windows操作系統(tǒng)安全加固指引

1、windows操作系統(tǒng)安全加固指南*有限公司*年*月版本歷史版本作者參與者起止日期描述V1.0許劍雄1:概述(1)服務(wù)器操作系統(tǒng)建議windows2008 R2 sp1及以上版本。(2)服務(wù)器禁止安裝無關(guān)軟件。(3)服務(wù)器防火墻禁止關(guān)閉。(4)服務(wù)器必須安裝殺毒軟件。2：檢查項(xiàng)詳情帳號(hào)管理2.1.0密碼長度最小值名稱口令重復(fù)使用次數(shù)限制判定依據(jù)檢測(cè)方法進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“帳戶策略密碼策略”：查看是否“密碼 長度最小值”設(shè)置為“10個(gè)字符”。加固方案參考配置操作進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“帳戶策略密碼策略”：“密碼長度最小 值”設(shè)置為“10個(gè)字

2、符”。啟用審核對(duì)象訪問的審核名稱啟用審核對(duì)象訪問的審核判定依據(jù)檢測(cè)方法進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“本地策略審核策略”中：查看是否“審 核對(duì)象訪問”設(shè)置為“成功”和“失敗”都要審核。判定依據(jù)審核對(duì)象訪問設(shè)置為“成功”和“失敗”都要審核則合規(guī)，否則不合規(guī)。加固方案參考配置操作進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-審核策略”中：“審核對(duì)象 訪問”設(shè)置為“成功”和“失敗”都要審核。除了過程追蹤失敗都是成功失敗口令重復(fù)使用次數(shù)限制名稱口令重復(fù)使用次數(shù)限制判定依據(jù)檢測(cè)方法進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“帳戶策略密碼策略”：查看是否“強(qiáng)制 密碼歷史”

3、設(shè)置為“記住5個(gè)密碼”。判定依據(jù)強(qiáng)制密碼歷史=5則合規(guī)，否則不合規(guī)。加固方案參考配置操作進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“帳戶策略- 密碼策略”：“強(qiáng)制密碼歷史” 設(shè)置為“記住5個(gè)密碼”。共享文件夾權(quán)限設(shè)置名稱共享文件夾權(quán)限設(shè)置判定依據(jù)檢測(cè)方法進(jìn)入“控制面板- 管理工具- 計(jì)算機(jī)管理”，進(jìn)入“系統(tǒng)工具一 共享文件夾”：查看每個(gè)共 享文件夾的共享權(quán)限，是否設(shè)置成為everyone。判定依據(jù)共享文件夾權(quán)限設(shè)置成為everyone則不合規(guī)，否則合規(guī)。加固方案參考配置操作進(jìn)入“控制面板- 管理工具- 計(jì)算機(jī)管理”，進(jìn)入“系統(tǒng)工具一 共享文件夾”：查看每個(gè)共 享文件夾的共享權(quán)限，只將權(quán)限

4、授權(quán)于指定賬戶。禁用guest用戶名稱禁用guest用戶判定依據(jù)檢測(cè)方法進(jìn)入“控制面板-管理工具-計(jì)算機(jī)管理”，在“系統(tǒng)工具-本地用戶和組”，查看guest賬 號(hào)狀態(tài)。判定依據(jù)guest賬號(hào)被禁用則合規(guī)，否則不合規(guī)。加固方案參考配置操作進(jìn)入控制面板-管理工具-計(jì)算機(jī)管理，在“系統(tǒng)工具-本地用戶和組”：找到guest用戶將 guest用戶禁用?？诹钌嬷芷谝竺Q口令生存周期要求判定依據(jù)檢測(cè)方法進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“帳戶策略密碼策略”：查看是否“密碼 最長存留期”設(shè)置為“不長于90天”。判定依據(jù)密碼最長存留期 管理工具- 本地安全策略”，在“帳戶策略密碼策略”：“密碼

5、最長存留 期”設(shè)置為“不長于90天”。管理缺省賬號(hào)更改缺省帳戶名稱名稱管理缺省賬號(hào)更改缺省帳戶名稱判定依據(jù)檢測(cè)方法進(jìn)入“控制面板- 管理工具- 計(jì)算機(jī)管理”，在“系統(tǒng)工具- 本地用戶和組”：缺省帳戶一 屬性一 查看是否更改名稱。判定依據(jù)administrators組賬號(hào)中不存在名稱為administrator的賬號(hào)則合規(guī)，否則不合規(guī)。加固方案參考配置操作進(jìn)入“控制面板-管理工具-計(jì)算機(jī)管理”，在“系統(tǒng)工具-本地用戶和組-用戶”：Administrator 屬性一 更改名稱?？诹铈i定策略名稱口令鎖定策略判定依據(jù)檢測(cè)方法進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“帳戶策略帳戶鎖定策略”：查看

6、“賬戶鎖定閥值”配置。判定依據(jù)賬戶鎖定閥值=5且=1則合規(guī)，否則不合規(guī)。加固方案參考配置操作進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“帳戶策略帳戶鎖定策略”：“賬戶鎖定 閥值”設(shè)置為5次?？诹畈呗栽O(shè)置符合復(fù)雜度要求名稱口令策略設(shè)置符合復(fù)雜度要求判定依據(jù)檢測(cè)方法進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“帳戶策略密碼策略”：查看是否“密碼 必須符合復(fù)雜性要求”選擇“已啟動(dòng)”。判定依據(jù)密碼必須符合復(fù)雜度要求狀態(tài)為啟動(dòng)則合規(guī)，否則不合規(guī)。加固方案參考配置操作進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“帳戶策略密碼策略”：“密碼必須符合 復(fù)雜性要求”選擇“已啟動(dòng)”。設(shè)置屏幕鎖定名稱

7、設(shè)置屏幕鎖定判定依據(jù)檢測(cè)方法進(jìn)入“控制面板一 顯示一 屏幕保護(hù)程序”：查看是否啟用屏幕保護(hù)程序，且在恢復(fù)時(shí)是否 使用密碼保護(hù)。判定依據(jù)啟用了屏幕保護(hù)程序且在屏幕恢復(fù)時(shí)使用了密碼保護(hù)功能則合規(guī)，否則不合規(guī)。加固方案參考配置操作進(jìn)入“控制面板一顯示一屏幕保護(hù)程序”：啟用屏幕保護(hù)程序設(shè)置等待時(shí)間為“5分鐘”， 啟用“在恢復(fù)時(shí)使用密碼保護(hù)”。帳戶鎖定時(shí)間名稱帳戶鎖定時(shí)間判定依據(jù)檢測(cè)方法進(jìn)入“控制面板”-“管理工具”本地安全策略-帳號(hào)策略”-“帳號(hào)鎖定策略”，查看 “帳號(hào)鎖定時(shí)間”是否修改為30分鐘。判定依據(jù)帳號(hào)鎖定時(shí)間大于等于30則合規(guī)，否則不合規(guī)。加固方案參考配置操作“控制面板”-“管理工具”本地安

8、全策略-帳號(hào)策略”-“帳號(hào)鎖定策略”，修改“帳 號(hào)鎖定時(shí)間”為30分鐘。復(fù)位帳戶鎖定計(jì)數(shù)器名稱復(fù)位帳戶鎖定計(jì)數(shù)器判定依據(jù)檢測(cè)方法“控制面板”-“管理工具”-“本地安全策略-帳號(hào)策略”-“帳號(hào)鎖定策略”，查看是否 修改“復(fù)位帳戶鎖定計(jì)數(shù)器”是否修改為3分鐘。判定依據(jù)復(fù)位帳戶鎖定計(jì)數(shù)器設(shè)置為=3分鐘時(shí)合規(guī)，否則不合規(guī)。加固方案參考配置操作“控制面板”-“管理工具”-本地安全策略-帳號(hào)策略”-“帳號(hào)鎖定策略”，修改“復(fù) 位帳戶鎖定計(jì)數(shù)器”為3分鐘。禁止 RoutingAndRemoteAccess名稱禁止 RoutingAndRemoteAccess判定依據(jù)檢測(cè)方法進(jìn)入“控制面板”-“管理工具”-“

9、服務(wù)”，找到Routing and Remote Access服務(wù)項(xiàng)，查看 其狀態(tài)。判定依據(jù)Routing and Remote Access服務(wù)處于禁止?fàn)顟B(tài)則合規(guī)，否則不合規(guī)。加固方案參考配置操作“控制面板”-“管理工具”-“服務(wù)”，找到Routing and Remote Access服務(wù)項(xiàng)，將其啟動(dòng) 類型設(shè)置為已禁用，并停止該服務(wù)。管理賬號(hào)共享名稱管理賬號(hào)共享判定依據(jù)檢測(cè)方法執(zhí)行以下命令查看系統(tǒng)中存活的賬號(hào)：#wmic useraccount where (Disabled=FALSE and LocalAccount=TRUE) get name | find /v /i name判定

10、依據(jù)系統(tǒng)中有存活的賬號(hào)則合規(guī)，否則不合規(guī)。加固方案參考配置操作打開命令提示符，運(yùn)行命令compmgmt.msc”打開計(jì)算機(jī)管理面板，瀏覽到路徑“計(jì)算機(jī)管 理(本地)系統(tǒng)工具本地用戶和組用戶”，新建一個(gè)用戶并啟用它?？诹畈呗躁P(guān)鍵權(quán)限指派安全要求取得文件或其他對(duì)象的所有權(quán)名稱關(guān)鍵權(quán)限指派安全要求取得文件或其他對(duì)象的所有權(quán)判定依據(jù)檢測(cè)方法進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權(quán)利指派”：查看是否“取 得文件或其它對(duì)象的所有權(quán)”設(shè)置為“只指派給Administrators組”。判定依據(jù)“取得文件或其它對(duì)象的所有權(quán)”設(shè)置為“只指派給Administrators組”。加固方案參考配置

11、操作進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“本地策略用戶權(quán)利指派”：“取得文件 或其它對(duì)象的所有權(quán)”設(shè)置為“只指派給Administrators組”。關(guān)鍵權(quán)限指派安全要求關(guān)閉系統(tǒng)名稱關(guān)鍵權(quán)限指派安全要求關(guān)閉系統(tǒng)判定依據(jù)檢測(cè)方法進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“本地策略- 用戶權(quán)利指派”：查看“關(guān)閉 系統(tǒng)”設(shè)置為“只指派給Administrators組”。判定依據(jù)“關(guān)閉系統(tǒng)”設(shè)置為“只指派給Administrators組”則合規(guī)，否則不合規(guī)。加固方案參考配置操作進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權(quán)利指派”：“關(guān)閉系統(tǒng)” 設(shè)置為“只指派給Admi

12、nistrators組”。記錄帳戶登錄日志名稱記錄帳戶登錄日志判定依據(jù)檢測(cè)方法點(diǎn)擊開始-運(yùn)行- 執(zhí)行控制面板-管理工具-本地安全策略-審核策略”審核登錄事件， 雙擊，查看是否設(shè)置為成功和失敗都審核。判定依據(jù)審核登錄事件設(shè)置為成功和失敗都審核則合規(guī)，否則不合規(guī)。加固方案參考配置操作開始-運(yùn)行- 執(zhí)行控制面板-管理工具-本地安全策略-審核策略”審核登錄事件，雙擊， 設(shè)置為成功和失敗都審核。啟用審核帳戶管理的審核名稱啟用審核帳戶管理的審核判定依據(jù)檢測(cè)方法進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“本地策略審核策略”中：查看是否“審 核賬戶管理”設(shè)置為“成功”和“失敗”都要審核。判定依據(jù)審核賬戶

13、管理設(shè)置為“成功”和“失敗”都要審核則合規(guī)，否則不合規(guī)。加固方案參考配置操作進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“本地策略審核策略”中：“審核賬戶管理”設(shè)置為“成功”和“失敗”都要審核。啟用審核過程追蹤的審核名稱啟用審核過程追蹤的審核判定依據(jù)檢測(cè)方法進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“本地策略審核策略”中：查看是否“審 核過程追蹤”設(shè)置為“失敗”需要審核。判定依據(jù)審核過程追蹤設(shè)置為失敗需要審核則合規(guī)，否則不合規(guī)。加固方案參考配置操作進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“本地策略審核策略”中：“審核過程追 蹤”設(shè)置為“失敗”需要審核。啟用審核系統(tǒng)事件的審核名

14、稱啟用審核系統(tǒng)事件的審核判定依據(jù)檢測(cè)方法進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“本地策略審核策略”中：查看是否“審 核系統(tǒng)事件”設(shè)置為“成功”和“失敗”都要審核。判定依據(jù)審核系統(tǒng)事件設(shè)置為成功和失敗都要審核則合規(guī)，否則不合規(guī)。加固方案參考配置操作進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“本地策略審核策略”中：“審核系統(tǒng)事 件”設(shè)置為“成功”和“失敗”都要審核。啟用審核目錄服務(wù)訪問的審核名稱啟用審核目錄服務(wù)訪問的審核判定依據(jù)檢測(cè)方法進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“本地策略審核策略”中：查看是否“審 核目錄服務(wù)器訪問”設(shè)置為“成功”和“失敗”都要審核。判定依據(jù)審

15、核目錄服務(wù)器訪問設(shè)置為成功和失敗都要審核則合規(guī)，否則不合規(guī)。加固方案參考配置操作進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“本地策略審核策略”中：“審核目錄服 務(wù)器訪問”設(shè)置為“成功”和“失敗”都要審核。已更改啟用審核特權(quán)使用的審核名稱啟用審核特權(quán)使用的審核判定依據(jù)檢測(cè)方法進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“本地策略審核策略”中：查看是否“審 核特權(quán)使用”設(shè)置為“成功”和“失敗”都要審核。判定依據(jù)審核特權(quán)使用設(shè)置為成功和失敗都要審核則合規(guī)，否則不合規(guī)。加固方案參考配置操作進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“本地策略審核策略”中：“審核特權(quán)使 用”設(shè)置為“成功”

16、和“失敗”都要審核。關(guān)鍵權(quán)限指派安全要求從遠(yuǎn)程系統(tǒng)強(qiáng)制關(guān)機(jī)名稱關(guān)鍵權(quán)限指派安全要求從遠(yuǎn)程系統(tǒng)強(qiáng)制關(guān)機(jī)判定依據(jù)檢測(cè)方法進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“本地策略用戶權(quán)利指派”：查看是否“從 遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置為“只指派給Administrators組”。判定依據(jù)從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)權(quán)限值分配給administrators組賬號(hào)。加固方案參考配置操作進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權(quán)利指派”：“從遠(yuǎn)端系 統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置為“只指派給Administrators組”。關(guān)鍵權(quán)限指派安全要求從網(wǎng)絡(luò)訪問此計(jì)算機(jī)名稱關(guān)鍵權(quán)限指派安全要求從網(wǎng)絡(luò)訪問此計(jì)算機(jī)判定依據(jù)

17、檢測(cè)方法進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“本地策略用戶權(quán)利指派”查看是否“從 網(wǎng)絡(luò)訪問此計(jì)算機(jī)”設(shè)置為“administrators組”。判定依據(jù)從網(wǎng)絡(luò)訪問此計(jì)算機(jī)的權(quán)限只指派給administrators賬戶組。加固方案參考配置操作進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“本地策略用戶權(quán)利指派”“從網(wǎng)絡(luò)訪問 此計(jì)算機(jī)”只設(shè)置為“administrators組”。關(guān)鍵權(quán)限指派安全要求允許本地登錄名稱關(guān)鍵權(quán)限指派安全要求允許本地登錄判定依據(jù)檢測(cè)方法進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“本地策略用戶權(quán)利指派”查看是否“從 本地登陸此計(jì)算機(jī)”設(shè)置為administ

18、rators”。判定依據(jù)將本地登錄此計(jì)算機(jī)的權(quán)限只指派給administrators賬戶組則合規(guī)，否則不合規(guī)。加固方案參考配置操作進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“本地策略用戶權(quán)利指派”“從本地登陸 此計(jì)算機(jī)”設(shè)置為只有“administrators”。不允許匿名枚取SAM帳號(hào)與共享名稱不允許匿名枚取SAM帳號(hào)與共享判定依據(jù)檢測(cè)方法進(jìn)入“控制面板”-“管理工具”-本地安全策略-帳號(hào)策略”-“安全選項(xiàng)”，查看“不 允許匿名枚取SAM帳號(hào)與共享狀態(tài)。判定依據(jù)狀態(tài)為啟用則合規(guī)，否則不合規(guī)。加固方案參考配置操作“控制面板”-“管理工具”-本地安全策略-帳號(hào)策略”-“安全選項(xiàng)”，修改“不

19、允許 匿名枚取SAM帳號(hào)與共享”為啟用。不允許匿名枚取SAM帳號(hào)名稱不允許匿名枚取SAM帳號(hào)判定依據(jù)檢測(cè)方法進(jìn)入“控制面板”-“管理工具”-本地安全策略-帳號(hào)策略”-“安全選項(xiàng)”，查看“不 允許匿名枚取SAM帳號(hào)”的狀態(tài)。判定依據(jù)其狀態(tài)為啟用則合規(guī)，否則不合規(guī)。加固方案參考配置操作“控制面板”-“管理工具”-本地安全策略-帳號(hào)策略”-“安全選項(xiàng)”，修改“不允許 匿名枚取SAM帳號(hào)”為啟用。匿名遠(yuǎn)程連接名稱匿名遠(yuǎn)程連接判定依 據(jù)檢測(cè)方法進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“本地策略安全選項(xiàng)”，在右邊窗格中找到：“網(wǎng)絡(luò)訪問：可匿名訪問的共享網(wǎng)絡(luò)訪問：查看可匿名訪問的命名管道查看其配置判

20、定依據(jù)上述兩個(gè)檢查條目配置均為空則合規(guī)，否則不合規(guī)。加固方 案參考配置操作“控制面板- 管理工具- 本地安全策略”，在“本地策略- 安全選項(xiàng)”，在右邊窗格中找到“網(wǎng)絡(luò) 訪問：可匿名訪問的共享“、”網(wǎng)絡(luò)訪問：可匿名訪問的命名管道”將其值設(shè)置為空。禁用可遠(yuǎn)程訪問的注冊(cè)表路徑和子路徑名稱禁用可遠(yuǎn)程訪問的注冊(cè)表路徑和子路徑判定依 據(jù)檢測(cè)方法進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“本地策略安全選項(xiàng)”，查看以下兩處配置：網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊(cè)表路徑網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊(cè)表路徑和子路徑#windowsxp沒有此項(xiàng)，不需要檢查。判定依據(jù)以上兩處配置均為空則合規(guī)，否則不合規(guī)。加固方 案參考配置

21、操作1、“控制面板-管理工具-本地安全策略”，在“本地策略-安全選項(xiàng)”，在右邊窗格中找到“網(wǎng) 絡(luò)訪問：可遠(yuǎn)程訪問的注冊(cè)表路徑和子路徑”，修改其配置為空。2、“控制面板-管理工具-本地安全策略”，在“本地策略-安全選項(xiàng)”，在右邊窗格中找到“網(wǎng) 絡(luò)訪問：可遠(yuǎn)程訪問的注冊(cè)表路徑，修改其配置為空。禁止用戶開機(jī)自動(dòng)登陸名稱禁止用戶開機(jī)自動(dòng)登陸判定依據(jù)檢測(cè)方法執(zhí)行以下命令查看AutoAdminLogon的值：#regqueryHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon /v AutoAdminLogon|find A

22、utoAdminLogon判定依據(jù)AutoAdminLogon的值為0合規(guī)，否則不合規(guī)。加固方案參考配置操作1、開始-運(yùn)行-鍵入regedit2、修訂注冊(cè)表項(xiàng)：進(jìn)入 HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinlogon， 新 建一個(gè) 名稱為 AutoAdminLogon，類型為REG_DWORD，值為0的鍵值。如果存在AutoAdminLogon則直接 將鍵值改為0認(rèn)證授權(quán)日志文件大小設(shè)置名稱日志文件大小設(shè)置判定依據(jù)檢測(cè)方法進(jìn)入“控制面板- 管理工具- 事件查看器”，在“事件查看器（本地）”中：查看應(yīng)用日志、 系統(tǒng)日志、安全日志的大小。判定依

23、據(jù)查看應(yīng)用日志、系統(tǒng)日志、安全日志的大小，且當(dāng)日志文件達(dá)到最大大小時(shí)的動(dòng)作的序號(hào)均 為“按需要改寫事件”時(shí)合規(guī)，否則不合規(guī)。加固方案參考配置操作1、進(jìn)入“控制面板- 管理工具- 事件查看器”，在“事件查看器（本地）”中：“應(yīng)用日志” 屬性中的日志大小設(shè)置不小于“8192KB”，設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)，“按需要改寫事件”。2、“系統(tǒng)日志”屬性中的日志大小設(shè)置不小于“8192KB”，設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)， “按需要改寫事件”。3、“安全日志”屬性中的日志大小設(shè)置不小于“8192KB”，設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)， “按需要改寫事件”。啟用審核策略更改的審核名稱啟用審核策略更改的審核判定依

24、據(jù)檢測(cè)方法進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“本地策略審核策略”中查看是否“審核 策略更改”設(shè)置為“成功”和“失敗”都要審核。判定依據(jù)審核策略更改設(shè)置為成功和失敗都審核則合規(guī)，都則不合規(guī)。加固方案參考配置操作進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-審核策略”中“審核策略更改” 設(shè)置為“成功”和“失敗”都要審核。防火墻配置名稱防火墻配置判定依據(jù)檢測(cè)方法1、進(jìn)入“控制面板一網(wǎng)絡(luò)連接一本地連接，在高級(jí)選項(xiàng)的設(shè)置中，查看是否啟用Windows 防火墻。2、查看是否在“例外”中配置允許業(yè)務(wù)所需的程序接入網(wǎng)絡(luò)。3、查看是否在“例外- 編輯- 更改范圍”編輯允許接入的網(wǎng)絡(luò)地址范

25、圍。判定依據(jù)防火墻操作模式和例外模式狀態(tài)為啟用，且防火墻服務(wù)(Windows Firewall)處于啟用狀態(tài)則合 規(guī)，否則不合規(guī)。135 137 138 139 455端口要關(guān)閉 有共享不關(guān)445加固方案參考配置操作進(jìn)入“控制面板一網(wǎng)絡(luò)連接一本地連接，在高級(jí)選項(xiàng)的設(shè)置中啟用Windows防火墻，在 “例外”中配置允許業(yè)務(wù)所需的程序接入網(wǎng)絡(luò)。在“例外-編輯-更改范圍”編輯允許接入 的網(wǎng)絡(luò)地址范圍。135 137 138 139 455端口要關(guān)閉 有共享不關(guān)445審核帳戶登錄事件名稱審核帳戶登錄事件判定依據(jù)檢測(cè)方法進(jìn)入“控制面板”-“管理工具”本地安全策略”-審核策略策略”，查看“審核帳戶登錄事件

26、”是否修改為成功與失敗。判定依據(jù)審核賬戶登錄事件選擇成功與失敗都審核則合規(guī)，否則不合規(guī)。加固方案參考配置操作“控制面板”-“管理工具”本地安全策略”-審核策略策略”，修改“審核帳戶登錄事 件”為成功與失敗。系統(tǒng)服務(wù)TCPIP篩選配置（win2008及以上系統(tǒng)無需設(shè)置）名稱TCPIP篩選配置判定依據(jù)檢測(cè)方法進(jìn)入“控制面板一 網(wǎng)絡(luò)連接一 本地連接”，進(jìn)入“1田6m1協(xié)議（TCP/IP）屬性一 高級(jí)TCP/IP 設(shè)置”，在“選項(xiàng)”的屬性中查看是否啟用網(wǎng)絡(luò)連接上的TCP/IP篩選。判定依據(jù)啟用網(wǎng)絡(luò)連接上的TCP/IP篩選則合規(guī)，否則不合規(guī)。加固方案參考配置操作進(jìn)入“控制面板一 網(wǎng)絡(luò)連接一 本地連接，進(jìn)

27、入“Intemet協(xié)議（TCP/IP）屬性一 高級(jí)TCP/IP 設(shè)置”，在“選項(xiàng)”的屬性中啟用網(wǎng)絡(luò)連接上演CP/IP篩選，只開放業(yè)務(wù)所需要的TCP, UDP 端口和IP協(xié)議。啟用SYN攻擊保護(hù)名稱啟用SYN攻擊保護(hù)判定依據(jù)檢測(cè)方法執(zhí)行以下命令regqueryHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters”|findstr/ISynAttackProtect TcpMaxPortsExhausted TcpMaxHalfOpen TcpMaxHalfOpenRetried查看參數(shù) SynAttackProtect、

28、TcpMaxPortsExhausted、TcpMaxHalfOpen、TcpMaxHalfOpenRetried 的值。判定依據(jù)SynAttackProtect 的值為 1 或 2、TcpMaxPortsExhausted值為 5、TcpMaxHalfOpen 的值為 500、 TcpMaxHalfOpenRetried的值為400則合規(guī)，否則不合規(guī)。加固方案參考配置操作1、在“開始- 運(yùn)行- 鍵入regedit ”啟用SYN攻擊保護(hù)的命名值位于注冊(cè)表項(xiàng) HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 之下添加

29、以下幾 個(gè)鍵值：值名稱:SynAttackProtect.推薦值:1.類型為:DWORD值（REG_DWORD）。（注意：標(biāo)準(zhǔn)值為16進(jìn) 制表示）的數(shù)值，若已存在則修改其數(shù)據(jù)。此數(shù)據(jù)的有效值為0-2）。值名稱:TcpMaxPortsExhausted推薦值:5.類型為:DWORD值（REG_DWORD）。（注意：標(biāo)準(zhǔn)值為16 進(jìn)制表示）的數(shù)值，若已存在則修改其數(shù)據(jù)。此數(shù)據(jù)的有效值為在0-ffff（16進(jìn)制）。值名稱:TcpMaxHalfOpen推薦值數(shù)據(jù):500.類型為:DWORD值（REG_DWORD）。（注意：標(biāo)準(zhǔn)值為16進(jìn)制表示）的數(shù)值，若已存在則修改其數(shù)據(jù)。此數(shù)據(jù)的有效值為在64-ff

30、ff（16進(jìn)制）。值名稱:TcpMaxHalfOpenRetried推薦值數(shù)據(jù):400 類型為:DWORD 值（REG_DWORD）。（注意：標(biāo) 準(zhǔn)值為16進(jìn)制表示）的數(shù)值，若已存在則修改其數(shù)據(jù)。此數(shù)據(jù)的有效值為在50-ffff（16進(jìn)制）。2.4.3SNMP安全設(shè)置名稱SNMP安全設(shè)置判定依據(jù)檢測(cè)方法打開“控制面板”，打開“管理工具”中的“服務(wù)”，找到“ SNMP Service，單擊右鍵打 開“屬性”面板中的“安全”選項(xiàng)卡，在這個(gè)配置界面中，查看community strings，也就是 微軟所說的“團(tuán)體名稱”。判定依據(jù)community strings不為public則合規(guī)，否則不合規(guī)。

31、加固方案參考配置操作打開“控制面板”，打開“管理工具”中的“服務(wù)”，找到“ SNMP Service，單擊右鍵打 開“屬性”面板中的“安全”選項(xiàng)卡，在這個(gè)配置界面中，可以修改community strings，也 就是微軟所說的“團(tuán)體名稱”。2.4.4ICMP重定向名稱ICMP重定向判定依據(jù)檢測(cè)方法執(zhí)行以下命令，查看EnableICMPRedirect的值#REG QUERY HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters/vEnableICMPRedirect判定依據(jù)EnableICMPRedirect的值為0

32、 x0則合規(guī)，否則不合規(guī)。加固方案參考配置操作瀏覽注冊(cè)表，HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 將 EnableICMPRedirect值設(shè)為0。若該值不存在，添加名稱為“EnableICMPRedirect、類型為 DWORD、數(shù)據(jù)為標(biāo)準(zhǔn)值的數(shù)值。此數(shù)據(jù)的有效值為0-1。已更改防止源路由欺騙攻擊名稱防止源路由欺騙攻擊判定依據(jù)檢測(cè)方法執(zhí)行以下命令，查看參數(shù)DisableIPSourceRouting的值：#reg query HKEY_LOCAL_MACHINESystemCurrentControlS

33、etServicesTcpipParameters /v DisableIPSourceRouting|find DisableIPSourceRouting判定依據(jù)DisableIPSourceRouting的值為2則合規(guī)，否則不合規(guī)。加固方案參考配置操作打開命令提示符，運(yùn)行命令 regedit ”打開注冊(cè)表編輯器，瀏覽到路徑 “HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters”,添加名稱為 “DisableIPSourceRouting、類型為DWORD、數(shù)據(jù)為標(biāo)準(zhǔn)值的數(shù)值2,若已存在則修改其數(shù)據(jù)。說明：此數(shù)據(jù)

34、的有效值為0-2,其中0表示轉(zhuǎn)發(fā)所有數(shù)據(jù)包，1表示不轉(zhuǎn)發(fā)源路由的數(shù)據(jù)包，2表示 丟棄所有傳入源路由的數(shù)據(jù)包。文件權(quán)限修改默認(rèn)遠(yuǎn)程登錄端口名稱修改默認(rèn)遠(yuǎn)程登錄端口判定依據(jù)檢測(cè)方法執(zhí)行以下命令查看PortNumber的值：#regqueryHKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWinStationsRDP-Tcp” /v PortNumber判定依據(jù)PortNumber的值不為0 xd3d則合規(guī)，否則合規(guī)。加固方案參考配置操作1、在終端服務(wù)器上做如下修改：(1)、 瀏覽如下注冊(cè)表路徑 HKEY _ LOCAL M

35、ACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp下都有一個(gè) PortNumber值，通常為3389,將其修改為自己的值，如9833(可自己指定端口，但最好不要 設(shè)為低端端口，以免沖突)；(2)、重新啟動(dòng)服務(wù)器。關(guān)閉默認(rèn)共享名稱關(guān)閉默認(rèn)共享判定依據(jù)檢測(cè)方法使用以下命令查看AutoShareServer和AutoShareWKS鍵值的值：#regqueryHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters”|finds

36、tr /I AutoShareServer#regqueryHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters|findstr /I AutoShareWKS 判定依據(jù)AutoShareServer 和 AutoShareWKS 的值均為 0 x0。加固方案參考配置操作1、加固之前將系統(tǒng)默認(rèn)共享刪除進(jìn)入控制面板-管理工具-計(jì)算機(jī)管理-系統(tǒng)工具-共享文件夾-共享，將描述為“默認(rèn)共享”的共享 名刪除掉。2、修改注冊(cè)表進(jìn)入“開始 運(yùn)行一Regedit ”，進(jìn)入注冊(cè)表編輯器，更改注冊(cè)表鍵值：在 HKEY_LOC

37、AL_MACHINESystemCurrentControlSet ServicesLanmanServerParameters下，增加口 REG_DWORD 類型的 AutoShareServer 鍵，值為 0.REG_DWORD 類型的 AutoShareWKS 鍵，值為 0。啟用并正確配置Windows網(wǎng)絡(luò)時(shí)間同步服務(wù)(NTP)名稱啟用并正確配置Windows網(wǎng)絡(luò)時(shí)間同步服務(wù)(NTP)判定依據(jù)檢測(cè)方法1、執(zhí)行以下命令查看w32tm狀態(tài)：#wmic service where name=w32time“ get state | find /i /v state2、執(zhí)行以下命令獲取W32Ti

38、me服務(wù)的啟動(dòng)類型：#wmic service where name=w32time get startmode | find /i /v startmode3、執(zhí)行以下命令獲取時(shí)間服務(wù)器地址：#reg query HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesw32timeParameters /v NtpServer | echo NtpServer notfound not config判定依據(jù)1、w32tm服務(wù)啟用2、w32tm啟動(dòng)類型為自動(dòng)3、配置了時(shí)間服務(wù)器三者均滿足則合規(guī)，否則不合規(guī)。加固方案參考配置操作1、打開命令提示符，運(yùn)行

39、命令 services.msc”打開服務(wù)面板，在右邊窗格中找到名稱為 “Windows Time ”的服務(wù)，點(diǎn)擊右鍵，“啟動(dòng)”此服務(wù)，并且設(shè)置其啟動(dòng)方式為自動(dòng)。2、打開命令提示符，運(yùn)行命令timedate.cpl”打開“時(shí)間和日期屬性”對(duì)話框，切換到“Internet 時(shí)間”選項(xiàng)卡，勾選“與Internet時(shí)間服務(wù)器同步”，配置服務(wù)器地址為標(biāo)準(zhǔn)值之一。已更改安裝系統(tǒng)補(bǔ)丁 ServicePack名稱安裝系統(tǒng)補(bǔ)丁 Service Pack判定依據(jù)檢測(cè)方法控制面板- 添加或刪除程序- 顯示更新打鉤，查看系統(tǒng)是否已安裝最新補(bǔ)丁。判定依據(jù)WindowsXP 最新補(bǔ)丁包為 SP3， Windows2003

40、 和 Windows2003R2 最新補(bǔ)丁包為 SP2， WindowsVista 和 Windows2008 為 SP2，Windows7和 Windows2008R2 為 SP1，如果不滿足則 不合規(guī)，滿足則合規(guī)。加固方案參考配置操作從微軟官方下載最新補(bǔ)丁包安裝，或開啟自動(dòng)更新安裝最新補(bǔ)丁包。說明：WindowsXP 最新補(bǔ)丁包為 SP3， Windows2003 和 Windows2003R2 最新補(bǔ)丁包為 SP2，WindowsVista 和 Windows2008 為 SP2，Windows7和 Windows2008R2 為 SP1。設(shè)置登錄超時(shí)名稱設(shè)置登錄超時(shí)判定依據(jù)檢測(cè)方法進(jìn)入

41、“控制面板-管理工具-本地安全策略”，在“本地策略-安全選項(xiàng)”：查看是否“Microsoft網(wǎng)絡(luò)服務(wù)器”設(shè)置為“在掛起會(huì)話之前所需的空閑時(shí)間”為15分鐘。判定依據(jù)掛起會(huì)話之前所需的空閑時(shí)間等于15分鐘則合規(guī)，否則不合規(guī)。加固方案參考配置操作進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-安全選項(xiàng)”：“Microsoft網(wǎng) 絡(luò)服務(wù)器”設(shè)置為“在掛起會(huì)話之前所需的空閑時(shí)間”為15分鐘。關(guān)閉Windows自動(dòng)播放功能名稱關(guān)閉Windows自動(dòng)播放功能判定依據(jù)檢測(cè)方法執(zhí)行以下命令查看參數(shù)NoDriveTypeAutoRun的值：#reg query HKLMSoftwareMicrosoftW

42、indowsCurrentVersionPoliciesExplorer | find NoDriveTypeAutoRun判定依據(jù)NoDriveTypeAutoRun的值為0 xff則合規(guī)，否則不合規(guī)。加固方案參考配置操作1、點(diǎn)擊開始一運(yùn)行一輸入gpedit.msc,打開組策略編輯器，瀏覽到計(jì)算機(jī)配置一管理模板一 系統(tǒng)，在右邊窗格中雙擊“關(guān)閉自動(dòng)播放”，對(duì)話框中選擇所有驅(qū)動(dòng)器，確定即可。2、針對(duì)WIN7系統(tǒng)，應(yīng)該在管理模板Windows組件自動(dòng)播放策略關(guān)閉自動(dòng)播放，這里 進(jìn)行加固。DEP安全配置名稱DEP安全配置判定依據(jù)檢測(cè)方法進(jìn)入“控制面板一系統(tǒng)”，在“高級(jí)”選項(xiàng)卡的“性能”下的“設(shè)置”。

43、進(jìn)入“數(shù)據(jù)執(zhí)行 保護(hù)”選項(xiàng)卡。查看是否設(shè)置為“僅為基本W(wǎng)indows操作系統(tǒng)程序和服務(wù)啟用DEP”。 判定依據(jù)配置為僅為基本W(wǎng)indows操作系統(tǒng)程序和服務(wù)啟用DEP則合規(guī)，否則不合規(guī)。加固方案參考配置操作1、進(jìn)入“控制面板一 系統(tǒng)”，在“高級(jí)”選項(xiàng)卡的“性能”下的“設(shè)置”。進(jìn)入“數(shù)據(jù) 執(zhí)行保護(hù)”選項(xiàng)卡。設(shè)置為“僅為基本W(wǎng)indows操作系統(tǒng)程序和服務(wù)啟用DEP”。2、更改配置后需要重啟系統(tǒng)才能生效。安裝防病毒軟件名稱安裝防病毒軟件判定依據(jù)檢測(cè)方法控制面板- 添加或刪除程序，是否安裝有防病毒軟件。判定依據(jù)被掃描設(shè)備如果安裝了殺毒軟件則合規(guī)，否則不合規(guī)。加固方案參考配置操作安裝防病毒軟件，并及時(shí)

44、更新?？蛻魶]提供殺毒軟件的情況下安裝360殺毒軟件。禁止Alerter服務(wù)名稱禁止Alerter服務(wù)判定依據(jù)檢測(cè)方法進(jìn)入“控制面板”-“管理工具”-“服務(wù)”，找到Alerter服務(wù)項(xiàng)，查看其狀態(tài)。 判定依據(jù)Alerter服務(wù)處于禁止?fàn)顟B(tài)則合規(guī)，否則不合規(guī)。加固方案參考配置操作“控制面板”-“管理工具”-“服務(wù)”，找到Alerter服務(wù)項(xiàng)，將其啟動(dòng)類型設(shè)置為已禁用， 并停止該服務(wù)。禁用TELNET月艮務(wù)名稱禁用TELNET服務(wù)判定依據(jù)檢測(cè)方法進(jìn)入“控制面板”-“管理工具”-“服務(wù)”，找到tlntsvr.exe服務(wù)項(xiàng)，查看其狀態(tài)。判定依據(jù)tlntsvr.exe服務(wù)處于禁止?fàn)顟B(tài)則合規(guī)，否則不合規(guī)。加

45、固方案參考配置操作“控制面板”-“管理工具”-“服務(wù)”，找到tlntsvr.exe服務(wù)項(xiàng)，將其啟動(dòng)類型設(shè)置為已禁 用，并停止該服務(wù)。禁止 ComputerBrowser 月艮務(wù)名稱禁止ComputerBrowser月艮務(wù)判定依據(jù)檢測(cè)方法進(jìn)入“控制面板”-“管理工具”-“服務(wù)”，找到Computer Browser服務(wù)項(xiàng)，查看其狀態(tài)。判定依據(jù)Computer Browser服務(wù)處于禁止?fàn)顟B(tài)則合規(guī)，否則不合規(guī)。加固方案參考配置操作“控制面板”-“管理工具”-“服務(wù)”，找到Computer Browser服務(wù)項(xiàng)，將其啟動(dòng)類型設(shè)置 為已禁用，并停止該服務(wù)。禁止Messenger月艮務(wù)名稱禁止Messe

46、nger服務(wù)判定依據(jù)檢測(cè)方法進(jìn)入“控制面板”-“管理工具”-“服務(wù)”，找到Messenger服務(wù)項(xiàng)，查看其狀態(tài)。判定依據(jù)Messenger服務(wù)處于禁止?fàn)顟B(tài)則合規(guī)，否則不合規(guī)。加固方案參考配置操作“控制面板”-“管理工具”-“服務(wù)”，找到Messenger服務(wù)項(xiàng)，將其啟動(dòng)類型設(shè)置為已禁 用，并停止該服務(wù)。禁止 RemoteRegistry 月艮務(wù)名稱禁止 RemoteRegistry 服務(wù)判定依據(jù)檢測(cè)方法進(jìn)入“控制面板”-“管理工具”-“服務(wù)”，找到Remote Registry服務(wù)項(xiàng)，查看其狀態(tài)。判定依據(jù)Remote Registry服務(wù)處于禁止?fàn)顟B(tài)則合規(guī)，否則不合規(guī)。加固方案參考配置操作“控

47、制面板”-“管理工具”-“服務(wù)”，找到Remote Registry服務(wù)項(xiàng)，將其啟動(dòng)類型設(shè)置為 已禁用，并停止該服務(wù)。禁止 PrintSpooler 月艮務(wù)名稱禁止PrintSpooler服務(wù)判定依據(jù)檢測(cè)方法進(jìn)入“控制面板”-“管理工具”-“服務(wù)”，找到Print Spooler服務(wù)項(xiàng)，查看其狀態(tài)。判定依據(jù)Print Spooler服務(wù)處于禁止?fàn)顟B(tài)則合規(guī)，否則不合規(guī)。加固方案參考配置操作“控制面板”-“管理工具”-“服務(wù)”，找到Print Spooler服務(wù)項(xiàng)，將其啟動(dòng)類型設(shè)置為已 禁用，并停止該服務(wù)。禁止 AutomaticUpdates 服務(wù)名稱禁止 AutomaticUpdates 月艮

48、務(wù)判定依據(jù)檢測(cè)方法進(jìn)入“控制面板”-“管理工具”-“服務(wù)”，找到Automatic Updates服務(wù)項(xiàng)，查看其狀態(tài)。判定依據(jù)Automatic Updates服務(wù)處于禁止?fàn)顟B(tài)則合規(guī)，否則不合規(guī)。加固方案參考配置操作“控制面板”-“管理工具”-“服務(wù)”，找到Automatic Updates服務(wù)項(xiàng)，將其啟動(dòng)類型設(shè)置 為已禁用，并停止該服務(wù)。禁止 TerminalService 月艮務(wù)名稱禁止 TerminalService 服務(wù)判定依據(jù)檢測(cè)方法進(jìn)入“控制面板”-“管理工具”-“服務(wù)”，找到Terminal Service服務(wù)項(xiàng)，查看其狀態(tài)。判定依據(jù)Terminal Service服務(wù)處于禁止?fàn)?/p>

49、態(tài)則合規(guī)，否則不合規(guī)。加固方案參考配置操作“控制面板”-“管理工具”-“服務(wù)”，找到Terminal Service服務(wù)項(xiàng)，將其啟動(dòng)類型設(shè)置為 已禁用，并停止該服務(wù)。不顯示上次的用戶名名稱不顯示上次的用戶名判定 依據(jù)檢測(cè)方法進(jìn)入“控制面板”-“管理工具”-“本地安全策略-安全選項(xiàng)”，查看“不顯示最后的用戶名”狀態(tài)。判定依據(jù)狀態(tài)為啟用這合規(guī)，否則不合規(guī)。加固 方案參考配置操作“控制面板”-“管理工具”本地安全策略-安全選項(xiàng)”，修改“不顯示最后的用戶名”狀態(tài) 為啟用。禁止 WorldWideWebPublishing 服務(wù)名稱禁止 WorldWideWebPublishing 月艮務(wù)判定依據(jù)檢測(cè)方

50、法進(jìn)入“控制面板”-“管理工具”-“服務(wù)”，找到World Wide Web Publishing Service服務(wù)項(xiàng)， 查看其狀態(tài)。判定依據(jù)World Wide Web Publishing Service服務(wù)處于禁止?fàn)顟B(tài)則合規(guī)，否則不合規(guī)。加固方案參考配置操作“控制面板”-“管理工具”-“服務(wù)”，找到World Wide Web Publishing Service服務(wù)項(xiàng)，將 其啟動(dòng)類型設(shè)置為已禁用，并停止該服務(wù)。禁止 SimpleMailTrasferProtocol 月艮務(wù)名稱禁止 SimpleMailTrasferProtocol 服務(wù)判定依據(jù)檢測(cè)方法進(jìn)入“控制面板”-“管理工具”

51、-“服務(wù)”，找到Simple Mail Transfer Protocol服務(wù)項(xiàng)，查看其狀態(tài)。判定依據(jù)Simple Mail Transfer Protocol服務(wù)處于禁止?fàn)顟B(tài)則合規(guī)，否則不合規(guī)。加固方案參考配置操作“控制面板”-“管理工具”-“服務(wù)”，找到Simple Mail Transfer Protocol服務(wù)項(xiàng)，將其啟 動(dòng)類型設(shè)置為已禁用，并停止該服務(wù)。禁止 SNMPService 月艮務(wù)名稱禁止SNMPService服務(wù)判定依據(jù)檢測(cè)方法進(jìn)入“控制面板”-“管理工具”-“服務(wù)”，找到SNMP Service服務(wù)項(xiàng)，查看其狀態(tài)。判定依據(jù)SNMP Service服務(wù)處于禁止?fàn)顟B(tài)則合規(guī)，否

52、則不合規(guī)。加固方案參考配置操作“控制面板”-“管理工具”-“服務(wù)”，找到SNMP Service服務(wù)項(xiàng)，將其啟動(dòng)類型設(shè)置為已 禁用，并停止該服務(wù)。禁止 SNMPTrap 服務(wù)名稱禁止SNMPTrap服務(wù)判定依據(jù)檢測(cè)方法進(jìn)入“控制面板”-“管理工具”-“服務(wù)”，找到SNMP Trap Service服務(wù)項(xiàng)，查看其狀態(tài)。判定依據(jù)SNMP Trap Service服務(wù)處于禁止?fàn)顟B(tài)則合規(guī)，否則不合規(guī)。加固方案參考配置操作“控制面板”-“管理工具”-“服務(wù)”，找到SNMP Trap Service服務(wù)項(xiàng)，將其啟動(dòng)類型設(shè)置 為已禁用，并停止該服務(wù)。禁止藍(lán)屏后自動(dòng)啟動(dòng)機(jī)器名稱禁止藍(lán)屏后自動(dòng)啟動(dòng)機(jī)器判定依據(jù)檢測(cè)方法執(zhí)行以下命令查看參數(shù)Aut