Wnow主机操作系统加固规范

1、Windo昧机操作系统加固规范2020 年 5 月 TOC o 1-5 h z 账号管理、认证授权 1 HYPERLINK l bookmark0 o Current Document 账号 1SHG-Windows-01-01-01 1SHG-Windows-01-01-02 2SHG-Windows-01-01-03. 3 HYPERLINK l bookmark2 o Current Document 口 令 4SHG-Windows-01-02-01 4SHG-Windows-01-02-02 5 HYPERLINK l bookmark4 o Current Document 授权

2、6SHG-Windows-01-03-01 6SHG-Windows-01-03-02 7SHG-Windows-01-03-03 8SHG-Windows-01-03-04 9SHG-Windows-01-03-05 10日志配置 11SHG-Windows-02-01-01 11SHG-Windows-02-01-02 12通信协议 14 HYPERLINK l bookmark6 o Current Document IP协议安全 14SHG-Windows-03-01-01 14SHG-Windows-03-01-02 15SHG-Windows-03-01-03. 16 HYPERL

3、INK l bookmark8 o Current Document 屏幕保护 18SHG-Windows-04-01-01 18SHG-Windows-04-01-02 19 HYPERLINK l bookmark10 o Current Document 共享文件夹及访问权限 20SHG-Windows-04-02-01 20SHG-Windows-04-02-02 22 HYPERLINK l bookmark12 o Current Document 补丁管理 23SHG-Windows-04-03-01 23 HYPERLINK l bookmark14 o Current Doc

4、ument 防病毒管理 24SHG-Windows-04-04-01 24SHG-Windows-04-04-02 25 HYPERLINK l bookmark16 o Current Document WNdowjB务 26SHG-Windows-04-05-01 26SHG-Windows-04-05-02 28 HYPERLINK l bookmark18 o Current Document 启动项 29SHG-Windows-04-06-01 29SHG-Windows-04-06-02 30本文档是Windows操作系统的对于Win系统的设备账号认证、日志、协议、补丁升级、文件系

5、统管理等方面的安全配置要求，共 26项。对系统的安全配 置审计、加固操作起到指导性作用。1账号管理、认证授权账号SHG-Wndows- 01-01-01编PSHG-Windows-01-01-01名称按照用户类型分配账号实施目的根据系统的要求，设定不同的账户和账户组，管理员用 户，数据库用户，审计用户，来宾用户等。问题影响账号混淆，权限不明确，存在用户越权使用的可能。系统当前状态进入“控制面板，管理工具，计算机管理”，在“系统 工具，本地用户和组”：记录当前用户状态实施步骤参考配置操作：进入“控制面板，管理工具，计算机管理”，在“系统 工具，本地用户和组”。结合要求和实际业务情况判断符合要求，

6、根据系统的要 求，设定不同的账户和账户组，管理员用户，数据库用 户，审计用户，来宾用户。回退方案删除新增加的用户，还原用户权限到初始设置。部分操 作可能无法回退。判断依据进入“控制面板，管理工具，计算机管理”，在“系统工具，本地用户和组”：查看账户和账户组，管理员用户，数据库用户，审计用 户，来宾用户等。根据系统的要求和实际业务情况判断是否符合要求。实施风险高重要等级备注SHG-Wndows- 01-01-02编PSHG-Windows-01-01-02名称系统无效帐户清理实施目的删除或锁定与设备运行、维护等与工作无关的账号，提 高系统帐户安全。问题影响如果不清理无效帐户，则系统将面临默认账号

7、被非法利 用的风险系统当前状态进入“控制面板，管理工具，计算机管理”，在“系统 工具- 本地用户和组”：记录当前用户状态，备份系统 SAMt 件。实施步骤参考配置操作：进入“控制面板，管理工具，计算机管理”，在“系统工具，本地用户和组”。删除或锁定与设备运行、维护等与工作无关的账号。回退方案增加被删除的用户，激活被锁定的用户，还原用户权限 到初始设置。部分操作可能无法回退。判断依据进入“控制面板，管理工具，计算机管理”，在“系统 工具，本地用户和组”：查看是否删除或锁定与设备运行、维护等与工作无关的根据系统的要求和实际业务情况判断是否符合要求实施风险高重要等级备注SHG-Wndows- 01-

8、01-03编PSHG-Windows-01-01-03名称重命名 Administrator ,禁用 GUEST实施目的对于管理员帐号，要求更改缺省帐户名称；禁用guest（来宾）帐号。提高系统安全性。问题影响管理员帐号容易被猜解；Guest账号容易被非法利用系统当前状态进入“控制面板，管理工具，计算机管理”，在“系统 工具，本地用户和组”。记录当前用户状态实施步骤参考配置操作：进入“控制面板，管理工具，计算机管理”，在“系统工具，本地用户和组”。Administrator 属性一 更改名称Guest帐号，属性一 已停用回退方案重命名用户名称，还原用户属性设置判断依据进入“控制面板，管理工具，

9、计算机管理”，在“系统工具，本地用户和组”：查看管理员账号 Administrator名称是否修改，Guest账号是否禁用。实施风险低重要等级备注口令1.2. 1 SHG-Wndows- 01-02- 01编PSHG-Windows-01-02-01名称配置密码策略实施目的设置密码策略，减少密码安全风险；防止系统弱口令的存在，减少安全隐患。对于采用静态口令认证技术的设备，口令长度至少6位，且密码规则至少应米用字母 （大 小写穿插）加数字加标点符号（包括通配符）的方式。问题影响增加系统密码被暴力破解的成功率系统当前状态进入“控制面板，管理工具，本地安全策略”，在“帐 户策略，密码策略”：记录当前

10、密码策略情况。实施步骤参考配置操作：进入“控制面板，管理工具，本地安全策略”，在“帐 户策略，密码策略”。“密码必须符合复杂性要求”选择“已启动”设置如下 荥峭策略默认设置推荐最低设置强制执行密码历史记录记住1个密码记住5个密码密码最长期限42天90天密码最短期限0天2天最短密码长度0个字符8个字符密码必须符合复杂性要求林田启用为域中所有用户使用可还原的加密来储存密码林田禁用回退方案还原密码策略到加固之前配置判断依据进入“控制面板，管理工具，本地安全策略”，在“帐 户策略，密码策略”：查看“密码必须符合复杂性要求”是否选择“已启动”。实施风险低重要等级备注. 2 SHG-Wndows- 01-

11、02-02编PSHG-Windows-01-02-02名称配置账户锁定策略实施目的设置有效的账户锁定策略有助于防止攻击者猜出系统 账户的密码。问题影响增加系统密码被暴力破解的成功率系统当前状态进入“控制面板，管理工具，本地安全策略”，在“帐 户策略，账户锁定策略”：记录当前账户锁定策略情况。实施步骤参考配置操作：进入“控制面板，管理工具，本地安全策略”，在“帐户策略，账户锁定策略”。设置如下策略：策略默认设置推荐最低设置账户锁定时间未定义30分钟账户锁定阈值06次无效登录复位账户锁定计数器未定义30分钟回退方案还原账户锁定策略到加固之前配置判断依据进入“控制面板，管理工具，本地安全策略”，在“

12、帐户策略，账户锁定策略”：查看安全策略是否设置为已启动和按要求配置。实施风险低重要等级备注授权1.3. 1 SHG-Wndows- 01-03- 01编TSHG-Windows-01-03-01名称远端系统强制关机设置实施目的防止远程用户非法关机，在本地安全设置中从远端系统强制关机只指派给 Administrators 组问题影响增加系统被管理员以外的用户非法关闭的风险系统当前状态进入“控制面板，管理工具，本地安全策略”，在“本地策略- 用户权利指派”：查看并记录“从远端系统强 制关机”的当前设置。实施步骤参考配置操作：进入“控制面板，管理工具，本地安全策略”，在“本地策略，用户权利指派”。“

13、从远端系统强制关机”设置为“只指派给Administrators 组”。回退方案还原“从远端系统强制关机”的设置到加固之前配置。判断依据进入“控制面板，管理工具，本地安全策略”，在“本地策略，用户权利指派”：查看“从远端系统强制关机”是否设置为“只指派给Administrators 组”。实施风险低重要等级备注1.3. 2 SHG-Wndows- 01-03-02编pSHG-Windows-01-03-02名称关闭系统设置实施目的防止管理员以外的用户非法关机，在本地安全设置中关闭系统仅指派给 Administrators 组问题影响增加系统被管理员以外的用户非法关闭的风险系统当前状态进入“控制

14、面板，管理工具，本地安全策略”，在“本 地策略，用户权利指派”：查看并记录“关闭系统”的 当前设置。实施步骤参考配置操作：进入“控制面板，管理工具，本地安全策略”，在“本地策略，用户权利指派”。关闭系统 设置为 只指派给 Administrators 组。回退方案还原“关闭系统”的设置到加固之前配置判断依据进入“控制面板，管理工具，本地安全策略”，在“本地策略，用户权利指派”：查看“关闭系统”是否设置为“只指派给Administrators 组”。实施风险低重要等级备注1.3. 3 SHG-Wndows- 01-03-03编pSHG-Windows-01-03-03名称“取得文件或其它对象的所

15、有权”设置实施目的防止用户非法获取文件，在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators问题影响增加系统除管理员以外的用户非法获取文件的风险系统当前状态进入“控制面板，管理工具，本地安全策略”，在“本 地策略- 用户权利指派”：查看并记录“取得文件或其 它对象的所有权”的当前设置。实施步骤参考配置操作：进入“控制面板，管理工具，本地安全策略”，在“本地策略，用户权利指派”。“取得文件或其它对象的所有权”设置为“只指派给Administrators 组”。回退方案还原“取得文件或其它对象的所有权”的设置到加固之 前配置判断依据进入“控制面板，管理工具，本地安全策略”

16、，在“本地策略，用户权利指派”：查看是否“取得文件或其它对象的所有权”设置为“只指派给 Administrators 组”。实施风险低重要等级备注1.3. 4 SHG-Wndows- 01-03-04编pSHG-Windows-01-03-04名称“从本地登陆此计算机”设置实施目的防止用户非法登录主机，在本地安全设置中配置指定授 权用户允许本地登陆此计算机问题影响增加物理临近攻击和本地物理攻击以及非授权用户非 法登陆主机的风险系统当前状态进入“控制面板，管理工具，本地安全策略”，在“本 地策略- 用户权利指派”：查看并记录“从本地登陆此 计算机”的当前设置。实施步骤参考配置操作：进入“控制面板

17、，管理工具，本地安全策略”，在“本地策略，用户权利指派”“从本地登陆此计算机”设置为“指定授权用户”回退方案还原“从本地登陆此计算机”的设置到加固之前B己置判断依据进入“控制面板，管理工具，本地安全策略”，在“本地策略，用户权利指派”：查看是否“从本地登陆此计算机”设置为“指定授权用 户”。实施风险低重要等级备注1.3. 5 SHG-Wndows- 01-03-05编pSHG-Windows-01-03-05名称“从网络访问此计算机”设置实施目的防止网络用户非法访问主机，在组策略中只允许授权帐 号从网络访问（包括网络共享等，但不包括终端服务 ）此 计算机。问题影响增加非授权用户非法访问主机的风

18、险系统当前状态进入“控制面板- 管理工具- 本地安全策略”，在“本 地策略，用户权利指派”：查看并记录“从网络访问此 计算机”的当前设置。实施步骤1、参考配置操作进入“控制面板- 管理工具- 本地安全策略”，在“本地策略，用户权利指派”“从网络访问此计算机”设置为“指定授权用户”回退方案还原“从网络访问此计算机”的设置到加固之前配置判断依据进入“控制面板- 管理工具- 本地安全策略”，在“本地策略- 用户权利指派”：查看是否“从网络访问此计算机”设置为“指定授权用 户”。实施风险低重要等级备注2日志配置1. 1 SHG-Wndows-02- 01-01编PSHG-Windows-02-01-0

19、1名称审核策略设置实施目的设置审核策略，记录系统重要的事件日志，设备应配置 日志功能，对用户登录进行记录，记录内容包括用户登 录使用的账号，登录是否成功，登录时间，以及远程登 录时，用户使用的IP地址问题影响无法对用户的登陆以及登陆后对系统的操作过程、特权 使用等进行日志记录系统当前状态进入“控制面板，管理工具，本地安全策略”，查看并 记录“审核策略”的当前设置。实施步骤参考配置操作：开始- 运行，执行“控制面板，管理工具，本地安全策略，审核策略”审核登录事件，双击，设置为成功和失败都审核。“审核策略更改”设置为“成功”和“失败”都要审核“审核对象访问”设置为“成功”和“失败”都要审核“审核目

20、录服务器访问”设置为“成功”和“失败”都要审核“审核特权使用”设置为“成功”和“失败”都要审核“审核系统事件”设置为“成功”和“失败”都要审核“审核账户管理”设置为“成功”和“失败”都要审核“审核过程追踪”设置为“失败”需要审核回退方案还原“审核策略”的设置到加固之前配置判断依据开始- 运行，执行“控制面板，管理工具，本地安全策略，审核策略”：查看是否设置为成功和失败都审核。实施风险低重要等级备注2. 1.2 SHG-Wndows-02- 01-02编PSHG-Windows-02-01-02名称日志记录策略设置实施目的优化系统日志记录，防止日志溢出。设置应用日志文件大小至少为8192KR设置

21、当达到最大的日志尺寸时，按需要改写事件问题影响如果日志的大小超过系统默认设置，则无法正常记录超 过最大记录值后的所有系统日志、应用日志、安全日志 等系统当前状态进入“控制面板，管理工具，事件查看器”，查看并记录 “应用日志”、“系统日志”、“安全日志”的当前设置实施步骤1、参考配置操作进入“控制面板，管理工具，事件查看器”，在“事件查看器（本地）”中：“应用日志”属性中的日志大小设置不小于 “8192KB, 设置当达到最大的日志尺寸时，“按需要改写事件”“系统日志”属性中的日志大小设置不小于 “8192KB, 设置当达到最大的日志尺寸时，“按需要改写事件”“安全日志”属性中的日志大小设置不小于

22、 “8192KB, 设置当达到最大的日志尺寸时，“按需要改写事件”回退方案还原“应用日志”、“系统日志”、“安全日志”的设置 到加固之前配置判断依据进入“控制面板，管理工具，事件查看器”，在“事件查看器（本地）”中：查看各项日志属性中日志大小是否设置为不小于 “8192KB,是否设置当达到最大的日志尺寸时，“按需要改写事件”。实施风险低重要等级备注3通信协议3.1 IP协议安全3.1. 1 SHG-Wndows-03- 01-01编PSHG-Windows-03-01-01名称启用TCP/IP筛选实施目的过滤不必要的端口，提高系统安全性，对没有自带防火 墙的Windows系统，启用 Windo

23、ws系统的IP安全机制 （IPSec）或网络连接上的TCP/IP筛选，只开放业务所需 要的TCP UDPS口和IP协议问题影响如不有效过滤系统中存在的不必要的端口以及默认的 端口会增加潜在被攻击和非法利用的安全风险系统当前状态进入“控制面板 网络连接 本地连接，进入“Internet 协议（TCP/IP ）属性 高级 TCP/IP 设置”，在“选项”的属性中查看“网络连接上的TCP/IP筛选”的状态，并记录实施步骤参考配置操作：系统管理员出示业务所需端口列表。根据列表只开放系统与业务所需端口。进入“控制面板 网络连接 本地连接，进入“Internet 协议（TCP/IP ）属性 高级 TCP/

24、IP 设置”，在“选项”的属性中启用网络连接上的TCP/IP筛选，只开放业务所需要的 TCP UDPS口和IP协议。回退方案还原高级TCP/IP的设置到加固之前配置判断依据系统管理员出示业务所需端口列表。根据列表只开放系统与业务所需端口。进入“控制面板 网络连接 本地连接，进入“Internet 协议（TCP/IP ）属性 高级 TCP/IP 设置”，在“选项”的属性中启用网络连接上的TCP/IP筛选，查看是否只开放业务所需要的 TCP，UDPS口和IP协议。利用Netstat an命令查看当前系统开放端口是否与 系统管理员所出示的业务所需端口列表相对应；如发现 存在与业务和应用无关的端口，则

25、查明后在TPC/IP筛选配置中将其过滤掉。实施风险高重要等级备注1.2 SHG-Wndows-03- 01-02编pSHG-Windows-03-01-01名称开启系统防火墙实施目的启用 Windows XP和 Windows 2003自带防火墙，过滤不 必要的端口，提高系统安全性。根据业务需要限定允许 访问网络的应用程序和允许远程登陆该设备的IP地址范围。问题影响没有访问控制，系统可能被非法登陆或使用，从而增加 潜在被攻击的安全风险系统当前状态进入“控制面板 网络连接 本地连接，在高级选 项的属性中查看 Windows防火墙的状态，并记录详细 情况。实施步骤参考配置操作：系统管理员出示业务所

26、需端口列表。根据列表只开放系统与业务所需端口。进入“控制面板 网络连接 本地连接，在高级选项的设置中：启用 Windows防火墙。在“例外”中配置允许业务所需的程序接入网络。在“例外，编辑，更改范围”编辑允许接入的网络地址 范围。回退方案还原高级系统防火墙设置到加固之前配置。判断依据进入“控制面板 网络连接 本地连接，在高级选项的设置中，查看是否启用 Windows防火墙。查看是否在“例外”中配置允许业务所需的程序接入网络。查看是否在“例外，编辑，更改范围”编辑允许接入的 网络地址范围。实施风险高重要等级备注3. 1.3 SHG-Wndows-03- 01-03编pSHG-Windows-03

27、-01-03名称启用SYN$：击保护实施目的启用SYNg5c击保护，提高系统安全性；指定触发SYNim水攻击保护所必须超过的TCP连接请求数阀值为5 ;指定处于SYN_RCVDt态的TCP连接数的阈值为 500;指定处于至少已 发送一次重传的 SYN_RCVD状态中的TCP连接数的阈值为 400。问题影响如不启用SYN击保护，系统则容易被 SYN巨绝服务攻击后导 致迅速当机。系统当前状 态在“开始，运行- 键入regedit ”查看并记录注册表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices、 SynAttackProtect的值并记录。查看并

28、记录注册表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。TcpMaxPortsExhaustedTcpMaxHalfOpenTcpMaxHalfOpenRetried的值并记录实施步骤参考配置操作：在“开始，运行- 键入regedit ”启用 SYN攻击保护的命名值位于注册表项HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices之下。值名称：SynAttackProtect 。推荐值：2。以下部分中的所有项和值均位于注册表项HKEY_LOCAL_MACHINESYSTEMCurrentCo

29、ntrolSetServices 之下。指定必须在触发SYN flood 保护之前超过的TCP连接请求阈 值。值名称：TcpMaxPortsExhausted。推荐值：5。启用SynAttackProtect 后，该值指定 SYN RCVD状态中的TCP 连接阈值，超过 SynAttackProtect 时，触发 SYN flood 保护。值名称：TcpMaxHalfOpen。推荐值数据：500。启用SynAttackProtect 后，指定至少 发送了一次重传的 SYN_RCV瞅态中的TCP连接阈值。超过 SynAttackProtect 时，触发 SYN flood 保护。值名称：TcpM

30、axHalfOpenRetried。 推荐值数据：400。回退方案还原注册表设置到加固之前配置判断依据在开始，运行里输入regedit，进入注册表中打开相应的注册 项，查看键值是否已启用和配置，各注册表键值是否均按要求 设置。实施风险高重要等级备注4设备其他安全要求4.1屏幕保护1. 1 SHG-Wndows- 04- 01-01编rSHG-Windows-04-01-01名称启用屏幕保护程序实施目的启用屏幕保护程序，防止管理员忘记锁定机器被非法攻击；设置带密码的屏幕保护，并将时间设定为5分钟问题影响如未启动屏幕保护并米用密码恢复，一旦管理员操作系 统后忘记锁定主机，则容易被非法攻击，以及增加

31、本地 物理临近攻击的风险。系统当前状态进入“控制面板 显示 屏幕保护程序”：查看是否启用屏幕保护程序 并记录当前的设置实施步骤参考配置操作：进入“控制面板 显示 屏幕保护程序”：启用屏幕保护程序，设置等待时间为“5分钟”，启用“在 恢复时使用密码保护”。回退方案还原屏幕保护程序设置到加固之前配置。判断依据进入“控制面板 显示 屏幕保护程序”：查看是否启用屏幕保护程序，设置等待时间为“5分钟”， 启用“在恢复时使用密码保护”。在系统桌面上点击鼠标右键，打开属性，查看屏幕保护程序选项是否已启动和配置。实施风险低重要等级备注4. 1.2 SHG-Wndows- 04- 01-02编pSHG-Wind

32、ows-04-01-02名称设置Microsoft网络服务器挂起时间实施目的设置Microsoft网络服务器挂起时间，防止管理员忘记 锁定机器被非法利用；对于远程登陆的帐号，设置不活 动断连时间15分钟问题影响管理员忘记锁定而被非法利用系统当前状态进入“控制面板- 管理工具- 本地安全策略”，在“本地策略，安全选项”：查看是否“ Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟。实施步骤参考配置操作：进入“控制面板- 管理工具- 本地安全策略”，在“本地策略，安全选项”：“Microsoft网络服务器”设置为“在挂起会话之前所 需的空闲时间”为15分钟。回退方案还

33、原“挂起会话之前所需的空闲时间”设置到加固之前 配置判断依据进入“控制面板- 管理工具- 本地安全策略”，在“本地策略，安全选项”：查看是否“ Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为 15分钟。实施风险低重要等级备注共享文件夹及访问权限. 1 SHG-Wndows- 04-02- 01编 号SHG-Windows-04-02-01名 称关闭默认共享实 施 目 的非域环境中，关闭 Windows硬盘默认共享，例如 C$, D$,提高系统安全 性能问 题 影 响防止攻击者利用系统默认共享如：C$ D陆，非法对系统的硬盘进行访问， 以及通过尸0$方式暴力破解帐户和密码

34、系 统 当 刖 状 态查看并记录：注册表增加了 REG_DWO也的 AutoShareServer 键的值。实 施 步 骤参考配置操作：进入“开始 运行Regedit 进入注册表编辑器，更改注册表键值：在 HKLMSystemCurrentControlSet下，增加REGDWORDI型的AutoShareServer 键，值为 0。回 退 方 案还原 AutoShareServer键的值设置到加固之前配置判 断 依 据进入“开始 运行Regedit ”，进入注册表编辑器，查看HKLMSystemCurrentControlSet下，是否已增加 REG_DWO般的AutoShareServer

35、 键，值为 0。实 施 风低要 等 级 备 注4. 2. 2 SHG-Wndows- 04- 02- 02编PSHG-Windows-04-02-02名称设置共享文件夹访问权限实施目的设置共享文件夹访问权限，防止用户非法访问。只允许 授权的账户拥启权限共享此文件夹。问题影响增加系统未授权的用户非法访问共享文件夹的风险系统当前状态进入“控制面板，管理工具，计算机管理”，进入“系统工具 共享文件夹”：查看并记录每个共享文件夹的共享权限。实施步骤参考配置操作：进入“控制面板，管理工具，计算机管理”，进入“系统工具 共享文件夹”：查看每个共享文件夹的共享权限，只将权限授权于指定账户。回退方案还原每个共

36、享文件夹的共享权限到加固之前配置判断依据进入“控制面板，管理工具，计算机管理”，进入“系统工具 共享文件夹”：查看每个共享文件夹的共享权限。查看每个共享文件夹的共享权限是否仅限于业务需要，不设置成为everyone。实施风险低重要等级备注补丁管理4. 3. 1 SHG-Wndows- 04- 03- 01编pSHG-Windows-04-03-01名称安装系统补丁实施目的修复系统漏洞。应安装最新的Service Pack 补丁集。对服务器系统应先进行兼容性测试。问题影响如系统未打补丁或补丁未打全，不是最新的补丁，则面 临容易被攻击、渗透和控制的风险系统当前状态控制面板，添加或删除程序，显示更新

37、打钩，查看并记 录当前系统安装的补丁实施步骤参考配置操作：女装最新的Service Pack补丁集，以及最新的 Hotfix补丁。目前 Windows XP的 Service Pack 为 SP3Windows2000 的 Service Pack 为 SP4,Windows 2003 的Service Pack 为 SP2回退方案卸载新安装的补丁判断依据进入控制面板，添加或删除程序，显示更新打钩，查看 是否XP系统已安装 SP3, Win2000系统已安装 SP4,Win2003系统已安装SP2同时检查所有的hotfix，并查看系统安装的最后一个补 丁的发布日期是否与最近最新发布的补丁日期一

38、致。实施风险高重要等级备注防病毒管理4. 4. 1 SHG- Wndows- 04- 04- 01编pSHG-Windows-04-04-01名称安装、更新杀毒软件实施目的安装防病毒软件，并及时更新，提高系统防病毒能力问题影响如系统中未安装防病毒软件或防病毒软件未及时更新， 则系统面临容易被感染的风险系统当前状态查看是否安装杀毒软件；打开防病毒软件控制面板，查 看病毒码更新日期实施步骤参考配置操作：安装防病毒软件，并将病毒库更新到最新的版本回退方案卸载或删除杀毒软件判断依据进入控制面板- 添加或删除程序，查看是否安装有防病 毒软件。同时打开防病毒软件控制面板，查看病毒倡更 新日期。如已安装防病

39、毒软件，则病毒码更新时间小早于1个月， 各系统病毒码升级时间要求参见各系统相关规定。实施风险低重要等级备注4.4.2 SHG-Wndows-04- 04- 02编PSHG-Windows-04-04-02名称数据执行保护配置实施目的提高系统抵抗非法修改文件的性能。对于Windows XPSP2及 Windows2003对 Windows操作系统程序和服务启 用系统自带DEP功能（数据执行保护），防止在受保护内 存位置运行有害代码。问题影响如未配置系统核心的数据执行保护，则无法对在内存位 置运行有害代码进行保护系统当前状态进入“控制面板 系统”，在“高级”选项卡的“性能”下的“设置”。进入 数据

40、执行保护”选项卡。查看 并记录“仅为基本Windows 操作系统程序和服务启 用DEP”的配置状态。实施步骤参考配置操作：进入“控制面板 系统”，在“高级”选项卡的“性能”下的“设置”。进入 数据执行保护”选项卡。设置 为“仅为基本 Windows 操作系统程序和服务启用 DEP”。回退方案将“仅为基本 Windows 操作系统程序和服务启用DEP”设置到加固前配置判断依据进入“控制面板 系统”，在“高级”选项卡的 “性 能”下的“设置”。进入 数据执行保护”选项卡。查看 是否设置为“仅为基本Windows 操作系统程序和服务启用DEP”。实施风险低重要等级备注Windows 月艮务5. 1

41、SHG- Wndows- 04- 05- 01编pSHG-Windows-04-05-01名称关闭服务实施目的关闭系统不必要的服务，提高系统安全性。列出所需要 服务的列表（包括所需的系统服务），不在此列表的服务 需关闭问题影响如不关闭与业务和应用无关或不必要的服务，则系统面 临容易被攻击、渗透或利用的风险系统当前状态运仃命令net start 查看当前运仃的服务实施步骤参考配置操作：进入“控制面板- 管理工具- 计算机管理”，进入“服务和应用程序”：查看所有服务，不在此列表的服务需关闭。服务启动类型包括在成员服务器基准策略中的理由COM+事件服务手动允许组件服务的管理DHCP客户端自动更新动态

42、DNS中的记录所需分布式链接跟踪客户端自动用来维护NTFS卷上的链接DNS客户端自动允许解析DNS名称事件日志自动允许在事件日志中查看事件日志消息逻辑磁盘管理器自动需要它来确保动态磁盘信息保持最新逻辑磁盘管理器管理服务手动需要它以执行磁盘管理Netlogon自动加入域时所需网络连接手动网络通讯所需性能日志和警报手动收集计算机的性能数据，向日志中写入或触发警报即插即用自动Windows标识和使用系统硬件时所需受保护的存储区自动需要用它保护敏感数据，如私钥远程过程调用（RPC）自动Windows中的内部过程所需远程注册服务自动hfnetchk实用工具所需（参见附注）安全帐户管理器自动存储本地安全帐

43、户的帐户信息服务器自动hfnetchk实用工具所需（参见附注）系统事件通知自动在事件日志中记录条目所需TCP/IP NetBIOS Helper服务自动在组策略中进行软件分发所需（可用来分发修补程序）Windows管理规范驱动程序手动使用 性能日志和警报”实现性能警报时所需Windows时间服务自动需要它来保证 Kerberos身份验证有一致的功能工作站自动加入域时所需回退方案进入“控制面板- 管理工具- 计算机管理”，进入“服 务和应用程序”，配置并启动停止的服务判断依据系统管理员应出具系统所必要的服务列表。查看所有服务，不在此列表的服务需关闭。进入“控制面板- 管理工具- 计算机管理”，进入“服务和应用程序”：查看所有服务，不在此列表的服务是否已关闭。实施风险中重要等