Windows XP安全配置基线检查指导文件

WindowsXP操作系统安全配置基线第2页共27页WindowsXP操作系统安全配置基线

目录第1章 概述 41.1 目的 41.2 适用范围 41.3 适用版本 41.4 安全基线说明 4第2章 帐户管理、认证授权 52.1 帐户管理及认证 52.1.1管理缺省帐户 52.1.2按照用户分配帐户 62.1.3删除与设备无关帐户 72.2 口令 72.2.1密码复杂度 72.2.2密码最长留存期 92.2.3帐户锁定策略 92.3 授权 102.3.1远程关机 102.3.2本地关机 112.3.3用户权利指派 122.3.4授权帐户登录 132.3.5授权帐户从网络访问 13第3章 日志配置操作 143.1 日志配置 143.1.1审核登录 143.1.2系统日志完备性检查 153.1.3日志文件大小 17第4章 剩余信息保护 184.1 剩余信息保护 184.1.1不显示上次登录用户名 184.1.2关机前清除虚拟内存页面 194.1.3不启用为域中所有用户使用可还原的加密来存储密码 20第5章 设备其他配置操作 215.1 共享文件夹及访问权限 215.1.1关闭默认共享 215.1.2共享文件夹授权访问 225.2 安全防护 235.2.1数据执行保护 235.2.2防病毒管理 245.3 服务安全 255.3.1系统必须服务列表管理 255.3.2系统启动项列表管理 255.3.3远程控制服务安全 265.3.4关闭Windows自动播放功能 275.3.5设置屏幕保护密码和开启时间 285.3.6限制远程登录空闲断开时间 295.4 补丁管理 295.4.1操作系统补丁管理 29概述目的本文档旨在指导进行WindowsXP操作系统的安全合规配置。适用范围本配置标准适用的范围包括：WindowsXP的办公电脑客户端。适用版本WindowsXP操作系统。 安全基线说明本安全基线标准主要包括账户管理及认证、口令要求、系统授权、日志配置、剩余信息保护、共享文件夹及访问权限、安全防护、服务安全和补丁管理等几个方面，基线内容包含28项安全基线。帐户管理、认证授权帐户管理及认证2.1.1管理缺省帐户安全基线项目名称操作系统缺省帐户安全基线要求项安全基线编号WindowsXP-01安全基线项说明对于管理员帐号，要求更改缺省帐户名称；禁用guest（来宾）帐号。检测操作步骤版本：WindowsXP按“+R打开运行框，在框内输入lusrmgr.msc”回车打开本地用户和组，点击用户：查看Administrator→属性和Guest帐号→属性基线符合性判定依据缺省帐户Administrator名称已更改。Guest帐号已停用。加固标准按“+R打开运行框，在框内输入lusrmgr.msc”回车打开本地用户和组，点击用户：找到管理员帐号administrator用户右键重命名；找到guest用户右键属性→帐户禁用。等级保护基本要求主机安全：1）身份鉴别（S3），b）应对登录操作系统和数据库系统的用户进行身份标识和鉴别；主机安全：2）访问控制（S3），d）应禁用或严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令。现状检查结果□符合□不符合整改结果备注重命名administrator帐户名可能会导致部分以administrator帐户启动的服务无法正常运行，导致相关的应用系统无法正常使用。2.1.2按照用户分配帐户安全基线项目名称操作系统用户帐户划分安全基线要求项安全基线编号WindowsXP-02安全基线项说明按照用户分配帐户。根据系统的要求，设定不同的帐户和帐户组，管理员用户，数据库用户，审计用户，来宾用户等。检测操作步骤版本：WindowsXP按“+R打开运行框，在框内输入lusrmgr.msc”回车打开本地用户和组：根据系统的要求，设定不同的帐户和帐户组，管理员用户，普通用户，审计用户，来宾用户。基线符合性判定依据结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的帐户和帐户组，管理员用户，普通用户，审计用户，来宾用户。加固标准打开本地用户和组，分别进入用户或组，右键新建用户或组。等级保护基本要求主机安全：1）身份鉴别（S3），a)应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性；主机安全：2）访问控制（S3），e)应及时删除多余的、过期的帐户，避免共享帐户的存在。现状检查结果□符合□不符合整改结果备注2.1.3删除与设备无关帐户安全基线项目名称操作系统与设备无关帐户安全基线要求项安全基线编号WindowsXP-03安全基线项说明删除或锁定与设备运行、维护等与工作无关的帐户检测操作步骤版本：WindowsXP按“+R打开运行框，在框内输入lusrmgr.msc”回车打开本地用户和组：根据系统的要求，删除或锁定与设备运行、维护等与工作无关的帐户。基线符合性判定依据结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的帐户。加固标准打开用户和组，删除系统中无用的用户和组。等级保护基本要求主机安全：1）身份鉴别（S3），a）应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。主机安全：2）访问控制（S3），e）应及时删除多余的、过期的帐户，避免共享帐户的存在。现状检查结果□符合□不符合整改结果备注口令2.2.1密码复杂度安全基线项目名称操作系统密码复杂度安全基线要求项安全基线编号WindowsXP-04安全基线项说明最短密码长度8个字符；启用本机组策略中密码必须符合复杂性要求的策略，即密码至少包含以下四种类别的字符中的二种：英语大写字母A,B,C,…Z英语小写字母a,b,c,…z西方阿拉伯数字0,1,2,…9非字母数字字符，如标点符号，@,#,$,%,&,*等检测操作步骤版本：WindowsXP按+R打开运行框，在框内输入secpol.msc，打开本地安全策略，在“帐户策略—>密码策略”：查看是否“密码必须符合复杂性要求”选择“已启动”。“密码长度最小值”设置为“8个字符”。基线符合性判定依据“密码最小长度”大于等于8“密码必须符合复杂性要求”选择“已启动”加固标准进入密码策略，“密码必须符合复杂性要求”右键属性启用；“密码最小长度”右键属性设置。等级保护基本要求主机安全：1）身份鉴别（S3），c)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，系统的静态口令应在7位以上并由字母、数字、符号等混合组成并每三个月更换口令；现状检查结果□符合□不符合整改结果备注2.2.2密码最长留存期安全基线项目名称操作系统密码历史安全基线要求项安全基线编号WindowsXP-05安全基线项说明对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天。检测操作步骤版本：WindowsXP按+R打开运行框，在框内输入secpol.msc，打开本地安全策略，在“帐户策略—>密码策略”：查看“密码最长使用期限”安全设置90天，“强制密码历史”安全设置为0个。基线符合性判定依据“密码最长存留期”设置不大于“90天”，强制密码历史策略配置为0个。加固标准进入密码策略，“密码最长使用期限和强制密码历史”右键属性设置。等级保护基本要求主机安全：1）身份鉴别（S3），c)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，系统的静态口令应在7位以上并由字母、数字、符号等混合组成并每三个月更换口令；现状检查结果□符合□不符合整改结果备注2.2.3帐户锁定策略安全基线项目名称操作系统帐户锁定策略安全基线要求项安全基线编号WindowsXP-06安全基线项说明对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数不超过10次，锁定该用户使用的帐户。检测操作步骤版本：WindowsXP按+R打开运行框，在框内输入secpol.msc，打开本地安全策略，在“帐户策略→帐户锁定策略”：查看“帐户锁定阀值”设置。若未设置，“帐户锁定阀值”→右键属性设置：基线符合性判定依据“帐户锁定阀值”设置为小于或等于10次加固标准进入帐户锁定策略，“账户锁定阀值”右键属性设置锁定时间。等级保护基本要求主机安全：1）身份鉴别（S3），d)应启用登录失败处理功能，可采取结束会话、限制登录间隔、限制非法登录次数和自动退出等措施；现状检查结果□符合□不符合整改结果备注授权2.3.1远程关机安全基线项目名称操作系统远程关机策略安全基线要求项安全基线编号WindowsXP-07安全基线项说明在本地安全设置中从远端系统强制关机只指派给Administrators组。检测操作步骤版本：WindowsXP按+R打开运行框，在框内输入secpol.msc，打开本地安全策略，本地策略→用户权利指派：查看“从远端系统强制关机”设置。基线符合性判定依据“从远端系统强制关机”设置为“只指派给Administrtors组”加固标准本地安全策略→本地策略→用户权利指派下，“从远端系统强制关机”右键属性添加或删除用户或组：等级保护基本要求主机安全：2）访问控制（S3），a）应启用访问控制功能，依据安全策略控制用户对资源的访问。现状检查结果□符合□不符合整改结果备注2.3.2本地关机安全基线项目名称操作系统本地关机策略安全基线要求项安全基线编号WindowsXP-08安全基线项说明在本地安全设置中关闭系统仅指派给Administrators组。检测操作步骤版本：WindowsXP按+R打开运行框，在框内输入secpol.msc，打开本地安全策略，本地策略→用户权利指派：查看“关闭系统”设置。基线符合性判定依据“关闭系统”设置为“只指派给Administrators组”加固标准本地安全策略→本地策略→用户权利指派下，“关闭系统”右键属性添加或删除用户和组：等级保护基本要求主机安全：2）访问控制（S3），a）应启用访问控制功能，依据安全策略控制用户对资源的访问。现状检查结果□符合□不符合整改结果备注2.3.3用户权利指派安全基线项目名称操作系统用户权力指派策略安全基线要求项安全基线编号WindowsXP-09安全基线项说明在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。检测操作步骤版本：WindowsXP按+R打开运行框，在框内输入secpol.msc，打开本地安全策略，本地策略→用户权利指派：查看“取得文件或其它对象的所有权”设置为只指派给“Administrators”组。基线符合性判定依据“取得文件或其它对象的所有权”设置为“只指派给Administrators组”加固标准本地安全策略→本地策略→用户权利指派下，“取得文件或其它对象的所有权”右键属性添加或删除用户或组。等级保护基本要求主机安全：2）访问控制（S3），a）应启用访问控制功能，依据安全策略控制用户对资源的访问。现状检查结果□符合□不符合整改结果备注2.3.4授权帐户登录安全基线项目名称操作系统用户授权登录安全基线要求项安全基线编号WindowsXP-10安全基线项说明在本地安全设置中配置指定授权用户和组允许本地登录此计算机。检测操作步骤版本：WindowsXP按+R打开运行框，在框内输入secpol.msc，打开本地安全策略，本地策略→用户权利指派：查看“在本地登录”设置。基线符合性判定依据应根据具体情况，设置“指定授权用户和组”加固标准本地安全策略→本地策略→用户权利指派下，“在本地登录”右键属性添加或删除指定授权用户和组：等级保护基本要求主机安全：2）访问控制（S3），a）应启用访问控制功能，依据安全策略控制用户对资源的访问。现状检查结果□符合□不符合整改结果备注2.3.5授权帐户从网络访问安全基线项目名称操作系统用户授权从网络访问安全基线要求项安全基线编号WindowsXP-11安全基线项说明在组策略中只允许授权帐号从网络访问(包括网络共享等，但不包括终端服务)此计算机。检测操作步骤版本：WindowsXP按+R打开运行框，在框内输入secpol.msc，打开本地安全策略，本地策略→用户权利指派：查看“从网络访问此计算机”设置基线符合性判定依据应根据具体情况，设置“指定授权用户和组”加固标准本地安全策略→本地策略→用户权利指派下，“从网络访问此计算机”右键属性添加或删除指定授权用户或组。等级保护基本要求主机安全：2）访问控制（G3），a）应启用访问控制功能，依据安全策略控制用户对资源的访问。现状检查结果□符合□不符合整改结果备注日志配置操作日志配置3.1.1审核登录安全基线项目名称操作系统审核登录策略安全基线要求项安全基线编号WindowsXP-12安全基线项说明设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的帐户，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。检测操作步骤版本：WindowsXP按+R打开运行框，在框内输入secpol.msc，打开本地安全策略，本地策略→审核策略：审核登录事件。基线符合性判定依据审核登录事件，设置为成功和失败都审核。加固标准本地安全策略→本地策略→审核策略，“审核登录事件”右键属性勾选成功和失败。等级保护基本要求主机安全：3）安全审计（G3），a）审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户。现状检查结果□符合□不符合整改结果备注3.1.2系统日志完备性检查安全基线项目名称系统日志完备性检查，检查是否启用系统多项审核策略安全基线编号WindowsXP-13安全基线项说明系统应配置完整的审核策略，启用本地策略中审核策略中如下项。每项都需要设置为“成功”和“失败”都要审核。按+R打开运行框，在框内输入secpol.msc，打开本地安全策略，在本地策略→审核策略：审核策略更改；审核系统事件；审核帐户登录事件；审核帐户管理；检测操作步骤版本：WindowsXP按+R打开运行框，在框内输入secpol.msc，打开本地安全策略，在“本地策略→审核策略”中，启用本地策略中审核策略中如下项，每项都需要设置为“成功”和“失败”都要审核：审核策略更改；审核系统事件；审核帐户登录事件；审核帐户管理；基线符合性判定依据“审核策略更改”设置为“成功”和“失败”都要审核。加固标准本地安全策略→本地策略→审核策略，各选项右键属性审核成功和失败：等级保护基本要求主机安全：3）安全审计（G3），a）审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户。主机安全：3）安全审计（G3），b）审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用、账号的分配、创建与变更、审计策略的调整、审计系统功能的关闭与启动等系统内重要的安全相关事件。现状检查结果□符合□不符合整改结果备注3.1.3日志文件大小安全基线项目名称操作系统日志容量安全基线要求项安全基线编号WindowsXP-14安全基线项说明设置应用日志文件大小至少为512KB，设置当达到最大的日志尺寸时，按改写久于15天的时间。检测操作步骤版本：WindowsXP按+R打开运行框，在框内输入eventvwr.msc，在“事件查看器（本地）：查看“应用日志”“系统日志”“安全日志”属性中的日志大小,以及设置当达到事件日志最大大小时的相应策略。基线符合性判定依据“应用日志”“系统日志”“安全日志”属性中的日志大小设置不小于“512KB”,设置当达到日志大小上限时，“改写久于15天的时间”加固标准事件查看器各个选项右键属性设置。等级保护基本要求主机安全：3）安全审计（G3），c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等，并定期备份审计记录，涉及敏感数据的记录保存时间不少于半年；主机安全：3）安全审计（G3），d)应能够根据记录数据进行分析，并生成审计报表；主机安全：3）安全审计（G3），e)应保护审计进程，避免受到未预期的中断；现状检查结果□符合□不符合整改结果备注剩余信息保护剩余信息保护4.1.1不显示上次登录用户名安全基线项目名称不显示上次登录用户名安全基线编号WindowsXP-15安全基线项说明不显示上次登录的用户名，防止信息泄露检测操作步骤版本：WindowsXP按+R打开运行框，在框内输入secpol.msc，打开本地安全策略，在“本地策略→安全选项”：查看“交互式登录：不显示上次的用户名”是否启用基线符合性判定依据启用“交互式登录：不显示上次的用户名”。加固标准本地安全策略→本地策略→安全选项下，“交互式登录：不显示上次的用户名”右键属性勾选启用。等级保护基本要求主机安全：4）剩余信息保护（S3），a）应保证操作系统和数据库系统用户的鉴别信息所在的存储空间，被释放或再分配给其他使用人员前得到完全清除，无论这些信息是存放在硬盘上还是在内存中。现状检查结果□符合□不符合整改结果备注4.1.2关机前清除虚拟内存页面安全基线项目名称关机前清除虚拟内存页面安全基线编号WindowsXP-16安全基线项说明关闭客户端前，应清除虚拟内存页面，以保护暂存在在缓存中的数据。检测操作步骤版本：WindowsXP按+R打开运行框，在框内输入secpol.msc，打开本地安全策略，在“本地策略→安全选项”：查看“关机：清理虚拟内存页面文件”是否启用。基线符合性判定依据启用“关机：清理虚拟内存页面文件”。加固标准本地安全策略→本地策略→安全选项下，“关机：清理虚拟内存页面文件”右键属性勾选启用。等级保护基本要求主机安全：4）剩余信息保护（S3），a）应保证操作系统和数据库系统用户的鉴别信息所在的存储空间，被释放或再分配给其他使用人员前得到完全清除，无论这些信息是存放在硬盘上还是在内存中。主机安全：4）剩余信息保护（S3），b）应确保系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他使用人员前得到完全清除。现状检查结果□符合□不符合整改结果备注4.1.3不启用为域中所有用户使用可还原的加密来存储密码安全基线项目名称不启用为域中所有用户使用可还原的加密来存储密码安全基线编号WindowsXP-17安全基线项说明不启用为域中所有用户使用可还原的加密来存储密码，防止能够获取明文密码。检测操作步骤版本：WindowsXP按+R打开运行框，在框内输入secpol.msc，打开本地安全策略，在“账户策略→密码策略”：查看“用可还原的加密来存储密码”是否已禁用。基线符合性判定依据禁用“为域中所有用户使用可还原的加密来存储密码”加固标准本地安全策略→密码策略下，“为域中所有用户使用可还原的加密来存储密码”右键属性设置。等级保护基本要求主机安全：4)剩余信息保护（S3），a）应保证操作系统和数据库系统用户的鉴别信息所在的存储空间，被释放或再分配给其他使用人员前得到完全清除，无论这些信息是存放在硬盘上还是在内存中。主机安全：4）剩余信息保护（S3），b）应确保系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他使用人员前得到完全清除。现状检查结果□符合□不符合整改结果备注设备其他配置操作共享文件夹及访问权限5.1.1关闭默认共享安全基线项目名称操作系统默认共享安全基线要求项安全基线编号WindowsXP-18安全基线项说明非域环境中，关闭Windows硬盘默认共享，例如C$，D$。检测操作步骤版本：WindowsXP按+R打开运行框，在框内输入Regedit，进入注册表编辑器，查看HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer键，是否值为0。基线符合性判定依据HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer键，值为0。加固标准打开注册表，如果没有AutoShareServer键，再路径下如果有右键修改查看。等级保护基本要求主机安全：2）访问控制（S3），a）应启用访问控制功能，依据安全策略控制用户对资源的访问。主机安全：2)访问控制（S3），f）宜对重要信息资源设置敏感标记。主机安全：2）访问控制（S3），g）宜依据安全策略严格控制用户对有敏感标记重要信息资源的操作。现状检查结果□符合□不符合整改结果备注5.1.2共享文件夹授权访问安全基线项目名称操作系统共享文件夹安全基线要求项安全基线编号WindowsXP-19安全基线项说明查看每个共享文件夹的共享权限，只允许授权的帐户拥有权限共享此文件夹。检测操作步骤版本：WindowsXP按+R打开运行框，在框内输入compmgmt.msc进入计算机管理，在系统工具→共享文件夹：查看每个共享文件夹的共享权限，只将权限授权于指定帐户。基线符合性判定依据查看每个共享文件夹的共享权限仅限于业务需要，不设置成为“everyone”。加固标准控制面板→管理工具→服务下，server右键属性禁用。等级保护基本要求主机安全：2）访问控制（S3），a）应启用访问控制功能，依据安全策略控制用户对资源的访问。主机安全：2）访问控制（S3），f）宜对重要信息资源设置敏感标记。主机安全：2）访问控制（S3），g）宜依据安全策略严格控制用户对有敏感标记重要信息资源的操作。现状检查结果□符合□不符合整改结果备注禁用server服务，可能会导致直接依赖于此服务的服务将无法启动。安全防护5.2.1数据执行保护安全基线项目名称操作系统数据执行保护安全基线要求项安全基线编号WindowsXP-20安全基线项说明对Windows7操作系统程序和服务启用系统自带DEP功能(数据执行保护)，防止在受保护内存位置运行有害代码。检测操作步骤版本：WindowsXP“计算机”右键属性—高级系统设置—性能设置—数据执行。查看是否选择“仅为基本Windows程序和服务启用DEP”。基线符合性判定依据“数据执行保护”选项卡已设置为“仅为基本Windows程序和服务启用DEP”。加固标准“计算机”右键属性—高级系统设置—性能设置—数据执行保护等级保护基本要求主机安全：2）访问控制（S3），g）宜依据安全策略严格控制用户对有敏感标记重要信息资源的操作。现状检查结果□符合□不符合整改结果备注5.2.2防病毒管理安全基线项目名称操作系统防病毒管理安全基线要求项安全基线编号WindowsXP-21安全基线项说明安装防病毒软件，并及时更新。检测操作步骤版本：WindowsXP检查是否安装主流杀软。基线符合性判定依据检查是否安装主流杀软。等级保护基本要求主机安全：6）恶意代码防范（G3），a)应安装国家安全部门认证的正版防恶意代码软件，对于依附于病毒库进行恶意代码查杀的软件应及时更新防恶意代码软件版本和恶意代码库，对于非依赖于病毒库进行恶意代码防御的软件，如主动防御类软件，应保证软件所采用的特征库有效性与实时性，对于某些不能安装相应软件的系统可以采取其他安全防护措施来保证系统不被恶意代码攻击；现状检查结果□符合□不符合整改结果备注服务安全5.3.1系统必须服务列表管理安全基线项目名称操作系统服务列表管理安全基线要求项安全基线编号WindowsXP-22安全基线项说明列出所需要服务的列表(包括所需的系统服务)，不在此列表的服务需关闭。检测操作步骤版本：WindowsXP按+R打开运行框，在框内输入compmgmt.msc进入计算机管理，进入“服务和应用程序”：查看所有服务，不在此列表的服务需关闭。基线符合性判定依据系统管理员应出具系统所必要的服务列表。查看所有服务，不在此列表的服务需关闭。等级保护基本要求主机安全：5）入侵防范（G3），c）操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。现状检查结果□符合□不符合整改结果备注5.3.2系统启动项列表管理安全基线项目名称操作系统启动项列表管理安全基线要求项安全基线编号WindowsXP-23安全基线项说明列出系统启动时自动加载的进程和服务列表，不在此列表的需关闭。检测操作步骤版本：WindowsXP按+R打开运行框，在框内输入MSconfig”启动菜单中，取消不必要的启动项。基线符合性判定依据应根据实际情况，取消不必要的启动项。等级保护基本要求主机安全：5）入侵防范（G3），c）操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。现状检查结果□符合□不符合整改结果备注5.3.3远程控制服务安全安全基线项目名称操作系统远程控制服务管理安全基线要求项安全基线编号WindowsXP-24安全基线项说明如对互联网开放WindowsTerminial服务(RemoteDesktop)，需修改默认服务端口。检测操作步骤版本：WindowsXP按+R打开运行框，在框内输入regedit并转到此项:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP—>Tcp找到“PortNumber”子项，会看到默认值0x00000d3d，它是3389的十六进制表示形式。使用十六进制数值修改此端口号，并保存新值。基线符合性判定依据找到“PortNumber”子项，设定值非0xd3d，即十进制3389加固标准HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP—>Tcp找到“PortNumber”子项设定值非d3d，即十进制3389。等级保护基本要求主机安全：7）资源控制（A3），a）应通过设定终端接入方式、网络地址范围等条件限制终端登录。现状检查结果□符合□不符合整改结果备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。5.3.4关闭Windows自动播放功能安全基线项目名称操作系统Windows自动播放安全基线要求项安全基线编号WindowsXP-25安全基线项说明关闭Windows自动播放功能。检测