Windows主機(jī)操作系統(tǒng)加固規(guī)范方案V0

WORD格式可編寫Windows主機(jī)操作系統(tǒng)加固規(guī)范2019年9月專業(yè)知識整理分享WORD格式可編寫目錄1賬號管理、認(rèn)證受權(quán)11.1賬號..........................................................1SHG-Windows-01-01-01........................................1SHG-Windows-01-01-02........................................2SHG-Windows-01-01-03........................................31.2口令..........................................................4SHG-Windows-01-02-01........................................4SHG-Windows-01-02-02........................................51.3受權(quán)..........................................................6SHG-Windows-01-03-01........................................6SHG-Windows-01-03-02........................................7SHG-Windows-01-03-03........................................8SHG-Windows-01-03-04........................................9SHG-Windows-01-03-05.......................................102日記配置.........................................................11SHG-Windows-02-01-01.......................................11SHG-Windows-02-01-02.......................................123通信協(xié)議.........................................................143.1IP協(xié)議安全...................................................14SHG-Windows-03-01-01.......................................14專業(yè)知識整理分享WORD格式可編寫SHG-Windows-03-01-02.......................................15SHG-Windows-03-01-03.......................................164設(shè)施其余安全要求.................................................184.1屏幕保護(hù).....................................................18SHG-Windows-04-01-01.......................................18SHG-Windows-04-01-02.......................................194.2共享文件夾及接見權(quán)限.........................................20SHG-Windows-04-02-01.......................................20SHG-Windows-04-02-02.......................................214.3補(bǔ)丁管理.....................................................23SHG-Windows-04-03-01.......................................234.4防病毒管理...................................................24SHG-Windows-04-04-01.......................................24SHG-Windows-04-04-02.......................................254.5WINDOWS服務(wù)...................................................26SHG-Windows-04-05-01.......................................26SHG-Windows-04-05-02.......................................284.6啟動項(xiàng).......................................................29SHG-Windows-04-06-01.......................................29SHG-Windows-04-06-02.......................................30專業(yè)知識整理分享WORD格式可編寫本文檔是Windows操作系統(tǒng)的關(guān)于Win系統(tǒng)的設(shè)施賬號認(rèn)證、日記、協(xié)議、補(bǔ)丁升級、文件系統(tǒng)管理等方面的安全配置要求，共26項(xiàng)。對系統(tǒng)的安全配置審計(jì)、加固操作起到指導(dǎo)性作用。賬號管理、認(rèn)證受權(quán)1賬號SHG-Windows-01-01-01編號SHG-Windows-01-01-01名稱依照用戶種類分派賬號實(shí)行目的依據(jù)系統(tǒng)的要求，設(shè)定不一樣的賬戶和賬戶組，管理員用戶，數(shù)據(jù)庫用戶，審計(jì)用戶，貴賓用戶等。問題影響賬號混雜，權(quán)限不明確，存在用戶越權(quán)使用的可能。系統(tǒng)目前狀態(tài)進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理”，在“系統(tǒng)工具->當(dāng)?shù)赜脩艉徒M”：記錄目前用戶狀態(tài)參照配置操作：進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理”，在“系統(tǒng)工具->當(dāng)?shù)赜脩艉徒M”。實(shí)行步驟聯(lián)合要乞降實(shí)質(zhì)業(yè)務(wù)狀況判斷切合要求，依據(jù)系統(tǒng)的要求，設(shè)定不一樣的賬戶和賬戶組，管理員用戶，數(shù)據(jù)庫用戶，審計(jì)用戶，貴賓用戶。回退方案刪除新增添的用戶，復(fù)原用戶權(quán)限到初始設(shè)置。部分操作可能沒法回退。判斷依照進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理”，在“系統(tǒng)工具專業(yè)知識整理分享WORD格式可編寫->當(dāng)?shù)赜脩艉徒M”：查察賬戶和賬戶組，管理員用戶，數(shù)據(jù)庫用戶，審計(jì)用戶，貴賓用戶等。依據(jù)系統(tǒng)的要乞降實(shí)質(zhì)業(yè)務(wù)狀況判斷能否切合要求。實(shí)行風(fēng)險(xiǎn)高重要等級★★★備注SHG-Windows-01-01-02編號SHG-Windows-01-01-02名稱系統(tǒng)無效帳戶清理實(shí)行目的刪除或鎖定與設(shè)施運(yùn)轉(zhuǎn)、保護(hù)等與工作沒關(guān)的賬號，提升系統(tǒng)帳戶安全。問題影響假如不清理無效帳戶，則系統(tǒng)將面對默認(rèn)賬號被非法利用的風(fēng)險(xiǎn)系統(tǒng)目前狀態(tài)進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理”，在“系統(tǒng)工具->當(dāng)?shù)赜脩艉徒M”：記錄目前用戶狀態(tài)，備份系統(tǒng)SAM文件。參照配置操作：進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理”，在“系統(tǒng)工具實(shí)行步驟->當(dāng)?shù)赜脩艉徒M”。刪除或鎖定與設(shè)施運(yùn)轉(zhuǎn)、保護(hù)等與工作沒關(guān)的賬號?；赝朔桨冈鎏肀粍h除的用戶，激活被鎖定的用戶，復(fù)原用戶權(quán)限到初始設(shè)置。部分操作可能沒法回退。進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理”，在“系統(tǒng)工具判斷依照->當(dāng)?shù)赜脩艉徒M”：查察能否刪除或鎖定與設(shè)施運(yùn)轉(zhuǎn)、保護(hù)等與工作沒關(guān)的賬專業(yè)知識整理分享WORD格式可編寫號。依據(jù)系統(tǒng)的要乞降實(shí)質(zhì)業(yè)務(wù)狀況判斷能否切合要求實(shí)行風(fēng)險(xiǎn)高重要等級★★★備注SHG-Windows-01-01-03編號SHG-Windows-01-01-03名稱重命名Administrator，禁用GUEST實(shí)行目的關(guān)于管理員帳號，要求改正缺省帳戶名稱；禁用guest（來賓）帳號。提升系統(tǒng)安全性。問題影響管理員帳號簡單被猜解；Guest賬號簡單被非法利用系統(tǒng)目前狀態(tài)進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理”，在“系統(tǒng)工具->當(dāng)?shù)赜脩艉徒M”。記錄目前用戶狀態(tài)參照配置操作：進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理”，在“系統(tǒng)工具實(shí)行步驟->當(dāng)?shù)赜脩艉徒M”。Administrator－>屬性－>更更名稱Guest帳號->屬性－>已停用回退方案重命名用戶名稱，復(fù)原用戶屬性設(shè)置進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理”，在“系統(tǒng)工具->當(dāng)?shù)赜脩艉徒M”：判斷依照查察管理員賬號Administrator名稱能否改正，Guest賬號能否禁用。實(shí)行風(fēng)險(xiǎn)低專業(yè)知識整理分享WORD格式可編寫重要等級★備注2口令SHG-Windows-01-02-01編號SHG-Windows-01-02-01名稱配置密碼策略設(shè)置密碼策略，減少密碼安全風(fēng)險(xiǎn)；防備系統(tǒng)弱口令的存在，實(shí)行目的減少安全隱患。關(guān)于采納靜態(tài)口令認(rèn)證技術(shù)的設(shè)施，口令長度起碼6位，且密碼規(guī)則起碼應(yīng)采納字母（大小寫穿插）加數(shù)字加標(biāo)點(diǎn)符號（包含通配符）的方式。問題影響增添系統(tǒng)密碼被暴力破解的成功率系統(tǒng)目前狀態(tài)進(jìn)入“控制面板->管理工具->當(dāng)?shù)匕踩呗浴?，在“帳戶策?>密碼策略”：記錄目前密碼策略狀況。參照配置操作：進(jìn)入“控制面板->管理工具->當(dāng)?shù)匕踩呗浴?，在“帳戶策?>密碼策略”?！懊艽a一定切合復(fù)雜性要求”選擇“已啟動”設(shè)置以下策略實(shí)行步驟介紹最低設(shè)策略默認(rèn)設(shè)置置記著1個密強(qiáng)迫履行密碼歷史記錄記著5個密碼碼密碼最長久限42天90天專業(yè)知識整理分享回退方案判斷依照實(shí)行風(fēng)險(xiǎn)重要等級備注

WORD格式可編寫密碼最短限期0天2天最短密碼長度0個字符8個字符密碼一定切合復(fù)雜性要求禁用啟用為域中所實(shí)用戶使用可復(fù)原的加密來儲藏密禁用禁用碼復(fù)原密碼策略到加固以前配置進(jìn)入“控制面板->管理工具->當(dāng)?shù)匕踩呗浴保凇皫舨呗?>密碼策略”：查察“密碼一定切合復(fù)雜性要求”能否選擇“已啟動”。低★★★SHG-Windows-01-02-02編號SHG-Windows-01-02-02名稱配置賬戶鎖定策略實(shí)行目的設(shè)置有效的賬戶鎖定策略有助于防備攻擊者猜出系統(tǒng)賬戶的密碼。問題影響增添系統(tǒng)密碼被暴力破解的成功率系統(tǒng)目前狀態(tài)進(jìn)入“控制面板->管理工具->當(dāng)?shù)匕踩呗浴?，在“帳戶策?>賬戶鎖定策略”：記錄目前賬戶鎖定策略狀況。專業(yè)知識整理分享實(shí)行步驟回退方案判斷依照實(shí)行風(fēng)險(xiǎn)重要等級備注

WORD格式可編寫參照配置操作：進(jìn)入“控制面板->管理工具->當(dāng)?shù)匕踩呗浴?，在“帳戶策?>賬戶鎖定策略”。設(shè)置以下策略：策略默認(rèn)設(shè)置介紹最低設(shè)置賬戶鎖準(zhǔn)時間不決義30分鐘賬戶鎖定閾值06次無效登錄復(fù)位賬戶鎖定計(jì)數(shù)器不決義30分鐘復(fù)原賬戶鎖定策略到加固以前配置進(jìn)入“控制面板->管理工具->當(dāng)?shù)匕踩呗浴保凇皫舨呗?>賬戶鎖定策略”：查察安全策略能否設(shè)置為已啟動和按要求配置。低★★★3受權(quán)SHG-Windows-01-03-01編號SHG-Windows-01-03-01名稱遠(yuǎn)端系統(tǒng)強(qiáng)迫關(guān)機(jī)設(shè)置實(shí)行目的防備遠(yuǎn)程用戶非法關(guān)機(jī)，在當(dāng)?shù)匕踩O(shè)置中從遠(yuǎn)端系統(tǒng)強(qiáng)迫關(guān)機(jī)只指派給Administrators組問題影響增添系統(tǒng)被管理員之外的用戶非法封閉的風(fēng)險(xiǎn)專業(yè)知識整理分享系統(tǒng)目前狀態(tài)實(shí)行步驟回退方案判斷依照

WORD格式可編寫進(jìn)入“控制面板->管理工具->當(dāng)?shù)匕踩呗浴?，在“?dāng)?shù)夭呗?>用戶權(quán)益指派”:查察并記錄“從遠(yuǎn)端系統(tǒng)強(qiáng)迫關(guān)機(jī)”的目前設(shè)置。參照配置操作：進(jìn)入“控制面板->管理工具->當(dāng)?shù)匕踩呗浴?，在“?dāng)?shù)夭呗?>用戶權(quán)益指派”?！皬倪h(yuǎn)端系統(tǒng)強(qiáng)迫關(guān)機(jī)”設(shè)置為“只指派給Administrators組”。復(fù)原“從遠(yuǎn)端系統(tǒng)強(qiáng)迫關(guān)機(jī)”的設(shè)置到加固以前配置。進(jìn)入“控制面板->管理工具->當(dāng)?shù)匕踩呗浴保凇爱?dāng)?shù)夭呗?>用戶權(quán)益指派”:查察“從遠(yuǎn)端系統(tǒng)強(qiáng)迫關(guān)機(jī)”能否設(shè)置為“只指派給Administrators組”。實(shí)行風(fēng)險(xiǎn)低重要等級★★★備注SHG-Windows-01-03-02編號SHG-Windows-01-03-02名稱封閉系統(tǒng)設(shè)置實(shí)行目的防備管理員之外的用戶非法關(guān)機(jī)，在當(dāng)?shù)匕踩O(shè)置中封閉系統(tǒng)僅指派給Administrators組問題影響增添系統(tǒng)被管理員之外的用戶非法封閉的風(fēng)險(xiǎn)專業(yè)知識整理分享系統(tǒng)目前狀態(tài)實(shí)行步驟回退方案判斷依照實(shí)行風(fēng)險(xiǎn)重要等級備注

WORD格式可編寫進(jìn)入“控制面板->管理工具->當(dāng)?shù)匕踩呗浴?，在“?dāng)?shù)夭呗?>用戶權(quán)益指派”:查察并記錄“封閉系統(tǒng)”的目前設(shè)置。參照配置操作：進(jìn)入“控制面板->管理工具->當(dāng)?shù)匕踩呗浴?，在“?dāng)?shù)夭呗?>用戶權(quán)益指派”。“封閉系統(tǒng)”設(shè)置為“只指派給Administrators組”。復(fù)原“封閉系統(tǒng)”的設(shè)置到加固以前配置進(jìn)入“控制面板->管理工具->當(dāng)?shù)匕踩呗浴?，在“?dāng)?shù)夭呗?>用戶權(quán)益指派”:查察“封閉系統(tǒng)”能否設(shè)置為“只指派給Administrators組”。低★★★SHG-Windows-01-03-03編號SHG-Windows-01-03-03名稱“獲得文件或其余對象的全部權(quán)”設(shè)置實(shí)行目的防備用戶非法獲得文件，在當(dāng)?shù)匕踩O(shè)置中獲得文件或其余對象的全部權(quán)僅指派給Administrators問題影響增添系統(tǒng)除管理員之外的用戶非法獲得文件的風(fēng)險(xiǎn)系統(tǒng)目前狀態(tài)進(jìn)入“控制面板->管理工具->當(dāng)?shù)匕踩呗浴保凇爱?dāng)?shù)夭呗?>用戶權(quán)益指派”:查察并記錄“獲得文件或其余對象的專業(yè)知識整理分享實(shí)行步驟回退方案判斷依照實(shí)行風(fēng)險(xiǎn)重要等級備注

WORD格式可編寫全部權(quán)”的目前設(shè)置。參照配置操作：進(jìn)入“控制面板->管理工具->當(dāng)?shù)匕踩呗浴?，在“?dāng)?shù)夭呗?>用戶權(quán)益指派”。“獲得文件或其余對象的全部權(quán)”設(shè)置為“只指派給Administrators組”。復(fù)原“獲得文件或其余對象的全部權(quán)”的設(shè)置到加固以前配置進(jìn)入“控制面板->管理工具->當(dāng)?shù)匕踩呗浴?，在“?dāng)?shù)夭呗?>用戶權(quán)益指派”：查察能否“獲得文件或其余對象的全部權(quán)”設(shè)置為“只指派給Administrators組”。低★★★SHG-Windows-01-03-04編號SHG-Windows-01-03-04名稱“從當(dāng)?shù)氐前洞擞?jì)算機(jī)”設(shè)置實(shí)行目的防備用戶非法登錄主機(jī)，在當(dāng)?shù)匕踩O(shè)置中配置指定受權(quán)用戶同意當(dāng)?shù)氐前洞擞?jì)算機(jī)問題影響增添物理鄰近攻擊和當(dāng)?shù)匚锢砉粢约胺鞘軝?quán)用戶非法登陸主機(jī)的風(fēng)險(xiǎn)系統(tǒng)目前狀態(tài)進(jìn)入“控制面板->管理工具->當(dāng)?shù)匕踩呗浴保凇爱?dāng)?shù)夭邔I(yè)知識整理分享實(shí)行步驟回退方案判斷依照實(shí)行風(fēng)險(xiǎn)重要等級備注

WORD格式可編寫略->用戶權(quán)益指派”:查察并記錄“從當(dāng)?shù)氐前洞擞?jì)算機(jī)”的目前設(shè)置。參照配置操作：進(jìn)入“控制面板->管理工具->當(dāng)?shù)匕踩呗浴保凇爱?dāng)?shù)夭呗?>用戶權(quán)益指派”“從當(dāng)?shù)氐前洞擞?jì)算機(jī)”設(shè)置為“指定受權(quán)用戶”復(fù)原“從當(dāng)?shù)氐前洞擞?jì)算機(jī)”的設(shè)置到加固以前配置進(jìn)入“控制面板->管理工具->當(dāng)?shù)匕踩呗浴?，在“?dāng)?shù)夭呗?>用戶權(quán)益指派”：查察能否“從當(dāng)?shù)氐前洞擞?jì)算機(jī)”設(shè)置為“指定受權(quán)用戶”。低★★★SHG-Windows-01-03-05編號SHG-Windows-01-03-05名稱“從網(wǎng)絡(luò)接見此計(jì)算機(jī)”設(shè)置實(shí)行目的防備網(wǎng)絡(luò)用戶非法接見主機(jī)，在組策略中只同意受權(quán)帳號從網(wǎng)絡(luò)接見(包含網(wǎng)絡(luò)共享等，但不包含終端服務(wù))此計(jì)算機(jī)。問題影響增添非受權(quán)用戶非法接見主機(jī)的風(fēng)險(xiǎn)進(jìn)入“控制面板->管理工具->當(dāng)?shù)匕踩呗浴保凇爱?dāng)?shù)夭呦到y(tǒng)目前狀態(tài)略->用戶權(quán)益指派”:查察并記錄“從網(wǎng)絡(luò)接見此計(jì)算機(jī)”的目前設(shè)置。專業(yè)知識整理分享WORD格式可編寫1、參照配置操作實(shí)行步驟進(jìn)入“控制面板->管理工具->當(dāng)?shù)匕踩呗浴?，在“?dāng)?shù)夭呗?>用戶權(quán)益指派”“從網(wǎng)絡(luò)接見此計(jì)算機(jī)”設(shè)置為“指定受權(quán)用戶”回退方案復(fù)原“從網(wǎng)絡(luò)接見此計(jì)算機(jī)”的設(shè)置到加固以前配置進(jìn)入“控制面板->管理工具->當(dāng)?shù)匕踩呗浴?，在“?dāng)?shù)夭吲袛嘁勒章?>用戶權(quán)益指派”：查察能否“從網(wǎng)絡(luò)接見此計(jì)算機(jī)”設(shè)置為“指定受權(quán)用戶”。實(shí)行風(fēng)險(xiǎn)低重要等級★★★備注日記配置SHG-Windows-02-01-01編號SHG-Windows-02-01-01名稱審查策略設(shè)置設(shè)置審查策略，記錄系統(tǒng)重要的事件日記，設(shè)施應(yīng)配置日記實(shí)行目的功能，對用戶登錄進(jìn)行記錄，記錄內(nèi)容包含用戶登錄使用的賬號，登錄能否成功，登錄時間，以及遠(yuǎn)程登錄時，用戶使用的IP地點(diǎn)問題影響沒法對用戶的登岸以及登岸后對系統(tǒng)的操作過程、特權(quán)使用等進(jìn)行日記記錄專業(yè)知識整理分享系統(tǒng)目前狀態(tài)實(shí)行步驟回退方案判斷依照實(shí)行風(fēng)險(xiǎn)重要等級備注

WORD格式可編寫進(jìn)入“控制面板->管理工具->當(dāng)?shù)匕踩呗浴?，查察并記錄“審查策略”的目前設(shè)置。參照配置操作：開始->運(yùn)轉(zhuǎn)->履行“控制面板->管理工具->當(dāng)?shù)匕踩呗?>審查策略”審查登錄事件，雙擊，設(shè)置為成功和失敗都審查。“審查策略改正”設(shè)置為“成功”和“失敗”都要審查“審查對象接見”設(shè)置為“成功”和“失敗”都要審查“審查目錄服務(wù)器接見”設(shè)置為“成功”和“失敗”都要審查“審查特權(quán)使用”設(shè)置為“成功”和“失敗”都要審查“審查系統(tǒng)事件”設(shè)置為“成功”和“失敗”都要審查“審查賬戶管理”設(shè)置為“成功”和“失敗”都要審查“審查過程追蹤”設(shè)置為“失敗”需要審查復(fù)原“審查策略”的設(shè)置到加固以前配置開始->運(yùn)轉(zhuǎn)->履行“控制面板->管理工具->當(dāng)?shù)匕踩呗?>審查策略”：查察能否設(shè)置為成功和失敗都審查。低★★★SHG-Windows-02-01-02編號SHG-Windows-02-01-02專業(yè)知識整理分享名稱實(shí)行目的問題影響系統(tǒng)目前狀態(tài)實(shí)行步驟回退方案判斷依照實(shí)行風(fēng)險(xiǎn)重要等級

WORD格式可編寫日記記錄策略設(shè)置優(yōu)化系統(tǒng)日記記錄，防備日記溢出。設(shè)置應(yīng)用日記文件大小起碼為8192KB，設(shè)置當(dāng)達(dá)到最大的日記尺寸時，按需要改寫事件假如日記的大小超出系統(tǒng)默認(rèn)設(shè)置，則沒法正常記錄超出最大記錄值后的全部系統(tǒng)日記、應(yīng)用日記、安整日記等進(jìn)入“控制面板->管理工具->事件查察器”，查察并記錄“應(yīng)用日記”、“系統(tǒng)日記”、“安整日記”的目前設(shè)置1、參照配置操作進(jìn)入“控制面板->管理工具->事件查察器”，在“事件查察器（當(dāng)?shù)兀敝校骸皯?yīng)用日記”屬性中的日記大小設(shè)置不小于“8192KB”,設(shè)置當(dāng)達(dá)到最大的日記尺寸時，“按需要改寫事件”“系統(tǒng)日記”屬性中的日記大小設(shè)置不小于“8192KB”,設(shè)置當(dāng)達(dá)到最大的日記尺寸時，“按需要改寫事件”“安整日記”屬性中的日記大小設(shè)置不小于“8192KB”,設(shè)置當(dāng)達(dá)到最大的日記尺寸時，“按需要改寫事件”復(fù)原“應(yīng)用日記”、“系統(tǒng)日記”、“安整日記”的設(shè)置到加固以前配置進(jìn)入“控制面板->管理工具->事件查察器”，在“事件查察器（當(dāng)?shù)兀敝校翰椴旄黜?xiàng)日記屬性中日記大小能否設(shè)置為不小于“8192KB”,能否設(shè)置當(dāng)達(dá)到最大的日記尺寸時，“按需要改寫事件”。低★專業(yè)知識整理分享WORD格式可編寫備注通信協(xié)議1IP協(xié)議安全SHG-Windows-03-01-01編號SHG-Windows-03-01-01名稱啟用TCP/IP挑選過濾不用要的端口，提升系統(tǒng)安全性，對沒有自帶防火墻的實(shí)行目的Windows系統(tǒng)，啟用Windows系統(tǒng)的IP安全體制(IPSec)或網(wǎng)絡(luò)連結(jié)上的TCP/IP挑選，只開放業(yè)務(wù)所需要的TCP，UDP端口和IP協(xié)議問題影響如不有效過濾系統(tǒng)中存在的不用要的端口以及默認(rèn)的端口會增添潛伏被攻擊和非法利用的安全風(fēng)險(xiǎn)進(jìn)入“控制面板－>網(wǎng)絡(luò)連結(jié)－>當(dāng)?shù)剡B結(jié)”，進(jìn)入“Internet系統(tǒng)目前狀態(tài)協(xié)議（TCP/IP）屬性－>高級TCP/IP設(shè)置”，在“選項(xiàng)”的屬性中查察“網(wǎng)絡(luò)連結(jié)上的TCP/IP挑選”的狀態(tài)，并記錄參照配置操作：系統(tǒng)管理員出示業(yè)務(wù)所需端口列表。實(shí)行步驟依據(jù)列表只開放系統(tǒng)與業(yè)務(wù)所需端口。進(jìn)入“控制面板－>網(wǎng)絡(luò)連結(jié)－>當(dāng)?shù)剡B結(jié)”，進(jìn)入“Internet協(xié)議（TCP/IP）屬性－>高級TCP/IP設(shè)置”，在“選項(xiàng)”的屬性中啟用網(wǎng)絡(luò)連結(jié)上的TCP/IP挑選，只開放業(yè)務(wù)所需要的TCP，UDP端口和IP協(xié)議。專業(yè)知識整理分享回退方案判斷依照實(shí)行風(fēng)險(xiǎn)重要等級備注

WORD格式可編寫復(fù)原高級TCP/IP的設(shè)置到加固以前配置系統(tǒng)管理員出示業(yè)務(wù)所需端口列表。依據(jù)列表只開放系統(tǒng)與業(yè)務(wù)所需端口。進(jìn)入“控制面板－>網(wǎng)絡(luò)連結(jié)－>當(dāng)?shù)剡B結(jié)”，進(jìn)入“Internet協(xié)議（TCP/IP）屬性－>高級TCP/IP設(shè)置”，在“選項(xiàng)”的屬性中啟用網(wǎng)絡(luò)連結(jié)上的TCP/IP挑選，查察能否只開放業(yè)務(wù)所需要的TCP，UDP端口和IP協(xié)議。利用Netstat–an命令查察目前系統(tǒng)開放端口能否與系統(tǒng)管理員所出示的業(yè)務(wù)所需端口列表相對應(yīng)；如發(fā)現(xiàn)存在與業(yè)務(wù)和應(yīng)用沒關(guān)的端口，則查明后在TPC/IP挑選配置中將其過濾掉。高★SHG-Windows-03-01-02編號SHG-Windows-03-01-01名稱開啟系統(tǒng)防火墻啟用WindowsXP和Windows2003自帶防火墻，過濾不用要實(shí)行目的的端口，提升系統(tǒng)安全性。依據(jù)業(yè)務(wù)需要限制同意接見網(wǎng)絡(luò)的應(yīng)用程序和同意遠(yuǎn)程登岸該設(shè)施的IP地點(diǎn)范圍。問題影響沒有接見控制，系統(tǒng)可能被非法登岸或使用，進(jìn)而增添潛伏被攻擊的安全風(fēng)險(xiǎn)系統(tǒng)目前狀態(tài)進(jìn)入“控制面板－>網(wǎng)絡(luò)連結(jié)－>當(dāng)?shù)剡B結(jié)”，在高級選項(xiàng)的屬性中查察Windows防火墻的狀態(tài)，并記錄詳盡狀況。專業(yè)知識整理分享實(shí)行步驟回退方案判斷依照實(shí)行風(fēng)險(xiǎn)重要等級備注

WORD格式可編寫參照配置操作：系統(tǒng)管理員出示業(yè)務(wù)所需端口列表。依據(jù)列表只開放系統(tǒng)與業(yè)務(wù)所需端口。進(jìn)入“控制面板－>網(wǎng)絡(luò)連結(jié)－>當(dāng)?shù)剡B結(jié)”，在高級選項(xiàng)的設(shè)置中：啟用Windows防火墻。在“例外”中配置同意業(yè)務(wù)所需的程序接入網(wǎng)絡(luò)。在“例外->編寫->改正范圍”編寫同意接入的網(wǎng)絡(luò)地點(diǎn)范圍。復(fù)原高級系統(tǒng)防火墻設(shè)置到加固以前配置。進(jìn)入“控制面板－>網(wǎng)絡(luò)連結(jié)－>當(dāng)?shù)剡B結(jié)”，在高級選項(xiàng)的設(shè)置中，查察能否啟用Windows防火墻。查察能否在“例外”中配置同意業(yè)務(wù)所需的程序接入網(wǎng)絡(luò)。查察能否在“例外->編寫->改正范圍”編寫同意接入的網(wǎng)絡(luò)地點(diǎn)范圍。高★SHG-Windows-03-01-03編號SHG-Windows-03-01-03名稱啟用SYN攻擊保護(hù)啟用SYN攻擊保護(hù)，提升系統(tǒng)安全性；指定觸發(fā)SYN洪水攻擊實(shí)行目的保護(hù)所一定超出的TCP連結(jié)懇求數(shù)閥值為5；指定處于SYN_RCVD狀態(tài)的TCP連結(jié)數(shù)的閾值為500；指定處于起碼已專業(yè)知識整理分享WORD格式可編寫發(fā)送一次重傳的SYN_RCVD狀態(tài)中的TCP連結(jié)數(shù)的閾值為400。如不啟用SYN攻擊保護(hù)，系統(tǒng)則簡單被SYN拒絕服務(wù)攻擊后導(dǎo)問題影響致快速當(dāng)機(jī)。在“開始->運(yùn)轉(zhuǎn)->鍵入regedit”查察并記錄注冊表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services、SynAttackProtect的值并記錄。查察并記錄注冊表系統(tǒng)目前狀態(tài)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services之下。TcpMaxPortsExhaustedTcpMaxHalfOpenTcpMaxHalfOpenRetried的值并記錄參照配置操作：在“開始->運(yùn)轉(zhuǎn)->鍵入regedit”啟用SYN攻擊保護(hù)的命名值位于注冊表項(xiàng)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services之下。值名稱：SynAttackProtect。介紹值：2。以下部分中的全部項(xiàng)和值均位于注冊表項(xiàng)實(shí)行步驟HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services之下。指定一定在觸發(fā)SYNflood保護(hù)以前超出的TCP連結(jié)懇求閾值。值名稱：TcpMaxPortsExhausted。介紹值：5。啟用SynAttackProtect后，該值指定SYN_RCVD狀態(tài)中的TCP連結(jié)閾值，超出SynAttackProtect時，觸發(fā)SYNflood保護(hù)。值名稱：TcpMaxHalfOpen。介紹值數(shù)據(jù)：500。啟用SynAttackProtect后，指定起碼發(fā)送了一次重傳的專業(yè)知識整理分享回退方案判斷依照實(shí)行風(fēng)險(xiǎn)重要等級備注

WORD格式可編寫SYN_RCVD狀態(tài)中的TCP連結(jié)閾值。超出SynAttackProtect時，觸發(fā)SYNflood保護(hù)。值名稱：TcpMaxHalfOpenRetried。介紹值數(shù)據(jù)：400。復(fù)原注冊表設(shè)置到加固以前配置在開始->運(yùn)轉(zhuǎn)里輸入regedit，進(jìn)入注冊表中翻開相應(yīng)的注冊項(xiàng)，查察鍵值能否已啟用和配置，各注冊表鍵值能否均按要求設(shè)置。高★設(shè)施其余安全要求1屏幕保護(hù)SHG-Windows-04-01-01編號SHG-Windows-04-01-01名稱啟用屏幕保護(hù)程序?qū)嵭心康膯⒂闷聊槐Ｗo(hù)程序，防備管理員忘掉鎖定機(jī)器被非法攻擊；設(shè)置帶密碼的屏幕保護(hù)，并將時間設(shè)定為5分鐘如未啟動屏幕保護(hù)并采納密碼恢復(fù)，一旦管理員操作系統(tǒng)后問題影響忘掉鎖定主機(jī)，則簡單被非法攻擊，以及增添當(dāng)?shù)匚锢磬徑舻娘L(fēng)險(xiǎn)。專業(yè)知識整理分享系統(tǒng)目前狀態(tài)實(shí)行步驟回退方案判斷依照實(shí)行風(fēng)險(xiǎn)重要等級備注

WORD格式可編寫進(jìn)入“控制面板－>顯示－>屏幕保護(hù)程序”：查察能否啟用屏幕保護(hù)程序并記錄目前的設(shè)置參照配置操作：進(jìn)入“控制面板－>顯示－>屏幕保護(hù)程序”：啟用屏幕保護(hù)程序，設(shè)置等候時間為“5分鐘”，啟用“在恢復(fù)時使用密碼保護(hù)”。復(fù)原屏幕保護(hù)程序設(shè)置到加固以前配置。進(jìn)入“控制面板－>顯示－>屏幕保護(hù)程序”：查察能否啟用屏幕保護(hù)程序，設(shè)置等候時間為“5分鐘”，啟用“在恢復(fù)時使用密碼保護(hù)”。在系統(tǒng)桌面上點(diǎn)擊鼠標(biāo)右鍵，翻開屬性，查察屏幕保護(hù)程序選項(xiàng)能否已啟動和配置。低★★★SHG-Windows-04-01-02編號SHG-Windows-04-01-02名稱設(shè)置Microsoft網(wǎng)絡(luò)服務(wù)器掛起時間設(shè)置Microsoft網(wǎng)絡(luò)服務(wù)器掛起時間，防備管理員忘掉鎖定實(shí)行目的機(jī)器被非法利用；關(guān)于遠(yuǎn)程登岸的帳號，設(shè)置不活動斷連時間15分鐘問題影響管理員忘掉鎖定而被非法利用系統(tǒng)目前狀態(tài)進(jìn)入“控制面板->管理工具->當(dāng)?shù)匕踩呗浴?，在“?dāng)?shù)夭邔I(yè)知識整理分享實(shí)行步驟回退方案判斷依照實(shí)行風(fēng)險(xiǎn)重要等級備注

WORD格式可編寫略->安全選項(xiàng)”：查察能否“Microsoft網(wǎng)絡(luò)服務(wù)器”設(shè)置為“在掛起會話以前所需的安閑時間”為15分鐘。參照配置操作：進(jìn)入“控制面板->管理工具->當(dāng)?shù)匕踩呗浴?，在“?dāng)?shù)夭呗?>安全選項(xiàng)”：“Microsoft網(wǎng)絡(luò)服務(wù)器”設(shè)置為“在掛起會話以前所需的安閑時間”為15分鐘。復(fù)原“掛起會話以前所需的安閑時間”設(shè)置到加固以前配置進(jìn)入“控制面板->管理工具->當(dāng)?shù)匕踩呗浴保凇爱?dāng)?shù)夭呗?>安全選項(xiàng)”：查察能否“Microsoft網(wǎng)絡(luò)服務(wù)器”設(shè)置為“在掛起會話以前所需的安閑時間”為15分鐘。低★★★2共享文件夾及接見權(quán)限SHG-Windows-04-02-01編號SHG-Windows-04-02-01名稱封閉默認(rèn)共享實(shí)行目非域環(huán)境中，封閉Windows硬盤默認(rèn)共享，比如C$，D$，提升系統(tǒng)安全的性能專業(yè)知識整理分享WORD格式可編寫問題影防備攻擊者利用系統(tǒng)默認(rèn)共享如：C$、D$等，非法對系統(tǒng)的硬盤進(jìn)行接見，響以及經(jīng)過IPC$方式暴力破解帳戶和密碼系統(tǒng)當(dāng)查察并記錄：注冊表前狀態(tài)增添了REG_DWORD種類的AutoShareServer鍵的值。參照配置操作：實(shí)行步進(jìn)入“開始－>運(yùn)轉(zhuǎn)－>Regedit”，進(jìn)入注冊表編寫器，驟改正注冊表鍵值：在HKLM\System\CurrentControlSet\下，增添REG_DWORD種類的AutoShareServer鍵，值為0?；赝朔綇?fù)原“AutoShareServer”鍵的值設(shè)置到加固以前配置案進(jìn)入“開始－>運(yùn)轉(zhuǎn)－>Regedit”，進(jìn)入注冊表編寫器，查察判斷依HKLM\System\CurrentControlSet\據(jù)下，能否已增添REG_DWORD種類的AutoShareServer鍵，值為0。實(shí)行風(fēng)低險(xiǎn)重要等★級備注SHG-Windows-04-02-02編號SHG-Windows-04-02-02名稱設(shè)置共享文件夾接見權(quán)限實(shí)行目的設(shè)置共享文件夾接見權(quán)限，防備用戶非法接見。只同意受權(quán)專業(yè)知識整理分享問題影響系統(tǒng)目前狀態(tài)實(shí)行步驟回退方案判斷依照實(shí)行風(fēng)險(xiǎn)重要等級備注

WORD格式可編寫的賬戶擁有權(quán)限共享此文件夾。增添系統(tǒng)未受權(quán)的用戶非法接見共享文件夾的風(fēng)險(xiǎn)進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理”，進(jìn)入“系統(tǒng)工具－>共享文件夾”：查察并記錄每個共享文件夾的共享權(quán)限。參照配置操作：進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理”，進(jìn)入“系統(tǒng)工具－>共享文件夾”：查察每個共享文件夾的共享權(quán)限，只將權(quán)限受權(quán)于指定賬戶。復(fù)原每個共享文件夾的共享權(quán)限到加固以前配置進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理”，進(jìn)入“系統(tǒng)工具－>共享文件夾”：查察每個共享文件夾的共享權(quán)限。查察每個共享文件夾的共享權(quán)限能否僅限于業(yè)務(wù)需要，不設(shè)置成為“everyone”。低★★★專業(yè)知識整理分享WORD格式可編寫3補(bǔ)丁管理SHG-Windows-04-03-01編號名稱實(shí)行目的問題影響系統(tǒng)目前狀態(tài)實(shí)行步驟回退方案判斷依照實(shí)行風(fēng)險(xiǎn)重要等級備注

SHG-Windows-04-03-01安裝系統(tǒng)補(bǔ)丁修復(fù)系統(tǒng)破綻。應(yīng)安裝最新的ServicePack補(bǔ)丁集。對服務(wù)器系統(tǒng)應(yīng)先進(jìn)行兼容性測試。如系統(tǒng)未打補(bǔ)丁或補(bǔ)丁未打全，不是最新的補(bǔ)丁，則面對簡單被攻擊、浸透和控制的風(fēng)險(xiǎn)控制面板->增添或刪除程序->顯示更新打鉤，查察并記錄目前系統(tǒng)安裝的補(bǔ)丁參照配置操作：安裝最新的ServicePack補(bǔ)丁集，以及最新的Hotfix補(bǔ)丁。目前WindowsXP的ServicePack為SP3。Windows2000的ServicePack為SP4,Windows2003的ServicePack為SP2卸載新安裝的補(bǔ)丁進(jìn)入控制面板->增添或刪除程序->顯示更新打鉤，查察能否XP系統(tǒng)已安裝SP3，Win2000系統(tǒng)已安裝SP4，Win2003系統(tǒng)已安裝SP2。同時檢查全部的hotfix，并查察系統(tǒng)安裝的最后一個補(bǔ)丁的公布日期能否與近來最新公布的補(bǔ)丁日期一致。高★★★專業(yè)知識整理分享WORD格式可編寫4防病毒管理SHG-Windows-04-04-01編號名稱實(shí)行目的問題影響系統(tǒng)目前狀態(tài)實(shí)行步驟回退方案判斷依照實(shí)行風(fēng)險(xiǎn)

SHG-Windows-04-04-01安裝、更新殺毒軟件安裝防病毒軟件，并實(shí)時更新，提升系統(tǒng)防病毒能力如系統(tǒng)中未安裝防病毒軟件或防病毒軟件未實(shí)時更新，則系統(tǒng)面對簡單被病毒感染的風(fēng)險(xiǎn)查察能否安裝殺毒軟件；翻開防病毒軟件控制面板，查察病毒碼更新日期參照配置操作：安裝防病毒軟件，并將病毒庫更新到最新的版本卸載或刪除殺毒軟件進(jìn)入控制面板->增添或刪除程序，查察能否安裝有防病毒軟件。同時翻開防病毒軟件控制面板，查察病毒碼更新日期。如已安裝防病毒軟件，則病毒碼更新時間不早于1個月，各系統(tǒng)病毒碼升級時間要求拜見各系統(tǒng)有關(guān)規(guī)定。低重要等級★★★備注專業(yè)知識整理分享WORD格式可編寫SHG-Windows-04-04-02編號SHG-Windows-04-04-02名稱數(shù)據(jù)履行保護(hù)配置提升系統(tǒng)抵擋非法改正文件的性能。關(guān)于WindowsXPSP2實(shí)行目的及Windows2003對Windows操作系統(tǒng)程序和服務(wù)啟用系統(tǒng)自帶DEP功能(數(shù)據(jù)履行保護(hù))，防備在受保護(hù)內(nèi)存地點(diǎn)運(yùn)轉(zhuǎn)有害代碼。問題影響如未配置系統(tǒng)核心的數(shù)據(jù)履行保護(hù)，則沒法對在內(nèi)存地點(diǎn)運(yùn)行有害代碼進(jìn)行保護(hù)進(jìn)入“控制面板－>系統(tǒng)”，在“高級”選項(xiàng)卡的“性能”系統(tǒng)目前狀態(tài)下的“設(shè)置”。進(jìn)入“數(shù)據(jù)履行保護(hù)”選項(xiàng)卡。查察并記錄“僅為基本W(wǎng)indows操作系統(tǒng)程序和服務(wù)啟用DEP”的配置狀態(tài)。參照配置操作：實(shí)行步驟進(jìn)入“控制面板－>系統(tǒng)”，在“高級”選項(xiàng)卡的“性能”下的“設(shè)置”。進(jìn)入“數(shù)據(jù)履行保護(hù)”選項(xiàng)卡。設(shè)置為“僅為基本W(wǎng)indows操作系統(tǒng)程序和服務(wù)啟用DEP”?；赝朔桨笇ⅰ皟H為基本W(wǎng)indows操作系統(tǒng)程序和服務(wù)啟用DEP”設(shè)置到加固前配置進(jìn)入“控制面板－>系統(tǒng)”，在“高級”選項(xiàng)卡的“性能”判斷依照下的“設(shè)置”。進(jìn)入“數(shù)據(jù)履行保護(hù)”選項(xiàng)卡。查察能否設(shè)置為“僅為基本W(wǎng)indows操作系統(tǒng)程序和服務(wù)啟用DEP”。實(shí)行風(fēng)險(xiǎn)低重要等級★備注專業(yè)知識整理分享WORD格式可編寫4.5Windows服務(wù)SHG-Windows-04-05-01編號SHG-Windows-04-05-01名稱封閉服務(wù)實(shí)行目的封閉系統(tǒng)不用要的服務(wù)，提升系統(tǒng)安全性。列出所需要服務(wù)的列表(包含所需的系統(tǒng)服務(wù))，不在此列表的服務(wù)需封閉問題影響如不封閉與業(yè)務(wù)和應(yīng)用沒關(guān)或不用要的服務(wù)，則系統(tǒng)面對容易被攻擊、浸透或利用的風(fēng)險(xiǎn)系統(tǒng)目前狀態(tài)運(yùn)轉(zhuǎn)命令netstart查察目前運(yùn)轉(zhuǎn)的服務(wù)參照配置操作：進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理”，進(jìn)入“服務(wù)和應(yīng)用程序”：查察全部服務(wù)，不在此列表的服務(wù)需封閉。啟動類服務(wù)包含在成員服務(wù)器基準(zhǔn)策略中的原因型COM+事件服務(wù)手動同意組件服務(wù)的管理實(shí)行步驟DHCP客戶端自動更新動向DNS中的記錄所需散布式鏈接追蹤客戶端自動用來保護(hù)NTFS卷上的鏈接DNS客戶端自動同意分析DNS名稱事件日記自動同意在事件日記中查察事件日記信息邏輯磁盤管理器自動需要它來保證動向磁盤信息保持最新邏輯磁盤管理器管理服手動需要它以履行磁盤管理務(wù)Netlogon自動加入域時所需專業(yè)知識整理分享回退方案判斷依照

WORD格式可編寫網(wǎng)絡(luò)連結(jié)手動網(wǎng)絡(luò)通信所需采集計(jì)算機(jī)的性能數(shù)據(jù)，向日記中寫入或性能日記和警報(bào)手動觸發(fā)警報(bào)即插即用自動Windows表記和使用系統(tǒng)硬件時所需受保護(hù)的儲存區(qū)自動需要用它保護(hù)敏感數(shù)據(jù)，如私鑰遠(yuǎn)程過程調(diào)用(RPC)自動Windows中的內(nèi)部過程所需遠(yuǎn)程注冊服務(wù)自動hfnetchk適用工具所需（拜見附注）安全帳戶管理器自動儲存當(dāng)?shù)匕踩珟舻膸粜畔⒎?wù)器自動hfnetchk適用工具所需（拜見附注）系統(tǒng)事件通知自動在事件日記中記錄條目所需TCP/IPNetBIOSHelper在組策略中進(jìn)行軟件散發(fā)所需（可用來分自動服務(wù)發(fā)修理程序）Windows管理規(guī)范驅(qū)動使用“性能日記和警報(bào)”實(shí)現(xiàn)性能警報(bào)時手動程序所需Windows時間服務(wù)需要它來保證Kerberos身份考證有一致自動的功能工作站自動加入域時