Windows 7安全配置基线检查指导文件

Windows7操作系统安全配置基线

目录

第1章概述......................................1

1.1目的......................................................................1

1.2适用范围..................................................................1

1.3适用版本..................................................................1

1.4安全基线说明.............................................................1

第2章帐户管理、认证授权........................................................1

2.1帐户管理及认证............................................................1

2.1.1管理缺省帐户.............................................................1

2.1.2按照用户分配帐户........................................................2

2.1.3删除与设备无关帐户.......................................................3

2.2口令......................................................................4

2.2.1密码复杂度...............................................................4

2.2.2密码最长留存期..........................................................5

2.2.3帐户锁定策略.............................................................6

2.3授权......................................................................7

2.3.1远程关机.................................................................7

2.3.2本地关机.................................................................8

2.3.3用户权利指派.............................................................9

234授权帐户登录.............................................................9

2.3.5授权帐户从网络访问......................................................10

第3章日志配置操作..............................11

3.1日志配置.................................................................11

3.1.1审核登录................................................................II

3.1.2系统日志完备性检杳......................................................12

3.1.3日志文件大小............................................................13

第4章剩余信息保护.............................................................15

4.1剩余信息保护.............................................................15

4.1.1不显示最后的用户名......................................................15

4.1.2关机前清除虚拟内存页面文件..............................................16

4.1.3不启用可还原的加密来存储密码...........................................17

第5章设备其他配置操作.........................................................18

5.1共享文件夹及访问权限.....................................................18

5.1.1关闭默认共享............................................................18

5.1.2共享文件夹授权访问......................................................19

5.2安全防护................................................................20

5.2.1数据执行保护............................................................20

5.2.2防病毒管理.............................................................21

5.3服务安全.................................................................21

5.3.1系统必须服务列表管理....................................................21

5.3.2系统启动项列表管理.....................................................22

5.3.3远程控制服务安全.......................................................23

5.3.4关闭Windows自动播放功能...............................................24

5.3.5设置屏幕保护密码和开启时间.............................................25

5.3.6限制远程登录空闲断开时间...............................................25

5.4补丁管理.................................................................26

5.4.1操作系统补丁管理........................................................26

第1章概述

1.1目的

本文档旨在指导进行Windows7操作系统的安全合规配置。

1.2适用范围

本配置标准适用的范围包括：Windows7的办公电脑客户端。

1.3适用版本

Windows7操作系统。

1.4安全基线说明

本安全基线标准主要包括账户管理认证、口令要求、系统授权、日志配置、

剩余信息保护、共享文件夹及访问权限、安全防护、服务安全和补丁管理等几

个方面，基线内容包含28项安全基线。

第2章帐户管理、认证授权

2.1帐户管理及认证

2.1.1管理缺省帐户

安全基线项目名称操作系统缺省帐户安全基线要求项

安全基线编号WIND0WS7-01

对于管理员帐号，要求更改缺省帐户名称；禁用guest（来

安全基线项说明

宾）帐号。

检测操作步骤版本：Windows7

按“田+R打开运行框，在框内输入lusrmgr.mscw回

车打开本地用户和组，点击用户：

查看Administrator—＞属性和Guest帐号-＞属性

基线符合性缺省帐户Administrator名称己更改。

判定依据Guest帐号己停用o

按“田+R打开运行框，在框内输入lusrmgr.msc回

车打开本地用户和组，点击用户：找到管理员帐号

加固标准

administrator用户右键重命名；找到guest用户右键属性

f帐户禁用。

6.2.1.3主机安全：1）身份鉴别（S3）,b）应对登录操

作系统和数据库系统的用户进行身份标识和鉴别；

等级保护

6.2.1.3主机安全：2）访问控制（S3）,d）应禁用或亚格

基本要求

限制默认帐户的访问权限，重命名系统默认帐户，修改这

些帐户的默认口令。

现状

检查结果□符合__________________□不符合_____________

整改结果

重命名administrator帐户名可能会导致部分以

备注administrator帐户启动的服务无法正常运行，导致相关的

应用系统无法正常使用。

2.1.2按照用户分配帐户

安全基线项目名称操作系统用户帐户划分安全基线要求项

安全基线编号WIND0WS7-02

按照用户分配帐户。根据系统的要求，设定不同的帐户和

安全基线项说明帐户组，管理员用户，数据库用户，审计用户，来宾用户

等。

检测操作步骤版本：Windows7

按“田+R打开运行框，在框内输入lusrmgr.msc”回

车打开本地用户和组：

根据系统的要求，设定不同的帐户和帐户组，管理员用户，

普通用户，审计用户，来宾用户。

结合要求和实际业务情况判断符合要求，根据系统的要求，

基线符合性

设定不同的帐户和帐户组，管理员用户，普通用户，审计

判定依据

用户，来宾用户。

打开本地用户和组，分别进入用户或组，右键新建用户或

加固标准

组。

6.2.1.3主机安全：1)身份鉴别(S3),a)应为操作系统

和数据库系统的不同用户分配不同的用户名，确保用户名

等级保护

具有唯一性；

基本要求

6.2.1.3主机安全：2)访问控制(S3),e)应及时删除多

余的、过期的帐户，避免共享帐户的存在。

现状

检查结果□符合_____________□不符合_____________

整改结果

备注

2.1.3删除与设备无关帐户

安全基线项目名称操作系统与设备无关帐户安全基线要求项

安全基线编号WIND0WS7-03

安全基线项说明删除或锁定与设备运行、维护等与工作无关的帐户

版本：Windows7

按“田+R打开运行框，在框内输入lusrmgr.msc"回

检测操作步骤车打开本地用户和组：

根据系统的要求，删除或锁定与设备运行、维护等与工作

无关的帐户。

基线符合性结合要求和实际业务情况判断符合要求，删除或锁定与设

判定依据备运行、维护等与工作无关的帐户。

打开用户和组，点击进入用户或组，删除系统中无用的用

加固标准

户和组。

6.2.1.3主机安全：1）身份鉴别（S3）,a）应为操作系统

和数据库系统的不同用户分配不同的用户名，确保用户名

等级保护

具有唯一性。

基本要求

6.2.1.3主机安全：2）访问控制（S3）,e）应及时删除多

余的、过期的帐户，避免共享帐户的存在。

现状

检查结果□符合_____________□不符合_____________

整改结果

备注

2.2口令

2.2,1密码复杂度

安全基线项目名称操作系统密码复杂度安全基线要求项

安全基线编号WIND0WS7-04

最短密码长度8个字符；

启用本机组策略中密码必须符合复杂性要求的策略，却密

码至少包含以下四种类别的字符中的二种：

•英语大写字母A,B,C,…Z

安全基线项说明

•英语小写字母a,b,c,•••z

•西方阿拉伯数字0,1,2,…9

•非字母数字字符，如标点符号，#,$,%,*

等

检测操作步骤版本：Windows7

按田+R打开运行框，在框内输入secpol.msc,打开本

地安全策略，在“帐户策略一密码策略”：

查看是否“密码必须符合复杂性要求”选择“己启动”。“密

码长度最小值”设置为“8个字符”。

基线符合性“密码最小长度”大于等于8

判定依据“密码必须符合复杂性要求”选择“已启动”

进入密码策略，“密码必须符合复杂性要求”右键属性启用

加固标准“密码最小长度”右键属性设置。

崎堂码必须符合复杂性要求已启用

嗡密谙长度最小值8个字符

6.2.1.3主机安全：1)身份鉴别(S3),c)操作系统和数

等级保护据库系统管理用户身份标识应具有不易被冒用的特点，系

基本要求统的静态口令应在7位以上并由字母、数字、符号等混合

组成并每三个月更换口令；

现状

检查结果□符合______________□不符合______________

整改结果

备注

2.2.2密码最长留存期

安全基线项目名称操作系统密码历史安全基线要求项

安全基线编号WIND0WS7-05

对于采用静态口令认证技术的设备，帐户口令的生存期不

安全基线项说明

长于90天。

版本：Windows7

按田+R打开运行框，在框内输入secpol.msc,打开本

检测操作步骤地安全策略，在“帐户策略密码策略”：

查看“密码最长使用期限”安全设置90天，

“强制密码历史”安全设置为。个。

基线符合性“密码最长存留期”设置不大于“90天”，强制密码历史策

判定依据略配置为0个。

进入密码策略，“密码最长使用期限”右键属性设置；“强

制密码历史”右键属性设置。

加固标准

圈密码最长期期限90天I

鼠强制套码选史0个记住的密码

6.2.1.3主机安全：1）身份鉴别（S3）,c）操作系统和数

等级保护据库系统管理用户身份标识应具有不易被冒用的特点，系

基本要求统的静态口令应在7位以上并由字母、数字、符号等混合

组成并每三个月更换口令；

现状

检查结果□符合_____________□不符合_____________

整改结果

备注

223帐户锁定策略

安全基线项目名称操作系统帐户锁定策略安全基线要求项

安全基线编号WIND0WS7-06

对于采用静态口令认证技术的设备，应配置当用户连续认

安全基线项说明

证失败次数不超过10次，锁定该用户使用的帐户。

版本:Windows7

按田+R打开运行框，在框内输入secpol.msc,打开本

检测操作步骤地安全策略，在“帐户策略f帐户锁定策略”：

查看“帐户锁定阀值”设置。若未设置，“帐户锁定阀值”

一右键属性设置：

基线符合性

“帐户锁定阀值”设置为小于或等于10次

判定依据

加固标准进入帐户锁定策略，“账户锁定阀值”右键属性设置。

硼除脸摘_________________________________________2.组一

区-帐户锁定阈值5次无效登录

区重置帐户锁定计数器5分钟之后

6.2.1.3主机安全：1）身份鉴别（S3）,d）应启用登录失

等级保护

败处理功能，可采取结束会话、限制登录间隔、限制非法

基本要求

登录次数和自动退出等措施；

现状

检查结果□符合_____________□不符合_____________

整改结果

备注

2.3授权

2.3.1远程关机

安全基线项目名称操作系统远程关机策略安全基线要求项

安全基线编号WIND0WS7-07

在本地安全设置中从远端系统强制关机只指派给

安全基线项说明

Administrators组。

版本：Windows7

按田+R打开运行框，在框内输入secpol.msc,打开本

检测操作步骤

地安全策略，本地策略一用户权限分配：

查看“从远端系统强制关机”设置。

基线符合性“从远端系统强制关机”设置为“只指派给Administrtors

判定依据组”

本地安全策略一本地策略一用户权限分配下，“从远端系统

加固标准强制关机”右键属性添加或删除用户或组。

•・•

口从远程系统强制关机Administrators董

等级保护6.2.1.3主机安全：2）访问控制（S3）,a）应启用访问控

基本要求制功能，依据安全策略控制用户对资源的访问。

现状

检查结果□符合_____________□不符合_____________

整改结果

备注

2.3.2本地关机

安全基线项目名称操作系统本地关机策略安全基线要求项

安全基线编号W1ND0WS7-08

安全基线项说明在本地安全设置中关闭系统仅指派给Administrators组。

版本：Windows7

按田+R打开运行框，在框内输入secpol.msc,打开本

检测操作步骤

地安全策略，本地策略一用户权限分配：

查看“关闭系统”设置。

基线符合性

“关闭系统”设置为“只指派给Administrators组”

判定依据

本地安全策略一本地策略一用户权限分配下，“关闭系统”

加固标准右键属性添加或删除用户或组。

AY52%V

等级保护6.2.1.3主机安全：2)访问控制(S3),a)应启用访问控

基本要求制功能，依据安全策略控制用户对资源的访问。

现状

检查结果□符合___________________□不符合________________

整改结果

备注

2.3.3用户权利指派

安全基线项目名称操作系统用户权力指派策略安全基线要求项

安全基线编号WIND0WS7-09

在本地安全设置中取得文件或其它对象的所有权仅指派给

安全基线项说明

Administratorso

版本:Windows7

按田+R打开运行框，在框内输入secpol.msc,打开本

检测操作步骤地安全策略，本地策略一用户权限分配：

查看“取得文件或其它对象的所有权”设置为只指派给

“Administrators”组。

基线符合性“取得文件或具它对象的所有权”设置为“只指派给

判定依据Administrators组”

本地安全策略一本地策略一用户权限分配下，“取得文件或

加固标准其它对象的所有权”右键属性添加或删除用户或组。

等级保护6.2.1.3主机安全：2）访问控制（S3）,a）应启用访问控

基本要求制功能，依据安全策略控制用户对资源的访问。

现状

检查结果□符合___________________口不符合________________

整改结果

备注

2.3.4授权帐户登录

安全基线项目名称操作系统用户授权登录安全基线要求项

安全基线编号WIND0WS7-10

在本地安全设置中配置指定授权用户和组允许本地登录此

安全基线项说明

计算机。

版本：Windows7

按田+R打开运行框，在框内输入secpol.msc,打开本

检测操作步骤

地安全策略，本地策略一用户权限分配：

查看“允许本地登录”设置。

基线符合性

应根据具体情况，设置“指定授权用户和组”

判定依据

本地安全策略一本地策略一用户权限分配下，“允许本地登

加固标准录”右键属性添加或删除指定的授权用户或组。

■0允许本地登录Users,Administrators

等级保护6.2.1.3主机安全：2）访问控制（S3）,a）应启用访问控

基本要求制功能，依据安全策略控制用户对资源的访问。

现状

检查结果□符合___________________口不符合________________

整改结果

备注

2.3.5授权帐户从网络访问

安全基线项目名称操作系统用户授权从网络访问安全基线要求项

安全基线编号WIND0WS7-11

在组策略中只允许授权帐号从网络访问（包括网络共享等，

安全基线项说明

但不包括终端服务）此计算机。

版本：Windows7

按田+R打开运行框，在框内输入secpol.msc,打开本

检测操作步骤

地安全策略，本地策略一用户权限分配：

查看“从网络访问此计算机”设置

基线符合性

应根据具体情况，设置”指定授权用户和组”

判定依据

加固标准木地安全策略一木地策略一用户权限分配下，“从网络访问

此计算机”右键属性添加或删除指定授权的用户或组。

从网珞访问此计算机Users,Administrators

等级保护6.2.1.3主机安全：2)访问控制(G3),a)应启用访问控

基本要求制功能，依据安全策略控制用户对资源的访问。

现状

检查结果□符合___________________□不符合________________

整改结果

备注

第3章日志配置操作

3.1日志配置

3.1.1审核登录

安全基线项目名称操作系统审核登录策略安全基线要求项

安全基线编号WIND0WS7-12

设备应配置日志功能，对住户登录进行记录，记录内容包

安全基线项说明括用户登录使用的帐户，登录是否成功，登录时间，以及

远程登录时，用户使用的IP地址。

版本：Windows7

按田+R打开运行框，在框内输入secpol.msc,打开本

检测操作步骤

地安全策略，本地策略一审核策略：

“审核登录事件”。

基线符合性

审核登录事件，设置为成功和失败都审核。

判定依据

本地安全策略一本地策略一审核策略，“审核登录事件”右

加固标准键属性勾选成功、失败。

6.2.1.3主机安全：3）安全审计（G3）,a）审计范围应覆

等级保护

盖到服务器和重要客户端上的每个操作系统用户和数据库

基本要求

用户。

现状

检查结果□符合___________________□不符合________________

整改结果

备注

3.1.2系统日志完备性检查

安全基线项目名称系统日志完备性检查，检查是否启用系统多项审核策略

安全基线编号WIND0WS7-13

系统应配置完整的审核策略，启用本地策略中审核策略中

如下项。每项都需要设置为“成功”和“失败”都要审核。

按田+R打开运行框，在框内输入secpol.msc,打开本

地安全策略，在本地策略一审核策略：

安全基线项说明

•审核策略更改；

•审核系统事件；

•审核帐户登录事件；

•审核帐户管理；

版本：Windows7

按田+R打开运行框，在框内输入secpol.msc,打开本

地安全策略，在“本地策略-＞审核策略”中，启用本地策

略中审核策略中如下项，每项都需要设置为“成功”和“失

检测操作步骤败”都要审核：

•审核策略更改；

•审核系统事件；

•审核帐户登录事件；

•审核帐户管理；

基线符合性

“审核策略更改”设置为“成功”和“失败”都要审核。

判定依据

本地安全策略f本地策略一审核策略下，各选项右键属性

勾选成功和失败。

勘审核帐户告理成功，失败

嗡市核帐户登录事件成功,失败

加固标准1市核系统事件成功,失败

用市核特权使用成功,失败

嗡审核目录服务访问成功,失败

■审核迸程跟踪成功,失败

嗡审核对象访问成功，失效

嗡审核壹录朝牛成功,失效

3亩核簸略更改成功，失败

6.2.1.3主机安全：3）安全审计（G3）,a）审计范围应覆

盖到服务器和重要客户端上的每个操作系统用户和数据库

用户。

等级保护

6.2.1.3主机安全：3）安全审计（G3）,b）审计内容应包

基本要求

括重要用户行为、系统资源的异常使用和重要系统命令的

使用、账号的分配、创建与变更、审计策略的调整、审计

系统功能的关闭与启动等系统内重要的安全相关事件。

现状

检查结果□符合___________________口不符合________________

整改结果

备注

3.1,3日志文件大小

安全基线项目名称操作系统日志容量安全基线要求项

安全基线编号WTND0WS7-14

设置应用日志文件大小至少为20480KB,设置当达到最大大

安全基线项说明

小时，按日志满时将其存档，不覆盖事件。

版本:Windows7

检测操作步骤

按田+R打开运行框，在框内输入eventvwr.msc,在“事

件查看器（本地）”-*windows日志：

查看“应用日志”“系统日志”“安全日志”属性中的

日志大小，以及设置当达到事件日志最大大小时的相应策

略。

“应用日志”“系统日志”“安全日志”属性中的日志

基线符合性

大小设置不小于“20480KB”，设置当达到事件日志最大大

判定依据

小时，“日志满时将其存档,不覆盖事件”

事件查看器fwindows日志下各个选项右键属性。

?启用日志记录（D

日志顺大小（KB）凶：匚20480：|

加固标准达到事件日志般大小时：

按需要覆盖事件（旧事件优先

。日志满时将其存档,不震益算件（A）

©不*a事件（手动治除日志）时

6.2.1.3主机安全：3）安全审计（G3）,C）审计记录应包

括事件的口期、时间、类型、主体标识、客体标识和结果

等，并定期备份审计记录，涉及敏感数据的记录保存时间

等级保护不少于半年；

基本要求6.2.1.3主机安全：3）安全审计（G3）,d）应能够根据记

录数据进行分析，并生成审计报表；

6.2.1.3主机安全：3）安全审计（G3）,e）应保护审计进

程，避免受到未预期的中断；

现状

检查结果□符合___________________□不符合________________

整改结果

备注

第4章剩余信息保护

4.1剩余信息保护

4.1.1不显示最后的用户名

安全基线项目名称不显示最后的用户名

安全基线编号WTND0WS7-15

安全基线项说明不显示最后登录的用户名，防止信息泄露

版本:Windows7

按田+R打开运行框，在框内输入secpol.msc,打开本

检测操作步骤

地安全策略，在“本地策略f安全选项”：

查看“交互式登录：不显示最后的用户名”是否启用

基线符合性

启用“交互式登录：不显示最后的用户名”。

判定依据

本地安全策略一本地策略一安全选项下，“交互式登录：不

加固标准显示最后的用户名”右键属性勾选启用。

圈交互式登录:不显示最后的用户名已启用!

6.2.1.3主机安全：4）剩余信息保护（S3）,a）应保证操

等级保护作系统和数据库系统用户的鉴别信息所在的存储空间，被

基本要求释放或再分配给其他使用人员前得到完全清除，无论这些

信息是存放在硬盘上还是在内存中。

现状

检查结果□符合___________________口不符合________________

整改结果

备注

4.1.2关机前清除虚拟内存页面文件

安全基线项目名称关机前清除虚拟内存页面文件

安全基线编号WIND0WS7-16

关闭客户端前，应清除虚拟内存页面，以保护暂存在在缓

安全基线项说明

存中的数据。

版本:Windows7

按田+R打开运行框，在框内输入secpol.msc,打开本

检测操作步骤

地安全策略，在“本地策略f安全选项”：

查看“关机：前清除虚拟内存页面文件”是否启用。

基线符合性

启用“关机：前清除虚拟内存页面文件”。

判定依据

本地安全策略一本地策略一安全选项下，“关机：前清除虚

加固标准拟内存页面文件”右键属性勾选启用。

防年畸患泪症闲建

6.2.1.3主机安全：4）剩余信息保护（S3）,a）应保证操

作系统和数据库系统用户的鉴别信息所在的存储空间，被

释放或再分配给其他使用人员前得到完全清除，无论这些

等级保护

信息是存放在硬盘上还是在内存中。

基本要求

6.2.1.3主机安全：4）剩余信息保护（S3）,b）应确保系

统内的文件、目录和数据库记录等资源所在的存储空间，

被释放或重新分配给其他使用人员前得到完全清除。

现状

检查结果□符合___________________□不符合________________

整改结果

备注

4.1.3不启用可还原的加密来存储密码

安全基线项目名称不启用可还原的加密来存储密码

安全基线编号WIND0WS7-17

安全基线项说明不启用可还原的加密来存储密码，防止能够获取明文密码。

版本：Windows7

按田+R打开运行框，在框内输入secpol.msc,打开本

检测操作步骤

地安全策略，在“账户策略一密码策略”：查看“用可还原

的加密来存储密码”是否已禁用。

基线符合性

禁用“用可还原的加密来存储密码”

判定依据

账户策略一密码策略卜，“用可还原的加密来存储密码”右

加固标准键属性设置。

胭用可还原的加密夹储存空码已禁用

6.2.1.3主机安全：4）剩余信息保护（S3）,a）应保证操

作系统和数据库系统用户的鉴别信息所在的存储空间，被

释放或再分配给其他使用人员前得到完全清除，无论这些

等级保护

信息是存放在硬盘上还是在内存中。

基本要求

6.2.1.3主机安全：4）剩余信息保护（S3）,b）应确保系

统内的文件、目录和数据库记录等资源所在的存储空间，

被释放或重新分配给其他使用人员前得到完全清除。

现状

检查结果□符合___________________口不符合________________

整改结果

备注

第5章设备其他配置操作

5.1共享文件夹及访问权限

5.1.1关闭默认共享

安全基线项目名称操作系统默认共享安全基线要求项

安全基线编号WIND0WS7-18

安全基线项说明非域环境中,关闭Windows硬盘默认共享,例如C$,D$。

版本：Windows7

按田+R打开运行框，在框内输入Regedit,进入注册

检测操作步骤表编辑器，查看HKEY_LOCAL_MACHINE

\System\CurrentControlSet\Services\LanmanServer\P

arameters\AutoShareServer键，是否值为0。

HKEYLOCALMACHINE

基线符合性

\System\CurrcntControlSet\Scrvices\LanmanServer\P

判定依据

arameters\AutoShareServer键，值为0。

打开注册表，如果没有AutoShareServer键，再路径下

淅建(Z)►项(K)

ci)*3不值(S)

•t%\system32\srvsvc.c三法制值(上)

(1).亘91

^QWOR^6^S)S(Q)

(1)

加固标准(0)余手将田值(M)

可扩充字符半值(E)

如果有右键修改查看。

数值数据吃__________基数

1]。+六进制(H)

I©+进制8)

6.2.1.3主机安全：2)访问控制(S3),a)应启用访问

等级保护控制功能，依据安全策略控制用户对资源的访问。

基本要求6.2.1.3主机安全：2)访问控制(S3),f)宜对重要信息

资源设置敏感标记。

6.2.1.3主机安全：2）访问控制（S3）,g）宜依据安全

策略严格控制用户对有敏感标记重要信息资源的操作。

现状

检查结果□符合___________________□不符合______________

整改结果

备注

5.1.2共享文件夹授权访问

安全基线项目名称操作系统共享文件夹安全基线要求项

安全基线编号WIND0WS7-19

查看每个共享文件夹的共享权限，只允许授权的帐户拥有

安全基线项说明

权限共享此文件夹。

版本：Windows7

按田+R打开运行框，在框内输入compmgmt.msc进入

检测操作步骤计算机管理，在系统工具一共享文件夹：

查看每个共享文件夹的共享权限，只将权限授权于指定帐

户。

基线符合性查看每个共享文件夹的共享权限仅限于业务需要，不设置

判定依据成为“everyone”。

控制面板一管理工具一服务下，server右键属性禁用。

加固标准

^Server支削:计匐遒»蚊之械,喻■煌.甄林蹒国

6.2.1.3主机安全：2）访问控制（S3）,a）应启用访问

控制功能，依据安全策略控制用户对资源的访问。

等级保护6.2.1.3主机安全：2）访问控制（S3）,f）宜对重要信

基本要求息资源设置敏感标记。

6.2.1.3主机安全：2）访问控制（S3）,g）宜依据安全

策略严格控制用户对有敏感标记重要信息资源的操作。

现状

检查结果□符合___________________口不符合______________

整改结果

禁用server服务，可能会导致直接依赖于此服务的服务

备注

将无法启动。

5.2安全防护

5.2.1数据执行保护

安全基线项目名称操作系统数据执行保护安全基线要求项

安全基线编号WIND0WS7-20

对Windows7操作系统程序和服务启用系统自带DEP功能

安全基线项说明

（数据执行保护），防止在受保护内存位置运行有害代码。

版本：Windows7

点击“计算机”右键属性一高级系统设置一性能设置一数

检测操作步骤据执行保护：

查看是否选择“仅为基本Windows程序和服务启用

DEP”。

基线符合性“数据执行保护”选项卡已设置为“仅为基本Windows

判定依据程序和服务启用DEP”。

点击“计算机”右键属性一高级系统设置一性能设置一数

据执行保护

视觉效果1高级数据执.行保护

加固标准

包|舞嬲值嘱嘉瓢珍鳖般暂

。仅为基本Windows程序和服务启用DEPa）

O为除下列选定程序之外的所有程序和服势启用DEF（U）：

等级保护6.2.1.3主机安全：2）访问控制（S3）,g）宜依据安全

基本要求策略严格控制用户对有敏感标记重要信息资源的操作。

现状

检查结果□符合___________________□不符合______________

整改结果

备注

5.2.2防病毒管理

安全基线项目名称操作系统防病毒管理安全基线要求项

安全基线编号WIND0WS7-21

安全基线项说明安装防病毒软件，并及时更新。

版本：Windows7

检测操作步骤

检查是否安装主流杀软。

基线符合性

检查是否安装主流杀软。

判定依据

6.2.1.3主机安全：6）恶意代码防范（G3）,a）应安装国

家安全部门认证的正版防恶意代码软件，对于依附于病毒

库进行恶意代码查杀的软件应及时更新防恶意代码软件

等级保护

版本和恶意代码库，对于非依赖于病毒库进行恶意代码防

基本要求

御的软件，如主动防御类软件，应保证软件所采用的特征

库有效性与实时性，对于某些不能安装相应软件的系统可

以采取其他安全防护措施来保证系统不被恶意代码攻击；

现状

检查结果□符合___________________□不符合______________

整改结果

备注

5.3服务安全

5.3.1系统必须服务列表管理

安全基线项目名称操作系统服务列表管理安全基线要求项

安全基线编号WINDOWS7-22

列出所需要服务的列表（包括所需的系统服务），不在此列

安全基线项说明

表的服务需关闭。

版本：Windows7

按田+R打开运行框，在框内输入compmgml.msc进入

检测操作步骤

计算机管理，进入“服务和应用程序”：

查看所有服务，不在此列表的服务需关闭。

基线符合性系统管理员应出具系统所必要的服务列表。

判定依据查看所有服务，不在此列表的服务需关闭。

6.2.1.3主机安全：5）入侵防范（G3）,c）操作系统应

等级保护

遵循最小安装的原则，仅安装需要的组件和应用程序，并

基本要求