Windows安全基线

■ 大庆 时炜随着息化的不入，信息安重要性越显。

其中计算机系统的安全是信息安全的基础，安全基桶理论”，板，是最基本的安全要求。

配置使用计算机系统的安全基线，受到不法分子恶意攻击、意软件、木马及蠕虫病毒等攻击时能够起到主动防御的【上接第135页】仅仅有了的，还必须在其中添加相关的账户。

例如，就需要httpd、的支持。

执行“useradd –d /var /chapa -s /usr/local/bin/ jail httpd”系统中创建名为账户，其Home图1Edge、图2 配置安全基线前soft Office 2016的安全基Version 1909 and WindowsVersion 1909 SeBaseline.zip解压至然后将LGPO.c:\1909\Scripts\身份运行并进入PS C:\1909\scripts>，然后执行Baseline-LocalInstall.ps1脚本加相应的参数。

的Windows“Baseline-LocalInstall.ps1-Win10Domain系统执行“Baseline-L o c a lp s1-W i mainJoined”已加员Win dows Server统执行“BaseLocalInstall.ps1-WS Member”。

而没Windows“Baseline-LocalInstall. ps1-WSNonDomainJoined”在域Server系统执行Local Install.ps1-WS mainController”以未加入版本1909PS C:\1909\scri pts>. \Baseline-Localps1-Win10Non DomainJoined 提示\1909\scripts\Baseline-LocalInstall.ps1。

查看1909\s ccutionpolicycted。

这是因为在此系统默认图3 配置安全基线后C:\1909\scripts> set-e x e c u t i o n p o l i c y-e x e身的需要，。

操作系统安全基线配置操作系统安全基线配置1、系统基本配置1.1、设置强密码策略1.1.1、密码复杂度要求1.1.2、密码长度要求1.1.3、密码历史记录限制1.2、禁用默认账户1.3、禁用不必要的服务1.4、安装最新的操作系统补丁1.5、配置防火墙1.6、启用日志记录功能1.7、安装安全审计工具2、访问控制2.1、确定用户账户和组织结构2.2、分配最小特权原则2.3、管理账户权限2.3.1、内置管理员账户2.3.2、各类用户账户2.4、用户认证和授权2.4.1、双因素身份验证2.4.2、权限管理2.5、用户追踪和监管2.5.1、记录登录和注销信息2.5.2、监控用户活动3、文件和目录权限管理3.1、配置文件和目录的ACL3.2、禁止匿名访问3.3、确保敏感数据的安全性3.4、审计文件和目录访问权限4、网络安全设置4.1、配置安全网络连接4.1.1、使用SSL/TLS加密连接4.1.2、配置安全的网络协议 4.2、网络隔离设置4.2.1、网络分段4.2.2、VLAN设置4.3、防御DDoS攻击4.4、加密网络通信4.5、网络入侵检测和预防5、应用程序安全配置5.1、安装可靠的应用程序5.2、更新应用程序到最新版本 5.3、配置应用程序的访问权限 5.4、定期备份应用程序数据5.5、应用程序安全策略6、数据保护与恢复6.1、定期备份数据6.2、加密敏感数据6.3、完整性保护6.4、数据恢复7、安全审计与监控7.1、审计日志管理7.1.1、配置日志记录7.1.2、日志监控和分析7.2、安全事件响应7.2.1、定义安全事件7.2.2、响应安全事件7.2.3、安全事件报告8、物理安全8.1、服务器和设备安全8.1.1、物理访问控制8.1.2、设备保护措施8.2、网络设备安全8.2.1、路由器和交换机的安全配置 8.2.2、网络设备的物理保护8.3、数据中心安全8.3.1、安全区域划分8.3.2、访问控制措施附件：无法律名词及注释：1、双因素身份验证：双因素身份验证是指通过两个或多个不同的身份验证要素来确认用户身份的一种安全措施。

windows基线检查项目的范围和内容1.引言1.1 概述概述部分的内容可以是对整篇文章主题的简要介绍和解释。

可以提及以下内容：在计算机技术的发展和广泛应用的背景下，保障计算机系统的安全性和可靠性变得尤为重要。

而在Windows操作系统中，基线检查项目作为一种常见的安全评估手段，被广泛采用。

本文将对Windows基线检查项目的范围和内容进行详细探讨。

首先，我们将介绍本文的结构和内容安排，以及各个部分的内容提要。

随后，我们将详细解释什么是Windows基线检查项目以及它的重要性，为读者提供一个全面的认识。

同时，我们还将讨论Windows基线检查项目的具体范围，包括它所涵盖的安全控制和目标。

通过本文的阅读，读者将能了解到Windows基线检查项目的定义、作用和实施的重要性，并对其范围和内容有一个清晰的认识。

随着计算机系统的安全性要求不断提高，Windows基线检查项目的重要性也越发凸显。

因此，本文还将展望Windows基线检查项目的未来发展趋势，并给出一些对其优化和改进的建议。

通过本文的研究，希望能够为读者提供一个全面了解Windows基线检查项目的视角，为计算机系统的安全性保障提供一定的指导和参考。

1.2文章结构文章结构部分的内容（1.2 文章结构）应该包括如下内容：本篇长文分为引言、正文和结论三个部分。

引言部分包括概述、文章结构和目的三个方面。

首先，我们将对Windows基线检查项目进行概述，介绍其定义、重要性和应用领域。

其次，我们将说明本篇长文的结构，明确各个章节的内容和次序。

最后，我们将明确本篇长文的目的，即通过对Windows基线检查项目的范围和内容的研究，提供相关领域的参考和指导。

正文部分包括窗口基线检查项目的定义和重要性以及窗口基线检查项目的范围两个方面。

首先，我们将详细阐述Windows基线检查项目的定义和其在计算机系统安全中的重要性。

我们将介绍该项目的基本概念、参考标准和工作原理，以及其在企业和组织中的应用情况。

Windows安全配置基线说明1.1.身份鉴别
1.1.1用户账号要求
1.1.2用户账号设置
1.1.3配置密码策略
1.1.4账号锁定策略
1.2.访问控制
1.2.1重命名系统管理员账号，禁用GUEST账号
1.2.2“取得文件或其它对象的所有权”设置
1.2.3关闭默认共享
1.2.4设置共享文件夹访问权限
1.3.安全审计
1.3.1审核策略设置
1.3.2日志文件大小设置
1.4.入侵防范
1.4.1系统补丁安装
1.4.2关闭多余服务
1.4.3关闭多余启动项
1.5.恶意代码防范1.5.1开启系统防火墙
1.5.2安装、更新杀毒软件
1.6.资源控制
1.6.1启用TCP/IP筛选
1.6.2屏幕保护程序
1.6.3设置Microsoft网络服务器挂起时间
1.7.其他安全要求
1.7.1关闭Windows自动播放功能。

Windows 7 操作系统安全配置基线与配置说明2017年3月1、账户管理1.1Administrator 账户管理配置截图参考：右键点击administrator用户重命名为其它名称（注意，不要改为admin）双击guest账户，确保账户已禁用选项是被选中的则为符合要求。

如果用户里面存在guest和administrator（已改名账户）以外的其它账户则不符合安全要求须对其它用户进行右键——删除操作2、密码管理2.1 密码复杂度2.2 密码长度最小值2.3 密码最长使用期限2.4 强制密码历史2.5 账户锁定阈值（可选）3、认证授权3.1 远程强制关机授权3.2 文件所有权授权4、日志审计4.1 审核策略更改4.2 审核登录事件4.3 审核对象访问4.4 审核进程跟踪对审核策略中的所有项均进行以上配置操作4.5日志文件大小对windows日志中的‘应用程序’‘安全’‘系统’三项均进行上图配置5、系统服务5.1 启用Windows 防火墙5.2 关闭自劢播放功能6、补丁不防护软件6.1 系统安全补丁管理6.2 防病毒管理7.1 关闭默认共享8、远程维护8.1 远程协助安全管理8.2 远程桌面安全管理9、其他9.1 数据执行保护10、关闭135等端口• 1）打开电-脑-控-制-面板• 2）打开系统和安全选项• 3）打开Windows防火墙• 4）点击左侧高级设置• 5）点击入站规则• 6）点击右侧新建规则• 7）选择端口（O），点击下一步• 8）选择特定本地端口，输入135,137,138,139,445，中间用逗号隔开，逗号为英文输入的逗号• 9）选择阻止连接，点击下一步• 10）点击下一步• 11）名称一栏输入关闭端口，点击完成• 12）双击关闭端口，查看端口设置• 13）可以看到阻止连接• 14）点击协议和端口，可以看到阻止连接的本地端口是之前设置的135,137,138,139,445，说明网络端口135,137,138,139,445已经阻止连接。