2024Windows7安全加固指导手册.docx

《2024Windows7安全加固指导手册.docx》由会员分享，可在线阅读，更多相关《2024Windows7安全加固指导手册.docx（39页珍藏版）》请在优知文库上搜索。

1、Windows7安全加固指导手册此参考侧重于视为安全设置的设置。配置安全策略设置介绍了在本地设备上、加入域的设备上和域控制器上配置安全策略设置的步骤。你必须在本地设备上具有管理员权限，或者必须具有在域控制器上更新组策略对象（GPO）的相应权限才能执行这些过程。当无法访问本地设置时，它指示GPO当前控制该设置。使用本地安全策略控制台配置设置1 .若要打开本地安全策略，请在“开始”屏幕上，键入Secpo1.msc,然后按Entero2 .在控制台树的“安全设置”下，执行下列操作之一：o单击“帐户策略”来编辑“密码策略”或“帐户锁定策略”。o单击“本地策略”来编辑“审核策略”、“用户权限分配”或“安

2、全选项”。3 .当你在详细信息窗格中找到策略设置时，请双击你希望修改的安全策略。4 .修改安全策略设置，然后单击“确定”。现o一些安全策略设置需要重新启动设备才能使设置生效。o对帐户的用户权限分配进行的任何更改将在帐户的所有者下次登录时生效。使用本地组策略编辑器控制台配置安全策略设置你必须具有相应的权限才能安装和使用Microsoft管理控制台（MMC）并在域控制器上更新组策略对象（GPO）来执行这些过程。1 .打开本地组策略编辑器(gpedit.msc)02 .在控制台树中，依次单击“计算机配置、Windows设置”*和“安全设置”。3 .执行下列操作之一：o单击“帐户策略”来编辑“密码策略

3、”或“帐户锁定策略”。o单击“本地策略”来编辑“审核策略”、“用户权限分配”或“安全选项”。4 .在详细信息窗格中，双击你希望修改的安全策略设置。注意如果尚未定义此安全策略，请选中“定义这些策略设置”复选框。5 .修改安全策略设置，然后单击“确定”*。注意如果你想要在网络上为多台设备配置安全设置，则可以使用组策略管理控制台。为域控制器配置设置以下过程介绍如何仅为域控制器配置安全策略设置(从域控制器)。1 .若要打开域控制器安全策略，请在控制台树中，找到GroupPolicybjectComputerName策略，然后依次单击“计算机配置、Windows设置”*和“安全设置”。2 .执行以下操作

4、之一：o双击“帐户策略”*来编辑“密码策略”、“帐户锁定策略”*或wKerberos策略”。o单击“本地策略”*来编辑“审核策略”、“用户权限分配”*或“安全选项”。3 .在详细信息窗格中，双击你希望修改的安全策略。注意如果尚未定义此安全策略，请选中“定义这些策略设置”复选框。4 .修改安全策略设置，然后单击“确定”*。要点始终在测试组织单位中测试新创建的策略，然后再将其应用到你的网络。当你通过GPO更改安全设置并单击“确定”时，该设置将在你下次刷新设置时生效。配置本地安全策略方法一：运行“gpedit.msc”进入本地组策略编辑器，选择”计算机配置下的windows设置”下的“安全设置”，然

5、后分别对“帐户策略”和“本地策略”进行设置方法二：运行control”进入控制面板，选择“管理工具”中的“本地安全策略”即可进行安全设置。下图左边是方法一，右边是方法二。文件(F)操作（八）X(V)帮助（三）*1(H三1b-J本地计算机策略，於计算机配置软件设置，QWindows设置域名解析策略国脚本(B动/关机)SSS已部署的打印机，安全设置，4帐户策略 3定码策略 q帐户锁定策略，Zfi本地策略 口市核策略 a用户权限分配Ca安全选项t一高级安全Windows防头网箔列表告理器集略公钥策略 软件限制策略 Q应用程序控制策略昊IP安全策略，在本地用rM高级亩核策略配置Jj基于策略的QoSr:

6、言理模板，层用户配置软件设置QWindows设置二管理模板%本地安全策略.文件(F)操作（八）查看(V)帮助（三）尊*向Xgh q帐户策略 lS本地策略t高级安全Windows防火墙网络列表告理器策略公钥策略 软件限制策略D应用程序控制策略ISIP安全策略，在本地计算机 高级亩核第略配置安全设置帐户策略Windows中的帐户策略的概述，并提供指向策略说明的链接。使用组策略应用的所有帐户策略设置都在域级别上应用。默认值存在于密码策略设置、帐户锁定策略设置和Kerberos策略设置的内置默认域控制器策略中。域帐户策略变为任何属于该域的设备的默认本地帐户策略。如果在ActiveDirectory域服

7、务(ADDS)中在域级别下的任何级别设置这些策略，它们将仅影响成员服务器上的本地帐户。注意每个域只能有一个帐户策略。帐户策略必须在默认域策略中或在链接到域的根并且优先于默认域策略的新策略中定义，此帐户策略由域中的域控制器强制执行。这些域范围的帐户策略设置(密码策略、帐户锁定策略和Kerberos策略)由域中的域控制器强制执行；因此域控制器始终从默认的域策略组策略对象(GPO)中检索这些帐户策略设置的值。唯一的例外是当为组织单位(OU)定义其他帐户策略时。OU的帐户策略设置会影响包含在该OU中的任何计算机上的本地策略。例如，如果OU策略定义不同于域级别帐户策略的密码最长使用期限，将仅在用户登录本

8、地计算机时应用和强制执行OU策略。默认本地计算机策略仅适用于既不适用OU帐户策略也不适用域策略的工作组或域中的计算机。密码策略在许多操作系统中，对用户身份进行验证的最常用方法是使用密码。安全的网络环境要求所有用户使用强密码，它至少拥有八个字符并包括字母、数字和符号的组合。这类密码可以防止未经授权的用户通过使用手动方法或自动工具猜测弱密码来损害用户帐户和管理帐户。定期更改强密码可以减少成功攻击密码的可能性。Windows在WindowsServer2008R2和WindowsServer2008中引入对细化密码策略的支持。此功能向组织提供了为域中不同组的用户定义不同密码和帐户锁定策略的方法。细化

9、密码策略仅适用于用户对象(在未使用用户对象的情况下则为使用的InetOrgPerson对象)和全局安全组。若要将细化密码策略应用到OU中的用户，可以使用卷影组。卷影组是逻辑上映射到OU以强制执行细化策略的一个全局安全组。将OU的用户添加为新创建的卷影组的成员，然后将细化密码策略应用于此卷影组。可以根据需要为其他OU创建其他卷影组。如果将某个用户从一个OU移动到另一个OU,则必须更新相应卷影组的成员身份。除帐户锁定设置以外，细化密码策略还包括可以在默认域策略(KerberOS设置除外)中定义的所有设置的属性。在指定细化密码策略时，必须指定所有这些设置。默认情况下，仅域管理员组成员可以设置细化密码

10、策略。但是,也可以将设置这些策略的功能委派给其他用户。域必须运行WindowsServer2008R2或WindowsServer2008及以上版本的系统才能使用细化密码策略。细化密码策略无法直接应用到组织单位(OU)o本地安全策略文件(F)工作（八）查看(V)Sff助（三）*1歹B*Bl昌IQ品安全设置策略安全设置霸密码必须符合友杂性要求SS用X路缶Bgq怅户锁定策哈总密谙长度最小值客谙麻使用期限8个字符0天1.j高级安全Windows防火墙网络死表音理器策略t因公捐策BS(软件限制策略演制三gP安全策Bg.在本地计算机t高级本核第酪配置定码最长使用期限乩强制容码历史用可还原的加密来储存密码

11、90天用将“强制密码历史”*设置为24o这将有助于缓解由于密码重复使用导致的漏洞。设置密码最长使用期限，以使密码的到期日期介于60天到90天之间。尝试使密码在重要业务周期之间到期以防止工作损失。将“密码最长使用期限”天数设置为60到90之间的值，具体取决于你的环境。这样，攻击者用于破解用户密码并有权访问你的网络资源的时间量将非常有限。配置密码最短使用期限，以便不允许你立即更改密码。将“密码最短使用期限”*设置为2天的值。通过将天数设置为0,可立即更改密码(不建议)。如果你为用户设置密码，并希望该用户更改管理员定义的密码，必须选中“用户下次登录时须更改密码”复选框。否则，用户将不能更改密码，直到

12、密码最短使用期限*指定的天数到期。将最短密码长度设置为至少为8的值。如果字符数设置为0,则不需要使用密码。在大多数环境中，建议使用8个字符的密码；因为其长度足以提供适当的安全性并且其长度仍短到可供用户轻松记住。此值将帮助针对暴力攻击提供适当防御。添加复杂性要求将有助于减少字典攻击的可能性。允许使用短密码会降低安全性，因为使用针对密码执行字典攻击或暴力攻击的工具就可以很容易地破解短密码。要求使用非常长的密码可能导致密码错误输入，这可能导致帐户锁定，随后将增加技术人员的呼叫量。此外，要求使用极长的密码实际上会降低组织的安全性，因为用户可能更倾向于写下其密码以免忘记它们。将“密码必须符合复杂性要求”

13、设置为“启用”。此策略设置结合8位的最短密码长度可确保一个密码具有至少218340105584896种不同的可能性。这使得进行暴力攻击变得困难，但仍非不可能。使用A1.T键字符组合可以极大地增强密码复杂性。但是，要求组织中的所有用户遵循此类严格的密码要求可能会使得用户不满意，也会使技术支持极其忙碌。请考虑在组织中实现此要求：将0128到0159范围内的A1.T字符用作所有管理员密码的一部分。（此范围之外的A1.T字符可以表示不让密码变得更加复杂的标准字母数字字符。）仅包含字母数字字符的密码很容易通过公共可用的工具遭到泄露。为避免此间题，密码应包含其他字符，并满足复杂性要求。将“使用可逆加密储存

14、密码”*的值设置为“已禁用”。如果你通过远程访问或IAS使用CHAP,或者使用IIS中的摘要式身份验证，则必须将此值设置为“已启用”。当你针对不同的用户使用组策略应用此设置时，这将带来安全风险，因为它需要在ActiveDirectory用户和计算机中打开相应的用户帐户对象。注意不要启用此策略设置,除非业务需求比保护密码信息更为重要。帐户锁定策略某些在尝试登录你的系统时尝试使用较多不成功密码的人员可能是尝试通过反复试验确定帐户密码的恶意用户。Windows域控制器跟踪登录尝试，并且可以将域控制器配置为响应此类型的潜在攻击，方法是在预设时间段内禁用该帐户。帐户锁定策略设置控制此响应的阈值和达到该阈值后要执行的操作。3本地安全策略文件(F)操作（八）SW(V)帮助（三）4l三MIO安全设置不适用不适用亳安全役置,-S帐户策BgQ竭黄昭9帐户额定策略安全设置本地策略审核策略、*tcag号3.)上兽二.-三-5三5rt.tWMrg上才下计IlR.*nlr.事倒匕.BiSMnR一P窜一B与一个用FW6一XBO一.MMA*4StnBn品重*：二CM。号量*.eu三ftM./CUHmrMHTq融Ye.SJtMK.”次4SW)t.fittEr三JS2J9.w三n三一，达