網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南-Windows 7 操作系統(tǒng)安全加固指引

目錄

1范圍............................................................................1

2規(guī)范性引用文件.................................................................1

3術(shù)語(yǔ)定義........................................................................1

3.1身份identity...........................................................................................................................1

3.2鑒別authentication.................................................................................................................1

3.3訪問(wèn)控制accesscontrol.........................................................................................................2

3.4安全審計(jì)securityaudit..........................................................................................................2

3.5入侵intrusion.........................................................................................................................2

3.6入侵防御intrusionprevention..............................................................................................2

3.7熱補(bǔ)丁hotfix...........................................................................................................................2

3.8虛擬補(bǔ)丁virtualpatch...........................................................................................................2

4縮略語(yǔ).........................................................................2

5概述...........................................................................3

6安全防護(hù)加固...................................................................3

6.1系統(tǒng)補(bǔ)丁...............................................................4

6.2第三方安全防護(hù)軟件安裝..................................................5

6.3惡意代碼防范............................................................6

7安全配置加固...................................................................8

7.1身份鑒別.................................................................9

7.2訪問(wèn)控制...............................................................13

7.3安全審計(jì)................................................................19

7.4入侵防御...............................................................26

附錄A安全加固項(xiàng)實(shí)施建議......................................................29

附錄B建議安裝的系統(tǒng)補(bǔ)丁......................................................31

附錄C常見(jiàn)的高危漏洞...........................................................32

附錄D建議關(guān)閉的服務(wù).........................................................34

附錄E建議關(guān)閉的端口.........................................................35

參考文獻(xiàn)........................................................................37

V

1范圍

本實(shí)踐指南從安全防護(hù)加固和安全配置加固兩個(gè)方面，給出了針

對(duì)Windows7操作系統(tǒng)的本地安全防護(hù)和安全策略配置建議。

本實(shí)踐指南適用于Windows7操作系統(tǒng)以及兼容操作系統(tǒng)平臺(tái)的

安全加固，Windows7以上的操作系統(tǒng)安全加固也可參考使用。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可

少的條款。其中，注E期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本

文件；不注日期的引用文件，其最新版本（包垢所有的修改單）適用

于本文件。

GB/T25069信息安全技術(shù)術(shù)語(yǔ)

GB/T37090—2018信息安全技術(shù)病毒防治產(chǎn)品安全技術(shù)要求

和測(cè)試評(píng)價(jià)方法

3術(shù)語(yǔ)定義

GB/T25069界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

3.1身份identity

與某一實(shí)體相關(guān)的一組屬性。

注1：一個(gè)實(shí)體能有多個(gè)身份。

注2：幾個(gè)實(shí)體能有同一的身份。

3.2鑒別authentication

1

驗(yàn)證某一實(shí)體所聲稱身份的過(guò)程。

3.3訪問(wèn)控制accesscontrol

一種確保數(shù)據(jù)處理系統(tǒng)的資源只能由經(jīng)授權(quán)實(shí)體以授權(quán)方式進(jìn)

行訪問(wèn)的手段。

3.4安全審計(jì)securityaudit

對(duì)信息系統(tǒng)記錄與活動(dòng)的獨(dú)立評(píng)審和考察，以測(cè)試系統(tǒng)控制的充

分程度，確保對(duì)于既定安全策略和運(yùn)行規(guī)程的符合性，發(fā)現(xiàn)安全違規(guī)，

并在控制、安全策略和過(guò)程三方面提出改進(jìn)建議。

3.5入侵intrusion

對(duì)網(wǎng)絡(luò)或聯(lián)網(wǎng)系統(tǒng)的未授權(quán)訪問(wèn)，即對(duì)信息系統(tǒng)進(jìn)行有意或無(wú)意

的未授權(quán)訪問(wèn)，包括針對(duì)信息系統(tǒng)的惡意活動(dòng)或?qū)π畔⑾到y(tǒng)內(nèi)資源的

未授權(quán)使用。

3.6入侵防御intrusionprevention

積極應(yīng)對(duì)以防止入侵的正規(guī)過(guò)程。

3.7熱補(bǔ)丁hotfix

指能夠修復(fù)軟件漏洞的一些代碼，它不會(huì)使當(dāng)前正在運(yùn)行的業(yè)務(wù)

中斷，即在不重啟的情況下，可以對(duì)當(dāng)前軟件的漏洞進(jìn)行即時(shí)修復(fù)。

3.8虛擬補(bǔ)丁virtualpatch

指一組程序或者代碼，它不直接修復(fù)受影響軟件的漏洞，而采用

外圍的方式，通過(guò)控制受影響軟件的輸入或輸出，來(lái)達(dá)到緩解或者清

除漏洞的目的。

4縮略語(yǔ)

2

下列縮略語(yǔ)適用于本文件。

DEP：數(shù)據(jù)執(zhí)行保護(hù)(DataExecutionProtection)

DPAPI：數(shù)據(jù)保護(hù)API(DataProtectionAPI)

DS：目錄服務(wù)(DirectoryService)

FTP：文件傳輸協(xié)議(FileTransferProtocol)

RDS：遠(yuǎn)程桌面服務(wù)(RemoteDesktopServices)

RPC：遠(yuǎn)程過(guò)程調(diào)用(Remoteprocedurecall)

SAM：安全賬戶管理(SecurityAccountManager)

SYN：同步序列編號(hào)(SynchronizeSequenceNumbers)

TCP：傳輸控制協(xié)議(TransmitControlProtocol)

UAC：用戶賬戶控制(UserAccountControl)

5概述

本實(shí)踐指南從安全防護(hù)加固和安全配置加固兩個(gè)方面給出48個(gè)

加固項(xiàng)，其中，安全防護(hù)加固項(xiàng)9個(gè)，安全配置加固項(xiàng)39個(gè)，每個(gè)加

固項(xiàng)包括“加固內(nèi)容、加固建議、實(shí)施/操作指南'三項(xiàng)要素，具體說(shuō)明

了加固方法。

為了便于實(shí)際操作，附錄A給出了加固項(xiàng)的實(shí)施優(yōu)先級(jí)建議，分

重要和一般兩個(gè)級(jí)別，用戶可根據(jù)具體情況分步驟實(shí)施。

6安全防護(hù)加固

3

安全防護(hù)加固包括三方面的內(nèi)容，首先，及時(shí)安裝微軟官方已經(jīng)

發(fā)布的針對(duì)Windows7系統(tǒng)漏洞的補(bǔ)丁，防止惡意攻擊利用已知漏洞

的攻擊；其次，針對(duì)一些新出現(xiàn)的漏洞且沒(méi)有官方補(bǔ)丁的情況，可以

采用網(wǎng)絡(luò)安全廠商提供的熱補(bǔ)丁或虛擬補(bǔ)丁、系統(tǒng)加固方案等作為緩

解措施，但熱補(bǔ)丁或虛擬補(bǔ)丁的有效性建議由專業(yè)機(jī)構(gòu)進(jìn)行驗(yàn)證；同

時(shí)這些補(bǔ)丁與用戶業(yè)務(wù)系統(tǒng)的兼容性等需要用戶根據(jù)自身的實(shí)際情

況進(jìn)行驗(yàn)證、修補(bǔ)；最后，可以利用系統(tǒng)本身的安全配置以及安裝網(wǎng)

絡(luò)安全廠商提供的惡意代碼防范軟件，以達(dá)到安全加固的FI的。

6.19卜丁

及時(shí)安裝系統(tǒng)補(bǔ)丁，可以很大程度避免被惡意入侵和利用，讓系

統(tǒng)和軟件運(yùn)行更穩(wěn)定。建議安裝的系統(tǒng)補(bǔ)丁見(jiàn)附錄B。

6.1.1已知高危漏洞修復(fù)

加固內(nèi)容

已知高危漏洞進(jìn)行補(bǔ)丁修復(fù)。

加固建議

針對(duì)已知高危漏洞，充分評(píng)估后進(jìn)行修復(fù)。

實(shí)施/操作指南

針對(duì)已知高危漏洞查找并安裝對(duì)應(yīng)補(bǔ)丁或使用安全軟件進(jìn)行漏

洞修復(fù)。常見(jiàn)的高危漏洞詳見(jiàn)附錄C。

6.1.2WindowsUpdate系統(tǒng)升級(jí)進(jìn)程禁止

加固內(nèi)容

4

禁止WindowsUpdate系統(tǒng)升級(jí)進(jìn)程訪問(wèn)互聯(lián)網(wǎng)，防止可能通過(guò)本

升級(jí)進(jìn)程收集信息，增加安全風(fēng)險(xiǎn)。

加固建議

禁止WindowsUpdate系統(tǒng)升級(jí)進(jìn)程訪問(wèn)互聯(lián)網(wǎng)。

實(shí)施/操作指南

利用操作系統(tǒng)自身的功能設(shè)置或采用其他聯(lián)網(wǎng)檢查工具實(shí)現(xiàn)阻

止外聯(lián)Windows7升級(jí)服務(wù)器。

6.2第三方安全防護(hù)軟件安裝

采用網(wǎng)絡(luò)安全廠商提供的安全防護(hù)軟件，可針對(duì)沒(méi)有微軟補(bǔ)丁的

操作系統(tǒng)漏洞進(jìn)行主動(dòng)防御，對(duì)攻擊行為進(jìn)行攔截，包括但不限于以

下技術(shù)方式。

6.2.1停服后的漏洞修復(fù)

加固內(nèi)容

修復(fù)WIN7停服后高危操作系統(tǒng)漏洞。

加固建議

針對(duì)WIN7停服后無(wú)法提供實(shí)體補(bǔ)丁的高危操作系統(tǒng)漏洞，采用

網(wǎng)絡(luò)安全廠商提供的相應(yīng)補(bǔ)丁解決方案進(jìn)行漏洞修復(fù)。

實(shí)施/操作指南

部署具備相關(guān)補(bǔ)丁漏洞免疫功能的終端安全防護(hù)軟件，并開(kāi)啟針

對(duì)Windows7操作系統(tǒng)適配的系統(tǒng)補(bǔ)丁，卜發(fā)至Windows7操作系統(tǒng)終

端并開(kāi)啟防護(hù)。

6.2.2熱補(bǔ)丁或虛擬補(bǔ)丁安裝

s

加固內(nèi)容

使用網(wǎng)絡(luò)安全廠商提供的熱補(bǔ)丁或虛擬補(bǔ)丁功能，通過(guò)內(nèi)存檢測(cè)、

內(nèi)核加固、網(wǎng)絡(luò)流量檢測(cè)等方式進(jìn)行漏洞修復(fù)或攻擊攔截。

加固建議

安裝并開(kāi)啟網(wǎng)絡(luò)安全廠商提供的熱補(bǔ)丁或虛擬補(bǔ)丁功能，進(jìn)行動(dòng)

態(tài)檢測(cè)防護(hù)加固。

實(shí)施月柒作指南

部署具備熱補(bǔ)丁或虛擬補(bǔ)丁功能的終端安全防護(hù)軟件，并開(kāi)啟針

對(duì)Windows7操作系統(tǒng)的熱補(bǔ)丁或虛擬補(bǔ)丁能力。

6.2.3系統(tǒng)加固

加固內(nèi)容

使用包括但不限于主動(dòng)防御、內(nèi)存修補(bǔ)等技術(shù)措施，以清除由于

系統(tǒng)漏洞帶來(lái)的安全隱患。

加固建議

安裝并開(kāi)啟網(wǎng)絡(luò)安全廠商提供的系統(tǒng)加固功能U

實(shí)施/操作指南

部署具備系統(tǒng)加固能力的終端安全防護(hù)軟件，并開(kāi)啟系統(tǒng)加固功

能。

6.3惡意代碼防范

惡意代碼防范主要針對(duì)惡意代碼可能的入侵點(diǎn)提供安全加固建

議。

6.3.1UAC驗(yàn)證

6

加固內(nèi)容

啟用用戶賬戶控制（UAC）功能。

加固建議

啟用用戶賬戶控制（UAC）功能。

實(shí)施/操作指南

在運(yùn)行窗口輸入“gpedit.msc”打開(kāi)本地組策略。配置計(jì)算機(jī)配置

->Windows設(shè)置，安全設(shè)置->本地策略的策略值。安全選項(xiàng)

->“用戶賬戶控制：以管理員批準(zhǔn)模式運(yùn)行所有管理員”為“已啟用

6.32自動(dòng)播放

加固內(nèi)容

關(guān)閉自動(dòng)播放功能。

加固建議

關(guān)閉自動(dòng)播放功能。

實(shí)施/操作指南

在運(yùn)行窗口輸入“gpeditmsc”打開(kāi)木地組策略。將計(jì)算機(jī)配置->

管理模板->Windows組件->自動(dòng)播放策略自動(dòng)運(yùn)行的默認(rèn)行

為”的策略值配置為“已啟用：不執(zhí)行任何自動(dòng)運(yùn)行命令

6.3.3數(shù)據(jù)執(zhí)行保護(hù)

加固內(nèi)容

啟用數(shù)據(jù)執(zhí)行保護(hù)（DEP）。

加固建議

打開(kāi)數(shù)據(jù)執(zhí)行保護(hù)（DEP）功能。

7

實(shí)施/操作指南

進(jìn)入“控制面板。系統(tǒng)”；選擇“高級(jí)系統(tǒng)設(shè)置-＞高級(jí)〉性能，設(shè)置

，數(shù)據(jù)執(zhí)行保護(hù)”選項(xiàng)卡，勾選“僅為基本W(wǎng)indows操作系統(tǒng)程序和

服務(wù)啟用DEP”。

6.3.4惡意代碼防范軟件

加固內(nèi)容

安裝惡意代碼防范軟件并及時(shí)更新特征庫(kù)。

加固建議

開(kāi)啟實(shí)時(shí)防護(hù)功能并定期掃描，及時(shí)升級(jí)軟件、更新特征庫(kù)。

實(shí)施/操作指南

選用符合“GB/T37090—2018《信息安全技術(shù)病毒防治產(chǎn)品安全

技術(shù)要求和測(cè)試評(píng)價(jià)方法》”的惡意代碼防范軟件。

7安全配置加固

安全配置加固主要通過(guò)Windows7操作系統(tǒng)木身提供的各種配置

進(jìn)行加固，包括但不限于身份鑒別、訪問(wèn)控制、安全審計(jì)、入侵防御

等。部分配置項(xiàng)在默認(rèn)情況下未啟用，啟用這些配置項(xiàng)可以預(yù)防某些

特定的網(wǎng)絡(luò)威脅攻擊，增強(qiáng)Windows7系統(tǒng)安全。

本實(shí)踐指南所列的配置加固項(xiàng)未窮盡，用戶可以根據(jù)自身業(yè)務(wù)需

求以及網(wǎng)絡(luò)威脅的發(fā)展變化態(tài)勢(shì)，進(jìn)行動(dòng)態(tài)調(diào)整，以增強(qiáng)系統(tǒng)的安全

性。

8

用戶在參考本章中的安全配置加固項(xiàng)進(jìn)行加固工作時(shí)，除了手動(dòng)

加固，還可采用滿足本實(shí)踐指南要求的自動(dòng)化工具開(kāi)展安全策略檢查

并實(shí)施加固操作。

7.1身份鑒別

身份鑒別主要是對(duì)登錄用戶數(shù)字身份進(jìn)行合法性校驗(yàn)，保證以數(shù)

字身份進(jìn)行操作的操作者就是這個(gè)數(shù)字身份合法擁有者，通過(guò)對(duì)身份

鑒別相關(guān)安全策略的加固，可以提高賬戶安全性。本節(jié)主要針對(duì)口令

復(fù)雜度、使用期限、登錄失敗處理、屏幕保護(hù)等與身份鑒別等有關(guān)策

略提供安全實(shí)施建議。

7.1.1口令復(fù)雜度

加固內(nèi)容

口令策略啟用口令符合復(fù)雜性要求。

加固建議

滿足口令復(fù)雜度要求：至少包含大小寫(xiě)字母、數(shù)字和特殊符號(hào)3

種或者3種以上組合。

實(shí)施/操作指南

運(yùn)行窗口輸入“gpedit.msc”打開(kāi)本地組策略。配置計(jì)算機(jī)配置->

Windows設(shè)置->安全設(shè)置->賬戶策略〉密碼策略「“密碼必須符

合復(fù)雜性要求”選擇“已啟動(dòng)（備注：此處Windows菜單選項(xiàng)中的“密

碼”就是本義的“口令”，下同。）

7.1.2口令長(zhǎng)度

加固內(nèi)容

9

口令要有最小長(zhǎng)度限制。

加固建議

配置口令策略限制口令的長(zhǎng)度必須至少為8個(gè)字符:。

實(shí)施/操作指南

在運(yùn)行窗口輸入“gpedit.msc”打開(kāi)本地組策略。配置計(jì)算機(jī)配置

->Windows設(shè)置，安全設(shè)置，賬戶策略，密碼策略?>密碼長(zhǎng)度最小

值大于等于8個(gè)字符。

7.1.3口令最長(zhǎng)使用期限

加固內(nèi)容

口令要有最長(zhǎng)使用期限限制。

加固建議

配置口令最長(zhǎng)使用時(shí)間，設(shè)置口令為30天至90天后過(guò)期。

實(shí)施/操作指南

在運(yùn)行窗口輸入“gpedit.msc”打開(kāi)本地組策略。配置計(jì)算機(jī)配置

->Windows設(shè)置>安全設(shè)置>賬戶策略〉密碼策略〉密碼最長(zhǎng)使用

期限的策略值為30-90之間數(shù)值。

7.1.4錯(cuò)誤登錄嘗試

加固內(nèi)容

錯(cuò)誤登錄嘗試次數(shù)要有最多次數(shù)限制。

加固建議

配置錯(cuò)誤登錄嘗試次數(shù)，設(shè)置為不超過(guò)5次。

實(shí)施/操作指南

10

在運(yùn)行窗口輸入“gpedit.msc”打開(kāi)本地組策略。配置計(jì)算機(jī)配置

-＞W(wǎng)indows設(shè)置-＞安全設(shè)置。賬戶策略-＞賬戶鎖定策略，賬戶鎖定

閾值的策略值為“5”。

7.1.5鎖定持續(xù)時(shí)間

加固內(nèi)容

“錯(cuò)誤登錄嘗試''次數(shù)達(dá)到閾值后，賬戶被鎖定持續(xù)時(shí)間要有最短

時(shí)間限制。

加固建議

配置鎖定持續(xù)時(shí)間，設(shè)置至少為15分鐘。

實(shí)施/操作指南

在運(yùn)行窗口輸入“gpedit.msc”打開(kāi)本地組策略。配置計(jì)算機(jī)配置

-＞W(wǎng)indows設(shè)置，安全設(shè)置-＞賬戶策略，賬戶鎖定策略-＞賬戶鎖定

時(shí)間的策略值大于等于15。

7.1.6登錄計(jì)數(shù)器

加固內(nèi)容

重置登錄計(jì)數(shù)器要有最短時(shí)間限制。

加固建議

配置重置登錄計(jì)數(shù)器之前的時(shí)間，設(shè)置至少為15分鐘。

實(shí)施/操作指南

在運(yùn)行窗口輸入“gpedit.msc”打開(kāi)本地組策略。配置計(jì)算機(jī)配置

?＞W(wǎng)indows設(shè)置。安全設(shè)置?＞賬戶策略,賬戶鎖定策略?＞重置賬戶

鎖定計(jì)數(shù)器的策略值大于等于15。

11

7.1.7口令使用歷史

加固內(nèi)容

用戶不能重復(fù)使用最近已使用的口令。

加固建議

配置強(qiáng)制口令歷史，設(shè)置至少為10個(gè)。

實(shí)施/操作指南

在運(yùn)行窗口輸入“gpedit.msc”打開(kāi)本地組策略。配置計(jì)算機(jī)配置

->Windows設(shè)置->安全設(shè)置。賬戶策略，密碼策略->強(qiáng)制密碼歷史

的策略值大于等于10。

7.1.8空閑會(huì)話時(shí)間

加固內(nèi)容

對(duì)于遠(yuǎn)程登錄的賬戶，要設(shè)置強(qiáng)制終結(jié)空閑會(huì)話的時(shí)間。

加固建議

設(shè)置該空閑時(shí)間不超過(guò)15分鐘。

實(shí)施/操作指南

控制面板->管理工具，本地安全策略，本地策略，安全選項(xiàng)。打

開(kāi)選項(xiàng)“Micros。仕網(wǎng)絡(luò)服務(wù)器：暫停會(huì)話前所需的空閑時(shí)間數(shù)量”的

屬性頁(yè)。設(shè)置“中斷連接如果空閑時(shí)間超過(guò)“小于等于15分鐘。

7.1.9屏幕保護(hù)

加固內(nèi)容

設(shè)置帶口令的屏幕保護(hù)，并設(shè)定進(jìn)入屏幕保護(hù)的空閑時(shí)間。

加固建議

12

設(shè)置帶口令的屏幕保護(hù)，并將時(shí)間設(shè)定為至少5分鐘。

實(shí)施/操作指南

進(jìn)入“控制面板，顯示，屏幕保護(hù)程序”。后用屏幕保護(hù)程序，設(shè)

置等待時(shí)間為大于等于5分鐘，啟用“在恢復(fù)時(shí)使用密碼保護(hù)”。

7.2訪問(wèn)控制

通過(guò)訪問(wèn)控制管理可以減少主機(jī)被非法遠(yuǎn)程登錄，以及減少通過(guò)

共享等方式使計(jì)算機(jī)感染惡意代碼的可能性。本節(jié)主要針對(duì)賬戶管理、

賬戶使用、權(quán)限管理等與訪問(wèn)控制等有關(guān)策略提供安全實(shí)施建議。

7.2.1管理員賬戶

加固內(nèi)容

禁用或更改Administrator管理員賬戶。

加固建議

禁用Administrato怫戶或把Administrator更改成其他名稱。

實(shí)施/操作指南

進(jìn)入“控制面板一管理工具一計(jì)算機(jī)管理”，在“系統(tǒng)工具一木地

用戶和組一用戶，，：

Administrator一屬性一重命名或設(shè)置“賬戶己禁用”；

或Administrator一重命名一＞修改為其他名稱。

7.2.2Guest賬戶

加固內(nèi)容

禁用Guest來(lái)賓賬戶。

加固建議

禁用Guest來(lái)賓賬戶。

實(shí)施/操作指南

進(jìn)入“控制面板-＞系統(tǒng)和安全.＞管理工具-＞計(jì)算機(jī)管理”，在“系統(tǒng)

工具-＞本地用戶和組"，查看Administrator、Guest及其他賬戶狀態(tài)，

選擇Guest賬戶，右擊屬性，勾選“賬戶已禁用”。

7.2.3多余或者過(guò)期賬戶

加固內(nèi)容

刪除多余或者過(guò)期的賬9。

加固建議

刪除多余或者過(guò)期的賬戶。

實(shí)施/操作指南

進(jìn)入“控制面板，系統(tǒng)和安全-＞管理工具，計(jì)算機(jī)管理”，在“系統(tǒng)

工具?＞本地用戶和組”，查看多余或者過(guò)期的賬戶狀態(tài)，選擇該賬戶，

進(jìn)行刪除。

7.2.4用戶自動(dòng)登錄

加固內(nèi)容

禁止用戶開(kāi)機(jī)自動(dòng)登錄。

加固建議

禁止用戶開(kāi)機(jī)自動(dòng)登錄。

實(shí)施/操作指南

在“開(kāi)始-＞運(yùn)行-＞鍵入regedit”

設(shè)置注冊(cè)表項(xiàng)：

14

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CuiT

entVersion\Winlogon\AutoAdminLogon(REG_DWORD),值為0。

7.2.5遠(yuǎn)程強(qiáng)制關(guān)機(jī)

加固內(nèi)容

限定擁有“從遠(yuǎn)程系統(tǒng)強(qiáng)制關(guān)機(jī)”權(quán)限的用戶。

加固建議

只允許Administrators或改名的管理員具備遠(yuǎn)程關(guān)機(jī)權(quán)限。

實(shí)施/操作指南

在運(yùn)行窗口輸入“gpedit.msc”打開(kāi)本地組策略。配置計(jì)算機(jī)配置

-＞W(wǎng)indows設(shè)置-＞安全設(shè)置-＞本地策略-＞用戶權(quán)限分配?＞“從遠(yuǎn)

程系統(tǒng)強(qiáng)制關(guān)機(jī)”的策略值。

7.2.6共享文件夾訪問(wèn)

加固內(nèi)容

只將共享文件夾權(quán)限授予指定賬戶。

加固建議

共享文件夾不能有everyone的權(quán)限，只允許授權(quán)的賬戶擁有權(quán)限

共享此文件夾。

實(shí)施/操作指南

進(jìn)入“控制面板，管理工具〉計(jì)算機(jī)管理”，進(jìn)入“系統(tǒng)工具一＞共

享文件”；修改對(duì)應(yīng)共享文件夾的共享權(quán)限。

7.2.7匿名訪問(wèn)命名

加固內(nèi)容

15

禁用匿名訪問(wèn)命名管道和共享。

加固建議

禁用匿名訪問(wèn)命名管道和共享。

實(shí)施/操作指南

“控制面板，管理工具?＞本地安全策略”，在“本地策略。安全選

項(xiàng)網(wǎng)絡(luò)訪問(wèn)：可匿名訪問(wèn)的共享設(shè)置為全部刪除。

“控制面板〉管理工具〉本地安全策略”，在“本地策略,安全選

項(xiàng)“：網(wǎng)絡(luò)訪問(wèn)：可匿名訪問(wèn)的命名管道設(shè)置為全部刪除。

7.2.8共享賬戶

加固內(nèi)容

應(yīng)按照不同的用戶分配不同的賬戶，避免大同用戶間共享賬戶。

避免用戶賬戶和設(shè)備間通信使用的賬戶共享。

加固建議

為不同的用戶分配不同的賬戶。

實(shí)施/操作指南

進(jìn)入“控制面板-＞管理工具-＞計(jì)算機(jī)管理”，在“系統(tǒng)工具,本地用

戶和組”：根據(jù)系統(tǒng)的要求，設(shè)定不同的賬戶和賬戶組。

7.2.9遠(yuǎn)程訪問(wèn)

加固內(nèi)容

禁止未經(jīng)授權(quán)的遠(yuǎn)程訪問(wèn)注冊(cè)表路徑。

加固建議

16

“遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑和子路徑”的配置已全部刪除或僅配置

需要遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑。

實(shí)施/操作指南

配置計(jì)算機(jī)配置-＞W(wǎng)indows設(shè)置-＞安全設(shè)置-＞本地策略-＞安

全選項(xiàng)，”網(wǎng)絡(luò)訪問(wèn)：可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑''的策略值為

"4System\CuiTentControlSet\Control\ProductOptions

System\CurrentControlSet\Control\ServerApplications

Software\Microsoft\WindowsNT\CurrentVersion”。

7.2.10域控環(huán)境

拒絕從網(wǎng)絡(luò)訪問(wèn)計(jì)算機(jī)

加固內(nèi)容

配置”拒絕從網(wǎng)絡(luò)訪問(wèn)這臺(tái)計(jì)算機(jī)”的用戶權(quán)限。

加固建議

“拒絕從網(wǎng)絡(luò)訪問(wèn)這臺(tái)計(jì)算機(jī)”的策略值僅包含EnterpriseAdmins

組、DomainAdmins組、本地賬戶、Guests組▼

實(shí)施/操作指南

在運(yùn)行窗口輸入“gpedit.msc”打開(kāi)本地組策略。配置計(jì)算機(jī)配置

-＞W(wǎng)indows設(shè)置-＞安全設(shè)置-＞本地策略-＞用戶權(quán)限分配，“拒絕

從網(wǎng)絡(luò)訪問(wèn)這臺(tái)計(jì)算機(jī)”配置相應(yīng)值。

拒絕批處理作業(yè)登錄

加固內(nèi)容

配置“拒絕作為批處理作業(yè)登錄''的用戶權(quán)限。

17

加固建議

“拒絕作為批處理作業(yè)登錄”的策略值僅包含EnterpriseAdmins組、

DomainAdmins組、Guests組。

實(shí)施/操作指南

在運(yùn)行窗口輸入“gpedit.msc”打開(kāi)本地組策略。配置計(jì)算機(jī)配置

->Windows設(shè)置，安全設(shè)置，本地策略〉用戶權(quán)限分配?>“拒絕

作為批處理作業(yè)登錄”配置相應(yīng)值。

拒絕服務(wù)登錄

加固內(nèi)容

配置“拒絕作為服務(wù)登錄”的用戶權(quán)限。

加固建議

“拒絕作為服務(wù)登錄”的策略值僅包含EnterpriseAdmins組、

DomainAdmins組。

實(shí)施/操作指南

在運(yùn)行窗口輸入“gpedit.msc”打開(kāi)木地組策略.配置計(jì)算機(jī)配置

->Windows設(shè)置,安全設(shè)置->本地策略->用戶權(quán)限分配->“拒絕

作為服務(wù)登錄“配置相應(yīng)值。

拒絕本地登錄

加固內(nèi)容

配置“拒絕本地登錄”的用戶權(quán)限。

加固建議

18

“拒絕本地登錄”的策略值僅包含EnterpriseAdmins組、Domain

Admins組、Guests組。

實(shí)施/操作指南

在運(yùn)行窗口輸入“gpedit.msc”打開(kāi)本地組策略。配置計(jì)算機(jī)配置

-＞W(wǎng)indows設(shè)置-＞安全設(shè)置-＞本地策略-＞用戶權(quán)限分配拒絕

本地登錄”配置相應(yīng)值。

拒絕遠(yuǎn)程桌面服務(wù)登錄

加固內(nèi)容

配置“拒絕通過(guò)遠(yuǎn)程桌面服務(wù)登錄”的用戶權(quán)限。

加固建議

“拒絕通過(guò)遠(yuǎn)程桌面服務(wù)登錄”的策略值僅包含以下內(nèi)容：

如果組織未使用遠(yuǎn)程桌面服務(wù)，請(qǐng)將Everyone組分配為此權(quán)限以

阻止所有訪問(wèn)；

如果組織使用RDS,僅包含EnterpriseAdmins組、DomainAdmins

組、本地賬戶、Guests組。

實(shí)施/操作指南

在運(yùn)行窗口輸入“gpedit.msc”打開(kāi)本地組策略。配置計(jì)算機(jī)配置

-＞W(wǎng)indows設(shè)置-＞安全設(shè)置-＞本地策略-＞用戶權(quán)限分配拒絕

通過(guò)遠(yuǎn)程桌面服務(wù)登錄”配置相應(yīng)值。

7.3安全審計(jì)

19

通過(guò)系統(tǒng)的安全審計(jì)相關(guān)功能可以對(duì)主機(jī)內(nèi)重要事件進(jìn)行記錄，

為調(diào)查取證提供依據(jù)。本節(jié)主要針對(duì)安全主體、行為、日志等與安全

審計(jì)等有關(guān)策略提供安全實(shí)施建議。

7.3.1賬戶登錄審計(jì)

加固內(nèi)容

對(duì)用戶登錄進(jìn)行審計(jì)。

加固建議

開(kāi)啟“審核登錄事件''策略，當(dāng)有非法賬戶登錄后，可以對(duì)登錄終

端的賬戶或注銷的賬戶進(jìn)行記錄（記錄信息主要包含源IP、端口、登

錄方式等）。

實(shí)施/操作指南

在運(yùn)行窗口輸入“gpedit.msc”打開(kāi)本地組策略。配置計(jì)算機(jī)配置

->Windows設(shè)置->安全設(shè)置->高級(jí)審核策略配置->系統(tǒng)審核策略?

本地組策略對(duì)象->賬戶登錄審核憑證驗(yàn)證“審核Kerberos身份

驗(yàn)證服務(wù)”、"審核Kerberos服務(wù)票證操作”以及“審核其他賬戶登錄事

件''的策略值，并勾選“配置以下審核事件”的“成功”復(fù)選框，以及“失

敗”復(fù)選框。

7.3.2賬戶管理審計(jì)

加固內(nèi)容

對(duì)計(jì)算機(jī)上的每個(gè)賬戶管理進(jìn)行審計(jì)。

加固建議

開(kāi)啟“賬戶管理”策略，對(duì)計(jì)算機(jī)賬戶管理相關(guān)活動(dòng)進(jìn)行記錄。

20

實(shí)施/操作指南

在運(yùn)行窗口輸入“gpedit.msc”打開(kāi)本地組策略。配置計(jì)算機(jī)配置

->Windows設(shè)置->安全設(shè)置->高級(jí)審核策略配置，系統(tǒng)審核策略-

本地組策略對(duì)象->賬戶管理->“審核計(jì)算機(jī)賬戶管理，“審核通訊組

管理，“審核其他賬戶管理事件”、“審核安全組管理”以及“審核用戶

賬戶管理”的策略值，并勾選“配置以下審核事件”的“成功”復(fù)選框，

以及“失敗”夏選框。

7.3.3進(jìn)程詳細(xì)跟蹤審計(jì)

加固內(nèi)容

對(duì)計(jì)算機(jī)程序進(jìn)程活動(dòng)詳情進(jìn)行審計(jì)。

加固建議

開(kāi)啟“詳細(xì)跟蹤”策略，可以對(duì)計(jì)算機(jī)程序進(jìn)程活動(dòng)詳情進(jìn)行記錄。

實(shí)施/操作指南

在運(yùn)行窗口輸入“gpedit.msc”打開(kāi)本地組策略。配置計(jì)算機(jī)配置

->Windows設(shè)置一安全設(shè)置->高級(jí)審核策略配置->系統(tǒng)審核策略-

本地組策略對(duì)象->詳細(xì)跟蹤->“審核DPAPI活動(dòng)“審核進(jìn)程創(chuàng)建，

“進(jìn)程終止”以及“審核RPC事件”的策略值，并勾選“配置以下審核事件”

的“成功”復(fù)選框，以及“失敗”復(fù)選框。

73.4目錄服務(wù)訪問(wèn)審計(jì)

加固內(nèi)容

對(duì)計(jì)算機(jī)的目錄服務(wù)訪問(wèn)進(jìn)行審計(jì)。

加固建議

21

開(kāi)啟“審核DS訪問(wèn)”策略，可以對(duì)訪問(wèn)計(jì)算機(jī)目錄進(jìn)行記錄。

實(shí)施/操作指南

在運(yùn)行窗口輸入“gpedit.msc”打開(kāi)本地組策略。配置計(jì)算機(jī)配置

->Windows設(shè)置->安全設(shè)置->高級(jí)審核策略配置->系統(tǒng)審核策略?

本地組策略對(duì)象，DS訪問(wèn)，“審核詳細(xì)的目錄服務(wù)復(fù)制”、“審核目

錄服務(wù)訪問(wèn)”、"審核目錄服務(wù)更改審核目錄服務(wù)復(fù)制'’的策略值，

并勾選“配置以下審核事件”的"成功”夏選框，以及“失敗”復(fù)選框。

7.3.5計(jì)算機(jī)登錄事件審計(jì)

加固內(nèi)容

對(duì)計(jì)算機(jī)登錄/注銷相關(guān)事件進(jìn)行審計(jì)。

加固建議

開(kāi)啟“審核登錄/注銷”策略，可以對(duì)計(jì)算機(jī)登錄/注銷事件進(jìn)行記

錄。

實(shí)施/操作指南

在運(yùn)行窗口愉入"gpedit.msc”打開(kāi)木地組策略。配置計(jì)算機(jī)配置

->Windows設(shè)置，安全設(shè)置，高級(jí)審核策略配置->系統(tǒng)審核策略-

本地組策略對(duì)象->登錄/注銷->"審核賬戶鎖定”、“審核IPsec擴(kuò)展模

式”、“審核IPsec主模式”、“審核IPsec快速模式”、“審核注銷”、“審核

登錄審核網(wǎng)絡(luò)策略服務(wù)器”、"審核其他登錄/注銷事件”以及“審核

特殊登錄”，并勾選“配置以下審核事件”的“成功”復(fù)選框，以及“失敗”

復(fù)選框。

7.3.6對(duì)象訪問(wèn)審計(jì)

22

加固內(nèi)容

對(duì)對(duì)象訪問(wèn)進(jìn)行審計(jì)。

加固建議

開(kāi)啟“審核對(duì)象訪問(wèn)”策略，可以對(duì)對(duì)象訪問(wèn)進(jìn)行記錄。

實(shí)施/操作指南

在運(yùn)行窗口輸入“gpedit.msc”打開(kāi)本地組策略。配置計(jì)算機(jī)配置

->Windows設(shè)置。安全設(shè)置，高級(jí)審核策略配置->系統(tǒng)審核策略-

本地組策略對(duì)象。對(duì)象訪問(wèn)->“審核已生成應(yīng)用程序，“審核證書(shū)服

務(wù)''、"審核詳細(xì)的文件共享”、“審核文件共享”、“審核文件系統(tǒng)”、“審

核篩選平臺(tái)連接“、"審核篩選平臺(tái)數(shù)據(jù)包丟棄”、“審核句柄操作”、"審

核內(nèi)核對(duì)象”、"審核其他對(duì)象訪問(wèn)事件”、"審核注冊(cè)表”以及“審核

SAM”的策略值，并勾選“配置以下審核事件”的“成功”復(fù)選框，以及

“失敗”復(fù)選框。

7.3.7策略更改審計(jì)

加固內(nèi)容

對(duì)用戶進(jìn)行本地安全策略變更時(shí)進(jìn)行審計(jì)7

加固建議

開(kāi)啟“審核策略變更''策略，當(dāng)有攻擊者進(jìn)行本地安全策略變更時(shí),

可以對(duì)嘗試更改終端賬戶權(quán)限分配策略、審核策略、賬戶策略或信任

策略的每一個(gè)事件進(jìn)行記錄。

實(shí)施月兼作指南

23

在運(yùn)行窗口輸入“gpedit.msc”打開(kāi)本地組策略。配置計(jì)算機(jī)配置

->Windows設(shè)置->安全設(shè)置->高級(jí)審核策略配置->系統(tǒng)審核策略-

本地組策略對(duì)象，策略更改，“審核審核策略更改”、"審核身份驗(yàn)證

策略更改”、"審核授權(quán)策略更改”、“審核篩選平臺(tái)''以及"審核MPSSVC

規(guī)則級(jí)別策略更改”以及“審核其他策略更改事件”的策略值，并勾選

“配置以下審核事件”的“成功”復(fù)選框，以及“失敗''復(fù)選框。

7.3.8特權(quán)使用審計(jì)

加固內(nèi)容

對(duì)特權(quán)使用進(jìn)行審計(jì)。

加固建議

開(kāi)啟“審核特權(quán)使用”策略，可以記錄特權(quán)使用記錄。

實(shí)施/操作指南

在運(yùn)行窗口輸入“gpedil.msc”打開(kāi)本地組策略。配置計(jì)算機(jī)配置

->Windows設(shè)置，安全設(shè)置->高級(jí)審核策略配置->系統(tǒng)審核策略?

本地組策略對(duì)象介特權(quán)使用審核非敏感權(quán)限使用”、“審核其他權(quán)

限使用事件”以及“審核敏感權(quán)限使用”的策略值，并勾選“配置以下審

核事件”的“成功”復(fù)選框，以及“失敗”復(fù)選框。

7.3.9系統(tǒng)事件審計(jì)

加固內(nèi)容

對(duì)系統(tǒng)相關(guān)事件進(jìn)行審計(jì)。

加固建議

開(kāi)啟“審核系統(tǒng)事件”策略，可以對(duì)系統(tǒng)相關(guān)事件進(jìn)行記錄。

24

實(shí)施/操作指南

在運(yùn)行窗口輸入“gpedit.msc”打開(kāi)本地組策略。配置計(jì)算機(jī)配置

->Windows設(shè)置，安全設(shè)置->高級(jí)審核策略配置->系統(tǒng)審核策略?

本地組策略對(duì)象->系統(tǒng)審核IPsec驅(qū)動(dòng)程序”、“審核其他系統(tǒng)事

件”、"審核安全狀態(tài)更改”、"審核安全系統(tǒng)擴(kuò)展”以及"審核系統(tǒng)完整

性”的策略值，并勾選“配置以下審核事件”的“成功”復(fù)選框，以及“失

敗”復(fù)選框。

7.3.10全局對(duì)象訪問(wèn)審計(jì)

加固內(nèi)容

對(duì)文件系統(tǒng)和注冊(cè)表全局對(duì)象訪問(wèn)進(jìn)行審計(jì)。

加固建議

開(kāi)啟“審核全局對(duì)象訪問(wèn)”策略，可以對(duì)文件系統(tǒng)和注冊(cè)表全局對(duì)

象訪問(wèn)進(jìn)行記錄。

實(shí)施/操作指南

在運(yùn)行窗口輸入“gpedit.msc”打開(kāi)木地組策略。配置計(jì)算機(jī)配置

->Windows設(shè)置，安全設(shè)置->高級(jí)審核策略配置->系統(tǒng)審核策略?

本地組策略對(duì)象，全局對(duì)象訪問(wèn)審計(jì)文件系統(tǒng)”和“注冊(cè)表”的策

略值，并勾選“配置以下審核事件”的“成功”復(fù)選框，以及“失敗”復(fù)選

框。

7.3.11日志配額

加固內(nèi)容

系統(tǒng)日志額度要有最小值要求。

25

加固建議

設(shè)置日志容量，可以在惡意用戶在攻擊系統(tǒng)時(shí)記錄攻擊日志，保

證F1志存儲(chǔ)能夠進(jìn)行溯源。

實(shí)施/操作指南

在運(yùn)行窗口輸入“gpedit.msc”打開(kāi)本地組策略。將計(jì)算機(jī)配置->

管理模板->Windows組件->事件日志服務(wù)->系統(tǒng)->“最大日志大

?。↘B）”的策略值配置為“已啟用:最大日志大小（KB）為‘32768’

（經(jīng)驗(yàn)值，可滿足《中華人民共和國(guó)網(wǎng)絡(luò)安全法》最低保存日志時(shí)間

180天的存儲(chǔ)要求）或更高

注：如果系統(tǒng)配置為將審計(jì)記錄直接發(fā)送到審計(jì)服務(wù)器，則該組策略不適用。

7.4入侵防御

通過(guò)入侵防御相關(guān)功能可以減少主機(jī)被遠(yuǎn)程攻擊的可能性，縮小

主機(jī)暴露面。本節(jié)主要針對(duì)系統(tǒng)服務(wù)、共享、端口的使用等與入侵防

御等方面提供安全實(shí)施建議。

7.4.1系統(tǒng)服務(wù)

加固內(nèi)容

關(guān)閉非必要的系統(tǒng)服務(wù)。

加固建議

停止并禁用非必要的系統(tǒng)服務(wù)，建議關(guān)閉的服務(wù)見(jiàn)附錄C。

實(shí)施/操作指南

在運(yùn)行窗口輸入“Services,msc^打開(kāi)服務(wù)控制面板，將Shared

Information（信息共享）、DynamicDataExchange（動(dòng)態(tài)數(shù)據(jù)交換）、

26

FTP>Telnet>RemoteDesktopServices（遠(yuǎn)程桌面連接）、Remote

Registry（遠(yuǎn)程注冊(cè)表）等系統(tǒng)服務(wù)設(shè)置為禁用。

7.4.2默認(rèn)共享

加固內(nèi)容

關(guān)閉默認(rèn)共享。

加固建議

將默認(rèn)共享關(guān)閉。

實(shí)施/操作指南

在運(yùn)行窗口輸入“Rcgcdit”，進(jìn)入注冊(cè)表編輯器，新增注冊(cè)表鍵值，

具體注冊(cè)表路徑

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanma

nServer\Parameters\值名稱：AutoSharcScrver,值名稱：AutoSharcWKS,

值類型：REG_DWORD值：0。

7.4.3系統(tǒng)防火墻

加固內(nèi)容

啟用系統(tǒng)防火墻。

加固建議

啟用系統(tǒng)防火墻。

實(shí)施/操作指南

進(jìn)入“控制面板一>系統(tǒng)和安全一〉Windows防火墻一〉打開(kāi)或關(guān)

閉Windows防火墻”，選擇"啟用Windows防火墻

7.4.4SYN攻擊保護(hù)

27

加固內(nèi)容

啟用SYN攻擊保護(hù)。

加固建議

啟用SYN攻擊保護(hù)功能并設(shè)置TCP連接數(shù)的閾值。

實(shí)施/操作指南

在“開(kāi)始->運(yùn)行->鍵入regedit”，查看注冊(cè)表項(xiàng)，進(jìn)入

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpi

p\Parameters；新建以工字符串值并設(shè)置相應(yīng)數(shù)據(jù)：

SynAttackProtect,設(shè)為2；

TcpMaxportsExhausted,設(shè)為5：

TcpMaxHalfOpen,設(shè)為500；

TcpMaxHalfOpenRetried，設(shè)為400。

7.4.5高危端口

加固內(nèi)容

關(guān)閉高危端口U

加固建議

使用系統(tǒng)防火墻或其他安全軟件禁用非必要的高危端口，建議關(guān)

閉的端口見(jiàn)附錄D。

實(shí)施/操作指南

使用系統(tǒng)防火墻或其他安全軟件禁用高危端口。如：135、137、

138、139、445、593、1025、2745、3127、3389、6129。

28

附錄A安全加固項(xiàng)實(shí)施建議

表A.1按照目前網(wǎng)絡(luò)安全服務(wù)提供商對(duì)操作系統(tǒng)安全加固的實(shí)踐

經(jīng)驗(yàn)，提出了Windows7操作系統(tǒng)安全加固項(xiàng)的實(shí)施優(yōu)先級(jí)建議，分

重要和一般兩級(jí)，用戶可根據(jù)具體情況實(shí)施。

表A.1安全加固項(xiàng)實(shí)施優(yōu)先級(jí)

序號(hào)加固類別加固項(xiàng)對(duì)應(yīng)編號(hào)優(yōu)先級(jí)建議

1已知高危漏洞修復(fù)6.1.1重要

2WindowsUpdate系統(tǒng)升級(jí)進(jìn)程禁止6.1.2一般

3停服后的漏洞修復(fù)6.2.1重要

4安全熱補(bǔ)丁或虛擬補(bǔ)丁安裝6.2.2重要

5防護(hù)系統(tǒng)加固6.2.3重要

6加固UAC驗(yàn)證6.3.1重要

7自動(dòng)播放6.3.2重要

8數(shù)據(jù)執(zhí)行保護(hù)6.3.3重要

9惡意代碼防范軟件6.3.4重要

1()口令復(fù)雜度7.1.1重要

11口令長(zhǎng)度7.1.2重要

12口令最長(zhǎng)使用期限7.1.3重要

13錯(cuò)誤登錄嘗試7.1.4重要

14鎖定持續(xù)時(shí)間7.1.5重要

15登錄計(jì)數(shù)器7.1.6重要

16口令使用歷史7.1.7重要

17空閑會(huì)話時(shí)間7.1.8重要

18屏幕保護(hù)7.1.9重要

19管理員賬戶7.2.1重要

女全

20Guest賬戶7.2.2重要

配置

21多余或者過(guò)期賬戶7.2.3重要

加固

22用戶自動(dòng)登錄7.2.4重要

23遠(yuǎn)程強(qiáng)制關(guān)機(jī)7.2.5重要

24共享文件夾訪問(wèn)7.2.6重要

25匿名訪問(wèn)命名管道和共享7.2.7重要

26共享賬戶7.2.8一般

27遠(yuǎn)程訪問(wèn)7.2.9一般

28拒絕從網(wǎng)絡(luò)訪問(wèn)計(jì)算機(jī)一般

29拒絕批處理作業(yè)登錄一般

30拒絕服務(wù)登錄一般

31拒絕本地登錄一般

29

表A.1加固項(xiàng)匯總表（續(xù)）

序號(hào)加固類別加固項(xiàng)對(duì)應(yīng)編號(hào)優(yōu)先級(jí)建議

32拒絕遠(yuǎn)程桌面服務(wù)登錄一般

33賬戶登錄審計(jì)7.3.1重要

34賬戶管理審計(jì)7.3.2重要

35進(jìn)程詳情跟蹤審計(jì)7.3.3一般

36目錄服務(wù)訪問(wèn)審計(jì)7.3.4一般

37計(jì)算機(jī)登錄事件審計(jì)7.3.5一般

38對(duì)象訪問(wèn)審計(jì)7.3.6一般

39安全策略更改審計(jì)7.3.7重要

配

置

40特權(quán)使用審計(jì)7.3.8重要

加

固

41系統(tǒng)事件審計(jì)7.3.9一般

42全局對(duì)象訪問(wèn)審計(jì)7.3.10一般

43口志配額7.3.11一般

44系統(tǒng)服務(wù)7.4.1一般

45默認(rèn)共享7.4.2重要

46系統(tǒng)防火墻7.4.3重要

47SYN攻擊保護(hù)7.4.4一般

48高危端口7.4.5重要

30

附錄B建議安裝的系統(tǒng)補(bǔ)丁

一些重點(diǎn)高危漏洞可以通過(guò)安全系統(tǒng)補(bǔ)丁進(jìn)行修復(fù)。建議在條件

允許情況下，確保以下補(bǔ)丁已被安裝。建議安裝的系統(tǒng)補(bǔ)丁見(jiàn)表B.1。

表B.1建議安裝的系統(tǒng)補(bǔ)丁列表

序號(hào)漏洞描述補(bǔ)丁

1Microsoft輔助功能驅(qū)動(dòng)程序特權(quán)提升漏洞KB2961072

2HTTP.sys中的漏洞可能允許遠(yuǎn)程執(zhí)行代碼KB3042553

3MicrosoftWindowsS^4B輸入驗(yàn)證錯(cuò)誤漏洞KB4012212

4MicrosoftOffice內(nèi)存損壞漏洞KB3162047

5MicrosoftRemoteDesktopServices資源管理錯(cuò)誤漏洞KB4499164

6MicrosoftInternetExplorer腳本引擎內(nèi)存損壞漏洞KB4537820

7Windowscng.sys提權(quán)漏洞KB5008244

8MicrosoftWindowsTCP/IP拒絕服務(wù)漏洞KB4601347

31

附錄C常見(jiàn)的高危漏洞

對(duì)于一些具有高危、易操作、權(quán)限高的漏洞，建議進(jìn)行修復(fù)。常

見(jiàn)高危漏洞參見(jiàn)表C.1。

表C.1常見(jiàn)的高危漏洞列表

序號(hào)漏洞描述漏洞編號(hào)

1Micrcscft號(hào)甫助功能驅(qū)動(dòng)程序特權(quán)提升漏洞CVE-2014-I767

2HTTP.sys中的漏洞可能允許遠(yuǎn)程執(zhí)行代碼CVE-20I5-1635

3MicrosoftWindowsSMB輸入驗(yàn)證錯(cuò)誤漏洞CVE-2017-0143

4MicrosoftWindowsSMB輸入驗(yàn)證錯(cuò)誤漏洞CVE-2017-()144

5MicrosoftOffice內(nèi)存損壞漏洞CVE-2017-11882

6MicrosoftRemoteDesktopServices資源管理錯(cuò)誤漏洞CVE-2019-0708

7Internel連接共享服務(wù)遠(yuǎn)程代碼執(zhí)行漏洞CVE-2020-0662

8MicrosoftInternetExplorer腳本引擎內(nèi)存損壞漏洞CVE-2020-0674

9MicrosoftGraphics遠(yuǎn)程代碼執(zhí)行漏洞CVE-2020-0687

10遠(yuǎn)程桌面客戶端遠(yuǎn)程代碼執(zhí)行漏洞CVE-2020-0734

11MediaFoundation內(nèi)存損壞漏洞CVE-2020-0738

12GD1+遠(yuǎn)程代碼執(zhí)行漏洞CVE-2020-0881

13GD1+遠(yuǎn)程代碼執(zhí)行漏洞CVE-2020-0883

14Jet數(shù)據(jù)庫(kù)引擎遠(yuǎn)程代碼執(zhí)行漏洞CVE-2020-0889

15Microsoft圖形組件遠(yuǎn)程代碼執(zhí)行漏洞CVE-2020-0907

16MicrosoftCOMforWindows遠(yuǎn)程執(zhí)行代碼漏洞CVE-2020-0922

17GD1+遠(yuǎn)程代碼執(zhí)行漏洞CVE-2020-0964

18Jet數(shù)據(jù)庫(kù)引擎遠(yuǎn)程代碼執(zhí)行漏洞CVE-2020-0992

19組策略特權(quán)提升漏洞CVE-2020-1013

20Windows權(quán)限提刀漏洞CVE-2020-I015

21Microsoft腳本運(yùn)行時(shí)遠(yuǎn)程執(zhí)行代碼漏洞CVE-2020-1061

22InternetExplorer內(nèi)存損壞漏洞CVE-2020-1062

23Windows遠(yuǎn)程代碼執(zhí)行漏洞CVE-2020-1067

24Windows后臺(tái)智能傳輸服務(wù)提權(quán)漏洞CVE-2020-1112

25Windows任務(wù)計(jì)劃程序安全功能繞過(guò)漏洞CVE-2020-1113

26Microsoft圖形組件遠(yuǎn)程代碼執(zhí)行漏洞CVE-2020-1153

27GD1+遠(yuǎn)程代碼執(zhí)行漏洞CVE-2020-1285

28LNK遠(yuǎn)程代碼執(zhí)行漏洞CVE-2020-1299

29WindowsSMB已驗(yàn)證遠(yuǎn)程執(zhí)行代碼漏洞CVE-2020-1301

30組策略特權(quán)提升漏洞CVE-2020-1317

31WindowsMedia遠(yuǎn)程代碼執(zhí)行漏洞CVE-2020-1339

32

表Cl常見(jiàn)的高危漏洞列表（續(xù)）

序號(hào)漏洞描述漏洞編號(hào)

32MicrosoftGraphics遠(yuǎn)程代碼執(zhí)行漏洞CVE-2020-