Windows操作系统安全防护指导手册

1、Windows 操作系统安全防护指导手册目录 HYPERLINK l _TOC_250014 前言1 HYPERLINK l _TOC_250013 配置管理2 HYPERLINK l _TOC_250012 用户策略2身份鉴别8补丁管理10主机配置13软件管理18 HYPERLINK l _TOC_250011 网络管理19 HYPERLINK l _TOC_250010 网络服务管理19 HYPERLINK l _TOC_250009 防火墙功能23 HYPERLINK l _TOC_250008 接入管理30 HYPERLINK l _TOC_250007 外设接口30 HYPERLIN

2、K l _TOC_250006 自动播放31 HYPERLINK l _TOC_250005 远程登录32外部连接管理37 HYPERLINK l _TOC_250004 日志与审计38 HYPERLINK l _TOC_250003 日志与审计38 HYPERLINK l _TOC_250002 恶意代码防范41 HYPERLINK l _TOC_250001 防病毒软件41 HYPERLINK l _TOC_250000 数据执行保护42 PAGE 9前言近年来国内外网络安全事件频发，其中 Windows 操作系统漏洞被攻击导致的网络安全事件造成了巨大的经济损失和社会影响。在电力监控系统领

3、域，国产安全操作系统已得到广泛应用，但也有部分主机仍在使用Windows 操作系统，如电厂监控系统、保信子站、故障录波、调度计划等服务器和工作站。早期投运的 Windows 操作系统版本低、缺乏安全措施，为防范外部对电力监控系统的恶意攻击行为及由此引发电力系统事故，结合电力监控系统安全现状，国调中心组织编制了Windows 操作系统安全防护指导手册（含 Windows 重大高危漏洞及防护方法、典型易传播病毒及处置措施） ，指导电力监控系统中Windows 主机的安全防护工作。本手册按照电力监控系统安全防护标准化管理要求 （调自2016102 号）的要求，结合 Windows 操作系统实际，从配

4、置管理、网络管理、接入管理、日志与审计和恶意代码防范五个方面，阐述了电力监控系统中Windows 主机加固的内容、步骤以及注意事项。本手册适用于Windows 2000 Professional、Windows XP、Windows Server 2003、Windows 7、Windows Server 2008（以下分别简称Win 2000、Win XP、Win 2003、Win 7、Win 2008）等Windows 操作系统。配置管理用户策略用户权限策略配置（适用于服务器或公用工作站）加固项目名称用户权限策略配置加固编号加固说明Windows-01-01-01按照仅授予管理用户最小权限

5、的原则设置安全管理员、审计管理员和系统管理 员，安全管理员隶属于 Backup Operators 和 Power Users 组，审计管理员隶属于 Event Log Readers 和 Performance Log User 组，系统管理员隶属于Network Configuration Operators 组，建立三权分立的安全策略。（适用于服务器或公用工作站）适用版本Win 2000、Win XP、Win 2003、Win7、Win 2008操作步骤按下按下+R，输入框输入winver，确认系统版本。+R，输入框输入compmgmt.msc，进入“计算机管理-本地用户和组-用户-新建

6、用户”，分别创建安全管理员（secadmin）、审计管理员（audadmin）和系统管理员（sysadmin）；安全管理员权限配置在 Win XP、Win 2003、Win 7 和Win 2008：选择用户“ secadmin”，右击“属性”，进入“隶属于-添加-选择组-高级-立即查找”，同时选择Backup Operators 和 Power Users 组，点击确定；在 Win 2000：选择用户“secadmin”，右击“属性”，进入“隶属于-添加-选择组”，同时选择 Backup Operators 和Power Users 组，点击确定；审计管理员权限配置在 Win 7 和 Win

7、2008：选择用户“ audadmin”，右击“属性”，进入“隶属于-添加-选择组-高级-立即查找”，同时选择 Event Log Readers和Performance Log User组，点击确定；在 Win 2000、Win XP 和Win 2003：审计管理员隶属于Users 组，进入“控制面板-管理工具-本地安全策略-本地策略-用户权利指派-管理审核和安全日志”,添加用户“audadmin”，点击确定；系统管理员权限配置在 Win 7 和 Win 2008：选择用户“sysadmin”，右击“属性”，进入“隶属于-添加-选择组-高级-立即查找”，选择 Network Configur

8、ation Operators 组，点击确定；进入“控制面板-管理工具-本地安全策略-本地策略-用户权限分配（ 用户权利指派）-取得文件或其他对象的所有权”，添加用户“sysadmin”，点击确定在 Win 2003 和Win XP：选择用户“sysadmin”，右击“属性”，进入“隶属于-添加”，选择 Network Configuration Operators 组，点击确定；进入“控制面板-管理工具-本地安全策略-本地策略-用户权限分配（ 用户权利指派）-取得文件或其他对象的所有权”，添加用户“sysadmin”，点击确定；在 Win 2000：选择用户“sysadmin”，右击“属性”

9、，进入“隶属于-添加”，选择 Administrators组，点击确定；Administrator 用户改名进入“控制面板-管理工具-本地安全策略-本地策略-安全选项”，双击“帐户：重命名系统管理员账号”，修改 Administrator 用户的名称。备注建议各管理员所具有的权限：安全管理员（secadmin）：备份或还原文件；审计管理员（audadmin）：管理系统的各种日志信息；系统管理员（sysadmin）：更改文件所有权/重新启动或关闭系统/设置主机名/配置网卡参数/IP 防火墙的管理/配置所有的对外服务。删除或禁用系统无关用户加固项目名称删除或禁用系统无关用户加固编号加固说明Wind

10、ows-01-01-02删除、禁用或锁定与设备运行、维护等工作无关的账户，避免无关账户被黑客利用。适用版本操作步骤Win 2000（部分适用）、Win XP、Win 2003、Win 7、Win 20081.按下+R，输入框输入compmgmt.msc；进入“计算机管理-系统工具-本地用户和组-用户”；查看窗口右侧的用户信息栏目，查找与设备运行、维护等工作无关的用户账户， 右击删除；右击Guest 用户，点击“属性”，勾选“帐户已禁用”，点击确定。禁用administrator 用户（Win 2000 不适用），右击 administrator 用户，点击“属性”，勾选“帐户已禁用”，点击确定

11、；若需要临时适用 administrator 用户， 可以通过以下步骤重新启用administrator 用户，重启主机，在进入 windows 界面之前，按 F5 键，进入安全模式界面（Win 2008需要在按下F5 之后，按下F8 进入“高级选项”，才能进入安全模式界面），使用上下键选择“带命令行启动安全模式”，输入回车；进入安全系统环境，按下Ctrl+Alt+Del 两次，进入登录界面，输入用户名为 administrator，密码为账户禁用前的密码；在命令行中输入，net user administrator /active，启用administrator；再输入shutdown -r

12、 -t 1 重启主机；正常启动系统，可以进入administrator。备注建议在进行加固之前，在测试环境中进行测试，确认取消 administrator 对系统应用的影响，避免由于此加固项导致系统应用异常。由于加固过程中部分操作需要 administrator 权限，建议在完成所有加固项之后，再进行此项加固中的第五步。开启屏幕保护程序加固项目名称屏幕保护程序时间设置加固编号Windows-01-01-03加固说明操作系统设置开启屏幕保护，并将时间设定为5 分钟，避免非法用户使用系统。适用版本Win 2000、Win XP、Win 2003、Win 7、Win 2008操作步骤进入屏幕保护程序

13、在 Win 7：进入“控制面板-显示-个性化-屏幕保护程序”；在 Win 2000、Win XP、Win 2003 和Win 2008：进入“控制面板-显示-屏幕保护程序（更改屏幕保护程序）”；选择屏幕保护程序界面，设置“等待”为5，点击确定；备注系统重要数据访问控制（适用于 SCADA 等关键服务器）加固项目名称系统重要数据访问控制加固编号Windows-01-01-04加固说明应启用访问控制功能，依据安全策略控制用户对资源的访问，防止系统重要数据泄露（适用于SCADA 等关键服务器）。适用版本Win 2000、Win XP、Win 2003、Win 7、Win 2008操作步骤1.修改文件

14、夹选项在 Win 2000、Win 2003、Win 7 和 Win 2008：默认不需要修改；在 Win XP：默认不开启文件夹安全选项，需要手工开启，进入“工具-文件夹选项-查看”，取消勾选“使用简单文件共享”选项，点击确定；确认系统中的重要数据或文件；进入到需要进行访问控制的文件或目录；配置权限在 Win 7 和 Win 2008：右击“文件”或“目录”，选择“属性-安全-编辑”， 对相应的用户（组）设置合理的权限；在 Win 2000、Win XP 和 Win 2003：右击“文件”或“目录”，选择“属性-安全-高级-编辑”，对相应的用户（组）设置合理的权限。备注根据系统确定重要数据范

15、围，建议加固前在模拟系统中先进行测试。身份鉴别用户口令复杂度策略加固项目名称用户账户复杂度策略加固编号Windows-01-02-01加固说明口令长度不小于 8 位，由字母、数字和特殊字符组成，不得与账户名相同，避免口令被暴力破解。适用版本Win 2000、Win XP、Win 2003、Win 7、Win 2008操作步骤进入“控制面板-管理工具-本地安全策略-帐户策略-密码策略”；双击“密码长度最小值”，设置“密码长度最小值”为 8 个字符，点击确定；双击“密码必须符合复杂性要求”，勾选已启用，点击确定。备注用户登录失败锁定加固项目名称用户登录失败锁定加固编号Windows-01-02-0

16、2加固说明配置当用户连续认证失败次数超过 5 次，锁定该用户使用的账户 10 分钟，避免账户被恶意用户暴力破解。适用版本Win 2000、Win XP、Win 2003、Win 7、Win 2008操作步骤进入“控制面板-管理工具-本地安全策略-账户策略-帐户锁定策略”；双击“帐户锁定阀值”设置，设置无效登录次数为5 次，点击确定；双击“帐户锁定时间”设置，设置锁定时间10 分钟，点击确定。备注用户口令周期策略加固项目名称用户口令周期策略加固编号Windows-01-02-03加固说明设置账户口令的生存期不长于 90 天，避免密码泄露。适用版本Win 2000、Win XP、Win 2003、

17、Win 7、Win 2008操作步骤进入“控制面板-管理工具-本地安全策略-帐户策略-密码策略”；双击“密码最长使用期限（密码最长存留期）”，设置“密码最长使用期限”为90 天，点击确定。备注 PAGE 10用户口令过期提醒加固项目名称用户口令过期提醒加固编号Windows-01-02-04加固说明密码到期前提示用户更改密码，避免用户因遗忘更换密码而导致账户失效。适用版本Win 2000、Win XP、Win 2003、Win 7、Win 2008操作步骤进入“控制面板-管理工具-本地安全策略-本地策略-安全选项”；双击“交互式登录：提示用户在过期之前更改密码”，设置为 10 天，点击确定。备

18、注“交互式登录：提示用户在过期之前更改密码”在Win XP 和Win 2003 中为“交互式登录:在密码到期前提示用户更改密码”，在 Win 2000 中为“在密码到期前提示用户更改密码”。系统不显示上次登录用户名加固项目名称系统不显示上次登录用户名加固编号Windows-01-02-05加固说明操作系统不显示上次用户名，避免用户名泄露。适用版本Win 2000、Win XP、Win 2003、Win 7、Win 2008操作步骤进入“控制面板-管理工具-本地安全策略-本地策略-安全选项”；双击“交互式登陆：不显示最后的用户名”，选择“已启用”，点击确定。备注“交互式登陆：不显示最后的用户名”

19、在Win XP 和Win 2003 中为“交互式登陆：不显示上次的用户名”，在 Win 2000 中为“登录屏幕上不要显示上次登录的用户名”。补丁管理补丁更新加固项目名称补丁更新加固编号Windows-01-03-011加固说明安装官方补丁，严禁安装第三方补丁，避免被黑客或恶意代码利用已知的安全漏洞进行攻击。适用版本操作步骤Win 2000、Win XP、Win 2003、Win 7、Win 2008打开命令控制台，输入systeminfo，查看主机现有的补丁编号；查看当前系统漏洞是否已安装补丁包；在微软官方网站下载对应补丁包（/zh-cn）；验证补丁包HASH 值，在官方网站搜索所需要安装补

20、丁包的更新说明； PAGE 19打开对应网页查看文件哈希信息；验证本地补丁包哈希值；验证哈希信息正确后，安装补丁包程序。备注1.附件 1Windows 重大高危漏洞与易传播病毒为目前梳理出的重要高危漏洞， 加固时必须安装对应补丁包。除附件 1 中已列漏洞外，加固时应结合微软最新漏洞补丁发布情况，针对其他可能导致系统远程命令执行的高危漏洞，补充安装对 应的补丁包。2.微软已停止对Win XP、Win 2000、Win 2003 的技术支持，建议尽快更换系统。主机配置禁止用户修改 IP加固项目名称禁止用户修改IP加固编号Windows-01-04-01加固说明规范主机网络配置管理，禁止用户任意更换

21、IP。适用版本Win 2000、Win XP、Win 2003、Win 7、Win 2008操作步骤1.按下+R，输入框输入gpedit.msc，打开“本地组策略编辑器”；进入“用户配置-管理模板-网络-网络连接”；双击“禁止访问LAN 连接组件的属性”，设置为已启用，点击确定；双击“禁止访问LAN 连接的属性”，设置为已启用，点击确定；双击“禁用TCP/IP 高级配置”，设置为已启用，点击确定。备注如果业务需要修改IP，可临时取消，修改完成后重新加固。禁止用户更改计算机名加固项目名称禁止用户更改计算机名加固编号Windows-01-04-02加固说明禁止用户更改计算机名。适用版本Win 20

22、00、Win XP、Win 2003、Win 7、Win 2008操作步骤1.按下+R，输入框输入gpedit.msc，打开“本地组策略编辑器”；进入“用户配置-管理模板-桌面”；双击“从计算机（我的电脑）图标上下文菜单中删除属性”，设置为“已启用”，点击确定。备注删除默认路由配置加固项目名称删除默认路由配置加固编号Windows-01-04-03加固说明主机禁止使用默认路由，避免利用默认路由探测网络。适用版本Win 2000、Win XP、Win 2003、Win 7、Win 2008操作步骤1.按下+R，输入框输入cmd；2.在命令提示符中输入“route print”，查看是否有缺省路由

23、；3.以管理员身份打开命令提示符，输入route delete ，删除默认路由。备注在删除默认路由之前，应对路由表进行梳理，并添加具体业务的路由策略。关闭默认共享加固项目名称关闭默认共享加固编号Windows-01-04-04适用版本Win 2000、Win XP、Win 2003、Win 7、Win 2008加固说明关闭 Windows 硬盘默认共享，防止黑客从默认共享进入计算机窃取资料。操作步骤1.进入“开始-控制面板-管理工具-计算机管理（本地）-共享文件夹-共享”；2.查看右侧窗口，选择对应的共享文件夹（例如C$，D$，ADMIN$，IPC$等），右击停止共享。备注开启用户账户控制设置

24、（UAC）加固项目名称操作系统用户账户控制设置（UAC）的配置加固编号Windows-01-04-05加固说明开启用户账户控制设置（UAC），设置为仅在程序尝试对计算机进行更改时通知用户。适用版本Win 7、Win 2008操作步骤1.进入“开始-控制面板-用户账户和家庭安全-用户账户”；2.更改“用户账户控制设置”，设置为“默认”，点击确定。备注禁止未登录前关机加固项目名称禁止未登录关机加固编号Windows-01-04-06加固说明设置 Windows 登录屏幕上不显示关闭计算机的选项，避免用户名暴露。适用版本Win 2000、Win XP、Win 2003、Win 7、Win 2008操

25、作步骤1.进入“控制面板-管理工具-本地安全策略-本地策略-安全选项”；2.双击“关机: 允许系统在未登录的情况下关闭”，设置属性为“已禁用”，点击确定。备注“关机: 允许系统在未登录的情况下关闭”在 Win 2003 中为“关机: 允许系统在未登录前关机”，在 Win XP 中为“关机: 允许在未登录前关机”，在 Win 2000中为“允许在未登录前关机”。关机时清除虚拟内存页面文件加固项目名称关机时清除虚拟内存页面文件加固编号Windows-01-04-07加固说明设置关机时清除虚拟内存页面文件，避免虚拟内存信息通过硬盘泄露。适用版本Win 2000、Win XP、Win 2003、Win

26、 7、Win 2008操作步骤进入“开始-控制面板-管理工具-本地安全策略”；进入“安全设置-本地策略-安全选项”；双击“关机: 清除虚拟内存页面文件”，属性设置为“已启用”，点击确定。备注禁止非管理员关机加固项目名称禁止非管理员关机加固编号Windows-01-04-08加固说明仅允许 Administrators 组进行远端系统强制关机和关闭系统，避免非法用户关闭系统。适用版本Win 2000、Win XP、Win 2003、Win 7、Win 2008操作步骤进入“开始-控制面板-管理工具-本地安全策略-本地策略-用户权限分配”；分别双击“关闭系统”和“从远程系统强制关机”选项，仅配置系

27、统管理员（sysadmin）用户。备注“从远程系统强制关机”在Win XP 和 Win 2000 中为“从远端系统强制关机”。软件管理卸载无关软件加固项目名称卸载无关软件加固编号Windows-01-05-01加固说明按照最小安装的原则，删除操作系统中与业务无关的软件。适用版本Win 2000、Win XP、Win 2003、Win 7、Win 2008操作步骤确认系统中必须安装的软件列表；删除与业务系统无关的软件在 Win 7 和 Win 2008：进入“开始-控制面板-程序与功能”，查找与系统业务无关的软件，选择需要卸载的软件，右键选择 “卸载/更改”按钮，卸载完成。在 Win 2000、

28、Win XP 和 Win 2003：进入“开始-控制面板-添加或删除程序”，查找与系统业务无关的软件，选择需要卸载的软件，右击选择“删除”按钮，卸载完成。备注禁止安装与工作无关或存在安全漏洞的软件，应按照如下原则安装软件：1. 工作站：仅安装系统客户端的基础运行环境和文档编辑（WPS），解压缩（WinRAR），SSH 客户端等应用软件；2.服务器：仅安装承载业务系统运行的基础软件环境。网络管理网络服务管理关闭不必要的服务加固项目名称关闭不必要的服务加固编号加固说明Windows-02-01-01应遵循最小安装的原则，仅安装和开启必需的服务，避免系统中存在不必要的服务。适用版本操作步骤Win 2

29、000、Win XP、Win 2003、Win 7、Win 2008 1.确认系统应用需要使用的服务；2.按下+R，输入框中输入services.msc 命令；双击需要关闭的服务，点击停止按钮以停止当前正在运行的服务；将启动类型设置为禁用，点击确定。备注在执行系统加固前确认系统应用无需使用该服务。建议关闭以下服务：ServerAlerter（Win 7、Win 2008 不适用） Clipbook （Win 7、Win 2008 不适用） PAGE 21Computer Browser DHCP ClientMessenger （Win 7、Win 2008 不适用）Remote Regist

30、ry Service（Win 7、Win 2008 不适用） Routing and Remote AccessSimple Mail Trasfer Protocol(SMTP) （Win2000 不适用）Simple Network Management Protocol(SNMP) Service （Win XP、Win 2000 不适用）Simple Network Management Protocol(SNMP) Trap （Win XP、Win 2000 不适用）TelnetWorld Wide Web Publishing Service （Win XP、Win 2000 不适

31、用） Print SpoolerTerminal Service （Win2000 不适用） Task Scheduler（可选）Messenger net send（Win XP、Win 2000 为 Messenger）remote Registry（Win XP、Win 2000 为 remote Registry service 不适用） SSDPDiscovery（Win2000 不适用）DNSClientWindows Remote Management（WS-Management)（可选，Win2000 不适用）关闭不必要的系统端口加固项目名称关闭不必要的系统端口加固编号Wind

32、ows-02-01-02加固说明遵循白名单的原则，仅开放系统应用所需的专用端口，避免系统中存在不必要的端口。适用版本Win 2000、Win XP、Win 2003、Win 7、Win 2008操作步骤1.核实本机应监听的端口列表；2.查看系统当前实际监听的端口列表在 Win 7、Win XP、Win 2003 和 Win 2008：在命令提示符中，输入netstat -ano命令，查看系统当前网络连接状况；在 Win 2000：在命令提示符中，输入netstat -an 命令，查看系统当前网络连接状况；打开任务管理器，根据PID 来查看端口对应的进程或服务；通过停止进程或禁用服务，关闭不必要

33、的端口；按照白名单原则，仅开放必须的端口；在 Win XP、Win7 、Win 2003 和Win 2008 中：使用防火墙实现白名单制度，操作步骤参照 2.2.2 配置访问控制规则。在 Win 2000 中：使用IP 安全策略实现白名单制度，操作步骤参照2.2.2 配置访问控制规则。备注1.以下端口禁止开放：TCP21，TCP23，TCP/UDP135，TCP/UDP137，TCP/UDP138，TCP/UDP139，TCP/UDP445。2.以下端口应限制访问IP：TCP3389。启用SYN 攻击保护加固项目名称启用 SYN 攻击保护加固编号Windows-02-01-03加固说明启用 S

34、YN 攻击保护，防御黑客SYN 攻击。适用版本Win 2000、Win XP、Win 2003、Win 7、Win 20082操作步骤1.按下+R，输入框中输入regedit 命令；查看注册表项，进入HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters；新建字符串值，重命名为SynAttackProtect，双击修改数值数据为 2；新建字符串值，重命名为TcpMaxportsExhausted，双击修改数值数据为 5；新建字符串值，重命名为TcpMaxHalfOpen，双击修改数值数据为 500；新建字符串值，重命名为

35、 TcpMaxHalfOpenRetried，双击修改数值数据为 400。备注指定触发SYN 洪水攻击保护所必须超过的TCP 连接请求数的阀值为 5；指定系统拒绝的连接请求数的阈值为500；3.指定TCP 的半连接数的阈值为 400。设置最小挂起时间（可选）加固项目名称设置最小挂起时间加固编号Windows-02-01-04加固说明在连接到本地计算机的用户超出其账户的有效登录时间时应断开与用户的连接，避免被黑客或恶意软件利用。适用版本Win 2000、Win XP、Win 2003、Win 7、Win 2008操作步骤1.进入“控制面板-管理工具-本地安全策略-本地策略-安全选项”；2.双击“

36、Microsoft 网络服务器: 登录时间过期后断开与客户端的连接”和“网 PAGE 29络安全：在超过登录时间后强制注销”，设置为已启用；3.双击“Microsoft 网络服务器: 暂停会话前所需的空闲时间量”，设置时间为15 分钟。备注1.15 分钟为参考值，应根据系统应用的实际情况进行配置；“Microsoft 网络服务器: 登录时间过期后断开与客户端的连接”在 Win XP 和 Win 2003 为“Microsoft 网络服务器: 登录时间用完后自动注销用户”，Win 2000 无该安全项；“网络安全: 在超过登录时间后强制注销”安全选项在Win XP 和 Win 2003 为“网络

37、安全: 在超过登录时间后强制注销”，Win 2000 无该安全项； 4.“Microsoft 网络服务器: 暂停会话前所需的空闲时间量”在 Win XP 和 Win2003 为“Microsoft 网络服务器: 挂起会话前所需的空闲时间量”，在 Win 2000为“在断开会话之前所需的空闲时间”。防火墙功能开启防火墙功能加固项目名称开启防火墙功能加固编号Windows-02-02-01加固说明打开系统自带防火墙，减小被网络攻击的风险。适用版本Win XP、Win 2003、Win 7、Win 2008操作步骤1.按下+R，输入框中输入Firewall.cpl；2.选择“打开或关闭Windows

38、 防火墙”，点击启用 Windows 防火墙。备注配置访问控制规则加固项目名称配置访问控制规则加固编号Windows-02-02-02适用版本Win 2000、Win XP、Win 2003、Win 7、Win 2008加固说明Win2000 使用 IP 安全策略实现访问控制，其他 Windows 系统使用防火墙实现访问控制，增加系统抵御网络攻击的能力。操作步骤1.在 Win 7 和 Win 2008：(1)按下+R，输入框中输入wf.msc，进入高级安全防火墙；(2)选择协议和端口；(3)选择需要进行的操作；(4)选择规则应用的范围；(5)命名规则，点击完成。2.在 Win 2003、Win

39、 XP：(1)按下+R，输入框中输入 Firewall.cpl，进入Windows 防火墙例外选项卡；选择协议和端口；选择需要进行的操作；Win XP 防火墙采用白名单制度，只需勾选系统必须的专用端口。3.在 Win 2000：（1）按下+R，输入框中输入gpedit.msc，打开本地组策略编辑器，进入“计算机配置-windows 设置-IP 安全策略，在本地机器上”；双击“IP 安全策略，在本地机器上”，右击打开“创建 IP 安全策略”，点击“下一步”；配置 IP 安全策略名称，取消勾选“激活默认响应规则” ，点击“下一步”；双击进入新建策略的属性，在“规则”选项中“添加”，取消勾选“使用添

40、加向导”，点击添加；（5）进入IP 筛选器属性，设置目标地址；（6）点击“筛选器操作-添加”, 选择安全方法为“许可”；(7)勾选上述新建的IP 筛选器和筛选器操作，点击确定； PAGE 32(8)所有许可策略添加完成后，添加一条拒绝所有连接的 IP 安全策略，符合白名单配置的要求。备注接入管理外设接口禁用大容量存储介质（USB 存储设备）加固项目名称禁用大容量存储介质（USB 存储设备）加固编号Windows-03-01-01加固说明禁用 USB 存储设备，防止利用USB 接口非法接入。适用版本Win 2000、Win XP、Win 2003、Win 7、Win 2008操作步骤1.按下+R

41、，在输入框输入regedit，打开注册表编辑器；2.进入HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR； 3.双击右侧注册表中的“Start”项，修改值为 4。备注自动播放关闭自动播放功能加固项目名称关闭自动播放功能加固编号加固说明Windows-03-02-01关闭移动存储介质或光驱的自动播放或自动打开功能，防止恶意程序通过 U 盘或光盘等移动存储介质感染主机系统。适用版本操作步骤Win 2000、Win XP、Win 2003、Win 7、Win 20081.按下+R，输入框中输入gpedit.msc，进入“本地组策略编辑器

42、”；配置关闭自动播放策略： 在 Win 7 和 Win 2008:进入“计算机配置-管理模板-Windows 组件-自动播放策略”；查看右侧小窗口，双击“关闭自动播放”，选择“已启用”；在“选项”中，选择“所有驱动器”，点击确定。在 Win 2000、Win XP 和Win 2003:进入“计算机配置-管理模板-系统”；查看右侧小窗口，双击“关闭自动播放”，选择“已启用”；（3）在“选项”中，选择“所有驱动器”，点击确定。备注远程登录关闭远程主机 RDP 服务加固项目名称关闭远程主机RDP 服务加固编号Windows-03-03-01加固说明处于网络边界的主机RDP 服务应处于关闭状态，有远程

43、登录需求时可由管理员临时开启，避免非法用户利用RDP 服务漏洞进行攻击。适用版本Win XP、Win 2003、Win 7、Win 2008操作步骤在 Win 7 和 Win 2008：（1）右击“计算机”，选择“属性”，点击左侧菜单栏中的“远程设置”；（2）选择“不允许连接到这台计算机”，取消勾选“允许远程协助连接到这台计算机”，点击确定。3在 Win XP 和 Win 2003：右击“我的电脑”，选择“属性”，点击“远程”选项卡；取消勾选“允许用户远程连接到这台计算机”和“允许这台计算机发送远程协助邀请”，点击确定。备注限制远程登录的 IP加固项目名称限制远程登录的IP加固编号Window

44、s-03-03-02 PAGE 39加固说明仅限于指定IP 地址范围主机远程登录，防止非法主机的远程访问。适用版本Win XP、Win 2003、Win 7、Win 2008操作步骤1.按下+R，输入框输入gpedit.msc，进入“本地组策略编辑器”；2.分别进入“计算机配置-管理模板-网络-网络连接-Windows 防火墙-域配置文件”和“标准配置文件”，执行 3、4 步操作； 3.双击“允许入站远程桌面例外”,选择“已启用”；4.填入允许远程登录到本机的主机IP 地址，并以逗号分隔，点击确定。备注限制远程登录协议加固项目名称限制远程登录协议加固编号Windows-03-03-03加固说明

45、系统远程登录仅允许使用 Windows 系统自带工具，严禁使用第三方远程登录软件。适用版本Win 2000、Win XP、Win 2003、Win 7、Win 2008操作步骤进入“开始-控制面板-程序与功能”（添加删除程序），查找是否有第三方远程登录软件（服务端）；卸载系统中的第三方远程登录软件。备注卸载 TeamViewer、PCAnywhere、向日葵等第三方远程登录软件。限制远程登录时间加固项目名称限制远程登录时间加固编号Windows-03-03-04加固说明设置远程桌面服务在某个活动或空闲会话超时后自动终止，防止被非法用户利用。适用版本Win XP、Win 2003、Win 7、W

46、in 2008操作步骤1.按下+R，在输入框输入gpedit.msc，进入“本地组策略编辑器”；2.开启并设置时间限制：在 Win 7 和 Win 2008:进入“计算机配置-管理模板-Windows 组件-远程桌面服务-远程桌面会话主机-会话时间限制”，双击“达到时间限制终止会话”，选择“已启用”，点击确定；双击“设置活动但空闲的远程桌面服务会话的时间限制”，选择“已启用”， 设置“活动会话限制”为 10 分钟，点击确定。在 Win XP 和 Win 2003:进入“计算机配置-管理模板-Windows 组件-终端服务-会话”，双击“ 到达时间限制时终止会话”，选择“已启用”，点击确定；双击

47、“为活动但空闲的终端服务会话设置时间限制”，选择“已启用”，设置“活动会话限制”为 10 分钟，点击确定。备注修改远程桌面默认服务端口（可选）加固项目名称修改远程桌面默认服务端口加固编号Windows-03-03-05加固说明如启用远程桌面服务，建议修改默认服务端口，防止非法用户利用默认端口访问。适用版本Win XP、Win 2003、Win 7、Win 2008操作步骤1.按下+R，在输入框中输入regedit 命令，打开注册表编辑器；进入HKLM/System/CurrentControlSet/Control/TerminalServer/WinStations/RDP- Tcp；双击“

48、PortNumber”子项，修改值为自定义端口（如 13889）,点击确定。备注限制匿名用户远程连接加固项目名称限制匿名用户远程连接加固编号Windows-03-03-06加固说明限制匿名用户连接权限，防止用户远程枚举本地账号。适用版本Win XP、Win 2003、Win 7、Win 2008操作步骤1.按下+R，在输入框输入gpedit.msc，进入“本地组策略编辑器”；进入“计算机配置-Window 设置-安全设置-本地策略-安全选项”；双击“网络访问：不允许SAM 帐号和共享的匿名枚举”，选择“已启用”，点击确定；双击“网络访问：不允许 SAM 帐户的匿名枚举”，选择“已启用”，点击确

49、定。备注主机间登录禁止使用公钥验证加固项目名称主机间登录禁止使用公钥验证加固编号Windows-03-03-07加固说明禁止凭据管理器保存通过域身份验证的密码和凭据，避免用户信息泄露。适用版本Win XP、Win 2003、Win 7、Win 2008操作步骤进入“控制面板-管理工具-本地安全策略-本地策略-安全选项”；双击“网络访问，不允许存储网络身份验证的密码和凭据”，选择“已启用”， 点击确定。备注“网络访问，不允许存储网络身份验证的密码和凭据”在Win XP 和 Win 2003 中为“网络访问: 不允许存储网络身份验证的凭据或.NET Passports”。外部连接管理禁止使用无线网

50、卡加固项目名称禁止使用无线网卡加固编号Windows-03-04-01加固说明禁用无线网卡，防止设备通过无线网络进行通信。适用版本Win 2000、Win XP、Win 2003、Win 7、Win 2008操作步骤1.核实是否存在无线网卡，若存在，请执行以下操作并拔出网卡设备；2.按下+R，在输入框输入devmgmt.msc，进入“设备管理器”；3.查找右侧“设备管理器”的窗口，选择网络适配器，找到无线网卡设备名称；4.右击该设备，选择“禁用”，点击“是”。备注日志与审计日志与审计配置日志策略加固项目名称配置日志策略加固编号Windows-04-01-01加固说明配置系统日志策略配置文件，对系统登录、访问等行为进行审计，为后续问题追溯提供依据。适用版本Win 2000、Win XP、Win 2003、Win7、Win 2