English | 简体中文 | 繁體中文 | Русский язык | Français | Español | Português | Deutsch | 日本語 | 한국어 | Italiano | بالعربية
Первый раздел: Информация о системе
|
Просмотрите версию системы |
Windows Server 2008 r2 Enterprise |
|
Назначение |
VPN-сервер |
|
Просмотрите имя компьютера |
|
|
Просмотрите конфигурацию сети |
Второй раздел: Управление антивирусным программным обеспечением
|
Цель операции |
Предотвратите вредоносные программы, такие как трояны и вирусы. |
|
Метод проверки |
Проверьте, запущена ли служба антивирусного программного обеспечения системы. |
|
Методы укрепления |
Установите антивирусное программное обеспечение; включите реальное время мониторинга; установите подходящий уровень мониторинга; установите пароль для антивирусного программного обеспечения. |
|
Нужно ли внедрять |
|
|
Примечание |
|
Цель операции |
Установите системные обновления, чтобы исправить уязвимости |
|
Метод проверки |
Используйте инструмент сканирования для поиска уязвимостей. |
|
Методы укрепления |
Используйте инструменты для автоматизации установки обновлений. |
|
Нужно ли внедрять |
|
|
Примечание |
Четвертый раздел: Учетные записи и пароли
|
Цель операции |
Уменьшите количество ненужных системных учетных записей, чтобы уменьшить риск |
|
Метод проверки |
Нажмите «Win+R», чтобы вызвать «Запуск» -> compmgmt.msc (Управление компьютером) -> Локальные пользователи и группы, чтобы проверить наличие неиспользуемых учетных записей, правильность принадлежности системных учетных записей к группам и блокировку учетной записи guest |
|
Методы укрепления |
Используйте команду «net user имя_пользователя /del», чтобы удалить учетную запись Используйте команду «net user имя_пользователя /active:no», чтобы заблокировать учетную запись |
|
Нужно ли внедрять |
|
|
Примечание |
Проверьте реестр, чтобы предотвратить создание теневых учетных записей. |
|
Цель операции |
Улучшение сложности паролей и политики блокировки, чтобы уменьшить вероятность взлома |
|
Метод проверки |
Нажмите «Win+R», чтобы вызвать «Запуск» -> secpol.msc (Локальная политика безопасности) -> Настройки безопасности |
|
Методы укрепления |
1. Политика учетных записей -> Политика паролей Пароль должен соответствовать требованиям сложности: Включено Минимальная длина пароля: 8 символов Минимальный срок использования пароля: 0 дней Максимальный срок использования пароля: 90 дней Обязательный журнал паролей: 1 сохраненный пароль Хранение паролей с помощью шифрования, подлежащего восстановлению: Отключено 2. Настройки учетной записи -> Политика блокировки учетных записей Время блокировки учетных записей: 30 минут Порог блокировки учетных записей: 5 неудачных входов Перезапуск счетчика блокировки учетных записей: 30 минут 3. Локальная политика -> Опции безопасности Интерактивный вход: Не отображать последний имя пользователя: Включено |
|
Нужно ли внедрять |
|
|
Примечание |
Нажмите клавиши Win+R, чтобы вызвать "Запуск" -> gpupdate /force для немедленного применения |
|
Цель операции |
Отключите ненужные сервисы, чтобы уменьшить риск |
|
Метод проверки |
Нажмите «Win+R», чтобы вызвать «Запуск» -> services.msc |
|
Методы укрепления |
Следующие сервисы должны быть установлены вручную Система событий COM+ Клиент DHCP Служба диагностической политики Дистрибутированный координатор транзакций Клиент DNS Дистрибутированный клиент отслеживания соединений Remote Registry Print Spooler Server (можно отключить, если не используется файловое общение) Shell Hardware Detection TCP/IP NetBIOS Helper Windows Update |
|
Нужно ли внедрять |
|
|
Примечание |
Отключение служб следует выполнять с осторожностью, особенно на удаленных компьютерах |
|
Цель операции |
Отключите默认共享 |
|
Метод проверки |
Используйте комбинацию клавиш «Win+R» для вызова окна «Запуск» -> cmd.exe -> net share, чтобы проверить共享 |
|
Методы укрепления |
Отключите默认共享 C$, D$ и т.д. Используйте комбинацию клавиш «Win+R» для вызова окна «Запуск» -> regedit -> найдите HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters , создайте AutoShareServer (REG_DWORD), значение ключа 0 |
|
Нужно ли внедрять |
|
|
Примечание |
|
Цель операции |
Ограничение доступа в сеть |
|
Метод проверки |
Используйте комбинацию клавиш «Win+R» для вызова окна «Запуск» -> secpol.msc -> Настройки безопасности -> Локальные стратегии -> Настройки безопасности |
|
Методы укрепления |
Доступ в сеть: Не разрешать анонимное перечисление SAM учетных записей: Включено Доступ в сеть: Не разрешать анонимное перечисление SAM учетных записей и общих ресурсов: Включено Доступ в сеть: Не применять права доступа у Everyone к анонимным пользователям: Отключено Учетная запись: Локальные учетные записи с пустым паролем позволяют только вход в консоль: Включено |
|
Нужно ли внедрять |
|
|
Примечание |
Нажмите клавиши Win+R, чтобы вызвать "Запуск" -> gpupdate /force для немедленного применения |
|
Цель операции |
Укрепите безопасность файловой системы |
|
Метод проверки |
Проверьте, использует ли каждый системный диск файловую систему NTFS |
|
Методы укрепления |
Рекомендуется использовать файловую систему NTFS, команда конвертации: convert <название диска>: /fs:ntfs |
|
Нужно ли внедрять |
|
|
Примечание |
|
Цель операции |
Укрепите права доступа у Everyone |
|
Метод проверки |
Щелкните правой кнопкой мыши системный диск (диск) -> «Свойства» -> «Безопасность», чтобы проверить, имеют ли все права доступа у Everyone в корневой директории каждого системного диска |
|
Методы укрепления |
Удалите права доступа у Everyone или снимите право записи у Everyone |
|
Нужно ли внедрять |
|
|
Примечание |
|
Цель операции |
Ограничьте права доступа к некоторым командам |
|
Метод проверки |
Используйте команду cacls или Проводник, чтобы проверить права доступа к следующим файлам |
|
Методы укрепления |
Рекомендуется ограничить доступ к следующим командам, разрешить только группе system и администраторам %systemroot%\system32\cmd.exe %systemroot%\system32\regsvr32.exe %systemroot%\system32\tftp.exe %systemroot%\system32\ftp.exe %systemroot%\system32\telnet.exe %systemroot%\system32\net.exe %systemroot%\system32\net1.exe %systemroot%\system32\cscript.exe %systemroot%\system32\wscript.exe %systemroot%\system32\regedit.exe %systemroot%\system32\regedt32.exe %systemroot%\system32\cacls.exe %systemroot%\system32\command.com %systemroot%\system32\at.exe |
|
Нужно ли внедрять |
|
|
Примечание |
Может повлиять на нормальное функционирование бизнес-систем |
|
Увеличьте размер журнала, чтобы избежать неполного ведения журнала из-за малой емкости файла журнала |
|
|
Метод проверки |
Нажмите клавиши Win+R, чтобы вызвать "Запуск" -> eventvwr.msc -> "Журналы Windows" -> Просмотр свойств "Приложения" "Безопасность" "Система" |
|
Методы укрепления |
Рекомендации по настройке: Максимальный размер журнала: 20480 KB |
|
Нужно ли внедрять |
|
|
Примечание |
|
Цель операции |
Аудит системных событий, который поможет в будущем выявить причины сбоев |
|
Метод проверки |
Нажмите клавиши Win+R, чтобы вызвать "Запуск" -> secpol.msc -> Настройки безопасности -> Локальные стратегии -> Стратегии аудита |
|
Методы укрепления |
Рекомендации по настройке: Аудит изменений политики: успешен Аудит событий входа: успешен, неуспешен Аудит доступа к объектам: успешен Аудит отслеживания процессов: успешен, неуспешен Аудит доступа к службам каталогов: успешен, неуспешен Аудит системных событий: успешен, неуспешен Аудит событий входа в систему: успешен, неуспешен Аудит управления учетными записями: успешен, неуспешен |
|
Нужно ли внедрять |
|
|
Примечание |
Нажмите клавиши Win+R, чтобы вызвать "Запуск" -> gpupdate /force для немедленного применения |
Примечание: шаблон этой статьи был скачан с Baidu, и я внес соответствующие изменения.