PC機(jī)及筆記本電腦Windows系統(tǒng)安全配置標(biāo)準(zhǔn)

公司筆記腦系統(tǒng)安

目的為保證XX公I(xiàn)T支系統(tǒng)的信息安全規(guī)范個(gè)人桌面機(jī)記本的操統(tǒng)安全配，特制定此標(biāo)。

范圍本準(zhǔn)用于XX公個(gè)辦PC及筆記電腦上用的Windows2000系統(tǒng)、WindowsXP系統(tǒng)Windows7系統(tǒng)。

Windows2000全配標(biāo)準(zhǔn)系統(tǒng)丁安標(biāo)準(zhǔn)系補(bǔ)分Windows2000系統(tǒng)與安相關(guān)的補(bǔ)丁大致三類：

Service丁ServicePack是過(guò)測(cè)試的有修復(fù)序全程、關(guān)鍵更新程序以更新程序的累積集合。ServicePack還可能含自品發(fā)以來(lái)針對(duì)部發(fā)問(wèn)的其他修復(fù)及設(shè)上更改或功能的增ServicePack補(bǔ)包涵蓋了發(fā)布之前的所補(bǔ)丁，是重要的補(bǔ)集合。安全補(bǔ)丁Patch是對(duì)特題廣布的程序，用于修復(fù)特產(chǎn)品的安相關(guān)的漏洞。Microsoft在布的全告中將SecurityPatch分中、低四個(gè)等級(jí)缺，會(huì)造成蠕蟲速播振蕩沖擊波對(duì)統(tǒng)身和絡(luò)造重影響這丁要及時(shí)應(yīng)用到作系。Hotfix(補(bǔ)程序是對(duì)一具的系漏或安全問(wèn)發(fā)布漏洞或安全題的程序?yàn)檠a(bǔ)在發(fā)布ServicePack面，現(xiàn)安面的漏洞，應(yīng)補(bǔ)丁以Hotfix補(bǔ)程的發(fā)布。

補(bǔ)安1、安裝或重安Windows2000操作統(tǒng)，安裝新ServicePack丁。必須安裝等級(jí)為嚴(yán)重和重要的Patch。有關(guān)全方的Hotfixes補(bǔ)丁應(yīng)時(shí)裝。最新安全丁布與升級(jí)步，由據(jù)心定期在內(nèi)上發(fā)通。：丁新慎，能硬不容或影當(dāng)?shù)南?，裝丁前經(jīng)過(guò)測(cè)和驗(yàn)證。3.2

帳和口令安全配置標(biāo)準(zhǔn)密策配要求策”調(diào)整默認(rèn)的高系統(tǒng)的全水平碼策略”中選項(xiàng)具體要求如下表：策略

默設(shè)置

安設(shè)置強(qiáng)執(zhí)行密碼歷史記

記1個(gè)碼碼密碼最期42天90天密碼最期0天0最短密長(zhǎng)0個(gè)字符8個(gè)字密碼必符合復(fù)雜性要求為域中所有用戶用可還原的加密儲(chǔ)存密碼

禁用禁用

啟用禁用“碼策略”的置步驟如下：進(jìn)入控制面板/管理具本地全策略帳戶策略->碼策略。

密復(fù)性置要求在“密中“密必符復(fù)雜性要”項(xiàng)動(dòng)，統(tǒng)強(qiáng)要密碼的設(shè)置具備定強(qiáng)度要密至少含下種別字中三種

英語(yǔ)大字A,B,C,…英語(yǔ)小字a,b,c,…西方拉伯?dāng)?shù)0,2,9非母數(shù)字字符如標(biāo)點(diǎn)符號(hào)@,#,$,%,&,*等

帳安控要求1戶定策略”配置求有效的帳號(hào)鎖定略有助于防止攻者猜出帳號(hào)對(duì)應(yīng)的密要求照下表要求調(diào)“戶定策略

認(rèn)設(shè)置

全設(shè)置帳戶鎖時(shí)

未定義30分帳戶鎖閾05次效登錄復(fù)帳鎖計(jì)數(shù)器

未義30分鐘之后帳鎖定配置具操作如下圖進(jìn)入控制面板/管理具本地全策略帳戶策略>帳戶鎖策2、統(tǒng)內(nèi)置帳號(hào)管理要求Windows2000中存可刪內(nèi)置，括dministratorguest于員號(hào)，要求更改缺省帳戶名稱，于Administrators組的帳號(hào)嚴(yán)格控；求禁用uest（來(lái)）號(hào)以止擊通過(guò)用知用名壞程務(wù)器3、它帳號(hào)管理要求臨時(shí)的測(cè)試帳號(hào)和過(guò)期的無(wú)用帳號(hào)應(yīng)該在3工作內(nèi)時(shí)除試號(hào)和無(wú)用帳號(hào)不是統(tǒng)默安時(shí)生成的，系統(tǒng)作程中人為新的帳，該及時(shí)刪除

服務(wù)端口置準(zhǔn)服管配要2000缺創(chuàng)建很多務(wù)并配置啟動(dòng)時(shí)際運(yùn)行環(huán)中并不需要運(yùn)行所有服務(wù)，而任多的務(wù)是在受擊點(diǎn)，因此要求禁用不必要的務(wù)下表出的務(wù)indows2000系提供基本管理功能所必需的請(qǐng)根據(jù)的的況禁用下表中沒(méi)提到的務(wù)服

啟類型

服務(wù)功能實(shí)現(xiàn)AutomaticUpdates事務(wù)DHCP客端客戶端DNS客端事件

動(dòng)允下載并安Windows更手允許件務(wù)管自通注冊(cè)和更IP地址DNS域名來(lái)管理配自用NTFS的自允名自允事件日中事日邏輯盤管理器邏輯磁管理器管理服務(wù)Netlogon網(wǎng)絡(luò)接性能志和警報(bào)即插用受保的存儲(chǔ)區(qū)遠(yuǎn)程過(guò)調(diào)用安全戶管理器系統(tǒng)事通知

自動(dòng)盤信息保持最新手動(dòng)理動(dòng)需手動(dòng)需手動(dòng)據(jù)，日中寫或觸警報(bào)自動(dòng)標(biāo)識(shí)和使用系統(tǒng)硬件時(shí)需自動(dòng)，如鑰自動(dòng)中內(nèi)過(guò)程需自動(dòng)戶息自動(dòng)目所需TCP/IPNetBIOS務(wù)中進(jìn)軟件發(fā)所（分發(fā)補(bǔ)程）管范驅(qū)動(dòng)序使“性能日志和警”實(shí)現(xiàn)性能警報(bào)所需時(shí)間務(wù)工站

自動(dòng)身份證有致的功能自動(dòng)需

端配要求為防攻者過(guò)端瀏到指網(wǎng)內(nèi)工站全共享息享文行輯、刪除操作等，該需要的小端口，如1、139端口端NetBIOSSession口，用來(lái)件和共如139端，絡(luò)連中連“Internet(TCP/IP)性，入“TCP/IP置置”“TCP/IPNETBIOS”2、445端口445端，修，加一[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]"SMBDeviceEnabled"=dword:00000000機(jī)配置以端口，可3.4

安全配標(biāo)中的要求Windows2000系統(tǒng)中的安全安

安置Manager份

確定網(wǎng)絡(luò)錄時(shí)使用/應(yīng)身份驗(yàn)證

發(fā)LM&NTLM證級(jí)別協(xié)項(xiàng)會(huì)影響客戶端使用的身份驗(yàn)證協(xié)議商，的級(jí)協(xié)的會(huì)話安級(jí)別及服所接安全受的份證別。

會(huì)話對(duì)匿名連接的額外不許枚舉確匿名連接到計(jì)算機(jī)應(yīng)具有的其他權(quán)限。限制賬和共享確服務(wù)器消息(SMB)會(huì)話因?yàn)槎跀嚅_會(huì)話之前所被掛起前中經(jīng)連閑時(shí)需的空時(shí)間間。如果無(wú)法記錄安全審計(jì)立關(guān)閉系確定當(dāng)系統(tǒng)無(wú)記錄安全事件時(shí)否關(guān)閉系統(tǒng)。用統(tǒng)登錄屏幕上不顯確定是否將上次錄計(jì)算機(jī)的用戶顯示在示上次登錄的用戶登畫中。名

用在機(jī)時(shí)清虛擬確定在關(guān)閉系統(tǒng)是否清除虛擬內(nèi)頁(yè)面文。用內(nèi)存面交文發(fā)送未加密的密碼策器消息塊(SMB)”到第三方務(wù)身份證期間不持密碼加密的非用器

MicrosoftSMB服務(wù)器送明密碼。確定前時(shí)為用密碼在密碼到期前提將過(guò)提前用戶間14用戶更碼具有安的密碼。具方為制/理具/安策，“略安”提的“全選項(xiàng)”的。3.5

安全審計(jì)配置標(biāo)準(zhǔn)審策配要求Windows2000系統(tǒng)配置是不安全審核過(guò)開啟略錄下作核策略審核登事審核戶登事審核帳管審核系事

認(rèn)配置無(wú)審核無(wú)審核無(wú)審核無(wú)審核

全設(shè)置功，敗功，敗功，敗功，敗置方：通過(guò)制面板管工/本安策，“地略審”開的核選：

日屬配要求根據(jù)下表調(diào)整種日志性日志類應(yīng)用序

安全設(shè)置日志小10240K當(dāng)?shù)阶畲笕罩敬笮?/p>

改寫于15的件日志小安全性當(dāng)?shù)阶畲笕罩敬笮r(shí)件日志小系統(tǒng)當(dāng)?shù)阶畲笕罩敬笮r(shí)件置方：通過(guò)控制面板/管理具事件查看器“，在“屬性”中進(jìn)行設(shè)置：3.6

其它安全配置參考使文件系統(tǒng)NTFS系統(tǒng)比ATFAT32強(qiáng)壯穩(wěn)，不崩潰，Windows2000提供于文系統(tǒng)的文件和目錄訪問(wèn)控制列表(。建議所的磁盤卷都使N文統(tǒng)

共管要求用所不要的文件共別注意系統(tǒng)認(rèn)啟用的隱含系共享C、等。因工作需要臨時(shí)啟共享，使用完畢后應(yīng)及關(guān)閉。關(guān)閉默認(rèn)共享的方法有兩種：在務(wù)配置中禁用Server服務(wù)；更改冊(cè)鍵：HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\，加REG_DWORD類的AutoShareServer鍵，為0。

禁自播功能在命令運(yùn)行g(shù)pedit.msc入組策略管理器，在計(jì)算機(jī)配置》理模板》統(tǒng)右邊“閉動(dòng)播放條啟用禁止自動(dòng)播放功能可防U病等過(guò)動(dòng)載能入病。

啟屏保設(shè)置帶碼的屏幕保護(hù)時(shí)間設(shè)為-10得統(tǒng)無(wú)人作5-10分后自動(dòng)用屏幕保，再次進(jìn)入系需要認(rèn)證。

防毒置必須安公司統(tǒng)一的防毒軟件，并設(shè)置定升級(jí)。桌管軟安公司統(tǒng)一的面管理軟件4.1

WindowsXP全置準(zhǔn)系統(tǒng)丁裝準(zhǔn)系補(bǔ)分類WindowsXP與全相關(guān)的補(bǔ)大致三：

Service?。篠ervicePack是過(guò)測(cè)試的有修復(fù)序全程、關(guān)鍵更新程序以更新程序的累積集合。ServicePack還可能含自品發(fā)以來(lái)針對(duì)部發(fā)問(wèn)的其他修復(fù)及設(shè)上更改或功能的增ServicePack補(bǔ)包涵蓋了發(fā)布之前的所補(bǔ)丁，是重要的補(bǔ)集合。安全補(bǔ)丁SecurityPatch是針對(duì)特題廣布的程序，用于修特定產(chǎn)品的與安相關(guān)的漏洞。Microsoft在發(fā)布的全公告中將SecurityPatch分中、低四個(gè)等級(jí)缺，會(huì)造成蠕蟲速播振蕩沖擊波對(duì)系統(tǒng)身和絡(luò)造重影響類丁要時(shí)用到作系。Hotfix(補(bǔ)程序)是針對(duì)一具體系漏或安全問(wèn)而布專門決該漏洞或安全題的小序稱補(bǔ)果在最發(fā)的ServicePack后面，出安全方面的漏洞，通常對(duì)應(yīng)的補(bǔ)丁會(huì)Hotfix補(bǔ)程的形發(fā)布。

補(bǔ)安原則新裝或者重新安裝XP操作系統(tǒng)，須安裝最新的ServicePack補(bǔ)丁集必須安裝等級(jí)為嚴(yán)重和重要的Patch。有關(guān)全方的Hotfixes補(bǔ)丁應(yīng)及時(shí)裝最新的安全補(bǔ)丁發(fā)布與級(jí)，公內(nèi)網(wǎng)和網(wǎng)的公告：丁新重，能，或影前的系，裝丁前經(jīng)過(guò)測(cè)和。4.2

安全配置準(zhǔn)用WindowsXP安裝了P2補(bǔ)丁安全，包自，三要功，其中，要用W。用式如：

自更啟要求安中心還包括動(dòng)更新功能期檢查針對(duì)算機(jī)最新重要新后自動(dòng)裝這些新。重要更（包括關(guān)鍵新和安全更）應(yīng)該在發(fā)后盡快安裝計(jì)算機(jī)上，護(hù)您計(jì)算機(jī)受毒擊和其他全脅要求用動(dòng)新功能，法圖示：注內(nèi)網(wǎng)理分離理終端可以根據(jù)實(shí)際情況選擇不開啟應(yīng)過(guò)其他途徑及時(shí)獲取并裝補(bǔ)丁。4.3

防毒置安裝公司統(tǒng)一的病毒軟件，并設(shè)定期升。桌管軟件安公司統(tǒng)一的面管理軟件。帳和口令安全配置標(biāo)準(zhǔn)密策配要求策”調(diào)整默認(rèn)的高系統(tǒng)的全水平碼策略”中選項(xiàng)具體要求如下表：策略

默設(shè)置

安設(shè)置強(qiáng)制密歷

記0個(gè)密碼碼密碼長(zhǎng)存留期42天90天密碼短存留期0天0最短密長(zhǎng)度個(gè)字符符密碼必符合復(fù)雜性要求為域中所有用戶用可還原的加密儲(chǔ)存密碼

禁用已停用

啟用已停用“碼策略”的置步驟如下進(jìn)入控制面板/性能和維護(hù)管工/本安全策略“帳策>碼

密復(fù)性置要求在“密中須符復(fù)雜性要”項(xiàng)動(dòng)，統(tǒng)強(qiáng)要密碼的設(shè)置具備定強(qiáng)度要密至少含下種別字中三種

英語(yǔ)大字A,B,C,…英語(yǔ)小字a,b,c,…西方拉伯?dāng)?shù)字1,2,…9非母數(shù)字符號(hào)@,#,$,%,&,*等

帳安控要求1戶定策略”配置求有的帳號(hào)鎖定策略有助于防止攻擊者猜出您帳號(hào)對(duì)應(yīng)的密碼求按照下表要求調(diào)“帳戶鎖定略策略

默認(rèn)設(shè)置

安全設(shè)置帳戶鎖時(shí)間

未定義30分鐘帳戶鎖閾值05次效登錄復(fù)帳鎖計(jì)數(shù)器

未義30分鐘之后帳鎖定配置具操作如下圖：進(jìn)入控制面板/性能和維護(hù)管工/本安全策略“帳策->帳戶策2、統(tǒng)內(nèi)置帳號(hào)管理要求WindowsXP統(tǒng)存在可刪的內(nèi)帳括dministrator和于理員帳號(hào)，要更缺帳戶稱并隸于Administrators組；要求禁用uest來(lái)賓）號(hào)，防攻擊者通過(guò)用已的戶名破壞遠(yuǎn)服務(wù)。3、它帳號(hào)管理要求臨時(shí)的測(cè)試帳號(hào)和過(guò)期的無(wú)用帳號(hào)應(yīng)該在3工作內(nèi)時(shí)除試號(hào)和無(wú)用帳號(hào)不是統(tǒng)默安時(shí)生成的，系統(tǒng)作程中人為新的帳，該及時(shí)刪除

服務(wù)端口置準(zhǔn)服管配要WindowsXP省安裝會(huì)建多認(rèn)服并置在系統(tǒng)啟時(shí)行際運(yùn)環(huán)中并不需要行有務(wù)而多的務(wù)是在攻擊要求禁不要服。WindowsXPAutomaticUpdatesDHCPDistributedLinkTrackingClientDNSEventLogNetlogon

WindowsIPDNSNTFSDNS插

WindowsXP使硬受存區(qū)

敏如私鑰遠(yuǎn)程調(diào)

WindowsXP內(nèi)程全知TCP/IPNetBIOSWindowsAudioWindowsFirewall

存儲(chǔ)全帳記錄條目略進(jìn)軟可修補(bǔ)程序）于Windows程序頻備火墻范驅(qū)程序

使“”間工站

Kerberos身份證一致具體方為進(jìn)“制面板工/“完成及各“全選項(xiàng)”調(diào)整。

端配要求為防攻者過(guò)端瀏到指網(wǎng)內(nèi)工站全共信息享文行輯、刪除操作等，該關(guān)閉需的小端，閉方法下：1、139端口端是NetBIOSSession口，用來(lái)件和打共。按照如下方關(guān)閉：關(guān)閉，絡(luò)連中連選Internet協(xié)(TCP/IP)屬性，入“高TCP/IP設(shè)置設(shè)置”里選擇禁TCP/IPNETBIOS”。2、445端口關(guān)閉端，修改注冊(cè)表，添加一值[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]"SMBDeviceEnabled"=dword:00000000。注：若印機(jī)配置必須啟以上端口，可暫關(guān)閉。4.5

安全選配置標(biāo)準(zhǔn)請(qǐng)按照表中的要求設(shè)WindowsXP系中的安全選項(xiàng)：安選帳:使用空白密碼的本地帳戶只允進(jìn)行控制臺(tái)登錄帳:命系統(tǒng)理員戶

安設(shè)置已啟用重名帳戶:命賓戶設(shè):不登錄移除

重名已禁用設(shè):允格式化和彈出可動(dòng)媒體Administrators設(shè)備防止用安裝打機(jī)動(dòng)程序設(shè)備只有本登錄的戶能訪問(wèn)備只本登錄用戶能訪軟盤設(shè)備未簽名驅(qū)動(dòng)程序的安裝操作互式:不顯次戶名互式:不需按互式:用戶登消字

已禁用用已啟用允許裝發(fā)警告已用禁用此系統(tǒng)制為僅授權(quán)用。嘗試進(jìn)未經(jīng)授權(quán)訪問(wèn)的個(gè)人受到訴互式:可被的登域控制器不可用1情況）互式:在密碼到期前提示用戶更改密碼天Microsoft網(wǎng)絡(luò)客戶:發(fā)未加密的密碼第三方SMB服器

禁用Microsoft絡(luò)器:在起話之所需的空閑間鐘Microsoft絡(luò)器:數(shù)簽的通（若客戶同）已用Microsoft絡(luò)器:當(dāng)錄間用時(shí)自動(dòng)注銷戶用網(wǎng)絡(luò)問(wèn)允許匿名名稱換網(wǎng)絡(luò)問(wèn)不允許帳戶和享的名枚舉網(wǎng)絡(luò)問(wèn)不許為網(wǎng)絡(luò)身驗(yàn)儲(chǔ)存Passports網(wǎng)絡(luò)問(wèn)限匿訪問(wèn)命和享網(wǎng)絡(luò)問(wèn)地帳戶的共和安式

禁用已用已啟用已啟用經(jīng)-本用自的身份證網(wǎng)絡(luò)問(wèn)可程訪問(wèn)的冊(cè)表路徑

空網(wǎng)絡(luò)全要在下次更密碼時(shí)存儲(chǔ)Manager的哈已啟用希值網(wǎng)絡(luò)全超過(guò)登錄時(shí)后強(qiáng)制注銷

已禁用網(wǎng)絡(luò)全基于（安全）戶最小會(huì)NTLMv2話安全要話安全關(guān):許登關(guān)機(jī)關(guān):清理虛擬內(nèi)頁(yè)面件

求位密已用已用具體置方為：進(jìn)入“制面板和護(hù)管理具本地安全略“，在“地策略>安選項(xiàng)”完成上表提及的各個(gè)“安全選項(xiàng)”的調(diào)整4.6

安全審計(jì)配置標(biāo)準(zhǔn)審策配要求WindowsXP統(tǒng)缺配是開何全核要通開“審核略錄下作審核略審核登事審核戶登事審核帳管審核系事

默認(rèn)置無(wú)審核無(wú)審核無(wú)審核無(wú)審核

安全置功，敗功，敗功，敗功，敗置方：通過(guò)制面板管工/本安策，“地略審”開的核選：

日屬配要求根據(jù)下表調(diào)整種日志性日志類應(yīng)用序

安全設(shè)置日志小10240K當(dāng)?shù)阶畲笕罩敬笮r(shí)件日志小安性當(dāng)?shù)阶畲笕罩敬笮r(shí)件日志小系統(tǒng)當(dāng)?shù)阶畲笕罩敬笮r(shí)件置方：通過(guò)控制面板/管理具事件查看器“，在“屬性”中進(jìn)行設(shè)置：4.7

其它安全配置參考使文件系統(tǒng)NTFS文件系統(tǒng)比和FAT32壯，潰WindowsXP供于NTFS文件系的對(duì)文件和目錄訪問(wèn)控列(ACL)。建議所的磁盤卷都使N文統(tǒng)

共管要求用所不要的文件共別注意系統(tǒng)認(rèn)啟用的隱含系共享C、等。因工作需要臨時(shí)啟共享，使用完畢后應(yīng)及關(guān)閉。1、關(guān)閉默認(rèn)共享的方法有兩種：2、服務(wù)配置中禁用erver服；

更改冊(cè)鍵：HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\，加REG_DWORD類的AutoShareServer鍵，為。禁自播功能在命令運(yùn)行g(shù)pedit.msc入組策略管理器，在計(jì)算機(jī)配置》理模板》統(tǒng)右邊“閉動(dòng)播放條啟用禁止自動(dòng)播放功能可防U病等過(guò)動(dòng)載能入病。

啟屏保設(shè)置帶碼的屏幕保護(hù)時(shí)設(shè)定為5-10得統(tǒng)無(wú)人作5-10分后自動(dòng)用屏幕保，再次進(jìn)入系需要認(rèn)證。

系啟自加載項(xiàng)在命令運(yùn)行msconfig.exe入系統(tǒng)配用對(duì)系統(tǒng)啟動(dòng)加項(xiàng)目進(jìn)行檢將不必要加項(xiàng)除議先定每加載內(nèi)的用途下載入統(tǒng)驅(qū)動(dòng)業(yè)務(wù)軟件、殺毒件等；對(duì)于不需自動(dòng)啟的應(yīng)用項(xiàng)予以清除。5.1

Windows安全配置標(biāo)準(zhǔn)系統(tǒng)補(bǔ)丁安裝標(biāo)準(zhǔn)系補(bǔ)分類Windows7系與安全相關(guān)的補(bǔ)丁大致分三類：

Service?。篠ervicePack是過(guò)測(cè)試的有修復(fù)序全程、關(guān)鍵更新程序以更新程序的累積集合。ServicePack還可能含自品發(fā)以來(lái)針對(duì)部發(fā)問(wèn)的其他修復(fù)及設(shè)上更改或功能的增ServicePack補(bǔ)包涵蓋了發(fā)布之前的所補(bǔ)丁，是重要的補(bǔ)集合。安全補(bǔ)丁SecurityPatch是針對(duì)特題廣布的程序，用于修特定產(chǎn)品的與安相關(guān)的漏洞。Microsoft在發(fā)布的全公告中將SecurityPatch分中、低四個(gè)等級(jí)缺，會(huì)造成蠕蟲速播振蕩沖擊波對(duì)系統(tǒng)身和絡(luò)造重影響這丁要及時(shí)應(yīng)用到作系。Hotfix(補(bǔ)程序)是針對(duì)一具體系漏或安全問(wèn)而布專門決該漏洞或安全題的小序稱補(bǔ)果在最發(fā)的ServicePack后面，出安全方面的漏洞，通常對(duì)應(yīng)的補(bǔ)丁會(huì)Hotfix補(bǔ)程的形發(fā)布。

補(bǔ)安原則新裝或者重新安裝Windows7操系，須最的ServicePack補(bǔ)丁。必須安裝等級(jí)為嚴(yán)重和重要的Patch。有關(guān)全方的Hotfixes補(bǔ)丁應(yīng)及時(shí)裝最新的安全補(bǔ)丁發(fā)布與級(jí)，公內(nèi)網(wǎng)和網(wǎng)的公告：丁新重，能，或影前的系，裝丁前經(jīng)過(guò)測(cè)和。5.2

系統(tǒng)安全配標(biāo)準(zhǔn)用要用。用如：

自更啟要求系統(tǒng)安全包自動(dòng)更新功定期地檢對(duì)機(jī)新要后自動(dòng)安裝這更新。重要新（包括關(guān)更新和安全新）應(yīng)該在行后盡快安到計(jì)算機(jī)上保護(hù)您計(jì)算機(jī)免病毒攻擊和其安全威脅。要求啟自動(dòng)更新功能方法如圖所：注內(nèi)網(wǎng)理分離理終端可以根據(jù)實(shí)際情況選擇不開啟應(yīng)過(guò)其他途徑及時(shí)獲取并裝補(bǔ)丁。5.3

防毒置必須安公司統(tǒng)一的防毒軟件，并設(shè)置定升級(jí)。桌管軟件安公司統(tǒng)一的面管理軟件。帳和口令安全配置標(biāo)準(zhǔn)密策配要求策”調(diào)整默認(rèn)的高系統(tǒng)的全水平碼策略”中選項(xiàng)的具要求如下表列：策略

默認(rèn)設(shè)置

安全設(shè)置密碼必符合復(fù)雜性要求

禁

啟密碼度最小0個(gè)字符8個(gè)符密碼短使期01天密碼長(zhǎng)使期090天強(qiáng)制密歷

記0個(gè)密碼

記5個(gè)密碼用可還的加密來(lái)儲(chǔ)存碼

已禁用

已禁用“密策略的置步驟如下：進(jìn)入控制面板/系統(tǒng)和安全管工/本安全策略“帳策>碼

密復(fù)性置要求在“密中“密必符復(fù)雜性要”項(xiàng)動(dòng)，統(tǒng)強(qiáng)要密碼的設(shè)置具備定強(qiáng)度要密至少含下種別字中三種

英語(yǔ)大字A,B,C,…英語(yǔ)小字a,b,c,…西方拉伯?dāng)?shù)0,2,9非母數(shù)字字符如標(biāo)點(diǎn)符號(hào)@,#,$,%,&,*等

帳安控要1戶定策略”配置求有的帳號(hào)鎖定策略有助于防止攻擊者猜出您帳號(hào)對(duì)應(yīng)的密碼求按照下表要求調(diào)“帳戶鎖定略策

默認(rèn)設(shè)

安全設(shè)復(fù)帳鎖計(jì)數(shù)器帳戶鎖時(shí)間

未義30分鐘之后未定義30分鐘帳戶鎖閾值05次效登錄帳鎖定配置具操作如下圖：進(jìn)入控制面板/系統(tǒng)和安全管工/本安全策略“帳策>戶策2、統(tǒng)內(nèi)置帳號(hào)管理要求Windows7系中存在不可刪除的內(nèi)置帳號(hào)括dministratorguest于理員號(hào)要更缺帳戶稱并隸于Administrators組；要求禁用uest來(lái)賓）號(hào)，防攻擊者通過(guò)用已的戶名破壞遠(yuǎn)服務(wù)。3、它帳號(hào)管理要求臨時(shí)的測(cè)試帳號(hào)和過(guò)期的無(wú)用帳號(hào)應(yīng)該在3工作內(nèi)時(shí)除試號(hào)和無(wú)用帳號(hào)不是統(tǒng)默安時(shí)生成的，系統(tǒng)作程中人為新的帳，該及時(shí)刪除

服務(wù)端口置準(zhǔn)服管配要Windows7缺省安裝會(huì)創(chuàng)建很默服并置在統(tǒng)動(dòng)時(shí)運(yùn)行。實(shí)際運(yùn)行環(huán)境中并需要行有務(wù)而何余的務(wù)是在受擊，要禁不要服。下的是Windows7系統(tǒng)本所需的的禁用下中有的服務(wù)：utomaticUpdatesaseFilteringCOM+DHCPDistributedLinkTrackingClientDNSEventLogGroupPolicyClientNetlogonNetworkStoreInterfaceService

WindowsIPSECIPDNSNTFSDNS

Windows7存區(qū)

敏如私鑰遠(yuǎn)程調(diào)

Windows7內(nèi)程RPCEndpointMapper全TCP/IPNetBIOSUserProfileServiceWindowsAudioWindowsAudioBuilderWindowsFirewall

口符傳輸點(diǎn)存儲(chǔ)本全帳記錄條目軟可修補(bǔ)程序）負(fù)責(zé)卸文于Windows程序頻備Windows音頻音備范驅(qū)程序

“”時(shí)間務(wù)工站

自動(dòng)Kerberos身份證有致的功能自動(dòng)需具體置方為：進(jìn)入控制面板/系統(tǒng)和安全管工/服務(wù)“完上表提及的各個(gè)“全選項(xiàng)的整。

端配要為防攻者過(guò)端瀏到指網(wǎng)內(nèi)工站全共信息享文行輯、刪除操作等，該關(guān)閉需的小端，閉方法下：1、139口端是NetBIOSSession端，來(lái)件和打共。按照如下方關(guān)閉：關(guān)閉39，絡(luò)連中連選Internet協(xié)(TCP/IP)屬性，入“高TCP/IP設(shè)置設(shè)置”里選擇禁T的NETBIOS”。2、445端口關(guān)445端，修改注冊(cè)表，添加一值[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]"SMBDeviceEnabled"=dword:00000000注：若印機(jī)配置必須啟以上端口，可暫關(guān)閉。5.5

安全選項(xiàng)配置標(biāo)準(zhǔn)請(qǐng)按照表中的要求設(shè)Windows7系中的安全選項(xiàng)：安選項(xiàng)

安設(shè)置帳:使空密碼的本地帳只允許行制臺(tái)登錄用帳戶重命系統(tǒng)理員戶帳戶:命賓戶設(shè):允許未登錄的情況下彈出

重名重名已禁用設(shè)備:允對(duì)可移動(dòng)媒體進(jìn)行格式化并彈出Administrators設(shè)備防止用安裝打機(jī)動(dòng)程序設(shè)備將的訪問(wèn)權(quán)限限于本地登錄的用戶

已禁用已用設(shè):將軟盤驅(qū)動(dòng)器的訪問(wèn)權(quán)限僅限本地登錄的用戶用互式:不顯后戶名互式:無(wú)需按

已用禁用互式:之前錄到存的（域控制器不可用時(shí)）互式:提示在之改碼14天Microsoft絡(luò)端將加密的碼發(fā)送到第三方已用務(wù)。Microsoft絡(luò)器暫停會(huì)前所的空閑時(shí)間量鐘Microsoft