English | 简体中文 | 繁體中文 | Русский язык | Français | Español | Português | Deutsch | 日本語 | 한국어 | Italiano | بالعربية
1. システム情報
|
システムバージョンを確認する |
Windows Server 2008 r2 Enterprise |
|
用途 |
VPNサーバー |
|
ホスト名を確認する |
|
|
ネットワーク設定を確認する |
|
操作目的 |
トロイの木馬やウイルスなどの危害プログラムを予防する |
|
检查方法 |
システムのアンチウイルスサービスが起動しているか確認する |
|
加固方法 |
アンチウイルスソフトウェアをインストールし、リアルタイム監視を開始し、適切な監視レベルを設定し、アンチウイルスソフトウェアにパスワードを設定する |
|
是否实施 |
|
|
备注 |
|
操作目的 |
システムパッチをインストールし、脆弱性を修復する |
|
检查方法 |
スキャンツールを使用してスキャンする |
|
加固方法 |
ツールを使用してパッチの自動化 |
|
是否实施 |
|
|
备注 |
|
操作目的 |
システム内の不要なアカウントを減らし、リスクを低下させる |
|
检查方法 |
「Win+R キーで「実行」を呼び出す-「compmgmt.msc(コンピュータ管理)」-ローカルユーザーやグループを確認し、使用されていないアカウントがないか、システムアカウントのグループが正しく、guestアカウントがロックされているかを確認する |
|
加固方法 |
「net user ユーザー名」を使用して /「del」コマンドでアカウントを削除する 「net user ユーザー名」を使用して /「active:no」コマンドでアカウントをロックする |
|
是否实施 |
|
|
备注 |
レジストリを確認し、シェードーアカウントを予防する |
|
操作目的 |
パスワードの複雑さとロック戦略を強化し、強制解析される可能性を低下させる |
|
检查方法 |
「Win+R キーで「実行」を呼び出す->secpol.msc(ローカルセキュリティポリシー)->安全设置 |
|
加固方法 |
1、アカウントポリシー->パスワードポリシー パスワードは複雑性要件に従う必要があります:有効 パスワードの最小長さ:8文字 パスワードの最短使用期間:0日 パスワードの最長使用期間:90日 パスワード履歴を強制:1個の記憶済みパスワード パスワードを復元可能な暗号で保存:無効 2、アカウント設定->アカウントロックポリシー アカウントロック時間:30分 アカウントロック閾値:5回の無効ログイン アカウントロックカウンタをリセット:30分 3、ローカルポリシー->セキュリティオプション インタラクティブログイン: 最後のユーザー名を表示しない:有効 |
|
是否实施 |
|
|
备注 |
「Win+R キーで「実行」を呼び出す->gpupdate /force 立即適用 |
|
操作目的 |
必要でないサービスを关闭し、リスクを減らす |
|
检查方法 |
「Win+R キーで「実行」を呼び出す->services.msc |
|
加固方法 |
以下のサービスを手動に変更 COM+ Event System DHCP Client Diagnostic Policy Service Distributed Transaction Coordinator DNS Client Distributed Link Tracking Client Remote Registry Print Spooler Server(ファイル共有を使用しない場合は关闭できます) Shell Hardware Detection TCP/IP NetBIOS Helper Windows Update |
|
是否实施 |
|
|
备注 |
サービスを無効化する際には慎重に行い、特にリモートコンピュータの場合 |
|
操作目的 |
デフォルトの共有を关闭 |
|
检查方法 |
「Win+R キーで「実行」を呼び出す->cmd.exe->net share、共有を確認 |
|
加固方法 |
C$、D$などのデフォルトの共有を关闭 「Win+R キーで「実行」を呼び出す->regedit->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parametersに、AutoShareServer(REG_DWORD)を新規作成し、キー値を0に設定 |
|
是否实施 |
|
|
备注 |
|
操作目的 |
ネットワークアクセス制限 |
|
检查方法 |
「Win+R キーで「実行」を呼び出す->secpol.msc ->安全设置->本地策略->セキュリティオプション |
|
加固方法 |
ネットワークアクセス: SAMアカウントの匿名リスト表示を許可しない:有効 ネットワークアクセス: SAMアカウントと共有の匿名リスト表示を許可しない:有効 ネットワークアクセス: Everyone権限を匿名ユーザーに適用:無効 アカウント: 空パスワードのローカルアカウントはコンソールログインのみ許可:有効 |
|
是否实施 |
|
|
备注 |
「Win+R キーで「実行」を呼び出す->gpupdate /force 立即適用 |
|
操作目的 |
ファイルシステムのセキュリティを強化 |
|
检查方法 |
各システムドライバーがNTFSファイルシステムを使用しているか確認 |
|
加固方法 |
NTFSファイルシステムの使用を推奨します、変換コマンド:convert <ドライバーのドライブレター>: /fs:ntfs |
|
是否实施 |
|
|
备注 |
|
操作目的 |
增强Everyone权限 |
|
检查方法 |
右键点击系统驱动器(ディスク)->「属性」->「安全」,查看每个系统驱动器根目录是否设置为Everyone有所有权限 |
|
加固方法 |
删除Everyone的权限或者取消Everyone的写权限 |
|
是否实施 |
|
|
备注 |
|
操作目的 |
限制部分命令的权限 |
|
检查方法 |
使用cacls命令或资源管理器查看以下文件权限 |
|
加固方法 |
建议对以下命令做限制,只允许system、Administrator组访问 %systemroot%\system32\cmd.exe %systemroot%\system32\regsvr32.exe %systemroot%\system32\tftp.exe %systemroot%\system32\ftp.exe %systemroot%\system32\telnet.exe %systemroot%\system32\net.exe %systemroot%\system32\net1.exe %systemroot%\system32\cscript.exe %systemroot%\system32\wscript.exe %systemroot%\system32\regedit.exe %systemroot%\system32\regedt32.exe %systemroot%\system32\cacls.exe %systemroot%\system32\command.com %systemroot%\system32\at.exe |
|
是否实施 |
|
|
备注 |
可能会影响业务系统正常运行 |
|
增大日志量大小,避免由于日志文件容量过小导致日志记录不全 |
|
|
检查方法 |
「Win+R キーで「実行」を呼び出す->eventvwr.msc ->「windows日志」->查看「应用程序」「安全」「系统」的属性 |
|
加固方法 |
建议设置: 日志上限大小:20480 KB |
|
是否实施 |
|
|
备注 |
|
操作目的 |
对系统事件进行审核,在日后出现故障时用于排查故障 |
|
检查方法 |
「Win+R キーで「実行」を呼び出す->secpol.msc ->安全设置->本地策略->审核策略 |
|
加固方法 |
建议设置: 审核策略更改:成功 审核登录事件:成功,失败 审核对象访问:成功 审核进程跟踪:成功,失败 审核目录服务访问:成功,失败 审核系统事件:成功,失败 审核账户登录事件:成功,失败 审核账户管理:成功,失败 |
|
是否实施 |
|
|
备注 |
「Win+R キーで「実行」を呼び出す->gpupdate /force 立即適用 |
注:此文テンプレートは百度からdownした、適切な修正をした。