Windows操作系统安全防护指导手册

2 8 12加固项目名称加固编号加固说明适用版本操作步骤用户权限策略配置按照仅授予管理用户最小权限的原则设置安全管理员、审计管理员和系统管理员，安全管理员隶属于BackupOperators和PowerUsers组，审计管理员隶属于EventLogReaders和PerformanceLogUser组，系统管理员隶属于NetworkConfigurationOperators组，建立三权分立的安全策略。（适用于服务器或公Win2000、WinXP、Win2003、Win7、Win20081.按下+R，输入框输入winver，确认系统版本。2.按下+R，输入框输入compmgmt.msc，进入“计算机管理->本地用户和组->和系统管理员（sysadmin3.安全管理员权限配置在WinXP、Win2003、Win7和Win2008：立即查找”，同时选择BackupOperators和PowerUsers组，点击确定；3择BackupOperators和PowerUsers组，点击确定；4.审计管理员权限配置立即查找”，同时选择EventLogReaders和PerformanceLogUser组，点击确在Win2000、WinXP和Win2003：审计管理员隶属于Users组，进入“控制面板->管理工具->本地安全策略->本地5.系统管理员权限配置4定在Win2003和WinXP：ConfigurationOperators组，点击确定；6.Administrator用户改名进入“控制面板->管理工具->本地安全策略->本地策略->安全选项”，双击“帐备注建议各管理员所具有的权（1）安全管理员（secadmin备份或还原文件；（2）审计管理员（audadmin管理系统的各种日志信息；（3）系统管理员（sysadmin更改文件所有权/重新启动或关闭系统/设置主机名/配置网卡参数/IP防火墙的管理/配置所有的对外服务。加固项目名称加固项目名称删除或禁用系统无关用户5加固编号加固说明Windows-01-01-02加固编号加固说明删除、禁用或锁定与设备运行、维护等工作无关的账户，避免无关账户被黑客利适用版本操作步骤适用版本操作步骤1.按下+R，输入框输入compmgmt.msc；2.进入“计算机管理->系统工具->本地用户和组->用户”；6（2）进入安全系统环境，按下Ctrl+Alt+Del两次，进入登录界面，输入用户名为administrator，密码为账户禁用前的密码；（3）在命令行中输入，netuseradministrator/active，启用administrator；（7）正常启动系统，可以进入administrator。备注建议在进行加固之前，在测试环境中进行测试，确认取消administrator对系统应用的影响，避免由于此加固项导致系统应用异常。由于加固过程中部分操作需要administrator权限，建议在完成所有加固项之后，再进行此项加固中的第五步。加固项目名称加固编号屏幕保护程序时间设置加固项目名称加固编号Windows-01-01-037操作系统设置开启屏幕保护，并将时间设定为5操作系统设置开启屏幕保护，并将时间设定为5分钟，避免非法用户使用系统。Win2000、WinXP、Win2003、Win7、Win2008加固说明适用版本操作步骤1.进入屏幕保护程序在Win7：进入“控制面板->显示->个性化->屏幕保护程序”；在Win2000、WinXP、Win2003和Win2008：进入“控制面板->显示->屏幕保2.选择屏幕保护程序界面，设置“等待”为5，点击确定；加固项目名称系统重要数据访问控制加固编号加固说明Windows-01-01-04应启用访问控制功能，依据安全策略控制用户对资源的访问，防止系统重要数据适用版本操作步骤Win2000、WinXP、Win2003、Win7、Win20081.修改文件夹选项在Win2000、Win2003、Win7和Win2008：默认不需要修改；在WinXP：默认不开启文件夹安全选项，需要手工开启，进入“工具->文件夹82.确认系统中的重要数据或文件；3.进入到需要进行访问控制的文件或目录；4.配置权限对相应的用户（组）设置合理的权限；备注根据系统确定重要数据范围，建议加固前在模拟系统中先进行测试。加固项目名称用户账户复杂度策略加固编号加固说明Windows-01-02-01口令长度不小于8位，由字母、数字和特殊字符组成，不得与账户名相同，避免9适用版本操作步骤Win2000、WinXP、Win2003、Win7、Win20081.进入“控制面板->管理工具->本地安全策略->帐户策略->密码策略”；加固项目名称用户登录失败锁定加固编号加固说明Windows-01-02-02配置当用户连续认证失败次数超过5次，锁定该用户使用的账户10分钟，避免账户被恶意用户暴力破解。适用版本操作步骤Win2000、WinXP、Win2003、Win7、Win20082.双击“帐户锁定阀值”设置，设置无效登录次数为5次，点击确定；3.双击“帐户锁定时间”设置，设置锁定时间10分钟，点击确定。加固项目名称用户口令周期策略加固编号加固说明适用版本操作步骤Windows-01-02-03设置账户口令的生存期不长于90天，避免密码泄露。Win2000、WinXP、Win2003、Win7、Win20081.进入“控制面板->管理工具->本地安全策略->帐户策略->密码策略”；加固项目名称用户口令过期提醒加固编号加固说明适用版本操作步骤Windows-01-02-04密码到期前提示用户更改密码，避免用户因遗忘更换密码而导致账户失效。Win2000、WinXP、Win2003、Win7、Win20081.进入“控制面板->管理工具->本地安全策略->本地策略->安全选项”；“交互式登录：提示用户在过期之前更改密码”在WinXP和Win2003中为“交加固项目名称系统不显示上次登录用户名加固编号加固说明适用版本操作步骤Windows-01-02-05操作系统不显示上次用户名，避免用户名泄露。Win2000、WinXP、Win2003、Win7、Win20081.进入“控制面板->管理工具->本地安全策略->本地策略->安全选项”；“交互式登陆：不显示最后的用户名”在WinXP和Win2003中为“交互式登陆：加固项目名称加固编号补丁更新加固项目名称加固编号Windows-01-03-01加固说明安装官方补丁，严禁安装第三方补丁，避免被黑客或恶意代码利用已知的安全漏加固说明适用版本操作步骤Win2000、WinXP、Win2003、Win7、Win适用版本操作步骤1.打开命令控制台，输入systeminfo，查看主机现有的补丁编号；;2.查看当前系统漏洞是否已安装补丁包；3.在微软官方网站下载对应补丁包（/zh-cn4.验证补丁包HASH值，在官方网站搜索所需要安装补丁包的更新说明；5.打开对应网页查看文件哈希信息；7.验证哈希信息正确后，安装补丁包程序。备注1.附件1《Windows重大高危漏洞与加固时必须安装对应补丁包。除附件1中已列洞补丁发布情况，针对其他可能导致系统远程命令执行的高危漏洞，补充安装对2.微软已停止对2.微软已停止对WinXP、Win2000、Win2003的技术支持，建议尽快更换系统。加固项目名称禁止用户修改IP加固编号加固说明适用版本Windows-01-04-01规范主机网络配置管理，禁止用户任意更换IP。Win2000、WinXP、Win2003、Win7、Win2008操作步骤2.进入“用户配置->管理模板->网络->网络连接”；如果业务需要修改IP，可临时取消，修改完成后重新加固。加固项目名称禁止用户更改计算机名加固编号加固说明适用版本Windows-01-04-02Win2000、WinXP、Win2003、Win7、Win2008操作步骤2.进入“用户配置->管理模板->桌面”；加固项目名称加固编号加固说明适用版本操作步骤删除默认路由配置Windows-01-04-03主机禁止使用默认路由，避免利用默认路由探测网络。Win2000、WinXP、Win2003、Win7、Win20083.以管理员身份打开命令提示符，输入routedelete，删除默认路由。在删除默认路由之前，应对路由表进行梳理，并添加具体业务的路由策略。加固项目名称关闭默认共享加固编号适用版本加固说明操作步骤Windows-01-04-04Win2000、WinXP、Win2003、Win7、Win2008关闭Windows硬盘默认共享，防止黑客从默认共享进入计算机窃取资料。2.查看右侧窗口，选择对应的共享文件夹（例如C$，D$，ADMIN$，IPC$等右加固项目名称操作系统用户账户控制设置（UAC）的配置加固编号加固说明Windows-01-04-05开启用户账户控制设置（UAC设置为仅在程序尝试对计算机进行更改时通知用适用版本操作步骤Win7、Win20081.进入“开始->控制面板->用户账户和家庭安全->用户账户”；加固项目名称禁止未登录关机加固编号加固说明适用版本操作步骤Windows-01-04-06设置Windows登录屏幕上不显示关闭计算机的选项，避免用户名暴露。Win2000、WinXP、Win2003、Win7、Win2008备注“关机:允许系统在未登录的情况下关闭”在Win2003中为“关机:允许系统加固项目名称关机时清除虚拟内存页面文件加固编号加固说明适用版本操作步骤Windows-01-04-07设置关机时清除虚拟内存页面文件，避免虚拟内存信息通过硬盘泄露。Win2000、WinXP、Win2003、Win7、Win20081.进入“开始->控制面板->管理工具->本地安全策略”；2.进入“安全设置->本地策略->安全选项”；加固项目名称禁止非管理员关机加固编号加固说明Windows-01-04-08仅允许Administrators组进行远端系统强制关机和关闭系统，避免非法用户关适用版本操作步骤Win2000、WinXP、Win2003、Win7、Win20081.进入“开始->控制面板->管理工具->本地安全策略->本地策略->用户权限分2.分别双击“关闭系统”和“从远程系统强制关机”选项，仅配置系统管理员加固项目名称卸载无关软件加固编号加固说明适用版本操作步骤Windows-01-05-01按照最小安装的原则，删除操作系统中与业务无关的软件。Win2000、WinXP、Win2003、Win7、Win20081.确认系统中必须安装的软件列表；2.删除与业务系统无关的软件无关的软件，选择需要卸载的软件，右键选择“卸载/更改”按钮，卸载完成。在Win2000、WinXP和Win2003：进入“开始->控制面板->添加或删除程序”，查找与系统业务无关的软件，选择需要卸载的软件，右击选择“删除”按钮，卸禁止安装与工作无关或存在安全漏洞的软件，应按照如下原则安装软件：1.工作站：仅安装系统客户端的基础运行环境和文档编辑（WPS解压缩2.服务器：仅安装承载业务系统运行的基础软件环境。加固项目名称加固编号加固说明适用版本操作步骤关闭不必要的服务Windows-02-01-01应遵循最小安装的原则，仅安装和开启必需的服务，避免系统中存在不必要的服Win2000、WinXP、Win2003、Win7、Win20083.双击需要关闭的服务，点击停止按钮以停止当前正在运行的服务；4.将启动类型设置为禁用，点击确定。在执行系统加固前确认系统应用无需使用该服务。ServerAlerter（Win7、Win2008不适用）Clipbook（Win7、Win2008不适用）ComputerBrowserDHCPClientMessenger（Win7、Win2008不适用）RemoteRegistryService（Win7、Win2008不适用）RoutingandRemoteAccessSimpleMailTrasferProtocol(SMTP)（Win2000不适用）SimpleNetworkManagementProtocol(SNMP)Service（WinXP、Win2000不SimpleNetworkManagementProtocol(SNMP)Trap（WinXP、Win2000不适TelnetWorldWideWebPublishingService（WinXP、Win2000不适用）PrintSpoolerTerminalService（Win2000不适用）TaskScheduler（可选）Messengernetsend（WinXP、Win2000为Messenger）remoteRegistry（WinXP、Win2000为remoteRegistryservice不适用）SSDPDiscovery（Win2000不适用）DNSClientWindowsRemoteManagement（WS-Management)（可选，Win2000不适用）加固项目名称关闭不必要的系统端口加固编号加固说明Windows-02-01-02遵循白名单的原则，仅开放系统应用所需的专用端口，避免系统中存在不必要的适用版本操作步骤Win2000、WinXP、Win2003、Win7、Win20082.查看系统当前实际监听的端口列表在Win7、WinXP、Win2003和Win2008：在命令提示符中，输入netstat-ano命令，查看系统当前网络连接状况；在Win2000：在命令提示符中，输入netstat-an命令，查看系统当前网络连PID（1）打开任务管理器，根据PID来查看端口对应的进程或服务；（2）通过停止进程或禁用服务，关闭不必要的端口；（3）按照白名单原则，仅开放必须的端口；在WinXP、Win7、Win2003和Win2008中：使用防火墙实现白名单制度，操作步骤参照2.2.2配置访问控制规则。在Win2000中：使用IP安全策略实现白名单制度，操作步骤参照2.2.2配置访备注1.以下端口禁止开放：TCP21，TCP23，TCP/UDP135，TCP/UDP137，TCP/UDP138，TCP/UDP139，TCP/UDP445。2.以下端口应限制访问IP：TCP3389。加固项目名称加固编号加固说明适用版本Windows-02-01-03Win2000、WinXP、Win2003、Win7、Win2008操作步骤操作步骤1.按下+R，输入框中输入regedit命令；2.查看注册表项，进入HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters;3.新建字符串值，重命名为SynAttackProtect，双击修改数值数据为2；4.新建字符串值，重命名为TcpMaxportsExhausted，双击修改数值数据为5；5.新建字符串值，重命名为TcpMaxHalfOpen，双击修改数值数据为500；1.指定触发SYN洪水攻击保护所必须超过的TCP连接请求数的阀值为5；2.指定系统拒绝的连接请求数的阈值为500；3.指定TCP的半连接数的阈值为400。加固项目名称设置最小挂起时间加固编号加固说明Windows-02-01-04在连接到本地计算机的用户超出其账户的有效登录时间时应断开与用户的连接，避免被黑客或恶意软件利用。适用版本操作步骤Win2000、WinXP、Win2003、Win7、Win20081.进入“控制面板->管理工具->本地安全策略->本地策略->安全选项”；2.双击“Microsoft网络服务器:登录时间过期后断开与客户端的连接”和“网3.双击“Microsoft网络服务器:暂停会话前所需的空闲时间量”，设置时间为备注1.15分钟为参考值，应根据系统应用的实际情况进行配置；2.“Microsoft网络服务器:登录时间过期后断开与客户端的连接”在WinXP和Win2003为“Microsoft网络服务器:登录时间用完后自动注销用户”，Win3.“网络安全:在超过登录时间后强制注销”安全选项在WinXP和Win2003为“网络安全:在超过登录时间后强制注销”，Win2000无该安全项；4.“Microsoft网络服务器:暂停会话前所需的空闲时间量”在WinXP和Win2003为“Microsoft网络服务器:挂起会话前所需的空闲时间量”，为“在断开会话之前所需的空闲时间”。加固项目名称开启防火墙功能加固编号加固项目名称开启防火墙功能加固编号加固说明适用版本操作步骤Windows-02-02-01打开系统自带防火墙，减小被网络攻击的风险。WinXP、Win2003、Win7、Win20081.按下+R，输入框中输入Firewall.cpl；加固项目名称加固编号适用版本加固说明操作步骤配置访问控制规则Windows-02-02-02Win2000、WinXP、Win2003、Win7、Win2008Win2000使用IP安全策略实现访问控制，其他Windows系统使用防火墙实现访问控制，增加系统抵御网络攻击的能力。(1)按下+R，输入框中输入wf.msc，进入高级安全防火墙；2.在Win2003、WinXP：(1)按下+R，输入框中输入Firewall.cpl，进入"Windows防火墙—>例外"选(4)WinXP防火墙采用白名单制度，只需勾选系统必须的专用端口。3.在Win2000：（1）按下+R，输入框中输入gpedit.msc，打开本地组策略编辑器，进入“计算机配置->windows设置->IP安全策略，在本地机器上”；（4）双击进入新建策略的属性，在“规则”选项中“添加取消勾选“使用添（6）点击“筛选器操作->添加”,选择安全方法为“许可”；(8)所有许可策略添加完成后，添加一条拒绝所有连接的IP安全策略，符合白名加固项目名称禁用大容量存储介质（USB存储设备）加固编号加固说明适用版本Windows-03-01-01禁用USB存储设备，防止利用USB接口非法接入。Win2000、WinXP、Win2003、Win7、Win2008操作步骤1.按下+R，在输入框输入regedit，打开注册表编辑器；2.进入3.双击右侧注册表中的“Start”项，修改值为4。加固项目名称关闭自动播放功能加固编号加固说明Windows-03-02-01关闭移动存储介质或光驱的自动播放或自动打开功能，防止恶意程序通过U盘或光盘等移动存储介质感染主机系统。适用版本Win2000、WinXP、Win2003、Win7、Win2008操作步骤（1）进入“计算机配置->管理模板->Windows组件->自动播放策略”；在Win2000、WinXP和Win2003:（1）进入“计算机配置->管理模板->系统”；加固项目名称加固编号加固说明加固项目名称加固编号加固说明适用版本操作步骤关闭远程主机RDP服务Windows-03-03-01处于网络边界的主机RDP服务应处于关闭状态，有远程登录需求时可由管理员临时开启，避免非法用户利用RDP服务漏洞进行攻击。WinXP、Win2003、Win7、Win2008（2）取消勾选“允许用户远程连接到这台计算机”和“允许这台计算机发送远加固项目名称加固编号加固项目名称加固编号Windows-03-03-02加固说明适用版本操作步骤仅限于指定IP地址范围主机远程登录，防止非法主机的远程访问。WinXP、Win2003、Win7、Win20082.分别进入“计算机配置->管理模板->网络->网络连接->Windows防火墙->域配3.双击“允许入站远程桌面例外”,选择“已启用”；4.填入允许远程登录到本机的主机IP地址，并以逗号分隔，点击确定。加固项目名称限制远程登录协议加固编号加固说明Windows-03-03-03系统远程登录仅允许使用Windows系统自带工具，严禁使用第三方远程登录软适用版本操作步骤Win2000、WinXP、Win2003、Win7、Win20082.卸载系统中的第三方远程登录软件。卸载TeamViewer、PCAnywhere、向日葵等第三方远程登录软件。加固项目名称限制远程登录时间加固编号加固说明Windows-03-03-04设置远程桌面服务在某个活动或空闲会话超时后自动终止，防止被非法用户利适用版本操作步骤WinXP、Win2003、Win7、Win20081.按下+R，在输入框输入gpedit.msc，进入“本地组（1）进入“计算机配置->管理模板->Windows组件->远程桌面服务->远程桌面设置“活动会话限制”为10分钟，点击确定。置“活动会话限制”为10分钟，点击确定。加固项目名称修改远程桌面默认服务端口加固编号加固项目名称修改远程桌面默认服务端口加固编号加固说明适用版本操作步骤Windows-03-03-05WinXP、Win2003、Win7、Win20081.按下+R，在输入框中输入regedit命令，打开注册表编辑器；2.进入HKLM/System/CurrentControlSet/Control/TerminalServer/WinStations/RDP-Tcp；3.双击“PortNumber”子项，修改值为自定义端口（如13889）,点击确定。加固项目名称限制匿名用户远程连接加固编号加固说明适用版本Windows-03-03-06限制匿名用户连接权限，防止用户远程枚举本地账号。WinXP、Win2003、Win7、Win2008操作步骤2.进入“计算机配置->Window设置->安全设置->本地策略->安全选项”；加固项目名称主机间登录禁止使用公钥验证加固编号加固说明Windows-03-03-07适用版本操作步骤WinXP、Win2003、Win7、Win20081.进入“控制面板->管理工具->本地安全策略->本地策略->安全选项”；“网络访问，不允许存储网络身份验证的密码和凭据”在WinXP和Win2003中为“网络访问:不允许存储网络身份验证的凭据或.NETPassports”。加固项目名称加固编号加固说明适用版本操作步骤禁止使用无线网卡Windows-03-04-01禁用无线网卡，防止设备通过无线网络进行通信。Win2000、WinXP、Win2003、Win7、Win20081.核实是否存在无线网卡，若存在，请执行以下操作并拔出网卡设备；3.查找右侧“设备管理器”的窗口，选择网络适配器，找到无线网卡设备名称；加固项目名称加固编号加固说明适用版本操作步骤配置日志策略Windows-04-01-01配置系统日志策略配置文件，对系统登录、访问等行为进行审计，为后续问题追Win2000、WinXP、Win2003、Win7、Win20082.进入“计算机配置->Windows设置->安全设置->本地策略->审