Windows操作系统安全防护强制性要求

Windows操作系统安全防护强制性要求

Windows 操作系统安全防护强制性要求 1、系统用户口令及策略加固

11、1、系统用户口令策略加固

11、2、用户权限设置

11、3、禁用Guest（来宾）帐户

21、4、禁止使用超级管理员帐号

31、5、删除多余的账号

32、日志审核策略配置

42、1、设置主机审核策略

42、2、调整事件日志的大小及覆盖策略

42、3、启用系统失败日志记录功能

53、安全选项策略配置

53、1、设置挂起会话的空闲时间

53、2、禁止发送未加密的密码到第三方 SMB 服务器

63、3、禁用对所有驱动器和文件夹进行软盘复制和访问

63、4、禁止故障恢复控制台自动登录

63、5、关机时清除虚拟内存页面文件

73、6、禁止系统在未登录前关机

73、7、不显示上次登录的用户名

73、8、登录时需要按 CTRL+ALT+DEL

83、9、可被缓存的前次登录个数

83、

10、不允许 SAM 帐户和共享的匿名枚举

83、

11、不允许为网络身份验证储存凭证或、NET Passports

93、

12、如果无法记录安全审核则立即关闭系统

93、 13、禁止从本机发送远程协助邀请

93、

14、关闭故障恢复自动重新启动

94、用户权限策略配置104、1、禁止用户组通过终端服务登录104、2、只允许管理组通过终端服务登录104、3、限制从网络访问此计算机105、用户权限策略配置1

15、1、禁止自动登录1

15、2、禁止光驱自动运行1

15、3、启用源路由欺骗保护1

15、4、删除 IPC 共享1

26、网络与服务加固1

26、1、卸载、禁用、停止不需要的服务1

26、2、禁用不必要进程，防止病毒程序运行1

36、3、关闭不必要启动项，防止病毒程序开机启动2

26、4、检查是否开启不必要的端口306、5、修改默认的远程桌面端口3 16、6、启用客户端自带防火墙3

16、7、检测 DDOS 攻击保护设置3

26、8、检测 ICMP攻击保护设置3

26、9、检测 TCP碎片攻击保护设置3

37、其他安全性加固3

47、1、安装防火墙和防病毒软件3

47、2、使用NTFS文件系统3

47、3、文件权限安全3

57、4、未经签名的驱动程序软件安装管理3

57、5、屏幕保护3

67、6、检查数据执行保护36

1、系统用户口令及策略加固

1、

1、系统用户口令策略加固实施名称：系统用户口令策略加固系统当前状态： 查看系统“本地安全设置”－“帐户策略”中“密码策略”和“账号锁定策略”当前情况实施方案：密码必须符合复杂性要求：启用密码长度最小值8 个字符密码最长使用期限：90 天强制密码历史：24 个记住的密码帐户锁定阀值：3 次无效登录帐户锁定时间：15 分钟复位帐户锁定计数器：15 分钟之后策略更改后，督促现有用户更改其登录口令以符合最新策略要求。实施目的：保障用户账号及口令的安全，防止口令猜测攻击。实施风险：无

1、2、用户权限设置实施名称：禁止除管理员外的一般用户远程登录计算机或关闭计算机，同时禁止无用帐号的登录，可以防止恶意用户通过破解一般低权限的用户口令后使用该用户登录进行提权攻击。系统当前状态：开始→运行→ gpedit、msc计算机配置→ Windows设置→安全设置→本地策略→用户权利指派实施方案：

1、参考配置操作检查用户权限策略是否设置：开始→运行→

gpedit、msc计算机配置→ Windows设置→安全设置→本地策略→用户权利指派此处有较多选项，建议对以下四项进行检查：n从网络访问此计算机（可选）n 从远程系统强制关机n拒绝本地登录建议做如下设置：n从远程系统强制关机的权利仅指派给Administratorsn设置取得文件或其它对象的所有权为只指派给Administrators组n拒绝本地登录：

IUSR_MACHINENAME、IWAN_MACHINENAME等不需要使用的用户设置完成后使用secedit /refreshpolicymachine_policy命令刷新策略以快速生效（建议重新启动系统）

2、补充操作说明如果设备需要文件共享，则不应设置从网络访问此计算机项实施目的：禁止除管理员外的一般用户远程登录计算机或关闭计算机，同时禁止无用帐号的登录实施风险：无

1、3、禁用Guest（来宾）帐户实施名称：禁用Guest帐号，降低被攻击的风险系统当前状态：进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组->用户”实施方案：

1、参考配置操作进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组->用户”：Guest帐号->属性－>已停用实施目的：禁用Guest 帐号，降低被攻击的风险实施风险：无

1、4、禁止使用超级管理员帐号实施名称：防止系统被入侵后，入侵者直接获取最高用户权限系统当前状态：进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组->用户”实施方案：XP系统多用于日常办公使用，可禁止使用超级管理员账号，一般日常办公使用普通用户

1、参考配置操作进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组->用户”：右键－>新用户－>自定义用户名

2、补充操作说明默认新加的用户为普通用户权限，建议安装软件安装在非系统盘下。实施目的：防止系统被入侵后直接获取最高用户权限实施风险：无 1、5、删除多余的账号实施名称：删除或禁用多余的系统账号系统当前状态：实施方案：开始管理工具本地用户和组—用户：删除或者禁用多余的账号，建议只保留一个当前使用的账号实施目的：关闭多余的系统账号实施风险：无 2、日志审核策略配置

2、

1、设置主机审核策略实施名称：设置主机审核策略系统当前状态：在“本地安全策略”－“本地策略”中查看系统“审核策略”实施方案：审核策略更改成功，失败审核登录事件成功，失败审核对象访问失败审核目录服务访问成功，失败审核特权使用失败审核系统事件成功，失败审核账户登录事件成功，失败审核帐户管理成功，失败实施目的：对重要事件进行审核记录，便于问题的追溯。实施风险：无

2、2、调整事件日志的大小及覆盖策略实施名称：调整事件日志的大小及覆盖策略系统当前状态：日志类型日志大小覆盖策略应用程序日志 K 覆盖早于天的日志安全日志 K 覆盖早于天的日志系统日志 K

覆盖早于天的日志实施方案：右键点击“我的电脑”-“管理”-“事件查看器”-右键点击“系统”-“属性”-修改“最大文件大小”日志类型日志大小覆盖策略应用程序日志80000 K 覆盖早于30 天的日志安全日志80000 K 覆盖早于30 天的日志系统日志80000K 覆盖早于30 天的日志其他日志（如存在）80000 K 覆盖早于30 天的日志实施目的：增加日志文件的容量，避免由于日志文件容量过小导致重要日志记录遗漏实施风险：无

2、3、启用系统失败日志记录功能实施名称：启用系统失败日志记录功能

系统当前状态：右键“我的电脑”“高级”“设置”实施方案：

1、参考配置操作右键“我的电脑”“高级”“设置”，将“将事件写入系统日志”、“发送管理警报”这两项的勾上。再将下面的“写入调试信息”设置为“完全内存存储”实施目的：启用系统失败日志记录功能实施风险：无

3、安全选项策略配置

3、

1、设置挂起会话的空闲时间实施名称：设置Microsoft 网络服务器挂起会话的空闲时间系统当前状态：查看系统当前设置实施方案：在管理工具->本地安全策略->选择本地策略->选择安全选项->

Microsoft网络服务器：在挂起会话之前所需的空闲时间（小于等于5分钟）实施目的：设置挂起会话之前所需的空闲时间为5分钟实施风险：无

3、2、禁止发送未加密的密码到第三方 SMB 服务器实施名称：Microsoft 网络客户端：发送未加密的密码到第三方 SMB 服务器系统当前状态：查看系统当前设置实施方案：在管理工具->本地安全策略->选择本地策略->选择安全选项-> Microsoft网络客户端：发送未加密的密码到第三方 SMB 服务器（已禁用）实施目的：禁止发送未加密的密码到第三方 SMB 服务器实施风险：无

3、3、禁用对所有驱动器和文件夹进行软盘复制和访问实施名称：故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问系统当前状态：查看系统当前设置：实施方案：在管理工具->本地安全策略->选择本地策略->选择安全选项->故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问（禁用）实施目的：Windows 控制台恢复的另一个特性是它禁止访问硬盘驱动器上的所有文件和目录。它仅允许访问每个卷的根目录和%systemroot%目录及子目录，即使是这样它还限制不允许把硬盘驱动器上的文件拷贝到软盘上。实施风险：无 3、

4、禁止故障恢复控制台自动登录实施名称：故障恢复控制台:允许自动系统管理级登录系统当前状态：查看系统当前设置：实施方案：在管理工具->本地安全策略->选择本地策略->选择安全选项->故障恢复控制台:允许自动系统管理级登录（禁用）实施目的：防止非法用户通过恢复控制台（无需密码）自动登录到系统实施风险：无

3、5、关机时清除虚拟内存页面文件实施名称：关机时清除虚拟内存页面

文件系统当前状态：查看系统当前设置：实施方案：在管理工具->本地安全策略->选择本地策略->选择安全选项->关机：清除虚拟内存页面文件（启用）实施目的：页面文件中可能含有敏感的资料，关机的时候清除虚拟内存页面文件，防止造成意外的信息泄漏。实施风险：无

3、6、禁止系统在未登录前关机实施名称：关机：允许系统在未登录前关机系统当前状态：查看系统当前设置：实施方案：在管理工具->本地安全策略->选择本地策略->选择安全选项->关机：允许系统在未登录前关机（禁用）实施目的：禁止用户未登录系统状态下关闭计算机实施风险：无

3、7、不显示上次登录的用户名实施名称：交互式登录：不显示上次的用户名系统当前状态：查看系统当前设置：实施方案：在管理工具->本地安全策略->选择本地策略->选择安全选项->交互式登录：不显示上次的用户名（启用）实施目的：登录时不显示上次的用户名，防止暴露用户名。实施风险：无

3、8、登录时需要按 CTRL+ALT+DEL实施名称：交互式登录：不需要按Ctrl+Alt+Del系统当前状态：查看系统当前设置：实施方案：在管理工具->本地安全策略->选择本地策略->选择安全选项->交互式登录：不需要按Ctrl+Alt+Del（禁用）实施目的：登录时需要按

CTRL+ALT+DEL。实施风险：无 3、9、可被缓存的前次登录个数实施名称：交互式登录：可被缓存的前次登录个数（在域控制器不可用