1、審核登錄
設(shè)備應配置日志功能,對用戶登錄進行記錄。記錄內(nèi)容包括用戶登錄使用的帳戶、登錄是否成功、登錄時間、以及遠程登錄時、及用戶使用的IP地址。
操作步驟
打開 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 審核策略 中,設(shè)置 審核登錄事件。
2、審核策略
啟用本地安全策略中對Windows系統(tǒng)的審核策略更改,成功和失敗操作都需要審核。
操作步驟
打開 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 審核策略 中,設(shè)置 審核策略更改。
3、審核對象訪問
啟用本地安全策略中對Windows系統(tǒng)的審核對象訪問,成功和失敗操作都需要審核。
操作步驟
打開 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 審核策略 中,設(shè)置 審核對象訪問。
4、審核事件目錄服務訪問
啟用本地安全策略中對Windows系統(tǒng)的審核目錄服務訪問,僅需要審核失敗操作。
操作步驟
打開 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 審核策略 中,設(shè)置 審核目錄服務器訪問。
5、審核特權(quán)使用
啟用本地安全策略中對Windows系統(tǒng)的審核特權(quán)使用,成功和失敗操作都需要審核。
操作步驟
打開 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 審核策略 中,設(shè)置 審核特權(quán)使用。
6、審核系統(tǒng)事件
啟用本地安全策略中對Windows系統(tǒng)的審核系統(tǒng)事件,成功和失敗操作都需要審核。
操作步驟
打開 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 審核策略 中,設(shè)置 審核系統(tǒng)事件。
7、審核帳戶管理
啟用本地安全策略中對Windows系統(tǒng)的審核帳戶管理,成功和失敗操作都要審核。
操作步驟
打開 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 審核策略 中,設(shè)置 審核帳戶管理。
8、審核過程追蹤
啟用本地安全策略中對Windows系統(tǒng)的審核進程追蹤,僅失敗操作需要審核。
操作步驟
打開 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 審核策略 中,設(shè)置 審核進程追蹤。
五 網(wǎng)絡(luò)安全配置
作用:保證受到SYN攻擊后,系統(tǒng)不會崩潰,但是有可能會導致被攻擊后,網(wǎng)站的正常訪問
1、啟用SYN攻擊保護。
· 指定觸發(fā)SYN洪水攻擊保護所必須超過的TCP連接請求數(shù)閾值為5。
· 指定處于 SYN_RCVD 狀態(tài)的 TCP 連接數(shù)的閾值為500。
· 指定處于至少已發(fā)送一次重傳的 SYN_RCVD 狀態(tài)中的 TCP 連接數(shù)的閾值為400。
操作步驟
打開 注冊表編輯器,根據(jù)推薦值修改注冊表鍵值。
Windows Server 2012
· HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters\\SynAttackProtect
推薦值:2
· HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters\\TcpMaxHalfOpen
推薦值:500
Windows Server 2008
· HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SynAttackProtect
推薦值:2
· HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\TcpMaxPortsExhausted
推薦值:5
· HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\TcpMaxHalfOpen
推薦值:500
· HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\TcpMaxHalfOpenRetried
推薦值:400
六 文件共享
作用:禁止文件共享,保證系統(tǒng)內(nèi)部文件安全
1、關(guān)閉默認共享
Regedit 打開注冊表編輯器,打開注冊表項“HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\lanmanserver\\parameters”,在右邊的窗口中新建Dword值,名稱設(shè)為AutoShareServer,值設(shè)為“0”。
七 安全選項
作用:保證網(wǎng)絡(luò)訪問時,云主機的安全
安全選項配置如下:
網(wǎng)絡(luò)訪問:不允許SAM帳戶的匿名枚舉 啟用 已經(jīng)啟用
網(wǎng)絡(luò)訪問:不允許SAM帳戶和共享的匿名枚舉 啟用
網(wǎng)絡(luò)訪問:不允許儲存網(wǎng)絡(luò)身份驗證的憑據(jù) 啟用
網(wǎng)絡(luò)訪問:可匿名訪問的共享 內(nèi)容全部刪除
網(wǎng)絡(luò)訪問:可匿名訪問的命名管道 內(nèi)容全部刪除
網(wǎng)絡(luò)訪問:可遠程訪問的注冊表路徑 內(nèi)容全部刪除
網(wǎng)絡(luò)訪問:可遠程訪問的注冊表路徑和子路徑 內(nèi)容全部刪除
操作步驟:
打開 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 安全選項