攻防演練概述攻防演練背景網(wǎng)絡(luò)安全實(shí)戰(zhàn)攻防演練（以下簡(jiǎn)稱(chēng)“攻防演練”）是以獲取目標(biāo)系統(tǒng)的最高控制權(quán)為目標(biāo)，由多領(lǐng)域安全專(zhuān)家組成攻擊隊(duì)，在保障業(yè)務(wù)系統(tǒng)安全的前提下，采用“不限攻擊路徑，不限制攻擊手段”的攻擊方式，而形成的“有組織”的網(wǎng)絡(luò)攻擊行為。本次攻防演練由xxxxx信息技術(shù)有限公司作為攻擊方，XXX單位的xxx系統(tǒng)、xxx業(yè)務(wù)系統(tǒng)等信息系統(tǒng)進(jìn)行滲透性測(cè)試。攻防演練通常是在真實(shí)環(huán)境下對(duì)參演單位目標(biāo)系統(tǒng)進(jìn)行可控、可審計(jì)的網(wǎng)絡(luò)安全實(shí)戰(zhàn)攻擊，通過(guò)攻防演練檢驗(yàn)參演單位的安全防護(hù)和應(yīng)急處置能力，提高網(wǎng)絡(luò)安全的綜合防控能力。護(hù)網(wǎng)概述在攻防演練中，為充分檢驗(yàn)參演單位及目標(biāo)系統(tǒng)的安全防護(hù)、監(jiān)測(cè)和應(yīng)急處置能力，演練組織方通常會(huì)選擇由經(jīng)驗(yàn)豐富的安全專(zhuān)家組成攻擊隊(duì)開(kāi)展網(wǎng)絡(luò)攻擊，在確保不影響業(yè)務(wù)的前提下，選擇一切可利用的資源和手段，采用多變、靈活、隱蔽的攻擊力求取得最大戰(zhàn)果。XXX單位作為防守方，面對(duì)“隱蔽”的網(wǎng)絡(luò)攻擊，如何才能有效防御呢？除了信息系統(tǒng)本身的完善性，可靠性、安全性外，還需要在信息系統(tǒng)的前端部署強(qiáng)大網(wǎng)絡(luò)安全防護(hù)體系，包括WAF、防火墻、IPS、IDS等安全設(shè)備。同時(shí)為了減少信息系統(tǒng)的攻擊面和薄弱點(diǎn)，防守方對(duì)信息系統(tǒng)主機(jī)的安全加固、網(wǎng)絡(luò)安全設(shè)備策略加固也顯得尤為重要。護(hù)網(wǎng)方案初步工作計(jì)劃攻防演練防護(hù)工作的初工作計(jì)劃如下：工作階段重點(diǎn)任務(wù)工作內(nèi)容時(shí)間計(jì)劃準(zhǔn)備階段目標(biāo)系統(tǒng)梳理網(wǎng)絡(luò)路徑梳理關(guān)聯(lián)資產(chǎn)梳理針對(duì)本次參演系統(tǒng)進(jìn)行網(wǎng)絡(luò)路徑和關(guān)聯(lián)資產(chǎn)梳理，為后續(xù)細(xì)化監(jiān)測(cè)、防護(hù)方案奠定基礎(chǔ)。目標(biāo)系統(tǒng)網(wǎng)絡(luò)安全專(zhuān)項(xiàng)應(yīng)急預(yù)案梳理并確認(rèn)目標(biāo)系統(tǒng)網(wǎng)絡(luò)安全專(zhuān)項(xiàng)應(yīng)急預(yù)案，確定網(wǎng)絡(luò)安全處置流程、措施等攻防預(yù)演練階段預(yù)演練啟動(dòng)會(huì)啟動(dòng)XXX系統(tǒng)“護(hù)網(wǎng)-2019”攻防預(yù)演練工作預(yù)演練平臺(tái)準(zhǔn)備采用為公安部攻防演練提供支撐的專(zhuān)用攻防演練支撐平臺(tái)，攻擊人員的所有訪問(wèn)通過(guò)VPN接入演練平臺(tái)，平臺(tái)對(duì)攻擊過(guò)程所有行為進(jìn)行記錄、監(jiān)管、分析、審計(jì)和追溯。正式預(yù)演練信息安全管理處組織攻擊隊(duì)針對(duì)XXX參演系統(tǒng)進(jìn)行受控的網(wǎng)絡(luò)攻擊，防守方進(jìn)行防守，攻擊隊(duì)分兩組，每組2-4人，攻擊時(shí)間2周。預(yù)演練總結(jié)針對(duì)攻防預(yù)演練中發(fā)現(xiàn)的問(wèn)題進(jìn)行總結(jié)，形成專(zhuān)項(xiàng)的安全自查和整改要求。安全自查整改階段安全自查--安全漏洞掃描--安全基線核查--源代碼安全檢測(cè)--日志審計(jì)--安全策略檢查開(kāi)展防護(hù)安全自查和整改工作，針對(duì)演練中發(fā)現(xiàn)的問(wèn)題進(jìn)行整改和修復(fù)，同時(shí)針對(duì)參演系統(tǒng)相關(guān)資產(chǎn)和關(guān)聯(lián)問(wèn)題進(jìn)一步排查，能夠更全面的發(fā)現(xiàn)安全隱患。安全整改加固--安全加固--安全策略配置優(yōu)化對(duì)系統(tǒng)漏洞隱患進(jìn)行加固，修訂、優(yōu)化網(wǎng)絡(luò)安全策略配置，加強(qiáng)安全措施效能發(fā)揮。正式演練和總結(jié)階段正式演練--攻擊監(jiān)控和阻斷--溯源和分析研判正式演練期間參演系統(tǒng)的運(yùn)維處室要加強(qiáng)網(wǎng)絡(luò)和應(yīng)用系統(tǒng)安全監(jiān)測(cè)，針對(duì)異常問(wèn)題及時(shí)進(jìn)行分析和處置，必要時(shí)對(duì)問(wèn)題進(jìn)行溯源和研判?？偨Y(jié)匯報(bào)在攻防演練結(jié)束后，針對(duì)總結(jié)演練中發(fā)現(xiàn)的安全問(wèn)題、安全漏洞隱患、攻擊情況、防守情況、安全防護(hù)措施、監(jiān)測(cè)手段、響應(yīng)和協(xié)同處置等進(jìn)行總結(jié)匯報(bào)。準(zhǔn)備階段網(wǎng)絡(luò)路徑梳理對(duì)目標(biāo)系統(tǒng)相關(guān)的網(wǎng)絡(luò)訪問(wèn)路徑進(jìn)行梳理，明確系統(tǒng)訪問(wèn)源（包括用戶(hù)、設(shè)備或系統(tǒng)）的類(lèi)型、位置和途徑的網(wǎng)絡(luò)節(jié)點(diǎn)，繪制準(zhǔn)確的網(wǎng)絡(luò)路徑圖。網(wǎng)絡(luò)路徑梳理須明確從互聯(lián)網(wǎng)訪問(wèn)的路徑、內(nèi)部訪問(wèn)路徑等，全面梳理目標(biāo)系統(tǒng)可能被訪問(wèn)到的路徑和數(shù)據(jù)流向，為后續(xù)有針對(duì)性的網(wǎng)絡(luò)安全防護(hù)和監(jiān)控點(diǎn)部署奠定基礎(chǔ)。關(guān)聯(lián)及未知資產(chǎn)梳理梳理xxx系統(tǒng)、xxx業(yè)務(wù)系統(tǒng)等信息系統(tǒng)關(guān)聯(lián)及未知資產(chǎn)，形成目標(biāo)系統(tǒng)的關(guān)聯(lián)資產(chǎn)清單、未知資產(chǎn)清單，關(guān)聯(lián)資產(chǎn)包括目標(biāo)系統(tǒng)網(wǎng)絡(luò)路徑中的各個(gè)節(jié)點(diǎn)設(shè)備、節(jié)點(diǎn)設(shè)備同一區(qū)域的其它設(shè)備以及目標(biāo)系統(tǒng)相關(guān)資產(chǎn)，未知資產(chǎn)包括與目標(biāo)系統(tǒng)可有關(guān)聯(lián)但未記錄在關(guān)聯(lián)資產(chǎn)清單里的資產(chǎn)，為后續(xù)安全自查和整改加固等工作提供基礎(chǔ)數(shù)據(jù)。專(zhuān)項(xiàng)應(yīng)急預(yù)案確認(rèn)針對(duì)本次攻防演練的目標(biāo)系統(tǒng)進(jìn)行專(zhuān)項(xiàng)應(yīng)急預(yù)案的梳理，確定應(yīng)急預(yù)案的流程、措施有效，針對(duì)應(yīng)急預(yù)案的組織、技術(shù)、管理流程內(nèi)容進(jìn)行完善，確保能夠有效支撐后續(xù)演練工作。加強(qiáng)安全監(jiān)測(cè)防御體系梳理當(dāng)前已有的安全監(jiān)測(cè)和防御產(chǎn)品，對(duì)其實(shí)現(xiàn)的功能和防御范圍進(jìn)行確定，并根據(jù)已梳理的重要資產(chǎn)和網(wǎng)絡(luò)路徑，建立針對(duì)性的臨時(shí)性（租用或借用）或者長(zhǎng)久性（購(gòu)買(mǎi)）的安全監(jiān)測(cè)防御體系，為后續(xù)正式演練及防護(hù)階段提供工具和手段支持。安全自查和整改階段根據(jù)準(zhǔn)備階段形成的目標(biāo)系統(tǒng)關(guān)聯(lián)資產(chǎn)清單、未知資產(chǎn)清單，對(duì)與組成目標(biāo)系統(tǒng)相關(guān)的網(wǎng)絡(luò)設(shè)備、服務(wù)器、中間件、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)、安全設(shè)備等開(kāi)展安全自查和整改工作。通過(guò)安全自查對(duì)目標(biāo)系統(tǒng)的安全狀況得以真實(shí)反映，結(jié)合整改加固手段對(duì)評(píng)估發(fā)現(xiàn)的問(wèn)題逐一進(jìn)行整改。設(shè)置必要的防御規(guī)則，基于最小權(quán)限原則制定，即僅僅開(kāi)放允許業(yè)務(wù)正常運(yùn)行所必須的網(wǎng)絡(luò)和系統(tǒng)資源。確保目標(biāo)系統(tǒng)在攻防預(yù)演練前所有安全問(wèn)題均已采取措施得到處理。網(wǎng)絡(luò)安全檢查網(wǎng)絡(luò)架構(gòu)評(píng)估針對(duì)目標(biāo)系統(tǒng)開(kāi)展網(wǎng)絡(luò)架構(gòu)評(píng)估工作，以評(píng)估目標(biāo)系統(tǒng)在網(wǎng)絡(luò)架構(gòu)方面的合理性，網(wǎng)絡(luò)安全防護(hù)方面的健壯性，是否已具備有效的防護(hù)措施；形成網(wǎng)絡(luò)架構(gòu)評(píng)估報(bào)告。網(wǎng)絡(luò)安全策略檢查針對(duì)目標(biāo)系統(tǒng)所涉及的網(wǎng)絡(luò)設(shè)備進(jìn)行策略檢查，確保目前已有策略均按照“按需開(kāi)放，最小開(kāi)放”的原則進(jìn)行開(kāi)放；確保目標(biāo)系統(tǒng)所涉及的網(wǎng)絡(luò)設(shè)備中無(wú)多余、過(guò)期的網(wǎng)絡(luò)策略；形成網(wǎng)絡(luò)安全策略檢查報(bào)告。網(wǎng)絡(luò)安全基線檢查針對(duì)目標(biāo)系統(tǒng)所涉及的網(wǎng)絡(luò)設(shè)備進(jìn)行安全基線檢查，重點(diǎn)檢查多余服務(wù)、多余賬號(hào)、口令策略，禁止存在默認(rèn)口令和弱口令等配置情況；形成網(wǎng)絡(luò)安全基線檢查報(bào)告。安全設(shè)備基線檢查針對(duì)目標(biāo)系統(tǒng)所涉及的安全設(shè)備進(jìn)行安全基線檢查，重點(diǎn)檢查多余賬號(hào)、口令策略、策略啟用情況、應(yīng)用規(guī)則、特征庫(kù)升級(jí)情況，禁止存在默認(rèn)口令和弱口令等配置情況；形成安全設(shè)備基線檢查報(bào)告。主機(jī)安全檢查操作系統(tǒng)安全基線針對(duì)目標(biāo)系統(tǒng)所涉及主機(jī)的操作系統(tǒng)進(jìn)行安全檢查，重點(diǎn)檢查多余賬號(hào)、口令策略、賬號(hào)策略、遠(yuǎn)程管理等情況；形成主機(jī)安全基線檢查報(bào)告。數(shù)據(jù)庫(kù)安全基線針對(duì)目標(biāo)系統(tǒng)所涉及的數(shù)據(jù)庫(kù)進(jìn)行安全檢查，重點(diǎn)檢查多余賬號(hào)、口令策略、賬號(hào)策略、遠(yuǎn)程管理等情況；形成主機(jī)安全基線檢查報(bào)告。中間件安全基線針對(duì)目標(biāo)系統(tǒng)所涉及的中間件進(jìn)行安全檢查，重點(diǎn)檢查中間件管理后臺(tái)、口令策略、賬號(hào)策略、安全配置等情況；形成中間件安全基線檢查報(bào)告。操作系統(tǒng)漏洞掃描針對(duì)目標(biāo)系統(tǒng)所涉及的主機(jī)、數(shù)據(jù)庫(kù)以及中間件進(jìn)行安全漏洞掃描；形成主機(jī)安全漏洞掃描報(bào)告。應(yīng)用系統(tǒng)安全檢查應(yīng)用系統(tǒng)合規(guī)檢查針對(duì)目標(biāo)系統(tǒng)應(yīng)用進(jìn)行安全合規(guī)檢查，重點(diǎn)檢查應(yīng)用系統(tǒng)多余賬號(hào)、賬號(hào)策略、口令策略、后臺(tái)管理等情況；形成應(yīng)用系統(tǒng)合規(guī)檢查報(bào)告。應(yīng)用系統(tǒng)源代碼檢測(cè)針對(duì)目標(biāo)系統(tǒng)應(yīng)用進(jìn)行源代碼檢測(cè)；形成應(yīng)用系統(tǒng)源代碼檢測(cè)報(bào)告。應(yīng)用系統(tǒng)漏洞掃描針對(duì)目標(biāo)應(yīng)用系統(tǒng)的URL、WEB頁(yè)面進(jìn)行安全漏洞掃描；形成應(yīng)用系統(tǒng)安全漏洞掃描報(bào)告。安全整改加固基于以上安全自查發(fā)現(xiàn)的問(wèn)題和隱患，及時(shí)進(jìn)行安全加固、策略配置優(yōu)化和改進(jìn)，切實(shí)加強(qiáng)系統(tǒng)的自身防護(hù)能力和安全措施的效能，減少安全隱患，降低可能被外部攻擊利用的脆弱性和風(fēng)險(xiǎn)。業(yè)務(wù)主管單位協(xié)同安全部門(mén)完善網(wǎng)絡(luò)安全專(zhuān)項(xiàng)應(yīng)急預(yù)案，針對(duì)可能產(chǎn)生的網(wǎng)絡(luò)安全攻擊事件建立專(zhuān)項(xiàng)處置流程和措施。正式防護(hù)階段當(dāng)開(kāi)啟正式防護(hù)后，防護(hù)小組組織各部門(mén)人員，根據(jù)崗位職責(zé)開(kāi)展安全事件實(shí)時(shí)監(jiān)測(cè)工作。安全部門(mén)組織其他部門(mén)人員借助安全防護(hù)設(shè)備（全流量分析設(shè)備、Web防火墻、IDS、IPS、數(shù)據(jù)庫(kù)審計(jì)等）開(kāi)展攻擊安全事件實(shí)時(shí)監(jiān)測(cè)，對(duì)發(fā)現(xiàn)的攻擊行為進(jìn)行確認(rèn)，詳細(xì)記錄攻擊相關(guān)數(shù)據(jù)，為后續(xù)處置工作開(kāi)展提供信息。事件分析與處置防護(hù)小組在演練期間安排專(zhuān)人進(jìn)行值守，對(duì)業(yè)務(wù)進(jìn)行實(shí)時(shí)監(jiān)測(cè)，根據(jù)監(jiān)測(cè)到安全事件，協(xié)同進(jìn)行分析和確認(rèn)。如有必要可通過(guò)主機(jī)日志、網(wǎng)絡(luò)設(shè)備日志、入侵檢測(cè)設(shè)備日志等信息對(duì)攻擊行為進(jìn)行分析，以找到攻擊者的源IP地址、攻擊服務(wù)器IP地址、郵件地址等信息，并對(duì)攻擊方法、攻擊方式、攻擊路徑和工具等進(jìn)行分析研判。防護(hù)小組根據(jù)分析結(jié)果，應(yīng)采取相應(yīng)的處置措施，來(lái)確保目標(biāo)系統(tǒng)安全。通過(guò)遏制攻擊行為，使其不再危害目標(biāo)系統(tǒng)和網(wǎng)絡(luò)，依據(jù)攻擊行為的具體特點(diǎn)實(shí)時(shí)制定攻擊阻斷的安全措施，詳細(xì)記錄攻擊阻斷操作。業(yè)務(wù)主管單位對(duì)業(yè)務(wù)穩(wěn)定性進(jìn)行監(jiān)測(cè)，工作接口人及時(shí)通報(bào)相關(guān)信息。演練工作小組應(yīng)針對(duì)攻擊演練中可能產(chǎn)生的攻擊事件，根據(jù)已經(jīng)制定的網(wǎng)絡(luò)安全專(zhuān)項(xiàng)應(yīng)急預(yù)案進(jìn)行協(xié)同處置，同時(shí)在明確攻擊源和攻擊方式后，保證正常業(yè)務(wù)運(yùn)行的前提下，可以通過(guò)調(diào)整安全設(shè)備策略的方式對(duì)攻擊命令或IP進(jìn)行阻斷，分析確認(rèn)攻擊嘗試?yán)玫陌踩┒?，確認(rèn)安全漏洞的影響，制定漏洞修復(fù)方案并及時(shí)修復(fù)。防護(hù)總結(jié)與整改全面總結(jié)本次攻防演練各階段的工作情況，包括組織隊(duì)伍、攻擊情況、防守情況、安全防護(hù)措施、監(jiān)測(cè)手段、響應(yīng)和協(xié)同處置等，形成總結(jié)報(bào)告并向有關(guān)單位匯報(bào)。針對(duì)演練結(jié)果，對(duì)在演練過(guò)程中還存在的脆弱點(diǎn)，開(kāi)展整改工作，進(jìn)一步提高目標(biāo)系統(tǒng)的安全防護(hù)能力。護(hù)網(wǎng)實(shí)施資產(chǎn)梳理在演練期間攻擊方會(huì)針對(duì)用戶(hù)的各個(gè)業(yè)務(wù)系統(tǒng)進(jìn)行批量掃描和收集信息以獲取攻擊點(diǎn)進(jìn)行攻擊。用戶(hù)應(yīng)以對(duì)外服務(wù)的業(yè)務(wù)系統(tǒng)為單位進(jìn)行逐一的安全檢查，因此用戶(hù)對(duì)于自身的業(yè)務(wù)系統(tǒng)以及IT資產(chǎn)的統(tǒng)計(jì)和梳理顯得尤為重要。XXX單位共有六個(gè)業(yè)務(wù)系統(tǒng)部署在政務(wù)云平臺(tái)之上，詳細(xì)如下:互聯(lián)網(wǎng)區(qū)公用網(wǎng)絡(luò)區(qū)網(wǎng)絡(luò)架構(gòu)梳理拓?fù)湔?wù)云平臺(tái)除了運(yùn)行XXX單位的業(yè)務(wù)系統(tǒng)外還部署了其它眾多單位的業(yè)務(wù)系統(tǒng)，各單位之間以云租戶(hù)進(jìn)行區(qū)分。為了防止其它單位某些服務(wù)器失陷后攻擊方借此進(jìn)行橫向攻擊，XXX單位應(yīng)對(duì)本租戶(hù)的防火墻進(jìn)行檢查和安全策略加固，除有必要數(shù)據(jù)交互外，禁止本單位所有服務(wù)器與其它單位服務(wù)器進(jìn)行互訪。安全自查及整改加固服務(wù)器安全基線自查針對(duì)XXX單位六個(gè)業(yè)務(wù)系統(tǒng)中的服務(wù)器進(jìn)行安全基線設(shè)置檢查，檢查項(xiàng)如下：測(cè)試項(xiàng)基本要求測(cè)試子項(xiàng)測(cè)試內(nèi)容測(cè)試方法要求結(jié)果身份鑒別應(yīng)對(duì)登錄操作系統(tǒng)的用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別檢查系統(tǒng)登錄是否需要密碼登陸系統(tǒng)是否需要密碼檢查是否有無(wú)需輸入密碼就可訪問(wèn)的用戶(hù)帳戶(hù)不能存在空密碼帳戶(hù)操作系統(tǒng)管理用戶(hù)身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換口令復(fù)雜度“密碼必須符合復(fù)雜性要求”選擇“已啟動(dòng)”進(jìn)入“控制面板->管理工具->本地安全策略”，在“帳戶(hù)策略->密碼策略”：查看是否“密碼必須符合復(fù)雜性要求”選擇“已啟動(dòng)”最短密碼長(zhǎng)度8個(gè)字符，啟用本機(jī)組策略中密碼必須符合復(fù)雜性要求的策略?？诹疃ㄆ诟鼡Q對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，檢查賬戶(hù)口令的生存期進(jìn)入“控制面板->管理工具->本地安全策略”，在“帳戶(hù)策略->密碼策略”：查看“密碼最長(zhǎng)存留期”“密碼最長(zhǎng)存留期”設(shè)置不大于“90天”應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施登錄失敗措施檢查對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，檢查當(dāng)用戶(hù)連續(xù)認(rèn)證失敗次數(shù)的限制進(jìn)入“控制面板->管理工具->本地安全策略”，在“帳戶(hù)策略->帳戶(hù)鎖定策略”：查看“賬戶(hù)鎖定閥值”設(shè)置“賬戶(hù)鎖定閥值”設(shè)置為小于或等于6次訪問(wèn)控制當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)遠(yuǎn)程管理服務(wù)數(shù)據(jù)傳輸安全禁用Telnet服務(wù)進(jìn)入“控制面板->管理工具->服務(wù)”，查看“Telnet”的啟動(dòng)類(lèi)型和服務(wù)狀態(tài)Telnet啟動(dòng)類(lèi)型為禁用，服務(wù)狀態(tài)為已停止應(yīng)為操作系統(tǒng)不同用戶(hù)分配不同的用戶(hù)名，確保用戶(hù)名具有唯一性應(yīng)用和操作系統(tǒng)用戶(hù)權(quán)限檢查系統(tǒng)賬號(hào)數(shù)量，和管理員確認(rèn)每個(gè)賬號(hào)的使用人和用途進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理”，查看存在多少啟用賬戶(hù)，做好記錄不同用戶(hù)使用不同的用戶(hù)名，不存在共用賬戶(hù)、無(wú)用賬戶(hù)現(xiàn)象應(yīng)限制默認(rèn)賬戶(hù)的訪問(wèn)權(quán)限，重命名系統(tǒng)默認(rèn)賬戶(hù)，修改這些賬戶(hù)的默認(rèn)口令默認(rèn)賬號(hào)檢查對(duì)于管理員帳號(hào)，要求更改缺省帳戶(hù)名稱(chēng)；禁用guest（來(lái)賓）帳號(hào)。進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理”，在“系統(tǒng)工具->本地用戶(hù)和組”：

缺省帳戶(hù)Administrator－>屬性

Guest帳號(hào)->屬性缺省賬戶(hù)Administrator名稱(chēng)已更改。

Guest帳號(hào)已停用。應(yīng)限制遠(yuǎn)程登錄系統(tǒng)賬戶(hù)允許遠(yuǎn)程登錄的賬戶(hù)檢查檢查允許遠(yuǎn)程登錄的賬戶(hù)"進(jìn)入“我的電腦->屬性->系統(tǒng)屬性”，在“遠(yuǎn)程->遠(yuǎn)程桌面->選擇用戶(hù)”：查看允許遠(yuǎn)程登錄的賬戶(hù)記錄可以遠(yuǎn)程登錄的賬戶(hù)，以及使用人安全審計(jì)審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客戶(hù)端上的每個(gè)操作系統(tǒng)用戶(hù)審核登錄設(shè)備應(yīng)配置日志功能，對(duì)用戶(hù)登錄進(jìn)行記錄，記錄內(nèi)容包括用戶(hù)登錄使用的賬號(hào)，登錄是否成功，登錄時(shí)間，以及遠(yuǎn)程登錄時(shí)，用戶(hù)使用的IP地址?！翱刂泼姘?>管理工具->本地安全策略->審核策略”審核登錄事件。審核登錄事件，設(shè)置為成功和失敗都審核。審核賬戶(hù)管理啟用組策略中對(duì)Windows系統(tǒng)的審核帳戶(hù)管理，成功和失敗都要審核進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：查看“審核賬戶(hù)管理”設(shè)置“審核賬戶(hù)管理”設(shè)置為“成功”和“失敗”都要審核審計(jì)內(nèi)容應(yīng)包括重要用戶(hù)行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件審核對(duì)象訪問(wèn)啟用組策略中對(duì)Windows系統(tǒng)的審核對(duì)象訪問(wèn)，成功和失敗都要審核進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：查看“審核對(duì)象訪問(wèn)”設(shè)置“審核對(duì)象訪問(wèn)”設(shè)置為“成功”和“失敗”都要審核審核事件目錄服務(wù)器訪問(wèn)啟用組策略中對(duì)Windows系統(tǒng)的審核目錄服務(wù)訪問(wèn)，失敗進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：查看“審核目錄服務(wù)器訪問(wèn)”設(shè)置“審核目錄服務(wù)器訪問(wèn)”設(shè)置為“成功”和“失敗”都要審核審核特權(quán)使用啟用組策略中對(duì)Windows系統(tǒng)的審核特權(quán)使用，成功和失敗都要審核進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：查看“審核特權(quán)使用”設(shè)置“審核特權(quán)使用”設(shè)置為“成功”和“失敗”都要審核審核過(guò)程追蹤啟用組策略中對(duì)Windows系統(tǒng)的審核過(guò)程追蹤失敗進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：查看“審核過(guò)程追蹤”設(shè)置“審核過(guò)程追蹤”設(shè)置為“失敗”需要審核審核系統(tǒng)事件啟用組策略中對(duì)Windows系統(tǒng)的審核系統(tǒng)事件，成功和失敗都要審核進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：查看“審核系統(tǒng)事件”設(shè)置“審核系統(tǒng)事件”設(shè)置為“成功”和“失敗”都要審核日志文件大小設(shè)置應(yīng)用日志文件大小至少為8192KB，設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)，按需要改寫(xiě)事件進(jìn)入“控制面板->管理工具->事件查看器”，在“事件查看器（本地）”中：查看“應(yīng)用日志”“系統(tǒng)日志”“安全日志”屬性中的日志大小,以及設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)的相應(yīng)策略“應(yīng)用日志”“系統(tǒng)日志”“安全日志”屬性中的日志大小設(shè)置不小于“8192KB”,設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)，“按需要改寫(xiě)事件”應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等審核策略更改啟用組策略中對(duì)Windows系統(tǒng)的審核策略更改，成功和失敗都要審核進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中查看“審核策略更改”設(shè)置“審核策略更改”設(shè)置為“成功”和“失敗”都要審核入侵防范操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過(guò)設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新系統(tǒng)補(bǔ)丁更新檢查查看系統(tǒng)內(nèi)核版本號(hào)以及系統(tǒng)補(bǔ)丁更新情況進(jìn)入“開(kāi)始->運(yùn)行”，輸入“winmsd.exe”,記錄OS名稱(chēng)、版本；

進(jìn)入“控制面板->添加或刪除程序”，查看Windows最近安裝補(bǔ)丁的時(shí)間；安裝最新的補(bǔ)丁，建議配置wsus自動(dòng)更新應(yīng)用程序安裝情況檢查查看系統(tǒng)安裝程序情況進(jìn)入“控制面板->添加或刪除程序”，查看除了系統(tǒng)補(bǔ)丁之外的安裝程序刪除已應(yīng)用無(wú)關(guān)的程序安裝專(zhuān)門(mén)的殺毒軟件檢查殺毒軟件情況查看殺毒軟件版本以及病毒庫(kù)更新情況記錄殺毒軟件的版本號(hào)，病毒庫(kù)更新時(shí)間，更新頻率，以及殺毒策略安裝統(tǒng)一的殺毒軟件開(kāi)啟防火墻檢查防火墻開(kāi)啟情況查看系統(tǒng)自帶或第三方防火墻開(kāi)啟情況如是第三方防火墻，記錄相關(guān)信息Windows防火墻開(kāi)啟，并阻斷以業(yè)務(wù)無(wú)關(guān)的端口檢查系統(tǒng)是否有惡意文件、病毒惡意文件、病毒檢查檢查系統(tǒng)是否存在惡意文件、病毒使用系統(tǒng)安裝的殺毒軟件進(jìn)行殺毒操作，記錄結(jié)果；并查看歷時(shí)殺毒結(jié)果上線之前進(jìn)行一次病毒查殺安全配置系統(tǒng)服務(wù)檢查系統(tǒng)服務(wù)檢查Alerter–禁用Clipbook–禁用ComputerBrowser–禁用Messenger–禁用RemoteRegistry–禁用RoutingandRemoteAccess–禁用Telnet–禁用AutomaticUpdates–手動(dòng)BackgroundIntelligentTransferService–手動(dòng)檢查系統(tǒng)是否啟用SYN攻擊保護(hù)在“開(kāi)始->運(yùn)行->鍵入regedit”查看注冊(cè)表項(xiàng)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect;推薦值：2。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted;推薦值：5。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen;推薦值數(shù)據(jù)：500。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried。推薦值數(shù)據(jù)：400。注冊(cè)表檢查項(xiàng)防止icmp重定向報(bào)文的攻擊防止icmp重定向報(bào)文的攻擊查看：

hkey_local_machine\system\currentcontrolset\services\tcpip\parameters建議將enableicmpredirects值設(shè)為0禁止ipc空連接禁止ipc空連接查看：local_machine\system\currentcontrolset\control\lsa\建議將restrictanonymous值設(shè)為1資源控制應(yīng)通過(guò)設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄遠(yuǎn)程管理IP限制檢查防火墻配置進(jìn)行限制進(jìn)入“控制面板-Windows防火墻”，在“Windows防火墻->例外”:查看“遠(yuǎn)程桌面->編輯->更改范圍”的設(shè)置在主機(jī)防火墻上做訪問(wèn)控制，指定的IP地址對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理應(yīng)根據(jù)安全策略設(shè)置登錄終端操作超時(shí)鎖定屏幕保護(hù)設(shè)置啟用屏幕保護(hù)程序，防止管理員忘記鎖定機(jī)器被非法攻擊進(jìn)入“控制面板－>顯示－>屏幕保護(hù)程序”：查看是否啟用屏幕保護(hù)程序并記錄當(dāng)前的設(shè)置查看是否啟用屏幕保護(hù)程序，設(shè)置等待時(shí)間為“5分鐘”，啟用“在恢復(fù)時(shí)使用密碼保護(hù)”。超時(shí)檢查啟用遠(yuǎn)程回話掛起時(shí)間限制進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->安全選項(xiàng)”:查看“Microsoft網(wǎng)絡(luò)服務(wù)器：在掛起會(huì)話之前所需的空閑時(shí)間”設(shè)置設(shè)置值不大于15分鐘操作系統(tǒng)遠(yuǎn)程關(guān)機(jī)策略安全遠(yuǎn)程關(guān)機(jī)在本地安全設(shè)置中從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)只指派給Administrators組進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶(hù)權(quán)利指派”:查看“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置為“只指派給Administrtors組”操作系統(tǒng)本地關(guān)機(jī)策略安全本地關(guān)機(jī)在本地安全設(shè)置中關(guān)閉系統(tǒng)僅指派給Administrators組進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶(hù)權(quán)利指派”:查看“關(guān)閉系統(tǒng)”設(shè)置“關(guān)閉系統(tǒng)”設(shè)置為“只指派給Administrators組”操作系統(tǒng)數(shù)據(jù)執(zhí)行保護(hù)安全數(shù)據(jù)執(zhí)行保護(hù)對(duì)Windows操作系統(tǒng)程序和服務(wù)啟用系統(tǒng)自帶DEP功能(數(shù)據(jù)執(zhí)行保護(hù))，防止在受保護(hù)內(nèi)存位置運(yùn)行有害代碼進(jìn)入“控制面板－>系統(tǒng)”，在“高級(jí)”選項(xiàng)卡的“性能”下的“設(shè)置”。進(jìn)入“數(shù)據(jù)執(zhí)行保護(hù)”選項(xiàng)卡。查看“僅為基本W(wǎng)indows操作系統(tǒng)程序和服務(wù)啟用DEP”“數(shù)據(jù)執(zhí)行保護(hù)”選項(xiàng)卡已設(shè)置為“僅為基本W(wǎng)indows操作系統(tǒng)程序和服務(wù)啟用DEP”共享文件夾及訪問(wèn)權(quán)限關(guān)閉默認(rèn)共享非域環(huán)境中，關(guān)閉Windows硬盤(pán)默認(rèn)共享，例如C$，D$進(jìn)入“開(kāi)始->運(yùn)行”，輸入“cmd”，在cmd.exe窗口中輸入“netshare”，記錄結(jié)果默認(rèn)共享關(guān)閉根據(jù)需求對(duì)SNMP進(jìn)行設(shè)定關(guān)閉SNMP服務(wù)管理或修改默認(rèn)團(tuán)體字關(guān)閉SNMP服務(wù)管理或修改默認(rèn)團(tuán)體字打開(kāi)“控制面板”，打開(kāi)“管理工具”中的“服務(wù)”，找到“SNMPService”，單擊右鍵打開(kāi)“屬性”面