系統(tǒng)安全配置技術(shù)規(guī)范x

1、系統(tǒng)安全配置技術(shù)規(guī)范w hdows版本FI期2013-06-03文檔編號(hào)文檔發(fā)布212211文檔說(shuō)明（一）變更信息版本號(hào)變更日期變更者變更理由/變更內(nèi)容備注（二）文檔審核人姓名職位簽名日期1. 酬綁 錯(cuò)誤！未定義書(shū)簽。2. 帳號(hào)管理與授權(quán) 錯(cuò)誤！未定義書(shū)簽?！净尽縿h除或鎖定可能無(wú)用的帳戶(hù) 錯(cuò)誤！未定義書(shū)簽?！净尽堪凑沼脩?hù)角色分配不同權(quán)限的帳號(hào) 錯(cuò)誤味定義書(shū)簽。【基本】口令策略設(shè)置不符合復(fù)雜度要求 錯(cuò)誤味定義書(shū)簽?！净尽吭O(shè)定不能重復(fù)使用口令 錯(cuò)誤！未定義書(shū)簽。不使用系統(tǒng)默認(rèn)用戶(hù)名.錯(cuò)誤 味定義書(shū)簽?？诹钌嫫诓坏瞄L(zhǎng)于 90天 錯(cuò)誤！未定義書(shū)簽。設(shè)定連續(xù)認(rèn)證失敗次數(shù).錯(cuò)誤！未定義書(shū)簽。遠(yuǎn)端系

2、統(tǒng)強(qiáng)制關(guān)機(jī)的權(quán)限設(shè)置 錯(cuò)誤！未定義書(shū)簽。關(guān)閉系統(tǒng)的權(quán)限設(shè)置錯(cuò)誤！未定義書(shū)簽。取得文件或其它對(duì)象的所有權(quán)設(shè)置 錯(cuò)誤味定義書(shū)簽。將從本地登錄設(shè)置為指定授權(quán)用戶(hù) 錯(cuò)誤！未定義書(shū)簽。將從網(wǎng)絡(luò)訪問(wèn)設(shè)置為指定授權(quán)用戶(hù) 錯(cuò)誤味定義書(shū)簽。3. HiSSO 錯(cuò)誤！未定義書(shū)簽?！净尽繉徍瞬呗栽O(shè)置中成功失敗都要審核 錯(cuò)誤！未定義書(shū)簽?！净尽吭O(shè)置日志查看器大小 錯(cuò)誤！未定義書(shū)簽。4. F協(xié)議安全要求 錯(cuò)誤！未定義書(shū)簽。開(kāi)啟TCP/iP篩選 錯(cuò)誤！未定義書(shū)簽。啟用防火墻 錯(cuò)誤！未定義書(shū)簽。啟用SYN攻擊保護(hù) 錯(cuò)誤味定義書(shū)簽。5. 眼務(wù)配置要求 錯(cuò)誤！未定義書(shū)簽。NTP服【基本】啟用 務(wù)._ 錯(cuò)誤！未定義書(shū)簽?！净?/p>

3、】關(guān)閉不必要的服務(wù) 錯(cuò)誤！未定義書(shū)簽。【基本】關(guān)閉不必要的啟動(dòng)項(xiàng) 錯(cuò)誤！未定義書(shū)簽?！净尽筷P(guān)閉自動(dòng)播放功能 錯(cuò)誤味定義書(shū)簽?！净尽繉徍薍OST文件的可疑條目 錯(cuò)誤！未定義書(shū)簽?！净尽看嬖谖粗驘o(wú)用的應(yīng)用程序 錯(cuò)誤！未定義書(shū)簽?！净尽筷P(guān)閉默認(rèn)共享._ .錯(cuò)誤！未定義書(shū)簽?！净尽糠堑氖跈?quán)共享 錯(cuò)誤！未泄義書(shū)簽。EVERYONE【基不】snmpcS設(shè)宜 錯(cuò)誤！未定義書(shū)簽。OMMUNKY TRING【基本】刪除可匿名訪問(wèn)共享 錯(cuò)誤！未定義書(shū)簽。關(guān)閉遠(yuǎn)程注冊(cè)表 錯(cuò)誤味定義書(shū)簽。對(duì)于遠(yuǎn)程登陸的帳號(hào)，設(shè)置不活動(dòng)斷開(kāi)時(shí)間為1小時(shí) 錯(cuò)誤！未定義書(shū)簽。IE股務(wù)補(bǔ)丁更新 錯(cuò)誤！未定義書(shū)簽。6 其鍛置要求

4、錯(cuò)誤！未定義書(shū)簽。【基本】安裝防病毒軟件_錯(cuò)誤！未定義書(shū)簽?！净尽颗渲肳 SUS補(bǔ)丁更新服務(wù)器 錯(cuò)誤！未定義書(shū)簽?！净尽縮ERVEE pack補(bǔ)丁更新 錯(cuò)誤味定義書(shū)簽。【堆本】K補(bǔ)丁史欽一“一擠誤！未定義書(shū)釦0TFK設(shè)置帶密碼的屏幕保護(hù)_-錯(cuò)誤！未定義書(shū)簽。交互式登錄不顯示上次登錄用戶(hù)名 錯(cuò)誤！未定義書(shū)簽。1. 適用范圍如無(wú)特殊說(shuō)明，本規(guī)范所有配置項(xiàng)適用于w hdow S操作系統(tǒng)2003、2008系列版本。其中標(biāo)示為“基本”字樣的配置項(xiàng)，均為本公司對(duì)此類(lèi)系統(tǒng)的基本安全配置要求；未標(biāo)示“基本”字樣的配置項(xiàng)，請(qǐng)各系統(tǒng)管理員視實(shí)際需求酌情遵從。2. 帳號(hào)管理與授權(quán)2.1【基本】刪除或鎖定可能無(wú)用

5、的帳戶(hù)配置項(xiàng)描述刪除或鎖定無(wú)用的帳戶(hù)，定期清理無(wú)用賬戶(hù)，防止過(guò)期用戶(hù)非法登入操作系統(tǒng)檢查方法進(jìn)入“控制面板-> 管理工具T計(jì)算機(jī)管理-> 系統(tǒng)工具-> 本地用戶(hù)和組”: 審核不必要的用戶(hù)和組，審核帳戶(hù)隸屬的組權(quán)限，審核組用戶(hù)。操作步驟根據(jù)系統(tǒng)的要求和實(shí)際業(yè)務(wù)情況，設(shè)定不同的帳戶(hù)和帳戶(hù)組，如管理員用戶(hù)、數(shù) 據(jù)庫(kù)用戶(hù)、審計(jì)用戶(hù)、來(lái)賓用戶(hù)等。刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等與工作無(wú)關(guān) 的帳戶(hù)回退操作回退到原有的配置設(shè)置操作風(fēng)險(xiǎn)需要確認(rèn)帳八川途2.2【基本】按照用戶(hù)角色分配不同權(quán)限的帳號(hào)配置項(xiàng)描述按照用戶(hù)角色分配不同權(quán)限的帳號(hào)，保證用戶(hù)權(quán)限最小化檢查方法進(jìn)入“控制面板-> 管理工具

6、-計(jì)算機(jī)管理-> 系統(tǒng)工具-> 本地用戶(hù)和組”: 審核用戶(hù)和組，審核帳戶(hù)隸屬的組權(quán)限，審核組用戶(hù)。操作步驟根據(jù)系統(tǒng)的要求和實(shí)際業(yè)務(wù)情況，設(shè)定不同的帳戶(hù)和帳戶(hù)組，如管理員用戶(hù)、數(shù) 據(jù)庫(kù)用戶(hù)、審計(jì)用戶(hù)、來(lái)賓用戶(hù)等?；赝瞬僮骰赝说皆械呐渲迷O(shè)置操作風(fēng)險(xiǎn)需要確認(rèn)帳戶(hù)用途，確認(rèn)用戶(hù)所需權(quán)限2.3【基本】口令策略設(shè)置不符合復(fù)雜度要求配置項(xiàng)描述口令策略設(shè)置不符合復(fù)雜度要求，口令過(guò)于簡(jiǎn)單，易被黑客破譯檢查方法進(jìn)入“控制面板-> 管理工具-> 本地安全策略”,在“帳戶(hù)策略-> 密碼策略”中：檢查“密碼必須符合復(fù)雜度要求”設(shè)置操作步驟設(shè)置“密碼必須符合復(fù)雜度要求”已開(kāi)啟回退操作回退到

7、原有的配置設(shè)置操作風(fēng)險(xiǎn)低風(fēng)險(xiǎn)2.4【基本】設(shè)定不能重復(fù)使用口令配置項(xiàng)描述設(shè)定不能重復(fù)使用最近 5次（含5次）內(nèi)已使用的口令檢查方法進(jìn)入“控制面板-> 管理工具-> 本地安全策略”,在“帳戶(hù)策略-> 密碼策略”中：檢查“強(qiáng)制密碼歷史”設(shè)置操作步驟設(shè)置“強(qiáng)制密碼歷史”大于等于5回退操作回退到原有的配置設(shè)置操作風(fēng)險(xiǎn)低風(fēng)險(xiǎn)2.5不使用系統(tǒng)默認(rèn)用戶(hù)名配置項(xiàng)描述adm inistratDr 、guest等默認(rèn)帳戶(hù)使用默認(rèn)用戶(hù)名，當(dāng)攻擊者發(fā)起窮舉攻擊時(shí)， 使用默認(rèn)用戶(hù)名，會(huì)大大降低攻擊者的攻擊難度檢查方法進(jìn)入“控制面板T管理工具-計(jì)算機(jī)管理-> 系統(tǒng)工具-> 本地用戶(hù)和組”:

8、檢查adm histrator> guest是否存在。操作步驟adm histrator 、 guest 重命名回退操作回退到原有的配置設(shè)置操作風(fēng)險(xiǎn)可能導(dǎo)致某些自動(dòng)登錄的服務(wù)異常2.6 口令生存期不得長(zhǎng)于90天配置項(xiàng)描述口令生存期不得長(zhǎng)于90天，應(yīng)定期更改用戶(hù)口令檢查方法進(jìn)入“控制面板管理工具 T本地安全策略”，在“帳戶(hù)策略-> 密碼策略”中：檢查“密碼最長(zhǎng)存留期”設(shè)置操作步驟設(shè)置“密碼最長(zhǎng)存留期”小于等于90回退操作回退到原有的配置設(shè)置操作風(fēng)險(xiǎn)低風(fēng)險(xiǎn)2.7設(shè)定連續(xù)認(rèn)證失敗次數(shù)配置項(xiàng)描述設(shè)定連續(xù)認(rèn)證失敗次數(shù)超過(guò)6次（不含6次）鎖定該賬號(hào)檢查方法進(jìn)入“控制面板一> 管理工具本地

9、安全策略”，在“帳戶(hù)策略-> 帳戶(hù)鎖定策略”屮：檢查“帳戶(hù)鎖定閥值”設(shè)置操作步驟設(shè)置“帳戶(hù)鎖定閥值”小于等于6回退操作回退到原有的配置設(shè)置操作風(fēng)險(xiǎn)可能導(dǎo)致惡意嘗試鎖定帳戶(hù)2.8遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)的權(quán)限設(shè)置配置項(xiàng)描述將從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)僅指派給Adm histetois組，避免普通用戶(hù)擁有額外的系統(tǒng)控制權(quán)限檢查方法進(jìn)入“控制面板-> 管理工具-本地安全策略”，在“本地策略中：檢查“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置->用戶(hù)權(quán)利指派”操作步驟設(shè)買(mǎi)“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)"刪除除Adm histmtors以外其他項(xiàng)回退操作回退到原有的配置設(shè)置操作風(fēng)險(xiǎn)可能導(dǎo)致某些系統(tǒng)功能異?；驊?yīng)用非正常運(yùn)

10、行2.9關(guān)閉系統(tǒng)的權(quán)限設(shè)置配置項(xiàng)描述將關(guān)閉系統(tǒng)僅指派給Admhtetois組，避免普通用戶(hù)擁有額外的系統(tǒng)控制權(quán)限檢查方法進(jìn)入“控制面板-> 管理工具-> 本地安全策略”，在“本地策略-> 用戶(hù)權(quán)利指派”屮：檢查“關(guān)閉系統(tǒng)”設(shè)置操作步驟設(shè)置“關(guān)閉系統(tǒng)”刪除除Adm histetois以外其他項(xiàng)回退操作回退到原有的配置設(shè)置操作風(fēng)險(xiǎn)可能導(dǎo)致某些系統(tǒng)功能異?；驊?yīng)用非正常運(yùn)行2.10取得文件或其它對(duì)象的所有權(quán)設(shè)置配置項(xiàng)描述將取得文件或其它對(duì)象的所有權(quán)設(shè)置僅指派給 戶(hù)擁有額外的系統(tǒng)控制權(quán)限Adm inistetois組，避免普通用檢查方法進(jìn)入“控制面板-> 管理工具-> 本地

11、安全策略”, 屮：檢查“取得文件或其它對(duì)彖的所有權(quán)”設(shè)置在“本地策略->用戶(hù)權(quán)利指派”操作步驟設(shè)置“取得文件或其它對(duì)彖的所有權(quán)”刪除除Adm histetors以外其他項(xiàng)回退回退到原有的配置設(shè)置操作風(fēng)險(xiǎn)可能導(dǎo)致某些系統(tǒng)功能異?；驊?yīng)用非正常運(yùn)行2.11將從本地登錄設(shè)置為指定授權(quán)用戶(hù)配置項(xiàng)描述將從本地登錄設(shè)置為指定授權(quán)用戶(hù)，將登陸權(quán)限賦予指定用戶(hù)檢查方法進(jìn)入“控制面板-> 管理工具T本地安全策略”，在“本地安全策略 派”中：檢查“允許在本地登錄”設(shè)置->用戶(hù)權(quán)利指操作步驟設(shè)置“允許在本地登錄”只保留授權(quán)用戶(hù)，刪除其他項(xiàng)回退操作回退到原有的配置設(shè)置操作風(fēng)險(xiǎn)可能導(dǎo)致某些系統(tǒng)功能異?；?/p>

12、應(yīng)用非正常運(yùn)行2.12將從網(wǎng)絡(luò)訪問(wèn)設(shè)置為指定授權(quán)用戶(hù)配置項(xiàng)描述將從網(wǎng)絡(luò)訪問(wèn)設(shè)置為指定授權(quán)用戶(hù)檢查方法進(jìn)入“控制面板-> 管理工具-> 本地安全策略”，在“本地策略 中：檢查“從網(wǎng)絡(luò)訪問(wèn)”設(shè)置->用戶(hù)權(quán)利指派”操作步驟設(shè)置“從網(wǎng)絡(luò)訪問(wèn)”只保留授權(quán)用戶(hù)，刪除其他項(xiàng)回退操作回退到原有的配置設(shè)置操作風(fēng)險(xiǎn)可能導(dǎo)致某些系統(tǒng)功能異?；驊?yīng)用非正常運(yùn)行3. 日志配置要求3.1【基本】審核策略設(shè)置中成功失敗都要審核配置項(xiàng)描述記錄系統(tǒng)的所有審核信息，審核策略設(shè)置中成功失敗都要審核檢查方法進(jìn)入“控制面板-> 管理工具-> 本地安全策略”，在“本地策略-> 審核策略”中：查看是否符合

13、操作中提到的各標(biāo)準(zhǔn)操作步驟將不符合評(píng)估內(nèi)容項(xiàng)進(jìn)行加固，安全標(biāo)準(zhǔn)設(shè)置如下： 審核策略更改：成功和失敗審核登錄事件：成功和失敗審核系統(tǒng)事件：成功和失敗審核帳戶(hù)登錄事件：成功和失敗審核帳戶(hù)管理：成功和失敗審核對(duì)象訪問(wèn)：成功和失敗審核特權(quán)使用：成功和失敗審核目錄服務(wù)訪問(wèn)：成功和失敗審核過(guò)程跟蹤：失敗其他設(shè)置無(wú)要求。回退操作回退到原有的配置設(shè)置操作風(fēng)險(xiǎn)開(kāi)啟無(wú)用的審核可能降低系統(tǒng)性能并占用一定磁盤(pán)空間3.2【基本】設(shè)置日志查看器大小配置項(xiàng)描述將應(yīng)用、系統(tǒng)、安全日志查看器大小設(shè)置為至少8192KB檢查方法進(jìn)入“控制面板-> 管理工具-> 事件查看器”，在“事件查看器（本地）”中：（在 應(yīng)用程序日

14、志、安全日志和系統(tǒng)日志上點(diǎn)右鍵，看屬性中的日志大小上限設(shè)置， 單位為KBo ）查看是否符合操作中提到的各標(biāo)準(zhǔn)操作步驟將不符合評(píng)估內(nèi)容項(xiàng)進(jìn)行加固，應(yīng)用日志的容量為8192KB,安全日志的容量為8192KB,系統(tǒng)日志的容量為8192KB,設(shè)置當(dāng)達(dá)到最大的日志大小時(shí)，“按需要覆 蓋事件”。并且用戶(hù)有流程定期轉(zhuǎn)存日志回退操作回退到原有的配置設(shè)置操作風(fēng)險(xiǎn)低風(fēng)險(xiǎn)4. F協(xié)議安全要求4.1開(kāi)啟TCP/IP篩選配置項(xiàng)描述對(duì)于不自帶W hdows防火墻的系統(tǒng)，需開(kāi)啟TCP/P篩選，切只能開(kāi)放業(yè)務(wù)所需要的TCP、UDP端口和1P協(xié)議檢查方法先請(qǐng)系統(tǒng)管理員出示業(yè)務(wù)所需端口列表。進(jìn)入“控制面板一網(wǎng)絡(luò)連接一 本地連接一

15、Jnteinet協(xié)議(TCP您)屬性一高級(jí)TCP/IP設(shè)置”，在“選項(xiàng)”的屬性屮啟用網(wǎng)絡(luò)連接上的TCP/IP篩選，根據(jù)TCP、UDP端口和F協(xié)萬(wàn)il弟杏丟具丕口 *諭11/夂命雲(yún)亜的計(jì)-操作步驟注意異常端口，與管理員追查異常端口相關(guān)項(xiàng)。對(duì)沒(méi)有自帶防火墻的W hdows系統(tǒng)，啟用W hdows系統(tǒng)的F安全機(jī)制(FSec)或網(wǎng)絡(luò)連接上的TCP/IP篩選，只并就11/夂斬垂克備 TC PHDP謝門(mén)禾口 1P仇初一回謂撫作回謂到哼有的配置設(shè)曽操作風(fēng)險(xiǎn)拡須正確設(shè)置網(wǎng)絡(luò)訪問(wèn)控制策略，否則可能導(dǎo)致某歧應(yīng)用無(wú)法正常訪問(wèn)網(wǎng)絡(luò)4.2啟用防火墻配置項(xiàng)描述啟用W hdow s自帶防火墻，且根據(jù)業(yè)務(wù)需要限定允許訪問(wèn)網(wǎng)絡(luò)

16、的應(yīng)用程序，和允許延程登陸該設(shè)備的臚地址范兩檢查方法進(jìn)入“控制面板一網(wǎng)絡(luò)連接一本地連接”，在高級(jí)選項(xiàng)的設(shè)置屮，查看是否啟用 W hdow s防火墻。查看是否在“例外”中配置允許業(yè)務(wù)所需的程序接入網(wǎng)絡(luò)。操作步驟將不符合評(píng)估內(nèi)容項(xiàng)進(jìn)行加固，啟用 W hdows自帶防火墻。根據(jù)業(yè)務(wù)需要限定允 許訪問(wèn)網(wǎng)絡(luò)的應(yīng)用程序，和允許遠(yuǎn)程登陸該設(shè)備的JP地址范禺。操作風(fēng)險(xiǎn)必須止確設(shè)置網(wǎng)絡(luò)訪問(wèn)控制策略，否則可能導(dǎo)致某些應(yīng)用無(wú)法止常訪問(wèn)網(wǎng)絡(luò)4.3啟用SYN攻擊保護(hù)陽(yáng)曽項(xiàng)描述啟用SYN改擊保護(hù)，半攻擊者發(fā)起 SYN攻擊時(shí)，避僥 CPU和內(nèi)存瓷瀝被過(guò)度消耗口匕且.七火J |11XI：檢查方法1 丿 八 J Q 上沙 &q

17、uot;TA. UM J/ ， J1 .-A. 3-11 'TA. I-M H J 9 xtLLTZtu'f-w r V 1 JIZX; Ai7 X. rrj T U在“開(kāi)始-> 運(yùn)行-> 鍵入rcgedit ” o啟用SYN攻擊保護(hù)的命名值位于注冊(cè)表項(xiàng)HKEY_LOCAL_M ACH1NE SY STEM urreniC ontoE et ervicesZ下：； 值名稱(chēng):S ynA ttackP m tec.tW hdows2000 推薦值：2W hdow s2003 推薦值：1以下部分中的所有項(xiàng)和值均位于注冊(cè)表項(xiàng)HKEY_LOCAL_M ACH1NSYSTEM

18、V urrcnlC ontoE e6 ervrres之下：指定必須在觸發(fā)SYN fbod 保護(hù)之前超過(guò)的TCP連接請(qǐng)求閾值：值名稱(chēng)：TcpM axPortsExhausted推薦值：5啟用SynAttackPiotect后，該值指定 SYN_RCVD狀態(tài)中的TCP連接閾值，超SynAttackPiutect時(shí)，觸發(fā) SYN flood 保護(hù)：值名稱(chēng)：TcpM axH aM) pen推薦值數(shù)據(jù)：500啟用SvnAttackPiotect后，指定至少發(fā)送了一次重傳的SYN_RCVD狀態(tài)中的TCP連接閾值，超過(guò) SynAttackPiotect時(shí)，觸發(fā)SYN flood 保護(hù)：值名稱(chēng)：TcpM ax

19、H aW penR etried推薦值數(shù)據(jù)：400操作步驟1、備份注冊(cè)表原有的配置設(shè)置2、將不符合評(píng)估內(nèi)容項(xiàng)進(jìn)行加固，啟用SYN攻擊保護(hù)：指定觸發(fā)SYN洪水攻擊保護(hù)所必須超過(guò)的 TCP連接請(qǐng)求數(shù)閥值為5；指定處于SYN.RCVD狀態(tài)的TCP連接數(shù)的閾值為500；指定處于至少已發(fā)送一次重傳的SYN_RCVD狀態(tài)屮的TCP連接數(shù)的閾值為400o回退操作回退到原有的配置設(shè)置操作風(fēng)險(xiǎn)必須正確設(shè)置網(wǎng)絡(luò)訪問(wèn)控制策略，否則可能導(dǎo)致某些應(yīng)用無(wú)法正常訪問(wèn)網(wǎng)絡(luò)5. 服務(wù)配置要求5.1【基本】啟用 NTP服務(wù)配置項(xiàng)描述啟用NTP服務(wù)，配置統(tǒng)一服務(wù)器時(shí)鐘，應(yīng)開(kāi)啟NTP服務(wù)向網(wǎng)絡(luò)內(nèi)指定的 NTPsewer 同步時(shí)鐘。檢

20、查方法對(duì)于已加入域的服務(wù)器，系統(tǒng)將自動(dòng)與域控服務(wù)器同步時(shí)鐘； 對(duì)于未加入域的服務(wù)器，需按以下步驟配置。操作步驟點(diǎn)擊桌面右下角時(shí)鐘欄，開(kāi)啟“更改日期和時(shí)鐘設(shè)置”-“jntemet時(shí)間”開(kāi)啟“自動(dòng)與htemet時(shí)間服務(wù)器同步”選型，在服務(wù)器欄中填寫(xiě)NTPsezve工的F地址，然后點(diǎn)擊“立即更新”回退操作恢復(fù)系統(tǒng)原有NTP配置操作風(fēng)險(xiǎn)需要時(shí)間源，屮風(fēng)險(xiǎn)，系統(tǒng)時(shí)間更改5.2【基本】關(guān)閉不必要的服務(wù)配置項(xiàng)描述列出所需要服務(wù)的列表（包括所需的系統(tǒng)服務(wù) ）,不在此列表的服務(wù)需關(guān)閉檢查方法進(jìn)入“控制面板-> 管理工具-計(jì)算機(jī)管理”，進(jìn)入“服務(wù)和應(yīng)用程序”: 查看所有服務(wù)，不在此列表的服務(wù)需關(guān)閉。操作步驟

21、關(guān)閉不需要的服務(wù)回退操作回退到原有的配置設(shè)置操作風(fēng)險(xiǎn)關(guān)閉或停止某些服務(wù)可能導(dǎo)致應(yīng)用運(yùn)行異常5.3【基本】關(guān)閉不必要的啟動(dòng)項(xiàng)配置項(xiàng)描述關(guān)閉不必要的啟動(dòng)項(xiàng)，優(yōu)化系統(tǒng)資源，同時(shí)減少引入不必要的系統(tǒng)漏洞檢查方法“開(kāi)始-> 運(yùn)行->M Scon俺”啟動(dòng)菜單中檢查啟動(dòng)項(xiàng)操作步驟關(guān)閉不必要的啟動(dòng)項(xiàng)回退操作回退到原有的配置設(shè)置操作風(fēng)險(xiǎn)需要確認(rèn)啟動(dòng)項(xiàng)是否必須5.4【基本】關(guān)閉自動(dòng)播放功能配置項(xiàng)描述關(guān)閉自動(dòng)播放功能，避免執(zhí)行未經(jīng)掃描或確認(rèn)的文件，從而引入木馬或病毒檢查方法點(diǎn)擊開(kāi)始一運(yùn)行一輸入，打開(kāi)組策略編輯器，計(jì)算機(jī)配置一管理模板一系統(tǒng)，在 右邊窗格中雙擊“關(guān)閉自動(dòng)播放”，檢查 “關(guān)閉自動(dòng)播放”項(xiàng)設(shè)置

22、操作步驟在“關(guān)閉自動(dòng)播放”對(duì)話(huà)框中，選擇“已啟用”，并選擇“所有驅(qū)動(dòng)器”，確定即可回退操作回退到原有的配置設(shè)置操作風(fēng)險(xiǎn)低風(fēng)險(xiǎn)5.5【基本】審核 HOST文件的可疑條目配置項(xiàng)描述刪除HOST文件下的可疑條目檢查方法查看是否符合操作屮提到的標(biāo)準(zhǔn)，檢查C:vindowssystem32driversbtc目錄下的用于靜態(tài)DNS解析的HOSTS文件內(nèi)容是否正常操作步驟1、備份HOSTS文件2、將不符合評(píng)估內(nèi)容項(xiàng)進(jìn)行加固，確保C :V indow sVystem 32ieiste目錄下的用于靜態(tài)DNS解析的HOSTS文件內(nèi)容正常，對(duì)于未知條目可以與管理員查回退操作將備份的HOSTS文件替換更改的文件操作

23、風(fēng)險(xiǎn)與系統(tǒng)管理員確認(rèn)后可執(zhí)行加固5.6【基本】存在未知或無(wú)用的應(yīng)用程序配置項(xiàng)描述存在未知或無(wú)用的應(yīng)用程序，應(yīng)定期清理應(yīng)用程序列表屮無(wú)用或未知的程序，防 止系統(tǒng)被植入木馬或病毒檢查方法檢查“添加或刪除程序”面板中的列表操作步驟備份需要協(xié)助的應(yīng)用程序的配置文件不要安裝不必要的應(yīng)用程序，向管理員確認(rèn)可卸載的應(yīng)用軟件項(xiàng)回退重新安裝卸載的應(yīng)用重新，恢復(fù)配置文件操作風(fēng)險(xiǎn)需要確認(rèn)應(yīng)用是否必須，可能需要重啟系統(tǒng)5.7【基本】關(guān)閉默認(rèn)共享配置項(xiàng)描述關(guān)閉默認(rèn)共享，未經(jīng)確認(rèn)的共享操作，尤其是對(duì)eveiyone的共享，會(huì)對(duì)信息安全造成嚴(yán)重威脅檢查方法netshare 或計(jì)算機(jī)管理一共享操作步驟關(guān)閉W hdows硬盤(pán)默

24、認(rèn)共享，例如ADM 1N$, C$, D$o進(jìn)入“開(kāi)始一 >運(yùn)行一 >Regedit”，進(jìn)入注冊(cè)表編輯器，更改注冊(cè)表鍵值：在下，增力口 REG_DW ORD類(lèi)型的一口退操作,冋退到原有的配置說(shuō)置撫作風(fēng)險(xiǎn)可能導(dǎo)徹慕些必須使用曲享的用用非正常運(yùn)行5.8【基本】非everyone的授權(quán)共享陽(yáng)曾頂描沐井亭立件丈中（得習(xí)口介許捋權(quán)的阡戶(hù)擁有權(quán)限tt亨葉立件衣檢查方注檢查社亨文件夾屮的授權(quán)用戶(hù)操作歩驟褂置共享立件夾中的捋權(quán)用戶(hù)為指定用戶(hù)，而非KYVCnQ回謂根作回涓到原有的配臂設(shè)習(xí)操作風(fēng)險(xiǎn)須經(jīng)測(cè)試，可能導(dǎo)致某些使用井享的應(yīng)用異常5.9【基本】SNMP CommunityS trhg 設(shè)置配置項(xiàng)

25、描述如需啟用 SNMP服務(wù)，修改默認(rèn)SNMP Community設(shè)置:Ml檢查方法進(jìn)入“控制面板-> 管卻丁具-> 計(jì)算機(jī)管理”,進(jìn)入“服務(wù)和應(yīng)用程序”: 檢查“ SNMP Seivre",“屬性”面板中的“安全”選項(xiàng)卡的strings 設(shè)置com m unity操作步驟com m unify strings改為其他，不是默認(rèn)的“ public ”回退操作回退到原有的配置設(shè)置操作風(fēng)險(xiǎn)可能導(dǎo)致服務(wù)不正常5.10【基本】刪除可匿名訪問(wèn)共享配置項(xiàng)描述刪除可匿名訪問(wèn)共享，共享文件應(yīng)明確共享對(duì)象，且不允許匿名訪問(wèn)檢查方法進(jìn)入“控制面板-> 管理工具-> 本地安全策略”，

26、 檢查“網(wǎng)絡(luò)訪問(wèn)：可匿名訪問(wèn)的共享”設(shè)置在“本地策略-> 安全選項(xiàng)”中：操作步驟刪除“網(wǎng)絡(luò)訪問(wèn)：可匿名訪問(wèn)的共享”屮的所有項(xiàng)回退操作回退到原有的配置設(shè)置操作風(fēng)險(xiǎn)可能導(dǎo)致某些系統(tǒng)功能異?；驊?yīng)用非正常運(yùn)行5.11關(guān)閉遠(yuǎn)程注冊(cè)表配置項(xiàng)描述關(guān)閉遠(yuǎn)程注冊(cè)表，防止用戶(hù)遠(yuǎn)程修改或查看系統(tǒng)注冊(cè)表檢查方法進(jìn)入“控制面板-> 管理工具-計(jì)算機(jī)管理”，進(jìn)入“服務(wù)和應(yīng)用程序”: ，檢查 “ R em ote R egistry ”操作步驟設(shè)置"R em ote R egistrv ” 已停用回退操作回退到原有的配置設(shè)置操作風(fēng)險(xiǎn)某些應(yīng)用可能需要此功能5.12對(duì)于遠(yuǎn)程登陸的帳號(hào)，設(shè)置不活動(dòng)斷開(kāi)時(shí)間為

27、 1小時(shí)配置項(xiàng)描述對(duì)于遠(yuǎn)程登陸的帳號(hào)，設(shè)置不活動(dòng)斷開(kāi)時(shí)間為1小時(shí)，長(zhǎng)時(shí)間空閑賬戶(hù)將自動(dòng)退出檢查方法進(jìn)入“控制面板-> 管理工具-> 本地安全策略”,在“本地策略-> 安全選項(xiàng)” +：檢杳“ M riosoft網(wǎng)絡(luò)服務(wù)器：在掛起矣話(huà)前所需的簾閑時(shí)間”設(shè)置操作步驟設(shè)置“ M rmso仕 網(wǎng)絡(luò)服務(wù)器：在掛起會(huì)話(huà)前所需的牢閑時(shí)間”小于等于1小時(shí)回退操作退到原有的配置設(shè)置操作風(fēng)險(xiǎn)可能導(dǎo)致某些應(yīng)用運(yùn)行異常5.13 IE服務(wù)補(bǔ)丁更新配置項(xiàng)描述如需啟用ns服務(wù)，ns服務(wù)補(bǔ)丁需及時(shí)更新檢查方法檢查ns版本操作步驟安裝ns補(bǔ)丁包或升級(jí)到回退操作卸載ns 補(bǔ)丁包操作風(fēng)險(xiǎn)可能導(dǎo)致服務(wù)不正常6. 其它配置要求6.1【基本】安裝防病毒軟件配置項(xiàng)描述安裝防病毒軟件和防病毒軟件并及時(shí)升級(jí)檢查方法檢查殺毒軟件的安裝和升級(jí)情況操作步驟安裝殺毒軟件并升級(jí)到最新版本回退操作卸載殺毒軟件或回退到以前版本操作風(fēng)險(xiǎn)需要重啟并可能誤刪正常的系統(tǒng)或應(yīng)用文件6.2【基本】配置 W SUS補(bǔ)丁更新服務(wù)器配置項(xiàng)描述指定系統(tǒng)獲取補(bǔ)丁的位置，將更新源指向wsus服務(wù)器檢查方法1. 執(zhí)行rcgedit調(diào)出注冊(cè)表編輯器2. 查看參數(shù)|HKEY_LO C AL_M ACHINESOFTW ARE olriesl