Windows操作系统安全加固标准化作业指导书

Windows操作系统安全加固

-XX.—1^-

刖5

本标准化作业指导书是规范电力监控系统采用Windows操作系统安全加固作业而制定。

制定本标准化作业指导书的目的是加强对Windows操作系统安全加固作业的全过程控制

，体现对设备及人员行为的全过程管理，保证现场作业过程的安全和质量，优化作业方案，提

高效率，阳氐成本。

本手册适用于Windows2000ProfessionalsWindowsXP、WindowsServer

2003^Windows7、Windows10、WindowsServer2008（以下分别简称Win2000

、WinXP、Win2003、Win7、Win10、Win2008）等Windows操作系统。

目录

■配置管理

Q网络管理

目录接入管理

ontentso

B日志与审计

恶意代码防范

目录

Parti配置管理

选择组

选择此对象类型（S）:

组对象类型（o）.

查找位置（F）:

MTSITC位.置(1.).

一般性查询

列(C).

名称（点）：起始为

描述（D）:起始为立即查找（N）

禁用的长户（B）停止（T）

不过期密码（X）

自上次登录后的天数（1）:

搜索结果（U1：——11定————取遍——

名称（RDN）所在文件央

AdministratorsBATSU—PC

BackupOperatorsHATsu-Pc

'tiCryptographicOperatorsMTSC-PC

电DistributedCOMUsersHATSU-K

电EventLogReadersBATSU-PC

电GuestsRATSu-PC

电HomeUsersBATSII-PC

电】IS_IUSRSHATSU—PC

电NetworkConfigurationOperatorsBATSU-pc

电PerformanceLogUsersRATSU-K—

PerformanceMonitorUsersHAisu•pc

PowerIsersBATSU-PC

RemoteDesktopUsersBATSI—PC

e—\TOTTno

本地安全设置

文件(E)操作(A)遗看(V)帮助(H)

安全设置W_________________

帐通番份文件和目录Administrato..

本地阳不与安土中核LOCALSERV..

H1审核略确创建：(:’•；可象

用户权利指派细创*刘欣Admimstato.

Administrators

由安全选聘创迂面文fl

酸创建太久共享订象

公例略

Ad"'..

软件很策略用J、插接工作站中取出计算机

蛹络.«•Everyone.AS...

力安全策略.

II触上LiS舄统送切美加Administrators

晒耳试程件Administrators

两用整进程的内在配为！LOCALSERV^

明E改系统时间Administrato...

调关r系统Administrate..

flflT理那核利安全HiliAdnwiistrators

挥人用文件和I求Adnwitslrato..

明也绝本地登录SUPPOflT_3..

盼它从网络向讨域台itWf、ll'l'>>l<l3

蝴未的作为服务跄聚

曲小『可为批件业件录

晒内存，Iifi-i

明忙巴的迸程Administraio.

物配置系统性能Adm«n«StratOfS

响取得文件或其它对象的所有权Administators

炳身份抬讦后模拟客户端ASPIET.Ad

明号换逅程：卫号LOCALSERV..

跳过遍历掠杳Everyone,Ad..

的通过”湍忸务拒绝〃录ASPNET

雌i过终战服务允许登来Administrato..

或同步目录服务数据

丽诲戌附件环境依Administrators

阚以探竹系统方式操作

我或中漆加工作站

丽允许计掌机和用户帐户被信任以便川于委仟

m小地什季GuBS!,Admin_.

丽前次间度忧儿级Administrators

确认行/维护任务Admirnstrators

顾我饯用我＜各也用序Admirnstrators

轴•丫存及NETWORKS.

前十为批处理”业登录SLPPORT.3.

5.系统管理员权限配置

在Win7、Win10和Win2008:

⑴选择用户“sysadmin”，右击“属性”，进入“隶属于二＞添加-＞选择组-＞高级-＞立即查找”

选择NetworkConfigurationOperators组，点击确定；

(2)进入“控制面板二)管理工具-〉本地安全策略本地策略-＞用户权限分配(用户权利指派)二＞取

得文件或其他对象的所有权”，添加用户“sysadmin”，点击确定

在Win2003和WinXP:

(1)选择用户“sysadmin”，右击“属性”，进入“隶属＞＞添加”，选择Network

ConfigurationOperators组，点击确定；

(2)进入“控制面板-管理工具-)本地安全策略-＞本地策略-＞用户权限分配(用户权利指派)-＞取

得文件或其他对象的所有权”，添加用户“sysadmin”，点击确定；

在Win2000:

选择用户“sysadmin”，右击“属性”，进入“隶属于-＞添加"，选择Administrators组，点击确

定；

本地交全策略

文件(F)操作(A)查看(V)帮助(H)

帐户：重命名系统管理员帐户属性岛

安全设置策略安全设置

本地安全设置说明

帐户策略

帐户：重命名系统管理员帐户Administrator

本地策略

帐户：重命名来宾帐户Guest帐户：重命名系统管理员帐户

审核策略

帐户：使用空密码的本地帐户只允许进行控制台..已启用

用户权限分配

帐户：来宾帐户状态已禁用

安全选项

帐户：管理员帐户状态已禁用

高级安全Wincbws防火墙

域控制器：允许服务器操作者计划任务没有定义陆nlstratcr

网络列表管理梏策略

域控制器：拒绝计算机帐户密码更改没有定义

公钥策略

软件限制策略域控制器：IDAP服务器签名要求没有定义

应用程序控制策略域成员：需要强(Windows2000或更高版本)会…,已启用

最甲安全策略，在本地H•算机咽诚员禁用计蒯炉密醐已禁用

高级审核策略配置

域成员：计算机帐户密码端长使用期限30天

域成员：对安全通道数据进行数字签名(如果可能已启用

域成员：时安全通道数据进行数字加密或数字签..已雇用

讦算机管理(本地)名称全名描述操作~

系统工具Adminis...管理计算机(域)的内五帐户用户

任务计划程序

Batsu管理计算机(域)日志h

M事件查石器Guest供来实访问计算机或访问.更

共享文件夹

/»本地用户和组HomeGr..HomeGroupUser$可以访问才算机的家庭组…Guest

Guest属性廿X

n

性常规隶属于配置文件

设备管理器

呼曲盘管理--Guest

服务和应用程序

全名(E):

描述(D):供来宾访问计算机或访问域的内置帐户

□用户下次登录时须更改密码(m)

用户不能更改密码(C)

密码永不过期(P

区帐户已禁用(E)

口帐户已锁定(Q)

确定取消i应用(A)帮助

级启动诜项

选择以下内容的高级选项：windows7

（使用箭头键以突出显示您的选择。）

修复计算机

室模式

带命令提示符的安全模式

启用启动日志

目录服务还原模式

调试模式

禁用系统失败时自动重新启动

禁用驱动程序签名强制

正常启动windows

描述：仅使用核心驱动程序和服务启动

windowso请在安装新设备或驱动程序后无法启动时使用。

匕ntei=3拌ESc二取洎

1屏莫保护程序设置

屏幕保护根序x

加固刃脱

控制面

适用版

更改桌由

操作步更改鼠材

更改帐

1.进

屏幕保护程序(S)保护程序

变幻线设置(T)..预览(V)

等待(W):分钟在恢算时显示登录屏幕(R)

2.选

电源管理

通过调整显示亮度和其他电源设置以节省能源或提供最佳性能。

更改电源设带

确定取消应用(A)

另洸外------------

显示

任务栏和「开始」菜单窗口颜色声音屏幕保护程序

轻松访问中心Harmony天空Windows软认

示例图片属性

图片库示例图片的权限]

包括：2个位置

常规I共享—安全位置以前的版本安全________________________________________________

而象名称：C:\Users\Public\Pictures\SamplePictures对象名称：C:\Users\Public\P:ctures\SamplePictures

组或用户名(G)：组或世名(G)：

Everj'one▲

8BATCH

8CREATOROWNER8Adminis(rators(Batsu-PC\Adninistrator

8SYSTEM

'INTERACTIVE一

示例图片8.RATCH______________________________________=

♦H►8SERVICE

8WMPNetworkSvc▼

要更改权限，请单击“编辑”。

编辑⑹…J______I►

1删除(R)

Everyone的权限(P)允许拒绝添加(D)..

完全控制j

Administrators的权限(P)

修改J允许拒绝

读取和执行V完全控制

列出文件夹内容J修改

读取)读取和执行

写入)列出文件夹内容

读取

有关特殊权限或高级设置，靖单击“高

獴

加固说明：口令长度不小于8位，由字母、数字和特殊字符组成，不得与账户名相同，避免口令被暴力

破解。

适用版本：Win2000、WinXP、Win2003、Win7、Win10、Win2008

操作步骤：

1.进入“控制面板管理工具-〉本地安全策略帐户策略-〉密码策略”；

2.双击“密码长度最小值”，设置“密码长度最小值”为8个字符，点击确定;

3.双击“密码必须符合复杂性要求”，勾选已启用，点击确定。

1・6用户登录失败锁定

加固说明：配置当用户连续认证失败次数超过5次，锁定该用户使用的账户5分钟，避免账户被恶意用

户暴力破解。

适用版本：Win2000、WinXP、Win2003、Win7、Win10、Win2008

操作步骤：

1.进入“控制面板-＞管理工具-〉本地安全策略账户策略帐户锁定策略”；

2.双击"帐户锁定阀值”设置，设置无效登录次数为5次，点击确定；

3.双击“帐户锁定时间”设置，没置锁定时间5分钟，点击确定。

1.7用户口令周期策略

加固说明：设置账户口令的生存期不长于90天।避免密码泄露。

适用版本：Win2000、WinXP、Win2003、Win7、Win10＞Win2008

操作步骤：

1.进入“控制面板-＞管理工具-）本地安全策略-＞帐户策略-＞密码策略”；

2.双击“密码最长使用期限（密码最长存留期）”，设置“密码最长使用期限”为90天，点击确定。

加固说明：密码到期前提示用户更改密码，避免用户因遗忘更换密码而导致账户失效。

适用版本：Win2000、WinXP、Win2003、Win7、Win10、Win2008

操作步骤：

1.进入“控制面板-＞管理工具-〉本地安全策略-＞本地策略-〉安全选项”；

2.双击“交互式登录：提示用户在过期之前更改密码”，设置为9天，点击确定。

补充：”交互式登录：提示用户在过期之前更改密码”在WinXP和Win2003中为“交互式登录：在密

码到期前提示用户更改密码”，在Win2000中为“在密码到期前提示用户更改密码”。

加固说明：操作系统不显示上次用户名，避免用户名泄露。

适用版本：Win2000、WinXP、Win2003、Win7、Win10、Win2008

操作步骤：

1.进入“控制面板-＞管理工具-〉本地安全策略-＞本地策略-〉安全选项”；

2.双击“交互式登陆：不显示最后的用户名”，选择“已启用”，点击确定。

补充：”交互式登陆：不显示最后的用户名”在WinXP和Win2003中为“交互式登陆：不显示上次

的用户名”，在Win2000中为“登录屏幕上不要显示上次登录的用户名”。

MVrxlows'Pwcrch-

文件哈希信息

•幸苦5HA

outlookk)c2010B72E23AB65F!5FM£e!3KBl0e7BE£6F57AeCe88

kb32OM67

futle-x86-

gib.cxe

outlookloc2DIO-EA9F6O7F253DC2C9AIA7AB43534E9F7E6D6A8FDBFEn6FB94O5C5CC45AEEAIFlI4C767CA20278IF6702DOEE46E8830C232F3FEC

kb3203467-

fuillex64

gib.exe

Q

11禁止用户修改IP

加固说明：规范主机网络配置管理，禁止用户任意更换IP。

适用版本：Win2000、WinXP、Win2003、Win7、Win10、Win2008

操作步骤：

1.按下+R,输入框输入gpedtmsc，打开“本地组策略编辑器”；

2,进入“用户配置-＞管理模板-〉网络-）网络连接”；

3.双击“禁止访问LAN连接组件的属性”，设置为已启用，点击确定；

4.双击“禁止访问LAN连接的属性”，设置为已启用，点击确定；

5.双击“禁用TCP/IP高级配置”，设置为已启用，点击确定。

补充：如果业务需要修改IP,可临时取消，修改完成后重新加固。

1.12禁止J

加固说明：禁止用户更改计算机名。

适用版本：Win2000、WinXP、Win2003、Win7、Win10、Win2008

操作步骤：

1.按下+R,输入框输入卯edtmsc,打开“本地组策略编辑器”；

2.进入“用户配置-＞管理模板-〉桌面”；

3.双击“从'计算机（我的电脑），图标上下文菜单中删除属性”，设置为“已启用”，点击确

定。

。管理员：C:\Windows\System32\cmd.exe

膝口列表

11...000c2949^ae650/1000,MTNetworkConnection

1..............................SoftwareInterface1

12...00000000000000eOMicrosoftISATAPAdapter

13...00000000000000eOTeredoTunnelingPseudo-Interface

16...0000000000O000eOMicrosoftISATAPAdapter#2

1

IPU4路由表

点数

瞽

跖

口

网关S

网络掩码在

链306

在306

127.0.0.1255.255.255.255第S

在306

127.255.255.255255.255.255.255306

麓

在306

255.255.255.255255.255.255.255

永久路由：

网犁成-------。rHr“IIUrrW—

I251000________

用户帐户控制设置is.

选择何时通知您有关计算机更改的消息

用户帐户控制有助于预防有害程序对您的计算机进行更改。

有关用户帐户控制设置的详细信息

始终通知

默认-仅在程序尝试对我的计算机进行更改时通知我

当我对Windows设置进行更改时不要通知我

O如果您使用常见程序和访问常见网站，则推荐使用此

选项。

从不通知

确定取消

1.16禁止

加固说明：设置Windows登录屏幕上不显示关闭计算机的选项，避免用户名暴露。

适用版本：Win2000、WinXP、Win2003、Win7、Win10.Win2008

操作步骤：

1.进入“控制面板-＞管理工具-〉本地安全策略-＞本地策略-〉安全选项”；

2.双击“关机：允许系统在未登录的情况下关闭”，设置属性为“已禁用”，点击确定。

补充：“关机：允许系统在未登录的情况下关闭”

在Win2003中为“关机：允许系统在未登录前关机”

在WinXP中为“关机：允许在未登录前关机”

在Win2000中为“允许在未登录前关机”。

■

加固说明：设置关机时清除虚拟内存页面文件，避免虚拟内存信息通过硬盘泄露。

适用版本：Win2000、WinXP、Win2003、Win7、Win10＞Win2008

操作步骤：

1.进入“开始控制面板-＞管理工具-＞本地安全策略”；

2.进入“安全设置-＞本地策略-〉安全选项”；

3.双击“关机：清除虚拟内存页面文件”，属性设置为“已启用”，点击确定。

1J8禁止非管

加固说明：仅允许Administrators组进行远端系统强制关机和关闭系统，避免非法用户关闭系统。

适用版本：Win2000＞WinXP、Win2003、Win7、Win10、Win2008

操作步骤：

1.进入“开始-＞控制面板-＞管理工具-〉本地安全策略-〉本地策略-＞用户权限分配”；

2.分别双击“关闭系统”和“从远程系统强制关机”选项，仅配置系统管理员(sysadmin)用户。

当前安装的程序和更新:叼显示更新D)排序方式(S)

360安全浏览器3.9正式版大小8.06MB

ActivClienlx86大小18.23MB

lAAdobeAcrobat8.1.2Frofei>sional大小226.00MB

AdobeFlashPlayer10ActiveX

程序

N)।AdobeEeader8-ChineseSioplifiedI79.00ME

单击此处获得支持信息。已使用很少

上次使用H期2010-7-27

添in/册除要更改此程序或将它从计算机册除，单击“更改”或“册除”。

Windows|更改1册除

组件(A)

■(AdobeSVGViewer3.0大小4.74MB

4ApabiReader3.2大小26.60MB

设定程序ATATICatalystInstallManager16.54MB

访问和ATATIProblemReportWizard大小1.36MB

默认值@)

出CompatibilityFackforthe2007Officesystem大小76.12MB

DeviceAccessManagerforHPFrotectT(x)ls大小12.97MB

DriveEncryptionforHPFrolectTools大小65.45MB

大小27.15MB

FileSanitizerForHEProtcctTcols

Gyazo3.3.3大小2O.72MB

目惠

Part2网络服务管理

服务-----------------------

AdaptiveBrightness的属性（本地计算机）

—常规登录恢复依存关系

服务名称：ScnsrSvc

显示名称：AdaptiveBrightness启动类理登录为

播沐监视氛围光传感器，以检测氛闱光的变化并调节显手动本地系...

示器的亮度。如果此服务停止或被禁用，显示器亮手动本地服..

手动本地系

可执行文件的路径：

手动本地服..

C:\Win(Iows\system32\svchost.exe-kLocalServiceAndNoImpersor

手动本地系..

启动类型（E）:禁用手动本地服..

手动本地系..

帮助我配置服务启动选项o

手动网络服...

服务状态：已停止手动本地系..

自动本地服..

启动（S）停止（T）暂停（P）恢复（R）

手动本地系.

当从此处启动服务时，您可指定所适用的启动参数。手动本地系..

手动本地服...

启动参数（M）:手动网络服•..

手动本地系...

王动木t地玄

确定取消应用（A）

示符

活动连接

协议本地地址状态

TCP外部地址PID

TCP:80:0LISTENING4

TCP:135:0LISTENING700

TCP:443:0LISTENING4

TCP:4