前言

　　前段时间，客户的上级主管单位对客户单位的整个信息系统进行了一次全面的主机脆弱性分析。由于客户单位的信息安全性要求较高，这次脆弱性分析也做得非常彻底，找到了很多安全漏洞，尤其是对网络中的Windows主机更是提出了大量的整改意见。

　　在落实这些整改意见，修复主机漏洞的过程中，发现涉及到的计算机非常多，工作量很大，靠人力逐个计算机的去操作基本上是不可能的。这时想到了Windows系统中强大的管理工具——组策略。利用组策略批量更改配置的特性，配合计算机启动脚本的使用，整个安全修复工作仅用了1天就完成了。而如果靠人力逐个计算机的去操作可能要花费至少1个月的时间。下面给大家分享一下本次利用组策略对Windows系统进行全面安全防护的全过程。

　　一、主机脆弱性分析

　　本次评估中， Windows主机安全漏洞分析总共涉及到了Windows 2003服务器11台，Windows 2000服务器12台，以及抽样30台Windows XP客户端进行人工审计。发现的主要问题有：

　　（一）启用了多个不必要的服务和端口

　　多台Windows主机启用了多个不需要的服务。某些启动的服务可能与当前承载业务无关，例如：DHCP Client、Remote Registry、Task Scheduler、Telephony、Messenger。系统中开启了多个可能不必要且易受攻击的端口，如135、139、445、593、 1025、2745、3127、6129等。

　　不需要的服务被启用，恶意用户可以通过尝试攻击不需要的服务来入侵系统，而管理员在管理维护过程通常会忽略不需要的服务，无法及时修补不需要服务中所存在的安全漏洞，给恶意用户留下更多的攻击途径。

　　不需要的端口被启用，非法者可以利用这些端口进行攻击，获得系统相关信息，控制计算机或传播病毒，对计算机造成危害。

　　（二）没有重命名或禁用默认帐户

　　Windows主机没有更改默认管理员用户名：Administrator。

　　默认帐户在带来方便的同时也严重危害系统安全。未更改Administrator帐号，恶意攻击者将轻易得知超级用户的名称，只需对密码进行猜测即可。

　　（三）未屏蔽之前登录的用户信息

　　操作系统登录时，显示上次登录用户名。

　　没有配置此项安全功能，用户启动主机系统时，登录界面显示上次登录用户名，只需输入密码。恶意攻击者只需对密码进行猜测，无需猜测用户名，为攻击提供方便。

　　（四）操作系统开启默认共享

　　主机开启了C$、D$、Admin$、IPC$等默认共享。

　　默认情况下开启了很多共享文件夹。如C$、D$、ADMIN$等，这样对系统安全带来很多隐患。另外IPC$共享的存在将允许任何用户通过空用户连接得到系统所有账号和共享列表。攻击者可能利用这项功能，查找用户列表，并使用字典工具，对服务器进行攻击。

　　（五）未采用屏保密码设置

　　多台Windows系统没有设置在屏保后进行锁屏。

　　很多时候管理员会在离开服务器时忘记锁定系统。系统默认会在一定时间之后开始屏保，如果在屏保中设置了密码保护。那么很大程度上可以保护主机系统不会被非法操作，减少安全风险。

　　（六）帐号口令长度和复杂度不满足安全要求

　　为了提高用户口令字典穷举的难度，需要配置口令策略，口令复杂性要求，为用户设置强壮的口令。

　　（七）用户鉴别未加固

　　为了防止非法用户对用户口令进行反复尝试，应配置操作系统用户鉴别失败策略，即帐户尝试登陆阀值及达到阀值所采取的措施。

　　（八）审核策略未加固

　　审核是追溯恶意操作的最有力工具。系统默认的审核范围比较单一，并不能为安全事故分析提供充分的信息。因此需要配置操作系统的安全审计功能，确保系统在发生安全事件时有日志可供分析。

　　二、安全整改方法

　　八条安全整改建议基本上覆盖了大部分最常见的Windows安全问题，下面我们利用强大的组策略工具，对所有建议提供点对点问答式解决方案。

　　（一）关闭不需要的服务和端口

　　1，在Windows服务中禁用以下服务。

　　打开“默认域策略”，依次展开“计算机配置” 、“Windows设置” 、“安全设置”，然后选中“系统服务”，在右边窗格中右键选择Remote Registry服务，点击“属性”。在弹出的属性窗口中，选择“定义这个策略设置”，并勾选“已禁用” ，然后点击“确定”，关闭窗口。依次对以下服务完成以上操作。

　　(1)Remote Registry

　　(2)DHCP Client

　　(3)Task Scheduler

　　(4)Print Spooler

　　(5)Telephony

　　(6)Messenger