windows操作系统安全加固指引

1、windows操作系统安全加固指南*有限公司*年*月版本历史版本作者参与者起止日期描述V1.0许剑雄1:概述(1)服务器操作系统建议windows2008 R2 sp1及以上版本。(2)服务器禁止安装无关软件。(3)服务器防火墙禁止关闭。(4)服务器必须安装杀毒软件。2：检查项详情帐号管理2.1.0密码长度最小值名称口令重复使用次数限制判定依据检测方法进入“控制面板- 管理工具- 本地安全策略”，在“帐户策略密码策略”：查看是否“密码 长度最小值”设置为“10个字符”。加固方案参考配置操作进入“控制面板- 管理工具- 本地安全策略”，在“帐户策略密码策略”：“密码长度最小 值”设置为“10个字

2、符”。启用审核对象访问的审核名称启用审核对象访问的审核判定依据检测方法进入“控制面板- 管理工具- 本地安全策略”，在“本地策略审核策略”中：查看是否“审 核对象访问”设置为“成功”和“失败”都要审核。判定依据审核对象访问设置为“成功”和“失败”都要审核则合规，否则不合规。加固方案参考配置操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中：“审核对象 访问”设置为“成功”和“失败”都要审核。除了过程追踪失败都是成功失败口令重复使用次数限制名称口令重复使用次数限制判定依据检测方法进入“控制面板- 管理工具- 本地安全策略”，在“帐户策略密码策略”：查看是否“强制 密码历史”

3、设置为“记住5个密码”。判定依据强制密码历史=5则合规，否则不合规。加固方案参考配置操作进入“控制面板- 管理工具- 本地安全策略”，在“帐户策略- 密码策略”：“强制密码历史” 设置为“记住5个密码”。共享文件夹权限设置名称共享文件夹权限设置判定依据检测方法进入“控制面板- 管理工具- 计算机管理”，进入“系统工具一 共享文件夹”：查看每个共 享文件夹的共享权限，是否设置成为everyone。判定依据共享文件夹权限设置成为everyone则不合规，否则合规。加固方案参考配置操作进入“控制面板- 管理工具- 计算机管理”，进入“系统工具一 共享文件夹”：查看每个共 享文件夹的共享权限，只将权限

4、授权于指定账户。禁用guest用户名称禁用guest用户判定依据检测方法进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”，查看guest账 号状态。判定依据guest账号被禁用则合规，否则不合规。加固方案参考配置操作进入控制面板-管理工具-计算机管理，在“系统工具-本地用户和组”：找到guest用户将 guest用户禁用。口令生存周期要求名称口令生存周期要求判定依据检测方法进入“控制面板- 管理工具- 本地安全策略”，在“帐户策略密码策略”：查看是否“密码 最长存留期”设置为“不长于90天”。判定依据密码最长存留期 管理工具- 本地安全策略”，在“帐户策略密码策略”：“密码

5、最长存留 期”设置为“不长于90天”。管理缺省账号更改缺省帐户名称名称管理缺省账号更改缺省帐户名称判定依据检测方法进入“控制面板- 管理工具- 计算机管理”，在“系统工具- 本地用户和组”：缺省帐户一 属性一 查看是否更改名称。判定依据administrators组账号中不存在名称为administrator的账号则合规，否则不合规。加固方案参考配置操作进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组-用户”：Administrator 属性一 更改名称。口令锁定策略名称口令锁定策略判定依据检测方法进入“控制面板- 管理工具- 本地安全策略”，在“帐户策略帐户锁定策略”：查看

6、“账户锁定阀值”配置。判定依据账户锁定阀值=5且=1则合规，否则不合规。加固方案参考配置操作进入“控制面板- 管理工具- 本地安全策略”，在“帐户策略帐户锁定策略”：“账户锁定 阀值”设置为5次。口令策略设置符合复杂度要求名称口令策略设置符合复杂度要求判定依据检测方法进入“控制面板- 管理工具- 本地安全策略”，在“帐户策略密码策略”：查看是否“密码 必须符合复杂性要求”选择“已启动”。判定依据密码必须符合复杂度要求状态为启动则合规，否则不合规。加固方案参考配置操作进入“控制面板- 管理工具- 本地安全策略”，在“帐户策略密码策略”：“密码必须符合 复杂性要求”选择“已启动”。设置屏幕锁定名称

7、设置屏幕锁定判定依据检测方法进入“控制面板一 显示一 屏幕保护程序”：查看是否启用屏幕保护程序，且在恢复时是否 使用密码保护。判定依据启用了屏幕保护程序且在屏幕恢复时使用了密码保护功能则合规，否则不合规。加固方案参考配置操作进入“控制面板一显示一屏幕保护程序”：启用屏幕保护程序设置等待时间为“5分钟”， 启用“在恢复时使用密码保护”。帐户锁定时间名称帐户锁定时间判定依据检测方法进入“控制面板”-“管理工具”本地安全策略-帐号策略”-“帐号锁定策略”，查看 “帐号锁定时间”是否修改为30分钟。判定依据帐号锁定时间大于等于30则合规，否则不合规。加固方案参考配置操作“控制面板”-“管理工具”本地安

8、全策略-帐号策略”-“帐号锁定策略”，修改“帐 号锁定时间”为30分钟。复位帐户锁定计数器名称复位帐户锁定计数器判定依据检测方法“控制面板”-“管理工具”-“本地安全策略-帐号策略”-“帐号锁定策略”，查看是否 修改“复位帐户锁定计数器”是否修改为3分钟。判定依据复位帐户锁定计数器设置为=3分钟时合规，否则不合规。加固方案参考配置操作“控制面板”-“管理工具”-本地安全策略-帐号策略”-“帐号锁定策略”，修改“复 位帐户锁定计数器”为3分钟。禁止 RoutingAndRemoteAccess名称禁止 RoutingAndRemoteAccess判定依据检测方法进入“控制面板”-“管理工具”-“

9、服务”，找到Routing and Remote Access服务项，查看 其状态。判定依据Routing and Remote Access服务处于禁止状态则合规，否则不合规。加固方案参考配置操作“控制面板”-“管理工具”-“服务”，找到Routing and Remote Access服务项，将其启动 类型设置为已禁用，并停止该服务。管理账号共享名称管理账号共享判定依据检测方法执行以下命令查看系统中存活的账号：#wmic useraccount where (Disabled=FALSE and LocalAccount=TRUE) get name | find /v /i name判定

10、依据系统中有存活的账号则合规，否则不合规。加固方案参考配置操作打开命令提示符，运行命令compmgmt.msc”打开计算机管理面板，浏览到路径“计算机管 理(本地)系统工具本地用户和组用户”，新建一个用户并启用它。口令策略关键权限指派安全要求取得文件或其他对象的所有权名称关键权限指派安全要求取得文件或其他对象的所有权判定依据检测方法进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”：查看是否“取 得文件或其它对象的所有权”设置为“只指派给Administrators组”。判定依据“取得文件或其它对象的所有权”设置为“只指派给Administrators组”。加固方案参考配置

11、操作进入“控制面板- 管理工具- 本地安全策略”，在“本地策略用户权利指派”：“取得文件 或其它对象的所有权”设置为“只指派给Administrators组”。关键权限指派安全要求关闭系统名称关键权限指派安全要求关闭系统判定依据检测方法进入“控制面板- 管理工具- 本地安全策略”，在“本地策略- 用户权利指派”：查看“关闭 系统”设置为“只指派给Administrators组”。判定依据“关闭系统”设置为“只指派给Administrators组”则合规，否则不合规。加固方案参考配置操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”：“关闭系统” 设置为“只指派给Admi

12、nistrators组”。记录帐户登录日志名称记录帐户登录日志判定依据检测方法点击开始-运行- 执行控制面板-管理工具-本地安全策略-审核策略”审核登录事件， 双击，查看是否设置为成功和失败都审核。判定依据审核登录事件设置为成功和失败都审核则合规，否则不合规。加固方案参考配置操作开始-运行- 执行控制面板-管理工具-本地安全策略-审核策略”审核登录事件，双击， 设置为成功和失败都审核。启用审核帐户管理的审核名称启用审核帐户管理的审核判定依据检测方法进入“控制面板- 管理工具- 本地安全策略”，在“本地策略审核策略”中：查看是否“审 核账户管理”设置为“成功”和“失败”都要审核。判定依据审核账户

13、管理设置为“成功”和“失败”都要审核则合规，否则不合规。加固方案参考配置操作进入“控制面板- 管理工具- 本地安全策略”，在“本地策略审核策略”中：“审核账户管理”设置为“成功”和“失败”都要审核。启用审核过程追踪的审核名称启用审核过程追踪的审核判定依据检测方法进入“控制面板- 管理工具- 本地安全策略”，在“本地策略审核策略”中：查看是否“审 核过程追踪”设置为“失败”需要审核。判定依据审核过程追踪设置为失败需要审核则合规，否则不合规。加固方案参考配置操作进入“控制面板- 管理工具- 本地安全策略”，在“本地策略审核策略”中：“审核过程追 踪”设置为“失败”需要审核。启用审核系统事件的审核名

14、称启用审核系统事件的审核判定依据检测方法进入“控制面板- 管理工具- 本地安全策略”，在“本地策略审核策略”中：查看是否“审 核系统事件”设置为“成功”和“失败”都要审核。判定依据审核系统事件设置为成功和失败都要审核则合规，否则不合规。加固方案参考配置操作进入“控制面板- 管理工具- 本地安全策略”，在“本地策略审核策略”中：“审核系统事 件”设置为“成功”和“失败”都要审核。启用审核目录服务访问的审核名称启用审核目录服务访问的审核判定依据检测方法进入“控制面板- 管理工具- 本地安全策略”，在“本地策略审核策略”中：查看是否“审 核目录服务器访问”设置为“成功”和“失败”都要审核。判定依据审

15、核目录服务器访问设置为成功和失败都要审核则合规，否则不合规。加固方案参考配置操作进入“控制面板- 管理工具- 本地安全策略”，在“本地策略审核策略”中：“审核目录服 务器访问”设置为“成功”和“失败”都要审核。已更改启用审核特权使用的审核名称启用审核特权使用的审核判定依据检测方法进入“控制面板- 管理工具- 本地安全策略”，在“本地策略审核策略”中：查看是否“审 核特权使用”设置为“成功”和“失败”都要审核。判定依据审核特权使用设置为成功和失败都要审核则合规，否则不合规。加固方案参考配置操作进入“控制面板- 管理工具- 本地安全策略”，在“本地策略审核策略”中：“审核特权使 用”设置为“成功”

16、和“失败”都要审核。关键权限指派安全要求从远程系统强制关机名称关键权限指派安全要求从远程系统强制关机判定依据检测方法进入“控制面板- 管理工具- 本地安全策略”，在“本地策略用户权利指派”：查看是否“从 远端系统强制关机”设置为“只指派给Administrators组”。判定依据从远端系统强制关机权限值分配给administrators组账号。加固方案参考配置操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”：“从远端系 统强制关机”设置为“只指派给Administrators组”。关键权限指派安全要求从网络访问此计算机名称关键权限指派安全要求从网络访问此计算机判定依据

17、检测方法进入“控制面板- 管理工具- 本地安全策略”，在“本地策略用户权利指派”查看是否“从 网络访问此计算机”设置为“administrators组”。判定依据从网络访问此计算机的权限只指派给administrators账户组。加固方案参考配置操作进入“控制面板- 管理工具- 本地安全策略”，在“本地策略用户权利指派”“从网络访问 此计算机”只设置为“administrators组”。关键权限指派安全要求允许本地登录名称关键权限指派安全要求允许本地登录判定依据检测方法进入“控制面板- 管理工具- 本地安全策略”，在“本地策略用户权利指派”查看是否“从 本地登陆此计算机”设置为administ

18、rators”。判定依据将本地登录此计算机的权限只指派给administrators账户组则合规，否则不合规。加固方案参考配置操作进入“控制面板- 管理工具- 本地安全策略”，在“本地策略用户权利指派”“从本地登陆 此计算机”设置为只有“administrators”。不允许匿名枚取SAM帐号与共享名称不允许匿名枚取SAM帐号与共享判定依据检测方法进入“控制面板”-“管理工具”-本地安全策略-帐号策略”-“安全选项”，查看“不 允许匿名枚取SAM帐号与共享状态。判定依据状态为启用则合规，否则不合规。加固方案参考配置操作“控制面板”-“管理工具”-本地安全策略-帐号策略”-“安全选项”，修改“不

19、允许 匿名枚取SAM帐号与共享”为启用。不允许匿名枚取SAM帐号名称不允许匿名枚取SAM帐号判定依据检测方法进入“控制面板”-“管理工具”-本地安全策略-帐号策略”-“安全选项”，查看“不 允许匿名枚取SAM帐号”的状态。判定依据其状态为启用则合规，否则不合规。加固方案参考配置操作“控制面板”-“管理工具”-本地安全策略-帐号策略”-“安全选项”，修改“不允许 匿名枚取SAM帐号”为启用。匿名远程连接名称匿名远程连接判定依 据检测方法进入“控制面板- 管理工具- 本地安全策略”，在“本地策略安全选项”，在右边窗格中找到：“网络访问：可匿名访问的共享网络访问：查看可匿名访问的命名管道查看其配置判

20、定依据上述两个检查条目配置均为空则合规，否则不合规。加固方 案参考配置操作“控制面板- 管理工具- 本地安全策略”，在“本地策略- 安全选项”，在右边窗格中找到“网络 访问：可匿名访问的共享“、”网络访问：可匿名访问的命名管道”将其值设置为空。禁用可远程访问的注册表路径和子路径名称禁用可远程访问的注册表路径和子路径判定依 据检测方法进入“控制面板- 管理工具- 本地安全策略”，在“本地策略安全选项”，查看以下两处配置：网络访问:可远程访问的注册表路径网络访问:可远程访问的注册表路径和子路径#windowsxp没有此项，不需要检查。判定依据以上两处配置均为空则合规，否则不合规。加固方 案参考配置

21、操作1、“控制面板-管理工具-本地安全策略”，在“本地策略-安全选项”，在右边窗格中找到“网 络访问：可远程访问的注册表路径和子路径”，修改其配置为空。2、“控制面板-管理工具-本地安全策略”，在“本地策略-安全选项”，在右边窗格中找到“网 络访问：可远程访问的注册表路径，修改其配置为空。禁止用户开机自动登陆名称禁止用户开机自动登陆判定依据检测方法执行以下命令查看AutoAdminLogon的值：#regqueryHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon /v AutoAdminLogon|find A

22、utoAdminLogon判定依据AutoAdminLogon的值为0合规，否则不合规。加固方案参考配置操作1、开始-运行-键入regedit2、修订注册表项：进入 HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinlogon， 新 建一个 名称为 AutoAdminLogon，类型为REG_DWORD，值为0的键值。如果存在AutoAdminLogon则直接 将键值改为0认证授权日志文件大小设置名称日志文件大小设置判定依据检测方法进入“控制面板- 管理工具- 事件查看器”，在“事件查看器（本地）”中：查看应用日志、 系统日志、安全日志的大小。判定依

23、据查看应用日志、系统日志、安全日志的大小，且当日志文件达到最大大小时的动作的序号均 为“按需要改写事件”时合规，否则不合规。加固方案参考配置操作1、进入“控制面板- 管理工具- 事件查看器”，在“事件查看器（本地）”中：“应用日志” 属性中的日志大小设置不小于“8192KB”，设置当达到最大的日志尺寸时，“按需要改写事件”。2、“系统日志”属性中的日志大小设置不小于“8192KB”，设置当达到最大的日志尺寸时， “按需要改写事件”。3、“安全日志”属性中的日志大小设置不小于“8192KB”，设置当达到最大的日志尺寸时， “按需要改写事件”。启用审核策略更改的审核名称启用审核策略更改的审核判定依

24、据检测方法进入“控制面板- 管理工具- 本地安全策略”，在“本地策略审核策略”中查看是否“审核 策略更改”设置为“成功”和“失败”都要审核。判定依据审核策略更改设置为成功和失败都审核则合规，都则不合规。加固方案参考配置操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中“审核策略更改” 设置为“成功”和“失败”都要审核。防火墙配置名称防火墙配置判定依据检测方法1、进入“控制面板一网络连接一本地连接，在高级选项的设置中，查看是否启用Windows 防火墙。2、查看是否在“例外”中配置允许业务所需的程序接入网络。3、查看是否在“例外- 编辑- 更改范围”编辑允许接入的网络地址范

25、围。判定依据防火墙操作模式和例外模式状态为启用，且防火墙服务(Windows Firewall)处于启用状态则合 规，否则不合规。135 137 138 139 455端口要关闭 有共享不关445加固方案参考配置操作进入“控制面板一网络连接一本地连接，在高级选项的设置中启用Windows防火墙，在 “例外”中配置允许业务所需的程序接入网络。在“例外-编辑-更改范围”编辑允许接入 的网络地址范围。135 137 138 139 455端口要关闭 有共享不关445审核帐户登录事件名称审核帐户登录事件判定依据检测方法进入“控制面板”-“管理工具”本地安全策略”-审核策略策略”，查看“审核帐户登录事件

26、”是否修改为成功与失败。判定依据审核账户登录事件选择成功与失败都审核则合规，否则不合规。加固方案参考配置操作“控制面板”-“管理工具”本地安全策略”-审核策略策略”，修改“审核帐户登录事 件”为成功与失败。系统服务TCPIP筛选配置（win2008及以上系统无需设置）名称TCPIP筛选配置判定依据检测方法进入“控制面板一 网络连接一 本地连接”，进入“1田6m1协议（TCP/IP）属性一 高级TCP/IP 设置”，在“选项”的属性中查看是否启用网络连接上的TCP/IP筛选。判定依据启用网络连接上的TCP/IP筛选则合规，否则不合规。加固方案参考配置操作进入“控制面板一 网络连接一 本地连接，进

27、入“Intemet协议（TCP/IP）属性一 高级TCP/IP 设置”，在“选项”的属性中启用网络连接上演CP/IP筛选，只开放业务所需要的TCP, UDP 端口和IP协议。启用SYN攻击保护名称启用SYN攻击保护判定依据检测方法执行以下命令regqueryHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters”|findstr/ISynAttackProtect TcpMaxPortsExhausted TcpMaxHalfOpen TcpMaxHalfOpenRetried查看参数 SynAttackProtect、

28、TcpMaxPortsExhausted、TcpMaxHalfOpen、TcpMaxHalfOpenRetried 的值。判定依据SynAttackProtect 的值为 1 或 2、TcpMaxPortsExhausted值为 5、TcpMaxHalfOpen 的值为 500、 TcpMaxHalfOpenRetried的值为400则合规，否则不合规。加固方案参考配置操作1、在“开始- 运行- 键入regedit ”启用SYN攻击保护的命名值位于注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 之下添加

29、以下几 个键值：值名称:SynAttackProtect.推荐值:1.类型为:DWORD值（REG_DWORD）。（注意：标准值为16进 制表示）的数值，若已存在则修改其数据。此数据的有效值为0-2）。值名称:TcpMaxPortsExhausted推荐值:5.类型为:DWORD值（REG_DWORD）。（注意：标准值为16 进制表示）的数值，若已存在则修改其数据。此数据的有效值为在0-ffff（16进制）。值名称:TcpMaxHalfOpen推荐值数据:500.类型为:DWORD值（REG_DWORD）。（注意：标准值为16进制表示）的数值，若已存在则修改其数据。此数据的有效值为在64-ff

30、ff（16进制）。值名称:TcpMaxHalfOpenRetried推荐值数据:400 类型为:DWORD 值（REG_DWORD）。（注意：标 准值为16进制表示）的数值，若已存在则修改其数据。此数据的有效值为在50-ffff（16进制）。2.4.3SNMP安全设置名称SNMP安全设置判定依据检测方法打开“控制面板”，打开“管理工具”中的“服务”，找到“ SNMP Service，单击右键打 开“属性”面板中的“安全”选项卡，在这个配置界面中，查看community strings，也就是 微软所说的“团体名称”。判定依据community strings不为public则合规，否则不合规。

31、加固方案参考配置操作打开“控制面板”，打开“管理工具”中的“服务”，找到“ SNMP Service，单击右键打 开“属性”面板中的“安全”选项卡，在这个配置界面中，可以修改community strings，也 就是微软所说的“团体名称”。2.4.4ICMP重定向名称ICMP重定向判定依据检测方法执行以下命令，查看EnableICMPRedirect的值#REG QUERY HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters/vEnableICMPRedirect判定依据EnableICMPRedirect的值为0

32、 x0则合规，否则不合规。加固方案参考配置操作浏览注册表，HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 将 EnableICMPRedirect值设为0。若该值不存在，添加名称为“EnableICMPRedirect、类型为 DWORD、数据为标准值的数值。此数据的有效值为0-1。已更改防止源路由欺骗攻击名称防止源路由欺骗攻击判定依据检测方法执行以下命令，查看参数DisableIPSourceRouting的值：#reg query HKEY_LOCAL_MACHINESystemCurrentControlS

33、etServicesTcpipParameters /v DisableIPSourceRouting|find DisableIPSourceRouting判定依据DisableIPSourceRouting的值为2则合规，否则不合规。加固方案参考配置操作打开命令提示符，运行命令 regedit ”打开注册表编辑器，浏览到路径 “HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters”,添加名称为 “DisableIPSourceRouting、类型为DWORD、数据为标准值的数值2,若已存在则修改其数据。说明：此数据

34、的有效值为0-2,其中0表示转发所有数据包，1表示不转发源路由的数据包，2表示 丢弃所有传入源路由的数据包。文件权限修改默认远程登录端口名称修改默认远程登录端口判定依据检测方法执行以下命令查看PortNumber的值：#regqueryHKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWinStationsRDP-Tcp” /v PortNumber判定依据PortNumber的值不为0 xd3d则合规，否则合规。加固方案参考配置操作1、在终端服务器上做如下修改：(1)、 浏览如下注册表路径 HKEY _ LOCAL M

35、ACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp下都有一个 PortNumber值，通常为3389,将其修改为自己的值，如9833(可自己指定端口，但最好不要 设为低端端口，以免冲突)；(2)、重新启动服务器。关闭默认共享名称关闭默认共享判定依据检测方法使用以下命令查看AutoShareServer和AutoShareWKS键值的值：#regqueryHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters”|finds

36、tr /I AutoShareServer#regqueryHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters|findstr /I AutoShareWKS 判定依据AutoShareServer 和 AutoShareWKS 的值均为 0 x0。加固方案参考配置操作1、加固之前将系统默认共享删除进入控制面板-管理工具-计算机管理-系统工具-共享文件夹-共享，将描述为“默认共享”的共享 名删除掉。2、修改注册表进入“开始 运行一Regedit ”，进入注册表编辑器，更改注册表键值：在 HKEY_LOC

37、AL_MACHINESystemCurrentControlSet ServicesLanmanServerParameters下，增加口 REG_DWORD 类型的 AutoShareServer 键，值为 0.REG_DWORD 类型的 AutoShareWKS 键，值为 0。启用并正确配置Windows网络时间同步服务(NTP)名称启用并正确配置Windows网络时间同步服务(NTP)判定依据检测方法1、执行以下命令查看w32tm状态：#wmic service where name=w32time“ get state | find /i /v state2、执行以下命令获取W32Ti

38、me服务的启动类型：#wmic service where name=w32time get startmode | find /i /v startmode3、执行以下命令获取时间服务器地址：#reg query HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesw32timeParameters /v NtpServer | echo NtpServer notfound not config判定依据1、w32tm服务启用2、w32tm启动类型为自动3、配置了时间服务器三者均满足则合规，否则不合规。加固方案参考配置操作1、打开命令提示符，运行

39、命令 services.msc”打开服务面板，在右边窗格中找到名称为 “Windows Time ”的服务，点击右键，“启动”此服务，并且设置其启动方式为自动。2、打开命令提示符，运行命令timedate.cpl”打开“时间和日期属性”对话框，切换到“Internet 时间”选项卡，勾选“与Internet时间服务器同步”，配置服务器地址为标准值之一。已更改安装系统补丁 ServicePack名称安装系统补丁 Service Pack判定依据检测方法控制面板- 添加或删除程序- 显示更新打钩，查看系统是否已安装最新补丁。判定依据WindowsXP 最新补丁包为 SP3， Windows2003

40、 和 Windows2003R2 最新补丁包为 SP2， WindowsVista 和 Windows2008 为 SP2，Windows7和 Windows2008R2 为 SP1，如果不满足则 不合规，满足则合规。加固方案参考配置操作从微软官方下载最新补丁包安装，或开启自动更新安装最新补丁包。说明：WindowsXP 最新补丁包为 SP3， Windows2003 和 Windows2003R2 最新补丁包为 SP2，WindowsVista 和 Windows2008 为 SP2，Windows7和 Windows2008R2 为 SP1。设置登录超时名称设置登录超时判定依据检测方法进入

41、“控制面板-管理工具-本地安全策略”，在“本地策略-安全选项”：查看是否“Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟。判定依据挂起会话之前所需的空闲时间等于15分钟则合规，否则不合规。加固方案参考配置操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-安全选项”：“Microsoft网 络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟。关闭Windows自动播放功能名称关闭Windows自动播放功能判定依据检测方法执行以下命令查看参数NoDriveTypeAutoRun的值：#reg query HKLMSoftwareMicrosoftW

42、indowsCurrentVersionPoliciesExplorer | find NoDriveTypeAutoRun判定依据NoDriveTypeAutoRun的值为0 xff则合规，否则不合规。加固方案参考配置操作1、点击开始一运行一输入gpedit.msc,打开组策略编辑器，浏览到计算机配置一管理模板一 系统，在右边窗格中双击“关闭自动播放”，对话框中选择所有驱动器，确定即可。2、针对WIN7系统，应该在管理模板Windows组件自动播放策略关闭自动播放，这里 进行加固。DEP安全配置名称DEP安全配置判定依据检测方法进入“控制面板一系统”，在“高级”选项卡的“性能”下的“设置”。

43、进入“数据执行 保护”选项卡。查看是否设置为“仅为基本Windows操作系统程序和服务启用DEP”。 判定依据配置为仅为基本Windows操作系统程序和服务启用DEP则合规，否则不合规。加固方案参考配置操作1、进入“控制面板一 系统”，在“高级”选项卡的“性能”下的“设置”。进入“数据 执行保护”选项卡。设置为“仅为基本Windows操作系统程序和服务启用DEP”。2、更改配置后需要重启系统才能生效。安装防病毒软件名称安装防病毒软件判定依据检测方法控制面板- 添加或删除程序，是否安装有防病毒软件。判定依据被扫描设备如果安装了杀毒软件则合规，否则不合规。加固方案参考配置操作安装防病毒软件，并及时

44、更新。客户没提供杀毒软件的情况下安装360杀毒软件。禁止Alerter服务名称禁止Alerter服务判定依据检测方法进入“控制面板”-“管理工具”-“服务”，找到Alerter服务项，查看其状态。 判定依据Alerter服务处于禁止状态则合规，否则不合规。加固方案参考配置操作“控制面板”-“管理工具”-“服务”，找到Alerter服务项，将其启动类型设置为已禁用， 并停止该服务。禁用TELNET月艮务名称禁用TELNET服务判定依据检测方法进入“控制面板”-“管理工具”-“服务”，找到tlntsvr.exe服务项，查看其状态。判定依据tlntsvr.exe服务处于禁止状态则合规，否则不合规。加

45、固方案参考配置操作“控制面板”-“管理工具”-“服务”，找到tlntsvr.exe服务项，将其启动类型设置为已禁 用，并停止该服务。禁止 ComputerBrowser 月艮务名称禁止ComputerBrowser月艮务判定依据检测方法进入“控制面板”-“管理工具”-“服务”，找到Computer Browser服务项，查看其状态。判定依据Computer Browser服务处于禁止状态则合规，否则不合规。加固方案参考配置操作“控制面板”-“管理工具”-“服务”，找到Computer Browser服务项，将其启动类型设置 为已禁用，并停止该服务。禁止Messenger月艮务名称禁止Messe

46、nger服务判定依据检测方法进入“控制面板”-“管理工具”-“服务”，找到Messenger服务项，查看其状态。判定依据Messenger服务处于禁止状态则合规，否则不合规。加固方案参考配置操作“控制面板”-“管理工具”-“服务”，找到Messenger服务项，将其启动类型设置为已禁 用，并停止该服务。禁止 RemoteRegistry 月艮务名称禁止 RemoteRegistry 服务判定依据检测方法进入“控制面板”-“管理工具”-“服务”，找到Remote Registry服务项，查看其状态。判定依据Remote Registry服务处于禁止状态则合规，否则不合规。加固方案参考配置操作“控

47、制面板”-“管理工具”-“服务”，找到Remote Registry服务项，将其启动类型设置为 已禁用，并停止该服务。禁止 PrintSpooler 月艮务名称禁止PrintSpooler服务判定依据检测方法进入“控制面板”-“管理工具”-“服务”，找到Print Spooler服务项，查看其状态。判定依据Print Spooler服务处于禁止状态则合规，否则不合规。加固方案参考配置操作“控制面板”-“管理工具”-“服务”，找到Print Spooler服务项，将其启动类型设置为已 禁用，并停止该服务。禁止 AutomaticUpdates 服务名称禁止 AutomaticUpdates 月艮

48、务判定依据检测方法进入“控制面板”-“管理工具”-“服务”，找到Automatic Updates服务项，查看其状态。判定依据Automatic Updates服务处于禁止状态则合规，否则不合规。加固方案参考配置操作“控制面板”-“管理工具”-“服务”，找到Automatic Updates服务项，将其启动类型设置 为已禁用，并停止该服务。禁止 TerminalService 月艮务名称禁止 TerminalService 服务判定依据检测方法进入“控制面板”-“管理工具”-“服务”，找到Terminal Service服务项，查看其状态。判定依据Terminal Service服务处于禁止状

49、态则合规，否则不合规。加固方案参考配置操作“控制面板”-“管理工具”-“服务”，找到Terminal Service服务项，将其启动类型设置为 已禁用，并停止该服务。不显示上次的用户名名称不显示上次的用户名判定 依据检测方法进入“控制面板”-“管理工具”-“本地安全策略-安全选项”，查看“不显示最后的用户名”状态。判定依据状态为启用这合规，否则不合规。加固 方案参考配置操作“控制面板”-“管理工具”本地安全策略-安全选项”，修改“不显示最后的用户名”状态 为启用。禁止 WorldWideWebPublishing 服务名称禁止 WorldWideWebPublishing 月艮务判定依据检测方

50、法进入“控制面板”-“管理工具”-“服务”，找到World Wide Web Publishing Service服务项， 查看其状态。判定依据World Wide Web Publishing Service服务处于禁止状态则合规，否则不合规。加固方案参考配置操作“控制面板”-“管理工具”-“服务”，找到World Wide Web Publishing Service服务项，将 其启动类型设置为已禁用，并停止该服务。禁止 SimpleMailTrasferProtocol 月艮务名称禁止 SimpleMailTrasferProtocol 服务判定依据检测方法进入“控制面板”-“管理工具”

51、-“服务”，找到Simple Mail Transfer Protocol服务项，查看其状态。判定依据Simple Mail Transfer Protocol服务处于禁止状态则合规，否则不合规。加固方案参考配置操作“控制面板”-“管理工具”-“服务”，找到Simple Mail Transfer Protocol服务项，将其启 动类型设置为已禁用，并停止该服务。禁止 SNMPService 月艮务名称禁止SNMPService服务判定依据检测方法进入“控制面板”-“管理工具”-“服务”，找到SNMP Service服务项，查看其状态。判定依据SNMP Service服务处于禁止状态则合规，否

52、则不合规。加固方案参考配置操作“控制面板”-“管理工具”-“服务”，找到SNMP Service服务项，将其启动类型设置为已 禁用，并停止该服务。禁止 SNMPTrap 服务名称禁止SNMPTrap服务判定依据检测方法进入“控制面板”-“管理工具”-“服务”，找到SNMP Trap Service服务项，查看其状态。判定依据SNMP Trap Service服务处于禁止状态则合规，否则不合规。加固方案参考配置操作“控制面板”-“管理工具”-“服务”，找到SNMP Trap Service服务项，将其启动类型设置 为已禁用，并停止该服务。禁止蓝屏后自动启动机器名称禁止蓝屏后自动启动机器判定依据检测方法执行以下命令查看参数Aut