Windows安全配置指引

Windows系統(tǒng)安全配置指南Windows系統(tǒng)安全配置指南中國聯(lián)通信息化事業(yè)部第1頁共21頁第1頁共21頁中國聯(lián)通信息化事業(yè)部

第2頁共第2頁共21頁版本版本控制信息更新日期更新人審批人V1.0創(chuàng)建2012年9月備注：1.若此文檔需要日后更新，請創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。中國聯(lián)通信息化事業(yè)部

Windows系統(tǒng)安全配置指南第1章概述 1目的 錯(cuò)誤！未定義書簽。適用范圍 錯(cuò)誤！未定義書簽。適用版本 錯(cuò)誤！未定義書簽。實(shí)施 錯(cuò)誤！未定義書簽。例外條款 錯(cuò)誤！未定義書簽。TOC\o"1-5"\h\z\o"CurrentDocument"第2章賬號管理、認(rèn)證授權(quán) 2\o"CurrentDocument"賬號 2\o"CurrentDocument"管理缺省賬戶 2口令 2密碼復(fù)雜度 2\o"CurrentDocument"密碼歷史 3\o"CurrentDocument"帳戶鎖定策略 4\o"CurrentDocument"授權(quán) 4遠(yuǎn)程關(guān)機(jī) 4\o"CurrentDocument"本地關(guān)機(jī) 5\o"CurrentDocument"用戶權(quán)利指派 5\o"CurrentDocument"第3章日志配置操作 7\o"CurrentDocument"日志配置 7\o"CurrentDocument"審核登錄 7\o"CurrentDocument"審核策略更改 7\o"CurrentDocument"審核對象訪問 8\o"CurrentDocument"審核事件目錄服務(wù)器訪問 8\o"CurrentDocument"審核特權(quán)使用 9\o"CurrentDocument"審核系統(tǒng)事件 9\o"CurrentDocument"審核賬戶管理 10\o"CurrentDocument"審核過程追蹤 10\o"CurrentDocument"日志文件大小 11\o"CurrentDocument"第4章IP協(xié)議安全配置 12IP協(xié)議 12\o"CurrentDocument"啟用SYN攻擊保護(hù). 12\o"CurrentDocument"第5章 設(shè)備其他配置操作 14\o"CurrentDocument"共享文件夾及訪問權(quán)限 14\o"CurrentDocument"關(guān)閉默認(rèn)共享 14\o"CurrentDocument"防病毒管理 14\o"CurrentDocument"數(shù)據(jù)執(zhí)行保護(hù) 14WINDOW服務(wù) 15第3頁共21頁\o"CurrentDocument"SNMP服務(wù)管理 15第3頁共21頁中國聯(lián)通信息化事業(yè)部

Windows系統(tǒng)安全配置指南TOC\o"1-5"\h\z\o"CurrentDocument"啟動(dòng)項(xiàng) 16\o"CurrentDocument"關(guān)閉Windows自動(dòng)播放功能 16第4頁共21頁\o"CurrentDocument"第6章評審與修訂 17第4頁共21頁中國聯(lián)通信息化事業(yè)部

Windows系統(tǒng)安全配置指南第1章概述目的本文檔規(guī)定了中國聯(lián)通通信有限公司管信息化事業(yè)部所維護(hù)管理的WINDOWS操作系統(tǒng)的主機(jī)應(yīng)當(dāng)遵循的操作系統(tǒng)安全性設(shè)置標(biāo)準(zhǔn)，本文檔旨在指導(dǎo)系統(tǒng)管理人員或安全檢查人員進(jìn)行WINDOWS操作系統(tǒng)的安全合規(guī)性檢查和配置。適用范本配置標(biāo)準(zhǔn)的使用者包括：服務(wù)器系統(tǒng)管理員、應(yīng)用管理員、網(wǎng)絡(luò)安全管理員。本配置標(biāo)準(zhǔn)適用的范圍包括：中國聯(lián)通總部和各省公司信息化部門維護(hù)管理WINDOWS服務(wù)器系統(tǒng)。適用版本W(wǎng)INDOWS系列服務(wù)器;實(shí)施本標(biāo)準(zhǔn)的解釋權(quán)和修改權(quán)屬于中國聯(lián)通集團(tuán)信息化事業(yè)部，在本標(biāo)準(zhǔn)的執(zhí)行過程中若有任何疑問或建議，應(yīng)及時(shí)反饋。本標(biāo)準(zhǔn)發(fā)布之日起生效。例外條款欲申請本標(biāo)準(zhǔn)的例外條款，申請人必須準(zhǔn)備書面申請文件，說明業(yè)務(wù)需求和原因，送交第1第1頁共21頁中國聯(lián)通信息化事業(yè)部

Windows系統(tǒng)安全配置指南第2章賬號管理、認(rèn)證授權(quán)賬號管理缺省賬戶項(xiàng)目名稱操作系統(tǒng)缺省賬戶要求項(xiàng)編號Windows-02-01-01項(xiàng)目說明對于管理員帳號，要求更改缺省帳戶名稱；禁用guest（來賓）帳號。檢測操作步驟進(jìn)入“控制面板-＞管理工具-＞計(jì)算機(jī)管理”，在“系統(tǒng)工具-＞本地用戶和組”：缺省帳戶Administrator—＞屬性Guest帳號-＞屬性符合性判定依據(jù)缺省賬戶Administrator名稱已更改。Guest帳號已停用。配置方法進(jìn)入“控制面板-＞管理工具-＞計(jì)算機(jī)管理”，在“系統(tǒng)工具-＞本地用戶和組”。Administrator—＞屬性一〉更改名稱Guest帳號-＞屬性一＞已停用實(shí)施風(fēng)險(xiǎn)業(yè)務(wù)系統(tǒng)直接利用Administrator賬號管理需相應(yīng)修改其賬號。備注口令密碼復(fù)雜度項(xiàng)目名稱操作系統(tǒng)密碼復(fù)雜度要求項(xiàng)編號Windows-02-02-01項(xiàng)目說明最短密碼長度8個(gè)字符，啟用本機(jī)組策略中密碼必須符合復(fù)雜性要求的策略。即密碼至少包含以下四種類別的字符中的三種：英語大寫字母A,B,C,…Z中國聯(lián)通信息化事業(yè)部第2頁共21頁

Windows系統(tǒng)安全配置指南英語小寫字母a,b,c,…z西方阿拉伯?dāng)?shù)字0,1,2,…9非字母數(shù)字字符，如標(biāo)點(diǎn)符號，@,#,$,%,&,*等檢測操作步驟進(jìn)入“控制面板->管理工具->本地安全策略”，在“帳戶策略->密碼策略”：查看是否“密碼必須符合復(fù)雜性要求”選擇“已啟動(dòng)”符合性判定依據(jù)“密碼必須符合復(fù)雜性要求”選擇“已啟動(dòng)”配置方法進(jìn)入“控制面板->管理工具->本地安全策略”，在“帳戶策略->密碼策略”?！懊艽a必須符合復(fù)雜性要求”選擇“已啟動(dòng)”設(shè)置如下策略策略默認(rèn)設(shè)置推薦最低設(shè)置最短密碼長度0個(gè)字符8個(gè)字符密碼必須符合復(fù)雜性要求禁用啟用為域中所有用戶使用可還原的加密來儲存密碼禁用禁用實(shí)施風(fēng)險(xiǎn)風(fēng)險(xiǎn)較小備注密碼歷史項(xiàng)目名稱操作系統(tǒng)密碼歷史要求項(xiàng)編號Windows-02-02-02項(xiàng)目說明對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，賬戶口令的生存期不長于90天。檢測操作步驟進(jìn)入“控制面板->管理工具->本地安全策略”，在“帳戶策略->密碼策略”：查看“密碼最長存留期”符合性判定依據(jù)“密碼最長存留期”設(shè)置不大于“90天”配置方法進(jìn)入“控制面板->管理工具->本地安全策略”，在“帳戶策略->密碼策略”。設(shè)置如下策略：策略默認(rèn)設(shè)置推薦最低設(shè)置強(qiáng)制執(zhí)行密碼歷史記錄記住1個(gè)密碼記住5個(gè)碼密碼最長期限42天90天中國聯(lián)通信息化事業(yè)部第3頁共21頁

Windows系統(tǒng)安全配置指南密碼最短期限0天2天實(shí)施風(fēng)險(xiǎn)業(yè)務(wù)系統(tǒng)直接利用的賬號不適用密碼最長90天期限備注帳戶鎖定策略項(xiàng)目名稱操作系統(tǒng)賬戶鎖定策略要求項(xiàng)編號Windows-02-02-03項(xiàng)目說明對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過6次（不含6次），鎖定該用戶使用的賬號。檢測操作步驟進(jìn)入“控制面板->管理工具->本地安全策略”，在“帳戶策略->帳戶鎖定策略”：查看“賬戶鎖定閥值”設(shè)置符合性判定依據(jù)“賬戶鎖定閥值”設(shè)置為小于或等于6次配置方法參考配置操作：進(jìn)入“控制面板->管理工具->本地安全策略”，在“帳戶策略->賬戶鎖定策略”。設(shè)置如下策略：策略默認(rèn)設(shè)置推薦最低設(shè)置賬戶鎖定時(shí)間未定義30分鐘賬戶鎖定閾值06次無效登錄復(fù)位賬戶鎖定計(jì)數(shù)器未定義30分鐘實(shí)施風(fēng)險(xiǎn)安全掃描檢測暴力破解口令將導(dǎo)致賬號鎖定。備注授權(quán)遠(yuǎn)程關(guān)機(jī)項(xiàng)目名稱操作系統(tǒng)遠(yuǎn)程關(guān)機(jī)策略要求項(xiàng)編號Windows-02-03-01項(xiàng)目說明在本地安全設(shè)置中從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)只指派給Administrators組。檢測操作步進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權(quán)利指派”：中國聯(lián)通信息化事業(yè)部第4頁共21頁

Windows系統(tǒng)安全配置指南驟查看“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置符合性判定依據(jù)“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置為“只指派給Administrtors組”配置方法進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權(quán)利指派”?！皬倪h(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置為“只指派給Administrators組”。實(shí)施風(fēng)險(xiǎn)風(fēng)險(xiǎn)較小備注本地關(guān)機(jī)項(xiàng)目名稱操作系統(tǒng)本地關(guān)機(jī)策略要求項(xiàng)編號Windows-02-03-02項(xiàng)目說明在本地安全設(shè)置中關(guān)閉系統(tǒng)僅指派給Administrators組。檢測操作步驟進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權(quán)利指派”：查看“關(guān)閉系統(tǒng)”設(shè)置符合性判定依據(jù)“關(guān)閉系統(tǒng)”設(shè)置為“只指派給Administrators組”配置方法參考配置操作：進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權(quán)利指派”?！瓣P(guān)閉系統(tǒng)”設(shè)置為“只指派給Administrators組”。實(shí)施風(fēng)險(xiǎn)風(fēng)險(xiǎn)較小備注用戶權(quán)利指派項(xiàng)目名稱操作系統(tǒng)用戶權(quán)力指派策略要求項(xiàng)編號Windows-02-03-03項(xiàng)目說明在本地安全設(shè)置中取得文件或其它對象的所有權(quán)僅指派給Administrators。檢測操作步驟進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權(quán)利指派”：查看是否“取得文件或其它對象的所有權(quán)”設(shè)置符合性判定依據(jù)“取得文件或其它對象的所有權(quán)”設(shè)置為“只指派給Administrators組”配置方法進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權(quán)利指派”。中國聯(lián)通信息化事業(yè)部第5頁共21頁

Windows系統(tǒng)安全配置指南“取得文件或其它對象的所有權(quán)”設(shè)置為“只指派給Administrators組”。實(shí)施風(fēng)險(xiǎn)風(fēng)險(xiǎn)較小備注第6頁共第6頁共21頁Windows系統(tǒng)安全配置指南第3章日志配置操作3.1日志配置3.1.1審核登錄項(xiàng)目名稱操作系統(tǒng)審核登錄策略要求項(xiàng)編號Windows-03-01-01項(xiàng)目說明設(shè)備應(yīng)配置日志功能，對用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的賬號，登錄是否成功，登錄時(shí)間，以及遠(yuǎn)程登錄時(shí)，用戶使用的IP地址。檢測操作步驟開始-＞運(yùn)行-＞執(zhí)行"控制面板-＞管理工具-＞本地安全策略-＞審核策略”審核登錄事件。符合性判定依據(jù)審核登錄事件，設(shè)置為成功和失敗都審核。配置方法參考配置操作：開始-＞運(yùn)行-＞執(zhí)行"控制面板-＞管理工具-＞本地安全策略-＞審核策略”審核登錄事件，雙擊，設(shè)置為成功和失敗都審核。實(shí)施風(fēng)險(xiǎn)風(fēng)險(xiǎn)較小備注3.1.2審核策略更改項(xiàng)目名稱操作系統(tǒng)審核策略更改要求項(xiàng)編號Windows-03-01-02項(xiàng)目說明啟用組策略中對Windows系統(tǒng)的審核策略更改，成功和失敗都要審核。檢測操作步驟進(jìn)入“控制面板-＞管理工具-＞本地安全策略”，在“本地策略-＞審核策略”中查看“審核策略更改”設(shè)置。符合性判定依據(jù)“審核策略更改”設(shè)置為“成功”和“失敗”都要審核。配置方法參考配置操作：開始-＞運(yùn)行-＞執(zhí)行"控制面板-＞管理工具-＞本地安全策略-＞審核策略”中國聯(lián)通信息化事業(yè)部第7頁共21頁

Windows系統(tǒng)安全配置指南審核策略更改，雙擊，設(shè)置為成功和失敗都審核。實(shí)施風(fēng)險(xiǎn)風(fēng)險(xiǎn)較小備注3.1.3審核對象訪問項(xiàng)目名稱操作系統(tǒng)審核對象訪問要求項(xiàng)編號Windows-03-01-03項(xiàng)目說明啟用組策略中對Windows系統(tǒng)的審核對象訪問，成功和失敗都要審核。檢測操作步驟進(jìn)入“控制面板-＞管理工具-＞本地安全策略”，在“本地策略-＞審核策略”中：查看“審核對象訪問”設(shè)置。符合性判定依據(jù)“審核對象訪問”設(shè)置為“成功”和“失敗”都要審核。配置方法參考配置操作：開始-＞運(yùn)行-＞執(zhí)行"控制面板-＞管理工具-＞本地安全策略-＞審核策略”審核對象訪問，雙擊，設(shè)置為成功和失敗都審核。實(shí)施風(fēng)險(xiǎn)風(fēng)險(xiǎn)較小備注審核事件目錄服務(wù)器訪問項(xiàng)目名稱操作系統(tǒng)審核事件目錄服務(wù)器訪問策略要求項(xiàng)編號Windows-03-01-04項(xiàng)目說明啟用組策略中對Windows系統(tǒng)的審核目錄服務(wù)訪問，失敗。檢測操作步驟進(jìn)入“控制面板-＞管理工具-＞本地安全策略”，在“本地策略-＞審核策略”中：查看“審核目錄服務(wù)器訪問”設(shè)置。符合性判定依據(jù)“審核目錄服務(wù)器訪問”設(shè)置為“成功”和“失敗”都要審核。配置方法參考配置操作：開始-＞運(yùn)行-＞執(zhí)行"控制面板-＞管理工具-＞本地安全策略-＞審核策略”審核目錄服務(wù)器訪問，雙擊，設(shè)置為成功和失敗都審核。實(shí)施風(fēng)險(xiǎn)風(fēng)險(xiǎn)較小中國聯(lián)通信息化事業(yè)部第8頁共21頁

Windows系統(tǒng)安全配置指南備注審核特權(quán)使用項(xiàng)目名稱操作系統(tǒng)審核特權(quán)使用策略要求項(xiàng)編號Windows-03-01-05項(xiàng)目說明啟用組策略中對Windows系統(tǒng)的審核特權(quán)使用，成功和失敗都要審核。檢測操作步驟進(jìn)入“控制面板-＞管理工具-＞本地安全策略”，在“本地策略-＞審核策略”中：查看“審核特權(quán)使用”設(shè)置。符合性判定依據(jù)“審核特權(quán)使用”設(shè)置為“成功”和“失敗”都要審核。配置方法參考配置操作：開始-＞運(yùn)行-＞執(zhí)行"控制面板-＞管理工具-＞本地安全策略-＞審核策略”審核特權(quán)使用，雙擊，設(shè)置為成功和失敗都審核。實(shí)施風(fēng)險(xiǎn)風(fēng)險(xiǎn)較小備注第9頁共21第9頁共21頁項(xiàng)目名稱操作系統(tǒng)審核系統(tǒng)事件策略要求項(xiàng)編號Windows-03-01-06項(xiàng)目說明啟用組策略中對Windows系統(tǒng)的審核系統(tǒng)事件，成功和失敗都要審核。檢測操作步驟進(jìn)入“控制面板-＞管理工具-＞本地安全策略”，在“本地策略-＞審核策略”中：查看“審核系統(tǒng)事件”設(shè)置。符合性判定依據(jù)“審核系統(tǒng)事件”設(shè)置為“成功”和“失敗”都要審核。配置方法參考配置操作：開始-＞運(yùn)行-＞執(zhí)行"控制面板-＞管理工具-＞本地安全策略-＞審核策略”審核系統(tǒng)事件，雙擊，設(shè)置為成功和失敗都審核。實(shí)施風(fēng)險(xiǎn)風(fēng)險(xiǎn)較小備注中國聯(lián)通信息化事業(yè)部

Windows系統(tǒng)安全配置指南審核賬戶管理項(xiàng)目名稱操作系統(tǒng)審核賬戶管理策略要求項(xiàng)編號Windows-03-01-07項(xiàng)目說明啟用組策略中對Windows系統(tǒng)的審核帳戶管理，成功和失敗都要審核。檢測操作步驟進(jìn)入“控制面板-＞管理工具-＞本地安全策略”，在“本地策略-＞審核策略”中：查看“審核賬戶管理”設(shè)置。符合性判定依據(jù)“審核賬戶管理”設(shè)置為“成功”和“失敗”都要審核。配置方法參考配置操作：開始-＞運(yùn)行-＞執(zhí)行"控制面板-＞管理工具-＞本地安全策略-＞審核策略”審核賬戶管理，雙擊，設(shè)置為成功和失敗都審核。實(shí)施風(fēng)險(xiǎn)風(fēng)險(xiǎn)較小備注第10頁共21第10頁共21頁項(xiàng)目名稱操作系統(tǒng)審核過程追蹤策略要求項(xiàng)編號Windows-03-01-08項(xiàng)目說明啟用組策略中對Windows系統(tǒng)的審核過程追蹤失敗。檢測操作步驟進(jìn)入“控制面板-＞管理工具-＞本地安全策略”，在“本地策略-＞審核策略”中：查看“審核過程追蹤”設(shè)置。符合性判定依據(jù)“審核過程追蹤”設(shè)置為“失敗”需要審核。配置方法參考配置操作：開始-＞運(yùn)行-＞執(zhí)行"控制面板-＞管理工具-＞本地安全策略-＞審核策略”審核過程追蹤，雙擊，設(shè)置為成功和失敗都審核。實(shí)施風(fēng)險(xiǎn)風(fēng)險(xiǎn)較小備注中國聯(lián)通信息化事業(yè)部

Windows系統(tǒng)安全配置指南第11頁共21第11頁共21頁項(xiàng)目名稱操作系統(tǒng)日志容量要求項(xiàng)編號Windows-03-01-09項(xiàng)目說明設(shè)置應(yīng)用日志文件大小至少為8192KB，設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)，按需要改寫事件。檢測操作步驟進(jìn)入“控制面板->管理工具->事件查看器”，在“事件查看器（本地）”中：查看“應(yīng)用日志”“系統(tǒng)日志”“安全日志”屬性中的日志大小，以及設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)的相應(yīng)策略。符合性判定依據(jù)“應(yīng)用日志”“系統(tǒng)日志” “安全日志”屬性中的日志大小設(shè)置不小于“8192KB”，設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)，“按需要改寫事件”配置方法參考配置操作：進(jìn)入“控制面板->管理工具->事件查看器”，在“事件查看器（本地）”中：“應(yīng)用日志”屬性中的日志大小設(shè)置不小于“8192KB”，設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)，“按需要改寫事件”“系統(tǒng)日志”屬性中的日志大小設(shè)置不小于“8192KB”，設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)，“按需要改寫事件”“安全日志”屬性中的日志大小設(shè)置不小于“8192KB”，設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)，“按需要改寫事件”實(shí)施風(fēng)險(xiǎn)需查看C盤剩余空間。備注中國聯(lián)通信息化事業(yè)部

Windows系統(tǒng)安全配置指南第4章IP協(xié)議安全配置IP協(xié)議第12頁共21頁啟用第12頁共21頁項(xiàng)目名稱操作系統(tǒng)SYN攻擊保護(hù)要求項(xiàng)編號Windows-04-01-01項(xiàng)目說明啟用SYN攻擊保護(hù)；指定觸發(fā)SYN洪水攻擊保護(hù)所必須超過的TCP連接請求數(shù)閥值為5；指定處于SYN_RCVD狀態(tài)的TCP連接數(shù)的閾值為500；指定處于至少已發(fā)送一次重傳的SYN_RCVD狀態(tài)中的TCP連接數(shù)的閾值為400。檢測操作步驟在“開始-＞運(yùn)行-＞鍵入regedit”查看注冊表項(xiàng)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetriedo符合性判定依據(jù)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect;推薦值：2oHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted;推薦值：5。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen;推薦值數(shù)據(jù)：500oHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried。推薦值數(shù)據(jù)：400。中國聯(lián)通信息化事業(yè)部

Windows系統(tǒng)安全配置指南配置方法參考配置操作：在“開始-＞運(yùn)行-＞鍵入regedit”啟用SYN攻擊保護(hù)的命名值位于注冊表項(xiàng)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services之下。值名稱：SynAttackProtect。推薦值：2。以下部分中的所有項(xiàng)和值均位于注冊表項(xiàng)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services之下。指定必須在觸發(fā)SYNflood保護(hù)之前超過的TCP連接請求閾值。值名稱：TcpMaxPortsExhausted。推薦值：5。啟用SynAttackProtect后，該值指定SYN_RCVD狀態(tài)中的TCP連接閾值，超過SynAttackProtect時(shí)，觸發(fā)SYNflood保護(hù)。值名稱：TcpMaxHalfOpen。推薦值數(shù)據(jù)：500。啟用SynAttackProtect后，指定至少發(fā)送了一次重傳的SYN_RCVD狀態(tài)中的TCP連接閾值。超過SynAttackProtect時(shí)，觸發(fā)SYNflood保護(hù)。值名稱：TcpMaxHalfOpenRetried。推薦值數(shù)據(jù)：400。實(shí)施風(fēng)險(xiǎn)業(yè)務(wù)系統(tǒng)可針對自身特點(diǎn)相應(yīng)調(diào)整具體數(shù)值，內(nèi)網(wǎng)系統(tǒng)遇到SYNflood攻擊概率較低。備注第13頁共第13頁共21頁Windows系統(tǒng)安全配置指南第5章設(shè)備其他配置操作5.1共享文件夾及訪問權(quán)限5.1.1關(guān)閉默認(rèn)共享項(xiàng)目名稱操作系統(tǒng)默認(rèn)共享要求項(xiàng)編號Windows-05-01-01項(xiàng)目說明非域環(huán)境中，關(guān)閉Windows硬盤默認(rèn)共享，例如C$，D$。檢測操作步驟進(jìn)入“開始一>運(yùn)行—>Regedit”，進(jìn)入注冊表編輯器，查看HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer；符合性判定依據(jù)HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer鍵，值為0。配置方法進(jìn)入“開始一＞運(yùn)行一＞Regedit”，進(jìn)入注冊表編輯器，更改注冊表鍵值：在HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\下，增加REG_DWORD類型的AutoShareServer鍵，值為0。實(shí)施風(fēng)險(xiǎn)利用共享訪問的業(yè)務(wù)系統(tǒng)需仔細(xì)測試。備注5.2防病毒管理第14頁共21頁第14頁共21頁項(xiàng)目名稱操作系統(tǒng)數(shù)據(jù)執(zhí)行保護(hù)要求項(xiàng)編號Windows-05-02-01項(xiàng)目說明對于WindowsXPSP2及Windows2003對Windows操作系統(tǒng)程序和服務(wù)啟用系統(tǒng)自帶DEP功能（數(shù)據(jù)執(zhí)行保護(hù)），防止在受保護(hù)內(nèi)存位置運(yùn)行有害代碼。中國聯(lián)通信息化事業(yè)部

Windows系統(tǒng)安全配置指南檢測操作步驟進(jìn)入“控制面板一＞系統(tǒng)”，在“高級”選項(xiàng)卡的“性能”下的“設(shè)置”。進(jìn)入“數(shù)據(jù)執(zhí)行保護(hù)”選項(xiàng)卡。查看“僅為基本W(wǎng)indows操作系統(tǒng)程序和服務(wù)啟用DEP”。符合性判定依據(jù)“數(shù)據(jù)執(zhí)行保護(hù)”選項(xiàng)卡已設(shè)置為“僅為基本W(wǎng)indows操作系統(tǒng)程序和服務(wù)啟用DEP”。配置