Windows主机操作系统加固规范

1、Windows 主机操作系统加固规范主机操作系统加固规范 中国移动通信有限公司中国移动通信有限公司 管理信息系统部管理信息系统部 20092009 年年 4 4 月月 目目录录 1 1账号管理、认证授权账号管理、认证授权.1 1.1账号.1 1.1.1SHG-Windows-01-01-01.1 1.1.2SHG-Windows-01-01-02.2 1.1.3SHG-Windows-01-01-03.3 1.2口令.4 1.2.1SHG-Windows-01-02-01.4 1.2.2SHG-Windows-01-02-02.5 1.3授权.6 1.3.1SHG-Windows-01-03-

2、01.6 1.3.2SHG-Windows-01-03-02.7 1.3.3SHG-Windows-01-03-03.8 1.3.4SHG-Windows-01-03-04.9 1.3.5SHG-Windows-01-03-05.10 2 2日志配置日志配置.11 2.1.1SHG-Windows-02-01-01.11 2.1.2SHG-Windows-02-01-02.12 3 3通信协议通信协议.14 3.1IP 协议安全.14 3.1.1SHG-Windows-03-01-01.14 3.1.2SHG-Windows-03-01-02.15 3.1.3SHG-Windows-03-01

3、-03.16 4 4设备其他安全要求设备其他安全要求.18 4.1屏幕保护.18 4.1.1SHG-Windows-04-01-01.18 4.1.2SHG-Windows-04-01-02.19 4.2共享文件夹及访问权限.20 4.2.1SHG-Windows-04-02-01.20 4.2.2SHG-Windows-04-02-02.21 4.3补丁管理.23 4.3.1SHG-Windows-04-03-01.23 4.4防病毒管理.24 4.4.1SHG-Windows-04-04-01.24 4.4.2SHG-Windows-04-04-02.25 4.5WINDOWS服务.26

4、4.5.1SHG-Windows-04-05-01.26 4.5.2SHG-Windows-04-05-02.28 4.6启动项.29 4.6.1SHG-Windows-04-06-01.29 4.6.2SHG-Windows-04-06-02.30 本文档是 Windows 操作系统的对于 Win 系统的设备账号认证、日志、协议、补 丁升级、文件系统管理等方面的安全配置要求，共 26 项。对系统的安全配置审计、 加固操作起到指导性作用。 1 1 1 1 账号管理、认证授权账号管理、认证授权账号管理、认证授权账号管理、认证授权 1.11.11.1 账号账号账号账号 1.1.11.1.11.1.

5、11.1.1 SHG-Windows-01-01-01SHG-Windows-01-01-01SHG-Windows-01-01-01SHG-Windows-01-01-01 编号 SHG-Windows-01-01-01 名称按照用户类型分配账号 实施目的 根据系统的要求，设定不同的账户和账户组，管理员用户， 数据库用户，审计用户，来宾用户等。 问题影响账号混淆，权限不明确，存在用户越权使用的可能。 系统当前状态 进入“控制面板-管理工具-计算机管理” ，在“系统工具- 本地用户和组”：记录当前用户状态 实施步骤 参考配置操作：参考配置操作： 进入“控制面板-管理工具-计算机管理” ，在“系

6、统工具- 本地用户和组” 。 结合要求和实际业务情况判断符合要求，根据系统的要求， 设定不同的账户和账户组，管理员用户，数据库用户，审 计用户，来宾用户。 回退方案 删除新增加的用户，还原用户权限到初始设置。部分操作 可能无法回退。 判断依据 进入“控制面板-管理工具-计算机管理” ，在“系统工具- 本地用户和组”： 查看账户和账户组，管理员用户，数据库用户，审计用户， 来宾用户等。 根据系统的要求和实际业务情况判断是否符合要求。 实施风险高 重要等级 备注 1.1.21.1.21.1.21.1.2 SHG-Windows-01-01-02SHG-Windows-01-01-02SHG-Win

7、dows-01-01-02SHG-Windows-01-01-02 编号 SHG-Windows-01-01-02 名称系统无效帐户清理 实施目的 删除或锁定与设备运行、维护等与工作无关的账号，提高 系统帐户安全。 问题影响 如果不清理无效帐户，则系统将面临默认账号被非法利用 的风险 系统当前状态 进入“控制面板-管理工具-计算机管理” ，在“系统工具- 本地用户和组”：记录当前用户状态，备份系统 SAM 文 件。 实施步骤 参考配置操作：参考配置操作： 进入“控制面板-管理工具-计算机管理” ，在“系统工具- 本地用户和组” 。 删除或锁定与设备运行、维护等与工作无关的账号。 回退方案 增加

8、被删除的用户，激活被锁定的用户，还原用户权限到 初始设置。部分操作可能无法回退。 判断依据 进入“控制面板-管理工具-计算机管理” ，在“系统工具- 本地用户和组”： 查看是否删除或锁定与设备运行、维护等与工作无关的账 号。 根据系统的要求和实际业务情况判断是否符合要求 实施风险高 重要等级 备注 1.1.31.1.31.1.31.1.3 SHG-Windows-01-01-03SHG-Windows-01-01-03SHG-Windows-01-01-03SHG-Windows-01-01-03 编号 SHG-Windows-01-01-03 名称重命名 Administrator，禁用 G

9、UEST 实施目的 对于管理员帐号，要求更改缺省帐户名称；禁用 guest（来 宾）帐号。提高系统安全性。 问题影响管理员帐号容易被猜解；Guest 账号容易被非法利用 系统当前状态 进入“控制面板-管理工具-计算机管理” ，在“系统工具- 本地用户和组” 。记录当前用户状态 实施步骤 参考配置操作：参考配置操作： 进入“控制面板-管理工具-计算机管理” ，在“系统工具- 本地用户和组” 。 Administrator属性 更改名称 Guest帐号-属性 已停用 回退方案重命名用户名称，还原用户属性设置 判断依据 进入“控制面板-管理工具-计算机管理” ，在“系统工具- 本地用户和组”： 查看

10、管理员账号 Administrator 名称是否修改，Guest 账号 是否禁用。 实施风险低 重要等级 备注 1.21.21.2 口令口令口令口令 1.2.11.2.11.2.11.2.1 SHG-Windows-01-02-01SHG-Windows-01-02-01SHG-Windows-01-02-01SHG-Windows-01-02-01 1.2.11.2.11.2.11.2.1编号 1.2.11.2.11.2.11.2.1SHG-Windows-01-02-01 1.2.11.2.11.2.11.2.1名称1.2.11.2.11.2.11.2.1配置密码策略 1.2.11.2.1

11、1.2.11.2.1实施目的 1.2.11.2.11.2.11.2.1设置密码策略，减少密码安全风险；防止系统弱口 令的存在，减少安全隐患。对于采用静态口令认证技术的 设备，口令长度至少 6 位，且密码规则至少应采用字母 （大小写穿插）加数字加标点符号（包括通配符）的方式。 1.2.11.2.11.2.11.2.1问题影响1.2.11.2.11.2.11.2.1增加系统密码被暴力破解的成功率 1.2.11.2.11.2.11.2.1系统当前 状态 1.2.11.2.11.2.11.2.1进入“控制面板-管理工具-本地安全策略” ，在 “帐户策略-密码策略”：记录当前密码策略情况。 1.2.11

12、.2.11.2.11.2.1实施步骤 1.2.11.2.11.2.11.2.1参考配置操作：参考配置操作： 1.2.11.2.11.2.11.2.1进入“控制面板-管理工具-本地安全策略” ，在 “帐户策略-密码策略” 。 1.2.11.2.11.2.11.2.1“密码必须符合复杂性要求”选择“已启动”设置 如下策略 1.2.11.2.11.2.11.2.1 1.2.11.2.11.2.11.2.1策略策略 1.2.11.2.11.2.11.2.1默默 认设置认设置 1.2.11.2.11.2.11.2.1推推 荐最低设置荐最低设置 1.2.11.2.11.2.11.2.1强制执行密码历史记录

13、 1.2.11.2.11.2.11.2.1记 住 1 个密码 1.2.11.2.11.2.11.2.1记 住 5 个密码 1.2.11.2.11.2.11.2.1密码最长期限 1.2.11.2.11.2.11.2.142 天 1.2.11.2.11.2.11.2.190 天 1.2.11.2.11.2.11.2.1密码最短期限 1.2.11.2.11.2.11.2.10 天 1.2.11.2.11.2.11.2.12 天 1.2.11.2.11.2.11.2.1最短密码长度 1.2.11.2.11.2.11.2.10 个字符 1.2.11.2.11.2.11.2.18 个字符 1.2.11.2

14、.11.2.11.2.1密码必须符合复杂性要求 1.2.11.2.11.2.11.2.1禁 用 1.2.11.2.11.2.11.2.1启 用 1.2.11.2.11.2.11.2.1为域中所有用户使用可还原的加密 来储存密码 1.2.11.2.11.2.11.2.1禁 用 1.2.11.2.11.2.11.2.1禁 用 1.2.11.2.11.2.11.2.1 1.2.11.2.11.2.11.2.1回退方案1.2.11.2.11.2.11.2.1还原密码策略到加固之前配置 1.2.11.2.11.2.11.2.1判断依据 1.2.11.2.11.2.11.2.1进入“控制面板-管理工具-本

15、地安全策略” ，在 “帐户策略-密码策略”： 1.2.11.2.11.2.11.2.1查看“密码必须符合复杂性要求” 是否选择“已 启动” 。 1.2.11.2.11.2.11.2.1实施风险1.2.11.2.11.2.11.2.1低 1.2.11.2.11.2.11.2.1重要等级 1.2.11.2.11.2.11.2.1 1.2.11.2.11.2.11.2.1备注 1.2.11.2.11.2.11.2.1 1.2.11.2.11.2.11.2.1 SHG-Windows-01-02-01SHG-Windows-01-02-01SHG-Windows-01-02-01SHG-Windows

16、-01-02-01 编号SHG-Windows-01-02-01 名称配置密码策略 实施目的设置密码策略，减少密码安全风险；防止系统弱口令的存 在，减少安全隐患。对于采用静态口令认证技术的设备， 口令长度至少 6 位，且密码规则至少应采用字母（大小写 穿插）加数字加标点符号（包括通配符）的方式。 问题影响增加系统密码被暴力破解的成功率 系统当前状态 进入“控制面板-管理工具-本地安全策略” ，在“帐户策 略-密码策略”：记录当前密码策略情况。 实施步骤 参考配置操作：参考配置操作： 进入“控制面板-管理工具-本地安全策略” ，在“帐户策 略-密码策略” 。 “密码必须符合复杂性要求”选择“已启

17、动”设置如下策 略 策略策略默认设置默认设置推荐最低设置推荐最低设置 强制执行密码历史记录记住 1 个密码 记住 5 个密码 密码最长期限42 天90 天 密码最短期限0 天2 天 最短密码长度0 个字符8 个字符 密码必须符合复杂性要求禁用启用 为域中所有用户使用可还原的加密来储存密 码 禁用禁用 回退方案还原密码策略到加固之前配置 判断依据 进入“控制面板-管理工具-本地安全策略” ，在“帐户策 略-密码策略”： 查看“密码必须符合复杂性要求” 是否选择“已启动” 。 实施风险低 重要等级 备注 1.2.21.2.21.2.21.2.2 1.2.21.2.21.2.21.2.2 SHG-W

18、indows-01-02-02SHG-Windows-01-02-02SHG-Windows-01-02-02SHG-Windows-01-02-02 编号SHG-Windows-01-02-02 名称配置账户锁定策略 实施目的 设置有效的账户锁定策略有助于防止攻击者猜出系统账户 的密码。 问题影响增加系统密码被暴力破解的成功率 系统当前状态 进入“控制面板-管理工具-本地安全策略” ，在“帐户策 略-账户锁定策略”：记录当前账户锁定策略情况。 实施步骤 参考配置操作：参考配置操作： 进入“控制面板-管理工具-本地安全策略” ，在“帐户策 略-账户锁定策略” 。 设置如下策略： 策略策略默认设

19、置默认设置推荐最低设置推荐最低设置 账户锁定时间未定义30 分钟 账户锁定阈值06 次无效登录 复位账户锁定计数器未定义30 分钟 回退方案还原账户锁定策略到加固之前配置 判断依据 进入“控制面板-管理工具-本地安全策略” ，在“帐户策 略-账户锁定策略”： 查看安全策略是否设置为已启动和按要求配置。 实施风险低 重要等级 备注 1.31.31.3 授权授权授权授权 1.3.11.3.11.3.11.3.1 SHG-Windows-01-03-01SHG-Windows-01-03-01SHG-Windows-01-03-01SHG-Windows-01-03-01 编号SHG-Windows

20、-01-03-01 名称远端系统强制关机设置 实施目的 防止远程用户非法关机，在本地安全设置中从远端系统强 制关机只指派给 Administrators 组 问题影响增加系统被管理员以外的用户非法关闭的风险 系统当前状态 进入“控制面板-管理工具-本地安全策略” ，在“本地策 略-用户权利指派”:查看并记录“从远端系统强制关机” 的当前设置。 实施步骤 参考配置操作：参考配置操作： 进入“控制面板-管理工具-本地安全策略” ，在“本地策 略-用户权利指派” 。 “从远端系统强制关机”设置为“只指派给 Administrators 组” 。 回退方案 还原“从远端系统强制关机”的设置到加固之前配

21、置。 判断依据 进入“控制面板-管理工具-本地安全策略” ，在“本地策 略-用户权利指派”: 查看“从远端系统强制关机”是否设置为“只指派给 Administrators 组” 。 实施风险低 重要等级 备注 1.3.21.3.21.3.21.3.2 SHG-Windows-01-03-02SHG-Windows-01-03-02SHG-Windows-01-03-02SHG-Windows-01-03-02 编号 SHG-Windows-01-03-02 名称关闭系统设置 实施目的 防止管理员以外的用户非法关机，在本地安全设置中关闭 系统仅指派给 Administrators 组 问题影响增

22、加系统被管理员以外的用户非法关闭的风险 系统当前状态 进入“控制面板-管理工具-本地安全策略” ，在“本地策 略-用户权利指派”:查看并记录“关闭系统”的当前设置。 实施步骤 参考配置操作：参考配置操作： 进入“控制面板-管理工具-本地安全策略” ，在“本地策 略-用户权利指派” 。 “关闭系统”设置为“只指派给 Administrators 组” 。 回退方案 还原“关闭系统”的设置到加固之前配置 判断依据 进入“控制面板-管理工具-本地安全策略” ，在“本地策 略-用户权利指派”: 查看“关闭系统”是否设置为“只指派给 Administrators 组” 。 实施风险低 重要等级 备注 1

23、.3.31.3.31.3.31.3.3 SHG-Windows-01-03-03SHG-Windows-01-03-03SHG-Windows-01-03-03SHG-Windows-01-03-03 编号 SHG-Windows-01-03-03 名称“取得文件或其它对象的所有权”设置 实施目的 防止用户非法获取文件，在本地安全设置中取得文件或其 它对象的所有权仅指派给 Administrators 问题影响增加系统除管理员以外的用户非法获取文件的风险 系统当前状态 进入“控制面板-管理工具-本地安全策略” ，在“本地策 略-用户权利指派”:查看并记录“取得文件或其它对象的 所有权”的当前设

24、置。 实施步骤 参考配置操作：参考配置操作： 进入“控制面板-管理工具-本地安全策略” ，在“本地策 略-用户权利指派” 。 “取得文件或其它对象的所有权”设置为“只指派给 Administrators 组” 。 回退方案 还原“取得文件或其它对象的所有权”的设置到加固之前 配置 判断依据 进入“控制面板-管理工具-本地安全策略” ，在“本地策 略-用户权利指派”： 查看是否“取得文件或其它对象的所有权”设置为“只指 派给 Administrators 组” 。 实施风险低 重要等级 备注 1.3.41.3.41.3.41.3.4 SHG-Windows-01-03-0SHG-Windows-

25、01-03-0SHG-Windows-01-03-0SHG-Windows-01-03-04 4 4 4 编号 SHG-Windows-01-03-04 名称“从本地登陆此计算机”设置 实施目的 防止用户非法登录主机，在本地安全设置中配置指定授权 用户允许本地登陆此计算机 问题影响 增加物理临近攻击和本地物理攻击以及非授权用户非法登 陆主机的风险 系统当前状态 进入“控制面板-管理工具-本地安全策略” ，在“本地策 略-用户权利指派”:查看并记录“从本地登陆此计算机” 的当前设置。 实施步骤 参考配置操作：参考配置操作： 进入“控制面板-管理工具-本地安全策略” ，在“本地策 略-用户权利指派

26、” “从本地登陆此计算机”设置为“指定授权用户” 回退方案 还原“从本地登陆此计算机”的设置到加固之前配置 判断依据 进入“控制面板-管理工具-本地安全策略” ，在“本地策 略-用户权利指派”： 查看是否“从本地登陆此计算机”设置为“指定授权用户” 。 实施风险低 重要等级 备注 1.3.51.3.51.3.51.3.5 SHG-Windows-01-03-0SHG-Windows-01-03-0SHG-Windows-01-03-0SHG-Windows-01-03-05 5 5 5 编号 SHG-Windows-01-03-05 名称“从网络访问此计算机”设置 实施目的 防止网络用户非法访

27、问主机，在组策略中只允许授权帐号 从网络访问(包括网络共享等，但不包括终端服务)此计算 机。 问题影响增加非授权用户非法访问主机的风险 系统当前状态 进入“控制面板-管理工具-本地安全策略” ，在“本地策 略-用户权利指派”:查看并记录“从网络访问此计算机” 的当前设置。 实施步骤 1、参考配置操作、参考配置操作 进入“控制面板-管理工具-本地安全策略” ，在“本地策 略-用户权利指派” “从网络访问此计算机”设置为“指定授权用户” 回退方案 还原“从网络访问此计算机”的设置到加固之前配置 判断依据 进入“控制面板-管理工具-本地安全策略” ，在“本地策 略-用户权利指派”： 查看是否“从网络

28、访问此计算机”设置为“指定授权用户” 。 实施风险低 重要等级 备注 2 2 2 2 日志配置日志配置日志配置日志配置 2.1.12.1.12.1.12.1.1 SHG-Windows-02-01-01SHG-Windows-02-01-01SHG-Windows-02-01-01SHG-Windows-02-01-01 编号 SHG-Windows-02-01-01 名称审核策略设置 实施目的 设置审核策略，记录系统重要的事件日志，设备应配置日 志功能，对用户登录进行记录，记录内容包括用户登录使 用的账号，登录是否成功，登录时间，以及远程登录时， 用户使用的 IP 地址 问题影响 无法对用户

29、的登陆以及登陆后对系统的操作过程、特权使 用等进行日志记录 系统当前状态 进入“控制面板-管理工具-本地安全策略” ，查看并记录 “审核策略”的当前设置。 实施步骤 参考配置操作：参考配置操作： 开始-运行- 执行“控制面板-管理工具-本地安全策略- 审核策略” 审核登录事件，双击，设置为成功和失败都审核。 “审核策略更改”设置为“成功”和“失败”都要审核 “审核对象访问”设置为“成功”和“失败”都要审核 “审核目录服务器访问”设置为“成功”和“失败”都要 审核 “审核特权使用”设置为“成功”和“失败”都要审核 “审核系统事件”设置为“成功”和“失败”都要审核 “审核账户管理”设置为“成功”和

30、“失败”都要审核 “审核过程追踪”设置为“失败”需要审核 回退方案 还原“审核策略”的设置到加固之前配置 判断依据 开始-运行- 执行“控制面板-管理工具-本地安全策略- 审核策略”： 查看是否设置为成功和失败都审核。 实施风险低 重要等级 备注 2.1.22.1.22.1.22.1.2 SHG-Windows-02-01-02SHG-Windows-02-01-02SHG-Windows-02-01-02SHG-Windows-02-01-02 编号 SHG-Windows-02-01-02 名称日志记录策略设置 实施目的 优化系统日志记录，防止日志溢出。设置应用日志文件大 小至少为 819

31、2KB，设置当达到最大的日志尺寸时，按需要 改写事件 问题影响 如果日志的大小超过系统默认设置，则无法正常记录超过 最大记录值后的所有系统日志、应用日志、安全日志等 系统当前状态 进入“控制面板-管理工具-事件查看器” ，查看并记录 “应用日志” 、 “系统日志” 、 “安全日志”的当前设置 实施步骤 1、参考配置操作、参考配置操作 进入“控制面板-管理工具-事件查看器” ，在“事件查看 器（本地） ”中： “应用日志”属性中的日志大小设置不小于“8192KB” ,设 置当达到最大的日志尺寸时， “按需要改写事件” “系统日志”属性中的日志大小设置不小于“8192KB” ,设 置当达到最大的日

32、志尺寸时， “按需要改写事件” “安全日志”属性中的日志大小设置不小于“8192KB” ,设 置当达到最大的日志尺寸时， “按需要改写事件” 回退方案 还原“应用日志” 、 “系统日志” 、 “安全日志”的设置到加 固之前配置 判断依据 进入“控制面板-管理工具-事件查看器” ，在“事件查看 器（本地） ”中： 查看各项日志属性中日志大小是否设置为不小于 “8192KB” ,是否设置当达到最大的日志尺寸时， “按需要 改写事件” 。 实施风险低 重要等级 备注 3 3 3 3 通信协议通信协议通信协议通信协议 3.13.13.1 IPIPIP 协议安全协议安全协议安全协议安全 3.1.13.1

33、.13.1.13.1.1 SHG-Windows-03-01-01SHG-Windows-03-01-01SHG-Windows-03-01-01SHG-Windows-03-01-01 编号 SHG-Windows-03-01-01 名称启用 TCP/IP 筛选 实施目的 过滤不必要的端口，提高系统安全性，对没有自带防火墙 的 Windows 系统，启用 Windows 系统的 IP 安全机制 (IPSec)或网络连接上的 TCP/IP 筛选，只开放业务所需要的 TCP，UDP 端口和 IP 协议 问题影响 如不有效过滤系统中存在的不必要的端口以及默认的端口 会增加潜在被攻击和非法利用的安全

34、风险 系统当前状态 进入“控制面板网络连接本地连接” ，进入 “Internet 协议（TCP/IP）属性高级 TCP/IP 设置” ，在 “选项”的属性中查看“网络连接上的 TCP/IP 筛选”的状 态，并记录 实施步骤 参考配置操作：参考配置操作： 系统管理员出示业务所需端口列表。 根据列表只开放系统与业务所需端口。 进入“控制面板网络连接本地连接” ，进入 “Internet 协议（TCP/IP）属性高级 TCP/IP 设置” ，在 “选项”的属性中启用网络连接上的 TCP/IP 筛选，只开放 业务所需要的 TCP，UDP 端口和 IP 协议。 回退方案 还原高级 TCP/IP 的设置到

35、加固之前配置 判断依据系统管理员出示业务所需端口列表。 根据列表只开放系统与业务所需端口。 进入“控制面板网络连接本地连接” ，进入 “Internet 协议（TCP/IP）属性高级 TCP/IP 设置” ，在 “选项”的属性中启用网络连接上的 TCP/IP 筛选，查看是 否只开放业务所需要的 TCP，UDP 端口和 IP 协议。 利用 Netstat an 命令查看当前系统开放端口是否与系统 管理员所出示的业务所需端口列表相对应；如发现存在与 业务和应用无关的端口，则查明后在 TPC/IP 筛选配置中将 其过滤掉。 实施风险高 重要等级 备注 3.1.23.1.23.1.23.1.2 SHG

36、-Windows-03-01-02SHG-Windows-03-01-02SHG-Windows-03-01-02SHG-Windows-03-01-02 编号 SHG-Windows-03-01-01 名称开启系统防火墙 实施目的 启用 Windows XP 和 Windows 2003 自带防火墙，过滤不必 要的端口，提高系统安全性。根据业务需要限定允许访问 网络的应用程序和允许远程登陆该设备的 IP 地址范围。 问题影响 没有访问控制，系统可能被非法登陆或使用，从而增加潜 在被攻击的安全风险 系统当前状态 进入“控制面板网络连接本地连接” ，在高级选项的 属性中查看 Windows 防火

37、墙的状态，并记录详细情况。 实施步骤 参考配置操作：参考配置操作： 系统管理员出示业务所需端口列表。 根据列表只开放系统与业务所需端口。 进入“控制面板网络连接本地连接” ，在高级选项的 设置中：启用 Windows 防火墙。 在“例外”中配置允许业务所需的程序接入网络。 在“例外-编辑-更改范围”编辑允许接入的网络地址范围。 回退方案 还原高级系统防火墙设置到加固之前配置。 判断依据 进入“控制面板网络连接本地连接” ，在高级选项的 设置中，查看是否启用 Windows 防火墙。 查看是否在“例外”中配置允许业务所需的程序接入网络。 查看是否在“例外-编辑-更改范围”编辑允许接入的网络 地址

38、范围。 实施风险高 重要等级 备注 3.1.33.1.33.1.33.1.3 SHG-Windows-03-01-03SHG-Windows-03-01-03SHG-Windows-03-01-03SHG-Windows-03-01-03 编号 SHG-Windows-03-01-03 名称启用 SYN 攻击保护 实施目的启用 SYN 攻击保护，提高系统安全性；指定触发 SYN 洪水攻击 保护所必须超过的 TCP 连接请求数阀值为 5；指定处于 SYN_RCVD 状态的 TCP 连接数的阈值为 500；指定处于至少 已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值 为 400

39、。 问题影响 如不启用 SYN 攻击保护，系统则容易被 SYN 拒绝服务攻击后导致 迅速当机。 系统当前状态 在“开始-运行-键入 regedit” 查看并记录注册表 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices、 SynAttackProtect 的值并记录。 查看并记录注册表 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。 TcpMaxPortsExhausted TcpMaxHalfOpen TcpMaxHalfOpenRetried 的值并记录 实施步骤 参考配置操作：参考

40、配置操作： 在“开始-运行-键入 regedit” 启用 SYN 攻击保护的命名值位于注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。值名称：SynAttackProtect。推荐值：2。 以下部分中的所有项和值均位于注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。 指定必须在触发 SYN flood 保护之前超过的 TCP 连接请求阈值。 值名称：TcpMaxPortsExhausted。推荐值：5。 启用 SynAttackProtect 后，该值指定 S

41、YN_RCVD 状态中的 TCP 连接阈值，超过 SynAttackProtect 时，触发 SYN flood 保 护。值名称：TcpMaxHalfOpen。推荐值数据：500。 启用 SynAttackProtect 后，指定至少发送了一次重传的 SYN_RCVD 状态中的 TCP 连接阈值。超过 SynAttackProtect 时，触发 SYN flood 保护。值名称：TcpMaxHalfOpenRetried。 推荐值数据：400。 回退方案 还原注册表设置到加固之前配置 判断依据 在开始-运行里输入 regedit，进入注册表中打开相应的注册项， 查看键值是否已启用和配置，各注册

42、表键值是否均按要求设置。 实施风险高 重要等级 备注 4 4 4 4 设备其他安全要求设备其他安全要求设备其他安全要求设备其他安全要求 4.14.14.1 屏幕保护屏幕保护屏幕保护屏幕保护 4.1.14.1.14.1.14.1.1 SHG-Windows-04-01-01SHG-Windows-04-01-01SHG-Windows-04-01-01SHG-Windows-04-01-01 编号 SHG-Windows-04-01-01 名称启用屏幕保护程序 实施目的 启用屏幕保护程序，防止管理员忘记锁定机器被非法攻击； 设置带密码的屏幕保护，并将时间设定为 5 分钟 问题影响 如未启动屏幕保

43、护并采用密码恢复，一旦管理员操作系统 后忘记锁定主机，则容易被非法攻击，以及增加本地物理 临近攻击的风险。 系统当前状态 进入“控制面板显示屏幕保护程序”： 查看是否启用屏幕保护程序 并记录当前的设置 实施步骤 参考配置操作：参考配置操作： 进入“控制面板显示屏幕保护程序”： 启用屏幕保护程序，设置等待时间为“5 分钟” ，启用“在 恢复时使用密码保护” 。 回退方案 还原屏幕保护程序设置到加固之前配置。 判断依据 进入“控制面板显示屏幕保护程序”： 查看是否启用屏幕保护程序，设置等待时间为“5 分钟” ， 启用“在恢复时使用密码保护” 。 在系统桌面上点击鼠标右键，打开属性，查看屏幕保护程

44、序选项是否已启动和配置。 实施风险低 重要等级 备注 4.1.24.1.24.1.24.1.2 SHG-Windows-04-01-02SHG-Windows-04-01-02SHG-Windows-04-01-02SHG-Windows-04-01-02 4.1.24.1.24.1.24.1.2编号 4.1.24.1.24.1.24.1.2SHG-Windows-04-01-02 4.1.24.1.24.1.24.1.2名称4.1.24.1.24.1.24.1.2设置 Microsoft 网络服务器挂起时间 4.1.24.1.24.1.24.1.2实施目的 4.1.24.1.24.1.24.

45、1.2设置 Microsoft 网络服务器挂起时间，防止管理员 忘记锁定机器被非法利用；对于远程登陆的帐号，设置不 活动断连时间 15 分钟 4.1.24.1.24.1.24.1.2问题影响4.1.24.1.24.1.24.1.2管理员忘记锁定而被非法利用 4.1.24.1.24.1.24.1.2系统当前 状态 4.1.24.1.24.1.24.1.2进入“控制面板-管理工具-本地安全策略” ，在 “本地策略-安全选项”： 4.1.24.1.24.1.24.1.2查看是否“Microsoft 网络服务器”设置为“在挂 起会话之前所需的空闲时间”为 15 分钟。 4.1.24.1.24.1.24

46、.1.2实施步骤 4.1.24.1.24.1.24.1.2参考配置操作：参考配置操作： 4.1.24.1.24.1.24.1.2进入“控制面板-管理工具-本地安全策略” ，在 “本地策略-安全选项”： 4.1.24.1.24.1.24.1.2“Microsoft 网络服务器”设置为“在挂起会话之 前所需的空闲时间”为 15 分钟。 4.1.24.1.24.1.24.1.2回退方案 4.1.24.1.24.1.24.1.2还原“挂起会话之前所需的空闲时间”设置到加固 之前配置 4.1.24.1.24.1.24.1.2判断依据 4.1.24.1.24.1.24.1.2进入“控制面板-管理工具-本地

47、安全策略” ，在 “本地策略-安全选项”： 4.1.24.1.24.1.24.1.2查看是否“Microsoft 网络服务器”设置为“在挂 起会话之前所需的空闲时间”为 15 分钟。 4.1.24.1.24.1.24.1.2实施风险4.1.24.1.24.1.24.1.2低 4.1.24.1.24.1.24.1.2重要等级 4.1.24.1.24.1.24.1.2 4.1.24.1.24.1.24.1.2备注 4.1.24.1.24.1.24.1.2 4.1.24.1.24.1.24.1.2 SHG-Windows-04-01-02SHG-Windows-04-01-02SHG-Windows

48、-04-01-02SHG-Windows-04-01-02 编号 SHG-Windows-04-01-02 名称设置 Microsoft 网络服务器挂起时间 实施目的 设置 Microsoft 网络服务器挂起时间，防止管理员忘记锁 定机器被非法利用；对于远程登陆的帐号，设置不活动断 连时间 15 分钟 问题影响管理员忘记锁定而被非法利用 系统当前状态 进入“控制面板-管理工具-本地安全策略” ，在“本地策 略-安全选项”： 查看是否“Microsoft 网络服务器”设置为“在挂起会话之 前所需的空闲时间”为 15 分钟。 实施步骤 参考配置操作：参考配置操作： 进入“控制面板-管理工具-本地安全策略” ，在“本地策 略-安全选项”： “Microsoft 网络服务器”设置为“在挂起会话之前所需的 空闲时间”为 15 分钟。 回退方案 还原“挂起会话之前所需的空闲时间”设置到加固之前配 置 判断依据 进入“控制面板-管理工具-本地安全策略” ，在“本地策 略-安全选项”： 查看是否“Microsoft 网络服务器”设置为“在挂起会话之 前所需的空闲时间”为 15 分钟。 实施风险低 重要等级 备注 4.24.24.2 共享文件夹及访问权限共享文件夹及访问权限共享文件夹及访问权限共享文件夹及访问权限 4.2.14.2.