windows加固手册.doc

信息安全加固手册longjilongjilongjilongji密 级：内部 信息安全加固手册WINDOWS系统Ver:1.0二零零五年四月文档修改记录修改日期修改人修改说明版本号2006-07-29V1.01补丁类41.1最新的Service Pack41.2最新的Hotfixs42端口服务类52.1禁止alert服务52.2禁止Messenger服务62.3禁止Telnet服务63系统参数类73.1禁止自动登录73.2禁止在蓝屏后自动启动机器83.4 3.5防止计算机浏览器欺骗攻击84网络参数类94.1防止碎片包攻击95用户管理、访问控制、审计功能类105.1验证Passwd强度105.2密码长度115.3密码使用时间125.4账号登录事件审计135.5账号管理审计155.6目录服务访问审计165.7登录事件审计185.8对象访问审计195.9策略更改审计215.10特权使用审计225.11进程跟踪审计245.12系统事件审计255.13失败登录账号锁定275.14失败登录账号锁定时间285.15登录时间到期时自动退出登录295.17不显示上次登录的用户名305.18防止系统保持计算机账号和口令315.19防止用户安装打印机驱动程序325.20恢复控制台禁止管理员自动登录333防病毒353.1安装防病毒软件及其更新351 补丁类1.1 最新的Service Pack风险描述是否已经安装了最新的Service Pack风险等级风险高加固建议从微软的更新网站上下载最新的补丁进行安装加固存在的风险 需要重启系统加固风险规避方法加固成果升级后能避免攻击者利用微软已公布的漏洞进行攻击加固具体方法WindowsSP补丁（如WIN2000的SP3）包可以用介质升级；最好选择可以恢复系统的安装方式新烟集团意见新烟集团管理员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）厂商意见厂商维护人员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）1.2 最新的Hotfixs风险描述是否已经安装了最新的Hotfixs风险等级风险高加固建议从微软的更新网站上下载最新的补丁进行安装加固存在的风险 可能需要重新启动系统加固风险规避方法加固成果升级后能避免攻击者利用微软已公布的漏洞进行攻击加固具体方法WIN2000的HOTFIX可以直接点击开始菜单的Windows Update，直接到/zhcn/default.asp 升级，最好选择可以恢复系统的安装方式新烟集团意见新烟集团管理员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）厂商意见厂商维护人员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）2 端口服务类2.1 禁止alert服务风险描述通知所选用户和计算机有关系统管理级警报。风险等级风险低加固建议将alert服务停止或者禁用加固存在的风险 加固成果加固具体方法1、打开 控制面板-管理工具-服务窗口2、查看alert服务是否已启动3、将服务停止，将其启动类型由“自动”改为“手动”或者“禁用”。新烟集团意见新烟集团管理员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）厂商意见厂商维护人员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）2.2 禁止Messenger服务风险描述用于把Alerter服务器的消息发送给网络上的其它机器风险等级风险低加固建议将Messenger服务停止或者禁用加固存在的风险 加固成果不会把Alerter服务器的消息发送给网络上的其它机器加固具体方法1、打开 控制面板-管理工具-服务窗口2、查看Messenger服务是否已启动3、将服务停止，将其启动类型由“自动”改为“手动”或者“禁用”。新烟集团意见新烟集团管理员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）厂商意见厂商维护人员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）2.3 禁止Telnet服务风险描述该服务在缺省时被安装.用于基于命令行方式的远程管理, 但是该协议在网络上一明文传输数据. 风险等级风险高加固建议将Telnet服务停止或者禁用，如果需要进行命令行方式的远程管理, 建议使用SSH来作为替代加固存在的风险 加固成果避免入侵者通过监控Telnet协议端口获得敏感信息加固具体方法1、打开 控制面板-管理工具-服务窗口2、查看Telnet服务是否已启动3、将服务停止，将其启动类型由“自动”改为“手动”或者“禁用”。新烟集团意见新烟集团管理员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）厂商意见厂商维护人员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）3系统参数类3.1禁止自动登录风险描述自动登录会把用户名和口令以明文的形式保存在注册表中，因此需要禁止自动登录风险等级风险高加固建议修改注册表相关键值来禁止自动登录加固存在的风险 加固风险规避方法加固成果禁止了系统自动登录，避免其它用户从注册表中获得其它用户及其口令加固具体方法1、运行中输入regedit2、修改键值HKLMSoftwareMicrosoftWindows NT CurrentVersionWinlogonAutoAdminLogon 为(REG_DWORD) 0新烟集团意见新烟集团管理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）厂商意见厂商维护人员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）3.2禁止在蓝屏后自动启动机器风险描述防止有恶意用户故意制造程序错误来重起机器以进行某些操作风险等级风险低加固建议修改注册表相关键值来禁止在蓝屏后自动启动机器加固存在的风险 加固风险规避方法加固成果用户在输入口令时都会用星号遮掩加固具体方法1、运行中输入regedit2、修改键值HKLMSystem CurrentControlSetControlCrashControlAutoReboot 为(REG_DWORD) 0新烟集团意见新烟集团管理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）厂商意见厂商维护人员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）3.4 3.5防止计算机浏览器欺骗攻击风险描述虽然建议终端用户关闭他们的计算机浏览服务,但是也可能不是每个用户都会去执行.该注册表选项在计算机浏览服务被允许时提供对该服务弱点的保护.更详细的信息可以在/default.aspx?scid=kb;EN-US;q262694查到.风险等级风险中加固建议修改注册表相关键值来防止计算机浏览器欺骗攻击加固存在的风险 加固风险规避方法加固成果防止计算机浏览器欺骗攻击加固具体方法1、运行中输入regedit2、修改键值HKLMSystem CurrentControlSetServicesMrxSmbParametersRefuseReset 为(REG_DWORD) 1新烟集团意见新烟集团管理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）厂商意见厂商维护人员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）4网络参数类4.1防止碎片包攻击风险描述帮助防止碎片包攻击风险等级风险中加固建议修改注册表相关键值来帮助防止碎片包攻击加固存在的风险 加固风险规避方法加固成果能帮助防止碎片包攻击加固具体方法1、运行中输入regedit2、修改键值HKLMSystemCurrentControlSet ServicesTcpipParametersEnablePMTUDiscovery 为(REG_DWORD) 1新烟集团意见新烟集团管理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）厂商意见厂商维护人员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）5用户管理、访问控制、审计功能类5.1验证Passwd强度风险描述验证系统已经存在的Passwd强度风险等级风险高加固建议核查具有空口令的用户和弱密码的用户，passwd强度来增强系统安全性加固存在的风险 可能造成某些其他系统来使用弱口令登陆本系统用户来做同步备份或操作的脚本失效加固风险规避方法加固成果增强用户密码的强度，大大降低用户密码被猜解的可能性加固具体方法验证系统口令强度，对弱口令的用户重新做口令加固。新烟集团意见新烟集团管理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）厂商意见厂商维护人员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）5.2密码长度风险描述密码长度太短会造成很容易被猜解风险等级l 风险中加固建议设定密码最低长度将能很好增强系统密码安全性加固存在的风险 加固风险规避方法加固成果加固后能增强用户口令保护强度加固具体方法l WIN2000系统，1. 运行secpol.msc命令2. 打开“本地安全设置”对话框，依次展开“帐户策略密码策略”3. 查看是否具有设置4. 密码策略，密码长度大于8位、必须启用密码复杂性要求；l WINNT系统没有密码策略，提高安全意识，设置合理口令。注意事项： 由于WINNT系统没有密码策略设置选项，管理员应重视手动增强WINNT系统的密码增强设置。新烟集团意见新烟集团管理员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）厂商意见厂商维护人员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）5.3密码使用时间风险描述一个密码长时间使用会比较容易被猜解风险等级风险中加固建议设定密码最长使用时间将能很好增强系统密码安全性加固存在的风险 加固风险规避方法加固成果加固后能增强用户口令保护强度加固具体方法WIN2000系统，运行secpol.msc命令打开“本地安全设置”对话框，依次展开“帐户策略密码策略”查看是否具有设置密码策略，最短存留期大于5天、最长存留期小于90天WINNT系统没有密码策略，提高安全意识，设置合理口令。注意事项： 由于WINNT系统没有密码策略设置选项，管理员应重视手动增强WINNT系统的密码增强设置。新烟集团意见新烟集团管理员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）厂商意见厂商维护人员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）5.4账号登录事件审计风险描述修改账号登录事件审计风险等级风险低加固建议增强账号登录事件审计将能很好增强系统日志审核安全性加固存在的风险 加固风险规避方法加固成果加固后能掌握更多日志信息便于系统安全审查加固具体方法l WIN2000系统1、运行中输入secpol.msc命令2、打开“本地安全设置”对话框，依次展开“本地策略审核策略”，是否具有审核策略；2、 修改审核策略如下：审核帐户登录事件成功, 失败l WINNT系统 1、 点击“开始-程序-管理工具-事件查看器”， 2、 选择“查看”菜单是否为“所有事件”。WINNT没有此设置项，查看时通过选择“筛选事件”可以使管理更加关注系统的异常行为，管理员要密切关注登录事件的失败记录、特权使用的失败记录以及其他异常行为等。例如C:WINNTsystem32目录的安全审计。新烟集团意见新烟集团管理员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）厂商意见厂商维护人员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）5.5账号管理审计风险描述修改账号管理审计风险等级风险低加固建议增强账号管理审计将能很好增强系统日志审核安全性加固存在的风险 加固风险规避方法加固成果可以跟踪账号的创建,改名,用户组的创建和改名,账号口令的更改等.加固后能掌握更多日志信息便于系统安全审查加固具体方法l WIN2000系统1、运行中输入secpol.msc命令2、打开“本地安全设置”对话框，依次展开“本地策略审核策略”，是否具有审核策略；3、 修改审核策略如下：审核帐户管理成功, 失败l WINNT系统 1、 点击“开始-程序-管理工具-事件查看器”， 2、 选择“查看”菜单是否为“所有事件”。WINNT没有此设置项，查看时通过选择“筛选事件”可以使管理更加关注系统的异常行为，管理员要密切关注登录事件的失败记录、特权使用的失败记录以及其他异常行为等。例如C:WINNTsystem32目录的安全审计。新烟集团意见新烟集团管理员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）厂商意见厂商维护人员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）5.6目录服务访问审计风险描述修改目录服务访问审计风险等级风险低加固建议增强目录服务访问审计将能很好增强系统日志审核安全性加固存在的风险 加固风险规避方法加固成果加固后能掌握更多日志信息便于系统安全审查加固具体方法（仅域控制器才需要审计目录服务访问）l WIN2000系统1、运行中输入secpol.msc命令2、打开“本地安全设置”对话框，依次展开“本地策略审核策略”，是否具有审核策略；4、 修改审核策略如下：审核目录服务访问成功, 失败l WINNT系统 1、 点击“开始-程序-管理工具-事件查看器”， 2、 选择“查看”菜单是否为“所有事件”。WINNT没有此设置项，查看时通过选择“筛选事件”可以使管理更加关注系统的异常行为，管理员要密切关注登录事件的失败记录、特权使用的失败记录以及其他异常行为等。例如C:WINNTsystem32目录的安全审计。新烟集团意见新烟集团管理员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）厂商意见厂商维护人员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）5.7登录事件审计风险描述修改登录事件审计风险等级风险低加固建议增强登录事件审计将能很好增强系统日志审核安全性加固存在的风险 加固风险规避方法加固成果加固后能掌握更多日志信息便于系统安全审查加固具体方法l WIN2000系统1、运行中输入secpol.msc命令2、打开“本地安全设置”对话框，依次展开“本地策略审核策略”，是否具有审核策略；5、 修改审核策略如下：审核登录事件成功, 失败l WINNT系统 1、 点击“开始-程序-管理工具-事件查看器”， 2、 选择“查看”菜单是否为“所有事件”。WINNT没有此设置项，查看时通过选择“筛选事件”可以使管理更加关注系统的异常行为，管理员要密切关注登录事件的失败记录、特权使用的失败记录以及其他异常行为等。例如C:WINNTsystem32目录的安全审计。新烟集团意见新烟集团管理员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）厂商意见厂商维护人员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）5.8对象访问审计风险描述修改对象访问审计风险等级风险低加固建议增强对象访问审计将能很好增强系统日志审核安全性加固存在的风险 加固风险规避方法加固成果用于跟踪特定用户对特定文件的访问，加固后能掌握更多日志信息便于系统安全审查加固具体方法l WIN2000系统1、运行中输入secpol.msc命令2、打开“本地安全设置”对话框，依次展开“本地策略审核策略”，是否具有审核策略；6、 修改审核策略如下：审核对象访问失败l WINNT系统 1、 点击“开始-程序-管理工具-事件查看器”， 2、 选择“查看”菜单是否为“所有事件”。WINNT没有此设置项，查看时通过选择“筛选事件”可以使管理更加关注系统的异常行为，管理员要密切关注登录事件的失败记录、特权使用的失败记录以及其他异常行为等。例如C:WINNTsystem32目录的安全审计。新烟集团意见新烟集团管理员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）厂商意见厂商维护人员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）5.9策略更改审计风险描述修改策略更改审计风险等级风险低加固建议增强策略更改审计将能很好增强系统日志审核安全性加固存在的风险 加固风险规避方法加固成果加固后能掌握更多日志信息便于系统安全审查加固具体方法l WIN2000系统1、运行中输入secpol.msc命令2、打开“本地安全设置”对话框，依次展开“本地策略审核策略”，是否具有审核策略；7、 修改审核策略如下：审核策略更改成功, 失败l WINNT系统 1、 点击“开始-程序-管理工具-事件查看器”， 2、 选择“查看”菜单是否为“所有事件”。WINNT没有此设置项，查看时通过选择“筛选事件”可以使管理更加关注系统的异常行为，管理员要密切关注登录事件的失败记录、特权使用的失败记录以及其他异常行为等。例如C:WINNTsystem32目录的安全审计。新烟集团意见新烟集团管理员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）厂商意见厂商维护人员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）5.10特权使用审计风险描述修改特权使用审计风险等级风险低加固建议增强特权使用审计将能很好增强系统日志审核安全性加固存在的风险 加固风险规避方法加固成果用于跟踪用户对超出赋予权限的使用，加固后能掌握更多日志信息便于系统安全审查加固具体方法l WIN2000系统1、运行中输入secpol.msc命令2、打开“本地安全设置”对话框，依次展开“本地策略审核策略”，是否具有审核策略；8、 修改审核策略如下：审核特权使用 失败l WINNT系统 1、 点击“开始-程序-管理工具-事件查看器”， 2、 选择“查看”菜单是否为“所有事件”。WINNT没有此设置项，查看时通过选择“筛选事件”可以使管理更加关注系统的异常行为，管理员要密切关注登录事件的失败记录、特权使用的失败记录以及其他异常行为等。例如C:WINNTsystem32目录的安全审计。新烟集团意见新烟集团管理员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）厂商意见厂商维护人员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）5.11进程跟踪审计风险描述修改进程跟踪审计风险等级风险低加固建议该事件的日志将会增长的非常快,建议仅在绝对必须时才使用加固存在的风险 加固风险规避方法加固成果用于跟踪每次一个用户启动,停止或改变一个进程，加固后能掌握更多日志信息便于系统安全审查加固具体方法l WIN2000系统1、运行中输入secpol.msc命令2、打开“本地安全设置”对话框，依次展开“本地策略审核策略”，是否具有审核策略；9、 修改审核策略如下：审核过程追踪成功, 失败l WINNT系统 1、 点击“开始-程序-管理工具-事件查看器”， 2、 选择“查看”菜单是否为“所有事件”。WINNT没有此设置项，查看时通过选择“筛选事件”可以使管理更加关注系统的异常行为，管理员要密切关注登录事件的失败记录、特权使用的失败记录以及其他异常行为等。例如C:WINNTsystem32目录的安全审计。新烟集团意见新烟集团管理员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）厂商意见厂商维护人员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）5.12系统事件审计风险描述修改系统事件审计风险等级风险低加固建议加固存在的风险 加固风险规避方法加固成果系统事件审计相当关键,它包括启动,关闭计算机,或其它安全相关的事件，加固后能掌握更多日志信息便于系统安全审查加固具体方法l WIN2000系统1、运行中输入secpol.msc命令2、打开“本地安全设置”对话框，依次展开“本地策略审核策略”，是否具有审核策略；10、 修改审核策略如下：审核系统事件成功, 失败l WINNT系统 1、 点击“开始-程序-管理工具-事件查看器”， 2、 选择“查看”菜单是否为“所有事件”。WINNT没有此设置项，查看时通过选择“筛选事件”可以使管理更加关注系统的异常行为，管理员要密切关注登录事件的失败记录、特权使用的失败记录以及其他异常行为等。例如C:WINNTsystem32目录的安全审计。新烟集团意见新烟集团管理员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）厂商意见厂商维护人员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）5.13失败登录账号锁定风险描述修改失败登录账号锁定次数风险等级风险中加固建议设定登录失败次数为3加固存在的风险 加固风险规避方法加固成果登录失败次数超出设定后该帐户会被锁定加固具体方法l WIN2000系统1、运行中输入secpol.msc命令2、打开“本地安全设置”对话框，依次展开“帐户策略账户锁定策略” 11、 修改帐户锁定阀值为3l WINNT系统 由于WINNT系统没有帐户锁定策略设置选项，管理员应重视手动增强WINNT系统的密码增强设置。新烟集团意见新烟集团管理员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）厂商意见厂商维护人员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）5.14失败登录账号锁定时间风险描述修改账号锁定取消周期风险等级风险中加固建议设定账号锁定取消周期为15分钟加固存在的风险 加固风险规避方法加固成果登录失败次数超出设定后该帐户会被锁定，15分钟后锁定取消加固具体方法l WIN2000系统1、运行中输入secpol.msc命令2、打开“本地安全设置”对话框，依次展开“帐户策略账户锁定策略” 12、 修改帐户锁定时间为15分钟l WINNT系统 由于WINNT系统没有帐户锁定策略设置选项，管理员应重视手动增强WINNT系统的密码增强设置。新烟集团意见新烟集团管理员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）厂商意见厂商维护人员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）5.15登录时间到期时自动退出登录风险描述设置登录时间到期时自动退出登录风险等级风险中加固建议允许当登录时间到期时自动退出登录能很好的增强系统安全性加固存在的风险 加固风险规避方法加固成果可以避免用户在不适合的时间登录到系统,或者用户登录到系统后忘记退出登录加固具体方法进入“控制面板/管理工具/本地安全策略“，在“本地策略-安全选项”中当登录时间到期时自动退出登录: “启用”； 新烟集团意见新烟集团管理员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）厂商意见厂商维护人员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）5.17不显示上次登录的用户名风险描述设置系统不显示上次登录的用户名风险等级风险中加固建议不显示上次登录的用户名能很好的增强系统安全性加固存在的风险 加固风险规避方法加固成果可以避免用户得到上次登录的用户信息加固具体方法进入“控制面板/管理工具/本地安全策略“，在“本地策略-安全选项”中登陆屏幕上不要显示上次登陆的用户名: “启用”； 新烟集团意见新烟集团管理员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）厂商意见厂商维护人员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）5.18防止系统保持计算机账号和口令风险描述设置系统防止系统保持计算机账号和口令风险等级风险中加固建议防止系统保持计算机账号和口令能很好的增强系统安全性加固存在的风险 加固风险规避方法加固成果当一台计算机作为一个域的一部分时,该计算机有它自己的用户名和口令，加固后可以避免用户得到这些信息加固具体方法进入“控制面板/管理工具/本地安全策略“，在“本地策略-安全选项”中防止计算机帐户密码的系统维护: “启用”； 新烟集团意见新烟集团管理员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）厂商意见厂商维护人员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）5.19防止用户安装打印机驱动程序风险描述设置系统防止