Windows主机操作系统加固规范

1、Windows 主机操作系统加固规范主机操作系统加固规范 20202020 年年 6 6 月月 目目 录录 1 1账号管理、认证授权账号管理、认证授权.1 1.1账号.1 1.1.1SHG-Windows-01-01-01.1 1.1.2SHG-Windows-01-01-02.2 1.1.3SHG-Windows-01-01-03.3 1.2口令.4 1.2.1SHG-Windows-01-02-01.4 1.2.2SHG-Windows-01-02-02.5 1.3授权.6 1.3.1SHG-Windows-01-03-01.6 1.3.2SHG-Windows-01-03-02.7 1.

2、3.3SHG-Windows-01-03-03.8 1.3.4SHG-Windows-01-03-04.9 1.3.5SHG-Windows-01-03-05.10 2 2日志配置日志配置.11 2.1.1SHG-Windows-02-01-01.11 2.1.2SHG-Windows-02-01-02.12 3 3通信协议通信协议.14 3.1IP 协议安全.14 3.1.1SHG-Windows-03-01-01.14 3.1.2SHG-Windows-03-01-02.15 3.1.3SHG-Windows-03-01-03.16 4 4设备其他安全要求设备其他安全要求.18 4.1屏幕

3、保护.18 4.1.1SHG-Windows-04-01-01.18 4.1.2SHG-Windows-04-01-02.19 4.2共享文件夹及访问权限.20 4.2.1SHG-Windows-04-02-01.20 4.2.2SHG-Windows-04-02-02.21 4.3补丁管理.23 4.3.1SHG-Windows-04-03-01.23 4.4防病毒管理.24 4.4.1SHG-Windows-04-04-01.24 4.4.2SHG-Windows-04-04-02.25 4.5WINDOWS服务.26 4.5.1SHG-Windows-04-05-01.26 4.5.2S

4、HG-Windows-04-05-02.28 4.6启动项.29 4.6.1SHG-Windows-04-06-01.29 4.6.2SHG-Windows-04-06-02.30 本文档是 Windows 操作系统的对于 Win 系统的设备账号认证、日志、协议、补 丁升级、文件系统管理等方面的安全配置要求，共 26 项。对系统的安全配置审计、 加固操作起到指导性作用。 1 1 1 1 账号管理、认证授权账号管理、认证授权账号管理、认证授权账号管理、认证授权 1.11.11.1 账号账号账号账号 1.1.11.1.11.1.11.1.1 SHG-Windows-01-01-01SHG-Wind

5、ows-01-01-01SHG-Windows-01-01-01SHG-Windows-01-01-01 编号 SHG-Windows-01-01-01 名称按照用户类型分配账号 实施目的 根据系统的要求，设定不同的账户和账户组，管理员用户， 数据库用户，审计用户，来宾用户等。 问题影响账号混淆，权限不明确，存在用户越权使用的可能。 系统当前状态 进入“控制面板-管理工具-计算机管理” ，在“系统工具- 本地用户和组”：记录当前用户状态 实施步骤 参考配置操作：参考配置操作： 进入“控制面板-管理工具-计算机管理” ，在“系统工具- 本地用户和组” 。 结合要求和实际业务情况判断符合要求，根据

6、系统的要求， 设定不同的账户和账户组，管理员用户，数据库用户，审 计用户，来宾用户。 回退方案 删除新增加的用户，还原用户权限到初始设置。部分操作 可能无法回退。 判断依据 进入“控制面板-管理工具-计算机管理” ，在“系统工具- 本地用户和组”： 查看账户和账户组，管理员用户，数据库用户，审计用户， 来宾用户等。 根据系统的要求和实际业务情况判断是否符合要求。 实施风险高 重要等级 备注 1.1.21.1.21.1.21.1.2 SHG-Windows-01-01-02SHG-Windows-01-01-02SHG-Windows-01-01-02SHG-Windows-01-01-02 编

7、号 SHG-Windows-01-01-02 名称系统无效帐户清理 实施目的 删除或锁定与设备运行、维护等与工作无关的账号，提高 系统帐户安全。 问题影响 如果不清理无效帐户，则系统将面临默认账号被非法利用 的风险 系统当前状态 进入“控制面板-管理工具-计算机管理” ，在“系统工具- 本地用户和组”：记录当前用户状态，备份系统 SAM 文 件。 实施步骤 参考配置操作：参考配置操作： 进入“控制面板-管理工具-计算机管理” ，在“系统工具- 本地用户和组” 。 删除或锁定与设备运行、维护等与工作无关的账号。 回退方案 增加被删除的用户，激活被锁定的用户，还原用户权限到 初始设置。部分操作可能

8、无法回退。 判断依据 进入“控制面板-管理工具-计算机管理” ，在“系统工具- 本地用户和组”： 查看是否删除或锁定与设备运行、维护等与工作无关的账 号。 根据系统的要求和实际业务情况判断是否符合要求 实施风险高 重要等级 备注 1.1.31.1.31.1.31.1.3 SHG-Windows-01-01-03SHG-Windows-01-01-03SHG-Windows-01-01-03SHG-Windows-01-01-03 编号 SHG-Windows-01-01-03 名称重命名 Administrator，禁用 GUEST 实施目的 对于管理员帐号，要求更改缺省帐户名称；禁用 gue

9、st（来 宾）帐号。提高系统安全性。 问题影响管理员帐号容易被猜解；Guest 账号容易被非法利用 系统当前状态 进入“控制面板-管理工具-计算机管理” ，在“系统工具- 本地用户和组” 。记录当前用户状态 实施步骤 参考配置操作：参考配置操作： 进入“控制面板-管理工具-计算机管理” ，在“系统工具- 本地用户和组” 。 Administrator属性 更改名称 Guest帐号-属性 已停用 回退方案重命名用户名称，还原用户属性设置 判断依据 进入“控制面板-管理工具-计算机管理” ，在“系统工具- 本地用户和组”： 查看管理员账号 Administrator 名称是否修改，Guest 账号

10、 是否禁用。 实施风险低 重要等级 备注 1.21.21.2 口令口令口令口令 1.2.11.2.11.2.11.2.1 SHG-Windows-01-02-01SHG-Windows-01-02-01SHG-Windows-01-02-01SHG-Windows-01-02-01 编号SHG-Windows-01-02-01 名称配置密码策略 实施目的 设置密码策略，减少密码安全风险；防止系统弱口令的存 在，减少安全隐患。对于采用静态口令认证技术的设备， 口令长度至少 6 位，且密码规则至少应采用字母（大小写 穿插）加数字加标点符号（包括通配符）的方式。 问题影响增加系统密码被暴力破解的成功

11、率 系统当前状态 进入“控制面板-管理工具-本地安全策略” ，在“帐户策 略-密码策略”：记录当前密码策略情况。 实施步骤 参考配置操作：参考配置操作： 进入“控制面板-管理工具-本地安全策略” ，在“帐户策 略-密码策略” 。 “密码必须符合复杂性要求”选择“已启动”设置如下策 略 策略策略默认设置默认设置推荐最低设置推荐最低设置 强制执行密码历史记录记住 1 个密码 记住 5 个密码 密码最长期限42 天90 天 密码最短期限0 天2 天 最短密码长度0 个字符8 个字符 密码必须符合复杂性要求禁用启用 为域中所有用户使用可还原的加密来储存密 码 禁用禁用 回退方案还原密码策略到加固之前配

12、置 判断依据 进入“控制面板-管理工具-本地安全策略” ，在“帐户策 略-密码策略”： 查看“密码必须符合复杂性要求” 是否选择“已启动” 。 实施风险低 重要等级 备注 1.2.21.2.21.2.21.2.2 SHG-Windows-01-02-02SHG-Windows-01-02-02SHG-Windows-01-02-02SHG-Windows-01-02-02 编号SHG-Windows-01-02-02 名称配置账户锁定策略 实施目的 设置有效的账户锁定策略有助于防止攻击者猜出系统账户 的密码。 问题影响增加系统密码被暴力破解的成功率 系统当前状态 进入“控制面板-管理工具-本地

13、安全策略” ，在“帐户策 略-账户锁定策略”：记录当前账户锁定策略情况。 实施步骤 参考配置操作：参考配置操作： 进入“控制面板-管理工具-本地安全策略” ，在“帐户策 略-账户锁定策略” 。 设置如下策略： 策略策略默认设置默认设置推荐最低设置推荐最低设置 账户锁定时间未定义30 分钟 账户锁定阈值06 次无效登录 复位账户锁定计数器未定义30 分钟 回退方案还原账户锁定策略到加固之前配置 判断依据 进入“控制面板-管理工具-本地安全策略” ，在“帐户策 略-账户锁定策略”： 查看安全策略是否设置为已启动和按要求配置。 实施风险低 重要等级 备注 1.31.31.3 授权授权授权授权 1.3

14、.11.3.11.3.11.3.1 SHG-Windows-01-03-01SHG-Windows-01-03-01SHG-Windows-01-03-01SHG-Windows-01-03-01 编号SHG-Windows-01-03-01 名称远端系统强制关机设置 实施目的 防止远程用户非法关机，在本地安全设置中从远端系统强 制关机只指派给 Administrators 组 问题影响增加系统被管理员以外的用户非法关闭的风险 系统当前状态 进入“控制面板-管理工具-本地安全策略” ，在“本地策 略-用户权利指派”:查看并记录“从远端系统强制关机” 的当前设置。 实施步骤 参考配置操作：参考配

15、置操作： 进入“控制面板-管理工具-本地安全策略” ，在“本地策 略-用户权利指派” 。 “从远端系统强制关机”设置为“只指派给 Administrators 组” 。 回退方案 还原“从远端系统强制关机”的设置到加固之前配置。 判断依据 进入“控制面板-管理工具-本地安全策略” ，在“本地策 略-用户权利指派”: 查看“从远端系统强制关机”是否设置为“只指派给 Administrators 组” 。 实施风险低 重要等级 备注 1.3.21.3.21.3.21.3.2 SHG-Windows-01-03-02SHG-Windows-01-03-02SHG-Windows-01-03-02SH

16、G-Windows-01-03-02 编号 SHG-Windows-01-03-02 名称关闭系统设置 实施目的 防止管理员以外的用户非法关机，在本地安全设置中关闭 系统仅指派给 Administrators 组 问题影响增加系统被管理员以外的用户非法关闭的风险 系统当前状态 进入“控制面板-管理工具-本地安全策略” ，在“本地策 略-用户权利指派”:查看并记录“关闭系统”的当前设置。 实施步骤 参考配置操作：参考配置操作： 进入“控制面板-管理工具-本地安全策略” ，在“本地策 略-用户权利指派” 。 “关闭系统”设置为“只指派给 Administrators 组” 。 回退方案 还原“关闭

17、系统”的设置到加固之前配置 判断依据 进入“控制面板-管理工具-本地安全策略” ，在“本地策 略-用户权利指派”: 查看“关闭系统”是否设置为“只指派给 Administrators 组” 。 实施风险低 重要等级 备注 1.3.31.3.31.3.31.3.3 SHG-Windows-01-03-03SHG-Windows-01-03-03SHG-Windows-01-03-03SHG-Windows-01-03-03 编号 SHG-Windows-01-03-03 名称“取得文件或其它对象的所有权”设置 实施目的 防止用户非法获取文件，在本地安全设置中取得文件或其 它对象的所有权仅指派给

18、Administrators 问题影响增加系统除管理员以外的用户非法获取文件的风险 系统当前状态进入“控制面板-管理工具-本地安全策略” ，在“本地策 略-用户权利指派”:查看并记录“取得文件或其它对象的 所有权”的当前设置。 实施步骤 参考配置操作：参考配置操作： 进入“控制面板-管理工具-本地安全策略” ，在“本地策 略-用户权利指派” 。 “取得文件或其它对象的所有权”设置为“只指派给 Administrators 组” 。 回退方案 还原“取得文件或其它对象的所有权”的设置到加固之前 配置 判断依据 进入“控制面板-管理工具-本地安全策略” ，在“本地策 略-用户权利指派”： 查看是否

19、“取得文件或其它对象的所有权”设置为“只指 派给 Administrators 组” 。 实施风险低 重要等级 备注 1.3.41.3.41.3.41.3.4 SHG-Windows-01-03-0SHG-Windows-01-03-0SHG-Windows-01-03-0SHG-Windows-01-03-04 4 4 4 编号 SHG-Windows-01-03-04 名称“从本地登陆此计算机”设置 实施目的 防止用户非法登录主机，在本地安全设置中配置指定授权 用户允许本地登陆此计算机 问题影响 增加物理临近攻击和本地物理攻击以及非授权用户非法登 陆主机的风险 系统当前状态 进入“控制面板

20、-管理工具-本地安全策略” ，在“本地策 略-用户权利指派”:查看并记录“从本地登陆此计算机” 的当前设置。 实施步骤 参考配置操作：参考配置操作： 进入“控制面板-管理工具-本地安全策略” ，在“本地策 略-用户权利指派” “从本地登陆此计算机”设置为“指定授权用户” 回退方案 还原“从本地登陆此计算机”的设置到加固之前配置 判断依据 进入“控制面板-管理工具-本地安全策略” ，在“本地策 略-用户权利指派”： 查看是否“从本地登陆此计算机”设置为“指定授权用户” 。 实施风险低 重要等级 备注 1.3.51.3.51.3.51.3.5 SHG-Windows-01-03-0SHG-Wind

21、ows-01-03-0SHG-Windows-01-03-0SHG-Windows-01-03-05 5 5 5 编号 SHG-Windows-01-03-05 名称“从网络访问此计算机”设置 实施目的 防止网络用户非法访问主机，在组策略中只允许授权帐号 从网络访问(包括网络共享等，但不包括终端服务)此计算 机。 问题影响增加非授权用户非法访问主机的风险 系统当前状态进入“控制面板-管理工具-本地安全策略” ，在“本地策 略-用户权利指派”:查看并记录“从网络访问此计算机” 的当前设置。 实施步骤 1、参考配置操作、参考配置操作 进入“控制面板-管理工具-本地安全策略” ，在“本地策 略-用户

22、权利指派” “从网络访问此计算机”设置为“指定授权用户” 回退方案 还原“从网络访问此计算机”的设置到加固之前配置 判断依据 进入“控制面板-管理工具-本地安全策略” ，在“本地策 略-用户权利指派”： 查看是否“从网络访问此计算机”设置为“指定授权用户” 。 实施风险低 重要等级 备注 2 2 2 2 日志配置日志配置日志配置日志配置 2.1.12.1.12.1.12.1.1 SHG-Windows-02-01-01SHG-Windows-02-01-01SHG-Windows-02-01-01SHG-Windows-02-01-01 编号 SHG-Windows-02-01-01 名称审核

23、策略设置 实施目的 设置审核策略，记录系统重要的事件日志，设备应配置日 志功能，对用户登录进行记录，记录内容包括用户登录使 用的账号，登录是否成功，登录时间，以及远程登录时， 用户使用的 IP 地址 问题影响 无法对用户的登陆以及登陆后对系统的操作过程、特权使 用等进行日志记录 系统当前状态 进入“控制面板-管理工具-本地安全策略” ，查看并记录 “审核策略”的当前设置。 实施步骤 参考配置操作：参考配置操作： 开始-运行- 执行“控制面板-管理工具-本地安全策略- 审核策略” 审核登录事件，双击，设置为成功和失败都审核。 “审核策略更改”设置为“成功”和“失败”都要审核 “审核对象访问”设置

24、为“成功”和“失败”都要审核 “审核目录服务器访问”设置为“成功”和“失败”都要 审核 “审核特权使用”设置为“成功”和“失败”都要审核 “审核系统事件”设置为“成功”和“失败”都要审核 “审核账户管理”设置为“成功”和“失败”都要审核 “审核过程追踪”设置为“失败”需要审核 回退方案 还原“审核策略”的设置到加固之前配置 判断依据 开始-运行- 执行“控制面板-管理工具-本地安全策略- 审核策略”： 查看是否设置为成功和失败都审核。 实施风险低 重要等级 备注 2.1.22.1.22.1.22.1.2 SHG-Windows-02-01-02SHG-Windows-02-01-02SHG-W

25、indows-02-01-02SHG-Windows-02-01-02 编号 SHG-Windows-02-01-02 名称日志记录策略设置 实施目的 优化系统日志记录，防止日志溢出。设置应用日志文件大 小至少为 8192KB，设置当达到最大的日志尺寸时，按需要 改写事件 问题影响 如果日志的大小超过系统默认设置，则无法正常记录超过 最大记录值后的所有系统日志、应用日志、安全日志等 系统当前状态 进入“控制面板-管理工具-事件查看器” ，查看并记录 “应用日志” 、 “系统日志” 、 “安全日志”的当前设置 实施步骤 1、参考配置操作、参考配置操作 进入“控制面板-管理工具-事件查看器” ，在

26、“事件查看 器（本地） ”中： “应用日志”属性中的日志大小设置不小于“8192KB” ,设 置当达到最大的日志尺寸时， “按需要改写事件” “系统日志”属性中的日志大小设置不小于“8192KB” ,设 置当达到最大的日志尺寸时， “按需要改写事件” “安全日志”属性中的日志大小设置不小于“8192KB” ,设 置当达到最大的日志尺寸时， “按需要改写事件” 回退方案 还原“应用日志” 、 “系统日志” 、 “安全日志”的设置到加 固之前配置 判断依据 进入“控制面板-管理工具-事件查看器” ，在“事件查看 器（本地） ”中： 查看各项日志属性中日志大小是否设置为不小于 “8192KB” ,是

27、否设置当达到最大的日志尺寸时， “按需要 改写事件” 。 实施风险低 重要等级 备注 3 3 3 3 通信协议通信协议通信协议通信协议 3.13.13.1 IPIPIP 协议安全协议安全协议安全协议安全 3.1.13.1.13.1.13.1.1 SHG-Windows-03-01-01SHG-Windows-03-01-01SHG-Windows-03-01-01SHG-Windows-03-01-01 编号 SHG-Windows-03-01-01 名称启用 TCP/IP 筛选 实施目的 过滤不必要的端口，提高系统安全性，对没有自带防火墙 的 Windows 系统，启用 Windows 系统

28、的 IP 安全机制 (IPSec)或网络连接上的 TCP/IP 筛选，只开放业务所需要的 TCP，UDP 端口和 IP 协议 问题影响 如不有效过滤系统中存在的不必要的端口以及默认的端口 会增加潜在被攻击和非法利用的安全风险 系统当前状态 进入“控制面板网络连接本地连接” ，进入 “Internet 协议（TCP/IP）属性高级 TCP/IP 设置” ，在 “选项”的属性中查看“网络连接上的 TCP/IP 筛选”的状 态，并记录 实施步骤 参考配置操作：参考配置操作： 系统管理员出示业务所需端口列表。 根据列表只开放系统与业务所需端口。 进入“控制面板网络连接本地连接” ，进入 “Intern

29、et 协议（TCP/IP）属性高级 TCP/IP 设置” ，在 “选项”的属性中启用网络连接上的 TCP/IP 筛选，只开放 业务所需要的 TCP，UDP 端口和 IP 协议。 回退方案 还原高级 TCP/IP 的设置到加固之前配置 判断依据 系统管理员出示业务所需端口列表。 根据列表只开放系统与业务所需端口。 进入“控制面板网络连接本地连接” ，进入 “Internet 协议（TCP/IP）属性高级 TCP/IP 设置” ，在 “选项”的属性中启用网络连接上的 TCP/IP 筛选，查看是 否只开放业务所需要的 TCP，UDP 端口和 IP 协议。 利用 Netstat an 命令查看当前系统

30、开放端口是否与系统 管理员所出示的业务所需端口列表相对应；如发现存在与 业务和应用无关的端口，则查明后在 TPC/IP 筛选配置中将 其过滤掉。 实施风险高 重要等级 备注 3.1.23.1.23.1.23.1.2 SHG-Windows-03-01-02SHG-Windows-03-01-02SHG-Windows-03-01-02SHG-Windows-03-01-02 编号 SHG-Windows-03-01-01 名称开启系统防火墙 实施目的 启用 Windows XP 和 Windows 2003 自带防火墙，过滤不必 要的端口，提高系统安全性。根据业务需要限定允许访问 网络的应用程

31、序和允许远程登陆该设备的 IP 地址范围。 问题影响 没有访问控制，系统可能被非法登陆或使用，从而增加潜 在被攻击的安全风险 系统当前状态 进入“控制面板网络连接本地连接” ，在高级选项的 属性中查看 Windows 防火墙的状态，并记录详细情况。 实施步骤 参考配置操作：参考配置操作： 系统管理员出示业务所需端口列表。 根据列表只开放系统与业务所需端口。 进入“控制面板网络连接本地连接” ，在高级选项的 设置中：启用 Windows 防火墙。 在“例外”中配置允许业务所需的程序接入网络。 在“例外-编辑-更改范围”编辑允许接入的网络地址范围。 回退方案 还原高级系统防火墙设置到加固之前配置。

32、 判断依据 进入“控制面板网络连接本地连接” ，在高级选项的 设置中，查看是否启用 Windows 防火墙。 查看是否在“例外”中配置允许业务所需的程序接入网络。 查看是否在“例外-编辑-更改范围”编辑允许接入的网络 地址范围。 实施风险高 重要等级 备注 3.1.33.1.33.1.33.1.3 SHG-Windows-03-01-03SHG-Windows-03-01-03SHG-Windows-03-01-03SHG-Windows-03-01-03 编号 SHG-Windows-03-01-03 名称启用 SYN 攻击保护 实施目的 启用 SYN 攻击保护，提高系统安全性；指定触发 S

33、YN 洪水攻击 保护所必须超过的 TCP 连接请求数阀值为 5；指定处于 SYN_RCVD 状态的 TCP 连接数的阈值为 500；指定处于至少已 发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值为 400。 问题影响 如不启用 SYN 攻击保护，系统则容易被 SYN 拒绝服务攻击后导致 迅速当机。 系统当前状态 在“开始-运行-键入 regedit” 查看并记录注册表 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices、 SynAttackProtect 的值并记录。 查看并记录注册表 HKEY_LOCAL_MACHINESYS

34、TEMCurrentControlSetServices 之下。 TcpMaxPortsExhausted TcpMaxHalfOpen TcpMaxHalfOpenRetried 的值并记录 实施步骤 参考配置操作：参考配置操作： 在“开始-运行-键入 regedit” 启用 SYN 攻击保护的命名值位于注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。值名称：SynAttackProtect。推荐值：2。 以下部分中的所有项和值均位于注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSet

35、Services 之下。 指定必须在触发 SYN flood 保护之前超过的 TCP 连接请求阈值。 值名称：TcpMaxPortsExhausted。推荐值：5。 启用 SynAttackProtect 后，该值指定 SYN_RCVD 状态中的 TCP 连接阈值，超过 SynAttackProtect 时，触发 SYN flood 保 护。值名称：TcpMaxHalfOpen。推荐值数据：500。 启用 SynAttackProtect 后，指定至少发送了一次重传的 SYN_RCVD 状态中的 TCP 连接阈值。超过 SynAttackProtect 时，触发 SYN flood 保护。值名

36、称：TcpMaxHalfOpenRetried。 推荐值数据：400。 回退方案 还原注册表设置到加固之前配置 判断依据 在开始-运行里输入 regedit，进入注册表中打开相应的注册项， 查看键值是否已启用和配置，各注册表键值是否均按要求设置。 实施风险高 重要等级 备注 4 4 4 4 设备其他安全要求设备其他安全要求设备其他安全要求设备其他安全要求 4.14.14.1 屏幕保护屏幕保护屏幕保护屏幕保护 4.1.14.1.14.1.14.1.1 SHG-Windows-04-01-01SHG-Windows-04-01-01SHG-Windows-04-01-01SHG-Windows-0

37、4-01-01 编号 SHG-Windows-04-01-01 名称启用屏幕保护程序 实施目的 启用屏幕保护程序，防止管理员忘记锁定机器被非法攻击； 设置带密码的屏幕保护，并将时间设定为 5 分钟 问题影响 如未启动屏幕保护并采用密码恢复，一旦管理员操作系统 后忘记锁定主机，则容易被非法攻击，以及增加本地物理 临近攻击的风险。 系统当前状态 进入“控制面板显示屏幕保护程序”： 查看是否启用屏幕保护程序 并记录当前的设置 实施步骤 参考配置操作：参考配置操作： 进入“控制面板显示屏幕保护程序”： 启用屏幕保护程序，设置等待时间为“5 分钟” ，启用“在 恢复时使用密码保护” 。 回退方案 还原屏

38、幕保护程序设置到加固之前配置。 判断依据 进入“控制面板显示屏幕保护程序”： 查看是否启用屏幕保护程序，设置等待时间为“5 分钟” ， 启用“在恢复时使用密码保护” 。 在系统桌面上点击鼠标右键，打开属性，查看屏幕保护程 序选项是否已启动和配置。 实施风险低 重要等级 备注 4.1.24.1.24.1.24.1.2 SHG-Windows-04-01-02SHG-Windows-04-01-02SHG-Windows-04-01-02SHG-Windows-04-01-02 编号 SHG-Windows-04-01-02 名称设置 Microsoft 网络服务器挂起时间 实施目的 设置 Mic

39、rosoft 网络服务器挂起时间，防止管理员忘记锁 定机器被非法利用；对于远程登陆的帐号，设置不活动断 连时间 15 分钟 问题影响管理员忘记锁定而被非法利用 系统当前状态 进入“控制面板-管理工具-本地安全策略” ，在“本地策 略-安全选项”： 查看是否“Microsoft 网络服务器”设置为“在挂起会话之 前所需的空闲时间”为 15 分钟。 实施步骤 参考配置操作：参考配置操作： 进入“控制面板-管理工具-本地安全策略” ，在“本地策 略-安全选项”： “Microsoft 网络服务器”设置为“在挂起会话之前所需的 空闲时间”为 15 分钟。 回退方案 还原“挂起会话之前所需的空闲时间”设

40、置到加固之前配 置 判断依据 进入“控制面板-管理工具-本地安全策略” ，在“本地策 略-安全选项”： 查看是否“Microsoft 网络服务器”设置为“在挂起会话之 前所需的空闲时间”为 15 分钟。 实施风险低 重要等级 备注 4.24.24.2 共享文件夹及访问权限共享文件夹及访问权限共享文件夹及访问权限共享文件夹及访问权限 4.2.14.2.14.2.14.2.1 SHG-Windows-04-02-01SHG-Windows-04-02-01SHG-Windows-04-02-01SHG-Windows-04-02-01 编号 SHG-Windows-04-02-01 名称关闭默认共

41、享 实施目的 非域环境中，关闭 Windows 硬盘默认共享，例如 C$，D$，提高 系统安全性能 问题影响 防止攻击者利用系统默认共享如：C$、D$等，非法对系统的硬盘 进行访问，以及通过 IPC$方式暴力破解帐户和密码 系统当前状态 查看并记录：注册表 HKLMSystemCurrentControlSetServicesLanmanServerParameters 增加了 REG_DWORD 类型的 AutoShareServer 键的值。 实施步骤 参考配置操作：参考配置操作： 进入“开始运行Regedit” ，进入注册表编辑器， 更改注册表键值：在 HKLMSystemCurrent

42、ControlSet ServicesLanmanServerParameters下，增加 REG_DWORD 类型的 AutoShareServer 键，值为 0。 回退方案 还原“AutoShareServer” 键的值设置到加固之前配置 判断依据 进入“开始运行Regedit” ，进入注册表编辑器，查看 HKLMSystemCurrentControlSet ServicesLanmanServerParameters下，是否已增加 REG_DWORD 类型的 AutoShareServer 键，值为 0。 实施风险低 重要等级 备注 4.2.24.2.24.2.24.2.2 SHG-W

43、indows-04-02-02SHG-Windows-04-02-02SHG-Windows-04-02-02SHG-Windows-04-02-02 编号 SHG-Windows-04-02-02 名称设置共享文件夹访问权限 实施目的 设置共享文件夹访问权限，防止用户非法访问。只允许授 权的账户拥有权限共享此文件夹。 问题影响增加系统未授权的用户非法访问共享文件夹的风险 系统当前状态 进入“控制面板-管理工具-计算机管理” ，进入“系统工 具共享文件夹”： 查看并记录每个共享文件夹的共享权限。 实施步骤 参考配置操作：参考配置操作： 进入“控制面板-管理工具-计算机管理” ，进入“系统工 具

44、共享文件夹”： 查看每个共享文件夹的共享权限，只将权限授权于指定账 户。 回退方案 还原每个共享文件夹的共享权限到加固之前配置 判断依据 进入“控制面板-管理工具-计算机管理” ，进入“系统工 具共享文件夹”： 查看每个共享文件夹的共享权限。 查看每个共享文件夹的共享权限是否仅限于业务需要，不 设置成为“everyone” 。 实施风险低 重要等级 备注 4.34.34.3 补丁管理补丁管理补丁管理补丁管理 4.3.14.3.14.3.14.3.1 SHG-Windows-04-03-01SHG-Windows-04-03-01SHG-Windows-04-03-01SHG-Windows-0

45、4-03-01 编号 SHG-Windows-04-03-01 名称安装系统补丁 实施目的 修复系统漏洞。应安装最新的 Service Pack 补丁集。对服务 器系统应先进行兼容性测试。 问题影响 如系统未打补丁或补丁未打全，不是最新的补丁，则面临 容易被攻击、渗透和控制的风险 系统当前状态 控制面板-添加或删除程序-显示更新打钩，查看并记录当 前系统安装的补丁 实施步骤 参考配置操作：参考配置操作： 安装最新的 Service Pack 补丁集，以及最新的 Hotfix 补丁。 目前 Windows XP 的 Service Pack 为 SP3。 Windows2000 的 Servic

46、e Pack 为 SP4,Windows 2003 的 Service Pack 为 SP2 回退方案 卸载新安装的补丁 判断依据 进入控制面板-添加或删除程序-显示更新打钩，查看是否 XP 系统已安装 SP3，Win2000 系统已安装 SP4，Win2003 系统已安装 SP2。 同时检查所有的 hotfix，并查看系统安装的最后一个补丁的 发布日期是否与最近最新发布的补丁日期一致。 实施风险高 重要等级 备注 4.44.44.4 防病毒管理防病毒管理防病毒管理防病毒管理 4.4.14.4.14.4.14.4.1 SHG-Windows-04-04-01SHG-Windows-04-04-

47、01SHG-Windows-04-04-01SHG-Windows-04-04-01 编号 SHG-Windows-04-04-01 名称安装、更新杀毒软件 实施目的安装防病毒软件，并及时更新，提高系统防病毒能力 问题影响 如系统中未安装防病毒软件或防病毒软件未及时更新，则 系统面临容易被病毒感染的风险 系统当前状态 查看是否安装杀毒软件；打开防病毒软件控制面板，查看 病毒码更新日期 实施步骤 参考配置操作：参考配置操作： 安装防病毒软件，并将病毒库更新到最新的版本 回退方案 卸载或删除杀毒软件 判断依据 进入控制面板-添加或删除程序，查看是否安装有防病毒 软件。同时打开防病毒软件控制面板，查看病毒码更新日 期。 如已安装防病毒软件，则病毒码更新时间不早于 1 个月， 各系统病毒码升级时间要求参见各系统相关规定。 实施风险低 重要等级 备注 4.4.24.4.24.4.24.4.2 SHG-Windows-04-04-02SHG-Windows-04-04-02SHG-Windows-04-04-02SHG-Windows-04-04-02 编号 SHG-Windows-04-04-02 名称数据执行保护配置 实施目的 提高系统抵抗非法修改文件的性能。对于 Windows XP SP2 及 Windows 200