Windows终端安全配置手册

1、10/30目录TOC o 1-5 h z HYPERLINK l bookmark0 o Current Document 用户账号策略1 HYPERLINK l bookmark2 o Current Document 修改缺省帐户名称1 HYPERLINK l bookmark6 o Current Document 禁用其他用户2 HYPERLINK l bookmark14 o Current Document 账号锁定策略3 HYPERLINK l bookmark16 o Current Document 用户密码策略6 HYPERLINK l bookmark26 o Curre

2、nt Document 屏幕保护锁屏8 HYPERLINK l bookmark36 o Current Document 审核策略10 HYPERLINK l bookmark38 o Current Document 用户权利分配13 HYPERLINK l bookmark40 o Current Document 从远端系统强制关机13 HYPERLINK l bookmark42 o Current Document 关闭系统14 HYPERLINK l bookmark46 o Current Document 取得文件或其它对象的所有权15 HYPERLINK l bookmar

3、k48 o Current Document 关闭系统默认共享15关闭自动播放17 HYPERLINK l bookmark62 o Current Document 关闭不必要的服务198.1关闭不必要的windows系统服务19 HYPERLINK l bookmark68 o Current Document 关闭其他软件安装的不必要服务21 HYPERLINK l bookmark70 o Current Document 补丁更新22 HYPERLINK l bookmark88 o Current Document 防病毒软件23 HYPERLINK l bookmark98 o

4、Current Document 终端监控软件25 HYPERLINK l bookmark116 o Current Document 卸载不必要软件28 HYPERLINK l bookmark118 o Current Document 配置合规检查291用户账号策略修改缺省帐户名称按住“win键+“R键，打开“运行窗口，输入lusrmgr.msc,点击“确r-iH定”。选择-“用户”-右击“Administrator”账号-选择“重命名”。lusrmgr-本地庄户丰珪Q芯山用户;工丄idminkt阳L.n于有任药勺卜車刍宮伽】tEsaom*昔唱计现嫌的堀片禁用其他用户选择-“用户”-右

5、击“guest”账号-“属性”-“常规”-勾取“账已禁用”。电血nng.-匸期戶ftl通地;進户|呂称峯JK述#iAdminirtret.启计帥耀閉内直檢占4guestgut忑律全名SiftD)用戸7姦舖撅更麟网ll)用户涨最溯密卿K曲:卑丿廉户己爭用聊户己做走点击“确定”后，在guest账号上会出现一个向下的箭头号，表明操作成功。（禁止其他不用的账户，可按此方法操作）账号锁定策略按住“Win”键+“R”键，打开“运行”窗口，输入“gpeditmsc”，打开“组策略”窗口。在“组策略”窗口中，选择“计算机配置”-“Windows设置”-“安全设置”-“账户策略”-“账户锁定策略”，进入“账户锁

6、定策略”窗口。在此窗口中，双击“帐户锁定阈值”，设置错误密码输入次数后点击“确定”，同时会弹出提醒，点击确定。同样在“账户锁定策略”窗口，双击“账户锁定时间”，设置锁定时间后，点击“确定”。备注：锁定策略对administrator这个内置账户无效。2用户密码策略按住“Win”键+“R”键，打开“运行”窗口，输入gpedit.msc后回车。Windows捋根摒締備入的名称r左窗开相应的程序交辑决、立档或Internet這源打开()；gpedit.msc瞬勰权限创m11駁肖H豳E|1丈赋El揍作iA)査看(V)帮勛闩十朝兰HIX*|B:本隹告胞钳努呂琢2曄第睹3厳户栢定第聒巧WindOWi云法读

7、取模嗨信艮楚话策睹趟忖宦和騒”计芽札眶-23炊吐湮崟|二Windows2j球茗紹僚曜曲却视吕刹芫机寻已曙世扎印机“玉妥兰曲盲帐户策晡卜吗鹫再策睛卜色帐户坳皂弓極策睹I?芒證盂全Wi一t)Zz濮策b&1软件FR制策朮I?旅程葩*画I1克爭胆DZ：山些亍坯堂QoE”“匚可I尸依次找到“计算机配置”-Windows设置”-“安全设置”-“账户策略”-“密码策略”，将其中进行如下图所示的修改。0天go天1个记住的琶毋已套用乂和计即莊“.VJindowsSfi囲舞农关叽I參已正骂曲打生札*直宝全设昼-A竝户第毛岳吗必厮5台惑性昊庶.密两坛艮蒯迖宜密话觌疫甫期艰密五导挠|品戋盼目寻刮盛韜史用可还沖刃力匸毎

8、不漏克至压上商離睹|L1骑通症無.1&t轉.部&宜全Window防丈斫.区客列吞唾壺荒睛1二俪軽软匸IE?电廉昭2应用程抒进制番晤易】P左主卿-在.钳计禺二誌之瞇BBSj|jj蛋于気皑肌QoS文忤|F|蛍柞伍兰巷巧乖和:H).*.M()1X咚I,H_3屏幕保护锁屏右击桌面空白处，选择“个性化”。咛性化侃）IS8M排前式口】罔新（E）卜卜$5B(P粘貼jJL(S)姻fWIDLA控剖面板打fFQ+新建（WJ卜小工具选择“屏幕保护程序”。回H-I0-E-t：立惭月弗a匡）giy）匸C5E站期（H国萍主孟更敌计算札t的规觉裁貝和丙音甬二爲亍弐立前更讲危三两聽HZj.C勺巨确户窿宁.Aera三三11珈M

9、，：L任阳Ciffe-*郎建至中也Windows軒tXTtt-EHarmorr=嘉哼R匡早十j田口sij壬U靈-I-L-+.1-ji._-hL设置屏幕保护等待分钟数，建议设置为“5”分钟，并勾选“在恢复时显示登录屏幕”，点击“应用”后，单击“确定”完成。确走世屏草保护程序设首屏幕保护程序弄韋躁护程序逊凋以节歸最僅OL責匪电派设賈应肩血分钟朝在恢具时益示登录葬tR】审核策略按住“Win”键+“R”键，打开“运行”窗口，输入gpedit.msc后回车。依次找到“计算机配置”-“Windows设置”-安全设置”-“本地策略”-“审核策略”。如双击“审核账户登录事件”，勾取“成功”和“失败”，之后确定

10、。审核轍户基录爭件居性本地安全i殳蛊说朋审核帐户登录事件甫核这些撓件；F?成功策略以瞽代类别级别审核策躍，则可能不会聶蟄阅重錘白登录奎住o(Q9Z1468j推荐要审核的项目如下：审核策略更改：成功，失败。审核登录事件：成功，失败。审核对象访问：失败。审核对象追踪：成功，失败。审核目录服务访问：失败。审核特权使用：失败。审核系统事件：成功，失败。审核账户登录事件：成功，失败审核账户管理：成功，失败。用户权利分配5.1从远端系统强制关机按住“Win”键+“R”键，打开“运行”窗口，输入gpedit.msc后回车。依次找到“计算机配置”-“Windows设置”-“安全设置”-“本地策略”-“用户权限

11、分配”，查看是否“从远端系统强制关机”设置为“只指派给Administrators组”。b地Z空已羞说朋W翻上取下讨勿成闽捋询巨曲1十鼻矶Kdnixiistr&tHtsZ3境宅拆祈盖屉亞畴侣敢/枷-15S3t.打印仰丄工去全密r-_.ri:工巨崔粋p为用户15扇-_3誉理全料E碑刃寿誇r-_iBS-的阳刮弄陪-_应W程序控誹.箜IP左全鈕-L査舒柩翔”描隔齐筑卿卿更改裁诩同.期闭施昔启审置去夕3S还原刘舸丘逗舸珮知裁驴戰动理宴捋ZUatnfW拒自减唾E拒经丛朋超茫=：*笔机拒舸过匠丰:&匸箔兰棗拒飪漲务嵌登益拒总作批娅作土登录62：単个删艮啓四淇AE对令伽我IF5.2关闭系统应用查看是否“关闭

12、系统”设置为“只指派给Administrators组”。取得文件或其它对象的所有权查看是否“取得文件或其它对象的所有权”设置为“只指派给Administrators组”。关闭系统默认共享按住”Win”键+”R”键，打开“运行”窗口，输入regedit后回车。宕錚REGControlS&tDD2ControlS-rtOD3CurrentCanlrolSetControlMourrtedDices交杵旧帚证罚i切赣41老助阳1.HARDWARESAMl.iSECURFTVHKEV_CLAS5E5_RDOTHKEV_CURRENT_USER.SOFTWARE.SYSTEM.Control5etODl

13、HKEY_LOCALMACHNEaBCDBDOOOOOO,EnumHardwareProfile-社Policies-.servicesfalhefHKLMSystemCurrentControlSetServicesLanmanServerParameters下，增加REG_DWORD类型的AutoShareServer键，值为0，增加REG_DWORD类型的AutoShareWks键，值为0。=s=去。出回胆。sun一Pd6VS、個、-t纠比显-腮*iZMs /30动播放”，进入设置界面。rrr二关闭硬盅（便用电池）J_关闹用户宴装的臺面小工具二关团敬連新2关间諒和网直快讯的后台同涉关同諱

14、和网页快讯的阖in和尴除童关囲遽和网匡快讯岌现2关闻瞬鹿J?关闻重新打开上烛I览会话2关囲臺面小工具j_关闻瓷源管理器的数据执f施护关汤目趣放童关阖号动根证韦更新二关闹刍动故瞪恢星提示虚关闻司动喚窿；_关園与疏完成与输入面板的集成选择“已启用”，下面的设置窗口选择“所有驱动器”。LSBSSfcSt一-一I回崎甸RE吕对宴ZYteBL包下T喩“域无IEKj咖J=B.(E1BW甫咼出.帧dowi2DMiSi尺帥玉珂王血股疋|聽.盘45件事入归汇H.黃勾舷獣开划卿也上區应取却t.詔在,屢序B注餐龙件印盒H上3法铤立削启KEXPSPS乏的fcv-.SSS下，幻动现賀圧可爭詡5韵陆皿逋茎站.iSTu-a

15、RernowAccessAutu.-RtmowAccessConn.理Rem口De-sktopCd.远屁.f,RemateiProidurBC.KPC.=;RemQePrcKedureC.SVX_RemoteRegistry1SX；RoutingandRemote.u在同.“iHP匚EndpohrMappt?rffetffJ!SecurityAjtcounlsMa.l.vircr二际-.VIiProblemReparitanmPragrarnCompaibili.LjUfe-Si.显示君衲iLiat4BLti：L5U-y需Sa叩forSP.secondaryLogonSecureSeekerT

16、unnel.社衣.1S佬可执订文件瞬轻C.k1jAdjAs.yti32Li27diL5t.-kr&fsvc苦戸“炉*龙甲密；电可1命住曲歸厅旷RemoteDSiklop&w.i口PacketCapt.AllaJJ目功幘址-8.2关闭其他软件安装的不必要服务按住“Win”键+“R”键，打开“运行”窗口，输入msconfig后回车。在“系统配置”窗口中选择“服务”-“隐藏所以Microsoft服务(H)”打钩，则显示所有非Microsoft服务，将不必要服务前面的钩去掉，点击“应用”和“确定”。在系统配置”窗口中选择“启动”，查看哪些服务是开机启动，将没必要的开机启动服务前面的钩去掉。启动顷目We

17、bProtectChiriaMerchants.C:i.ProFilesCMB.HELMSOFTWASEM.KirLgzuttInte.KiTLgzcihtCorpur.ci.prijgi-：iiTitilesl.kL.HELMSOFT.Realte寤清晰E已；iltek5已micutl.C:i.Frogi_：iJTiFil已号Re.HKLMSOFTlffAMM.HTkpp未知C:i.Pi-i：-gr：iniFilesi.CtEC.HKLMSOFTWAHEM.EFul匚匚匚oiLtrol.未知匚:i.Frogr：iniFilesi.yen.HKLMSOFTlffAMM.MicrsoftWi.M

18、icrosuftCorp0.C:i.ii1iridowesysteni3.HKCUSOFTWmM.WbFrotectChit诅Merchants.匚:KFi-c-gr：如iFiltjECMB.HKLMSOFTWmM.SuClci未知C；iFrogr：aniFiles5eg.，HECU50FTlffAJiEM.HPFortiyMo.未知CAPEOGRAlHPHPWEB.C:IFipgi:utiData.-.制苣商匚巨|7巨乂匚常规引导启动工具4I|丄_I全部启用Cl)全部禁用)蘸1取消应用CA)帮助补丁更新终端电脑同步补丁服务器（深圳移动内网补丁服务器），将wsus.re

19、g文件双击导入注册表，wsus.reg内容如下：WindowsRegistryEditorVersion5.00HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftwindowsWindowsUpdateWUServer=WUStatusServer=HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftwindowsWindowsUpdateAUNoAutoUpdate=dword:00000000AUOptions=dword:00000003ScheduledInstallDay=dword:00000000Schedul

20、edInstallTime=dword:00000000UseWUServer=dword:00000001NoAutoRebootWithLoggedOnUsers=dword:00000001导入成功后更新组策略，同步补丁，双击wsus.bat文件，wsus.bat文件内容如下：echooffgpupdate/forcewuauclt/detectnow防病毒软件终端电脑需安装防病毒软件，深圳移动网管网区域安装趋势防病毒软件，通过web页面的形式安装，URL如下：（注意请使用IE浏览器）第一次输入此URL可能会出现，如下情况：*_；:；选择“工具”-”兼容性视图设置”。点击添加”，将10.

21、201.102.2添加到已添加到兼容性视图中的网站（W）”,点击“关闭”。兼容性规彗设崖Q更改兼窖性视囹设畫流加此网站）；I潘如已添加到兼咨性视囹中的网站卽）：10201.102.2刪除00在兼容性视圏中昼示Intranet站点（I昼使用MiCECEOft菠容性列克0D阅读工7止己广口.已七E：口J-DITEiL矚曲了解详细信息关闭点击“立即安装”。旺切*L=U令干.UJiaiK.IT宝王1迥丁丄UL5f /30防毒墙网络版g塞安彌求E55户琳在12计Htn妄然肓心皿IFX2mZ2M3/3MK.Tiita-1?在Z也开欣申雜墓linArnSFED03,ED06Vist*/7弦种苍干附的客户鋁裕期肓法还舌狷IfLQSGfiInittntcSipLorer5.0耳上烏廉不的盍持：.-i：?;rf-:hL-：*?-：“：i-.-aaK9.-ata蹦冉gjdddl-注M0対耳杭v中国、有限也E/rrqndMicemsrparnWd.好曹Bi有包刹*终端监控软件接入深圳移动网管网区域的终端电脑需要安装启明星辰天珣内网安全