網(wǎng)絡安全攻防演練護網(wǎng)工作報告

攻防演練概述攻防演練背景網(wǎng)絡安全實戰(zhàn)攻防演練（以下簡稱“攻防演練”）是以獲取目標系統(tǒng)的最高控制權為目標，由多領域安全專家組成攻擊隊，在保障業(yè)務系統(tǒng)安全的前提下，采用“不限攻擊路徑，不限制攻擊手段”的攻擊方式，而形成的“有組織”的網(wǎng)絡攻擊行為。本次攻防演練由xxxxx信息技術有限公司作為攻擊方，XXX單位的xxx系統(tǒng)、xxx業(yè)務系統(tǒng)等信息系統(tǒng)進行滲透性測試。攻防演練通常是在真實環(huán)境下對參演單位目標系統(tǒng)進行可控、可審計的網(wǎng)絡安全實戰(zhàn)攻擊，通過攻防演練檢驗參演單位的安全防護和應急處置能力，提高網(wǎng)絡安全的綜合防控能力。護網(wǎng)概述在攻防演練中，為充分檢驗參演單位及目標系統(tǒng)的安全防護、監(jiān)測和應急處置能力，演練組織方通常會選擇由經(jīng)驗豐富的安全專家組成攻擊隊開展網(wǎng)絡攻擊，在確保不影響業(yè)務的前提下，選擇一切可利用的資源和手段，采用多變、靈活、隱蔽的攻擊力求取得最大戰(zhàn)果。XXX單位作為防守方，面對“隱蔽”的網(wǎng)絡攻擊，如何才能有效防御呢？除了信息系統(tǒng)本身的完善性，可靠性、安全性外，還需要在信息系統(tǒng)的前端部署強大網(wǎng)絡安全防護體系，包括WAF、防火墻、IPS、IDS等安全設備。同時為了減少信息系統(tǒng)的攻擊面和薄弱點，防守方對信息系統(tǒng)主機的安全加固、網(wǎng)絡安全設備策略加固也顯得尤為重要。護網(wǎng)方案初步工作計劃攻防演練防護工作的初工作計劃如下：工作階段重點任務工作內(nèi)容時間計劃準備階段目標系統(tǒng)梳理網(wǎng)絡路徑梳理關聯(lián)資產(chǎn)梳理針對本次參演系統(tǒng)進行網(wǎng)絡路徑和關聯(lián)資產(chǎn)梳理，為后續(xù)細化監(jiān)測、防護方案奠定基礎。目標系統(tǒng)網(wǎng)絡安全專項應急預案梳理并確認目標系統(tǒng)網(wǎng)絡安全專項應急預案，確定網(wǎng)絡安全處置流程、措施等攻防預演練階段預演練啟動會啟動XXX系統(tǒng)“護網(wǎng)-2019”攻防預演練工作預演練平臺準備采用為公安部攻防演練提供支撐的專用攻防演練支撐平臺，攻擊人員的所有訪問通過VPN接入演練平臺，平臺對攻擊過程所有行為進行記錄、監(jiān)管、分析、審計和追溯。正式預演練信息安全管理處組織攻擊隊針對XXX參演系統(tǒng)進行受控的網(wǎng)絡攻擊，防守方進行防守，攻擊隊分兩組，每組2-4人，攻擊時間2周。預演練總結針對攻防預演練中發(fā)現(xiàn)的問題進行總結，形成專項的安全自查和整改要求。安全自查整改階段安全自查--安全漏洞掃描--安全基線核查--源代碼安全檢測--日志審計--安全策略檢查開展防護安全自查和整改工作，針對演練中發(fā)現(xiàn)的問題進行整改和修復，同時針對參演系統(tǒng)相關資產(chǎn)和關聯(lián)問題進一步排查，能夠更全面的發(fā)現(xiàn)安全隱患。安全整改加固--安全加固--安全策略配置優(yōu)化對系統(tǒng)漏洞隱患進行加固，修訂、優(yōu)化網(wǎng)絡安全策略配置，加強安全措施效能發(fā)揮。正式演練和總結階段正式演練--攻擊監(jiān)控和阻斷--溯源和分析研判正式演練期間參演系統(tǒng)的運維處室要加強網(wǎng)絡和應用系統(tǒng)安全監(jiān)測，針對異常問題及時進行分析和處置，必要時對問題進行溯源和研判?？偨Y匯報在攻防演練結束后，針對總結演練中發(fā)現(xiàn)的安全問題、安全漏洞隱患、攻擊情況、防守情況、安全防護措施、監(jiān)測手段、響應和協(xié)同處置等進行總結匯報。準備階段網(wǎng)絡路徑梳理對目標系統(tǒng)相關的網(wǎng)絡訪問路徑進行梳理，明確系統(tǒng)訪問源（包括用戶、設備或系統(tǒng)）的類型、位置和途徑的網(wǎng)絡節(jié)點，繪制準確的網(wǎng)絡路徑圖。網(wǎng)絡路徑梳理須明確從互聯(lián)網(wǎng)訪問的路徑、內(nèi)部訪問路徑等，全面梳理目標系統(tǒng)可能被訪問到的路徑和數(shù)據(jù)流向，為后續(xù)有針對性的網(wǎng)絡安全防護和監(jiān)控點部署奠定基礎。關聯(lián)及未知資產(chǎn)梳理梳理xxx系統(tǒng)、xxx業(yè)務系統(tǒng)等信息系統(tǒng)關聯(lián)及未知資產(chǎn)，形成目標系統(tǒng)的關聯(lián)資產(chǎn)清單、未知資產(chǎn)清單，關聯(lián)資產(chǎn)包括目標系統(tǒng)網(wǎng)絡路徑中的各個節(jié)點設備、節(jié)點設備同一區(qū)域的其它設備以及目標系統(tǒng)相關資產(chǎn)，未知資產(chǎn)包括與目標系統(tǒng)可有關聯(lián)但未記錄在關聯(lián)資產(chǎn)清單里的資產(chǎn)，為后續(xù)安全自查和整改加固等工作提供基礎數(shù)據(jù)。專項應急預案確認針對本次攻防演練的目標系統(tǒng)進行專項應急預案的梳理，確定應急預案的流程、措施有效，針對應急預案的組織、技術、管理流程內(nèi)容進行完善，確保能夠有效支撐后續(xù)演練工作。加強安全監(jiān)測防御體系梳理當前已有的安全監(jiān)測和防御產(chǎn)品，對其實現(xiàn)的功能和防御范圍進行確定，并根據(jù)已梳理的重要資產(chǎn)和網(wǎng)絡路徑，建立針對性的臨時性（租用或借用）或者長久性（購買）的安全監(jiān)測防御體系，為后續(xù)正式演練及防護階段提供工具和手段支持。安全自查和整改階段根據(jù)準備階段形成的目標系統(tǒng)關聯(lián)資產(chǎn)清單、未知資產(chǎn)清單，對與組成目標系統(tǒng)相關的網(wǎng)絡設備、服務器、中間件、數(shù)據(jù)庫、應用系統(tǒng)、安全設備等開展安全自查和整改工作。通過安全自查對目標系統(tǒng)的安全狀況得以真實反映，結合整改加固手段對評估發(fā)現(xiàn)的問題逐一進行整改。設置必要的防御規(guī)則，基于最小權限原則制定，即僅僅開放允許業(yè)務正常運行所必須的網(wǎng)絡和系統(tǒng)資源。確保目標系統(tǒng)在攻防預演練前所有安全問題均已采取措施得到處理。網(wǎng)絡安全檢查網(wǎng)絡架構評估針對目標系統(tǒng)開展網(wǎng)絡架構評估工作，以評估目標系統(tǒng)在網(wǎng)絡架構方面的合理性，網(wǎng)絡安全防護方面的健壯性，是否已具備有效的防護措施；形成網(wǎng)絡架構評估報告。網(wǎng)絡安全策略檢查針對目標系統(tǒng)所涉及的網(wǎng)絡設備進行策略檢查，確保目前已有策略均按照“按需開放，最小開放”的原則進行開放；確保目標系統(tǒng)所涉及的網(wǎng)絡設備中無多余、過期的網(wǎng)絡策略；形成網(wǎng)絡安全策略檢查報告。網(wǎng)絡安全基線檢查針對目標系統(tǒng)所涉及的網(wǎng)絡設備進行安全基線檢查，重點檢查多余服務、多余賬號、口令策略，禁止存在默認口令和弱口令等配置情況；形成網(wǎng)絡安全基線檢查報告。安全設備基線檢查針對目標系統(tǒng)所涉及的安全設備進行安全基線檢查，重點檢查多余賬號、口令策略、策略啟用情況、應用規(guī)則、特征庫升級情況，禁止存在默認口令和弱口令等配置情況；形成安全設備基線檢查報告。主機安全檢查操作系統(tǒng)安全基線針對目標系統(tǒng)所涉及主機的操作系統(tǒng)進行安全檢查，重點檢查多余賬號、口令策略、賬號策略、遠程管理等情況；形成主機安全基線檢查報告。數(shù)據(jù)庫安全基線針對目標系統(tǒng)所涉及的數(shù)據(jù)庫進行安全檢查，重點檢查多余賬號、口令策略、賬號策略、遠程管理等情況；形成主機安全基線檢查報告。中間件安全基線針對目標系統(tǒng)所涉及的中間件進行安全檢查，重點檢查中間件管理后臺、口令策略、賬號策略、安全配置等情況；形成中間件安全基線檢查報告。操作系統(tǒng)漏洞掃描針對目標系統(tǒng)所涉及的主機、數(shù)據(jù)庫以及中間件進行安全漏洞掃描；形成主機安全漏洞掃描報告。應用系統(tǒng)安全檢查應用系統(tǒng)合規(guī)檢查針對目標系統(tǒng)應用進行安全合規(guī)檢查，重點檢查應用系統(tǒng)多余賬號、賬號策略、口令策略、后臺管理等情況；形成應用系統(tǒng)合規(guī)檢查報告。應用系統(tǒng)源代碼檢測針對目標系統(tǒng)應用進行源代碼檢測；形成應用系統(tǒng)源代碼檢測報告。應用系統(tǒng)漏洞掃描針對目標應用系統(tǒng)的URL、WEB頁面進行安全漏洞掃描；形成應用系統(tǒng)安全漏洞掃描報告。安全整改加固基于以上安全自查發(fā)現(xiàn)的問題和隱患，及時進行安全加固、策略配置優(yōu)化和改進，切實加強系統(tǒng)的自身防護能力和安全措施的效能，減少安全隱患，降低可能被外部攻擊利用的脆弱性和風險。業(yè)務主管單位協(xié)同安全部門完善網(wǎng)絡安全專項應急預案，針對可能產(chǎn)生的網(wǎng)絡安全攻擊事件建立專項處置流程和措施。正式防護階段當開啟正式防護后，防護小組組織各部門人員，根據(jù)崗位職責開展安全事件實時監(jiān)測工作。安全部門組織其他部門人員借助安全防護設備（全流量分析設備、Web防火墻、IDS、IPS、數(shù)據(jù)庫審計等）開展攻擊安全事件實時監(jiān)測，對發(fā)現(xiàn)的攻擊行為進行確認，詳細記錄攻擊相關數(shù)據(jù)，為后續(xù)處置工作開展提供信息。事件分析與處置防護小組在演練期間安排專人進行值守，對業(yè)務進行實時監(jiān)測，根據(jù)監(jiān)測到安全事件，協(xié)同進行分析和確認。如有必要可通過主機日志、網(wǎng)絡設備日志、入侵檢測設備日志等信息對攻擊行為進行分析，以找到攻擊者的源IP地址、攻擊服務器IP地址、郵件地址等信息，并對攻擊方法、攻擊方式、攻擊路徑和工具等進行分析研判。防護小組根據(jù)分析結果，應采取相應的處置措施，來確保目標系統(tǒng)安全。通過遏制攻擊行為，使其不再危害目標系統(tǒng)和網(wǎng)絡，依據(jù)攻擊行為的具體特點實時制定攻擊阻斷的安全措施，詳細記錄攻擊阻斷操作。業(yè)務主管單位對業(yè)務穩(wěn)定性進行監(jiān)測，工作接口人及時通報相關信息。演練工作小組應針對攻擊演練中可能產(chǎn)生的攻擊事件，根據(jù)已經(jīng)制定的網(wǎng)絡安全專項應急預案進行協(xié)同處置，同時在明確攻擊源和攻擊方式后，保證正常業(yè)務運行的前提下，可以通過調(diào)整安全設備策略的方式對攻擊命令或IP進行阻斷，分析確認攻擊嘗試利用的安全漏洞，確認安全漏洞的影響，制定漏洞修復方案并及時修復。防護總結與整改全面總結本次攻防演練各階段的工作情況，包括組織隊伍、攻擊情況、防守情況、安全防護措施、監(jiān)測手段、響應和協(xié)同處置等，形成總結報告并向有關單位匯報。針對演練結果，對在演練過程中還存在的脆弱點，開展整改工作，進一步提高目標系統(tǒng)的安全防護能力。護網(wǎng)實施資產(chǎn)梳理在演練期間攻擊方會針對用戶的各個業(yè)務系統(tǒng)進行批量掃描和收集信息以獲取攻擊點進行攻擊。用戶應以對外服務的業(yè)務系統(tǒng)為單位進行逐一的安全檢查，因此用戶對于自身的業(yè)務系統(tǒng)以及IT資產(chǎn)的統(tǒng)計和梳理顯得尤為重要。XXX單位共有六個業(yè)務系統(tǒng)部署在政務云平臺之上，詳細如下:互聯(lián)網(wǎng)區(qū)公用網(wǎng)絡區(qū)網(wǎng)絡架構梳理拓撲政務云平臺除了運行XXX單位的業(yè)務系統(tǒng)外還部署了其它眾多單位的業(yè)務系統(tǒng)，各單位之間以云租戶進行區(qū)分。為了防止其它單位某些服務器失陷后攻擊方借此進行橫向攻擊，XXX單位應對本租戶的防火墻進行檢查和安全策略加固，除有必要數(shù)據(jù)交互外，禁止本單位所有服務器與其它單位服務器進行互訪。安全自查及整改加固服務器安全基線自查針對XXX單位六個業(yè)務系統(tǒng)中的服務器進行安全基線設置檢查，檢查項如下：測試項基本要求測試子項測試內(nèi)容測試方法要求結果身份鑒別應對登錄操作系統(tǒng)的用戶進行身份標識和鑒別檢查系統(tǒng)登錄是否需要密碼登陸系統(tǒng)是否需要密碼檢查是否有無需輸入密碼就可訪問的用戶帳戶不能存在空密碼帳戶操作系統(tǒng)管理用戶身份標識應具有不易被冒用的特點，口令應有復雜度要求并定期更換口令復雜度“密碼必須符合復雜性要求”選擇“已啟動”進入“控制面板->管理工具->本地安全策略”，在“帳戶策略->密碼策略”：查看是否“密碼必須符合復雜性要求”選擇“已啟動”最短密碼長度8個字符，啟用本機組策略中密碼必須符合復雜性要求的策略?？诹疃ㄆ诟鼡Q對于采用靜態(tài)口令認證技術的設備，檢查賬戶口令的生存期進入“控制面板->管理工具->本地安全策略”，在“帳戶策略->密碼策略”：查看“密碼最長存留期”“密碼最長存留期”設置不大于“90天”應啟用登錄失敗處理功能，可采取結束會話、限制非法登錄次數(shù)和自動退出等措施登錄失敗措施檢查對于采用靜態(tài)口令認證技術的設備，檢查當用戶連續(xù)認證失敗次數(shù)的限制進入“控制面板->管理工具->本地安全策略”，在“帳戶策略->帳戶鎖定策略”：查看“賬戶鎖定閥值”設置“賬戶鎖定閥值”設置為小于或等于6次訪問控制當對服務器進行遠程管理時，應采取必要措施，防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽遠程管理服務數(shù)據(jù)傳輸安全禁用Telnet服務進入“控制面板->管理工具->服務”，查看“Telnet”的啟動類型和服務狀態(tài)Telnet啟動類型為禁用，服務狀態(tài)為已停止應為操作系統(tǒng)不同用戶分配不同的用戶名，確保用戶名具有唯一性應用和操作系統(tǒng)用戶權限檢查系統(tǒng)賬號數(shù)量，和管理員確認每個賬號的使用人和用途進入“控制面板->管理工具->計算機管理”，查看存在多少啟用賬戶，做好記錄不同用戶使用不同的用戶名，不存在共用賬戶、無用賬戶現(xiàn)象應限制默認賬戶的訪問權限，重命名系統(tǒng)默認賬戶，修改這些賬戶的默認口令默認賬號檢查對于管理員帳號，要求更改缺省帳戶名稱；禁用guest（來賓）帳號。進入“控制面板->管理工具->計算機管理”，在“系統(tǒng)工具->本地用戶和組”：

缺省帳戶Administrator－>屬性

Guest帳號->屬性缺省賬戶Administrator名稱已更改。

Guest帳號已停用。應限制遠程登錄系統(tǒng)賬戶允許遠程登錄的賬戶檢查檢查允許遠程登錄的賬戶"進入“我的電腦->屬性->系統(tǒng)屬性”，在“遠程->遠程桌面->選擇用戶”：查看允許遠程登錄的賬戶記錄可以遠程登錄的賬戶，以及使用人安全審計審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統(tǒng)用戶審核登錄設備應配置日志功能，對用戶登錄進行記錄，記錄內(nèi)容包括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠程登錄時，用戶使用的IP地址?！翱刂泼姘?>管理工具->本地安全策略->審核策略”審核登錄事件。審核登錄事件，設置為成功和失敗都審核。審核賬戶管理啟用組策略中對Windows系統(tǒng)的審核帳戶管理，成功和失敗都要審核進入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：查看“審核賬戶管理”設置“審核賬戶管理”設置為“成功”和“失敗”都要審核審計內(nèi)容應包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關事件審核對象訪問啟用組策略中對Windows系統(tǒng)的審核對象訪問，成功和失敗都要審核進入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：查看“審核對象訪問”設置“審核對象訪問”設置為“成功”和“失敗”都要審核審核事件目錄服務器訪問啟用組策略中對Windows系統(tǒng)的審核目錄服務訪問，失敗進入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：查看“審核目錄服務器訪問”設置“審核目錄服務器訪問”設置為“成功”和“失敗”都要審核審核特權使用啟用組策略中對Windows系統(tǒng)的審核特權使用，成功和失敗都要審核進入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：查看“審核特權使用”設置“審核特權使用”設置為“成功”和“失敗”都要審核審核過程追蹤啟用組策略中對Windows系統(tǒng)的審核過程追蹤失敗進入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：查看“審核過程追蹤”設置“審核過程追蹤”設置為“失敗”需要審核審核系統(tǒng)事件啟用組策略中對Windows系統(tǒng)的審核系統(tǒng)事件，成功和失敗都要審核進入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：查看“審核系統(tǒng)事件”設置“審核系統(tǒng)事件”設置為“成功”和“失敗”都要審核日志文件大小設置應用日志文件大小至少為8192KB，設置當達到最大的日志尺寸時，按需要改寫事件進入“控制面板->管理工具->事件查看器”，在“事件查看器（本地）”中：查看“應用日志”“系統(tǒng)日志”“安全日志”屬性中的日志大小,以及設置當達到最大的日志尺寸時的相應策略“應用日志”“系統(tǒng)日志”“安全日志”屬性中的日志大小設置不小于“8192KB”,設置當達到最大的日志尺寸時，“按需要改寫事件”應保護審計記錄，避免受到未預期的刪除、修改或覆蓋等審核策略更改啟用組策略中對Windows系統(tǒng)的審核策略更改，成功和失敗都要審核進入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中查看“審核策略更改”設置“審核策略更改”設置為“成功”和“失敗”都要審核入侵防范操作系統(tǒng)應遵循最小安裝的原則，僅安裝需要的組件和應用程序，并通過設置升級服務器等方式保持系統(tǒng)補丁及時得到更新系統(tǒng)補丁更新檢查查看系統(tǒng)內(nèi)核版本號以及系統(tǒng)補丁更新情況進入“開始->運行”，輸入“winmsd.exe”,記錄OS名稱、版本；

進入“控制面板->添加或刪除程序”，查看Windows最近安裝補丁的時間；安裝最新的補丁，建議配置wsus自動更新應用程序安裝情況檢查查看系統(tǒng)安裝程序情況進入“控制面板->添加或刪除程序”，查看除了系統(tǒng)補丁之外的安裝程序刪除已應用無關的程序安裝專門的殺毒軟件檢查殺毒軟件情況查看殺毒軟件版本以及病毒庫更新情況記錄殺毒軟件的版本號，病毒庫更新時間，更新頻率，以及殺毒策略安裝統(tǒng)一的殺毒軟件開啟防火墻檢查防火墻開啟情況查看系統(tǒng)自帶或第三方防火墻開啟情況如是第三方防火墻，記錄相關信息Windows防火墻開啟，并阻斷以業(yè)務無關的端口檢查系統(tǒng)是否有惡意文件、病毒惡意文件、病毒檢查檢查系統(tǒng)是否存在惡意文件、病毒使用系統(tǒng)安裝的殺毒軟件進行殺毒操作，記錄結果；并查看歷時殺毒結果上線之前進行一次病毒查殺安全配置系統(tǒng)服務檢查系統(tǒng)服務檢查Alerter–禁用Clipbook–禁用ComputerBrowser–禁用Messenger–禁用RemoteRegistry–禁用RoutingandRemoteAccess–禁用Telnet–禁用AutomaticUpdates–手動BackgroundIntelligentTransferService–手動檢查系統(tǒng)是否啟用SYN攻擊保護在“開始->運行->鍵入regedit”查看注冊表項HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect;推薦值：2。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted;推薦值：5。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen;推薦值數(shù)據(jù)：500。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried。推薦值數(shù)據(jù)：400。注冊表檢查項防止icmp重定向報文的攻擊防止icmp重定向報文的攻擊查看：

hkey_local_machine\system\currentcontrolset\services\tcpip\parameters建議將enableicmpredirects值設為0禁止ipc空連接禁止ipc空連接查看：local_machine\system\currentcontrolset\control\lsa\建議將restrictanonymous值設為1資源控制應通過設定終端接入方式、網(wǎng)絡地址范圍等條件限制終端登錄遠程管理IP限制檢查防火墻配置進行限制進入“控制面板-Windows防火墻”，在“Windows防火墻->例外”:查看“遠程桌面->編輯->更改范圍”的設置在主機防火墻上做訪問控制，指定的IP地址對服務器進行遠程管理應根據(jù)安全策略設置登錄終端操作超時鎖定屏幕保護設置啟用屏幕保護程序，防止管理員忘記鎖定機器被非法攻擊進入“控制面板－>顯示－>屏幕保護程序”：查看是否啟用屏幕保護程序并記錄當前的設置查看是否啟用屏幕保護程序，設置等待時間為“5分鐘”，啟用“在恢復時使用密碼保護”。超時檢查啟用遠程回話掛起時間限制進入“控制面板->管理工具->本地安全策略”，在“本地策略->安全選項”:查看“Microsoft網(wǎng)絡服務器：在掛起會話之前所需的空閑時間”設置設置值不大于15分鐘操作系統(tǒng)遠程關機策略安全遠程關機在本地安全設置中從遠端系統(tǒng)強制關機只指派給Administrators組進入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權利指派”:查看“從遠端系統(tǒng)強制關機”設置“從遠端系統(tǒng)強制關機”設置為“只指派給Administrtors組”操作系統(tǒng)本地關機策略安全本地關機在本地安全設置中關閉系統(tǒng)僅指派給Administrators組進入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權利指派”:查看“關閉系統(tǒng)”設置“關閉系統(tǒng)”設置為“只指派給Administrators組”操作系統(tǒng)數(shù)據(jù)執(zhí)行保護安全數(shù)據(jù)執(zhí)行保護對Windows操作系統(tǒng)程序和服務啟用系統(tǒng)自帶DEP功能(數(shù)據(jù)執(zhí)行保護)，防止在受保護內(nèi)存位置運行有害代碼進入“控制面板－>系統(tǒng)”，在“高級”選項卡的“性能”下的“設置”。進入“數(shù)據(jù)執(zhí)行保護”選項卡。查看“僅為基本W(wǎng)indows操作系統(tǒng)程序和服務啟用DEP”“數(shù)據(jù)執(zhí)行保護”選項卡已設置為“僅為基本W(wǎng)indows操作系統(tǒng)程序和服務啟用DEP”共享文件夾及訪問權限關閉默認共享非域環(huán)境中，關閉Windows硬盤默認共享，例如C$，D$進入“開始->運行”，輸入“cmd”，在cmd.exe窗口中輸入“netshare”，記錄結果默認共享關閉根據(jù)需求對SNMP進行設定關閉SNMP服務管理或修改默認團體字關閉SNMP服務管理或修改默認團體字打開“控制面板”，打開“管理工具”中的“服務”，找到“SNMPService”，單擊右鍵打開“屬性”面