1、Windows 操作系統(tǒng)安全防護指導(dǎo)手冊目錄 HYPERLINK l _TOC_250014 前言1 HYPERLINK l _TOC_250013 配置管理2 HYPERLINK l _TOC_250012 用戶策略2身份鑒別8補丁管理10主機配置13軟件管理18 HYPERLINK l _TOC_250011 網(wǎng)絡(luò)管理19 HYPERLINK l _TOC_250010 網(wǎng)絡(luò)服務(wù)管理19 HYPERLINK l _TOC_250009 防火墻功能23 HYPERLINK l _TOC_250008 接入管理30 HYPERLINK l _TOC_250007 外設(shè)接口30 HYPERLIN

2、K l _TOC_250006 自動播放31 HYPERLINK l _TOC_250005 遠程登錄32外部連接管理37 HYPERLINK l _TOC_250004 日志與審計38 HYPERLINK l _TOC_250003 日志與審計38 HYPERLINK l _TOC_250002 惡意代碼防范41 HYPERLINK l _TOC_250001 防病毒軟件41 HYPERLINK l _TOC_250000 數(shù)據(jù)執(zhí)行保護42 PAGE 9前言近年來國內(nèi)外網(wǎng)絡(luò)安全事件頻發(fā)，其中 Windows 操作系統(tǒng)漏洞被攻擊導(dǎo)致的網(wǎng)絡(luò)安全事件造成了巨大的經(jīng)濟損失和社會影響。在電力監(jiān)控系統(tǒng)領(lǐng)

3、域，國產(chǎn)安全操作系統(tǒng)已得到廣泛應(yīng)用，但也有部分主機仍在使用Windows 操作系統(tǒng)，如電廠監(jiān)控系統(tǒng)、保信子站、故障錄波、調(diào)度計劃等服務(wù)器和工作站。早期投運的 Windows 操作系統(tǒng)版本低、缺乏安全措施，為防范外部對電力監(jiān)控系統(tǒng)的惡意攻擊行為及由此引發(fā)電力系統(tǒng)事故，結(jié)合電力監(jiān)控系統(tǒng)安全現(xiàn)狀，國調(diào)中心組織編制了Windows 操作系統(tǒng)安全防護指導(dǎo)手冊（含 Windows 重大高危漏洞及防護方法、典型易傳播病毒及處置措施） ，指導(dǎo)電力監(jiān)控系統(tǒng)中Windows 主機的安全防護工作。本手冊按照電力監(jiān)控系統(tǒng)安全防護標準化管理要求 （調(diào)自2016102 號）的要求，結(jié)合 Windows 操作系統(tǒng)實際，從配

4、置管理、網(wǎng)絡(luò)管理、接入管理、日志與審計和惡意代碼防范五個方面，闡述了電力監(jiān)控系統(tǒng)中Windows 主機加固的內(nèi)容、步驟以及注意事項。本手冊適用于Windows 2000 Professional、Windows XP、Windows Server 2003、Windows 7、Windows Server 2008（以下分別簡稱Win 2000、Win XP、Win 2003、Win 7、Win 2008）等Windows 操作系統(tǒng)。配置管理用戶策略用戶權(quán)限策略配置（適用于服務(wù)器或公用工作站）加固項目名稱用戶權(quán)限策略配置加固編號加固說明Windows-01-01-01按照僅授予管理用戶最小權(quán)限

5、的原則設(shè)置安全管理員、審計管理員和系統(tǒng)管理 員，安全管理員隸屬于 Backup Operators 和 Power Users 組，審計管理員隸屬于 Event Log Readers 和 Performance Log User 組，系統(tǒng)管理員隸屬于Network Configuration Operators 組，建立三權(quán)分立的安全策略。（適用于服務(wù)器或公用工作站）適用版本W(wǎng)in 2000、Win XP、Win 2003、Win7、Win 2008操作步驟按下按下+R，輸入框輸入winver，確認系統(tǒng)版本。+R，輸入框輸入compmgmt.msc，進入“計算機管理-本地用戶和組-用戶-新建

6、用戶”，分別創(chuàng)建安全管理員（secadmin）、審計管理員（audadmin）和系統(tǒng)管理員（sysadmin）；安全管理員權(quán)限配置在 Win XP、Win 2003、Win 7 和Win 2008：選擇用戶“ secadmin”，右擊“屬性”，進入“隸屬于-添加-選擇組-高級-立即查找”，同時選擇Backup Operators 和 Power Users 組，點擊確定；在 Win 2000：選擇用戶“secadmin”，右擊“屬性”，進入“隸屬于-添加-選擇組”，同時選擇 Backup Operators 和Power Users 組，點擊確定；審計管理員權(quán)限配置在 Win 7 和 Win

7、2008：選擇用戶“ audadmin”，右擊“屬性”，進入“隸屬于-添加-選擇組-高級-立即查找”，同時選擇 Event Log Readers和Performance Log User組，點擊確定；在 Win 2000、Win XP 和Win 2003：審計管理員隸屬于Users 組，進入“控制面板-管理工具-本地安全策略-本地策略-用戶權(quán)利指派-管理審核和安全日志”,添加用戶“audadmin”，點擊確定；系統(tǒng)管理員權(quán)限配置在 Win 7 和 Win 2008：選擇用戶“sysadmin”，右擊“屬性”，進入“隸屬于-添加-選擇組-高級-立即查找”，選擇 Network Configur

8、ation Operators 組，點擊確定；進入“控制面板-管理工具-本地安全策略-本地策略-用戶權(quán)限分配（ 用戶權(quán)利指派）-取得文件或其他對象的所有權(quán)”，添加用戶“sysadmin”，點擊確定在 Win 2003 和Win XP：選擇用戶“sysadmin”，右擊“屬性”，進入“隸屬于-添加”，選擇 Network Configuration Operators 組，點擊確定；進入“控制面板-管理工具-本地安全策略-本地策略-用戶權(quán)限分配（ 用戶權(quán)利指派）-取得文件或其他對象的所有權(quán)”，添加用戶“sysadmin”，點擊確定；在 Win 2000：選擇用戶“sysadmin”，右擊“屬性”

9、，進入“隸屬于-添加”，選擇 Administrators組，點擊確定；Administrator 用戶改名進入“控制面板-管理工具-本地安全策略-本地策略-安全選項”，雙擊“帳戶：重命名系統(tǒng)管理員賬號”，修改 Administrator 用戶的名稱。備注建議各管理員所具有的權(quán)限：安全管理員（secadmin）：備份或還原文件；審計管理員（audadmin）：管理系統(tǒng)的各種日志信息；系統(tǒng)管理員（sysadmin）：更改文件所有權(quán)/重新啟動或關(guān)閉系統(tǒng)/設(shè)置主機名/配置網(wǎng)卡參數(shù)/IP 防火墻的管理/配置所有的對外服務(wù)。刪除或禁用系統(tǒng)無關(guān)用戶加固項目名稱刪除或禁用系統(tǒng)無關(guān)用戶加固編號加固說明Wind

10、ows-01-01-02刪除、禁用或鎖定與設(shè)備運行、維護等工作無關(guān)的賬戶，避免無關(guān)賬戶被黑客利用。適用版本操作步驟Win 2000（部分適用）、Win XP、Win 2003、Win 7、Win 20081.按下+R，輸入框輸入compmgmt.msc；進入“計算機管理-系統(tǒng)工具-本地用戶和組-用戶”；查看窗口右側(cè)的用戶信息欄目，查找與設(shè)備運行、維護等工作無關(guān)的用戶賬戶， 右擊刪除；右擊Guest 用戶，點擊“屬性”，勾選“帳戶已禁用”，點擊確定。禁用administrator 用戶（Win 2000 不適用），右擊 administrator 用戶，點擊“屬性”，勾選“帳戶已禁用”，點擊確定

11、；若需要臨時適用 administrator 用戶， 可以通過以下步驟重新啟用administrator 用戶，重啟主機，在進入 windows 界面之前，按 F5 鍵，進入安全模式界面（Win 2008需要在按下F5 之后，按下F8 進入“高級選項”，才能進入安全模式界面），使用上下鍵選擇“帶命令行啟動安全模式”，輸入回車；進入安全系統(tǒng)環(huán)境，按下Ctrl+Alt+Del 兩次，進入登錄界面，輸入用戶名為 administrator，密碼為賬戶禁用前的密碼；在命令行中輸入，net user administrator /active，啟用administrator；再輸入shutdown -r

12、 -t 1 重啟主機；正常啟動系統(tǒng)，可以進入administrator。備注建議在進行加固之前，在測試環(huán)境中進行測試，確認取消 administrator 對系統(tǒng)應(yīng)用的影響，避免由于此加固項導(dǎo)致系統(tǒng)應(yīng)用異常。由于加固過程中部分操作需要 administrator 權(quán)限，建議在完成所有加固項之后，再進行此項加固中的第五步。開啟屏幕保護程序加固項目名稱屏幕保護程序時間設(shè)置加固編號Windows-01-01-03加固說明操作系統(tǒng)設(shè)置開啟屏幕保護，并將時間設(shè)定為5 分鐘，避免非法用戶使用系統(tǒng)。適用版本W(wǎng)in 2000、Win XP、Win 2003、Win 7、Win 2008操作步驟進入屏幕保護程序

13、在 Win 7：進入“控制面板-顯示-個性化-屏幕保護程序”；在 Win 2000、Win XP、Win 2003 和Win 2008：進入“控制面板-顯示-屏幕保護程序（更改屏幕保護程序）”；選擇屏幕保護程序界面，設(shè)置“等待”為5，點擊確定；備注系統(tǒng)重要數(shù)據(jù)訪問控制（適用于 SCADA 等關(guān)鍵服務(wù)器）加固項目名稱系統(tǒng)重要數(shù)據(jù)訪問控制加固編號Windows-01-01-04加固說明應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問，防止系統(tǒng)重要數(shù)據(jù)泄露（適用于SCADA 等關(guān)鍵服務(wù)器）。適用版本W(wǎng)in 2000、Win XP、Win 2003、Win 7、Win 2008操作步驟1.修改文件

14、夾選項在 Win 2000、Win 2003、Win 7 和 Win 2008：默認不需要修改；在 Win XP：默認不開啟文件夾安全選項，需要手工開啟，進入“工具-文件夾選項-查看”，取消勾選“使用簡單文件共享”選項，點擊確定；確認系統(tǒng)中的重要數(shù)據(jù)或文件；進入到需要進行訪問控制的文件或目錄；配置權(quán)限在 Win 7 和 Win 2008：右擊“文件”或“目錄”，選擇“屬性-安全-編輯”， 對相應(yīng)的用戶（組）設(shè)置合理的權(quán)限；在 Win 2000、Win XP 和 Win 2003：右擊“文件”或“目錄”，選擇“屬性-安全-高級-編輯”，對相應(yīng)的用戶（組）設(shè)置合理的權(quán)限。備注根據(jù)系統(tǒng)確定重要數(shù)據(jù)范

15、圍，建議加固前在模擬系統(tǒng)中先進行測試。身份鑒別用戶口令復(fù)雜度策略加固項目名稱用戶賬戶復(fù)雜度策略加固編號Windows-01-02-01加固說明口令長度不小于 8 位，由字母、數(shù)字和特殊字符組成，不得與賬戶名相同，避免口令被暴力破解。適用版本W(wǎng)in 2000、Win XP、Win 2003、Win 7、Win 2008操作步驟進入“控制面板-管理工具-本地安全策略-帳戶策略-密碼策略”；雙擊“密碼長度最小值”，設(shè)置“密碼長度最小值”為 8 個字符，點擊確定；雙擊“密碼必須符合復(fù)雜性要求”，勾選已啟用，點擊確定。備注用戶登錄失敗鎖定加固項目名稱用戶登錄失敗鎖定加固編號Windows-01-02-0

16、2加固說明配置當用戶連續(xù)認證失敗次數(shù)超過 5 次，鎖定該用戶使用的賬戶 10 分鐘，避免賬戶被惡意用戶暴力破解。適用版本W(wǎng)in 2000、Win XP、Win 2003、Win 7、Win 2008操作步驟進入“控制面板-管理工具-本地安全策略-賬戶策略-帳戶鎖定策略”；雙擊“帳戶鎖定閥值”設(shè)置，設(shè)置無效登錄次數(shù)為5 次，點擊確定；雙擊“帳戶鎖定時間”設(shè)置，設(shè)置鎖定時間10 分鐘，點擊確定。備注用戶口令周期策略加固項目名稱用戶口令周期策略加固編號Windows-01-02-03加固說明設(shè)置賬戶口令的生存期不長于 90 天，避免密碼泄露。適用版本W(wǎng)in 2000、Win XP、Win 2003、

17、Win 7、Win 2008操作步驟進入“控制面板-管理工具-本地安全策略-帳戶策略-密碼策略”；雙擊“密碼最長使用期限（密碼最長存留期）”，設(shè)置“密碼最長使用期限”為90 天，點擊確定。備注 PAGE 10用戶口令過期提醒加固項目名稱用戶口令過期提醒加固編號Windows-01-02-04加固說明密碼到期前提示用戶更改密碼，避免用戶因遺忘更換密碼而導(dǎo)致賬戶失效。適用版本W(wǎng)in 2000、Win XP、Win 2003、Win 7、Win 2008操作步驟進入“控制面板-管理工具-本地安全策略-本地策略-安全選項”；雙擊“交互式登錄：提示用戶在過期之前更改密碼”，設(shè)置為 10 天，點擊確定。備

18、注“交互式登錄：提示用戶在過期之前更改密碼”在Win XP 和Win 2003 中為“交互式登錄:在密碼到期前提示用戶更改密碼”，在 Win 2000 中為“在密碼到期前提示用戶更改密碼”。系統(tǒng)不顯示上次登錄用戶名加固項目名稱系統(tǒng)不顯示上次登錄用戶名加固編號Windows-01-02-05加固說明操作系統(tǒng)不顯示上次用戶名，避免用戶名泄露。適用版本W(wǎng)in 2000、Win XP、Win 2003、Win 7、Win 2008操作步驟進入“控制面板-管理工具-本地安全策略-本地策略-安全選項”；雙擊“交互式登陸：不顯示最后的用戶名”，選擇“已啟用”，點擊確定。備注“交互式登陸：不顯示最后的用戶名”

19、在Win XP 和Win 2003 中為“交互式登陸：不顯示上次的用戶名”，在 Win 2000 中為“登錄屏幕上不要顯示上次登錄的用戶名”。補丁管理補丁更新加固項目名稱補丁更新加固編號Windows-01-03-011加固說明安裝官方補丁，嚴禁安裝第三方補丁，避免被黑客或惡意代碼利用已知的安全漏洞進行攻擊。適用版本操作步驟Win 2000、Win XP、Win 2003、Win 7、Win 2008打開命令控制臺，輸入systeminfo，查看主機現(xiàn)有的補丁編號；查看當前系統(tǒng)漏洞是否已安裝補丁包；在微軟官方網(wǎng)站下載對應(yīng)補丁包（/zh-cn）；驗證補丁包HASH 值，在官方網(wǎng)站搜索所需要安裝補

20、丁包的更新說明； PAGE 19打開對應(yīng)網(wǎng)頁查看文件哈希信息；驗證本地補丁包哈希值；驗證哈希信息正確后，安裝補丁包程序。備注1.附件 1Windows 重大高危漏洞與易傳播病毒為目前梳理出的重要高危漏洞， 加固時必須安裝對應(yīng)補丁包。除附件 1 中已列漏洞外，加固時應(yīng)結(jié)合微軟最新漏洞補丁發(fā)布情況，針對其他可能導(dǎo)致系統(tǒng)遠程命令執(zhí)行的高危漏洞，補充安裝對 應(yīng)的補丁包。2.微軟已停止對Win XP、Win 2000、Win 2003 的技術(shù)支持，建議盡快更換系統(tǒng)。主機配置禁止用戶修改 IP加固項目名稱禁止用戶修改IP加固編號Windows-01-04-01加固說明規(guī)范主機網(wǎng)絡(luò)配置管理，禁止用戶任意更換

21、IP。適用版本W(wǎng)in 2000、Win XP、Win 2003、Win 7、Win 2008操作步驟1.按下+R，輸入框輸入gpedit.msc，打開“本地組策略編輯器”；進入“用戶配置-管理模板-網(wǎng)絡(luò)-網(wǎng)絡(luò)連接”；雙擊“禁止訪問LAN 連接組件的屬性”，設(shè)置為已啟用，點擊確定；雙擊“禁止訪問LAN 連接的屬性”，設(shè)置為已啟用，點擊確定；雙擊“禁用TCP/IP 高級配置”，設(shè)置為已啟用，點擊確定。備注如果業(yè)務(wù)需要修改IP，可臨時取消，修改完成后重新加固。禁止用戶更改計算機名加固項目名稱禁止用戶更改計算機名加固編號Windows-01-04-02加固說明禁止用戶更改計算機名。適用版本W(wǎng)in 20

22、00、Win XP、Win 2003、Win 7、Win 2008操作步驟1.按下+R，輸入框輸入gpedit.msc，打開“本地組策略編輯器”；進入“用戶配置-管理模板-桌面”；雙擊“從計算機（我的電腦）圖標上下文菜單中刪除屬性”，設(shè)置為“已啟用”，點擊確定。備注刪除默認路由配置加固項目名稱刪除默認路由配置加固編號Windows-01-04-03加固說明主機禁止使用默認路由，避免利用默認路由探測網(wǎng)絡(luò)。適用版本W(wǎng)in 2000、Win XP、Win 2003、Win 7、Win 2008操作步驟1.按下+R，輸入框輸入cmd；2.在命令提示符中輸入“route print”，查看是否有缺省路由

23、；3.以管理員身份打開命令提示符，輸入route delete ，刪除默認路由。備注在刪除默認路由之前，應(yīng)對路由表進行梳理，并添加具體業(yè)務(wù)的路由策略。關(guān)閉默認共享加固項目名稱關(guān)閉默認共享加固編號Windows-01-04-04適用版本W(wǎng)in 2000、Win XP、Win 2003、Win 7、Win 2008加固說明關(guān)閉 Windows 硬盤默認共享，防止黑客從默認共享進入計算機竊取資料。操作步驟1.進入“開始-控制面板-管理工具-計算機管理（本地）-共享文件夾-共享”；2.查看右側(cè)窗口，選擇對應(yīng)的共享文件夾（例如C$，D$，ADMIN$，IPC$等），右擊停止共享。備注開啟用戶賬戶控制設(shè)置

24、（UAC）加固項目名稱操作系統(tǒng)用戶賬戶控制設(shè)置（UAC）的配置加固編號Windows-01-04-05加固說明開啟用戶賬戶控制設(shè)置（UAC），設(shè)置為僅在程序嘗試對計算機進行更改時通知用戶。適用版本W(wǎng)in 7、Win 2008操作步驟1.進入“開始-控制面板-用戶賬戶和家庭安全-用戶賬戶”；2.更改“用戶賬戶控制設(shè)置”，設(shè)置為“默認”，點擊確定。備注禁止未登錄前關(guān)機加固項目名稱禁止未登錄關(guān)機加固編號Windows-01-04-06加固說明設(shè)置 Windows 登錄屏幕上不顯示關(guān)閉計算機的選項，避免用戶名暴露。適用版本W(wǎng)in 2000、Win XP、Win 2003、Win 7、Win 2008操

25、作步驟1.進入“控制面板-管理工具-本地安全策略-本地策略-安全選項”；2.雙擊“關(guān)機: 允許系統(tǒng)在未登錄的情況下關(guān)閉”，設(shè)置屬性為“已禁用”，點擊確定。備注“關(guān)機: 允許系統(tǒng)在未登錄的情況下關(guān)閉”在 Win 2003 中為“關(guān)機: 允許系統(tǒng)在未登錄前關(guān)機”，在 Win XP 中為“關(guān)機: 允許在未登錄前關(guān)機”，在 Win 2000中為“允許在未登錄前關(guān)機”。關(guān)機時清除虛擬內(nèi)存頁面文件加固項目名稱關(guān)機時清除虛擬內(nèi)存頁面文件加固編號Windows-01-04-07加固說明設(shè)置關(guān)機時清除虛擬內(nèi)存頁面文件，避免虛擬內(nèi)存信息通過硬盤泄露。適用版本W(wǎng)in 2000、Win XP、Win 2003、Win

26、 7、Win 2008操作步驟進入“開始-控制面板-管理工具-本地安全策略”；進入“安全設(shè)置-本地策略-安全選項”；雙擊“關(guān)機: 清除虛擬內(nèi)存頁面文件”，屬性設(shè)置為“已啟用”，點擊確定。備注禁止非管理員關(guān)機加固項目名稱禁止非管理員關(guān)機加固編號Windows-01-04-08加固說明僅允許 Administrators 組進行遠端系統(tǒng)強制關(guān)機和關(guān)閉系統(tǒng)，避免非法用戶關(guān)閉系統(tǒng)。適用版本W(wǎng)in 2000、Win XP、Win 2003、Win 7、Win 2008操作步驟進入“開始-控制面板-管理工具-本地安全策略-本地策略-用戶權(quán)限分配”；分別雙擊“關(guān)閉系統(tǒng)”和“從遠程系統(tǒng)強制關(guān)機”選項，僅配置系

27、統(tǒng)管理員（sysadmin）用戶。備注“從遠程系統(tǒng)強制關(guān)機”在Win XP 和 Win 2000 中為“從遠端系統(tǒng)強制關(guān)機”。軟件管理卸載無關(guān)軟件加固項目名稱卸載無關(guān)軟件加固編號Windows-01-05-01加固說明按照最小安裝的原則，刪除操作系統(tǒng)中與業(yè)務(wù)無關(guān)的軟件。適用版本W(wǎng)in 2000、Win XP、Win 2003、Win 7、Win 2008操作步驟確認系統(tǒng)中必須安裝的軟件列表；刪除與業(yè)務(wù)系統(tǒng)無關(guān)的軟件在 Win 7 和 Win 2008：進入“開始-控制面板-程序與功能”，查找與系統(tǒng)業(yè)務(wù)無關(guān)的軟件，選擇需要卸載的軟件，右鍵選擇 “卸載/更改”按鈕，卸載完成。在 Win 2000、

28、Win XP 和 Win 2003：進入“開始-控制面板-添加或刪除程序”，查找與系統(tǒng)業(yè)務(wù)無關(guān)的軟件，選擇需要卸載的軟件，右擊選擇“刪除”按鈕，卸載完成。備注禁止安裝與工作無關(guān)或存在安全漏洞的軟件，應(yīng)按照如下原則安裝軟件：1. 工作站：僅安裝系統(tǒng)客戶端的基礎(chǔ)運行環(huán)境和文檔編輯（WPS），解壓縮（WinRAR），SSH 客戶端等應(yīng)用軟件；2.服務(wù)器：僅安裝承載業(yè)務(wù)系統(tǒng)運行的基礎(chǔ)軟件環(huán)境。網(wǎng)絡(luò)管理網(wǎng)絡(luò)服務(wù)管理關(guān)閉不必要的服務(wù)加固項目名稱關(guān)閉不必要的服務(wù)加固編號加固說明Windows-02-01-01應(yīng)遵循最小安裝的原則，僅安裝和開啟必需的服務(wù)，避免系統(tǒng)中存在不必要的服務(wù)。適用版本操作步驟Win 2

29、000、Win XP、Win 2003、Win 7、Win 2008 1.確認系統(tǒng)應(yīng)用需要使用的服務(wù)；2.按下+R，輸入框中輸入services.msc 命令；雙擊需要關(guān)閉的服務(wù)，點擊停止按鈕以停止當前正在運行的服務(wù)；將啟動類型設(shè)置為禁用，點擊確定。備注在執(zhí)行系統(tǒng)加固前確認系統(tǒng)應(yīng)用無需使用該服務(wù)。建議關(guān)閉以下服務(wù)：ServerAlerter（Win 7、Win 2008 不適用） Clipbook （Win 7、Win 2008 不適用） PAGE 21Computer Browser DHCP ClientMessenger （Win 7、Win 2008 不適用）Remote Regist

30、ry Service（Win 7、Win 2008 不適用） Routing and Remote AccessSimple Mail Trasfer Protocol(SMTP) （Win2000 不適用）Simple Network Management Protocol(SNMP) Service （Win XP、Win 2000 不適用）Simple Network Management Protocol(SNMP) Trap （Win XP、Win 2000 不適用）TelnetWorld Wide Web Publishing Service （Win XP、Win 2000 不適

31、用） Print SpoolerTerminal Service （Win2000 不適用） Task Scheduler（可選）Messenger net send（Win XP、Win 2000 為 Messenger）remote Registry（Win XP、Win 2000 為 remote Registry service 不適用） SSDPDiscovery（Win2000 不適用）DNSClientWindows Remote Management（WS-Management)（可選，Win2000 不適用）關(guān)閉不必要的系統(tǒng)端口加固項目名稱關(guān)閉不必要的系統(tǒng)端口加固編號Wind

32、ows-02-01-02加固說明遵循白名單的原則，僅開放系統(tǒng)應(yīng)用所需的專用端口，避免系統(tǒng)中存在不必要的端口。適用版本W(wǎng)in 2000、Win XP、Win 2003、Win 7、Win 2008操作步驟1.核實本機應(yīng)監(jiān)聽的端口列表；2.查看系統(tǒng)當前實際監(jiān)聽的端口列表在 Win 7、Win XP、Win 2003 和 Win 2008：在命令提示符中，輸入netstat -ano命令，查看系統(tǒng)當前網(wǎng)絡(luò)連接狀況；在 Win 2000：在命令提示符中，輸入netstat -an 命令，查看系統(tǒng)當前網(wǎng)絡(luò)連接狀況；打開任務(wù)管理器，根據(jù)PID 來查看端口對應(yīng)的進程或服務(wù)；通過停止進程或禁用服務(wù)，關(guān)閉不必要

33、的端口；按照白名單原則，僅開放必須的端口；在 Win XP、Win7 、Win 2003 和Win 2008 中：使用防火墻實現(xiàn)白名單制度，操作步驟參照 2.2.2 配置訪問控制規(guī)則。在 Win 2000 中：使用IP 安全策略實現(xiàn)白名單制度，操作步驟參照2.2.2 配置訪問控制規(guī)則。備注1.以下端口禁止開放：TCP21，TCP23，TCP/UDP135，TCP/UDP137，TCP/UDP138，TCP/UDP139，TCP/UDP445。2.以下端口應(yīng)限制訪問IP：TCP3389。啟用SYN 攻擊保護加固項目名稱啟用 SYN 攻擊保護加固編號Windows-02-01-03加固說明啟用 S

34、YN 攻擊保護，防御黑客SYN 攻擊。適用版本W(wǎng)in 2000、Win XP、Win 2003、Win 7、Win 20082操作步驟1.按下+R，輸入框中輸入regedit 命令；查看注冊表項，進入HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters；新建字符串值，重命名為SynAttackProtect，雙擊修改數(shù)值數(shù)據(jù)為 2；新建字符串值，重命名為TcpMaxportsExhausted，雙擊修改數(shù)值數(shù)據(jù)為 5；新建字符串值，重命名為TcpMaxHalfOpen，雙擊修改數(shù)值數(shù)據(jù)為 500；新建字符串值，重命名為

35、 TcpMaxHalfOpenRetried，雙擊修改數(shù)值數(shù)據(jù)為 400。備注指定觸發(fā)SYN 洪水攻擊保護所必須超過的TCP 連接請求數(shù)的閥值為 5；指定系統(tǒng)拒絕的連接請求數(shù)的閾值為500；3.指定TCP 的半連接數(shù)的閾值為 400。設(shè)置最小掛起時間（可選）加固項目名稱設(shè)置最小掛起時間加固編號Windows-02-01-04加固說明在連接到本地計算機的用戶超出其賬戶的有效登錄時間時應(yīng)斷開與用戶的連接，避免被黑客或惡意軟件利用。適用版本W(wǎng)in 2000、Win XP、Win 2003、Win 7、Win 2008操作步驟1.進入“控制面板-管理工具-本地安全策略-本地策略-安全選項”；2.雙擊“

36、Microsoft 網(wǎng)絡(luò)服務(wù)器: 登錄時間過期后斷開與客戶端的連接”和“網(wǎng) PAGE 29絡(luò)安全：在超過登錄時間后強制注銷”，設(shè)置為已啟用；3.雙擊“Microsoft 網(wǎng)絡(luò)服務(wù)器: 暫停會話前所需的空閑時間量”，設(shè)置時間為15 分鐘。備注1.15 分鐘為參考值，應(yīng)根據(jù)系統(tǒng)應(yīng)用的實際情況進行配置；“Microsoft 網(wǎng)絡(luò)服務(wù)器: 登錄時間過期后斷開與客戶端的連接”在 Win XP 和 Win 2003 為“Microsoft 網(wǎng)絡(luò)服務(wù)器: 登錄時間用完后自動注銷用戶”，Win 2000 無該安全項；“網(wǎng)絡(luò)安全: 在超過登錄時間后強制注銷”安全選項在Win XP 和 Win 2003 為“網(wǎng)絡(luò)

37、安全: 在超過登錄時間后強制注銷”，Win 2000 無該安全項； 4.“Microsoft 網(wǎng)絡(luò)服務(wù)器: 暫停會話前所需的空閑時間量”在 Win XP 和 Win2003 為“Microsoft 網(wǎng)絡(luò)服務(wù)器: 掛起會話前所需的空閑時間量”，在 Win 2000為“在斷開會話之前所需的空閑時間”。防火墻功能開啟防火墻功能加固項目名稱開啟防火墻功能加固編號Windows-02-02-01加固說明打開系統(tǒng)自帶防火墻，減小被網(wǎng)絡(luò)攻擊的風險。適用版本W(wǎng)in XP、Win 2003、Win 7、Win 2008操作步驟1.按下+R，輸入框中輸入Firewall.cpl；2.選擇“打開或關(guān)閉Windows

38、 防火墻”，點擊啟用 Windows 防火墻。備注配置訪問控制規(guī)則加固項目名稱配置訪問控制規(guī)則加固編號Windows-02-02-02適用版本W(wǎng)in 2000、Win XP、Win 2003、Win 7、Win 2008加固說明Win2000 使用 IP 安全策略實現(xiàn)訪問控制，其他 Windows 系統(tǒng)使用防火墻實現(xiàn)訪問控制，增加系統(tǒng)抵御網(wǎng)絡(luò)攻擊的能力。操作步驟1.在 Win 7 和 Win 2008：(1)按下+R，輸入框中輸入wf.msc，進入高級安全防火墻；(2)選擇協(xié)議和端口；(3)選擇需要進行的操作；(4)選擇規(guī)則應(yīng)用的范圍；(5)命名規(guī)則，點擊完成。2.在 Win 2003、Win

39、 XP：(1)按下+R，輸入框中輸入 Firewall.cpl，進入Windows 防火墻例外選項卡；選擇協(xié)議和端口；選擇需要進行的操作；Win XP 防火墻采用白名單制度，只需勾選系統(tǒng)必須的專用端口。3.在 Win 2000：（1）按下+R，輸入框中輸入gpedit.msc，打開本地組策略編輯器，進入“計算機配置-windows 設(shè)置-IP 安全策略，在本地機器上”；雙擊“IP 安全策略，在本地機器上”，右擊打開“創(chuàng)建 IP 安全策略”，點擊“下一步”；配置 IP 安全策略名稱，取消勾選“激活默認響應(yīng)規(guī)則” ，點擊“下一步”；雙擊進入新建策略的屬性，在“規(guī)則”選項中“添加”，取消勾選“使用添

40、加向?qū)А保c擊添加；（5）進入IP 篩選器屬性，設(shè)置目標地址；（6）點擊“篩選器操作-添加”, 選擇安全方法為“許可”；(7)勾選上述新建的IP 篩選器和篩選器操作，點擊確定； PAGE 32(8)所有許可策略添加完成后，添加一條拒絕所有連接的 IP 安全策略，符合白名單配置的要求。備注接入管理外設(shè)接口禁用大容量存儲介質(zhì)（USB 存儲設(shè)備）加固項目名稱禁用大容量存儲介質(zhì)（USB 存儲設(shè)備）加固編號Windows-03-01-01加固說明禁用 USB 存儲設(shè)備，防止利用USB 接口非法接入。適用版本W(wǎng)in 2000、Win XP、Win 2003、Win 7、Win 2008操作步驟1.按下+R

41、，在輸入框輸入regedit，打開注冊表編輯器；2.進入HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR； 3.雙擊右側(cè)注冊表中的“Start”項，修改值為 4。備注自動播放關(guān)閉自動播放功能加固項目名稱關(guān)閉自動播放功能加固編號加固說明Windows-03-02-01關(guān)閉移動存儲介質(zhì)或光驅(qū)的自動播放或自動打開功能，防止惡意程序通過 U 盤或光盤等移動存儲介質(zhì)感染主機系統(tǒng)。適用版本操作步驟Win 2000、Win XP、Win 2003、Win 7、Win 20081.按下+R，輸入框中輸入gpedit.msc，進入“本地組策略編輯器

42、”；配置關(guān)閉自動播放策略： 在 Win 7 和 Win 2008:進入“計算機配置-管理模板-Windows 組件-自動播放策略”；查看右側(cè)小窗口，雙擊“關(guān)閉自動播放”，選擇“已啟用”；在“選項”中，選擇“所有驅(qū)動器”，點擊確定。在 Win 2000、Win XP 和Win 2003:進入“計算機配置-管理模板-系統(tǒng)”；查看右側(cè)小窗口，雙擊“關(guān)閉自動播放”，選擇“已啟用”；（3）在“選項”中，選擇“所有驅(qū)動器”，點擊確定。備注遠程登錄關(guān)閉遠程主機 RDP 服務(wù)加固項目名稱關(guān)閉遠程主機RDP 服務(wù)加固編號Windows-03-03-01加固說明處于網(wǎng)絡(luò)邊界的主機RDP 服務(wù)應(yīng)處于關(guān)閉狀態(tài)，有遠程

43、登錄需求時可由管理員臨時開啟，避免非法用戶利用RDP 服務(wù)漏洞進行攻擊。適用版本W(wǎng)in XP、Win 2003、Win 7、Win 2008操作步驟在 Win 7 和 Win 2008：（1）右擊“計算機”，選擇“屬性”，點擊左側(cè)菜單欄中的“遠程設(shè)置”；（2）選擇“不允許連接到這臺計算機”，取消勾選“允許遠程協(xié)助連接到這臺計算機”，點擊確定。3在 Win XP 和 Win 2003：右擊“我的電腦”，選擇“屬性”，點擊“遠程”選項卡；取消勾選“允許用戶遠程連接到這臺計算機”和“允許這臺計算機發(fā)送遠程協(xié)助邀請”，點擊確定。備注限制遠程登錄的 IP加固項目名稱限制遠程登錄的IP加固編號Window

44、s-03-03-02 PAGE 39加固說明僅限于指定IP 地址范圍主機遠程登錄，防止非法主機的遠程訪問。適用版本W(wǎng)in XP、Win 2003、Win 7、Win 2008操作步驟1.按下+R，輸入框輸入gpedit.msc，進入“本地組策略編輯器”；2.分別進入“計算機配置-管理模板-網(wǎng)絡(luò)-網(wǎng)絡(luò)連接-Windows 防火墻-域配置文件”和“標準配置文件”，執(zhí)行 3、4 步操作； 3.雙擊“允許入站遠程桌面例外”,選擇“已啟用”；4.填入允許遠程登錄到本機的主機IP 地址，并以逗號分隔，點擊確定。備注限制遠程登錄協(xié)議加固項目名稱限制遠程登錄協(xié)議加固編號Windows-03-03-03加固說明

45、系統(tǒng)遠程登錄僅允許使用 Windows 系統(tǒng)自帶工具，嚴禁使用第三方遠程登錄軟件。適用版本W(wǎng)in 2000、Win XP、Win 2003、Win 7、Win 2008操作步驟進入“開始-控制面板-程序與功能”（添加刪除程序），查找是否有第三方遠程登錄軟件（服務(wù)端）；卸載系統(tǒng)中的第三方遠程登錄軟件。備注卸載 TeamViewer、PCAnywhere、向日葵等第三方遠程登錄軟件。限制遠程登錄時間加固項目名稱限制遠程登錄時間加固編號Windows-03-03-04加固說明設(shè)置遠程桌面服務(wù)在某個活動或空閑會話超時后自動終止，防止被非法用戶利用。適用版本W(wǎng)in XP、Win 2003、Win 7、W

46、in 2008操作步驟1.按下+R，在輸入框輸入gpedit.msc，進入“本地組策略編輯器”；2.開啟并設(shè)置時間限制：在 Win 7 和 Win 2008:進入“計算機配置-管理模板-Windows 組件-遠程桌面服務(wù)-遠程桌面會話主機-會話時間限制”，雙擊“達到時間限制終止會話”，選擇“已啟用”，點擊確定；雙擊“設(shè)置活動但空閑的遠程桌面服務(wù)會話的時間限制”，選擇“已啟用”， 設(shè)置“活動會話限制”為 10 分鐘，點擊確定。在 Win XP 和 Win 2003:進入“計算機配置-管理模板-Windows 組件-終端服務(wù)-會話”，雙擊“ 到達時間限制時終止會話”，選擇“已啟用”，點擊確定；雙擊

47、“為活動但空閑的終端服務(wù)會話設(shè)置時間限制”，選擇“已啟用”，設(shè)置“活動會話限制”為 10 分鐘，點擊確定。備注修改遠程桌面默認服務(wù)端口（可選）加固項目名稱修改遠程桌面默認服務(wù)端口加固編號Windows-03-03-05加固說明如啟用遠程桌面服務(wù)，建議修改默認服務(wù)端口，防止非法用戶利用默認端口訪問。適用版本W(wǎng)in XP、Win 2003、Win 7、Win 2008操作步驟1.按下+R，在輸入框中輸入regedit 命令，打開注冊表編輯器；進入HKLM/System/CurrentControlSet/Control/TerminalServer/WinStations/RDP- Tcp；雙擊“

48、PortNumber”子項，修改值為自定義端口（如 13889）,點擊確定。備注限制匿名用戶遠程連接加固項目名稱限制匿名用戶遠程連接加固編號Windows-03-03-06加固說明限制匿名用戶連接權(quán)限，防止用戶遠程枚舉本地賬號。適用版本W(wǎng)in XP、Win 2003、Win 7、Win 2008操作步驟1.按下+R，在輸入框輸入gpedit.msc，進入“本地組策略編輯器”；進入“計算機配置-Window 設(shè)置-安全設(shè)置-本地策略-安全選項”；雙擊“網(wǎng)絡(luò)訪問：不允許SAM 帳號和共享的匿名枚舉”，選擇“已啟用”，點擊確定；雙擊“網(wǎng)絡(luò)訪問：不允許 SAM 帳戶的匿名枚舉”，選擇“已啟用”，點擊確

49、定。備注主機間登錄禁止使用公鑰驗證加固項目名稱主機間登錄禁止使用公鑰驗證加固編號Windows-03-03-07加固說明禁止憑據(jù)管理器保存通過域身份驗證的密碼和憑據(jù)，避免用戶信息泄露。適用版本W(wǎng)in XP、Win 2003、Win 7、Win 2008操作步驟進入“控制面板-管理工具-本地安全策略-本地策略-安全選項”；雙擊“網(wǎng)絡(luò)訪問，不允許存儲網(wǎng)絡(luò)身份驗證的密碼和憑據(jù)”，選擇“已啟用”， 點擊確定。備注“網(wǎng)絡(luò)訪問，不允許存儲網(wǎng)絡(luò)身份驗證的密碼和憑據(jù)”在Win XP 和 Win 2003 中為“網(wǎng)絡(luò)訪問: 不允許存儲網(wǎng)絡(luò)身份驗證的憑據(jù)或.NET Passports”。外部連接管理禁止使用無線網(wǎng)

50、卡加固項目名稱禁止使用無線網(wǎng)卡加固編號Windows-03-04-01加固說明禁用無線網(wǎng)卡，防止設(shè)備通過無線網(wǎng)絡(luò)進行通信。適用版本W(wǎng)in 2000、Win XP、Win 2003、Win 7、Win 2008操作步驟1.核實是否存在無線網(wǎng)卡，若存在，請執(zhí)行以下操作并拔出網(wǎng)卡設(shè)備；2.按下+R，在輸入框輸入devmgmt.msc，進入“設(shè)備管理器”；3.查找右側(cè)“設(shè)備管理器”的窗口，選擇網(wǎng)絡(luò)適配器，找到無線網(wǎng)卡設(shè)備名稱；4.右擊該設(shè)備，選擇“禁用”，點擊“是”。備注日志與審計日志與審計配置日志策略加固項目名稱配置日志策略加固編號Windows-04-01-01加固說明配置系統(tǒng)日志策略配置文件，對系統(tǒng)登錄、訪問等行為進行審計，為后續(xù)問題追溯提供依據(jù)。適用版本W(wǎng)in 2000、Win XP、Win 2003、Win7、Win 2