1、Windows主機(jī)操作系統(tǒng)加固作業(yè)指導(dǎo)書2020年7月修訂版目 錄1 賬號管理、認(rèn)證授權(quán)41.1 賬號41.1.1 按照用戶類型分配賬號41.1.2 系統(tǒng)無效帳戶清理51.1.3 重命名Administrator禁用GUEST61.2 口令71.2.1 配置密碼策略71.2.2 配置賬戶鎖定策略81.2.3 禁止系統(tǒng)自動(dòng)登錄91.3 授權(quán)101.3.1 遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)設(shè)置101.3.2 關(guān)閉系統(tǒng)設(shè)置111.3.3 “取得文件或其它對象的所有權(quán)”設(shè)置121.3.4 “從本地登陸此計(jì)算機(jī)”設(shè)置131.3.5 “從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”設(shè)置142 日志配置152.1.1 審核策略設(shè)置152.1.2 日

2、志記錄策略設(shè)置163 設(shè)備其他安全要求183.1 屏幕保護(hù)183.1.1 啟用屏幕保護(hù)程序183.1.2 設(shè)置Microsoft網(wǎng)絡(luò)服務(wù)器掛起時(shí)間193.2 共享文件夾及訪問權(quán)限203.2.1 關(guān)閉默認(rèn)共享203.2.2 設(shè)置共享文件夾訪問權(quán)限213.3 補(bǔ)丁管理223.3.1 安裝系統(tǒng)補(bǔ)丁223.4 防病毒管理233.4.1 安裝、更新殺毒軟件233.4.2 數(shù)據(jù)執(zhí)行保護(hù)配置243.4.3 強(qiáng)化TCP/IP堆棧防止拒絕服務(wù)攻擊253.5 Windows服務(wù)263.5.1 關(guān)閉不必要的服務(wù)263.5.2 修改SNMP服務(wù)密碼283.5.3 屏蔽業(yè)務(wù)無關(guān)的端口291 賬號管理、認(rèn)證授權(quán)1.1 賬

3、號1.1.1 按照用戶類型分配賬號編號Windows-01-01-01名稱按照用戶類型分配賬號實(shí)施目的根據(jù)系統(tǒng)的要求，設(shè)定不同的賬戶和賬戶組，管理員用戶，數(shù)據(jù)庫用戶，審計(jì)用戶，來賓用戶等。問題影響賬號混淆，權(quán)限不明確，存在用戶越權(quán)使用的可能。系統(tǒng)當(dāng)前狀態(tài)進(jìn)入“控制面板-管理工具-計(jì)算機(jī)管理”，在“系統(tǒng)工具-本地用戶和組”：記錄當(dāng)前用戶狀態(tài)實(shí)施步驟參考配置操作：進(jìn)入“控制面板-管理工具-計(jì)算機(jī)管理”，在“系統(tǒng)工具-本地用戶和組”。結(jié)合要求和實(shí)際業(yè)務(wù)情況判斷符合要求，根據(jù)系統(tǒng)的要求，設(shè)定不同的賬戶和賬戶組，管理員用戶，數(shù)據(jù)庫用戶，審計(jì)用戶，來賓用戶?；赝朔桨竸h除新增加的用戶，還原用戶權(quán)限到初始設(shè)置

4、。部分操作可能無法回退。判斷依據(jù)進(jìn)入“控制面板-管理工具-計(jì)算機(jī)管理”，在“系統(tǒng)工具-本地用戶和組”：查看賬戶和賬戶組，管理員用戶，數(shù)據(jù)庫用戶，審計(jì)用戶，來賓用戶等。根據(jù)系統(tǒng)的要求和實(shí)際業(yè)務(wù)情況判斷是否符合要求。實(shí)施風(fēng)險(xiǎn)高重要等級備注1.1.2 系統(tǒng)無效帳戶清理編號Windows-01-01-02名稱系統(tǒng)無效帳戶清理實(shí)施目的刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等與工作無關(guān)的賬號，提高系統(tǒng)帳戶安全。問題影響如果不清理無效帳戶，則系統(tǒng)將面臨默認(rèn)賬號被非法利用的風(fēng)險(xiǎn)系統(tǒng)當(dāng)前狀態(tài)進(jìn)入“控制面板-管理工具-計(jì)算機(jī)管理”，在“系統(tǒng)工具-本地用戶和組”：記錄當(dāng)前用戶狀態(tài)，備份系統(tǒng)SAM文件。實(shí)施步驟參考配置操作：進(jìn)入

5、“控制面板-管理工具-計(jì)算機(jī)管理”，在“系統(tǒng)工具-本地用戶和組”。刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等與工作無關(guān)的賬號?；赝朔桨冈黾颖粍h除的用戶，激活被鎖定的用戶，還原用戶權(quán)限到初始設(shè)置。部分操作可能無法回退。判斷依據(jù)進(jìn)入“控制面板-管理工具-計(jì)算機(jī)管理”，在“系統(tǒng)工具-本地用戶和組”：查看是否刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等與工作無關(guān)的賬號。根據(jù)系統(tǒng)的要求和實(shí)際業(yè)務(wù)情況判斷是否符合要求實(shí)施風(fēng)險(xiǎn)高重要等級備注1.1.3 重命名Administrator禁用GUEST編號Windows-01-01-03名稱重命名Administrator，禁用GUEST實(shí)施目的對于管理員帳號，要求更改缺省帳戶名稱；禁用gu

6、est（來賓）帳號。提高系統(tǒng)安全性。問題影響管理員帳號容易被猜解；Guest賬號容易被非法利用系統(tǒng)當(dāng)前狀態(tài)進(jìn)入“控制面板-管理工具-計(jì)算機(jī)管理”，在“系統(tǒng)工具-本地用戶和組”。記錄當(dāng)前用戶狀態(tài)實(shí)施步驟參考配置操作：進(jìn)入“控制面板-管理工具-計(jì)算機(jī)管理”，在“系統(tǒng)工具-本地用戶和組”。Administrator屬性 更改名稱Guest帳號-屬性 已停用回退方案重命名用戶名稱，還原用戶屬性設(shè)置判斷依據(jù)進(jìn)入“控制面板-管理工具-計(jì)算機(jī)管理”，在“系統(tǒng)工具-本地用戶和組”：查看管理員賬號Administrator名稱是否修改，Guest賬號是否禁用。實(shí)施風(fēng)險(xiǎn)低重要等級備注1.2 口令1.2.1 配置密

7、碼策略編號Windows-01-02-01名稱配置密碼策略實(shí)施目的設(shè)置密碼策略，減少密碼安全風(fēng)險(xiǎn)；防止系統(tǒng)弱口令的存在，減少安全隱患。對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令長度至少8位，且密碼規(guī)則至少應(yīng)采用字母（大小寫穿插）加數(shù)字加標(biāo)點(diǎn)符號（包括通配符）的方式。問題影響增加系統(tǒng)密碼被暴力破解的成功率系統(tǒng)當(dāng)前狀態(tài)進(jìn)入“控制面板-管理工具-本地安全策略”，在“帳戶策略-密碼策略”：記錄當(dāng)前密碼策略情況。實(shí)施步驟參考配置操作：進(jìn)入“控制面板-管理工具-本地安全策略”，在“帳戶策略-密碼策略”?！懊艽a必須符合復(fù)雜性要求”選擇“已啟動(dòng)”設(shè)置如下策略策略默認(rèn)設(shè)置推薦最低設(shè)置強(qiáng)制執(zhí)行密碼歷史記錄記住 1 個(gè)密

8、碼記住5個(gè)密碼密碼最長期限42 天180天密碼最短期限0 天1 天最短密碼長度0 個(gè)字符8 個(gè)字符密碼必須符合復(fù)雜性要求禁用啟用為域中所有用戶使用可還原的加密來儲存密碼禁用禁用回退方案還原密碼策略到加固之前配置判斷依據(jù)進(jìn)入“控制面板-管理工具-本地安全策略”，在“帳戶策略-密碼策略”：查看“密碼必須符合復(fù)雜性要求” 是否選擇“已啟動(dòng)”。實(shí)施風(fēng)險(xiǎn)低重要等級備注1.2.2 配置賬戶鎖定策略編號Windows-01-02-02名稱配置賬戶鎖定策略實(shí)施目的設(shè)置有效的賬戶鎖定策略有助于防止攻擊者猜出系統(tǒng)賬戶的密碼。問題影響增加系統(tǒng)密碼被暴力破解的成功率系統(tǒng)當(dāng)前狀態(tài)進(jìn)入“控制面板-管理工具-本地安全策略”

9、，在“帳戶策略-賬戶鎖定策略”：記錄當(dāng)前賬戶鎖定策略情況。實(shí)施步驟參考配置操作：進(jìn)入“控制面板-管理工具-本地安全策略”，在“帳戶策略-賬戶鎖定策略”。設(shè)置如下策略：策略默認(rèn)設(shè)置推薦最低設(shè)置賬戶鎖定時(shí)間未定義15 分鐘賬戶鎖定閾值05 次無效登錄復(fù)位賬戶鎖定計(jì)數(shù)器未定義15 分鐘回退方案還原賬戶鎖定策略到加固之前配置判斷依據(jù)進(jìn)入“控制面板-管理工具-本地安全策略”，在“帳戶策略-賬戶鎖定策略”：查看安全策略是否設(shè)置為已啟動(dòng)和按要求配置。實(shí)施風(fēng)險(xiǎn)低重要等級備注1.2.3 禁止系統(tǒng)自動(dòng)登錄編號Windows-01-02-03名稱禁止系統(tǒng)自動(dòng)登錄實(shí)施目的禁止系統(tǒng)自動(dòng)登錄問題影響增加系統(tǒng)密碼被暴力破解

10、的成功率系統(tǒng)當(dāng)前狀態(tài)進(jìn)入“控制面板-管理工具-本地安全策略”，在“帳戶策略-賬戶鎖定策略”：記錄當(dāng)前賬戶鎖定策略情況。實(shí)施步驟參考配置操作：1、 點(diǎn)擊開始運(yùn)行輸入“regedit”打開注冊表2、 HKLM Software MicrosoftWindows NTCurrentVersionwinlogon把a(bǔ)utoadminlogon子鍵設(shè)置為0開始-控制面板-管理工具-本地安全策略-本地安全設(shè)置，進(jìn)入控制臺本地策略/安全選項(xiàng)可匿名訪問的共享：DFS$、COMCFG不允許sam賬戶的匿名枚舉：啟用不允許sam賬戶和共享的匿名枚舉：啟用允許在未登錄前關(guān)機(jī)：禁用LAN Manager身份驗(yàn)證級別：

11、僅發(fā)送HTLM響應(yīng)發(fā)送未加密的密碼以連接到第三方SMB服務(wù)器：禁用允許彈出可移動(dòng)媒體：administrators在斷開會話之前所需的空閑時(shí)間：15如果無法記錄安全審計(jì)則立即關(guān)閉系統(tǒng)：禁用登錄屏幕上不要顯示上次登錄的用戶名：啟用禁用按CTRL+ALT+DEL進(jìn)行登錄的設(shè)置：啟用在關(guān)機(jī)時(shí)清理虛擬內(nèi)存頁面交換文件：啟用回退方案還原賬戶鎖定策略到加固之前配置判斷依據(jù)進(jìn)入“控制面板-管理工具-本地安全策略”實(shí)施風(fēng)險(xiǎn)低重要等級備注1.3 用戶權(quán)限指派1.3.1 遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)設(shè)置編號Windows-01-03-01名稱遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)設(shè)置實(shí)施目的防止遠(yuǎn)程用戶非法關(guān)機(jī)，在本地安全設(shè)置中從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)

12、只指派給Administrators組問題影響增加系統(tǒng)被管理員以外的用戶非法關(guān)閉的風(fēng)險(xiǎn)系統(tǒng)當(dāng)前狀態(tài)進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權(quán)利指派”:查看并記錄“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”的當(dāng)前設(shè)置。實(shí)施步驟參考配置操作：進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權(quán)利指派”。“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置為“只指派給Administrators組”。回退方案還原“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”的設(shè)置到加固之前配置。判斷依據(jù)進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權(quán)利指派”:查看“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”是否設(shè)置為“只指派給Administrators組”。實(shí)施

13、風(fēng)險(xiǎn)低重要等級備注1.3.2 關(guān)閉系統(tǒng)設(shè)置編號Windows-01-03-02名稱關(guān)閉系統(tǒng)設(shè)置實(shí)施目的防止管理員以外的用戶非法關(guān)機(jī)，在本地安全設(shè)置中關(guān)閉系統(tǒng)僅指派給Administrators組問題影響增加系統(tǒng)被管理員以外的用戶非法關(guān)閉的風(fēng)險(xiǎn)系統(tǒng)當(dāng)前狀態(tài)進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權(quán)利指派”:查看并記錄“關(guān)閉系統(tǒng)”的當(dāng)前設(shè)置。實(shí)施步驟參考配置操作：進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權(quán)利指派”。“關(guān)閉系統(tǒng)”設(shè)置為“只指派給Administrators組”。回退方案還原“關(guān)閉系統(tǒng)”的設(shè)置到加固之前配置判斷依據(jù)進(jìn)入“控制面板-管理工具-本地安

14、全策略”，在“本地策略-用戶權(quán)利指派”:查看“關(guān)閉系統(tǒng)”是否設(shè)置為“只指派給Administrators組”。實(shí)施風(fēng)險(xiǎn)低重要等級備注1.3.3 “取得文件或其它對象的所有權(quán)”設(shè)置編號Windows-01-03-03名稱“取得文件或其它對象的所有權(quán)”設(shè)置實(shí)施目的防止用戶非法獲取文件，在本地安全設(shè)置中取得文件或其它對象的所有權(quán)僅指派給Administrators問題影響增加系統(tǒng)除管理員以外的用戶非法獲取文件的風(fēng)險(xiǎn)系統(tǒng)當(dāng)前狀態(tài)進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權(quán)利指派”:查看并記錄“取得文件或其它對象的所有權(quán)”的當(dāng)前設(shè)置。實(shí)施步驟參考配置操作：進(jìn)入“控制面板-管理工具-本地

15、安全策略”，在“本地策略-用戶權(quán)利指派”?！叭〉梦募蚱渌鼘ο蟮乃袡?quán)”設(shè)置為“只指派給Administrators組”。回退方案還原“取得文件或其它對象的所有權(quán)”的設(shè)置到加固之前配置判斷依據(jù)進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權(quán)利指派”：查看是否“取得文件或其它對象的所有權(quán)”設(shè)置為“只指派給Administrators組”。實(shí)施風(fēng)險(xiǎn)低重要等級備注1.3.4 “從本地登陸此計(jì)算機(jī)”設(shè)置編號Windows-01-03-04名稱“從本地登陸此計(jì)算機(jī)”設(shè)置實(shí)施目的防止用戶非法登錄主機(jī)，在本地安全設(shè)置中配置指定授權(quán)用戶允許本地登陸此計(jì)算機(jī)問題影響增加物理臨近攻擊和本地物理攻擊以

16、及非授權(quán)用戶非法登陸主機(jī)的風(fēng)險(xiǎn)系統(tǒng)當(dāng)前狀態(tài)進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權(quán)利指派”:查看并記錄“從本地登陸此計(jì)算機(jī)”的當(dāng)前設(shè)置。實(shí)施步驟參考配置操作：進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權(quán)利指派”“從本地登陸此計(jì)算機(jī)”設(shè)置為“指定授權(quán)用戶”回退方案還原“從本地登陸此計(jì)算機(jī)”的設(shè)置到加固之前配置判斷依據(jù)進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權(quán)利指派”：查看是否“從本地登陸此計(jì)算機(jī)”設(shè)置為“指定授權(quán)用戶”。實(shí)施風(fēng)險(xiǎn)低重要等級備注1.3.5 “從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”設(shè)置編號Windows-01-03-05名稱“從網(wǎng)絡(luò)訪問此計(jì)算

17、機(jī)”設(shè)置實(shí)施目的防止網(wǎng)絡(luò)用戶非法訪問主機(jī)，在組策略中只允許授權(quán)帳號從網(wǎng)絡(luò)訪問(包括網(wǎng)絡(luò)共享等，但不包括終端服務(wù))此計(jì)算機(jī)。問題影響增加非授權(quán)用戶非法訪問主機(jī)的風(fēng)險(xiǎn)系統(tǒng)當(dāng)前狀態(tài)進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權(quán)利指派”:查看并記錄“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”的當(dāng)前設(shè)置。實(shí)施步驟1、參考配置操作進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權(quán)利指派”“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”設(shè)置為“指定授權(quán)用戶”回退方案還原“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”的設(shè)置到加固之前配置判斷依據(jù)進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權(quán)利指派”：查看是否“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”設(shè)置為“

18、指定授權(quán)用戶”。實(shí)施風(fēng)險(xiǎn)低重要等級備注2 日志配置2.1.1 審核策略設(shè)置編號Windows-02-01-01名稱審核策略設(shè)置實(shí)施目的設(shè)置審核策略，記錄系統(tǒng)重要的事件日志，設(shè)備應(yīng)配置日志功能，對用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的賬號，登錄是否成功，登錄時(shí)間，以及遠(yuǎn)程登錄時(shí)，用戶使用的IP地址問題影響無法對用戶的登陸以及登陸后對系統(tǒng)的操作過程、特權(quán)使用等進(jìn)行日志記錄系統(tǒng)當(dāng)前狀態(tài)進(jìn)入“控制面板-管理工具-本地安全策略”，查看并記錄“審核策略”的當(dāng)前設(shè)置。實(shí)施步驟參考配置操作：開始-運(yùn)行- 執(zhí)行“控制面板-管理工具-本地安全策略-審核策略”審核登錄事件，雙擊，設(shè)置為成功和失敗都審核?！皩徍?/p>

19、策略更改”設(shè)置為“成功”和“失敗”都要審核“審核對象訪問”設(shè)置為“成功”和“失敗”都要審核“審核目錄服務(wù)器訪問”設(shè)置為“成功”和“失敗”都要審核“審核特權(quán)使用”設(shè)置為“成功”和“失敗”都要審核“審核系統(tǒng)事件”設(shè)置為“成功”和“失敗”都要審核“審核賬戶管理”設(shè)置為“成功”和“失敗”都要審核“審核過程追蹤”設(shè)置為“失敗”需要審核回退方案還原“審核策略”的設(shè)置到加固之前配置判斷依據(jù)開始-運(yùn)行- 執(zhí)行“控制面板-管理工具-本地安全策略-審核策略”：查看是否設(shè)置為成功和失敗都審核。實(shí)施風(fēng)險(xiǎn)低重要等級備注2.1.2 日志記錄策略設(shè)置編號Windows-02-01-02名稱日志記錄策略設(shè)置實(shí)施目的優(yōu)化系統(tǒng)日

20、志記錄，防止日志溢出。設(shè)置應(yīng)用日志文件大小至少為8192KB，設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)，按需要改寫事件問題影響如果日志的大小超過系統(tǒng)默認(rèn)設(shè)置，則無法正常記錄超過最大記錄值后的所有系統(tǒng)日志、應(yīng)用日志、安全日志等系統(tǒng)當(dāng)前狀態(tài)進(jìn)入“控制面板-管理工具-事件查看器”，查看并記錄“應(yīng)用日志”、“系統(tǒng)日志”、“安全日志”的當(dāng)前設(shè)置實(shí)施步驟1、參考配置操作進(jìn)入“控制面板-管理工具-事件查看器”，在“事件查看器（本地）”中：“應(yīng)用日志”屬性中的日志大小設(shè)置不小于“100M” ,設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)，“按需要改寫事件”改成180天“系統(tǒng)日志”屬性中的日志大小設(shè)置不小于“100M” ,設(shè)置當(dāng)達(dá)到最大的日志

21、尺寸時(shí)，“按需要改寫事件”改成180天“安全日志”屬性中的日志大小設(shè)置不小于“100M” ,設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)，“按需要改寫事件”改成180天回退方案還原“應(yīng)用日志”、“系統(tǒng)日志”、“安全日志”的設(shè)置到加固之前配置判斷依據(jù)進(jìn)入“控制面板-管理工具-事件查看器”，在“事件查看器（本地）”中：查看各項(xiàng)日志屬性中日志大小是否設(shè)置為不小于“100M” ,是否設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)，“按需要改寫事件”。實(shí)施風(fēng)險(xiǎn)低重要等級備注3 設(shè)備其他安全要求3.1 屏幕保護(hù)3.1.1 啟用屏幕保護(hù)程序編號Windows-04-01-01名稱啟用屏幕保護(hù)程序?qū)嵤┠康膯⒂闷聊槐Ｗo(hù)程序，防止管理員忘記鎖定機(jī)器被

22、非法攻擊；設(shè)置帶密碼的屏幕保護(hù)，并將時(shí)間設(shè)定為5分鐘問題影響如未啟動(dòng)屏幕保護(hù)并采用密碼恢復(fù)，一旦管理員操作系統(tǒng)后忘記鎖定主機(jī)，則容易被非法攻擊，以及增加本地物理臨近攻擊的風(fēng)險(xiǎn)。系統(tǒng)當(dāng)前狀態(tài)進(jìn)入“控制面板顯示屏幕保護(hù)程序”：查看是否啟用屏幕保護(hù)程序 并記錄當(dāng)前的設(shè)置實(shí)施步驟參考配置操作：進(jìn)入“控制面板顯示屏幕保護(hù)程序”：啟用屏幕保護(hù)程序，設(shè)置等待時(shí)間為“10分鐘”，啟用“在恢復(fù)時(shí)使用密碼保護(hù)”?；赝朔桨高€原屏幕保護(hù)程序設(shè)置到加固之前配置。判斷依據(jù)進(jìn)入“控制面板顯示屏幕保護(hù)程序”：查看是否啟用屏幕保護(hù)程序，設(shè)置等待時(shí)間為“10分鐘”，啟用“在恢復(fù)時(shí)使用密碼保護(hù)”。在系統(tǒng)桌面上點(diǎn)擊鼠標(biāo)右鍵，打開屬性

23、，查看屏幕保護(hù)程序選項(xiàng)是否已啟動(dòng)和配置。實(shí)施風(fēng)險(xiǎn)低重要等級備注3.1.2 設(shè)置Microsoft網(wǎng)絡(luò)服務(wù)器掛起時(shí)間編號Windows-04-01-02名稱設(shè)置Microsoft網(wǎng)絡(luò)服務(wù)器掛起時(shí)間實(shí)施目的設(shè)置Microsoft網(wǎng)絡(luò)服務(wù)器掛起時(shí)間，防止管理員忘記鎖定機(jī)器被非法利用；對于遠(yuǎn)程登陸的帳號，設(shè)置不活動(dòng)斷連時(shí)間15分鐘問題影響管理員忘記鎖定而被非法利用系統(tǒng)當(dāng)前狀態(tài)進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-安全選項(xiàng)”：查看是否“Microsoft網(wǎng)絡(luò)服務(wù)器”設(shè)置為“在掛起會話之前所需的空閑時(shí)間”為15分鐘。實(shí)施步驟參考配置操作：進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地

24、策略-安全選項(xiàng)”：“Microsoft網(wǎng)絡(luò)服務(wù)器”設(shè)置為“在掛起會話之前所需的空閑時(shí)間”為15分鐘。回退方案還原“掛起會話之前所需的空閑時(shí)間”設(shè)置到加固之前配置判斷依據(jù)進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-安全選項(xiàng)”：查看是否“Microsoft網(wǎng)絡(luò)服務(wù)器”設(shè)置為“在掛起會話之前所需的空閑時(shí)間”為15分鐘。實(shí)施風(fēng)險(xiǎn)低重要等級備注3.2 共享文件夾及訪問權(quán)限3.2.1 關(guān)閉默認(rèn)共享編號Windows-04-02-01名稱關(guān)閉默認(rèn)共享實(shí)施目的非域環(huán)境中，關(guān)閉Windows硬盤默認(rèn)共享，例如C$，D$，提高系統(tǒng)安全性能問題影響防止攻擊者利用系統(tǒng)默認(rèn)共享如：C$、D$等，非法對系統(tǒng)的

25、硬盤進(jìn)行訪問，以及通過IPC$方式暴力破解帳戶和密碼系統(tǒng)當(dāng)前狀態(tài)查看并記錄：注冊表HKLMSystemCurrentControlSetServicesLanmanServerParameters增加了REG_DWORD類型的AutoShareServer 鍵的值。實(shí)施步驟參考配置操作：進(jìn)入“開始運(yùn)行Regedit”，進(jìn)入注冊表編輯器，更改注冊表鍵值：在HKLMSystemCurrentControlSet ServicesLanmanServerParameters下，增加REG_DWORD類型的AutoShareServer 鍵，值為 0?；赝朔桨高€原“AutoShareServer” 鍵

26、的值設(shè)置到加固之前配置判斷依據(jù)進(jìn)入“開始運(yùn)行Regedit”，進(jìn)入注冊表編輯器，查看HKLMSystemCurrentControlSet ServicesLanmanServerParameters下，是否已增加REG_DWORD類型的AutoShareServer 鍵，值為 0。實(shí)施風(fēng)險(xiǎn)低重要等級備注3.2.2 設(shè)置共享文件夾訪問權(quán)限編號Windows-04-02-02名稱設(shè)置共享文件夾訪問權(quán)限實(shí)施目的設(shè)置共享文件夾訪問權(quán)限，防止用戶非法訪問。只允許授權(quán)的賬戶擁有權(quán)限共享此文件夾。問題影響增加系統(tǒng)未授權(quán)的用戶非法訪問共享文件夾的風(fēng)險(xiǎn)系統(tǒng)當(dāng)前狀態(tài)進(jìn)入“控制面板-管理工具-計(jì)算機(jī)管理”，進(jìn)入“

27、系統(tǒng)工具共享文件夾”：查看并記錄每個(gè)共享文件夾的共享權(quán)限。實(shí)施步驟參考配置操作：進(jìn)入“控制面板-管理工具-計(jì)算機(jī)管理”，進(jìn)入“系統(tǒng)工具共享文件夾”：查看每個(gè)共享文件夾的共享權(quán)限，只將權(quán)限授權(quán)于指定賬戶?；赝朔桨高€原每個(gè)共享文件夾的共享權(quán)限到加固之前配置判斷依據(jù)進(jìn)入“控制面板-管理工具-計(jì)算機(jī)管理”，進(jìn)入“系統(tǒng)工具共享文件夾”：查看每個(gè)共享文件夾的共享權(quán)限。查看每個(gè)共享文件夾的共享權(quán)限是否僅限于業(yè)務(wù)需要，不設(shè)置成為“everyone”。實(shí)施風(fēng)險(xiǎn)低重要等級備注3.3 補(bǔ)丁管理3.3.1 安裝系統(tǒng)補(bǔ)丁編號Windows-04-03-01名稱安裝系統(tǒng)補(bǔ)丁實(shí)施目的修復(fù)系統(tǒng)漏洞。應(yīng)安裝最新的Service

28、 Pack補(bǔ)丁集。對服務(wù)器系統(tǒng)應(yīng)先進(jìn)行兼容性測試。問題影響如系統(tǒng)未打補(bǔ)丁或補(bǔ)丁未打全，不是最新的補(bǔ)丁，則面臨容易被攻擊、滲透和控制的風(fēng)險(xiǎn)系統(tǒng)當(dāng)前狀態(tài)控制面板-添加或刪除程序-顯示更新打鉤，查看并記錄當(dāng)前系統(tǒng)安裝的補(bǔ)丁實(shí)施步驟參考配置操作：安裝最新的Service Pack補(bǔ)丁集，以及最新的Hotfix補(bǔ)丁。目前Windows XP的Service Pack為SP3。Windows2000的Service Pack為SP4,Windows 2003的Service Pack為SP2回退方案卸載新安裝的補(bǔ)丁判斷依據(jù)進(jìn)入控制面板-添加或刪除程序-顯示更新打鉤，查看是否XP系統(tǒng)已安裝SP3，Win20

29、00系統(tǒng)已安裝SP4，Win2003系統(tǒng)已安裝SP2。同時(shí)檢查所有的hotfix，并查看系統(tǒng)安裝的最后一個(gè)補(bǔ)丁的發(fā)布日期是否與最近最新發(fā)布的補(bǔ)丁日期一致。實(shí)施風(fēng)險(xiǎn)高重要等級備注3.4 防病毒管理3.4.1 安裝、更新殺毒軟件編號Windows-04-04-01名稱安裝、更新殺毒軟件實(shí)施目的安裝防病毒軟件，并及時(shí)更新，提高系統(tǒng)防病毒能力問題影響如系統(tǒng)中未安裝防病毒軟件或防病毒軟件未及時(shí)更新，則系統(tǒng)面臨容易被病毒感染的風(fēng)險(xiǎn)系統(tǒng)當(dāng)前狀態(tài)查看是否安裝殺毒軟件；打開防病毒軟件控制面板，查看病毒碼更新日期實(shí)施步驟參考配置操作：安裝防病毒軟件，并將病毒庫更新到最新的版本啟動(dòng)windows防火墻回退方案卸載或

30、刪除殺毒軟件判斷依據(jù)進(jìn)入控制面板-添加或刪除程序，查看是否安裝有防病毒軟件。同時(shí)打開防病毒軟件控制面板，查看病毒碼更新日期。如已安裝防病毒軟件，則病毒碼更新時(shí)間不早于1個(gè)月，各系統(tǒng)病毒碼升級時(shí)間要求參見各系統(tǒng)相關(guān)規(guī)定。實(shí)施風(fēng)險(xiǎn)低重要等級備注3.4.2 數(shù)據(jù)執(zhí)行保護(hù)配置編號Windows-04-04-02名稱數(shù)據(jù)執(zhí)行保護(hù)配置實(shí)施目的提高系統(tǒng)抵抗非法修改文件的性能。對于Windows XP SP2及Windows 2003對Windows操作系統(tǒng)程序和服務(wù)啟用系統(tǒng)自帶DEP功能(數(shù)據(jù)執(zhí)行保護(hù))，防止在受保護(hù)內(nèi)存位置運(yùn)行有害代碼。問題影響如未配置系統(tǒng)核心的數(shù)據(jù)執(zhí)行保護(hù)，則無法對在內(nèi)存位置運(yùn)行有害代碼

31、進(jìn)行保護(hù)系統(tǒng)當(dāng)前狀態(tài)進(jìn)入“控制面板系統(tǒng)”，在“高級”選項(xiàng)卡的 “性能”下的“設(shè)置”。進(jìn)入 “數(shù)據(jù)執(zhí)行保護(hù)”選項(xiàng)卡。查看并記錄“ 僅為基本 Windows 操作系統(tǒng)程序和服務(wù)啟用DEP”的配置狀態(tài)。實(shí)施步驟參考配置操作： 進(jìn)入“控制面板系統(tǒng)”，在“高級”選項(xiàng)卡的 “性能”下的“設(shè)置”。進(jìn)入 “數(shù)據(jù)執(zhí)行保護(hù)”選項(xiàng)卡。設(shè)置為“ 僅為基本 Windows 操作系統(tǒng)程序和服務(wù)啟用DEP”?；赝朔桨笇ⅰ?僅為基本 Windows 操作系統(tǒng)程序和服務(wù)啟用DEP”設(shè)置到加固前配置判斷依據(jù)進(jìn)入“控制面板系統(tǒng)”，在“高級”選項(xiàng)卡的 “性能”下的“設(shè)置”。進(jìn)入 “數(shù)據(jù)執(zhí)行保護(hù)”選項(xiàng)卡。查看是否設(shè)置為“ 僅為基本 W

32、indows 操作系統(tǒng)程序和服務(wù)啟用DEP”。實(shí)施風(fēng)險(xiǎn)低重要等級備注3.4.3 強(qiáng)化TCP/IP堆棧防止拒絕服務(wù)攻擊編號Windows-04-04-03名稱強(qiáng)化TCP/IP堆棧防止拒絕服務(wù)攻擊實(shí)施目的防止拒絕服務(wù)攻擊問題影響未經(jīng)測試更改這些值可能影響系統(tǒng)性能及相關(guān)程序系統(tǒng)當(dāng)前狀態(tài)查看注冊表鍵值實(shí)施步驟參考配置操作： HKLMSystemCurrentControlSetServicesTcpipParametersSynAttackProtect=1 (REG_DWORD)1;HKLMSystemCurrentControlSetServicesTcpipParametersEnableDea

33、dGWDetect= 0(REG_DWORD)0;CurrentControlSetServicesTcpipParametersKeepAliveTime= (REG_DWORD);CurrentControlSetServicesTcpipParametersNoNameReleaseOnDemand=1 (REG_DWORD)1;回退方案將注冊表設(shè)置到加固前配置判斷依據(jù)查看注冊表鍵值實(shí)施風(fēng)險(xiǎn)高重要等級備注3.5 Windows服務(wù)3.5.1 關(guān)閉不必要的服務(wù)編號Windows-04-05-01名稱關(guān)閉不必要的服務(wù)實(shí)施目的關(guān)閉系統(tǒng)不必要的服務(wù)，提高系統(tǒng)安全性。列出所需要服務(wù)的列表(包括所需

34、的系統(tǒng)服務(wù))，不在此列表的服務(wù)需關(guān)閉問題影響如不關(guān)閉與業(yè)務(wù)和應(yīng)用無關(guān)或不必要的服務(wù)，則系統(tǒng)面臨容易被攻擊、滲透或利用的風(fēng)險(xiǎn)系統(tǒng)當(dāng)前狀態(tài)運(yùn)行命令net start 查看當(dāng)前運(yùn)行的服務(wù)實(shí)施步驟參考配置操作： 進(jìn)入“控制面板-管理工具-計(jì)算機(jī)管理”，進(jìn)入“服務(wù)和應(yīng)用程序”：查看所有服務(wù)，不在此列表的服務(wù)需關(guān)閉。服務(wù)啟動(dòng)類型包括在成員服務(wù)器基準(zhǔn)策略中的理由COM+ 事件服務(wù)手動(dòng)允許組件服務(wù)的管理DHCP 客戶端自動(dòng)更新動(dòng)態(tài) DNS 中的記錄所需分布式鏈接跟蹤客戶端自動(dòng)用來維護(hù) NTFS 卷上的鏈接DNS 客戶端自動(dòng)允許解析 DNS 名稱事件日志自動(dòng)允許在事件日志中查看事件日志消息邏輯磁盤管理器自動(dòng)需要

35、它來確保動(dòng)態(tài)磁盤信息保持最新邏輯磁盤管理器管理服務(wù)手動(dòng)需要它以執(zhí)行磁盤管理Netlogon自動(dòng)加入域時(shí)所需網(wǎng)絡(luò)連接手動(dòng)網(wǎng)絡(luò)通訊所需性能日志和警報(bào)手動(dòng)收集計(jì)算機(jī)的性能數(shù)據(jù)，向日志中寫入或觸發(fā)警報(bào)即插即用自動(dòng)Windows 標(biāo)識和使用系統(tǒng)硬件時(shí)所需受保護(hù)的存儲區(qū)自動(dòng)需要用它保護(hù)敏感數(shù)據(jù)，如私鑰遠(yuǎn)程過程調(diào)用 (RPC)自動(dòng)Windows 中的內(nèi)部過程所需遠(yuǎn)程注冊服務(wù)自動(dòng)hfnetchk 實(shí)用工具所需（參見附注）安全帳戶管理器自動(dòng)存儲本地安全帳戶的帳戶信息服務(wù)器自動(dòng)hfnetchk 實(shí)用工具所需（參見附注）系統(tǒng)事件通知自動(dòng)在事件日志中記錄條目所需TCP/IP NetBIOS Helper 服務(wù)自動(dòng)在組

36、策略中進(jìn)行軟件分發(fā)所需（可用來分發(fā)修補(bǔ)程序）Windows 管理規(guī)范驅(qū)動(dòng)程序手動(dòng)使用“性能日志和警報(bào)”實(shí)現(xiàn)性能警報(bào)時(shí)所需Windows 時(shí)間服務(wù)自動(dòng)需要它來保證 Kerberos 身份驗(yàn)證有一致的功能工作站自動(dòng)加入域時(shí)所需回退方案進(jìn)入“控制面板-管理工具-計(jì)算機(jī)管理”，進(jìn)入“服務(wù)和應(yīng)用程序”，配置并啟動(dòng)停止的服務(wù)判斷依據(jù)系統(tǒng)管理員應(yīng)出具系統(tǒng)所必要的服務(wù)列表。查看所有服務(wù)，不在此列表的服務(wù)需關(guān)閉。進(jìn)入“控制面板-管理工具-計(jì)算機(jī)管理”，進(jìn)入“服務(wù)和應(yīng)用程序”：查看所有服務(wù)，不在此列表的服務(wù)是否已關(guān)閉。實(shí)施風(fēng)險(xiǎn)中重要等級備注3.5.2 修改SNMP服務(wù)密碼編號Windows-04-05-02名稱修

37、改SNMP服務(wù)密碼實(shí)施目的修改SNMP服務(wù)密碼，防止泄露系統(tǒng)信息。如需啟用SNMP服務(wù)，則修改默認(rèn)的SNMP Community String設(shè)置問題影響如未修改SNMP服務(wù)的默認(rèn)密碼，則攻擊者利用SNMP信息探測工具就可以獲取系統(tǒng)信息。從而增加系統(tǒng)被攻擊的風(fēng)險(xiǎn)系統(tǒng)當(dāng)前狀態(tài)打開“控制面板”，打開“管理工具”中的“服務(wù)”，找到“SNMP Service”，單擊右鍵打開“屬性”面板中的“安全”選項(xiàng)卡，查看community strings的值實(shí)施步驟參考配置操作： 打開“控制面板”，打開“管理工具”中的“服務(wù)”，找到“SNMP Service”，單擊右鍵打開“屬性”面板中的“安全”選項(xiàng)卡，在這個(gè)配置界面中，可以修改community strings，也就是微軟所說的“團(tuán)體名稱”?；赝朔桨感薷腸ommunity strings值到加固前狀態(tài)判斷依據(jù)打開“控制面板”，打開“管理工具”中的“服務(wù)”，找到“SNMP Service”，單擊右鍵打開“屬性”面板中的“安全”選項(xiàng)卡，在這個(gè)配置界面中，查看community strings，是否已改，而不是默認(rèn)的“public”。實(shí)施風(fēng)險(xiǎn)中重要等級備注3.5.3 屏蔽業(yè)