Windows 操作系统安全防护强制性要求.doc

Windows XP操作系统安全防护强制性要求Windows 操作系统安全防护强制性要求二一四年五月37目录1.系统用户口令及策略加固11.1.系统用户口令策略加固11.2.用户权限设置11.3.禁用Guest（来宾）帐户21.4.禁止使用超级管理员帐号31.5.删除多余的账号32.日志审核策略配置42.1.设置主机审核策略42.2.调整事件日志的大小及覆盖策略42.3.启用系统失败日志记录功能53.安全选项策略配置53.1.设置挂起会话的空闲时间53.2.禁止发送未加密的密码到第三方 SMB 服务器63.3.禁用对所有驱动器和文件夹进行软盘复制和访问63.4.禁止故障恢复控制台自动登录63.5.关机时清除虚拟内存页面文件73.6.禁止系统在未登录前关机73.7.不显示上次登录的用户名73.8.登录时需要按 CTRL+ALT+DEL83.9.可被缓存的前次登录个数83.10.不允许 SAM 帐户和共享的匿名枚举83.11.不允许为网络身份验证储存凭证或 .NET Passports93.12.如果无法记录安全审核则立即关闭系统93.13.禁止从本机发送远程协助邀请93.14.关闭故障恢复自动重新启动94.用户权限策略配置104.1.禁止用户组通过终端服务登录104.2.只允许管理组通过终端服务登录104.3.限制从网络访问此计算机105.用户权限策略配置115.1.禁止自动登录115.2.禁止光驱自动运行115.3.启用源路由欺骗保护115.4.删除 IPC 共享126.网络与服务加固126.1.卸载、禁用、停止不需要的服务126.2.禁用不必要进程，防止病毒程序运行136.3.关闭不必要启动项，防止病毒程序开机启动226.4.检查是否开启不必要的端口306.5.修改默认的远程桌面端口316.6.启用客户端自带防火墙316.7.检测 DDOS 攻击保护设置326.8.检测 ICMP攻击保护设置326.9.检测 TCP碎片攻击保护设置337.其他安全性加固347.1.安装防火墙和防病毒软件347.2.使用NTFS文件系统347.3.文件权限安全357.4.未经签名的驱动程序软件安装管理357.5.屏幕保护367.6.检查数据执行保护361. 系统用户口令及策略加固1.1. 系统用户口令策略加固实施名称：系统用户口令策略加固系统当前状态：查看系统“本地安全设置”“帐户策略”中“ 密码策略”和“账号锁定策略”当前情况实施方案：密码必须符合复杂性要求：启用密码长度最小值 8 个字符密码最长使用期限： 90 天强制密码历史： 24 个记住的密码帐户锁定阀值： 3 次无效登录帐户锁定时间： 15 分钟复位帐户锁定计数器： 15 分钟之后策略更改后，督促现有用户更改其登录口令以符合最新策略要求。实施目的：保障用户账号及口令的安全，防止口令猜测攻击。实施风险：无1.2. 用户权限设置实施名称：禁止除管理员外的一般用户远程登录计算机或关闭计算机，同时禁止无用帐号的登录，可以防止恶意用户通过破解一般低权限的用户口令后使用该用户登录进行提权攻击。系统当前状态：开始 运行 gpedit.msc计算机配置 Windows设置 安全设置 本地策略 用户权利指派实施方案：1参考配置操作检查用户权限策略是否设置：开始 运行 gpedit.msc计算机配置 Windows设置 安全设置 本地策略 用户权利指派此处有较多选项，建议对以下四项进行检查：n从网络访问此计算机（可选）n从远程系统强制关机n拒绝本地登录建议做如下设置：n从远程系统强制关机的权利仅指派给Administratorsn设置取得文件或其它对象的所有权为只指派给Administrators组n拒绝本地登录： IUSR_MACHINENAME、IWAN_MACHINENAME等不需要使用的用户设置完成后使用secedit /refreshpolicymachine_policy命令刷新策略以快速生效（建议重新启动系统）2补充操作说明如果设备需要文件共享，则不应设置从网络访问此计算机项实施目的：禁止除管理员外的一般用户远程登录计算机或关闭计算机，同时禁止无用帐号的登录实施风险：无1.3. 禁用Guest（来宾）帐户实施名称：禁用Guest帐号，降低被攻击的风险系统当前状态：进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组-用户”实施方案：1、参考配置操作进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组-用户”：Guest帐号-属性已停用实施目的：禁用Guest帐号，降低被攻击的风险实施风险：无1.4. 禁止使用超级管理员帐号实施名称：防止系统被入侵后，入侵者直接获取最高用户权限系统当前状态：进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组-用户”实施方案：XP系统多用于日常办公使用，可禁止使用超级管理员账号，一般日常办公使用普通用户1、参考配置操作进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组-用户”：右键新用户自定义用户名2补充操作说明默认新加的用户为普通用户权限，建议安装软件安装在非系统盘下。实施目的：防止系统被入侵后直接获取最高用户权限实施风险：无1.5. 删除多余的账号实施名称：删除或禁用多余的系统账号系统当前状态：实施方案：开始控制面板管理工具计算机管理本地用户和组用户：删除或者禁用多余的账号，建议只保留一个当前使用的账号实施目的：关闭多余的系统账号实施风险：无2. 日志审核策略配置2.1. 设置主机审核策略实施名称：设置主机审核策略系统当前状态：在“本地安全策略”“本地策略”中查看系统“审核策略”实施方案：审核策略更改成功，失败审核登录事件成功，失败审核对象访问失败审核目录服务访问成功，失败审核特权使用失败审核系统事件成功，失败审核账户登录事件成功，失败审核帐户管理成功，失败实施目的：对重要事件进行审核记录，便于问题的追溯。实施风险：无2.2. 调整事件日志的大小及覆盖策略实施名称：调整事件日志的大小及覆盖策略系统当前状态：日志类型日志大小覆盖策略应用程序日志 K 覆盖早于天的日志安全日志 K 覆盖早于天的日志系统日志 K 覆盖早于天的日志实施方案：右键点击“我的电脑”-“管理”-“事件查看器”-右键点击“系统”-“属性”-修改“最大文件大小”日志类型日志大小覆盖策略应用程序日志 80000 K 覆盖早于 30 天的日志安全日志 80000 K 覆盖早于 30 天的日志系统日志 80000K 覆盖早于 30 天的日志其他日志（如存在） 80000 K 覆盖早于 30 天的日志实施目的：增加日志文件的容量，避免由于日志文件容量过小导致重要日志记录遗漏实施风险：无2.3. 启用系统失败日志记录功能实施名称：启用系统失败日志记录功能系统当前状态：右键“我的电脑” - “属性” - “高级” - “启动和故障恢复” - “设置”实施方案：1、参考配置操作右键“我的电脑” - “属性” - “高级” - “启动和故障恢复” - “设置”，将“将事件写入系统日志”、“发送管理警报”这两项的勾上。再将下面的“写入调试信息”设置为“完全内存存储”实施目的：启用系统失败日志记录功能实施风险：无3. 安全选项策略配置3.1. 设置挂起会话的空闲时间实施名称：设置Microsoft 网络服务器挂起会话的空闲时间系统当前状态：查看系统当前设置实施方案：在管理工具-本地安全策略-选择本地策略-选择安全选项- Microsoft网络服务器：在挂起会话之前所需的空闲时间（小于等于 5分钟）实施目的：设置挂起会话之前所需的空闲时间为 5分钟实施风险：无3.2. 禁止发送未加密的密码到第三方 SMB 服务器实施名称：Microsoft 网络客户端：发送未加密的密码到第三方 SMB 服务器系统当前状态：查看系统当前设置实施方案：在管理工具-本地安全策略-选择本地策略-选择安全选项- Microsoft网络客户端：发送未加密的密码到第三方 SMB 服务器（已禁用）实施目的：禁止发送未加密的密码到第三方 SMB 服务器实施风险：无3.3. 禁用对所有驱动器和文件夹进行软盘复制和访问实施名称：故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问系统当前状态：查看系统当前设置：实施方案：在管理工具-本地安全策略-选择本地策略-选择安全选项-故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问（禁用）实施目的：Windows 控制台恢复的另一个特性是它禁止访问硬盘驱动器上的所有文件和目录。它仅允许访问每个卷的根目录和%systemroot%目录及子目录，即使是这样它还限制不允许把硬盘驱动器上的文件拷贝到软盘上。实施风险：无3.4. 禁止故障恢复控制台自动登录实施名称：故障恢复控制台:允许自动系统管理级登录系统当前状态：查看系统当前设置：实施方案：在管理工具-本地安全策略-选择本地策略-选择安全选项-故障恢复控制台:允许自动系统管理级登录（禁用）实施目的：防止非法用户通过恢复控制台（无需密码）自动登录到系统实施风险：无3.5. 关机时清除虚拟内存页面文件实施名称：关机时清除虚拟内存页面文件系统当前状态：查看系统当前设置：实施方案：在管理工具-本地安全策略-选择本地策略-选择安全选项-关机：清除虚拟内存页面文件（启用）实施目的：页面文件中可能含有敏感的资料，关机的时候清除虚拟内存页面文件，防止造成意外的信息泄漏。实施风险：无3.6. 禁止系统在未登录前关机实施名称：关机：允许系统在未登录前关机系统当前状态：查看系统当前设置：实施方案：在管理工具-本地安全策略-选择本地策略-选择安全选项-关机：允许系统在未登录前关机（禁用）实施目的：禁止用户未登录系统状态下关闭计算机实施风险：无3.7. 不显示上次登录的用户名实施名称：交互式登录：不显示上次的用户名系统当前状态：查看系统当前设置：实施方案：在管理工具-本地安全策略-选择本地策略-选择安全选项-交互式登录：不显示上次的用户名（启用）实施目的：登录时不显示上次的用户名，防止暴露用户名。实施风险：无3.8. 登录时需要按 CTRL+ALT+DEL实施名称：交互式登录：不需要按 Ctrl+Alt+Del系统当前状态：查看系统当前设置：实施方案：在管理工具-本地安全策略-选择本地策略-选择安全选项-交互式登录：不需要按 Ctrl+Alt+Del（禁用）实施目的：登录时需要按 CTRL+ALT+DEL。实施风险：无3.9. 可被缓存的前次登录个数实施名称：交互式登录：可被缓存的前次登录个数（在域控制器不可用的情况下）系统当前状态：查看系统当前设置：实施方案：在管理工具-本地安全策略-选择本地策略-选择安全选项-交互式登录：可被缓存的前次登录个数（设置缓存数为 3-5，此项对域服务器无效。）实施目的：减少用户在本地缓存的登录信息，防止敏感信息泄露实施风险：无3.10. 不允许 SAM 帐户和共享的匿名枚举实施名称：网络访问：不允许 SAM 帐户和共享的匿名枚举系统当前状态：查看系统当前设置：实施方案：在管理工具-本地安全策略-选择本地策略-选择安全选项-网络访问：不允许 SAM 帐户和共享的匿名枚举（启用）实施目的：禁止使用匿名用户空连接枚举系统敏感信息实施风险：无3.11. 不允许为网络身份验证储存凭证或 .NET Passports实施名称：网络访问：不允许为网络身份验证储存凭证或 .NET passports系统当前状态：查看系统当前设置：实施方案：在管理工具-本地安全策略-选择本地策略-选择安全选项-网络访问：不允许为网络身份验证储存凭证或 .NET passports(启用）实施目的：不允许为网络身份验证储存凭证或 .NET passports实施风险：无3.12. 如果无法记录安全审核则立即关闭系统实施名称：审核：如果无法记录安全审核则立即关闭系统系统当前状态：查看系统当前设置：实施方案：在管理工具-本地安全策略-选择本地策略-选择安全选项-审核：如果无法记录安全审核则立即关闭系统（启用）实施目的：如果无法记录安全审核则立即关闭系统实施风险：无3.13. 禁止从本机发送远程协助邀请实施名称：禁止从本机发送远程协助邀请系统当前状态：查看系统当前设置：实施方案：右键“我的电脑”-“属性”-“远程”-去除“允许从这台计算机发送远程协助邀请”前的勾实施目的：禁止从本机发送远程协助邀请实施风险：无3.14. 关闭故障恢复自动重新启动实施名称：关闭故障恢复自动重新启动系统当前状态：查看系统当前设置：实施方案：右键“我的电脑”-“属性”-“高级”-“启动和故障恢复设置”-去除“自动重新启动”前的勾实施目的：禁止故障恢复自动重新启动实施风险：无4. 用户权限策略配置4.1. 禁止用户组通过终端服务登录实施名称：通过终端服务拒绝登录：添加 Guests、User 组系统当前状态：查看系统当前设置：实施方案：在管理工具-本地安全策略-选择本地策略-选择用户权限分配-“通过终端服务拒绝登录”中添加 Guests、User 组实施目的：禁止用户组通过终端服务拒绝登录实施风险：无4.2. 只允许管理组通过终端服务登录实施名称：通过终端服务允许登录：删除所有用户组系统当前状态：查看系统当前设置：实施方案：在管理工具-本地安全策略-选择本地策略-选择用户权限分配-“关闭系统”中删除所有用户组实施目的：禁止通过终端服务登录实施风险：无4.3. 限制从网络访问此计算机实施名称：从网络访问此计算机中删除BackupOperators系统当前状态：查看系统当前设置：实施方案：在管理工具-本地安全策略-选择本地策略-选择用户权限分配-“从网络访问此计算机”中删除BackupOperators实施目的：从网络访问此计算机中删除BackupOperators实施风险：无5. 用户权限策略配置5.1. 禁止自动登录实施名称：禁止自动登录系统当前状态：实施方案：禁止自动登录：编辑注册表HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonAutoAdminLogon(REG_DWORD) 值设置为0（如无需新建）实施目的：禁止自动登录实施风险：无5.2. 禁止光驱自动运行实施名称：禁止光驱自动运行系统当前状态：实施方案：禁止自动登录：编辑注册表HKLMSystemCurrentControlSetServicesCDrom Autorun(REG_DWORD) 值设置为 0（如无需新建）实施目的：禁止 CD 自动运行实施风险：无5.3. 启用源路由欺骗保护实施名称：启用源路由欺骗保护系统当前状态：实施方案：启用源路由欺骗保护：编辑注册表HKLMSystemCurrentControlSet ServicesTcpipParameters新建(REG_DWORD) 值名称为 DisableIPSourceRouting 参数为 2实施目的：防护在网络上发生的源路由欺骗实施风险：无，如服务器启用路由功能，则会影响相关功能。5.4. 删除 IPC 共享实施名称：删除 IPC 共享系统当前状态：使用 net share 命令查看系统当前的共享资源：实施方案：禁用 IPC 连接 : 打开注册表编辑器，依次展开HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa 分支，在右侧窗口中找到restrictanonymous子键，将其值改1即可。删除服务器上的管理员共享 : HKLMSystemCurrentControlSetServicesLanmanServerParametersAutoShareServer （如无需新建）(REG_DWORD)值参数为 0如系统存在其他人为设置共享，建议删除。实施目的：删除主机因为管理而开放的共享，减小安全风险实施风险：某些应用软件可能需要系统默认共享，应询问管理员确认。6. 网络与服务加固6.1. 卸载、禁用、停止不需要的服务实施名称：卸载、禁用、停止不需要的服务系统当前状态：检测分析系统已启动的不必要的服务包括：实施方案：停止、禁用不需要的服务，如有必要则卸载已安装的服务。下面列出部分服务以做参考：AlerterClipbookComputer BrowserInternet Connection SharingMessengerRemote Registry ServiceRouting and Remote AccessServerShell Hardware DetectionTCP/IP NetBIOS Helper ServiceTerminal ServicesTask SchedulerTelnetTerminal ServicesSimple Mail Trasfer Protocol(SMTP)Simple Network Management Protocol(SNMP) ServiceSimple Network Management Protocol(SNMP) TrapWorld Wide Web Publishing Service实施目的：避免未知漏洞给主机带来的潜在风险实施风险：可能由于管理员对主机所开放服务不了解，导致有用服务被停止或卸载。实施前请与相关应用开发厂商联系确认该服务与业务应用无关联。6.2. 禁用不必要进程，防止病毒程序运行实施名称：大部分恶意程序、病毒、脚本运行均会显示相应的进程，在微软停止对XP系统服务后，应加强日常的安全管理，禁用不必要的进程或程序，降低系统风险，同时减少系统资源使用。系统当前状态：开始 运行 输入 tasklist实施方案：停止、禁用不需要的进程，如有必要则禁用已安装的程序。下面列出部分病毒进程名以做参考：180ax.exea.exeactalert.exeadaware.exeAlchem.exealevir.exeaqadcup.exearchive.exearr.exeARUpdate.exeasm.exeav.exeavserve.exeavserve2.exebackWeb.exebargains.exebasfipm.exebelt.exeBiprep.exeblss.exebokja.exebootconf.exebpc.exebrasil.exeBuddy.exebundle.exebvt.execashback.execmd32.execmesys.execonime.execonscorr.execrss.execxtpls.exedatemanager.exedcomx.exeDesktop.exedirects.exedivx.exedllreg.exedmserver.exedpi.exedssagent.exedvdkeyauth.exeemsw.exeexdl.exeexec.exeexplore.exeexplored.exeFash.exeffisearch.exefntldr.exefsg_4104.exeFVProtect.exegame.exegator.exegmt.exegoidr.exehbinst.exehbsrv.exehwclock.exehxdl.exehxiul.exeiedll.exeiedriver.exeiexplorer.exeinfus.exeinfwin.exeintdel.exeisass.exeistsvc.exejawa32.exejdbgmrg.exekazza.exekeenvalue.exekernel32.exelass.exelmu.exeloader.exelssas.exemapisvc32.exemario.exemd.exemfin32.exemmod.exemostat.exemsapp.exemsbb.exemsblast.exemscache.exemsccn32.exemscman.exemsdm.exemsgfix.exemsiexec16.exemsinfo.exemslagent.exemslaugh.exemsmc.exemsmgt.exemsmsgri32.exeMSN.exemsrexe.exemssvc32.exemssys.exemsvxd.exemwsoemon.exemwsvm.exenetd32.exenls.exenssys32.exenstask32.exensupdate.exentfs64.exeNTOSA32.exeomniscient.exeonsrvr.exeoptimize.exeP2P Networking.exepcsvc.exepgmonitr.exePIB.exepowerscan.exeprizesurfer.exeprmt.exeprmvr.exeray.exerb32.exercsync.exerk.exerun32dll.exerundll16.exeruxdll32.exesaap.exesahagent.exesaie.exesais.exesalm.exesatmat.exesave.exesavenow.exesc.exescam32.exescrsvr.exescvhost.exeSearchUpdate33.exeSearchUpgrader.exesoap.exespoler.exeSsk.exestart.exestcloader.exeSusp.exesvc.exesvchosts.exesvshost.exeSyncroAd.exesysfit.exesystem.exesystem32.exetb_setup.exeteekids.exetibs3.exetrickler.exets.exets2.exetsa.exetsadbot.exetsl.exetsm2.exeTvm.exetvmd.exetvtmd.exeupdate.exeupdater.exeupdmgr.exeVVSN.exewast.exeweb.exewebdav.exewebrebates.exewebrebates0.exewin-bugsfix.exewin_upd2.exewin32.exewin32us.exewinactive.exewinad.exewinadalt.exewinadctl.exeWinAdTools.exeWINdirect.exewindows.exewingo.exewininetd.exewininit.exewinlock.exewinlogin.exewinmain.exewinnet.exewinppr32.exewinrarshell32.exeWinRatchet.exeWinSched.exewinservn.exewinshost.exewinssk32.exewinstart.exewinstart001.exeWinStatKeep.exewintaskad.exeWintime.exewintsk32.exewinupdate.exewinupdt.exewinupdtl.exewinxp.exewmon32.exewnad.exewo.exewovax.exewsup.exewsxsvc.exewtoolsa.exeWToolsA.exewtoolss.exewuamgrd.exewupdate.exewupdater.exewupdmgr.exewupdt.exeXhrmy.exey.exe实施目的：删除不必要的进程或程序，降低系统风险，同时减少系统资源使用实施风险：无6.3. 关闭不必要启动项，防止病毒程序开机启动实施名称：大部分恶意程序、病毒、脚本均是通过启动项来实现程序启动，禁用不必要的主机开机启动脚本及程序，降低系统风险。系统当前状态：开始 运行 输入 msconfig 检查系统启动项目实施方案：停止、禁用不需要的启动项，如有必要则禁用不需要的启动项。下面列出部分病毒启动项以做参考：180ax.exea.exeactalert.exeadaware.exeAlchem.exealevir.exeaqadcup.exearchive.exearr.exeARUpdate.exeasm.exeav.exeavserve.exeavserve2.exebackWeb.exebargains.exebasfipm.exebelt.exeBiprep.exeblss.exebokja.exebootconf.exebpc.exebrasil.exeBuddy.exebundle.exebvt.execashback.execmd32.execmesys.execonime.execonscorr.execrss.execxtpls.exedatemanager.exedcomx.exeDesktop.exedirects.exedivx.exedllreg.exedmserver.exedpi.exedssagent.exedvdkeyauth.exeemsw.exeexdl.exeexec.exeexplore.exeexplored.exeFash.exeffisearch.exefntldr.exefsg_4104.exeFVProtect.exegame.exegator.exegmt.exegoidr.exehbinst.exehbsrv.exehwclock.exehxdl.exehxiul.exeiedll.exeiedriver.exeiexplorer.exeinfus.exeinfwin.exeintdel.exeisass.exeistsvc.exejawa32.exejdbgmrg.exekazza.exekeenvalue.exekernel32.exelass.exelmu.exeloader.exelssas.exemapisvc32.exemario.exemd.exemfin32.exemmod.exemostat.exemsapp.exemsbb.exemsblast.exemscache.exemsccn32.exemscman.exemsdm.exemsgfix.exemsiexec16.exemsinfo.exemslagent.exemslaugh.exemsmc.exemsmgt.exemsmsgri32.exeMSN.exemsrexe.exemssvc32.exemssys.exemsvxd.exemwsoemon.exemwsvm.exenetd32.exenls.exenssys32.exenstask32.exensupdate.exentfs64.exeNTOSA32.exeomniscient.exeonsrvr.exeoptimize.exeP2P Networking.exepcsvc.exepgmonitr.exePIB.exepowerscan.exeprizesurfer.exeprmt.exeprmvr.exeray.exerb32.exercsync.exerk.exerun32dll.exerundll16.exeruxdll32.exesaap.exesahagent.exesaie.exesais.exesalm.exesatmat.exesave.exesavenow.exesc.exescam32.exescrsvr.exescvhost.exeSearchUpdate33.exeSearchUpgrader.exesoap.exespoler.exeSsk.exestart.exestcloader.exeSusp.exesvc.exesvchosts.exesvshost.exeSyncroAd.exesysfit.exesystem.exesystem32.exetb_setup.exeteekids.exetibs3.exetrickler.exets.exets2.exetsa.exetsadbot.exetsl.exetsm2.exeTvm.exetvmd.exetvtmd.exeupdate.exeupdater.exeupdmgr.exeVVSN.exewast.exeweb.exewebdav.exewebrebates.exewebrebates0.exewin-bugsfix.exewin_upd2.exewin32.exewin32us.exewinactive.exewinad.exewinadalt.exewinadctl.exeWinAdTools.exeWINdirect.exewindows.exewingo.exewininetd.exewininit.exewinlock.exewinlogin.exewinmain.exewinnet.exewinppr32.exewinrarshell32.exeWinRatchet.exeWinSched.exewinservn.exewinshost.exewinssk32.exewinstart.exewinstart001.exeWinStatKeep.exewintaskad.exeWintime.exewintsk32.exewinupdate.exewinupdt.exewinupdtl.exewinxp.exewmon32.exewnad.exewo.exewovax.exewsup.exewsxsvc.exewtoolsa.exeWToolsA.exewtoolss.exewuamgrd.exewupdate.exewupdater.exewupdmgr.exewupdt.exeXhrmy.exey.exe实施目的：禁用不必要的启动服务，防止恶意程序自动运行。实施风险：无6.4. 检查是否开启不必要的端口实施名称：在微软停止对XP系统的服务后，XP系统将面临更多的安全风险。关闭不必要的端口，可减少主机暴露的风险，加强系统的安全性。系统当前状态：开始 运行 cmd，输入netstat -an实施方案：1参考配置操作开始 运行 cmd，输入netstat -ano2补充操作说明查询结果如发现某个端口已开启，查通过查询进程对应PID进行关闭实施目的：关闭不必要的端口，减少主机暴露的风险。实施风险：无6.5. 修改默认的远程桌面端口实施名称：检查远程桌面（RDP）服务端口系统当前状态：运行命令“regedit”打开注册表编辑器，浏览到路径“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp”实施方案：打开命令提示符，运行命令“regedit”打开注册表编辑器，浏览到路径“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp”，修改名称为“PortNumber”的数值的数据，使其不等于标准值(注意：标准值为16进制表示)。此数据的有效值为1-65535实施目的：修改默认的远程桌面（RDP）服务端口，减少主机暴露的风险。实施风险：无6.6. 启用客户端自带防火墙实施名称：启用客户端自带防火墙系统当前状态：打开“控制面板”选择“WINDOWS防火墙”实施方案：1参考配置操作打开“控制面板”选择“WINDOWS防火墙”点选“启用”选项建议屏蔽以下端口：TCP 135TCP 139TCP 4452补充操作说明TCP 139和TCP 445作为Windows的SMB和CIFS主要通信端口，如果将这两个端口关闭，则意味着该系统无法作为文件共享服务器。3.如启用了第三方防火墙，此windows防火墙可不启用实施目的：在微软停止对XP系统的服务后，XP系统将面临更多的安全风险。为了将风险降低到最低，应加强安全意识的管理。启用系统自带防火墙，能够降低系统遭受远程入侵和病毒攻击的风险。实施风险：无6.7. 检测 DDOS 攻击保护设置实施名称：检测 DDOS 攻击保护设置系统当前状态：开始-运行-键入regedit,在注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 下实施方案：1参考配置操作在开始-运行-键入regedit,在注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 下，修改以下几个值：值名称为SynAttackProtect,推荐值为2；值名称为TcpMaxPortsExhausted=5值名称为TcpMaxHalfOpen=500值名称为TcpMaxHalfOpenRetried=400值名称为EnableICMPRedirect=标准值2补充操作说明注册表如没有对应的项，则新建实施目的：设置syn相关参数。实施风险：无6.8. 检测 ICMP攻击保护设置实施名称：检测 ICMP攻击保护设置系统当前状态：打开命令提示符，运行命令“regedit”打开注册表编辑器，浏览到路径“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters”实施方案：1参考配置操作打开命令提示符，运行命令“regedit”打开注册表编辑器，浏览到路径“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters”，添加名称为“EnableICMPRedirect”、类型为DWORD、数据为标准值的数值，若已存在则修改其数据。此数据的有效值为0-1实施目的：禁用ICMP重定向。实施风险：无6.9. 检测 TCP碎片攻击保护设置实施名称：检测 TCP碎片攻击保护设置系统当前状态：打开命令提示符，运行命令“regedit”打开注册表编辑器，浏览到路径“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters”实施方案：1参考配置操作打开命令提示符，运行命令“regedit”打开注册表编辑器，浏览到路径“HKEY_LOCAL_MACHINESYSTEMCurrent