Windows操作系統(tǒng)安全防護指導手冊

1、Windows 操作系統(tǒng)安全防護指導手冊目錄 HYPERLINK l _TOC_250014 前言1 HYPERLINK l _TOC_250013 配置管理2 HYPERLINK l _TOC_250012 用戶策略2身份鑒別8補丁管理10主機配置13軟件管理18 HYPERLINK l _TOC_250011 網(wǎng)絡管理19 HYPERLINK l _TOC_250010 網(wǎng)絡服務管理19 HYPERLINK l _TOC_250009 防火墻功能23 HYPERLINK l _TOC_250008 接入管理30 HYPERLINK l _TOC_250007 外設接口30 HYPERLIN

2、K l _TOC_250006 自動播放31 HYPERLINK l _TOC_250005 遠程登錄32外部連接管理37 HYPERLINK l _TOC_250004 日志與審計38 HYPERLINK l _TOC_250003 日志與審計38 HYPERLINK l _TOC_250002 惡意代碼防范41 HYPERLINK l _TOC_250001 防病毒軟件41 HYPERLINK l _TOC_250000 數(shù)據(jù)執(zhí)行保護42 PAGE 9前言近年來國內外網(wǎng)絡安全事件頻發(fā)，其中 Windows 操作系統(tǒng)漏洞被攻擊導致的網(wǎng)絡安全事件造成了巨大的經(jīng)濟損失和社會影響。在電力監(jiān)控系統(tǒng)領

3、域，國產(chǎn)安全操作系統(tǒng)已得到廣泛應用，但也有部分主機仍在使用Windows 操作系統(tǒng)，如電廠監(jiān)控系統(tǒng)、保信子站、故障錄波、調度計劃等服務器和工作站。早期投運的 Windows 操作系統(tǒng)版本低、缺乏安全措施，為防范外部對電力監(jiān)控系統(tǒng)的惡意攻擊行為及由此引發(fā)電力系統(tǒng)事故，結合電力監(jiān)控系統(tǒng)安全現(xiàn)狀，國調中心組織編制了Windows 操作系統(tǒng)安全防護指導手冊（含 Windows 重大高危漏洞及防護方法、典型易傳播病毒及處置措施） ，指導電力監(jiān)控系統(tǒng)中Windows 主機的安全防護工作。本手冊按照電力監(jiān)控系統(tǒng)安全防護標準化管理要求 （調自2016102 號）的要求，結合 Windows 操作系統(tǒng)實際，從配

4、置管理、網(wǎng)絡管理、接入管理、日志與審計和惡意代碼防范五個方面，闡述了電力監(jiān)控系統(tǒng)中Windows 主機加固的內容、步驟以及注意事項。本手冊適用于Windows 2000 Professional、Windows XP、Windows Server 2003、Windows 7、Windows Server 2008（以下分別簡稱Win 2000、Win XP、Win 2003、Win 7、Win 2008）等Windows 操作系統(tǒng)。配置管理用戶策略用戶權限策略配置（適用于服務器或公用工作站）加固項目名稱用戶權限策略配置加固編號加固說明Windows-01-01-01按照僅授予管理用戶最小權限

5、的原則設置安全管理員、審計管理員和系統(tǒng)管理 員，安全管理員隸屬于 Backup Operators 和 Power Users 組，審計管理員隸屬于 Event Log Readers 和 Performance Log User 組，系統(tǒng)管理員隸屬于Network Configuration Operators 組，建立三權分立的安全策略。（適用于服務器或公用工作站）適用版本W(wǎng)in 2000、Win XP、Win 2003、Win7、Win 2008操作步驟按下按下+R，輸入框輸入winver，確認系統(tǒng)版本。+R，輸入框輸入compmgmt.msc，進入“計算機管理-本地用戶和組-用戶-新建

6、用戶”，分別創(chuàng)建安全管理員（secadmin）、審計管理員（audadmin）和系統(tǒng)管理員（sysadmin）；安全管理員權限配置在 Win XP、Win 2003、Win 7 和Win 2008：選擇用戶“ secadmin”，右擊“屬性”，進入“隸屬于-添加-選擇組-高級-立即查找”，同時選擇Backup Operators 和 Power Users 組，點擊確定；在 Win 2000：選擇用戶“secadmin”，右擊“屬性”，進入“隸屬于-添加-選擇組”，同時選擇 Backup Operators 和Power Users 組，點擊確定；審計管理員權限配置在 Win 7 和 Win

7、2008：選擇用戶“ audadmin”，右擊“屬性”，進入“隸屬于-添加-選擇組-高級-立即查找”，同時選擇 Event Log Readers和Performance Log User組，點擊確定；在 Win 2000、Win XP 和Win 2003：審計管理員隸屬于Users 組，進入“控制面板-管理工具-本地安全策略-本地策略-用戶權利指派-管理審核和安全日志”,添加用戶“audadmin”，點擊確定；系統(tǒng)管理員權限配置在 Win 7 和 Win 2008：選擇用戶“sysadmin”，右擊“屬性”，進入“隸屬于-添加-選擇組-高級-立即查找”，選擇 Network Configur

8、ation Operators 組，點擊確定；進入“控制面板-管理工具-本地安全策略-本地策略-用戶權限分配（ 用戶權利指派）-取得文件或其他對象的所有權”，添加用戶“sysadmin”，點擊確定在 Win 2003 和Win XP：選擇用戶“sysadmin”，右擊“屬性”，進入“隸屬于-添加”，選擇 Network Configuration Operators 組，點擊確定；進入“控制面板-管理工具-本地安全策略-本地策略-用戶權限分配（ 用戶權利指派）-取得文件或其他對象的所有權”，添加用戶“sysadmin”，點擊確定；在 Win 2000：選擇用戶“sysadmin”，右擊“屬性”

9、，進入“隸屬于-添加”，選擇 Administrators組，點擊確定；Administrator 用戶改名進入“控制面板-管理工具-本地安全策略-本地策略-安全選項”，雙擊“帳戶：重命名系統(tǒng)管理員賬號”，修改 Administrator 用戶的名稱。備注建議各管理員所具有的權限：安全管理員（secadmin）：備份或還原文件；審計管理員（audadmin）：管理系統(tǒng)的各種日志信息；系統(tǒng)管理員（sysadmin）：更改文件所有權/重新啟動或關閉系統(tǒng)/設置主機名/配置網(wǎng)卡參數(shù)/IP 防火墻的管理/配置所有的對外服務。刪除或禁用系統(tǒng)無關用戶加固項目名稱刪除或禁用系統(tǒng)無關用戶加固編號加固說明Wind

10、ows-01-01-02刪除、禁用或鎖定與設備運行、維護等工作無關的賬戶，避免無關賬戶被黑客利用。適用版本操作步驟Win 2000（部分適用）、Win XP、Win 2003、Win 7、Win 20081.按下+R，輸入框輸入compmgmt.msc；進入“計算機管理-系統(tǒng)工具-本地用戶和組-用戶”；查看窗口右側的用戶信息欄目，查找與設備運行、維護等工作無關的用戶賬戶， 右擊刪除；右擊Guest 用戶，點擊“屬性”，勾選“帳戶已禁用”，點擊確定。禁用administrator 用戶（Win 2000 不適用），右擊 administrator 用戶，點擊“屬性”，勾選“帳戶已禁用”，點擊確定

11、；若需要臨時適用 administrator 用戶， 可以通過以下步驟重新啟用administrator 用戶，重啟主機，在進入 windows 界面之前，按 F5 鍵，進入安全模式界面（Win 2008需要在按下F5 之后，按下F8 進入“高級選項”，才能進入安全模式界面），使用上下鍵選擇“帶命令行啟動安全模式”，輸入回車；進入安全系統(tǒng)環(huán)境，按下Ctrl+Alt+Del 兩次，進入登錄界面，輸入用戶名為 administrator，密碼為賬戶禁用前的密碼；在命令行中輸入，net user administrator /active，啟用administrator；再輸入shutdown -r

12、 -t 1 重啟主機；正常啟動系統(tǒng)，可以進入administrator。備注建議在進行加固之前，在測試環(huán)境中進行測試，確認取消 administrator 對系統(tǒng)應用的影響，避免由于此加固項導致系統(tǒng)應用異常。由于加固過程中部分操作需要 administrator 權限，建議在完成所有加固項之后，再進行此項加固中的第五步。開啟屏幕保護程序加固項目名稱屏幕保護程序時間設置加固編號Windows-01-01-03加固說明操作系統(tǒng)設置開啟屏幕保護，并將時間設定為5 分鐘，避免非法用戶使用系統(tǒng)。適用版本W(wǎng)in 2000、Win XP、Win 2003、Win 7、Win 2008操作步驟進入屏幕保護程序

13、在 Win 7：進入“控制面板-顯示-個性化-屏幕保護程序”；在 Win 2000、Win XP、Win 2003 和Win 2008：進入“控制面板-顯示-屏幕保護程序（更改屏幕保護程序）”；選擇屏幕保護程序界面，設置“等待”為5，點擊確定；備注系統(tǒng)重要數(shù)據(jù)訪問控制（適用于 SCADA 等關鍵服務器）加固項目名稱系統(tǒng)重要數(shù)據(jù)訪問控制加固編號Windows-01-01-04加固說明應啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問，防止系統(tǒng)重要數(shù)據(jù)泄露（適用于SCADA 等關鍵服務器）。適用版本W(wǎng)in 2000、Win XP、Win 2003、Win 7、Win 2008操作步驟1.修改文件

14、夾選項在 Win 2000、Win 2003、Win 7 和 Win 2008：默認不需要修改；在 Win XP：默認不開啟文件夾安全選項，需要手工開啟，進入“工具-文件夾選項-查看”，取消勾選“使用簡單文件共享”選項，點擊確定；確認系統(tǒng)中的重要數(shù)據(jù)或文件；進入到需要進行訪問控制的文件或目錄；配置權限在 Win 7 和 Win 2008：右擊“文件”或“目錄”，選擇“屬性-安全-編輯”， 對相應的用戶（組）設置合理的權限；在 Win 2000、Win XP 和 Win 2003：右擊“文件”或“目錄”，選擇“屬性-安全-高級-編輯”，對相應的用戶（組）設置合理的權限。備注根據(jù)系統(tǒng)確定重要數(shù)據(jù)范

15、圍，建議加固前在模擬系統(tǒng)中先進行測試。身份鑒別用戶口令復雜度策略加固項目名稱用戶賬戶復雜度策略加固編號Windows-01-02-01加固說明口令長度不小于 8 位，由字母、數(shù)字和特殊字符組成，不得與賬戶名相同，避免口令被暴力破解。適用版本W(wǎng)in 2000、Win XP、Win 2003、Win 7、Win 2008操作步驟進入“控制面板-管理工具-本地安全策略-帳戶策略-密碼策略”；雙擊“密碼長度最小值”，設置“密碼長度最小值”為 8 個字符，點擊確定；雙擊“密碼必須符合復雜性要求”，勾選已啟用，點擊確定。備注用戶登錄失敗鎖定加固項目名稱用戶登錄失敗鎖定加固編號Windows-01-02-0

16、2加固說明配置當用戶連續(xù)認證失敗次數(shù)超過 5 次，鎖定該用戶使用的賬戶 10 分鐘，避免賬戶被惡意用戶暴力破解。適用版本W(wǎng)in 2000、Win XP、Win 2003、Win 7、Win 2008操作步驟進入“控制面板-管理工具-本地安全策略-賬戶策略-帳戶鎖定策略”；雙擊“帳戶鎖定閥值”設置，設置無效登錄次數(shù)為5 次，點擊確定；雙擊“帳戶鎖定時間”設置，設置鎖定時間10 分鐘，點擊確定。備注用戶口令周期策略加固項目名稱用戶口令周期策略加固編號Windows-01-02-03加固說明設置賬戶口令的生存期不長于 90 天，避免密碼泄露。適用版本W(wǎng)in 2000、Win XP、Win 2003、

17、Win 7、Win 2008操作步驟進入“控制面板-管理工具-本地安全策略-帳戶策略-密碼策略”；雙擊“密碼最長使用期限（密碼最長存留期）”，設置“密碼最長使用期限”為90 天，點擊確定。備注 PAGE 10用戶口令過期提醒加固項目名稱用戶口令過期提醒加固編號Windows-01-02-04加固說明密碼到期前提示用戶更改密碼，避免用戶因遺忘更換密碼而導致賬戶失效。適用版本W(wǎng)in 2000、Win XP、Win 2003、Win 7、Win 2008操作步驟進入“控制面板-管理工具-本地安全策略-本地策略-安全選項”；雙擊“交互式登錄：提示用戶在過期之前更改密碼”，設置為 10 天，點擊確定。備

18、注“交互式登錄：提示用戶在過期之前更改密碼”在Win XP 和Win 2003 中為“交互式登錄:在密碼到期前提示用戶更改密碼”，在 Win 2000 中為“在密碼到期前提示用戶更改密碼”。系統(tǒng)不顯示上次登錄用戶名加固項目名稱系統(tǒng)不顯示上次登錄用戶名加固編號Windows-01-02-05加固說明操作系統(tǒng)不顯示上次用戶名，避免用戶名泄露。適用版本W(wǎng)in 2000、Win XP、Win 2003、Win 7、Win 2008操作步驟進入“控制面板-管理工具-本地安全策略-本地策略-安全選項”；雙擊“交互式登陸：不顯示最后的用戶名”，選擇“已啟用”，點擊確定。備注“交互式登陸：不顯示最后的用戶名”

19、在Win XP 和Win 2003 中為“交互式登陸：不顯示上次的用戶名”，在 Win 2000 中為“登錄屏幕上不要顯示上次登錄的用戶名”。補丁管理補丁更新加固項目名稱補丁更新加固編號Windows-01-03-011加固說明安裝官方補丁，嚴禁安裝第三方補丁，避免被黑客或惡意代碼利用已知的安全漏洞進行攻擊。適用版本操作步驟Win 2000、Win XP、Win 2003、Win 7、Win 2008打開命令控制臺，輸入systeminfo，查看主機現(xiàn)有的補丁編號；查看當前系統(tǒng)漏洞是否已安裝補丁包；在微軟官方網(wǎng)站下載對應補丁包（/zh-cn）；驗證補丁包HASH 值，在官方網(wǎng)站搜索所需要安裝補

20、丁包的更新說明； PAGE 19打開對應網(wǎng)頁查看文件哈希信息；驗證本地補丁包哈希值；驗證哈希信息正確后，安裝補丁包程序。備注1.附件 1Windows 重大高危漏洞與易傳播病毒為目前梳理出的重要高危漏洞， 加固時必須安裝對應補丁包。除附件 1 中已列漏洞外，加固時應結合微軟最新漏洞補丁發(fā)布情況，針對其他可能導致系統(tǒng)遠程命令執(zhí)行的高危漏洞，補充安裝對 應的補丁包。2.微軟已停止對Win XP、Win 2000、Win 2003 的技術支持，建議盡快更換系統(tǒng)。主機配置禁止用戶修改 IP加固項目名稱禁止用戶修改IP加固編號Windows-01-04-01加固說明規(guī)范主機網(wǎng)絡配置管理，禁止用戶任意更換

21、IP。適用版本W(wǎng)in 2000、Win XP、Win 2003、Win 7、Win 2008操作步驟1.按下+R，輸入框輸入gpedit.msc，打開“本地組策略編輯器”；進入“用戶配置-管理模板-網(wǎng)絡-網(wǎng)絡連接”；雙擊“禁止訪問LAN 連接組件的屬性”，設置為已啟用，點擊確定；雙擊“禁止訪問LAN 連接的屬性”，設置為已啟用，點擊確定；雙擊“禁用TCP/IP 高級配置”，設置為已啟用，點擊確定。備注如果業(yè)務需要修改IP，可臨時取消，修改完成后重新加固。禁止用戶更改計算機名加固項目名稱禁止用戶更改計算機名加固編號Windows-01-04-02加固說明禁止用戶更改計算機名。適用版本W(wǎng)in 20

22、00、Win XP、Win 2003、Win 7、Win 2008操作步驟1.按下+R，輸入框輸入gpedit.msc，打開“本地組策略編輯器”；進入“用戶配置-管理模板-桌面”；雙擊“從計算機（我的電腦）圖標上下文菜單中刪除屬性”，設置為“已啟用”，點擊確定。備注刪除默認路由配置加固項目名稱刪除默認路由配置加固編號Windows-01-04-03加固說明主機禁止使用默認路由，避免利用默認路由探測網(wǎng)絡。適用版本W(wǎng)in 2000、Win XP、Win 2003、Win 7、Win 2008操作步驟1.按下+R，輸入框輸入cmd；2.在命令提示符中輸入“route print”，查看是否有缺省路由

23、；3.以管理員身份打開命令提示符，輸入route delete ，刪除默認路由。備注在刪除默認路由之前，應對路由表進行梳理，并添加具體業(yè)務的路由策略。關閉默認共享加固項目名稱關閉默認共享加固編號Windows-01-04-04適用版本W(wǎng)in 2000、Win XP、Win 2003、Win 7、Win 2008加固說明關閉 Windows 硬盤默認共享，防止黑客從默認共享進入計算機竊取資料。操作步驟1.進入“開始-控制面板-管理工具-計算機管理（本地）-共享文件夾-共享”；2.查看右側窗口，選擇對應的共享文件夾（例如C$，D$，ADMIN$，IPC$等），右擊停止共享。備注開啟用戶賬戶控制設置

24、（UAC）加固項目名稱操作系統(tǒng)用戶賬戶控制設置（UAC）的配置加固編號Windows-01-04-05加固說明開啟用戶賬戶控制設置（UAC），設置為僅在程序嘗試對計算機進行更改時通知用戶。適用版本W(wǎng)in 7、Win 2008操作步驟1.進入“開始-控制面板-用戶賬戶和家庭安全-用戶賬戶”；2.更改“用戶賬戶控制設置”，設置為“默認”，點擊確定。備注禁止未登錄前關機加固項目名稱禁止未登錄關機加固編號Windows-01-04-06加固說明設置 Windows 登錄屏幕上不顯示關閉計算機的選項，避免用戶名暴露。適用版本W(wǎng)in 2000、Win XP、Win 2003、Win 7、Win 2008操

25、作步驟1.進入“控制面板-管理工具-本地安全策略-本地策略-安全選項”；2.雙擊“關機: 允許系統(tǒng)在未登錄的情況下關閉”，設置屬性為“已禁用”，點擊確定。備注“關機: 允許系統(tǒng)在未登錄的情況下關閉”在 Win 2003 中為“關機: 允許系統(tǒng)在未登錄前關機”，在 Win XP 中為“關機: 允許在未登錄前關機”，在 Win 2000中為“允許在未登錄前關機”。關機時清除虛擬內存頁面文件加固項目名稱關機時清除虛擬內存頁面文件加固編號Windows-01-04-07加固說明設置關機時清除虛擬內存頁面文件，避免虛擬內存信息通過硬盤泄露。適用版本W(wǎng)in 2000、Win XP、Win 2003、Win

26、 7、Win 2008操作步驟進入“開始-控制面板-管理工具-本地安全策略”；進入“安全設置-本地策略-安全選項”；雙擊“關機: 清除虛擬內存頁面文件”，屬性設置為“已啟用”，點擊確定。備注禁止非管理員關機加固項目名稱禁止非管理員關機加固編號Windows-01-04-08加固說明僅允許 Administrators 組進行遠端系統(tǒng)強制關機和關閉系統(tǒng)，避免非法用戶關閉系統(tǒng)。適用版本W(wǎng)in 2000、Win XP、Win 2003、Win 7、Win 2008操作步驟進入“開始-控制面板-管理工具-本地安全策略-本地策略-用戶權限分配”；分別雙擊“關閉系統(tǒng)”和“從遠程系統(tǒng)強制關機”選項，僅配置系

27、統(tǒng)管理員（sysadmin）用戶。備注“從遠程系統(tǒng)強制關機”在Win XP 和 Win 2000 中為“從遠端系統(tǒng)強制關機”。軟件管理卸載無關軟件加固項目名稱卸載無關軟件加固編號Windows-01-05-01加固說明按照最小安裝的原則，刪除操作系統(tǒng)中與業(yè)務無關的軟件。適用版本W(wǎng)in 2000、Win XP、Win 2003、Win 7、Win 2008操作步驟確認系統(tǒng)中必須安裝的軟件列表；刪除與業(yè)務系統(tǒng)無關的軟件在 Win 7 和 Win 2008：進入“開始-控制面板-程序與功能”，查找與系統(tǒng)業(yè)務無關的軟件，選擇需要卸載的軟件，右鍵選擇 “卸載/更改”按鈕，卸載完成。在 Win 2000、

28、Win XP 和 Win 2003：進入“開始-控制面板-添加或刪除程序”，查找與系統(tǒng)業(yè)務無關的軟件，選擇需要卸載的軟件，右擊選擇“刪除”按鈕，卸載完成。備注禁止安裝與工作無關或存在安全漏洞的軟件，應按照如下原則安裝軟件：1. 工作站：僅安裝系統(tǒng)客戶端的基礎運行環(huán)境和文檔編輯（WPS），解壓縮（WinRAR），SSH 客戶端等應用軟件；2.服務器：僅安裝承載業(yè)務系統(tǒng)運行的基礎軟件環(huán)境。網(wǎng)絡管理網(wǎng)絡服務管理關閉不必要的服務加固項目名稱關閉不必要的服務加固編號加固說明Windows-02-01-01應遵循最小安裝的原則，僅安裝和開啟必需的服務，避免系統(tǒng)中存在不必要的服務。適用版本操作步驟Win 2

29、000、Win XP、Win 2003、Win 7、Win 2008 1.確認系統(tǒng)應用需要使用的服務；2.按下+R，輸入框中輸入services.msc 命令；雙擊需要關閉的服務，點擊停止按鈕以停止當前正在運行的服務；將啟動類型設置為禁用，點擊確定。備注在執(zhí)行系統(tǒng)加固前確認系統(tǒng)應用無需使用該服務。建議關閉以下服務：ServerAlerter（Win 7、Win 2008 不適用） Clipbook （Win 7、Win 2008 不適用） PAGE 21Computer Browser DHCP ClientMessenger （Win 7、Win 2008 不適用）Remote Regist

30、ry Service（Win 7、Win 2008 不適用） Routing and Remote AccessSimple Mail Trasfer Protocol(SMTP) （Win2000 不適用）Simple Network Management Protocol(SNMP) Service （Win XP、Win 2000 不適用）Simple Network Management Protocol(SNMP) Trap （Win XP、Win 2000 不適用）TelnetWorld Wide Web Publishing Service （Win XP、Win 2000 不適

31、用） Print SpoolerTerminal Service （Win2000 不適用） Task Scheduler（可選）Messenger net send（Win XP、Win 2000 為 Messenger）remote Registry（Win XP、Win 2000 為 remote Registry service 不適用） SSDPDiscovery（Win2000 不適用）DNSClientWindows Remote Management（WS-Management)（可選，Win2000 不適用）關閉不必要的系統(tǒng)端口加固項目名稱關閉不必要的系統(tǒng)端口加固編號Wind

32、ows-02-01-02加固說明遵循白名單的原則，僅開放系統(tǒng)應用所需的專用端口，避免系統(tǒng)中存在不必要的端口。適用版本W(wǎng)in 2000、Win XP、Win 2003、Win 7、Win 2008操作步驟1.核實本機應監(jiān)聽的端口列表；2.查看系統(tǒng)當前實際監(jiān)聽的端口列表在 Win 7、Win XP、Win 2003 和 Win 2008：在命令提示符中，輸入netstat -ano命令，查看系統(tǒng)當前網(wǎng)絡連接狀況；在 Win 2000：在命令提示符中，輸入netstat -an 命令，查看系統(tǒng)當前網(wǎng)絡連接狀況；打開任務管理器，根據(jù)PID 來查看端口對應的進程或服務；通過停止進程或禁用服務，關閉不必要

33、的端口；按照白名單原則，僅開放必須的端口；在 Win XP、Win7 、Win 2003 和Win 2008 中：使用防火墻實現(xiàn)白名單制度，操作步驟參照 2.2.2 配置訪問控制規(guī)則。在 Win 2000 中：使用IP 安全策略實現(xiàn)白名單制度，操作步驟參照2.2.2 配置訪問控制規(guī)則。備注1.以下端口禁止開放：TCP21，TCP23，TCP/UDP135，TCP/UDP137，TCP/UDP138，TCP/UDP139，TCP/UDP445。2.以下端口應限制訪問IP：TCP3389。啟用SYN 攻擊保護加固項目名稱啟用 SYN 攻擊保護加固編號Windows-02-01-03加固說明啟用 S

34、YN 攻擊保護，防御黑客SYN 攻擊。適用版本W(wǎng)in 2000、Win XP、Win 2003、Win 7、Win 20082操作步驟1.按下+R，輸入框中輸入regedit 命令；查看注冊表項，進入HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters；新建字符串值，重命名為SynAttackProtect，雙擊修改數(shù)值數(shù)據(jù)為 2；新建字符串值，重命名為TcpMaxportsExhausted，雙擊修改數(shù)值數(shù)據(jù)為 5；新建字符串值，重命名為TcpMaxHalfOpen，雙擊修改數(shù)值數(shù)據(jù)為 500；新建字符串值，重命名為

35、 TcpMaxHalfOpenRetried，雙擊修改數(shù)值數(shù)據(jù)為 400。備注指定觸發(fā)SYN 洪水攻擊保護所必須超過的TCP 連接請求數(shù)的閥值為 5；指定系統(tǒng)拒絕的連接請求數(shù)的閾值為500；3.指定TCP 的半連接數(shù)的閾值為 400。設置最小掛起時間（可選）加固項目名稱設置最小掛起時間加固編號Windows-02-01-04加固說明在連接到本地計算機的用戶超出其賬戶的有效登錄時間時應斷開與用戶的連接，避免被黑客或惡意軟件利用。適用版本W(wǎng)in 2000、Win XP、Win 2003、Win 7、Win 2008操作步驟1.進入“控制面板-管理工具-本地安全策略-本地策略-安全選項”；2.雙擊“

36、Microsoft 網(wǎng)絡服務器: 登錄時間過期后斷開與客戶端的連接”和“網(wǎng) PAGE 29絡安全：在超過登錄時間后強制注銷”，設置為已啟用；3.雙擊“Microsoft 網(wǎng)絡服務器: 暫停會話前所需的空閑時間量”，設置時間為15 分鐘。備注1.15 分鐘為參考值，應根據(jù)系統(tǒng)應用的實際情況進行配置；“Microsoft 網(wǎng)絡服務器: 登錄時間過期后斷開與客戶端的連接”在 Win XP 和 Win 2003 為“Microsoft 網(wǎng)絡服務器: 登錄時間用完后自動注銷用戶”，Win 2000 無該安全項；“網(wǎng)絡安全: 在超過登錄時間后強制注銷”安全選項在Win XP 和 Win 2003 為“網(wǎng)絡

37、安全: 在超過登錄時間后強制注銷”，Win 2000 無該安全項； 4.“Microsoft 網(wǎng)絡服務器: 暫停會話前所需的空閑時間量”在 Win XP 和 Win2003 為“Microsoft 網(wǎng)絡服務器: 掛起會話前所需的空閑時間量”，在 Win 2000為“在斷開會話之前所需的空閑時間”。防火墻功能開啟防火墻功能加固項目名稱開啟防火墻功能加固編號Windows-02-02-01加固說明打開系統(tǒng)自帶防火墻，減小被網(wǎng)絡攻擊的風險。適用版本W(wǎng)in XP、Win 2003、Win 7、Win 2008操作步驟1.按下+R，輸入框中輸入Firewall.cpl；2.選擇“打開或關閉Windows

38、 防火墻”，點擊啟用 Windows 防火墻。備注配置訪問控制規(guī)則加固項目名稱配置訪問控制規(guī)則加固編號Windows-02-02-02適用版本W(wǎng)in 2000、Win XP、Win 2003、Win 7、Win 2008加固說明Win2000 使用 IP 安全策略實現(xiàn)訪問控制，其他 Windows 系統(tǒng)使用防火墻實現(xiàn)訪問控制，增加系統(tǒng)抵御網(wǎng)絡攻擊的能力。操作步驟1.在 Win 7 和 Win 2008：(1)按下+R，輸入框中輸入wf.msc，進入高級安全防火墻；(2)選擇協(xié)議和端口；(3)選擇需要進行的操作；(4)選擇規(guī)則應用的范圍；(5)命名規(guī)則，點擊完成。2.在 Win 2003、Win

39、 XP：(1)按下+R，輸入框中輸入 Firewall.cpl，進入Windows 防火墻例外選項卡；選擇協(xié)議和端口；選擇需要進行的操作；Win XP 防火墻采用白名單制度，只需勾選系統(tǒng)必須的專用端口。3.在 Win 2000：（1）按下+R，輸入框中輸入gpedit.msc，打開本地組策略編輯器，進入“計算機配置-windows 設置-IP 安全策略，在本地機器上”；雙擊“IP 安全策略，在本地機器上”，右擊打開“創(chuàng)建 IP 安全策略”，點擊“下一步”；配置 IP 安全策略名稱，取消勾選“激活默認響應規(guī)則” ，點擊“下一步”；雙擊進入新建策略的屬性，在“規(guī)則”選項中“添加”，取消勾選“使用添

40、加向導”，點擊添加；（5）進入IP 篩選器屬性，設置目標地址；（6）點擊“篩選器操作-添加”, 選擇安全方法為“許可”；(7)勾選上述新建的IP 篩選器和篩選器操作，點擊確定； PAGE 32(8)所有許可策略添加完成后，添加一條拒絕所有連接的 IP 安全策略，符合白名單配置的要求。備注接入管理外設接口禁用大容量存儲介質（USB 存儲設備）加固項目名稱禁用大容量存儲介質（USB 存儲設備）加固編號Windows-03-01-01加固說明禁用 USB 存儲設備，防止利用USB 接口非法接入。適用版本W(wǎng)in 2000、Win XP、Win 2003、Win 7、Win 2008操作步驟1.按下+R

41、，在輸入框輸入regedit，打開注冊表編輯器；2.進入HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR； 3.雙擊右側注冊表中的“Start”項，修改值為 4。備注自動播放關閉自動播放功能加固項目名稱關閉自動播放功能加固編號加固說明Windows-03-02-01關閉移動存儲介質或光驅的自動播放或自動打開功能，防止惡意程序通過 U 盤或光盤等移動存儲介質感染主機系統(tǒng)。適用版本操作步驟Win 2000、Win XP、Win 2003、Win 7、Win 20081.按下+R，輸入框中輸入gpedit.msc，進入“本地組策略編輯器

42、”；配置關閉自動播放策略： 在 Win 7 和 Win 2008:進入“計算機配置-管理模板-Windows 組件-自動播放策略”；查看右側小窗口，雙擊“關閉自動播放”，選擇“已啟用”；在“選項”中，選擇“所有驅動器”，點擊確定。在 Win 2000、Win XP 和Win 2003:進入“計算機配置-管理模板-系統(tǒng)”；查看右側小窗口，雙擊“關閉自動播放”，選擇“已啟用”；（3）在“選項”中，選擇“所有驅動器”，點擊確定。備注遠程登錄關閉遠程主機 RDP 服務加固項目名稱關閉遠程主機RDP 服務加固編號Windows-03-03-01加固說明處于網(wǎng)絡邊界的主機RDP 服務應處于關閉狀態(tài)，有遠程

43、登錄需求時可由管理員臨時開啟，避免非法用戶利用RDP 服務漏洞進行攻擊。適用版本W(wǎng)in XP、Win 2003、Win 7、Win 2008操作步驟在 Win 7 和 Win 2008：（1）右擊“計算機”，選擇“屬性”，點擊左側菜單欄中的“遠程設置”；（2）選擇“不允許連接到這臺計算機”，取消勾選“允許遠程協(xié)助連接到這臺計算機”，點擊確定。3在 Win XP 和 Win 2003：右擊“我的電腦”，選擇“屬性”，點擊“遠程”選項卡；取消勾選“允許用戶遠程連接到這臺計算機”和“允許這臺計算機發(fā)送遠程協(xié)助邀請”，點擊確定。備注限制遠程登錄的 IP加固項目名稱限制遠程登錄的IP加固編號Window

44、s-03-03-02 PAGE 39加固說明僅限于指定IP 地址范圍主機遠程登錄，防止非法主機的遠程訪問。適用版本W(wǎng)in XP、Win 2003、Win 7、Win 2008操作步驟1.按下+R，輸入框輸入gpedit.msc，進入“本地組策略編輯器”；2.分別進入“計算機配置-管理模板-網(wǎng)絡-網(wǎng)絡連接-Windows 防火墻-域配置文件”和“標準配置文件”，執(zhí)行 3、4 步操作； 3.雙擊“允許入站遠程桌面例外”,選擇“已啟用”；4.填入允許遠程登錄到本機的主機IP 地址，并以逗號分隔，點擊確定。備注限制遠程登錄協(xié)議加固項目名稱限制遠程登錄協(xié)議加固編號Windows-03-03-03加固說明

45、系統(tǒng)遠程登錄僅允許使用 Windows 系統(tǒng)自帶工具，嚴禁使用第三方遠程登錄軟件。適用版本W(wǎng)in 2000、Win XP、Win 2003、Win 7、Win 2008操作步驟進入“開始-控制面板-程序與功能”（添加刪除程序），查找是否有第三方遠程登錄軟件（服務端）；卸載系統(tǒng)中的第三方遠程登錄軟件。備注卸載 TeamViewer、PCAnywhere、向日葵等第三方遠程登錄軟件。限制遠程登錄時間加固項目名稱限制遠程登錄時間加固編號Windows-03-03-04加固說明設置遠程桌面服務在某個活動或空閑會話超時后自動終止，防止被非法用戶利用。適用版本W(wǎng)in XP、Win 2003、Win 7、W

46、in 2008操作步驟1.按下+R，在輸入框輸入gpedit.msc，進入“本地組策略編輯器”；2.開啟并設置時間限制：在 Win 7 和 Win 2008:進入“計算機配置-管理模板-Windows 組件-遠程桌面服務-遠程桌面會話主機-會話時間限制”，雙擊“達到時間限制終止會話”，選擇“已啟用”，點擊確定；雙擊“設置活動但空閑的遠程桌面服務會話的時間限制”，選擇“已啟用”， 設置“活動會話限制”為 10 分鐘，點擊確定。在 Win XP 和 Win 2003:進入“計算機配置-管理模板-Windows 組件-終端服務-會話”，雙擊“ 到達時間限制時終止會話”，選擇“已啟用”，點擊確定；雙擊

47、“為活動但空閑的終端服務會話設置時間限制”，選擇“已啟用”，設置“活動會話限制”為 10 分鐘，點擊確定。備注修改遠程桌面默認服務端口（可選）加固項目名稱修改遠程桌面默認服務端口加固編號Windows-03-03-05加固說明如啟用遠程桌面服務，建議修改默認服務端口，防止非法用戶利用默認端口訪問。適用版本W(wǎng)in XP、Win 2003、Win 7、Win 2008操作步驟1.按下+R，在輸入框中輸入regedit 命令，打開注冊表編輯器；進入HKLM/System/CurrentControlSet/Control/TerminalServer/WinStations/RDP- Tcp；雙擊“

48、PortNumber”子項，修改值為自定義端口（如 13889）,點擊確定。備注限制匿名用戶遠程連接加固項目名稱限制匿名用戶遠程連接加固編號Windows-03-03-06加固說明限制匿名用戶連接權限，防止用戶遠程枚舉本地賬號。適用版本W(wǎng)in XP、Win 2003、Win 7、Win 2008操作步驟1.按下+R，在輸入框輸入gpedit.msc，進入“本地組策略編輯器”；進入“計算機配置-Window 設置-安全設置-本地策略-安全選項”；雙擊“網(wǎng)絡訪問：不允許SAM 帳號和共享的匿名枚舉”，選擇“已啟用”，點擊確定；雙擊“網(wǎng)絡訪問：不允許 SAM 帳戶的匿名枚舉”，選擇“已啟用”，點擊確

49、定。備注主機間登錄禁止使用公鑰驗證加固項目名稱主機間登錄禁止使用公鑰驗證加固編號Windows-03-03-07加固說明禁止憑據(jù)管理器保存通過域身份驗證的密碼和憑據(jù)，避免用戶信息泄露。適用版本W(wǎng)in XP、Win 2003、Win 7、Win 2008操作步驟進入“控制面板-管理工具-本地安全策略-本地策略-安全選項”；雙擊“網(wǎng)絡訪問，不允許存儲網(wǎng)絡身份驗證的密碼和憑據(jù)”，選擇“已啟用”， 點擊確定。備注“網(wǎng)絡訪問，不允許存儲網(wǎng)絡身份驗證的密碼和憑據(jù)”在Win XP 和 Win 2003 中為“網(wǎng)絡訪問: 不允許存儲網(wǎng)絡身份驗證的憑據(jù)或.NET Passports”。外部連接管理禁止使用無線網(wǎng)

50、卡加固項目名稱禁止使用無線網(wǎng)卡加固編號Windows-03-04-01加固說明禁用無線網(wǎng)卡，防止設備通過無線網(wǎng)絡進行通信。適用版本W(wǎng)in 2000、Win XP、Win 2003、Win 7、Win 2008操作步驟1.核實是否存在無線網(wǎng)卡，若存在，請執(zhí)行以下操作并拔出網(wǎng)卡設備；2.按下+R，在輸入框輸入devmgmt.msc，進入“設備管理器”；3.查找右側“設備管理器”的窗口，選擇網(wǎng)絡適配器，找到無線網(wǎng)卡設備名稱；4.右擊該設備，選擇“禁用”，點擊“是”。備注日志與審計日志與審計配置日志策略加固項目名稱配置日志策略加固編號Windows-04-01-01加固說明配置系統(tǒng)日志策略配置文件，對系統(tǒng)登錄、訪問等行為進行審計，為后續(xù)問題追溯提供依據(jù)。適用版本W(wǎng)in 2000、Win XP、Win 2003、Win7、Win 2