English | 简体中文 | 繁體中文 | Русский язык | Français | Español | Português | Deutsch | 日本語 | 한국어 | Italiano | بالعربية
I. Informazioni di sistema
|
Visualizzare la versione del sistema |
Windows Server 2008 r2 Enterprise |
|
Uso |
Server VPN |
|
Visualizzare il nome dell'host |
|
|
Visualizzare la configurazione di rete |
II. Gestione del software antivirus
|
操作目的 |
Prevenire trojan, virus e altri programmi dannosi |
|
检查方法 |
Controllare se il servizio di antivirus del sistema è avviato. |
|
加固方法 |
Installare software antivirus; abilitare la monitoraggio in tempo reale; impostare il livello di monitoraggio appropriato; impostare una password per il software antivirus. |
|
是否实施 |
|
|
备注 |
|
操作目的 |
Installare patch di sistema, riparare vulnerabilità |
|
检查方法 |
Utilizzare strumenti di scansione per vulnerabilità. |
|
加固方法 |
Utilizzare strumenti per automatizzare la patch. |
|
是否实施 |
|
|
备注 |
|
操作目的 |
Ridurre gli account inutilizzati di sistema, ridurre il rischio |
|
检查方法 |
Utilizzare la combinazione di tasti 'Win+R' per aprire 'Esegui' -> compmgmt.msc (Gestione computer) -> Utenti e gruppi locali, controllare se ci sono account non utilizzati, se il gruppo di account di sistema è corretto e se l'account guest è bloccato |
|
加固方法 |
Utilizzare il comando 'net user nome_utente /del' per eliminare l'account Utilizzare il comando 'net user nome_utente /active:no' per bloccare l'account |
|
是否实施 |
|
|
备注 |
Controllare il registro di sistema per prevenire account ombra. |
|
操作目的 |
Migliorare la complessità delle password e le politiche di blocco, riducendo la possibilità di essere violati con forza bruta |
|
检查方法 |
Utilizzare la combinazione di tasti 'Win+R' per aprire 'Esegui' -> secpol.msc (Politiche di sicurezza locali) -> Impostazioni di sicurezza |
|
加固方法 |
1, Politiche account -> Politiche password Conformità alla complessità della password: Abilitato Lunghezza minima della password: 8 caratteri Durata minima della password: 0 giorni Durata massima della password: 90 giorni Obbligo di storico delle password: 1 password memorizzata Memorizzazione delle password con crittografia ripristabile: Disabilitato 2, Impostazioni account -> Politiche di blocco account Durata del blocco account: 30 minuti Soglia di blocco account: 5 accessi non validi Ripristino del contatore di blocco account: 30 minuti 3, Politiche locali -> Opzioni di sicurezza Login interattivo: Non visualizzare l'ultimo nome utente: Abilitato |
|
是否实施 |
|
|
备注 |
“Win+R”键调出“运行”->gpupdate /force立即生效 |
|
操作目的 |
Disattivare i servizi non necessari per ridurre il rischio |
|
检查方法 |
Utilizzare la combinazione di tasti 'Win+R' per aprire 'Esegui' -> services.msc |
|
加固方法 |
Modifica manuale dei seguenti servizi Sistema di Eventi COM+ Client DHCP Servizio di Politica di Diagnosi Coordinatore di Transazione Distribuita Client DNS Client di Tracciamento di Link Distribuito Remote Registry Print Spooler Server (può essere disabilitato se non si utilizza la condivisione di file) Shell Hardware Detection TCP/IP NetBIOS Helper Windows Update |
|
是否实施 |
|
|
备注 |
Disabilitare i servizi con cautela, specialmente sui computer remoti |
|
操作目的 |
Disabilitare le condivisioni predefinite |
|
检查方法 |
Premere "Win+R" per aprire "Esegui" -> cmd.exe -> net share, visualizzare le condivisioni |
|
加固方法 |
Disabilitare le condivisioni predefinite come C$, D$ ecc. Premere "Win+R" per aprire "Esegui" -> regedit -> trovare HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters, creare AutoShareServer (REG_DWORD), valore della chiave 0 |
|
是否实施 |
|
|
备注 |
|
操作目的 |
Limitazione dell'accesso di rete |
|
检查方法 |
Premere "Win+R" per aprire "Esegui" -> secpol.msc -> Impostazioni di sicurezza -> Politiche locali -> Opzioni di sicurezza |
|
加固方法 |
Accesso di rete: Non consentire l'enumerazione anonima degli account SAM: Abilitato Accesso di rete: Non consentire l'enumerazione anonima degli account SAM e delle condivisioni: Abilitato Accesso di rete: Applicare i permessi di Everyone agli utenti anonimi: Disabilitato Account: L'account locale con password vuota è autorizzato solo per l'accesso alla console: Abilitato |
|
是否实施 |
|
|
备注 |
“Win+R”键调出“运行”->gpupdate /force立即生效 |
|
操作目的 |
Migliorare la sicurezza del file system |
|
检查方法 |
Verificare se ogni drive di sistema utilizza il file system NTFS |
|
加固方法 |
Si consiglia di utilizzare il file system NTFS, comando di conversione: convert <lettera_del_dispositivo>: /fs:ntfs |
|
是否实施 |
|
|
备注 |
|
操作目的 |
Migliorare i permessi di Everyone |
|
检查方法 |
Cliccare con il tasto destro sul drive di sistema (disco) -> "Proprietà" -> "Sicurezza", per verificare se la directory radice di ogni drive di sistema è impostata con tutti i permessi di Everyone |
|
加固方法 |
Eliminare i permessi di Everyone o revocare i permessi di scrittura di Everyone |
|
是否实施 |
|
|
备注 |
|
操作目的 |
Limitare i permessi di alcuni comandi |
|
检查方法 |
Utilizzare il comando cacls o il Gestore file per visualizzare i permessi dei seguenti file |
|
加固方法 |
Si consiglia di limitare i permessi dei seguenti comandi, consentendo l'accesso solo ai gruppi system e Administrator %systemroot%\system32\cmd.exe %systemroot%\system32\regsvr32.exe %systemroot%\system32\tftp.exe %systemroot%\system32\ftp.exe %systemroot%\system32\telnet.exe %systemroot%\system32\net.exe %systemroot%\system32\net1.exe %systemroot%\system32\cscript.exe %systemroot%\system32\wscript.exe %systemroot%\system32\regedit.exe %systemroot%\system32\regedt32.exe %systemroot%\system32\cacls.exe %systemroot%\system32\command.com %systemroot%\system32\at.exe |
|
是否实施 |
|
|
备注 |
可能会影响业务系统正常运行 |
|
增大日志量大小,避免由于日志文件容量过小导致日志记录不全 |
|
|
检查方法 |
“Win+R”键调出“运行”->eventvwr.msc ->“Windows日志”->查看“应用程序”“安全”“系统”的属性 |
|
加固方法 |
建议设置: 日志上限大小:20480 KB |
|
是否实施 |
|
|
备注 |
|
操作目的 |
对系统事件进行审核,在日后出现故障时用于排查故障 |
|
检查方法 |
“Win+R”键调出“运行”->secpol.msc ->安全设置->本地策略->审核策略 |
|
加固方法 |
建议设置: 审核策略更改:成功 审核登录事件:成功,失败 审核对象访问:成功 审核进程跟踪:成功,失败 审核目录服务访问:成功,失败 审核系统事件:成功,失败 审核账户登录事件:成功,失败 审核账户管理:成功,失败 |
|
是否实施 |
|
|
备注 |
“Win+R”键调出“运行”->gpupdate /force立即生效 |
注:此文模板是从百度下载的,我做了适当修改。