Windows主机操作系统安全加固规范.docx

《Windows主机操作系统安全加固规范.docx》由会员分享，可在线阅读，更多相关《Windows主机操作系统安全加固规范.docx（32页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Windows主机操作系统安全基线规范2023年5月系统当前状态进入“控制面板-管理工具-本地安全策略”，在“本地策 略-用户权利指派”：查看并记录“从远端系统强制关机” 的当前设置。实施步骤参考配置操作：进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”。“从远端系统强制关机”设置为“只指派给Administrators 组”。回退方案还原“从远端系统强制关机”的设置到加固之前配置。判断依据进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”：查看“从远端系统强制关机”是否设置为“只指派给 Administrators 组”。实施风险低重要等级 备注1.

2、 3. 2 ELK-Windows-01-03-02编号ELK-Windows-01-03-02名称关闭系统设置实施目的防止管理员以外的用户非法关机，在本地安全设置中关闭系 统仅指派给Administrators组问题影响增加系统被管理员以外的用户非法关闭的风险系统当前状态进入“控制面板-管理工具-本地安全策略”，在“本地策 略-用户权利指派”：查看并记录“关闭系统”的当前设置。实施步骤参考配置操作：进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”。“关闭系统”设置为“只指派给Administrators组”。回退方案还原“关闭系统”的设置到加固之前配置判断依据进入“控制

3、面板-管理工具-本地安全策略”，在“本地策略- 用户权利指派”：查看“关闭系统”是否设置为“只指派给Administrators 组”。实施风险低重要等级 备注1. 3. 3 ELK-Windows-01-03-03编号ELK-Windows-01-03-03名称“取得文件或其它对象的所有权”设置实施目的防止用户非法获取文件，在本地安全设置中取得文件或其它 对象的所有权仅指派给Administrators问题影响增加系统除管理员以外的用户非法获取文件的风险系统当前状态进入“控制面板-管理工具-本地安全策略”，在“本地策 略-用户权利指派”：查看并记录“取得文件或其它对象的所有权”的当前设置。实

4、施步骤参考配置操作：进入“控制面板-管理工具-本地安全策略”，在“本地策略- 用户权利指派”。“取得文件或其它对象的所有权”设置为“只指派给 Administrators 组”。回退方案还原“取得文件或其它对象的所有权”的设置到加固之前配 置判断依据进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”：查看是否“取得文件或其它对象的所有权”设置为“只指派 给 Administrators 组”。实施风险低重要等级 备注1. 3. 4 ELK-Windows-01-03-04编号ELK-Windows-01-03-04名称“从本地登陆此计算机”设置实施目的防止用户非法登录主机，

5、在本地安全设置中配置指定授权用 户允许本地登陆此计算机问题影响增加物理临近攻击和本地物理攻击以及非授权用户非法登 陆主机的风险系统当前状态进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”：查看并记录“从本地登陆此计算机” 的当前设置。实施步骤参考配置操作：进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”“从本地登陆此计算机”设置为“指定授权用户”回退方案还原“从本地登陆此计算机”的设置到加固之前配置判断依据进入“控制面板-管理工具-本地安全策略”，在“本地策略- 用户权利指派”：查看是否“从本地登陆此计算机”设置为“指定授权用户”。实施风险低重要等级

6、备注1.3.5 ELK-Windows-01-03-05编号ELK-Windows-01-03-05名称“从网络访问此计算机”设置实施目的防止网络用户非法访问主机，在组策略中只允许授权帐号从 网络访问（包括网络共享等，但不包括终端服务）此计算机。问题影响增加非授权用户非法访问主机的风险系统当前状态进入“控制面板-管理工具-本地安全策略”，在“本地策 略-用户权利指派”：查看并记录“从网络访问此计算机” 的当前设置。实施步骤1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”“从网络访问此计算机”设置为“指定授权用户”回退方案还原“从网络访问此计算机”的设置到加

7、固之前配置判断依据进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”：查看是否“从网络访问此计算机”设置为“指定授权用户”。实施风险低重要等级 备注2日志配置2. 1.1 ELK-Windows-02-01-01编号ELK-Windows-02-01-01名称审核策略设置实施目的设置审核策略，记录系统重要的事件日志，设备应配置日志 功能，对用户登录进行记录，记录内容包括用户登录使用的 账号，登录是否成功，登录时间，以及远程登录时，用户使 用的IP地址问题影响无法对用户的登陆以及登陆后对系统的操作过程、特权使用 等进行日志记录系统当前状态进入“控制面板-管理工具-本地安全策略

8、”，查看并记录 “审核策略”的当前设置。实施步骤参考配置操作：开始-运行，执行“控制面板-管理工具-本地安全策略-审核策略”审核登录事件，双击，设置为成功和失败都审核。“审核策略更改”设置为“成功”和“失败”都要审核“审核对象访问”设置为“成功”和“失败”都要审核“审核目录服务器访问”设置为“成功”和“失败”都要审 核“审核特权使用”设置为“成功”和“失败”都要审核“审核系统事件”设置为“成功”和“失败”都要审核“审核账户管理”设置为“成功”和“失败”都要审核“审核过程追踪”设置为“失败”需要审核回退方案还原“审核策略”的设置到加固之前配置判断依据开始。运行，执行“控制面板-管理工具-本地安全

9、策略-审核策略”：查看是否设置为成功和失败都审核。实施风险低重要等级备注2. 1. 2 ELK-Windows-02-01-02编号ELK-Windows-02-01-02实施目的优化系统日志记录，防止日志溢出。设置应用日志文件大小 至少为8192KB,设置当达到最大的日志尺寸时，按需要改 写事件问题影响如果日志的大小超过系统默认设置，则无法正常记录超过最 大记录值后的所有系统日志、应用日志、安全日志等系统当前状态进入“控制面板，管理工具，事件查看器”，查看并记录“应 用日志”、“系统日志”、“安全日志”的当前设置实施步骤1、参考配置操作进入“控制面板，管理工具，事件查看器”，在“事件查看器（

10、本地）”中:“应用日志”属性中的日志大小设置不小于“8192KB” , 设置当达到最大的日志尺寸时，“按需要改写事件”“系统日志”属性中的日志大小设置不小于“8192KB” , 设置当达到最大的日志尺寸时，“按需要改写事件”“安全日志”属性中的日志大小设置不小于“8192KB” , 设置当达到最大的日志尺寸时，“按需要改写事件”回退方案还原“应用日志”、“系统日志”、“安全日志”的设置到加 固之前配置判断依据进入“控制面板，管理工具，事件查看器”，在“事件查看器（本地）”中：查看各项日志属性中日志大小是否设置为不小于 “8192KB”，是否设置当达到最大的日志尺寸时，“按需要 改写事件”。实施

11、风险低重要等级名称日志记录策略设置备注3通信协议3.1 IP协议安全3.1.1 ELK-Windows-03-01-01编号ELK-Windows-03-01-01名称启用TCP/IP筛选实施目的过滤不必要的端口，提高系统安全性，对没有自带防火墙的 Windows系统,启用Windows系统的IP安全机制(IPSec)或 网络连接上的TCP/IP筛选，只开放业务所需要的TCP, UDP 端口和IP协议问题影响如不有效过滤系统中存在的不必要的端口以及默认的端口 会增加潜在被攻击和非法利用的安全风险系统当前状态进入“控制面板一网络连接一本地连接，进入“Internet 协议(TCP/IP)属性一高

12、级TCP/IP设置”，在“选项”的 属性中查看“网络连接上的TCP/IP筛选”的状态，并记录实施步骤参考配置操作：系统管理员出示业务所需端口列表。根据列表只开放系统与业务所需端口。进入“控制面板一网络连接一本地连接，进入“Internet 协议(TCP/IP)属性一高级TCP/IP设置”，在“选项”的 属性中启用网络连接上的TCP/IP筛选，只开放业务所需要 的TCP, UDP端口和IP协议。回退方案还原高级TCP/IP的设置到加固之前配置判断依据系统管理员出示业务所需端口列表。根据列表只开放系统与业务所需端口。进入“控制面板一网络连接一本地连接，进入“Internet 协议(TCP/IP)属

13、性一高级TCP/IP设置”，在“选项”的 属性中启用网络连接上的TCP/IP筛选，查看是否只开放业 务所需要的TCP, UDP端口和IP协议。利用Netstat - an命令查看当前系统开放端口是否与系统 管理员所出示的业务所需端口列表相对应；如发现存在与业 务和应用无关的端口，则查明后在TPC/IP筛选配置中将其 过滤掉。实施风险高重要等级备注3. L 2 ELK-Windows-03-01-02编号ELK-Windows-03-01-01名称开启系统防火墙实施目的启用Windows XP和Windows 2003自带防火墙，过滤不必要 的端口，提高系统安全性。根据业务需要限定允许访问网络

14、的应用程序和允许远程登陆该设备的IP地址范围。问题影响没有访问控制，系统可能被非法登陆或使用，从而增加潜在 被攻击的安全风险系统当前状态进入“控制面板一网络连接一本地连接，在高级选项的 属性中查看Windows防火墙的状态，并记录详细情况。实施步骤参考配置操作：系统管理员出示业务所需端口列表。根据列表只开放系统与业务所需端口。进入“控制面板一网络连接一本地连接，在高级选项的设置中：启用Windows防火墙。在“例外”中配置允许业务所需的程序接入网络。在“例外，编辑，更改范围”编辑允许接入的网络地址范围。回退方案还原高级系统防火墙设置到加固之前配置。判断依据进入“控制面板一网络连接一本地连接，在

15、高级选项的设置中，查看是否启用Windows防火墙。查看是否在“例外”中配置允许业务所需的程序接入网络。查看是否在“例外，编辑，更改范围”编辑允许接入的网络 地址范围。实施风险高重要等级备注3. L 3 ELK-Windows-03-01-03编号ELK-Windows-03-01-03名称启用SYN攻击保护实施目的启用SYN攻击保护，提高系统安全性；指定触发SYN洪水攻击 保护所必须超过的TCP连接请求数阀值为5；指定处于 SYN_RCVD状态的TCP连接数的阈值为500；指定处于至少已1 账号管理、认证授权11.1 账号11.1.1 ELK-Windows-01-OhOl11.1.2 EL

16、KWindows-01010221.1.3 ELK-Windows-01-01-0331.2 口令41.2.1 ELK-Windows-01-02-0141.2.2 ELK-WindowsO1-02-02 51.3 授权61.3.1 ELK-Wmdows-0103-0161.3.2 ELK-WindowsOl 03-0271.3.3 ELK-Windows-01-03-03 81.3.4 ELK-Windows01-03-04 91.3.5 ELK-Windows-0103-05102 日志配置112.1.1 ELK-Windows-02-01-01112.1.2 ELK-Windows02-

17、01-02 123 通信协议143.1 IP协议安全143.1.1 ELK-Windows-03-01-01143.1.2 ELK-Windows-03-0102753.1.3 ELK-Windows-03-01-03164 设备其他安全要求184.1 屏幕保护184.1.1 ELK-Windows-04-01-01184.1.2 ELK-Windows-04-01-02194.2 共享文件夹及访问权限204.2.1 ELK-Windows-04-02-01204.2.2 ELK-Windows-04-02-02214.3 补丁管理234.3.1 ELK-Windows04-03-01234.

18、4 防病毒管理244.4.1 ELK-Windows-04-0401244.4.2 ELK Windows-04-04-02254.5 Windows月艮务264.5.1 ELK-Windows-04-05-01264.5.2 ELK-Windows-04-05-02 284.6 启动项294.6.1 ELKWindows-04-06-0129发送一次重传的SYN_RCVD状态中的TCP连接数的阈值为400 o问题影响如不启用SYN攻击保护，系统则容易被SYN拒绝服务攻击后导致 迅速当机。系统当前状态在“开始,运行-键入regedit”查看并记录注册表HKEY_LOCAL_MACHINESYS

19、TEMCurrentControlSetServices SynAttackProtect 的值并记录。查看并记录注册表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。TcpMaxPortsExhaustedTcpMaxHalfOpenTcpMaxHalfOpenRetried的值并记录实施步骤参考配置操作：在“开始-运行,键入regedit”启用 SYN攻击保护的命名值位于注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。值名称：SynAttackProtecto推荐值

20、：2。以下部分中的所有项和值均位于注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。指定必须在触发SYN flood保护之前超过的TCP连接请求阈 值。值名称：TcpMaxPortsExhaustedo 推荐值：5。启用SynAttackProtect后，该值指定SYN_RCVD状态中的TCP 连接阈值，超过SynAttackProtect时,触发SYN flood保护。值 名称：TcpMaxHalfOpeno推荐值数据：5000启用SynAttackProtect后，指定至少发送了一次重传的SYN.RCVD 状态中的 TCP连

21、接阈值。超过SynAttackProtect 时，触发 SYN flood 保护。值名称：TcpMaxHalfOpenRetried。推 荐值数据：400o回退方案还原注册表设置到加固之前配置判断依据在开始-运行里输入regedit,进入注册表中打开相应的注册项， 查看键值是否已启用和配置，各注册表键值是否均按要求设置。实施风险高重要等级备注4设备其他安全要求4.1 屏幕保护4. LI ELK-Windows-04-01-01编号ELK-Windows-04-01-01名称启用屏幕保护程序实施目的启用屏幕保护程序，防止管理员忘记锁定机器被非法攻击； 设置带密码的屏幕保护，并将时间设定为5分钟问

22、题影响如未启动屏幕保护并采用密码恢复，一旦管理员操作系统后 忘记锁定主机，则容易被非法攻击，以及增加本地物理临近 攻击的风险。系统当前状态进入“控制面板一显示一屏幕保护程序”：查看是否启用屏幕保护程序并记录当前的设置实施步骤参考配置操作：进入“控制面板一显示一屏幕保护程序”：启用屏幕保护程序，设置等待时间为“5分钟”，启用“在恢复时使用密码保护二回退方案还原屏幕保护程序设置到加固之前配置。判断依据进入“控制面板一显示一屏幕保护程序”：查看是否启用屏幕保护程序，设置等待时间为“5分钟”，启 用“在恢复时使用密码保护”。在系统桌面上点击鼠标右键，打开属性，查看屏幕保护程序 选项是否已启动和配置。实

23、施风险低重要等级 备注4. 1. 2 ELK-Windows-04-01-02编号ELK-Windows-04-01-02名称设置Mierosoft网络服务器挂起时间实施目的设置Microsoft网络服务器挂起时间，防止管理员忘记锁定 机器被非法利用；对于远程登陆的帐号，设置不活动断连时 间15分钟问题影响管理员忘记锁定而被非法利用系统当前状态进入“控制面板-管理工具-本地安全策略”，在“本地策略-安全选项”:查看是否“Microsoft网络服务器”设置为“在挂起会话之 前所需的空闲时间”为15分钟。实施步骤参考配置操作：进入“控制面板-管理工具-本地安全策略”，在“本地策略-安全选项”：Mi

24、crosoft网络服务器”设置为“在挂起会话之前所需的 空闲时间”为15分钟。回退方案还原“挂起会话之前所需的空闲时间”设置到加固之前配置判断依据进入“控制面板-管理工具-本地安全策略”，在“本地策略- 安全选项”：查看是否“Microsoft网络服务器”设置为“在挂起会话之 前所需的空闲时间”为15分钟。实施风险低重要等级 备注4.2 共享文件夹及访问权限4. 2.1 ELK-Windows-04-02-01编号ELK-Windows-04-02-01名称关闭默认共享实施目的非域环境中，关闭Windows硬盘默认共享，例如C$, D$,提高系 统安全性能问题影响防止攻击者利用系统默认共早如：

25、c$、D$等，非法对系统的硬盘进 行访问，以及通过IPC$方式暴力破解帐户和密码系统当前状态查看并记录：注册表HKLMSystemCurrentControlSetServicesLanmanServerParameters 增加了 REG_DWORD 类型的 AutoShareServer 键的值。实施步骤参考配置操作：进入“开始一运行一Regedit”，进入注册表编辑器，更改注册表键值： 在 HKLMSystemCurrentControlSet ServicesLanmanServerParametersT,增力口 REG_DWORD 类型的 AutoShareServer 键，值为 0

26、。回退方案还原AutoShareServer”键的值设置到加固之前配置判断依据进入“开始一运行一Regedit”，进入注册表编辑器，查看 HKLMSystemCurrentControlSetServicesLanmanServerParametersT,是否 已增加 REG_DWORD 类型的AutoShareServer键，值为0。实施风险低重要等级备注编号名称实施目的4. 2. 2ELK-Windows-04-02-02ELK-Windows-04-02-02设置共享文件夹访问权限设置共享文件夹访问权限，防止用户非法访问。只允许授权的账户拥有权限共享此文件夹。问题影响增加系统未授权的用户

27、非法访问共享文件夹的风险系统当前状态进入“控制面板-管理工具-计算机管理”，进入“系统工具共享文件夹”：查看并记录每个共享文件夹的共享权限。实施步骤参考配置操作：进入“控制面板-管理工具,计算机管理”，进入“系统工具共享文件夹”：查看每个共享文件夹的共享权限，只将权限授权于指定账 户。回退方案还原每个共享文件夹的共享权限到加固之前配置判断依据进入“控制面板-管理工具-计算机管理”，进入“系统工具共享文件夹”：查看每个共享文件夹的共享权限。查看每个共享文件夹的共享权限是否仅限于业务需要，不设置成为 “everyone”。实施风险低重要等级 备注4.3 补丁管理4. 3.1 ELK-Windows

28、-04-03-01编号ELK-Windows-04-03-01名称安装系统补丁实施目的修复系统漏洞。应女装最新的Service Pack补丁集。对服务 器系统应先进行兼容性测试。问题影响如系统未打补丁或补丁未打全，不是最新的补丁，则面临容 易被攻击、渗透和控制的风险系统当前状态控制面板，添加或删除程序,显示更新打钩，查看并记录当 前系统安装的补丁实施步骤参考配置操作：女装取新的Service Pack补丁集，以及取新的Hotfix补丁。目前 Windows XP 的 Service Pack 为 SP3。Windows2000 的 Service Pack 为 SP4,Windows 2003

29、 的 ServicePack 为 SP2回退方案卸载新安装的补丁判断依据进入控制面板-添加或删除程序显示更新打钩，查看是否 XP系统已安装SP3, Win2000系统已安装SP4, Win2003系 统已安装SP2o同时检查所有的hotfix,并查看系统安装的最后一个补丁的 发布日期是否与最近最新发布的补丁日期一致。实施风险高重要等级 备注4.4 防病毒管理4. 4.1 ELK-Windows-04-04-01编号ELK-Windows-04-04-01名称安装、更新杀毒软件实施目的安装防病毒软件，并及时更新，提高系统防病毒能力问题影响如系统中未安装防病毒软件或防病毒软件未及时更新，则系 统面

30、临容易被病毒感染的风险系统当前状态查看是否安装杀毒软件；打开防病毒软件控制面板，查看病 毒码更新日期实施步骤参考配置操作：安装防病毒软件，并将病毒库更新到最新的版本回退方案卸载或删除杀毒软件判断依据进入控制面板- 添加或删除程序，查看是否安装有防病毒软 件。同时打开防病毒软件控制面板，查看病毒码更新日期。如已安装防病毒软件，则病毒码更新时间不早于1个月，各 系统病毒码升级时间要求参见各系统相关规定。实施风险低重要等级备注4. 4. 2 ELK-Windows-04-04-02编号ELK-Windows-04-04-02名称数据执行保护配置实施目的提高系统抵抗非法修改文件的性能。对于Window

31、s XP SP2 及Windows 2003对Windows操作系统程序和服务启用系统 自带DEP功能（数据执行保护），防止在受保护内存位置运行 有害代码。问题影响如未配置系统核心的数据执行保护，则无法对在内存位置运 行有害代码进行保护系统当前状态进入“控制面板一系统”，在“高级”选项卡的“性能” 下的“设置。进入 数据执行保护选项卡。查看并记录“仅 为基本Windows操作系统程序和服务启用DEP”的配置 状态。实施步骤参考配置操作：进入“控制面板一系统”，在“高级”选项卡的“性能” 下的“设置。进入 数据执行保护选项卡。设置为“仅 为基本Windows操作系统程序和服务启用DEP”。回退方

32、案将“仅为基本Windows操作系统程序和服务启用DEP” 设置到加固前配置判断依据进入“控制面板一系统”，在“高级”选项卡的“性能” 下的“设置。进入 数据执行保护选项卡。查看是否设置 为“仅为基本Windows操作系统程序和服务启用DEP”。实施风险低重要等级备注4.5 Windows 月艮务4. 5.1 ELK-Windows-04-05-01编号ELK-Windows-04-05-01名称关闭服务实施目的关闭系统不必要的服务，提高系统安全性。列出所需要服务 的列表（包括所需的系统服务），不在此列表的服务需关闭问题影响如不关闭与业务和应用无关或不必要的服务，则系统面临容 易被攻击、渗透或

33、利用的风险系统当前状态运行命令net start查看当前运行的服务实施步骤参考配置操作：进入“控制面板-管理工具,计算机管理”，进入“服务和应用程序”：查看所有服务，不在此列表的服务需关闭。11服务启动类型包括在成员服务器基准策略中的理由COM+事件服务手动允许组件服务的管理DHCP客户端自动更新动态DNS中的记录所需分布式链接跟踪客户端自动用来维护NTFS卷上的链接DNS客户端自动允许解析DNS名称事件口志自动允许在事件口志中查看事件日志消息逻辑磁盘管理器自动需要它来确保动态磁盘信息保持最新逻辑磁盘管理器管理服务手动需要它以执行磁盘管理Netlogon自动加入域时所需4.6.2 ELK-Wi

34、ndows-04-06-023011网络连接手动网络通讯所需性能口志和警报手动收集计算机的性能数据，向日志中写入或触发警报即插即用自动Windows标识和使用系统硬件时所需受保护的存储区自动需要用它保护敏感数据，如私钥远程过程调用（RPC）自动Windows中的内部过程所需远程注册服务自动hfnetchk实用工具所需（参见附注）安全帐户管理器自动存储本地安全帐户的帐户信息服务器自动hfnetchk实用工具所需（参见附注）系统事件通知自动在事件日志中记录条目所需TCP/IP NetBIOS Helper服务自动在组策略中进行软件分发所需（可用来分发修补程序）Windows管理规范驱动程序手动使用

35、“性能日志和警报”实现性能警报时所需Windows时间服务自动需要它来保证Kerberos身份验证有一致的功能工作站自动加入域时所需回退方案进入“控制面板-管理工具计算机管理。进入“服务和应 用程序”，配置并启动停止的服务判断依据系统管理员应出具系统所必要的服务列表。查看所有服务，不在此列表的服务需关闭。进入“控制面板，管理工具,计算机管理”，进入“服务和应用程序”：查看所有服务，不在此列表的服务是否已关闭。实施风险中重要等级备注4. 5. 2 ELK-Windows-04-05-02编号ELK-Windows-04-05-02名称修改SNMP服务密码实施目的修改SNMP服务密码，防止泄露系统

36、信息。如需启用SNMP 服务，则修改默认的SNMP Community String设置问题影响如未修改SNMP服务的默认密码，则攻击者利用SNMP信息探 测工具就可以获取系统信息。从而增加系统被攻击的风险系统当前状态打开“控制面板”，打开“管理工具”中的“服务”，找到“SNMP Service,单击右键打开“属性”面板中的“安全”选项卡，查看 community strings 的值实施步骤参考配置操作：打开“控制面板”，打开“管理工具”中的“服务”，找到“SNMP Service,单击右键打开“属性”面板中的“安全”选项卡，在这 个配置界面中，可以修改community strings,也

37、就是微软所 说的“团体名称”。回退方案修改community strings值到加固前状态判断依据打开“控制面板”，打开“管理工具”中的“服务”，找到“SNMP Service,单击右键打开“属性”面板中的“安全”选项卡，在这 个配置界面中，查看community strings,是否已改，而不是 默认的“public”。实施风险中重要等级备注4.6启动项4. 6. 1 ELK-Windows-04-06-01编号ELK-Windows-04-06-01名称关闭无效启动项实施目的关闭无效的服务，提高系统性能，增加系统安全性。列出系 统启动时自动加载的进程和服务列表，不在此列表的需关闭问题影响如

38、不禁用和关闭与业务和应用无关或不必要的启动项和进 程，则系统面临容易被攻击、渗透或利用的风险系统当前状态查看记录“开始，运行4Mseonfig”启动菜单中各项配置参 数。实施步骤参考配置操作：“开始-运行MSconfig”启动菜单中，取消不必要的启动 项。回退方案“开始-运行-MSconfig”启动菜单中，还原各项启动参数 到加固前状态。判断依据系统管理员提供业务必须的自动加载进程和服务列表文档。查看”开始，运行,MSconfig”启动菜单：不需要的自动加载进程是否已禁用和取消。实施风险中重要等级 备注4. 6. 2 ELK-Windows-04-06-02编号ELK-Windows-04-0

39、6-02名称关闭Windows自动播放功能实施目的关闭Windows自动播放，防止从移动设备感染病毒问题影响如不关闭Windows自动播放,则在进行U盘插入操作的时候， 系统将面临被u盘中的病毒感染的风险系统当前状态点击开始一运行一输入gpeditmsc,打开组策略编辑器，浏 览到计算机配置一管理模板一系统，查看各驱动器“关闭自 动播放”状态。实施步骤参考配置操作：点击开始一运行一输入gpedit.msc,打开组束略编辑器，浏 览到计算机配置一管理模板一系统，在右边窗格中双击“关 闭自动播放”，对话框中选择所有驱动器，确定即可。回退方案打开组策略编辑器，浏览到计算机配置一管理模板一系统， 还原

40、驱动器“关闭自动播放”状态判断依据点击开始一运行一输入gpedit.msc,打开组策略编辑器，浏 览到计算机配置一管理模板一系统：查看是否所有驱动器均选择“关闭自动播放”，查看“关闭自动 播放”配置是否已启用，启用范围：所有驱动器。实施风险低重要等级 备注本文档是Windows操作系统的对于Win系统的设备账号认证、日志、协议、补丁 升级、文件系统管理等方面的安全配置要求，共26项。对系统的安全配置审计、加 固操作起到指导性作用。1账号管理、认证授权1.1 账号1. LI ELK-Windows-01-01-01编号ELK-Windows-01-01-01名称按照用户类型分配账号实施目的根据系

41、统的要求，设定不同的账户和账户组，管理员用户， 数据库用户，审计用户，来宾用户等。问题影响账号混淆，权限不明确，存在用户越权使用的可能。系统当前状态进入“控制面板-管理工具-计算机管理”，在“系统工具- 本地用户和组”：记录当前用户状态实施步骤参考配置操作：进入“控制面板,管理工具,计算机管理”，在“系统工具- 本地用户和组”。结合要求和实际业务情况判断符合要求，根据系统的要求， 设定不同的账户和账户组，管理员用户，数据库用户，审计 用户，来宾用户。回退方案删除新增加的用户，还原用户权限到初始设置。部分操作可 能无法回退。判断依据进入“控制面板管理工具,计算机管理”，在“系统工具,本地用户和组

42、”：查看账户和账户组，管理员用户，数据库用户，审计用户，来宾用户等。根据系统的要求和实际业务情况判断是否符合要求。实施风险高重要等级备注1.1. 2 ELK-Windows-01-01-02编号ELK-Windows-01-01-02名称系统无效帐户清理实施目的删除或锁定与设备运行、维护等与工作无关的账号，提高系 统帐户安全。问题影响如果不清理无效帐户，则系统将面临默认账号被非法利用的 风险系统当前状态进入“控制面板管理工具-计算机管理”，在“系统工具, 本地用户和组”：记录当前用户状态，备份系统SAM文件。实施步骤参考配置操作：进入“控制面板，管理工具，计算机管理”，在“系统工具-本地用户和

43、组”。删除或锁定与设备运行、维护等与工作无关的账号。回退方案增加被删除的用户，激活被锁定的用户，还原用户权限到初 始设置。部分操作可能无法回退。判断依据进入“控制面板。管理工具，计算机管理”，在“系统工具-本地用户和组”：查看是否删除或锁定与设备运行、维护等与工作无关的账号。根据系统的要求和实际业务情况判断是否符合要求实施风险高重要等级 备注1.1. 3 ELK-Windows-01-01-03编号ELK-Windows-01-01-03名称重命名 Administrator,禁用 GUEST实施目的对于管理员帐号，要求更改缺省帐户名称；禁用guest （来宾） 帐号。提高系统安全性。问题影响管理员帐号容易被猜解；Guest账号容易被非法利用系统当前状态进入“控制面板管理工具-计算机管理”，在“系统工具- 本地用户和组”。记录当前用户状态实施步骤参考配置操作：进入“控制面板,管理工具-计算机管理”，在“系统工具, 本地用户和组”。Administrator属性一 更改名称Guest帐号-属性一 已停用回退方案重命名用户名称，还原用户属性设置