Windows终端安全配置手册

1、1用户账号策略1.1.1 修改缺省帐户名称 11.2 禁用其他用户21.3 账号锁定策略32用户密码策略6.3屏幕保护锁屏84审核策略1.0.5用户权利分配13.5.1 从远端系统强制关机 13.5.2 关闭系统 取得文件或其它对象的所有权 .156关闭系统默认共享 1.5.7关闭自动播放17.8关闭不必要的服务 关闭不必要的 windows系统服务 .198.2 关闭其他软件安装的不必要服务 2.19补丁更新22.10防病毒软件 23.11终端监控软件 25.12卸载不必要软件28.13配置合规检查 29.1用户账号策略1.1修改缺省帐户名称按住“win”键+ “

2、R”键，打开“运行”窗口，输入lusrmgr.msc，点击“确=Windows将根据根斯蜿人的名称.为您打开相应的程序、文件云、文栏或Internet资源。打开9): hsrnngRmsc少 生用冒理权限创建此任务口端走取消浏览但储，LL6- luMm* -礴用户幽本皎照户 o WMSrttEl 智昨闿&a(HJ解用户更多!£1， 后画由3国丘出本堆周户确凶d名容经JS也西- ,iadrnir UrM.若世，同''.?1 ?：委.百巴1 q _LwhPFTbhp-Br«1«-hP-hp-W»hhp-«mB-hP=

3、7;Thh«HIB-hP=-h=HhFTirWh-_珥选择，“用户->右击“Administrator ”账号-> 选择“重命名”01.2禁用其他用户选择，“用户”，右击“ guest”账号，“属性”，“常规”，勾取“账工碰用户灯更闹ei用户名称全名Jm*室AdEin如必管理ri算山陶的为置怅户guect> iLErmgr -利通户羊曜1和:保闩文南目第M帮即。明 X S d| GH樨怕附更呈雄性酬已3更享反归点击“确定”后，在guest账号上会出现一个向下的箭头号，表明操作成功。（禁止其他不用的账户，可按此方法操作）> kivEgr-L本刘司户知姻车咕用户|

4、 文样旧身作但I 近前觉砧助凶* I之励国I B.EB.本地用产（街（本地）口用户2j组工标妾3方 Admini-strart.1.3账号锁定策略按住“Win”键+ “R”键，打开“运行”窗口，输入“ gpedit.msc "，打开“组策略”窗口。运行干 Windows将一根据你W端人的名称，为你打开侬的程序、 J 文除、Internet 旗取消浏览在“组策略”窗口中，选择“计算机配置” -> “Windows设置”-> “安全设置”-> “账户策略”-> “账户锁定策略”，进入“账户锁定策略”窗口在此窗口中，双击“帐户锁定阈值”设置错误密码输入次数后点击“确

5、定”同时会弹出提醒，点击确定同样在“账户锁定策略”窗口，双击”账户锁定时间”，设置锁定时间后,点击“确定”0备注：锁定策略对administrator 这个内置账户无效2用户密码策略按住“Win”键+ “R”键，打开“运行”窗口，输入 gpedit.msc后回车-itfjWindows将根据屐所始人的名称r为您打开相位的程序. 文件夹、文档鸵Intennct资源.打开。）：gpfditmsc一 使用言理权限制建此任芳.确定就肯浏透本联策峻黑器依次找到“计算机配置” ->Windows 设置”-> “安全设置”-> “账户策略”，“密码策略”，将其中进行如下图所示的修改3屏幕保

6、护锁屏右击桌面空白处，选择“个性化”选择“屏幕保护程序”哀的主流工SKfelSrSt- 更SI 用尸即产制呆向主髭保占三£簟行拄取更多王鬓3口三fl后名器画显E任务槎Jo i开始察单蹴访问中心京前苜旦HarriftCinySCffifc设置屏幕保护等待分钟数，建议设置为5”分钟，并勾选“在恢复时显示登录屏幕”，点击“应用”后，单击“确定”完成4审核策略按住“Win”键+ “R”键，打开“运行”窗口，输入 gpedit.msc后回车远亍9依次找到“计算机配置”-> “Windows 设置”，安全设置”-> “本地策略”，“审核策略”-0次安全设置文件旧 操作岫 查看 器助第

7、帐户策略十王 也 王F4用户权限分配困安全选项高级安全Windows防火墙网络列襄管理署策略.公钥策略.二I软件隔制策阳应用程序控制策滥*马仃安全晤，在本地计算机士高级审核策略配置箫陶审核帐户管理1,审但帐户登号事件审核系统事件.，审核特权使用审核目录服劳访问 审核进程跟踪 审核对象访问审核登录事件隔审核策略更改B核核核核核核核核 审审审审审审审审 无无无无无无无无如双击“审核账户登录事件”，勾取“成功”和“失败”，之后确定推荐要审核的项目如下:审核策略更改：成功，失败。审核登录事件：成功，失败。审核对象访问：失败。审核对象追踪：成功，失败。审核目录服务访问：失败。审核特权使用：失败。审核系统

8、事件：成功，失败。审核账户登录事件：成功，失败。审核账户管理：成功，失败。5用户权利分配5.1 从远端系统强制关机按住“Win”键+ “R”键，打开“运行”窗口，输入 gpedit.msc后回车。方运行*1_热m Windows捋根据悠所蝇人的名称，为您打开相应的程序.文件夹、文档或Internet资源.打开9)： gpedit.msc,零好侬婚刽副日.幅 | 哂包覆B)依次找到“计算机配置” -> “Windows 设置”-> “安全设置”-> “本地 策略”-> “用户权限分配”，查看是否“从远端系统强制关机”设置为“只指 派给 Administrators 组”l

9、oal本母ti算砰雷咯 L计当匕配置 软件q ，_ Windows 已置 h _域宅沼析蔗as,百本代制美机) IEI已起叁的打0：机上永安至逾置>G怅口能整* &本畸至2甲蛾勖8 ”吉用户取脸.a_鬲生安全Win.同箔列褰曾理； 公钥涎的 收件限剧第第 近月程序段播0 IP去至醺圈一'，二靛盟亩播第M 妥酩从旷尾坞上电T计置机从两辆可比计百矶屯丛远丘钙洞型 更罩门区更改瑜罚司颊冬管理不蜻口安全丑百 述原文件和目录将工tw添t信好毛母车出稣毛更M网再访向这白计耳吼.拒诞避过筵程桌面限务篁录生迨L源务身性登最锲作为眦理悟函苴立件里隹屋配苴文件至婉性能以程文匕或其他石条的所有

10、投 境过遍可强口5.2 关闭系统查看是否“关闭系统”设置为“只指派给Administrators 组”。营率悔睡球聚转箭>1* 2 回I罩I 5.3 取得文件或其它对象的所有权查看是否“取得文件或其它对象的所有权”设置为“只指派给Administrators 组”。文件出热Eg aSiVi第勖H省团*6国 武期闫文仁或其匕土建由军营工三性0 目.3 |耳机缶塞T .三三玄心审查Nindawi i.B_域名娱析第唯工六庐即知U9巳造旅打印机%安至宝百m帐户僦口 HiE爆第多市接茶用q用户雌酷配a m虫线攻1商谡安全Window._同事到舌苣理铸焦E公用亲临 软件限制第昭卜口应用程序按*摩咕

11、慕P安全缶年E 4 ,鬲联由桂笑略配置一第酷因S如钝目录口例刘我1诵恋H?星多 母工喻落祀眄 他迪本嗨亲拒以网鹿司逡台计算机 拒史画1运程克邨嫂受事 柜电，:氏 生回包iftKb理作业党宏 配舌:文1撵团是 国百文件至婉性第率用文科同在财领年存1 浇LL遍行若亘 身伊却三寻般弄狂 生成育生函粒 钧是可百员省专计制化释谓试S字.驻目能哈淖本地史全谀叠O地汨文件其耳他对柬的所有机亘加用户就班延 .箱* 1 取消一1之三小6关闭系统默认共享按住“ Win“键+ " R”键，打开“运行”窗口，输入regedit后回车HKLMSystemCurrentControlSetServicesLan

12、manServerParamete下，增力口 REG_DWORD 类型的 AutoShareServer 键，值为 0,增加REG_DWORD 类型的 AutoShareWks 键，值为 0。交件阴峥E西看(V)收窄夹唐曲(崎iZtHJWIWWO- X.KDHacker1*0-Keylso朗凄认)REG_5Z缴fi未设a,.ki*nl题 A司 u<sedMull&M5iqnPipMREG.DWORD010WXMW5 (3)丁,ki15mBim ki££ii miffif|autodi5c&nnectREGDWORDChiOOOOOOOf (15hhp|

13、 AutoSha reServerREG.DWORD0x00000000(0)-ksapi«'j A. r+n吃raMVur.i« nUTOnB nBWK5HLU_UVTkJltUkJXULRJUULWJU «UJaK-iecLJUKSecPka界 | En ableAuthenticateLI serSha ringREG.DWORDOxOWKXJOOl (1)KtrnRrn明即 ablefoFcedlogoffREG.DWORD300000001 .kxexore1猫 en ablee-c urrtyignatu reREG.DWORDOxOWOOOO

14、O j-*LJ“ Lajht固iSc1Gveif题 GuidREG.B1NARY9e b9 fe Sa beAliasesJi?|jTiannounceREG.DWORD0x00000000(0)j AutQ-tu ned Param？tr| Nul ISesstonPipe sREG_MULTI_SZ：DpfauftSrajrity瑞requires«ijrity5ig natureREG_PWQRD0x00000000(5；LinkageresUi eta nonymousREG,DWORD0x00000001 !ParfiirbettrsWS| restrirtnullsess

15、accessREG.DWORD0x00000001 (1)1ShareRrcvidersjServiceDllREGJXPAND_SZ%SystemRD C11. Shares耀 | ServiteDl lUnloadOnStopREG.DWORDCMW00M1 (1)心La nmanWcrkstarti on晒金eREG.DWORDOxOWOOOOl (1)卜Id叩t> ".Ihdio0lltdavc>卜.ImhoE.tst- 1上 Lsa1IN1< 1剧卜计算！11AH 鼠 E¥L匚 ALJMA 匚 HINES¥£TEM't

16、LirrentCQntrnl&Et，Eervic:e£1LainnrtmnS；erveirPBr!amtr5；7关闭自动播放按住“ Win“键+ " R”键，打开“运行”窗口，输入 gpedit.msc后回车打开“组策略”在左窗格的“本地计算机策略”下，展开“计算机配置一管理模板一所有设置”，然后在右窗格的“设置”标题下，找到“关闭自动播放”，双击“关闭自动播放”，进入设置界面区关闭硬盘（使用电池） 关闭用户安装的篁面小工具J1关闭游戏更新：亍二方二国三的吾三号士 1k关闭源和网页快讯的融阅删除 之,关闭源和网页快讯发现 匡关闭源列表1k关闭重新打开上次浏贤会话关闭

17、空面小工具关闭资源管理器的数据执行保护 _ li£j-关闭白;Liza图乏关闭自动故障恢复提示 ,'s关闭自引晚里关闭巨前完成与入面板凳集成4IH选择“已启用”，下面的设置窗口选择“所有驱动器”8关闭不必要的服务8.1 关闭不必要的windows 系统服务关闭windows系统服务里不必要且危险的服务，Remote Registry 服务和 Telnet服务（win7以后产品没有默认安装）。在XP或者win2003上关闭Telnet 服务，参照下面关闭Remote Registry 服务的方法。按住“Win”键+ “R”键，打开“运行”窗口，输入services.msc后回车

18、。找到“ Remote Registry ”服务，点击“停止”O;扩震A后港/电阻文件6j热作的至卷曲招刖®电唾I国口也mI日底I仅 M2右击“Remote Registry ”服务属性，在“启动类型”处选择“禁止”，之后点击“应用”和“确定”。文佛村ii作用 AEIV）掘助承）石I量I茴面囿REBl/ II小朋由碰J火子二Itt衣穹三台：此阻将痛述：储臃用户即畸甘!机上的注册 表淮罟.如果此黑务被给止,耳有此 计宜式tBl.用户才磋伟哉注既表.就 果此展舞嗫索用，任悯依载它的震务 *芒国乱犷&（阮桂展若1礴）Remote Registry名称Problem Reports

19、an. Program 匚口mpmtibili/. Protwted Storage Quality Windows Aud. Remote Acc»s Auto ,-, Remote Access ConiHi-iRemote Desktop Ed. Remote Desktop Ser»rRemote DesktopRemote Packet CapURemcdte Procedure C.Remote Procedure 匚Routing and Remote “ RPC Endpoim Mapper SangforSPS«ondary Loon. Secu

20、re Socket TunneLBSB巳国前已自动忘前奏空手动手劭享里目前手动自勒H不手司日的占Elf而门全二L国号更近程留户第停改此计苜粗上的注氏 表应皆.虹果士屋号限终止，只有此阴比希各辘用，自可依通它的程若 将无一就Security Accounts Ma.苣述Itt.Iis.内铺“,«tJS.-.秘ra<r.«««se.允许E允许2RPC.在 w.,已言才已日动已言才mKii蛀录为三期至痣同通职各aasE.本地至洗网据熊哥阿浴密罟本地品姓阿电理音4443.古地球3电陶第照凝林1Rerrwtc Resist 17描述 状态 后诺出 登录为Pr

21、ogram 亡口mpai右bili.- 此强.Protected Storage 为Quality Windows Ajudu.优度 »i二力M44f1 毛4Remote R#gi由y的属母本曲计与用在_局Of.在不A安启动山wcr% Probitm Reports an-此熊干Remote Actins Auto .瘫./ Remote Access Conn.r常蛆竞录二1做亘,你在关系月躺状板LiWR|宾曲国 |停止慎）m明1年当M此处自动弟台时，您司监所适用的自动至抻”启动度数W：月的信称，KeoitKeEi ilry显亍名称¥亡不。t七 KtcistryRemot

22、e Desktop Co.Remote De-sktcp &er.i/ Remote Desktop Ser.Remote Packe-t CapL.Remote Procedure C.% Remote Procedyre C.«Remote Registry.Routing and R.emo1e 一- RPC Endpoint Mapper SanglorSP.Seccridairy Logon-, Seairfr Socket TunneL,. Security Accounts. Ma.比浒_丸浒RPC. 在,在局一w.1A此广可执行文件的路径。：例及、工炉品占N.

23、 £* *k E&fvc启动二码回：画需搬罐耕卿檎博鹘:RetTKyle Registry疑fe，已启动 自动 本地照务8.2 关闭其他软件安装的不必要服务按住“Win”键+ “R”键，打开“运行”窗口，输入 msconfig后回车在“系统配置”窗口中选择“服务”-> “隐藏所以Microsoft服务(H)”打钩，则显示所有非Microsoft服务，将不必要服务前面的钩去掉，点击“应用”和“确定”M驼配置常如引导下服务T 启动I工具制造商状态 禁用日期Aeimetix Iff VS Scheduler 内未知2014/10/2Adobe Acrobat Update S

24、erviceAdobe Systems Incorp.止号B201VT/GAdobq FIreIi Fl叼qr Updatq S«Fvi-c4 ?| BaiduYunUtility 闭 ES StAg«nt Service G ESCC ServletJ ForliClient Service Schtiulftr 71 Goo必更新朋芳(gupditt) G Gspgle 更新服务(gupdiLitm)ICBC Daeih«n SovietA49b44rp未知未知未知Fortinet Inc.G&oglfe Inc.Gcogle Inc.未知已已正已正已

25、已正停停在停在停信在止止运止运止止运2014/10/：全部禁用)II请注意，某些断注。石。门安全服劳可能无法禁用”全部启用)I团隐藏所有陷18“旺士船旁®帮助|rn=确定 I取消应用。)在系统配置”窗口中选择“启动”，查看哪些服务是开机启动，将没必要的开机启动服务前面的钩去掉口系统配置. 1W常加I弓I导I服若 启动 工具启动项目制珪商nn /位置tf«bProtectChina. Merchants.C: Frogr an PiltsVCMB.KKLmSOFTVAREW.d King5oft Int«.Kingsaft Corp orb.'program

26、 fil&sVki.KMISOmAREH.V杜也k高清晰.，Real tek Semi con. B ."C:Pr。所 FileEHa.Q KTApp未知C ： XProgr sm Filr'GEC,比训sormREW7 EFolCCControl .未知C： VFrograxn filesWen.KKLMSOmMSEM.|.< Microsofte Wi-HicroEoft Corp% .CAWiruiowsiystfiffl32.HEEUSOmAREH.lYebProtact.China. MerchaiLts.CAFrogran Filts'iCM

27、B.HKLNSOmAREJM.未知C： frogr am FiLesSo.KBCUSOmAREH.8 NKF Fortify Mo未知C:FEU0GRA71HPmEB.C： frogr amDataV.JT|TL,IM .全部启用豆)全部禁用)确定聊唬) 耦助9补丁更新终端电脑同步补丁服务器（深圳移动内网补丁服务器），将wsus.reg文件双击导入注册表，wsus.reg内容如下：Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftwindowsWindowsUpd

28、ate"WUServer"="""WUStatusServer"=""HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftwindowsWindowsUpdateAU "NoAutoUpdate"=dword:00000000"AUOptions"=dword:00000003"ScheduledInstallDay"=dword:00000000&q

29、uot;ScheduledInstallTime"=dword:00000000"UseWUServer"=dword:00000001"NoAutoRebootWithLoggedOnUsers"=dword:00000001导入成功后更新组策略，同步补丁，双击wsus.bat文件，wsus.bat文件内 容如下：echo offgpupdate /force wuauclt /detectnow10防病毒软件终端电脑需安装防病毒软件，深圳移动网管网区域安装趋势防病毒软件，通过web页面的形式安装，URL如下：（注意请使用IE浏览器）http

30、s://officescan/console/html/ClientInstall/第一次输入此URL可能会出现，如下情况：二势势科相防哥则.“能俾则计K也商足疗栅Wt懦喻的蠕等F券.国国的选择“工具”-> ”兼容性视图设置”。文包r miEi n：v：. 礴"m ia：r：i 阳加H)以* / Eg-%叁居L|不IM-q)四 重新打开上氓逆克会二日蛰势科技-舫春埸网骑版越蝴接访毒卷瞄版谓修保您的计m机a足吉装防事帼网结务朗军姬要求有美军城要事的优恿，法事至您茁朝修地网率版能尊员.算0由口£目止桂库伊9直0下蜘:NJ管理期I值向CErl*J4性

31、烟设置的HM栏川制副心葡旭 P12 nJfcAHIMiDJFiddler中 nWrnet选项0点击“添加”，将添加到“已添加到兼容卜t视图中的网站(W)”,点击“关闭”葬客无"图设苣更改兼容性视图设置添加此网站®)：添加添已添加到兼容性视图中的网站第):10,201. 102.2J在兼容性视图中显示Intranet站点Q)7使用Mi crosoft兼容性列表(U)阅读工nt er net Explorer蹬私声日月7解详细信息关闭©点击“立即安装”I下一步® 31版粮所有£ 门二口1 7ml耳_一工芨；巾再育族KajfT

32、frmd Mi3口 linmirMrjgd 畏Iff所韦棋利11终端监控软件- P 周回女却，J_ELW_ V*防毒墙网络版客户并安装需蒙接入深圳移动网管网区域的终端电脑需要安装启明星辰天痢内网安全风险管理与审计系统客户端软件，下载链接如下:1:8833/Download/ClientSetup.exe下载好后，软件会自动启动安装，安装步骤如下:Pi号秀日SS隈茗户短存32的产属中需要目标计辑近支装商rLQ=-.s9 ；DM 2QO3 ；M£ ,.L：-1 :,在 84 开 Ifi 中受 Jf TindcriK? ：0O3 ZOO； '.'licb入逮并厘于FE的容声看即署方法还售更KxrcgfT liitrBFT Eplertr l,i成更离雇京讨吏特就异索其中助，帝与您的防聿感网格第W埋员服莅*立即安装单& T面叼主即！fc瑞整初开倍