Windows操作系统安全防护强制性要求

1、Windows操作系统安全防护强制性要求二一四年五月目录 TOC o 1-5 h z HYPERLINK l bookmark2 o Current Document 系统用户口令及策略加固1 HYPERLINK l bookmark4 o Current Document 系统用户口令策略加固 1 HYPERLINK l bookmark6 o Current Document 用户权限设置1 HYPERLINK l bookmark8 o Current Document 禁用Guest （来宾）帐户 2 HYPERLINK l bookmark10 o Current Document

2、禁止使用超级管理员帐号 3 HYPERLINK l bookmark12 o Current Document 删除多余的账号3 HYPERLINK l bookmark14 o Current Document 日志审核策略配置4 HYPERLINK l bookmark16 o Current Document 设置主机审核策略 4 HYPERLINK l bookmark18 o Current Document 调整事件日志的大小及覆盖策略 4 HYPERLINK l bookmark20 o Current Document 启用系统失败日志记录功能 5 HYPERLINK l bo

3、okmark22 o Current Document 安全选项策略配置5 HYPERLINK l bookmark24 o Current Document 设置挂起会话的空闲时间 5 HYPERLINK l bookmark26 o Current Document 禁止发送未加密的密码到第三方SMB服务器6 HYPERLINK l bookmark28 o Current Document 禁用对所有驱动器和文件夹进行软盘复制和访问 6 HYPERLINK l bookmark30 o Current Document 禁止故障恢复控制台自动登录 6 HYPERLINK l bookma

4、rk32 o Current Document 关机时清除虚拟内存页面文件 7 HYPERLINK l bookmark34 o Current Document 禁止系统在未登录前关机 7 HYPERLINK l bookmark36 o Current Document 不显示上次登录的用户名 7 HYPERLINK l bookmark38 o Current Document 登录时需要按 CTRL+ALT+DEL 8 HYPERLINK l bookmark40 o Current Document 可被缓存的前次登录个数 8 HYPERLINK l bookmark42 o Cur

5、rent Document 不允许SAM帐户和共享的匿名枚举 8 HYPERLINK l bookmark44 o Current Document 不允许为网络身份验证储存凭证或.NET Passports9 HYPERLINK l bookmark46 o Current Document 如果无法记录安全审核则立即关闭系统 9 HYPERLINK l bookmark48 o Current Document 禁止从本机发送远程协助邀请 9 HYPERLINK l bookmark50 o Current Document 关闭故障恢复自动重新启动 9 HYPERLINK l bookm

6、ark52 o Current Document 用户权限策略配置10 HYPERLINK l bookmark54 o Current Document 禁止用户组通过终端服务登录 10 HYPERLINK l bookmark56 o Current Document 只允许管理组通过终端服务登录 10 HYPERLINK l bookmark58 o Current Document 限制从网络访问此计算机 10 HYPERLINK l bookmark60 o Current Document 用户权限策略配置11 HYPERLINK l bookmark62 o Current Do

7、cument 禁止自动登录11 HYPERLINK l bookmark64 o Current Document 禁止光驱自动运行 11 HYPERLINK l bookmark66 o Current Document 启用源路由欺骗保护 11 HYPERLINK l bookmark68 o Current Document 删除IPC共享12 HYPERLINK l bookmark70 o Current Document 网络与服务加固 12 HYPERLINK l bookmark72 o Current Document 卸载、禁用、停止不需要的服务 12 HYPERLINK

8、l bookmark74 o Current Document 禁用不必要进程，防止病毒程序运行 13 HYPERLINK l bookmark76 o Current Document 关闭不必要启动项，防止病毒程序开机启动 22 HYPERLINK l bookmark78 o Current Document 检查是否开启不必要的端口 30 HYPERLINK l bookmark80 o Current Document 修改默认的远程桌面端口 31 HYPERLINK l bookmark82 o Current Document 启用客户端自带防火墙 31检测 DDOS 攻击保护设

9、置 32检测ICMP攻击保护设置 32 HYPERLINK l bookmark84 o Current Document 69检测TCP碎片攻击保护设置 33 HYPERLINK l bookmark86 o Current Document 其他安全性加固34 HYPERLINK l bookmark88 o Current Document 安装防火墙和防病毒软件 34 HYPERLINK l bookmark90 o Current Document 使用NTFS文件系统 34 HYPERLINK l bookmark92 o Current Document 文件权限安全35 HYP

10、ERLINK l bookmark94 o Current Document 未经签名的驱动程序软件安装管理 35 HYPERLINK l bookmark96 o Current Document 屏幕保护36 HYPERLINK l bookmark98 o Current Document 检查数据执行保护 36系统用户口令及策略加固系统用户口令策略加固实施名称：系统用户口令策略加固系统当前状态：查看系统 本地安全设置”-帐户策略”中“密码策略”和 账号锁 定策略”当前情况实施方案：密码必须符合复杂性要求：启用密码长度最小值 8个字符 密码最长使用期限：90天强制密码历史：24个记住的密

11、码帐户锁定阀值：3次无效登录帐户锁定时间：15分钟复位帐户锁定计数器：15分钟之后策略更改后，督促现有用户更改其登录口令以符合最新策略要求。实施目的：保障用户账号及口令的安全，防止口令猜测攻击。实施风险：无1.2.用户权限设置实施名称：禁止除管理员外的一般用户远程登录计算机或关闭计算机，冋时 禁止无用帐号的登录，可以防止恶意用户通过破解一般低权限的 用户口令后使用该用户登录进行提权攻击。系统当前状态：开始 t 运行 t gpedit.msc计算机配置 t Windows设置 t 安全设置 t 本地策略 t 用户权利指派实施方案：1 参考配置操作检查用户权限策略是否设置：开始 t 运行 t gp

12、edit.msc计算机配置 t Windows设置 t 女全设置 t 本地策略 t 用 户权利指派此处有较多选项，建议对以下四项进行检查：从网络访问此计算机（可选）从远程系统强制关机拒绝本地登录建议做如下设置：从远程系统强制关机的权利仅指派给Admi ni strators设置取得文件或其它对象的所有权为只指派给Admi ni strators组拒绝本地登录 ：IUSR_MACHINENAME、IWAN_MACHINENAME等不需要使用的用户设置元成后使用 secedit /refreshpolicymachine_policy命令刷新策略以快速生效（建议重新启动系统）2.补充操作说明如果设

13、备需要文件共享，则不应设置从网络访问此计算机项实施目的：禁止除管理员外的一般用户远程登录计算机或关闭计算机，冋时 禁止无用帐号的登录实施风险：无1.3. 禁用Guest （来宾）帐户实施名称：禁用Guest帐号，降低被攻击的风险系统当前状态：进入控制面板- 管理工具-计算机管理”，在系统工具- 本地用 户和组-用户”实施方案：1、参考配置操作进入控制面板- 管理工具-计算机管理”，在系统工具- 本地用户和组-用户”：Guest帐号-属性 已停用实施目的：禁用Guest帐号，降低被攻击的风险实施风险：无1.4.禁止使用超级管理员帐号实施名称：防止系统被入侵后，入侵者直接获取最高用户权限系统当前状

14、态：进入控制面板- 管理工具-计算机管理”，在系统工具- 本地用户和组-用户”实施方案：XP系统多用于日常办公使用，可禁止使用超级管理员账号，一般 日常办公使用普通用户1、参考配置操作进入控制面板- 管理工具-计算机管理”，在系统工具- 本地用 户和组-用户”：右键一 新用户一 自定义用户名2.补充操作说明默认新加的用户为普通用户权限，建议安装软件安装在非系统盘 下。实施目的：防止系统被入侵后直接获取最高用户权限实施风险：无1.5.删除多余的账号实施名称：删除或禁用多余的系统账号系统当前状态：实施方案：开始一控制面板一管理工具一计算机管理 一本地用户和组 一用户：删除或者禁用多余的账号，建议只

15、保留一个当前使用的账号实施目的：关闭多余的系统账号实施风险：无日志审核策略配置设置主机审核策略实施名称：设置主机审核策略系统当前状态：在 本地安全策略”-本地策略”中查看系统 审核策略”实施方案：审核策略更改成功，失败审核登录事件成功，失败 审核对象访问失败审核目录服务访问成功，失败审核特权使用失败审核系统事件成功，失败 审核账户登录事件成功，失败 审核帐户管理成功，失败实施目的：对重要事件进行审核记录，便于问题的追溯。实施风险：无22 调整事件日志的大小及覆盖策略实施名称：调整事件日志的大小及覆盖策略系统当前状态：日志类型日志大小覆盖策略应用程序日志 K覆盖早于天的日志安全日志 K覆盖早于天

16、的日志系统日志K覆盖早于天的日志实施方案：右键点击 我的电脑”-管理”-事件查看器”-右键点击 系统”-属 性”-修改最大文件大小” 日志类型日志大小覆盖策略应用程序日志 80000 K覆盖早于 30天的日志安全日志80000 K覆盖早于 30天的日志系统日志80000K覆盖早于 30天的日志其他日志（如存在）80000 K覆盖早于 30天的日志实施目的：增加日志文件的容量，避免由于日志文件容量过小导致重要日志 记录遗漏实施风险：无启用系统失败日志记录功能实施名称：启用系统失败日志记录功能系统当前状态：右键 我的电脑”-属性”-高级”-启动和故障恢复”-设置”实施方案：1、参考配置操作右键我的

17、电脑”-属性”-高级”-启动和故障恢复”-设置”，将 将事件写入系统日志”、发送管理警报”这两项的勾上。再将下面的 写入调试信息”设置为 完全内存存储”实施目的：启用系统失败日志记录功能实施风险：无安全选项策略配置设置挂起会话的空闲时间实施名称：设置Microsoft网络服务器挂起会话的空闲时间系统当前状态：查看系统当前设置实施方案：在管理工具- 本地安全策略- 选择本地策略- 选择安全选项-Microsoft网络服务器：在挂起会话之前所需的空闲时间（小于等于5分钟）实施目的：设置挂起会话之前所需的空闲时间为5分钟实施风险：无禁止发送未加密的密码到第三方SMB服务器实施名称：Microsoft

18、网络客户端：发送未加密的密码到第三方SMB服务器系统当前状态：查看系统当前设置实施方案：在管理工具- 本地安全策略- 选择本地策略- 选择安全选项-Microsoft网络客户端：发送未加密的密码到第三方SMB服务器（已禁用）实施目的：禁止发送未加密的密码到第三方SMB服务器实施风险：无禁用对所有驱动器和文件夹进行软盘复制和访问实施名称：故障恢复控制台：允许对所有驱动器和文件夹进仃软盘复制和访 问系统当前状态：查看系统当前设置：实施方案：在管理工具- 本地安全策略- 选择本地策略- 选择安全选项- 故障恢复控制台：允许对所有驱动器和文件夹进行软盘复制和访冋（禁用）实施目的：Windows控制台恢

19、复的另一个特性是它禁止访冋硬盘驱动器上 的所有文件和目录。它仅允许访问每个卷的根目录 和systemroot%目录及子目录，即使是这样它还限制不允许把硬 盘驱动器上的文件拷贝到软盘上。实施风险：无禁止故障恢复控制台自动登录实施名称：故障恢复控制台：允许自动系统管理级登录系统当前状态：查看系统当前设置：实施方案：在管理工具- 本地安全策略- 选择本地策略- 选择安全选项- 故 障恢复控制台：允许自动系统管理级登录（禁用）实施目的：防止非法用户通过恢复控制台（无需密码）自动登录到系统实施风险：无35关机时清除虚拟内存页面文件实施名称：关机时清除虚拟内存页面文件系统当前状态：查看系统当前设置：实施方

20、案：在管理工具- 本地安全策略- 选择本地策略- 选择安全选项- 关 机：清除虚拟内存页面文件（启用）实施目的：页面文件中可能含有敏感的资料，关机的时候清除虚拟内存页面 文件，防止造成意外的信息泄漏。实施风险：无36 禁止系统在未登录前关机实施名称：关机：允许系统在未登录前关机系统当前状态：查看系统当前设置：实施方案：在管理工具- 本地安全策略- 选择本地策略- 选择安全选项- 关 机：允许系统在未登录前关机（禁用）实施目的：禁止用户未登录系统状态下关闭计算机实施风险：无不显示上次登录的用户名实施名称：交互式登录：不显示上次的用户名系统当前状态：查看系统当前设置：实施方案：在管理工具- 本地安

21、全策略- 选择本地策略- 选择安全选项- 交互式登录：不显示上次的用户名（启用）实施目的：登录时不显示上次的用户名，防止暴露用户名。实施风险：无登录时需要按 CTRL+ALT+DEL实施名称：交互式登录：不需要按Ctrl+Alt+Del系统当前状态：查看系统当前设置：实施方案：在管理工具- 本地安全策略- 选择本地策略- 选择安全选项- 交互式登录：不需要按Ctrl+Alt+Del （禁用）实施目的：登录时需要按 CTRL+ALT+DEL 。实施风险：无可被缓存的前次登录个数实施名称：交互式登录：可被缓存的前次登录个数（在域控制器不可用的情 况下）系统当前状态：查看系统当前设置：实施方案：在管

22、理工具- 本地安全策略- 选择本地策略- 选择安全选项- 交 互式登录：可被缓存的前次登录个数（设置缓存数为3-5，此项对域服务器无效。）实施目的：减少用户在本地缓存的登录信息，防止敏感信息泄露实施风险：无3.10.不允许SAM 帐户和共享的匿名枚举实施名称：网络访问：不允许 SAM帐户和共享的匿名枚举系统当前状态：查看系统当前设置：实施方案：在管理工具- 本地安全策略- 选择本地策略- 选择安全选项- 网 络访问：不允许 SAM帐户和共享的匿名枚举（启用）实施目的：禁止使用匿名用户空连接枚举系统敏感信息实施风险：无3.11.不允许为网络身份验证储存凭证或.NET Passports实施名称：

23、网络访问：不允许为网络身份验证储存凭证或.NET passports系统当前状态：查看系统当前设置：实施方案：在管理工具- 本地安全策略- 选择本地策略- 选择安全选项- 网 络访问：不允许为网络身份验证储存凭证或.NET passports（启用）实施目的：不允许为网络身份验证储存凭证或.NET passports实施风险：无如果无法记录安全审核则立即关闭系统实施名称：审核：如果无法记录安全审核则立即关闭系统系统当前状态：查看系统当前设置：实施方案：在管理工具- 本地安全策略- 选择本地策略- 选择安全选项- 审 核：如果无法记录安全审核则立即关闭系统（启用）实施目的：如果无法记录安全审核则

24、立即关闭系统实施风险：无禁止从本机发送远程协助邀请实施名称：禁止从本机发送远程协助邀请系统当前状态：查看系统当前设置：实施方案：右键 我的电脑”-属性”-远程”-去除 允许从这台计算机发送远程 协助邀请”前的勾实施目的：禁止从本机发送远程协助邀请实施风险：无关闭故障恢复自动重新启动实施名称：关闭故障恢复自动重新启动系统当前状态：查看系统当前设置：实施方案：右键我的电脑”-属性”-高动重新启动”前的勾级”-启动和故障恢复设置”-去除自实施目的：禁止故障恢复自动重新启动实施风险：无用户权限策略配置禁止用户组通过终端服务登录实施名称：通过终端服务拒绝登录：添加Guests User组系统当前状态：查

25、看系统当前设置：实施方案：在管理工具- 本地安全策略-选择本地策略-选择用户权限分配-通过终端服务拒绝登录”中添加 Guests、User组实施目的：禁止用户组通过终端服务拒绝登录实施风险：无42 只允许管理组通过终端服务登录实施名称：通过终端服务允许登录：删除所有用户组系统当前状态：查看系统当前设置：实施方案：在管理工具- 本地安全策略-选择本地策略-选择用户权限分配-关闭系统”中删除所有用户组实施目的：禁止通过终端服务登录实施风险：无限制从网络访问此计算机实施名称：从网络访问此计算机中删除BackupOperators系统当前状态：查看系统当前设置：实施方案：在管理工具- 本地安全策略-选

26、择本地策略-选择用户权限分配-从网络访问此计算机”中删除BackupOperators实施目的：从网络访问此计算机中删除BackupOperators实施风险：无用户权限策略配置5.1.禁止自动登录实施名称：禁止自动登录系统当前状态：实施方案：禁止自动登录：编辑注册表HKLMSoftwareMicrosoftWi ndowsNTCurre ntVersio nWin logo nAutoAdmi nLogo n(REG_DWORD)值设置为0 (如无需新建)实施目的：禁止自动登录实施风险：无52 禁止光驱自动运行实施名称：禁止光驱自动运行系统当前状态：实施方案：禁止自动登录：编辑注册表HKLM

27、SystemCurre ntCo ntrolSetServicesCDromAutorun(REG_DWORD) 值设置为0 (如无需新建)实施目的：禁止CD自动运行实施风险：无启用源路由欺骗保护实施名称：启用源路由欺骗保护系统当前状态：实施方案：启用源路由欺骗保护：编辑注册表HKLMSystemCurre ntC on trolSet ServicesTcpipParameters新建(REG_DWORD)值名称为DisablelPSourceRouting 参数为2实施目的：防护在网络上发生的源路由欺骗实施风险：无，如服务器启用路由功能，则会影响相关功能。5.4. 删除IPC共享实施名称：

28、删除IPC共享系统当前状态：使用net share命令查看系统当前的共享资源：实施方案：禁用IPC连接：打开注册表编辑器，依次展开HKEY_LOCAL_MACHINESYSTEMCurre ntCo ntrolSetCo ntrolLsa 分支,在右侧窗口中找到restrictanonymous子键，将其值改1即可。删除服务器上的管理员共享：HKLMSystemCurre ntCon trolSetServicesLa nman ServerParametersAutoShareServer (如无需新建)(REG_DWORD)值参数为 0如系统存在其他人为设置共享，建议删除。实施目的：删除主

29、机因为管理而开放的共享，减小安全风险实施风险：某些应用软件可能需要系统默认共享，应询问管理员确认。网络与服务加固卸载、禁用、停止不需要的服务实施名称：卸载、禁用、停止不需要的服务系统当前状态：检测分析系统已启动的不必要的服务包括：实施方案：停止、禁用不需要的服务，如有必要则卸载已安装的服务。下面列出部分服务以做参考：AlerterClipbookComputer BrowserInternet Conn ecti on Shari ngMesse ngerRemote Registry ServiceRouti ng and Remote AccessServerShell Hardware

30、Detecti onTCP/IP NetBIOS Helper ServiceTermi nal ServicesTask SchedulerTe In etTermi nal ServicesSimple Mail Trasfer Protocol(SMTP)Simple Network Ma nageme nt Protocol(SNMP) ServiceSimple Network Man ageme nt Protocol(SNMP) TrapWorld Wide Web Publishi ng Service实施目的：避免未知漏洞给主机带来的潜在风险实施风险：可能由于管理员对主机所开

31、放服务不了解，导致有用服务被停止 或卸载。实施前请与相关应用开发厂商联系确认该服务与业务应 用无关联。62 禁用不必要进程，防止病毒程序运行实施名称：大部分恶意程序、病毒、脚本运行均会显示相应的进程，在微软停止对XP系统服务后，应加强日常的安全管理，禁用不必要的进程或程序，降低系统风险，同时减少系统资源使用。系统当前状态：开始 -运行 -输入tasklist实施方案：停止、禁用不需要的进程，如有必要则禁用已安装的程序。 卜面列出部分病毒进程名以做参考：180ax.exea.exeactalert.exe adaware.exe Alchem.exe alevir.exe aqadcup.exe

32、 archive.exe arr.exe ARUpdate.exe asm.exe av.exe avserve.exe avserve2.exe backWeb.exe barga in s.exe basfipm.exe belt.exe Biprep.exe blss.exe bokja.exe bootc on f.exe bpc.exe brasil.exe Buddy.exe bun dle.exe bvt.execashback.exe cmd32.exe cmesys.exe coni me.exe con scorr.exe crss.exe cxtpls.exe datem

33、a nager.exe dcomx.exe Desktop.exe directs.exe divx.exe dllreg.exe dmserver.exe dpi.exe dssage nt.exe dvdkeyauth.exe emsw.exeexdl.exeexec.exe explore.exe explored.exe Fash.exe ffisearch.exe fntldr.exe fsg_4104.exe FVProtect.exe game.exe gator.exegmt.exe goidr.exe hbin st.exe hbsrv.exe hwclock.exe hxd

34、l.exe hxiul.exe iedll.exe iedriver.exe iexplorer.exe in fus.exe in fwi n.exe in tdel.exe isass.exe istsvc.exe jawa32.exe jdbgmrg.exe kazza.exe kee nvalue.exe kern el32.exe lass.exe lmu.exe loader.exe lssas.exe mapisvc32.exe mario.exe md.exe mfin 32.exe mmod.exemostat.exe msapp.exe msbb.exe msblast.e

35、xe mscache.exe msec n32.exe mscma n. exe msdm.exe msgfix.exe msiexec16.exe ms in fo.exe mslage nt.exe mslaugh.exe msmc.exe msmgt.exe msmsgri32.exe MSN.exe msrexe.exe mssvc32.exe mssys.exe msvxd.exe mwsoem on. exe mwsvm.exe n etd32.exe n ls.exe n ssys32.exe n stask32.exe n supdate.exe n tfs64.exeNTOS

36、A32.exe omni scie nt.exe on srvr.exe optimize.exe P2P Networki ng.exe pcsvc.exe pgm on itr.exe PIB.exepowersca n. exe prizesurfer.exe prmt.exe prmvr.exe ray.exe rb32.exe rcsyn c.exe rk.exe run 32dll.exe run dll16.exe ruxdll32.exe saap.exe sahage nt.exe saie.exe sais.exe salm.exe satmat.exe save.exe

37、saveno w.exe sc.exe scam32.exescrsvr.exe scvhost.exe SearchUpdate33.exe SearchUpgrader.exe soap.exe spoler.exeSsk.exe start.exe stcloader.exe Susp.exe svc.exe svchosts.exe svshost.exe Syn croAd.exe sysfit.exe system.exe system32.exe tb_setup.exe teekids.exe tibs3.exe trickler.exe ts.exe ts2.exe tsa.

38、exe tsadbot.exe tsl.exe tsm2.exe Tvm.exe tvmd.exetvtmd.exe update.exe updater.exe updmgr.exe VVSN.exe wast.exe web.exe webdav.exe webrebates.exe webrebates0.exe win-bugsfix.exe win_upd2.exe win 32.exe win 32us.exe wi nactive.exe win ad.exe win adalt.exe win adctl.exe Win AdTools.exe WINdirect.exe wi

39、n dows.exe win go.exe winin etd.exe winin it.exe wi nlock.exe win logi n.exe wi nm ai n.exe winn et.exe win ppr32.exewi nrarshell32.exe Win Ratchet.exe Win Sched.exe win serv n. exe win shost.exe win ssk32.exe wi nstart.exe win start001.exe Win StatKeep.exe win taskad.exe Win time.exe win tsk32.exe

40、winu pdate.exe winu pdt.exe winu pdtl.exe win xp.exe wmon 32.exe wn ad.exe wo.exe wovax.exe wsup.exe wsxsvc.exe wtoolsa.exe WToolsA.exe wtoolss.exe wuamgrd.exe wupdate.exe wupdater.exe wupdmgr.exewupdt.exeXhrmy.exey.exe实施目的：删除不必要的进程或程序，降低系统风险，同时减少系统资源使 用实施风险：无63关闭不必要启动项，防止病毒程序开机启动实施名称：大部分恶意程序、病毒、脚本均

41、是通过启动项来实现程序启动， 禁用不必要的主机开机启动脚本及程序，降低系统风险。系统当前状态：开始-运行-输入msconfig检查系统启动项目实施方案：停止、禁用不需要的启动项，如有必要则禁用不需要的启动项。 下面列出部分病毒启动项以做参考：180ax.exea.exeactalert.exeadaware.exeAlchem.exealevir.exeaqadcup.exearchive.exearr.exeARUpdate.exeasm.exeav.exeavserve.exeavserve2.exebackWeb.exebarga in s.exebasfipm.exe belt.exe

42、 Biprep.exe blss.exe bokja.exe bootc on f.exe bpc.exe brasil.exe Buddy.exe bun dle.exe bvt.exe cashback.exe cmd32.exe cmesys.exe coni me.exe con scorr.exe crss.exe cxtpls.exe datema nager.exe dcomx.exe Desktop.exe directs.exe divx.exe dllreg.exe dmserver.exe dpi.exe dssage nt.exe dvdkeyauth.exe emsw

43、.exeexdl.exeexec.exe explore.exe explored.exe Fash.exe ffisearch.exe fntldr.exe fsg_4104.exe FVProtect.exe game.exe gator.exe gmt.exe goidr.exe hbin st.exe hbsrv.exe hwclock.exe hxdl.exe hxiul.exe iedll.exe iedriver.exe iexplorer.exe in fus.exein fwi n.exe in tdel.exe isass.exe istsvc.exe jawa32.exe

44、 jdbgmrg.exe kazza.exekee nvalue.exe kern el32.exe lass.exe lmu.exe loader.exe lssas.exe mapisvc32.exe mario.exe md.exe mfin 32.exe mmod.exe mostat.exe msapp.exe msbb.exe msblast.exe mscache.exe msec n32.exe mscma n. exe msdm.exe msgfix.exe msiexec16.exe ms in fo.exe mslage nt.exe mslaugh.exe msmc.e

45、xe msmgt.exe msmsgri32.exe MSN.exe msrexe.exemssvc32.exe mssys.exe msvxd.exe mwsoem on. exe mwsvm.exe n etd32.exe n ls.exe n ssys32.exe n stask32.exe n supdate.exe n tfs64.exe NTOSA32.exe omni scie nt.exe on srvr.exe optimize.exe P2P Networki ng.exe pcsvc.exe pgm on itr.exe PIB.exe powersca n. exe p

46、rizesurfer.exe prmt.exe prmvr.exe ray.exe rb32.exe rcsyn c.exe rk.exe run 32dll.exe run dll16.exeruxdll32.exe saap.exe sahage nt.exe saie.exe sais.exe salm.exe satmat.exe save.exe saveno w.exe sc.exe scam32.exe scrsvr.exe scvhost.exe SearchUpdate33.exe SearchUpgrader.exe soap.exe spoler.exeSsk.exe s

47、tart.exe stcloader.exe Susp.exe svc.exe svchosts.exe svshost.exe Syn croAd.exe sysfit.exe system.exe system32.exe tb_setup.exeteekids.exe tibs3.exe trickler.exe ts.exe ts2.exe tsa.exe tsadbot.exe tsl.exe tsm2.exe Tvm.exe tvmd.exe tvtmd.exe update.exe updater.exe updmgr.exe VVSN.exe wast.exe web.exe

48、webdav.exe webrebates.exe webrebates0.exe win-bugsfix.exe win_upd2.exe win 32.exe win 32us.exe wi nactive.exe win ad.exe win adalt.exe win adctl.exeWin AdTools.exe WINdirect.exe win dows.exe win go.exe winin etd.exe winin it.exe wi nlock.exe win logi n.exe wi nm ai n.exe winn et.exe win ppr32.exe wi

49、 nrarshell32.exe Win Ratchet.exe Win Sched.exe win serv n. exe win shost.exe win ssk32.exe wi nstart.exe win start001.exe Win StatKeep.exe win taskad.exe Win time.exe win tsk32.exe winu pdate.exe winu pdt.exe winu pdtl.exe win xp.exe wmon 32.exe wn ad.exewo.exe wovax.exe wsup.exe wsxsvc.exe wtoolsa.

50、exe WToolsA.exe wtoolss.exe wuamgrd.exe wupdate.exe wupdater.exe wupdmgr.exe wupdt.exe Xhrmy.exe y.exe实施目的：禁用不必要的启动服务，防止恶意程序自动运行。实施风险：无检查是否开启不必要的端口实施名称：在微软停止对XP系统的服务后，XP系统将面临更多的安全风险。关闭不必要的端口， 可减少主机暴露的风险，加强系统的安全性。系统当前状态：开始 -运行 -cmd，输入 netstat -an实施方案：参考配置操作开始 -运行 -cmd，输入 netstat -ano补充操作说明查询结果如发现某个端口

51、已开启，查通过查询进程对应PID进行关闭实施目的：关闭不必要的端口，减少主机暴露的风险。实施风险：无65修改默认的远程桌面端口实施名称：检查远程桌面（RDP ）服务端口系统当前状态：运行命令regedit打开注册表编辑器，浏览到路径“ HKEY_LOCAL_MACHINE SYSTEMCurrentControlSetControlTerminalServerWinStationsRDP- Tcp ”实施方案：打开命令提示符，运行命令regedit打开注册表编辑器，浏览到路径“ HKEY_LOCAL_MACHINE SYSTEMCurrentControlSetControlTerminal

52、ServerWinStationsRDP-Tcp ”，修改名称为 “ PortNumber的数值的数据， 使其不等于标准值（注意：标准值为 16进制表示）。此数据的有效值为 1-65535实施目的：修改默认的远程桌面（RDP ）服务端口，减少主机暴露的风险。实施风险：无6.6.启用客户端自带防火墙实施名称：启用客户端自带防火墙系统当前状态：打开 控制面板”选择“WINDOWS防火墙”实施方案：1 参考配置操作打开 控制面板”选择“WINDOWS防火墙”点选 启用”选项 建议屏敝以下端口：TCP 135TCP 139TCP 4452.补充操作说明TCP 139和TCP 445作为 Windows

53、的SMB和CIFS主要通信端口， 如果将这两个端口关闭，则意味着该系统无法作为文件共享服务 器。3如启用了第二方防火墙，此windows防火墙可不启用实施目的：在微软停止对XP系统的服务后，XP系统将面临更多的安全风险。为了将风险降低到最低，应加强安全意识的管理。启用系统自带防火墙，能够降低系统遭受远程入侵和病毒攻击的风险。实施风险：无6.7. 检测DDOS攻击保护设置实施名称：检测DDOS攻击保护设置系统当前状态：开始- 运行- 键入 regedit,在注册表项HKEY_LOCAL_MACHINESYSTEMCurre ntCo ntrolSetServicesTcpipParameters

54、 下实施方案：1 参考配置操作在开始- 运行- 键入 regedit,在注册表项HKEY_LOCAL_MACHINESYSTEMCurre ntCo ntrolSetServicesT cpipParameters下，修改以下几个值：值名称为SynAttackProtect,推存值为2;值名称为 TcpMaxPortsExhausted=5值名称为 TcpMaxHalfOpen=500值名称为 TcpMaxHalfOpenRetried=400值名称为EnableICMPRedirect=标准值2.补充操作说明注册表如没有对应的项，则新建实施目的：设置syn相关参数。实施风险：无6.8. 检测ICMP攻击保护设置实施名称：检测ICMP攻击保护设置系统当前状态：打开命令提示符，运行命令 regedit打开注册表编辑器，浏览到路径“ HKEY_LOCAParameters ”实施方案：1 参考配置操作打开命令提示符，运行命令regedit打开注册表编辑器，浏览到路径“ HKEY_LOCAL_MACHINEParamet