Windows系统安全配置基线

应配置“Microsoft网 络服务器：暂停会话 前所需的空闲时间”为 15分钟
进入“开始->运行->Regedit”,进入注册表编辑
器
查看“
HKEY_LOCAL_MACHINE\SYSTEM\CurrentCon 应配置RDP-Tcp”键值
trolSet\Control\Terminal
不为Oxd3d
日志大小设置不小于“
查看“应用日志” “系统日志” “安全日志”属性 16384KB” ,设置当达
中的日志大小 ,以及设置当达到最大的日志尺 到最大的日志尺寸
寸时的相应策略。
时，“按需要改写事件
”
SynAttackProtect; 推
在“开始->运行->键入regedit”
荐值：2。
查看注册表项
TcpMaxPortsExhauste
进入“计算机->属性->高级系统配置” 进入“高级->性能->设置” 查看是否配置成“ 仅为基本 Windows 操作系 统程序和服务启用DEP”。
对于Windows操作系 统程序和服务启用系 统自带DEP功能(数据 执行保护)，防止在受 保护内存位置运行有
害代码。
控制面板->添加或删除程序，是否安装有防
安全设置->帐户策略->密码策略”：
种：
查看是否“密码必须符合复杂性要求”选择“已
启动”
B, C, … Z
查看密码长度最小值配置为8个字符
c, … z
1, 2, … 9 非字母数字字符，如 标点符号，@, #, $, %, &, *等
进入“控制面板->管理工具->本地安全策略 ”， 在“安全设置->帐户策略->密码策略”： 查看“密码最长存留期”是否配置成90天，查 看强制密码历史是否配置

检查结果
开始->运行->net share 或我的电脑右击->管理->共享文件夹->共享
检查共享文件夹中的授权用户。
开始->运行->services.msc telnet 关闭 Automatic Updates 关闭 Background Intelligent Transfer Service 关闭 DHCP Client 关闭 Messenger 关闭 Remote Registry 关闭 Print Spooler 关闭 Server 关闭 SNMP Service 关闭 Task Schedule 关闭 TCP/IP NetBIOS Helper 关闭 对于已加入域的服务器，系统将自动与域控服务器同步时钟； 对于未加入域的服务器，需按以下步骤 点击桌面右下角时钟栏，开启“更改日期和时钟 设置”-“internet时间” 开启“自动与internet时间服务器同步”选型， 在服务器栏中填写NTP server的 IP地址，然后点 击“立即更新”。 进入“控制面板->管理工具->计算机管理”，进入“服务和应用程序”，检查“ SNMP Service”， “属性”面板中的“安全”选项卡的community strings设置。 修改默认“public”
要求
易被黑客破译。
8 设定不能重复使用口令
设定不能重复使用最近5次（含5次）内已使用的口 令。
9 口令生存期不得长于90天 口令生存期不得长于90天，应定期更改用户口令。
二、登录与授权
10 查看登录方式类型
远程登录可能造成信息泄露
11 远程登录的IP地址范围设定
12
将从本地登录设置为指定授 权用户
13
序 号

■ 大庆 时炜随着息化的不入，信息安重要性越显。

其中计算机系统的安全是信息安全的基础，安全基桶理论”，板，是最基本的安全要求。

配置使用计算机系统的安全基线，受到不法分子恶意攻击、意软件、木马及蠕虫病毒等攻击时能够起到主动防御的【上接第135页】仅仅有了的，还必须在其中添加相关的账户。

例如，就需要httpd、的支持。

执行“useradd –d /var /chapa -s /usr/local/bin/ jail httpd”系统中创建名为账户，其Home图1Edge、图2 配置安全基线前soft Office 2016的安全基Version 1909 and WindowsVersion 1909 SeBaseline.zip解压至然后将LGPO.c:\1909\Scripts\身份运行并进入PS C:\1909\scripts>，然后执行Baseline-LocalInstall.ps1脚本加相应的参数。

的Windows“Baseline-LocalInstall.ps1-Win10Domain系统执行“Baseline-L o c a lp s1-W i mainJoined”已加员Win dows Server统执行“BaseLocalInstall.ps1-WS Member”。

而没Windows“Baseline-LocalInstall. ps1-WSNonDomainJoined”在域Server系统执行Local Install.ps1-WS mainController”以未加入版本1909PS C:\1909\scri pts>. \Baseline-Localps1-Win10Non DomainJoined 提示\1909\scripts\Baseline-LocalInstall.ps1。

查看1909\s ccutionpolicycted。

这是因为在此系统默认图3 配置安全基线后C:\1909\scripts> set-e x e c u t i o n p o l i c y-e x e身的需要，。

Win2003 & 2008操作系统安全配置要求2、1、帐户口令安全帐户分配:应为不同用户分配不同的帐户,不允许不同用户间共享同一帐户。

帐户锁定:应删除或锁定过期帐户、无用帐户。

用户访问权限指派:应只允许指定授权帐户对主机进行远程访问。

帐户权限最小化:应根据实际需要为各个帐户分配最小权限。

默认帐户管理:应对Administrator帐户重命名,并禁用Guest(来宾)帐户。

口令长度及复杂度:应要求操作系统帐户口令长度至少为8位,且应为数字、字母与特殊符号中至少2类的组合。

口令最长使用期限:应设置口令的最长使用期限小于90天。

口令历史有效次数:应配置操作系统用户不能重复使用最近 5 次(含 5 次)已使用过的口令。

口令锁定策略:应配置当用户连续认证失败次数为5次,锁定该帐户30分钟。

2、2、服务及授权安全服务开启最小化:应关闭不必要的服务。

SNMP服务接受团体名称设置:应设置SNMP接受团体名称不为public或弱字符串。

系统时间同步:应确保系统时间与NTP服务器同步。

DNS服务指向:应配置系统DNS指向企业内部DNS服务器。

2、3、补丁安全系统版本:应确保操作系统版本更新至最新。

补丁更新:应在确保业务不受影响的情况下及时更新操作系统补丁。

2、4、日志审计日志审核策略设置:应合理配置系统日志审核策略。

日志存储规则设置:应设置日志存储规则,保证足够的日志存储空间。

日志存储路径:应更改日志默认存放路径。

日志定期备份:应定期对系统日志进行备份。

2、5、系统防火墙:应启用系统自带防火墙,并根据业务需要限定允许通讯的应用程序或端口。

2、6、防病毒软件:应安装由总部统一部署的防病毒软件,并及时更新。

2、7、关闭自动播放功能:应关闭Windows 自动播放功能。

2、8、共享文件夹删除本地默认共享:应关闭Windows本地默认共享。

共享文件权限限制:应设置共享文件夹的访问权限,仅允许授权的帐户共享此文件夹。

审核
安全基线项目名称
操作系统审核对象访问安全基线要求项
安全基线项说明
启用组策略中对Windows系统的审核对象访问，成功和失败都要审核。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：
查看“审核对象访问”设置。
基线符合性判定依据
“审核对象访问”设置为“成功”和“失败”都要审核。
基线符合性判定依据
HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer键，值为0。
备注
6.2
防病毒软件保护
安全基线项目名称
操作系统防病毒保护安全基线要求项
安全基线项说明
对Windows2003服务器主机应当安装部署服务器专版杀毒软件，并打开自动升级病毒库选项。
基线符合性判定依据
“应用日志”“系统日志”“安全日志”属性中的日志大小设置不小于“8M”,设置当达到最大的日志尺寸时，“按需要改写事件”。
备注
第6章
6.1
关闭默认共享
安全基线项目名称
操作系统默认共享安全基线要求项
安全基线项说明
非域环境中，关闭Windows硬盘默认共享，例如C$，D$。
检测操作步骤
进入“开始－>运行－>Regedit”，进入注册表编辑器，查看HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer；
备注
日志文件大小
安全基线项目名称
操作系统日志容量安全基线要求项

操作系统安全基线配置操作系统安全基线配置1、系统基本配置1.1、设置强密码策略1.1.1、密码复杂度要求1.1.2、密码长度要求1.1.3、密码历史记录限制1.2、禁用默认账户1.3、禁用不必要的服务1.4、安装最新的操作系统补丁1.5、配置防火墙1.6、启用日志记录功能1.7、安装安全审计工具2、访问控制2.1、确定用户账户和组织结构2.2、分配最小特权原则2.3、管理账户权限2.3.1、内置管理员账户2.3.2、各类用户账户2.4、用户认证和授权2.4.1、双因素身份验证2.4.2、权限管理2.5、用户追踪和监管2.5.1、记录登录和注销信息2.5.2、监控用户活动3、文件和目录权限管理3.1、配置文件和目录的ACL3.2、禁止匿名访问3.3、确保敏感数据的安全性3.4、审计文件和目录访问权限4、网络安全设置4.1、配置安全网络连接4.1.1、使用SSL/TLS加密连接4.1.2、配置安全的网络协议 4.2、网络隔离设置4.2.1、网络分段4.2.2、VLAN设置4.3、防御DDoS攻击4.4、加密网络通信4.5、网络入侵检测和预防5、应用程序安全配置5.1、安装可靠的应用程序5.2、更新应用程序到最新版本 5.3、配置应用程序的访问权限 5.4、定期备份应用程序数据5.5、应用程序安全策略6、数据保护与恢复6.1、定期备份数据6.2、加密敏感数据6.3、完整性保护6.4、数据恢复7、安全审计与监控7.1、审计日志管理7.1.1、配置日志记录7.1.2、日志监控和分析7.2、安全事件响应7.2.1、定义安全事件7.2.2、响应安全事件7.2.3、安全事件报告8、物理安全8.1、服务器和设备安全8.1.1、物理访问控制8.1.2、设备保护措施8.2、网络设备安全8.2.1、路由器和交换机的安全配置 8.2.2、网络设备的物理保护8.3、数据中心安全8.3.1、安全区域划分8.3.2、访问控制措施附件：无法律名词及注释：1、双因素身份验证：双因素身份验证是指通过两个或多个不同的身份验证要素来确认用户身份的一种安全措施。

windows基线检查项目的范围和内容1.引言1.1 概述概述部分的内容可以是对整篇文章主题的简要介绍和解释。

可以提及以下内容：在计算机技术的发展和广泛应用的背景下，保障计算机系统的安全性和可靠性变得尤为重要。

而在Windows操作系统中，基线检查项目作为一种常见的安全评估手段，被广泛采用。

本文将对Windows基线检查项目的范围和内容进行详细探讨。

首先，我们将介绍本文的结构和内容安排，以及各个部分的内容提要。

随后，我们将详细解释什么是Windows基线检查项目以及它的重要性，为读者提供一个全面的认识。

同时，我们还将讨论Windows基线检查项目的具体范围，包括它所涵盖的安全控制和目标。

通过本文的阅读，读者将能了解到Windows基线检查项目的定义、作用和实施的重要性，并对其范围和内容有一个清晰的认识。

随着计算机系统的安全性要求不断提高，Windows基线检查项目的重要性也越发凸显。

因此，本文还将展望Windows基线检查项目的未来发展趋势，并给出一些对其优化和改进的建议。

通过本文的研究，希望能够为读者提供一个全面了解Windows基线检查项目的视角，为计算机系统的安全性保障提供一定的指导和参考。

1.2文章结构文章结构部分的内容（1.2 文章结构）应该包括如下内容：本篇长文分为引言、正文和结论三个部分。

引言部分包括概述、文章结构和目的三个方面。

首先，我们将对Windows基线检查项目进行概述，介绍其定义、重要性和应用领域。

其次，我们将说明本篇长文的结构，明确各个章节的内容和次序。

最后，我们将明确本篇长文的目的，即通过对Windows基线检查项目的范围和内容的研究，提供相关领域的参考和指导。

正文部分包括窗口基线检查项目的定义和重要性以及窗口基线检查项目的范围两个方面。

首先，我们将详细阐述Windows基线检查项目的定义和其在计算机系统安全中的重要性。

我们将介绍该项目的基本概念、参考标准和工作原理，以及其在企业和组织中的应用情况。

各类操作系统安全配
置要求及操作指南
检查模块 支持系统版本号 Windows Windows 2000 以上 Solaris Solaris 8 以上 AIX AIX 5.X以上 HP-UNIX HP-UNIX 11i以上 Linux 内核版本 2.6 以上 Oracle Oracle 8i 以上 SQL Server Microsoft SQL Server 2000以上 MySQL MySQL 5.x以上 IIS IIS 5.x以上 Apache Apache 2.x 以上 Tomcat Tomcat 5.x 以上 WebLogic WebLogic 8.X以上
Windows 操作系统 安全配置要求及操作指南
I
目录
目
录 ..................................................................... I
前
言 .................................................................... II
4 安全配置要求 ............................................................... 2
4.1 账号 ..................................................................... 2
4.2 口令 编号： 1 要求内容 密码长度要求：最少 8 位 密码复杂度要求：至少包含以下四种类别的字符中的三种： z 英语大写字母 A, B, C, , Z z 英语小写字母 a, b, c, , z z 阿拉伯数字 0, 1, 2, , 9 z 非字母数字字符，如标点符号， @, #, $, %, &, *等

安全基线配置检查安全基线配置检查是一种常见的安全检查方法，它可以帮助企业和组织确保其计算机系统的安全性。

安全基线配置检查是通过检查计算机系统的配置文件和设置来确定系统是否符合安全标准。

在本文中，我们将探讨安全基线配置检查的重要性、实施步骤以及如何解决常见问题。

安全基线配置检查的重要性安全基线配置检查是确保计算机系统安全的关键步骤之一。

通过检查计算机系统的配置文件和设置，可以确定系统是否符合安全标准。

这些标准通常是由行业组织、政府机构或安全专家制定的。

如果计算机系统不符合这些标准，那么它就容易受到攻击，从而导致数据泄露、系统崩溃或其他安全问题。

实施步骤安全基线配置检查通常包括以下步骤：1. 确定安全标准：首先，需要确定适用于计算机系统的安全标准。

这些标准通常是由行业组织、政府机构或安全专家制定的。

2. 收集配置信息：然后，需要收集计算机系统的配置信息。

这些信息包括操作系统、应用程序、网络设置等。

3. 比较配置信息：将收集的配置信息与安全标准进行比较，以确定系统是否符合标准。

4. 发现问题：如果系统不符合标准，则需要发现问题并记录下来。

5. 解决问题：最后，需要解决发现的问题，以确保计算机系统符合安全标准。

常见问题及解决方法在进行安全基线配置检查时，可能会遇到以下常见问题：1. 配置信息不完整：如果收集的配置信息不完整，则可能会导致无法确定系统是否符合安全标准。

解决方法是确保收集的配置信息完整。

2. 标准不明确：如果安全标准不明确，则可能会导致无法确定系统是否符合标准。

解决方法是确保使用的安全标准明确。

3. 问题解决困难：如果发现的问题难以解决，则可能需要寻求专业帮助。

解决方法是寻求专业帮助。

总结安全基线配置检查是确保计算机系统安全的关键步骤之一。

通过检查计算机系统的配置文件和设置，可以确定系统是否符合安全标准。

在实施安全基线配置检查时，需要确定适用于计算机系统的安全标准、收集配置信息、比较配置信息、发现问题并解决问题。

补充说明：
可能会使日志量猛增。
编号：OS-Windows-日志-03
要求内容：设置日志容量和覆盖规则，保证日志存储
操作指南：
开始-运行-eventvwr
右键选择日志，属性，根据实际需求设置；
日志文件大小：可根据需要制定。
超过上限时的处理方式（建议日志记录天数不小于90天）
检测方法：
开始-运行-eventvwr，右键选择日志，属性，查看日志上限及超过上线时的处理方式。
查看是否“从本地登陆此计算机”设置为“指定授权用户”
查看是否“从网络访问此计算机”设置为“指定授权用户”
判定条件：
“从本地登陆此计算机”设置为“指定授权用户”
“从网络访问此计算机”设置为“指定授权用户”
三、
编号：OS-Windows-口令-01
要求内容：密码长度最少8位，密码复杂度至少包含以下四种类别的字符中的三种：
英语大写字母A, B, C, … Z
英语小写字母a, b, c, … z
阿拉伯数字0, 1, 2, … 9
非字母数字字符，如标点符号，@, #, $, %, &, *等
操作指南：
进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：“密码必须符合复杂性要求”选择“已启动”。
检测方法：
检测方法：
进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”:查看“关闭系统”设置为“只指派给Administrators组”；查看是否“从远端系统强制关机”设置为“只指派给Administrators组”。
判定条件：
“关闭系统”设置为“只指派给Administrators组”；

检测方法：
打开“控制面板”，打开“管理工具”中的“服务”，找到“SNMP Service”，单击右键打开“属性”面板中的“安全”选项卡，在这个配置界面中，查看community strings，也就是微软所说的“团体名称”。
判定条件：
community strings已改，不是默认的“public”。
要求内容：在保证业务可用性的前提下，经过分析测试后，可以选择更新使用最新版本的补丁；
操作指南：
例如截止到2010年最新版本：Windows XP的Service Pack为SP3。
Windows2000的Service Pack为SP4,Windows 2003的Service Pack为SP2。
检测方法：
进入控制面板->添加或删除程序->显示更新打钩，查看是否XP系统已安装SP3，Win2000系统已安装SP4，Win2003系统已安装SP2。
五、
编号：OS-Windows-防护软件-01
要求内容：启用自带防火墙或安装第三方威胁防护软件。根据业务需要限定允许访问网络的应用程序，和允许远程登陆该设备的IP地址范围
判定条件：
缺省账户Administrator名称已更改。Guest帐号已停用。
二、
编号：OS-Windows-授权-01
要求内容：本地、远端系统强制关机只指派给Administrators组
操作指南：
进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”:“关闭系统”设置为“只指派给Administrators组”；“从远端系统强制关机”设置为“只指派给Administrators组”。
补充说明：
可能会使日志量猛增。

1.操作系统安全基线技术要求1.1. AIX 系统安全基线1.1.1.系统管理经过配置操作系统运维管理安全策略，提升系统运维管理安全性，详见表 1。

表 1 AIX 系统管理基线技术要求序号基线技术要求基线标准点（参数）说明限制超级管理员限制 root用户远程使用 telnet 1权限的用户远程PermitRootLogin no登录（可选）登录2使用动向口令令安装动向口令牌登录3配置本机接见控配置 /etc/,安装 TCP Wrapper ，提升对系统访/etc/制列表（可选）问控制1.1.2.用户账号与口令经过配置操作系统用户账号与口令安全策略，提升系统账号与口令安全性，详见表2。

表 2 AIX 系统用户账户与口令基线技术要求序号基线技术要求基线标准点（参数）说明daemon（禁用）bin （禁用）sys （禁用）adm（禁用）uucp （禁用）清理剩余用户账号，限制系统默认限制系统无用默认4账号登录nuucp （禁用）账号登录，同时，针对需要使用的lpd （禁用）用户，制定用户列表，并妥当保留guest （禁用）pconsole （禁用）esaadmin （禁用）sshd （禁用）5控制用户登录超时10 分钟时间控制用户登录会话，设置超不时间68 位口令安全策略（口令为超级用户静口令最小长度态口令）7口令中最少非字母1 个口令安全策略（口令为超级用户静数字字符态口令）8信息系统的口令的90 天口令安全策略（口令为超级用户静最大周期态口令）910 次口令安全策略（口令为超级用户静口令不重复的次数态口令）1.1.3.日记与审计经过对操作系统的日记进行安全控制与管理，提升日记的安全性，详见表 3。

表 3AIX系统日记与审计基线技术要求序号基线技术要求基线标准点（参数）说明10系统日记记录（可authlog 、sulog 、wtmp、记录必要的日记信息，以便进行审failedlogin选）计11系统日记储存（可对接到一致日记服务使用日记服务器接收与储存主机日选 )器志，网管平台一致管理12日记保留要求（可6 个月 6 个月等保三级要求日记一定保留选）13配置日记系统文件400改正配置文件权限为管理员账号只保护属性（可选）读修他日记文件保护修改日志文件 authlog、 wtmp、14400sulog 、failedlogin权限（可选）的权限管理员账号只读1.1.4.服务优化经过优化操作系统资源，提升系统服务安全性，详见表4。

Windows 7 操作系统安全配置基线与配置说明2017年3月1、账户管理1.1Administrator 账户管理配置截图参考：右键点击administrator用户重命名为其它名称（注意，不要改为admin）双击guest账户，确保账户已禁用选项是被选中的则为符合要求。

如果用户里面存在guest和administrator（已改名账户）以外的其它账户则不符合安全要求须对其它用户进行右键——删除操作2、密码管理2.1 密码复杂度2.2 密码长度最小值2.3 密码最长使用期限2.4 强制密码历史2.5 账户锁定阈值（可选）3、认证授权3.1 远程强制关机授权3.2 文件所有权授权4、日志审计4.1 审核策略更改4.2 审核登录事件4.3 审核对象访问4.4 审核进程跟踪对审核策略中的所有项均进行以上配置操作4.5日志文件大小对windows日志中的‘应用程序’‘安全’‘系统’三项均进行上图配置5、系统服务5.1 启用Windows 防火墙5.2 关闭自劢播放功能6、补丁不防护软件6.1 系统安全补丁管理6.2 防病毒管理7.1 关闭默认共享8、远程维护8.1 远程协助安全管理8.2 远程桌面安全管理9、其他9.1 数据执行保护10、关闭135等端口• 1）打开电-脑-控-制-面板• 2）打开系统和安全选项• 3）打开Windows防火墙• 4）点击左侧高级设置• 5）点击入站规则• 6）点击右侧新建规则• 7）选择端口（O），点击下一步• 8）选择特定本地端口，输入135,137,138,139,445，中间用逗号隔开，逗号为英文输入的逗号• 9）选择阻止连接，点击下一步• 10）点击下一步• 11）名称一栏输入关闭端口，点击完成• 12）双击关闭端口，查看端口设置• 13）可以看到阻止连接• 14）点击协议和端口，可以看到阻止连接的本地端口是之前设置的135,137,138,139,445，说明网络端口135,137,138,139,445已经阻止连接。

将不符合检查内容项进行加固，安全标准配置如下：
清除虚拟内存页面文件 已禁用
允许系统在未登录的情况下关闭 已禁用
中
15
恢复控制台
安全选项-恢复控制台
打开“开始-控制面板-管理工具”在“本地安全策略-本地策略-安全选项-恢复控制台”中
检查是否符合操作步骤中提到的各种标准。
将不符合检查内容项进行加固，安全标准配置如下：
将不符合检查内容项进行加固，安全标准配置如下：
密码策略：
密码必须符合复杂度要求已启用
密码长度最小值8个字符
密码最短使用期限1天
密码最长使用期限90天
强制密码历史5个记住的密码
用可还原的加密来储存密码 已禁用
账户锁定策略：
账户锁定时间5分钟
账户锁定阈值6次无效登录
重置账户锁定计时器5分钟
低
4
不使用系统默认用户名
以管理员批准模式运行所有管理员 已启用
用于内置管理员账户的管理员批准模式 已启用
中
25
账户
安全选项-账户
打开“开始-控制面板-管理工具”在“本地安全策略-本地策略-安全选项-账户”中
检查是否符合操作步骤中提到的各种标准。
将不符合检查内容项进行加固，安全标准配置如下：
来宾账户状态 已禁用
使用空白密码的本地账户只允许进行控制台登录 已启用；
记录系统的所有审核信息，审核策略设置中成功失败都要审核。
进入”控制面板->管理工具->本地安全策略“，在”本地策略->审核策略：中；
检查是否符合操作步骤中提到的各项标准。
将不符合检查内容项进行加固，安全标准配置如下：
审核策略更改：成功，失败
审核登录事件：成功，失败

邮件服务器 可开启，需 在网络防火 墙上做好防 护措施 集中监控代 理可开启此 服务，需做 到：将SNMP 升级到V3或 更高版本， 在网络防火 墙上做好防 护措施
利用SNMP协议漏洞攻击； SNMP2.0和SNMP1.0的安全 机制比较脆弱，通信不加 密，攻击者可以利用各种 嗅探工具直接获取通信字 符串，可以进行拒绝服务 攻击等
安全配置要 求项缺省为 开启状态， 要求关闭的 必须执行， 如有特殊情 通 况必须申请 信 、审批后方 安 可执行。 全
关闭匿名枚举SAM（Security Accounts Manager 安全账户管理 器） 帐户和共享 网络 访问
可以远程匿名列出账户名 称和共享资源列表，攻击 者使用此信息尝试猜测密 码
集中监控代 理可开启此 服务，需做 到：将SNMP 升级到V3或 更高版本， 在网络防火 墙上做好防 护措施 IIS Web应 用服务器可 开启，需做 好防护措施
利用Web服务漏洞攻击
防止从移动设备上感染病 毒
清理 虚拟 启用“关机：清理虚拟内存页面文 避免虚拟内存页面文件过 内存 件”策略 大，影响系统性能 页面 文件 其 他 安 全 要 求 安全配置要 求项缺省关 闭，要求开 启，如有特 殊情况必须 申请、审批 后方可执行 。 屏幕 启用屏幕保护策略,屏保时间设定 保护 10分钟以内 防止管理员忘记锁定机器 被非法攻击
备注
进入“控制面板->管理工具->计算机 管理”，在“系统工具->本地用户和 组”： Guest –> 属性 ->已停用 进入“控制面板->管理工具->本地安 全策略->本地策略->安全选项”： “帐户: 来宾帐户状态”设置为禁用 。 进入“控制面板->管理工具->本地安 全策略”，进入“本地策略->安全选 项”： “交互式登录：不显示最后的用户名 ”设置为启用； 进入“控制面板->管理工具->本地安 全策略”，在“账户策略->密码策略 ”： “密码必须符合复杂度要求”设置启 此项针对的 用状态； “密码长度最小值”设为8个字符； 是系统管理 用户 “密码最长使用期限”设为90天； “密码最短使用期限”设为0天； “强制密码历史”设为3个记住的密 码 “用可还原的加密来存储密码”设为 进入“控制面板->管理工具->本地安 全策略”，在“本地策略->用户权限 指派”： “从远程系统强制关机”设置为“只 指派给Administrators组”。 进入“控制面板->管理工具->本地安 全策略”，在“本地策略->用户权限 指派”： “关闭系统”设置为“只指派给 Administrators组”。 进入“控制面板->管理工具->本地安 全策略”，进入“本地策略->安全选 项”： “故障恢复控制台：允许自动管理 登录”设置为禁用； 进入“我的电脑” ，右键点击磁盘 分区，进入“属性->安全”： 查看每个磁盘分区Everyone用户的访 问权限，只允许Everyone用户有读的 权限。

Windows 7 操作系统安全配置基线与配置说明2017年3月1、账户管理1.1Administrator 账户管理配置截图参考：右键点击administrator用户重命名为其它名称（注意，不要改为admin）双击guest账户，确保账户已禁用选项是被选中的则为符合要求。

如果用户里面存在guest和administrator（已改名账户）以外的其它账户则不符合安全要求须对其它用户进行右键——删除操作2、密码管理2.1 密码复杂度2.2 密码长度最小值2.3 密码最长使用期限2.4 强制密码历史2.5 账户锁定阈值（可选）3、认证授权3.1 远程强制关机授权3.2 文件所有权授权4、日志审计4.1 审核策略更改4.2 审核登录事件4.3 审核对象访问4.4 审核进程跟踪对审核策略中的所有项均进行以上配置操作4.5日志文件大小对windows日志中的‘应用程序’‘安全’‘系统’三项均进行上图配置5、系统服务5.1 启用Windows 防火墙5.2 关闭自劢播放功能6、补丁不防护软件6.1 系统安全补丁管理6.2 防病毒管理7.1 关闭默认共享8、远程维护8.1 远程协助安全管理8.2 远程桌面安全管理9、其他9.1 数据执行保护10、关闭135等端口• 1）打开电-脑-控-制-面板• 2）打开系统和安全选项• 3）打开Windows防火墙• 4）点击左侧高级设置• 5）点击入站规则• 6）点击右侧新建规则• 7）选择端口（O），点击下一步• 8）选择特定本地端口，输入135,137,138,139,445，中间用逗号隔开，逗号为英文输入的逗号• 9）选择阻止连接，点击下一步• 10）点击下一步• 11）名称一栏输入关闭端口，点击完成• 12）双击关闭端口，查看端口设置• 13）可以看到阻止连接• 14）点击协议和端口，可以看到阻止连接的本地端口是之前设置的135,137,138,139,445，说明网络端口135,137,138,139,445已经阻止连接。

DSC基线什么是DSC基线DSC（Desired State Configuration）是一种用于配置和管理Windows系统的技术。

它使用声明性编程的方式，通过定义系统的期望状态来实现自动化配置和管理。

DSC基线是一组规则和配置，用于确保系统的安全性和合规性。

DSC基线的作用DSC基线可以帮助组织确保其系统按照安全性最佳实践进行配置，并符合适用的合规性要求。

通过使用DSC基线，组织可以减少系统配置错误和漏洞，提高系统的安全性和稳定性。

DSC基线的设计原则设计DSC基线时，需要考虑以下几个原则：1. 最小权限原则DSC基线应该使用最小权限原则，即只赋予系统所需的权限，而不是赋予过多的权限。

这样可以减少系统被滥用的风险。

2. 分层原则DSC基线应该按照不同的层级进行设计，从底层的操作系统配置到应用程序配置，确保每个层级都符合安全性和合规性要求。

3. 可验证性原则DSC基线应该具有可验证性，即可以通过自动化的方式验证系统是否符合基线要求。

这样可以提高基线的可靠性和可维护性。

DSC基线的实施步骤实施DSC基线的步骤如下：1. 确定基线要求首先，需要明确系统的安全性和合规性要求。

这包括确定适用的安全标准和合规性框架，例如CIS、NIST等。

2. 编写DSC配置根据基线要求，编写DSC配置。

配置应包括系统配置、用户权限、服务配置等方面。

3. 部署DSC配置将编写好的DSC配置部署到目标系统上。

可以使用PowerShell脚本或DSC工具来实现。

4. 验证系统状态验证系统是否按照配置要求进行了正确的配置。

可以使用DSC工具提供的验证功能来验证系统状态。

5. 持续监控和维护持续监控系统的状态，并及时修复配置错误和漏洞。

可以使用DSC工具提供的自动化修复功能来简化维护工作。

DSC基线的优势和挑战优势•自动化配置：DSC基线可以自动化配置系统，减少人工配置的错误和漏洞。

•可验证性：DSC基线可以提供可验证性，确保系统按照要求进行了正确的配置。