Windows操作系统安全防护指导手册

Windows操作系统安全防护

指导手册

国家电力调度控制中心

2017年11月

目录

前言....................................................................3

1.配置管理...............................................................4

1.1用户策略...............................................................4

1.2身份鉴别..............................................................10

1.3补丁管理.............................................................12

1.4主机配置.............................................................15

1.5软件管理.............................................................20

2.网络管理................................................................21

2.1网络服务管理........................................................21

2.2防火墙功能............................................................25

3.接入管理................................................................32

3.1外设接口..............................................................32

3.2自动播放..............................................................33

3.3远程登录.............................................................34

3.4外部连接管理.........................................................39

4.1日志与审计............................................................40

5.恶意代码防范..........................................................43

5.1防病毒软件...........................................................43

5.2数据执行保护.........................................................44

前言

近年来国内外网络安全事件频发，其中Windows操作系统漏洞被

攻击导致的网络安全事件造成了巨大的经济损失和社会影响。在电力

监控系统领域，国产安全操作系统已得到广泛应用，但也有部分主机

仍在使用Windows操作系统，如电厂监控系统、保信子站、故障录波、

调度计划等服务器加工作站。早期投运的Windows操作系统版本低、

缺乏安全措施，为防范外部对电力监控系统的恶意攻击行为及由此引

发电力系统事故，结合电力监控系统安全现状，国调中心组织编制了

《Windows操作系统安全防护指导手册》（含Windows重大高危漏洞

及防护方法、典型易传播病毒及处置措施），指导电力监控系统中

Windows主机的安全防护工作。

本手册按照《电力监控系统安全防护标准化管理要求》（调自

（2016）102号）的要求，结合Windows操作系统实际，从配置管理、

网络管理、接入管理、日志与审计和恶意代码防范五个方面，阐述了

电力监控系统中Windows主机加固的内容、步骤以及注意事项。

本手册适用于Windows2000Professional、WindowsXP、Windows

Server2003Windows7.WindowsServer2008（以下分别简称Win

2000、WinXP、Win2003.Win7,Win2008）等Windows操作系统。

1.配置管理

1.1用户策略

LL1用户权限策略配置(适用于服务器或公用工作站)

加固项目名称用户权限策略配置

加固编号Windows-01-01-01

加固说明按照仅授予管理用户最小权限的原则设置安全管理员、审计管理员和系统管理

员，安全管理员隶属于BackupOperators和PowerUsers组，审计管理员隶属

于EventLegReaders和PerformanceLogUser组，系统管理员隶属于Network

ConfigurationOperators组，建立三权分立的安全策略。(适用于服务器或公

用工作站)

适用版本Win2000、WinXP、Win2003、Win7,Win2008

操作步骤1.按下10+R,输入框输入winver,确认系统版本。

2.按下属+R,输入框输入compmgmt.msc,进入“计算机管理-＞本地用户和组-)

用户-〉新建用户”，分别创建安全管理员(secadmin),审计管理员(audadmin)

和系统管理员(sysadmin)；

3.安全管理员权限配置

在WinXP、Win2003、Win7和Win2008：

选择用户“secadmin”，右击“属性”,进入“隶属于-＞添加-＞选择组-＞高级-＞

立即查找“，同时选择BackupOperators和PowerUsers组，点击确定；

在Win2000：

选择用户“secadmin”,右击“属性”，进入“隶属于-＞添加-＞选择组”，同时选

择BackupOperators和PowerUsers组，点击确定；

4.审计管理员权限配置

在Win7和Win2008：

选择用户“audadmin”，右击“属性”，进入“隶属于-＞添加选择组-〉高级-〉

立即查找“，同时选择EventLogReaders和PerformanceLogUser组，点击确

定；

在Win2000.WinXP和Win2003：

审计管理员隶属于Users组，进入“控制面板-〉管理工具-〉本地安全策咯-》本地

策略-〉用户权利指派管理审核和安全日志”，添加用户“audadmin”，点击确定;

5.系统管理员权限配置

在Win7和Win2008：

(1)选择月户“sysadmin”，右击“属性”，进入“隶属于-＞添加-＞选挎组高

级-＞立即查找"，选择NetworkConfigurationOperators组，点击确定；

（2）进入“控制面板-＞管理工具本地安全策略-＞本地策略-〉用户权限分配（用

户权利指派）-＞取得文件或其他对象的所有权”，添加用户“sysadmin”，点击确

定

在Win2003和WinXP：

（1）选择用户“sysadmin”,右击“属性”，进入“隶属于-＞添加"，选择Network

ConfigurationOperators组，点击确定；

（2）进入“控制面板-＞管理工具-》本地安全策略-〉本地策略-＞用户权限分配（用

户权利指派）-＞取得文件或其他对象的所有权”，添加用户“sysadmin”，点击确

定；

在Win2000：

诜择用户"sysadmin右击“属性”,进.人“隶属于-＞添加”,选择Administ.rat.nrs

组，点击确定；

6.Administrator用户改名

进入“控制面板-＞管理工具-＞本地安全策略本地策略-＞安全选项”，双击“帐

户：重命名系统管理员账号”,修改Administrator用户的名称。

备注建议各管理员所具有的权限：

（1）安全管理员（secadmin）：备份或还原文件；

（2）审计管理员（audadmin）：管理系统的各种日志信息；

（3）系统管理员（sysadmin）：更改文件所有权/重新启动或关闭系统/设置主机

名/配置网卡参数/IP防火墙的管理/配置所有的对外服务。

LL2删除或禁用系统无关用户

加固项目名称删除或禁用系统无关用户

加固编号Windows-01-01-02

加固说明删除、禁用或锁定与设备运行、维护等工作无关的账户，避免无关账户被黑客利

用。

适用版本Win2000（部分适用）、WinXP、Win2003、Win7、Win2008

1.按下国输入框输入compmgmt.msc；

2.进入“计算机管理-＞系统工具-＞本地用户和组-＞用户”；

3.查看窗口右侧的用户信息栏目，查找与设备运行、维护等工作无关的用户账户,

右击删除：

4.右击Guest用户，点击“属性”，勾选“帐户已禁用“，点击确定。

5.禁用administrator用户（Win2000不适用），右击administrator用户，点

击“属性”，勾选“帐户已禁用勾点击确定;

6.若需要喷时适用administrator用户，可以通过以下步骤重新启用

administrator用户,

（1）重启主机，在进入windows界面之前，按F5键，进入安全模式界面（Vin2008

需要在按下F5之后，按下F8进入“高级选项”，才能进入安全模式界面），使用

上下键选择“带命令行启动安全模式”，输入回车；

高级启动选项

选择以下内容的高级选项：windows7

(使用箭头键以突出显示您的选择。)

修复计算机

网络安全模式

带命令提示符的安全模式

启用启动日志

启用低分辨率视较(640X480)

最近一次的正确配量C高级)

目录服务还原模式

调试模式

禁用系统失败时自动重新启动

禁用驱动程序签名强制

正常启动Windows

描述：仅使用核心驱动程序和服务启动

Windows,请在安装新设备或驱动程序后无法启动时使用。

|Enter-选择Esc■取消

(2)进入安全系统环境，按下Clrl+All+Del两次，进入登录界面，输入用户名

为administrator,密码为账户禁用前的密码；

(3)在命令行中输入，netuseradministrator/active,启用administrator；

S3省湮具C:\Windows\system32\cmd.exe_|口|X

MicrosoftVindows1版本6.1.7601]

版权所有〈c〉2009MicrosoftCorporation«保留所有权利。

C：\Users\Batsu>netuseradministrator/active

命令成功完成。

C：\Uscrs\BAt5u>

(6)再输入shutdown-r-t1重启主机;

(7)正常后动系统，可以进入administrator。

备注建议在进行加固之前，在测试环境中进行测试，确认取消adminislralor对系统

应用的影响，避免由于此加固项导致系统应用异常。

由于加固过程中部分操作需要administrator权限，建议在完成所有加固项之

后，再进行此项加固中的第五步。

L1.3开启屏幕保护程序

加固项目名称屏幕保护程序时间设置

加固编号Windows-01-01-03

加固说明操作系统设置开启屏幕保护，并将时间设定为5分钟，避免非法用户使用系统。

适用版本Win2000、WinXP.Win2003、Win7、Win2008

操作步骤1.进），屏幕保护程序

在Wir）7：进入“控制成f板-＞显示-＞个性化厂＞屏幕保护程序”；

在Wir12000.WinXP、1Vin2003和Win2(）08：进入“控制面板-＞显示屏幕保

护程户?（更改屏幕保护方些序）”：

2.选本名屏幕保护程序界百n,设置“等待•75,点击确定；

■

・・伸炉

■

—

1I

.■.IKS）

ftKM叼1)-mon

月里示登M■(用

，0X*情尊叽

口1—lUe«3二

!

MJ"•n«e■■

P»Urmony双WMcnvtKU

备注

LL4系统重要数据访问控制（适用于SCADA等关键服务器）

加固项目名称系统重要数据访问控制

加固编号Windows-01-01-04

加固说明应启用访问控制功能，依据安全策略控制用户对资源的访问，防止系统重要数据

泄露（适用于SCADA等关键服务器）。

适用版本Win2000、WinXP、Win2003、Win7、Win2008

操作步骤1.修改文件夹选项

在Win2000.Win2003、Win7和Win2008：默认不需要修改：

在WinXP：默认不开启文件夹安全选项，需要手工开启，进入“工具-＞文件夹

选项-〉查看”，取消勾选“使用简单文件共享”选项，点击确定；

文件夹选项?冈

第现查看文件变型脱机文件

「文件夹视图

圆需髀姬娥姆11

一用到所有文件荚谩।重置所有文件夹中）］

而级设置.

5文件和文菽A

□不送存缩路困

a管理网页和文件夹对

o显示两演分并分另鼠行告理

o显示两部分但是作为单一文件进行肯现

◎作为单一文件显示和笆理对

□记住每个文件夹的视图设置

丁使用笛单支怦共享削荐厂

一鼠标指向文件夹和具面由时显示提示信息

S显示系统文件夹的内容

□圉藏受俣护的操作系统文件能存）V

2.确认系统中的重要数据或文件;

3.进入到需要进行访问控制的文件或目录;

4.配置权限

在Win7和Win200R：右击“文件”或“目录”.诜择“属性-＞安全-＞编辑”,

对相应的用户（组）设置合理的权限;

图片库A季f«结・性I«

包隔231

天主us

对，冬片：C:\Oferf\Tubllc\ricixre«\SMiplerid\re*

««RPS<Gh_

ItEverytoe«

<auK«cnu

MSTSTU

设WTTB

示*t

费更注♦・王“45F・・

r^dCP》研指SI

*±l；«

修”✓

oufcHn

Kt文件安FW✓

ItCI✓

再入j

在Win2000、WinXP和Win2003：右击“文件”或“目录”，选择“属性-＞安

全-＞高级-＞编辑”，对相应的用户（组）设置合理的权限。

备注根据系统确定重要数据范围，建议加固前在模拟系统中先进行测试。

1.2身份鉴别

1.2.1用户口令复杂度策略

加固项目名称用户账户复杂度策略

加固编号Windows-01-02-01

加固说明口令长度不小于8位，由字母、数字和特殊字符组成，不得与账户名相同，避免

口令被暴力破解。

适用版本Win2000、WinXP、Win2003、Win7、Win2008

操作步骤1.进入“控制面板-〉管理工具-＞本地安全策略-＞帐户策略-〉密码策略”；

2.双击“密码长度最小值”，设置“密码长度最小值”为8个字符，点击确定；

3.双击“密码必须符合复杂性要求”，勾选已后用，点击确定。

备注

L2.2用户登录失败锁定

加固项目名称用户登录失败锁定

加固编号Windows-01-02-02

加固说明配置当用户连续认证失败次数超过5次，锁定该用户使用的账户10分钟，避免

账户被恶意用户暴力破解。

适用版本Win2000、WinXP、Win2003、Win7、Win2008

操作步骤1.进入“控制面板-＞管理工具本地安全策略-＞账户策略-〉帐户锁定策略”；

2.双击“帐户锁定阀值”设置，设置无效登录次数为5次，点击确定；

3.双击“帐户锁定时间”设置，设置锁定站间10分钟，点击确定。

备注

L2.3用户口令周期策略

加固项目名称用户口令周期策略

加固编号Windows-01-02-03

加固说明设置账户口令的生存期不长于90天，避免密码泄露。

适用版本Win2000、WinXP.Win2003、Win7、Win2008

操作步骤1.进入“控制面板-＞管理工具-＞本地安全策略帐户策略-〉密码策略”；

2.双击“密码最长使用期限（密码最长存留期）”，设置“密码最长使用期限”为

90天，点击确定。

备注

1.2.4用户口令过期提醒

加固项目名称用户口令过期提醒

加固编号Windows-01-02-04

加固说明密码到期前提示用户更改密码，避免用户因遗忘更换密码而导致账户失效。

适用版本Win2000、WinXP、Win2003、Win7、Win2008

操作步骤1.进入“控制面板-＞管理工具-〉本地安全策略-＞本地策略-〉安全选项”；

2.双击“交互式登录：提示用户在过期之前更改密码”，设置为10天，点击确定。

备注“交互式登录：提示用户在过期之前更改密码”在WinXP和Win2003中为“交

互式登录：在密码到期前提示用户更改密码”，在Win2000中为“在密码到期前

提示用户更改密码

1.2.5系统不显示上次登录用户名

加固项目名称系统不显示上次登录用户名

加固编号Windows-01-02-05

加固说明操作系统不显示上次用户名，避免用户名泄露。

适用版本Win200()、WinXP.Win2003、Win7、Win2008

操作步兼1.进入“控制面板管理工具-＞本地安全策略-）本地策略-〉安全选项”；

2.双击“交互式登陆：不显示最后的用户名”，选择“已启用”，点击确定。

备注“交互式登陆：不显示最后的用户名”在桁nXP和晅n2003中为“交互式登陆：

不显示上次的用户名“，在晅n2000中为“登录屏幕上不要显示上次登录的用户

名二

L3补丁管理

L3.1补丁更新

加固项目名称补丁更新

加固编号Windows-01-03-01

加固说明安装官方补丁，严禁安装第三方补丁，避免被黑客或恶意代码利用已知的安全漏

洞进行攻击。

适用版本Win2000、WinXP、Win2003、Win7、Win2008

操作步骤1.打开命令控制台，输入systeminfo,查看主机现有的补丁编号；

---1口］x

2.查看当前系统漏洞是否已安装补丁包；

3.在微软官方网站下载对应补丁包(https:〃support.Microsoft,com/zh一cn)；

ISMkfowftaa*”ts=，”

Az■••***•HatsKSM只«MtfjJftn»s

M■叫产况给《P«1?

器口中XW3

W*M»mO«o»QMMxmMew»«PMaatea

4.验证补丁包HASH值，在官方网站搜索所需要安装补丁包的更新说明;

19MktowftaevravIM・•

5.打开对应网页查看文件哈希信息;

蛆多信息

安全更折那省信息

eixMMMaewwieRV・川）n.

安全J?斫M慢信息

文件哈瑞信息

文杵信息

6.验证本地补丁包哈希值;

7.验证哈希信息正确后，安装补丁包程序,

备注1.附件1《Windows重大高危漏洞与易传播病毒》为目前梳理出的重要高危漏洞,

加固时必须安装对应补丁包。除附件1中已列漏洞外，加固时应结合微软最新漏

洞补丁发布情况，针对其他可能导致系统远程命令执行的高危漏洞，补充安装对

应的补丁包。

2.微软已停止对WinXP、Win2000、Win2003的技术支持，建议尽快更换系统。

L4主机配置

1.4.1禁止用户修改IP

加固项目名称禁止用户修改IP

加固编号Windows-01-04-01

加固说明规范主机网络配置管理，禁止用户任意更换IP。

适用版本Win2000、WinXP、Win2003、Win7、Win2008

操作步骤1.按下,+R,输入框输入gpedit.msc,打开“本地组策略编辑器”；

2.进入“用户配置-＞管理模板-＞网络-＞网络连接”；

3.双击“禁止访问LAN连接组件的属性”，设置为已启用，点击确定；

4.双击“禁止访问LAN连接的属性”，设置为已启用，点击确定；

5.双击“禁用TCP/IP高级配置”，设置为已启用，点击确定。

备注如果业务需要修改IP,可临时取消，修改完成后重新加固。

L4.2禁止用户更改计算机名

加固项目名称禁止用户更改计算机名

加固编号Windows-01-04-02

加固说明禁止用户更改计算机名。

适用版本Win2000、WinXP、Win2003、Win7、Win2008

操作步骤1.按下10+R,输入框输入gpcdit.msc,打开“本地组策略编辑器”；

2.进入“用户配置-＞管理模板桌面”；

3.双击“从'计算机（我的电脑）'图标上下文菜单中删除属性”，设置为“已启

用”，点击确定。

备注

1.4.3删除默认路由配置

加固项目名称删除默认路由配置

加固编号Windows-01-04-03

加固说明主机禁止使用默认路由，避免利用默认路由探测网络。

适用版本Win2000、WinXP、Win2003、Win7、Win2008

操作步骤1.^TE+R»输入框输入emd；

2.在命令提示符中输入“routeprint查看是否有缺省路由；

33C:\Wmdows\System32\cmd.exe

C：\MindoMs\sy5tem32>rout9print

接口列表

15...3H02850981He............Bluetooth设备(个人区域网)

11...00Gc2949ae65............Intel(R)PRO/WOOMTNetworkConnection

1..........................................................SoftwareLoopbackInterface1

12...GOGGG30000GO00eQMicrosoftISATAPAdapter

1?fiAAAGAfifififiAAAfieQTprodnTunnelingPAOiidn-Tntarf

16...GO00090000600GeOMicrosoftISATAPAdapterM2

IPu4能由志

接

跃点数

网络目标网络掩码网关口

上

在36

127.G.G.0255.0.0.0麋127.8.8.1

上

在36

127.0.0.1

127.G.0.155上

在

曲3vA6

5555上127.G.0.1

在36

霍

上

22^.0.0.02MG,0.0.0在I27.G.G.136

127.8.8.1

永久路由:

127.0.0.0255.0.0.6127.0.0.9

G.G.0.0255.0.0.0127.0.0.91

3.以管理员身份打开命令提示符，输入rcutedelete0.0.0.0,删除默认路由。

C：\Windows\system32>routedelete

操作完成，

备注在删除默认路由之前，应对路由表进行梳理，并添加具体业务的路由策略。

1.4.4关闭默认共享

加固项目名称关闭默认共享

加固编号Windows-01-04-04

适用版本Win200()、WinXP、Win2003、Win7、Win2008

加固说明关闭Windows硬盘默认共享，防止黑客从默认共享进入计算机窃取资料。

操作步骤1.进入“开始->控制面板->管理工具-〉计算机管理（本地）->共享文件夹->共享”；

2.查看右侧窗口,选择对应的共享文件夹(例如C$,D$,ADMIN$,IPC$等),右

击停止共享。

计■叽・理

文伴(F)投作(A)«»(H)

♦♦□9HDO

上WH机管理(本电文件央SMS■祈MA接aw

系统工具

-fl■CAD...C:\WindowsWindows0近程・丞

•-H■ttfindows0默认共享II

:a+。麦・■打开(0)更$网作

ndows0默认共享

-疝共享文件夹停止KS)

寓IPndows0DBIPC

㈤u

所右任务(K)♦ndows0

♦的更多网作

al打开文件*«(F)

*本电用户和知

■tl(R)

qg管理a«®(H)

・生存住

N迅3"理

，£□=＜1双用程序

备注

L4.5开启用户账户控制设置(UAC)

加固项目名称操作系统用户账户控制设置(UAC)的配置

加固编号Windows-01-04-05

加固说明开启用户账户控制设置(UAC),设置为仅在程序尝试对计算机进行更改时通知用

户。

适用版本Win7、Win2008

操作步躲1.进入“开始-＞控制面板-〉用户账户和家庭安全-＞用户账户”；

2.更改“用户账户控制设置”,设置为“默认”，点击确定。

备注

1.4.6禁止未登录前关机

加固项目名称禁止未登录关机

加固编号Windows-01-04-06

加固说明设置Windows登录屏幕上不显示关闭计算机的选项，避免用户名暴露。

适用版本Win2000、WinXP.Win2003、Win7、Win2008

操作步骤1.进入“控制面板-＞管理工具-〉本地安全策略本地策略-〉安全选项”；

2.双击“关机：允许系统在未登录的情况下关闭“，设置属性为“已禁用”，点击

确定。

备注“关机：允许系统在未登录的情况下关闭”在Win2003中为“关机：允许系统

在未登录前关机"，在WinXP中为“关机：允许在未登录前关机“，在Win2000

中为“允许在未登录前关机”。

1.4.7关机时清除虚拟内存页面文件

加固项目名称关机时清除虚拟内存页面文件

加固编号Windows-01-04-07

加固说明设置关机时清除虚拟内存页面文件，避免虚拟内存信息通过硬盘泄露。

适用版本Win2000、WinXP、Win2003、Win7、Win2008

操作步骤1.进入“开始-〉控制面板管理工具-〉本地安全策略”；

2.进入“安全设置-＞本地策略-〉安全选项”；

3.双击“关机：清除虚拟内存页面文件”，属性设置为“已启用”，点击确定。

备注

1.4.8禁止非管理员关机

加固项目名称禁止非管理员关机

加固编号Windows-01-04-08

加固说明仅允许Administrators组进行远端系统强制关机和关闭系统，避免非法用户关

闭系统。

适用版本Win200()、WinXP.Win2003、Win7、Win2008

操作步兼1.进入“开始-＞控制面板-〉管理工具-〉本地安全策略-＞本地策略-〉用户权限分

配”；

2.分别双击“关闭系统”和“从远程系统强制关机”选项，仅配置系统管理员

(sysadmin)用户。

备注“从远程系统强制关机”在WinXP和Win2000中为“从远端系统强制关机”。

1.5软件管理

1.5.1卸载无关软件

加固项目名称卸载无关软件

加固编号Windows-01-05-01

加固说明按照最小安装的原则，删除操作系统中与业务无关的软件。

适用版本Win2000、WinXP、Win2003、Win7、Win2008

操作步躲1.确认系统中必须安装的软件列表；

2.删除与业务系统无关的软件

在Nin7和Win2008：进入“开始-＞控制面板-〉程序与功能”，查找与系统业务

无关的软件,选择需要卸载的软件,右键选择“卸载/更改”按钮.卸载完成,“

在Win2000.WinXP和Win2003：进入“开始-〉控制面板-＞添加或删除程序”，

查找与系统业务无关的软件，选择需要卸载的软件，右击选择“删除”按钮，卸

载完成。

R泽M娱・除枝斤图同区1

富

安吴选序加更M13显木受-Q)拷年方式中：初出

M/嫉至曲83Q正兀睢大小oA

QMtivCIiMktM大小102W

人MA*IMrdUt812八gal大小22QOC>b

确Qio

LA4«b«*”4・r8-Cka»»«»Saa9lifi»4大小OOB

・击倡廉・己财殁

©

上次俺用日班201gz

事簿H跖妻松就混序《第七从计,机1聆,*±”更改-«-1^-.rra

相件S)

舞MA.SW3.0大小47<«B

份43d以U032大小266C«E

S3ATICitalyatX&itall・gy・r大小]fi5412