect (REG_DWORD) 2SYN攻击保护-管理TCP半开sockets的最大数目:HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\ TcpMaxHalfOpen (REG_DWORD) 100 或 500
不必要的服务操作:点击开始->设置->控制面板,然后双击管理工具,最后双击服务,开始进行检查Alerter – 禁止 Alerter服务通常用于进程间发送信息,比如执行打印作业.它也用于和Messenger服务连接来在网络上的计算机间发送同样的信息。Clipbook – 禁止Clipbook服务用于在网络上的机器间共享剪裁板上的信息.大多数情况下用户没有必要和其它机器共享这种信息。Computer Browser – 禁止Computer Browser服务跟踪网络上一个域内的机器.它允许用户通过网上邻居来发现他不知道确切名字的共享资源.不幸的是它可以不通过任何授权就允许任何人浏览这些资源。Internet Connection Sharing – 禁止Messenger – 禁止Remote Registry Service –禁止Routing and Remote Access – 禁止Simple Mail Trasfer Protocol(SMTP) – 禁止Simple Network Management Protocol(SNMP) Service – 禁止该服务是IIS的一部分,应该被禁止或完全删除。 Simple Network Management Protocol(SNMP) Trap – 禁止Telnet – 禁止World Wide Web Publishing Service – 禁止 文件系统所有的磁盘卷使用NTFS文件系统NTFS文件系统具有更好的安全性, 提供了强大的访问控制机制。
个人版防火墙和防病毒软件已经安装第三方个人版防火墙已经安装防病毒软件防病毒软件的特征码和检查引擎已经更新到最新。防病毒软件已设置自动更新 后门查找不存在异常端口(netstat -an)不存在异常服务(net start)注册表的自动运行项中不存在异常程序(regedit)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunOnceHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ RunOnce系统中不存在异常系统账号(打开控制面板->计算机管理)打开杀毒软件杀毒历史记录,不存在没被清除的病毒身份鉴别 错误用户名、口令登录失败添加重复标识的用户失败