Windows主机操作系统加固规范方案.doc

《Windows主机操作系统加固规范方案.doc》由会员分享，可在线阅读，更多相关《Windows主机操作系统加固规范方案.doc（33页珍藏版）》请在三一办公上搜索。

1、Windows主机操作系统加固规范2023年4月目录1账号管理、认证授权11.1账号11.1.1SHG-Windows-01-01-0111.1.2SHG-Windows-01-01-0221.1.3SHG-Windows-01-01-0331.2口令41.2.1SHG-Windows-01-02-0141.2.2SHG-Windows-01-02-0251.3授权61.3.1SHG-Windows-01-03-0161.3.2SHG-Windows-01-03-0271.3.3SHG-Windows-01-03-0381.3.4SHG-Windows-01-03-0491.3.5SHG-Wi

2、ndows-01-03-05102日志配置112.1.1SHG-Windows-02-01-01112.1.2SHG-Windows-02-01-02123通信协议143.1IP协议安全143.1.1SHG-Windows-03-01-01143.1.2SHG-Windows-03-01-02153.1.3SHG-Windows-03-01-03164设备其他安全要求184.1屏幕保护184.1.1SHG-Windows-04-01-01184.1.2SHG-Windows-04-01-02194.2共享文件夹及访问权限204.2.1SHG-Windows-04-02-01204.2.2SHG

3、-Windows-04-02-02214.3补丁管理234.3.1SHG-Windows-04-03-01234.4防病毒管理244.4.1SHG-Windows-04-04-01244.4.2SHG-Windows-04-04-02254.5Windows服务264.5.1SHG-Windows-04-05-01264.5.2SHG-Windows-04-05-02284.6启动项294.6.1SHG-Windows-04-06-01294.6.2SHG-Windows-04-06-0230本文档是Windows操作系统的对于Win系统的设备账号认证、日志、协议、补丁升级、文件系统管理等方面

4、的安全配置要求，共26项。对系统的安全配置审计、加固操作起到指导性作用。1 账号管理、认证授权1.1 账号1.1.1 SHG-Windows-01-01-01编号SHG-Windows-01-01-01名称按照用户类型分配账号实施目的根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户，审计用户，来宾用户等。问题影响账号混淆，权限不明确，存在用户越权使用的可能。系统当前状态进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：记录当前用户状态实施步骤参考配置操作：进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”。结合要求和实际业务情况判断符合要求，

5、根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户，审计用户，来宾用户。回退方案删除新增加的用户，还原用户权限到初始设置。部分操作可能无法回退。判断依据进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：查看账户和账户组，管理员用户，数据库用户，审计用户，来宾用户等。根据系统的要求和实际业务情况判断是否符合要求。实施风险高重要等级备注1.1.2 SHG-Windows-01-01-02编号SHG-Windows-01-01-02名称系统无效帐户清理实施目的删除或锁定与设备运行、维护等与工作无关的账号，提高系统帐户安全。问题影响如果不清理无效帐户，则系统将面临默认账

6、号被非法利用的风险系统当前状态进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：记录当前用户状态，备份系统SAM文件。实施步骤参考配置操作：进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”。删除或锁定与设备运行、维护等与工作无关的账号。回退方案增加被删除的用户，激活被锁定的用户，还原用户权限到初始设置。部分操作可能无法回退。判断依据进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：查看是否删除或锁定与设备运行、维护等与工作无关的账号。根据系统的要求和实际业务情况判断是否符合要求实施风险高重要等级备注1.1.3 SHG-Windows-

7、01-01-03编号SHG-Windows-01-01-03名称重命名Administrator，禁用GUEST实施目的对于管理员帐号，要求更改缺省帐户名称；禁用guest（来宾）帐号。提高系统安全性。问题影响管理员帐号容易被猜解；Guest账号容易被非法利用系统当前状态进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”。记录当前用户状态实施步骤参考配置操作：进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”。Administrator属性 更改名称Guest帐号-属性 已停用回退方案重命名用户名称，还原用户属性设置判断依据进入“控制面板-管理工具-计算机管

8、理”，在“系统工具-本地用户和组”：查看管理员账号Administrator名称是否修改，Guest账号是否禁用。实施风险低重要等级备注1.2 口令1.2.1 SHG-Windows-01-02-01编号SHG-Windows-01-02-01名称配置密码策略实施目的设置密码策略，减少密码安全风险；防止系统弱口令的存在，减少安全隐患。对于采用静态口令认证技术的设备，口令长度至少6位，且密码规则至少应采用字母（大小写穿插）加数字加标点符号（包括通配符）的方式。问题影响增加系统密码被暴力破解的成功率系统当前状态进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：记录当前密码策略情况

9、。实施步骤参考配置操作：进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”。“密码必须符合复杂性要求”选择“已启动”设置如下策略策略默认设置推荐最低设置强制执行密码历史记录记住 1 个密码记住5个密码密码最长期限42 天90 天密码最短期限0 天2 天最短密码长度0 个字符8 个字符密码必须符合复杂性要求禁用启用为域中所有用户使用可还原的加密来储存密码禁用禁用回退方案还原密码策略到加固之前配置判断依据进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：查看“密码必须符合复杂性要求” 是否选择“已启动”。实施风险低重要等级备注1.2.2 SHG-Windows-0

10、1-02-02编号SHG-Windows-01-02-02名称配置账户锁定策略实施目的设置有效的账户锁定策略有助于防止攻击者猜出系统账户的密码。问题影响增加系统密码被暴力破解的成功率系统当前状态进入“控制面板-管理工具-本地安全策略”，在“帐户策略-账户锁定策略”：记录当前账户锁定策略情况。实施步骤参考配置操作：进入“控制面板-管理工具-本地安全策略”，在“帐户策略-账户锁定策略”。设置如下策略：策略默认设置推荐最低设置账户锁定时间未定义30 分钟账户锁定阈值06 次无效登录复位账户锁定计数器未定义30 分钟回退方案还原账户锁定策略到加固之前配置判断依据进入“控制面板-管理工具-本地安全策略”

11、，在“帐户策略-账户锁定策略”：查看安全策略是否设置为已启动和按要求配置。实施风险低重要等级备注1.3 授权1.3.1 SHG-Windows-01-03-01编号SHG-Windows-01-03-01名称远端系统强制关机设置实施目的防止远程用户非法关机，在本地安全设置中从远端系统强制关机只指派给Administrators组问题影响增加系统被管理员以外的用户非法关闭的风险系统当前状态进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”:查看并记录“从远端系统强制关机”的当前设置。实施步骤参考配置操作：进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”。

12、“从远端系统强制关机”设置为“只指派给Administrators组”。回退方案还原“从远端系统强制关机”的设置到加固之前配置。判断依据进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”:查看“从远端系统强制关机”是否设置为“只指派给Administrators组”。实施风险低重要等级备注1.3.2 SHG-Windows-01-03-02编号SHG-Windows-01-03-02名称关闭系统设置实施目的防止管理员以外的用户非法关机，在本地安全设置中关闭系统仅指派给Administrators组问题影响增加系统被管理员以外的用户非法关闭的风险系统当前状态进入“控制面板-管

13、理工具-本地安全策略”，在“本地策略-用户权利指派”:查看并记录“关闭系统”的当前设置。实施步骤参考配置操作：进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”。“关闭系统”设置为“只指派给Administrators组”。回退方案还原“关闭系统”的设置到加固之前配置判断依据进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”:查看“关闭系统”是否设置为“只指派给Administrators组”。实施风险低重要等级备注1.3.3 SHG-Windows-01-03-03编号SHG-Windows-01-03-03名称“取得文件或其它对象的所有权”设置实施目

14、的防止用户非法获取文件，在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators问题影响增加系统除管理员以外的用户非法获取文件的风险系统当前状态进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”:查看并记录“取得文件或其它对象的所有权”的当前设置。实施步骤参考配置操作：进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”。“取得文件或其它对象的所有权”设置为“只指派给Administrators组”。回退方案还原“取得文件或其它对象的所有权”的设置到加固之前配置判断依据进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指

15、派”：查看是否“取得文件或其它对象的所有权”设置为“只指派给Administrators组”。实施风险低重要等级备注1.3.4 SHG-Windows-01-03-04编号SHG-Windows-01-03-04名称“从本地登陆此计算机”设置实施目的防止用户非法登录主机，在本地安全设置中配置指定授权用户允许本地登陆此计算机问题影响增加物理临近攻击和本地物理攻击以及非授权用户非法登陆主机的风险系统当前状态进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”:查看并记录“从本地登陆此计算机”的当前设置。实施步骤参考配置操作：进入“控制面板-管理工具-本地安全策略”，在“本地策略-

16、用户权利指派”“从本地登陆此计算机”设置为“指定授权用户”回退方案还原“从本地登陆此计算机”的设置到加固之前配置判断依据进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”：查看是否“从本地登陆此计算机”设置为“指定授权用户”。实施风险低重要等级备注1.3.5 SHG-Windows-01-03-05编号SHG-Windows-01-03-05名称“从网络访问此计算机”设置实施目的防止网络用户非法访问主机，在组策略中只允许授权帐号从网络访问(包括网络共享等，但不包括终端服务)此计算机。问题影响增加非授权用户非法访问主机的风险系统当前状态进入“控制面板-管理工具-本地安全策略”

17、，在“本地策略-用户权利指派”:查看并记录“从网络访问此计算机”的当前设置。实施步骤1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”“从网络访问此计算机”设置为“指定授权用户”回退方案还原“从网络访问此计算机”的设置到加固之前配置判断依据进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”：查看是否“从网络访问此计算机”设置为“指定授权用户”。实施风险低重要等级备注2 日志配置2.1.1 SHG-Windows-02-01-01编号SHG-Windows-02-01-01名称审核策略设置实施目的设置审核策略，记录系统重要的事件日志，设备应

18、配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址问题影响无法对用户的登陆以及登陆后对系统的操作过程、特权使用等进行日志记录系统当前状态进入“控制面板-管理工具-本地安全策略”，查看并记录“审核策略”的当前设置。实施步骤参考配置操作：开始-运行- 执行“控制面板-管理工具-本地安全策略-审核策略”审核登录事件，双击，设置为成功和失败都审核。“审核策略更改”设置为“成功”和“失败”都要审核“审核对象访问”设置为“成功”和“失败”都要审核“审核目录服务器访问”设置为“成功”和“失败”都要审核“审核特权使用”设置为“成功”和“

19、失败”都要审核“审核系统事件”设置为“成功”和“失败”都要审核“审核账户管理”设置为“成功”和“失败”都要审核“审核过程追踪”设置为“失败”需要审核回退方案还原“审核策略”的设置到加固之前配置判断依据开始-运行- 执行“控制面板-管理工具-本地安全策略-审核策略”：查看是否设置为成功和失败都审核。实施风险低重要等级备注2.1.2 SHG-Windows-02-01-02编号SHG-Windows-02-01-02名称日志记录策略设置实施目的优化系统日志记录，防止日志溢出。设置应用日志文件大小至少为8192KB，设置当达到最大的日志尺寸时，按需要改写事件问题影响如果日志的大小超过系统默认设置，则

20、无法正常记录超过最大记录值后的所有系统日志、应用日志、安全日志等系统当前状态进入“控制面板-管理工具-事件查看器”，查看并记录“应用日志”、“系统日志”、“安全日志”的当前设置实施步骤1、参考配置操作进入“控制面板-管理工具-事件查看器”，在“事件查看器（本地）”中：“应用日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”“系统日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”“安全日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”回退方案还原“应用日

21、志”、“系统日志”、“安全日志”的设置到加固之前配置判断依据进入“控制面板-管理工具-事件查看器”，在“事件查看器（本地）”中：查看各项日志属性中日志大小是否设置为不小于“8192KB” ,是否设置当达到最大的日志尺寸时，“按需要改写事件”。实施风险低重要等级备注3 通信协议3.1 IP协议安全3.1.1 SHG-Windows-03-01-01编号SHG-Windows-03-01-01名称启用TCP/IP筛选实施目的过滤不必要的端口，提高系统安全性，对没有自带防火墙的Windows系统，启用Windows系统的IP安全机制(IPSec)或网络连接上的TCP/IP筛选，只开放业务所需要的TC

22、P，UDP端口和IP协议问题影响如不有效过滤系统中存在的不必要的端口以及默认的端口会增加潜在被攻击和非法利用的安全风险系统当前状态进入“控制面板网络连接本地连接”，进入“Internet协议（TCP/IP）属性高级TCP/IP设置”，在“选项”的属性中查看“网络连接上的TCP/IP筛选”的状态，并记录实施步骤参考配置操作：系统管理员出示业务所需端口列表。根据列表只开放系统与业务所需端口。进入“控制面板网络连接本地连接”，进入“Internet协议（TCP/IP）属性高级TCP/IP设置”，在“选项”的属性中启用网络连接上的TCP/IP筛选，只开放业务所需要的TCP，UDP端口和IP协议。回退方

23、案还原高级TCP/IP的设置到加固之前配置判断依据系统管理员出示业务所需端口列表。根据列表只开放系统与业务所需端口。进入“控制面板网络连接本地连接”，进入“Internet协议（TCP/IP）属性高级TCP/IP设置”，在“选项”的属性中启用网络连接上的TCP/IP筛选，查看是否只开放业务所需要的TCP，UDP端口和IP协议。利用Netstat an命令查看当前系统开放端口是否与系统管理员所出示的业务所需端口列表相对应；如发现存在与业务和应用无关的端口，则查明后在TPC/IP筛选配置中将其过滤掉。实施风险高重要等级备注3.1.2 SHG-Windows-03-01-02编号SHG-Window

24、s-03-01-01名称开启系统防火墙实施目的启用Windows XP和Windows 2003自带防火墙，过滤不必要的端口，提高系统安全性。根据业务需要限定允许访问网络的应用程序和允许远程登陆该设备的IP地址范围。问题影响没有访问控制，系统可能被非法登陆或使用，从而增加潜在被攻击的安全风险系统当前状态进入“控制面板网络连接本地连接”，在高级选项的属性中查看Windows防火墙的状态，并记录详细情况。实施步骤参考配置操作：系统管理员出示业务所需端口列表。根据列表只开放系统与业务所需端口。进入“控制面板网络连接本地连接”，在高级选项的设置中：启用Windows防火墙。在“例外”中配置允许业务所需

25、的程序接入网络。在“例外-编辑-更改范围”编辑允许接入的网络地址范围。回退方案还原高级系统防火墙设置到加固之前配置。判断依据进入“控制面板网络连接本地连接”，在高级选项的设置中，查看是否启用Windows防火墙。查看是否在“例外”中配置允许业务所需的程序接入网络。查看是否在“例外-编辑-更改范围”编辑允许接入的网络地址范围。实施风险高重要等级备注3.1.3 SHG-Windows-03-01-03编号SHG-Windows-03-01-03名称启用SYN攻击保护实施目的启用SYN攻击保护，提高系统安全性；指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阀值为5；指定处于 SYN_RCVD

26、 状态的 TCP 连接数的阈值为500；指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值为400。问题影响如不启用SYN攻击保护，系统则容易被SYN拒绝服务攻击后导致迅速当机。系统当前状态在“开始-运行-键入regedit”查看并记录注册表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices、SynAttackProtect的值并记录。查看并记录注册表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。TcpMaxPortsExhaustedTcpMaxHalfOp

27、enTcpMaxHalfOpenRetried的值并记录实施步骤参考配置操作：在“开始-运行-键入regedit”启用 SYN 攻击保护的命名值位于注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。值名称：SynAttackProtect。推荐值：2。以下部分中的所有项和值均位于注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。指定必须在触发 SYN flood 保护之前超过的 TCP 连接请求阈值。值名称：TcpMaxPortsExhausted。推荐值：5。启

28、用 SynAttackProtect 后，该值指定 SYN_RCVD 状态中的 TCP 连接阈值，超过 SynAttackProtect 时，触发 SYN flood 保护。值名称：TcpMaxHalfOpen。推荐值数据：500。启用 SynAttackProtect 后，指定至少发送了一次重传的 SYN_RCVD 状态中的 TCP 连接阈值。超过 SynAttackProtect 时，触发 SYN flood 保护。值名称：TcpMaxHalfOpenRetried。推荐值数据：400。回退方案还原注册表设置到加固之前配置判断依据在开始-运行里输入regedit，进入注册表中打开相应的注册

29、项，查看键值是否已启用和配置，各注册表键值是否均按要求设置。实施风险高重要等级备注4 设备其他安全要求4.1 屏幕保护4.1.1 SHG-Windows-04-01-01编号SHG-Windows-04-01-01名称启用屏幕保护程序实施目的启用屏幕保护程序，防止管理员忘记锁定机器被非法攻击；设置带密码的屏幕保护，并将时间设定为5分钟问题影响如未启动屏幕保护并采用密码恢复，一旦管理员操作系统后忘记锁定主机，则容易被非法攻击，以及增加本地物理临近攻击的风险。系统当前状态进入“控制面板显示屏幕保护程序”：查看是否启用屏幕保护程序 并记录当前的设置实施步骤参考配置操作：进入“控制面板显示屏幕保护程序

30、”：启用屏幕保护程序，设置等待时间为“5分钟”，启用“在恢复时使用密码保护”。回退方案还原屏幕保护程序设置到加固之前配置。判断依据进入“控制面板显示屏幕保护程序”：查看是否启用屏幕保护程序，设置等待时间为“5分钟”，启用“在恢复时使用密码保护”。在系统桌面上点击鼠标右键，打开属性，查看屏幕保护程序选项是否已启动和配置。实施风险低重要等级备注4.1.2 SHG-Windows-04-01-02编号SHG-Windows-04-01-02名称设置Microsoft网络服务器挂起时间实施目的设置Microsoft网络服务器挂起时间，防止管理员忘记锁定机器被非法利用；对于远程登陆的帐号，设置不活动断连

31、时间15分钟问题影响管理员忘记锁定而被非法利用系统当前状态进入“控制面板-管理工具-本地安全策略”，在“本地策略-安全选项”：查看是否“Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟。实施步骤参考配置操作：进入“控制面板-管理工具-本地安全策略”，在“本地策略-安全选项”：“Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟。回退方案还原“挂起会话之前所需的空闲时间”设置到加固之前配置判断依据进入“控制面板-管理工具-本地安全策略”，在“本地策略-安全选项”：查看是否“Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间

32、”为15分钟。实施风险低重要等级备注4.2 共享文件夹及访问权限4.2.1 SHG-Windows-04-02-01编号SHG-Windows-04-02-01名称关闭默认共享实施目的非域环境中，关闭Windows硬盘默认共享，例如C$，D$，提高系统安全性能问题影响防止攻击者利用系统默认共享如：C$、D$等，非法对系统的硬盘进行访问，以及通过IPC$方式暴力破解帐户和密码系统当前状态查看并记录：注册表HKLMSystemCurrentControlSetServicesLanmanServerParameters增加了REG_DWORD类型的AutoShareServer 键的值。实施步骤参

33、考配置操作：进入“开始运行Regedit”，进入注册表编辑器，更改注册表键值：在HKLMSystemCurrentControlSet ServicesLanmanServerParameters下，增加REG_DWORD类型的AutoShareServer 键，值为 0。回退方案还原“AutoShareServer” 键的值设置到加固之前配置判断依据进入“开始运行Regedit”，进入注册表编辑器，查看HKLMSystemCurrentControlSet ServicesLanmanServerParameters下，是否已增加REG_DWORD类型的AutoShareServer 键，值

34、为 0。实施风险低重要等级备注4.2.2 SHG-Windows-04-02-02编号SHG-Windows-04-02-02名称设置共享文件夹访问权限实施目的设置共享文件夹访问权限，防止用户非法访问。只允许授权的账户拥有权限共享此文件夹。问题影响增加系统未授权的用户非法访问共享文件夹的风险系统当前状态进入“控制面板-管理工具-计算机管理”，进入“系统工具共享文件夹”：查看并记录每个共享文件夹的共享权限。实施步骤参考配置操作：进入“控制面板-管理工具-计算机管理”，进入“系统工具共享文件夹”：查看每个共享文件夹的共享权限，只将权限授权于指定账户。回退方案还原每个共享文件夹的共享权限到加固之前配

35、置判断依据进入“控制面板-管理工具-计算机管理”，进入“系统工具共享文件夹”：查看每个共享文件夹的共享权限。查看每个共享文件夹的共享权限是否仅限于业务需要，不设置成为“everyone”。实施风险低重要等级备注4.3 补丁管理4.3.1 SHG-Windows-04-03-01编号SHG-Windows-04-03-01名称安装系统补丁实施目的修复系统漏洞。应安装最新的Service Pack补丁集。对服务器系统应先进行兼容性测试。问题影响如系统未打补丁或补丁未打全，不是最新的补丁，则面临容易被攻击、渗透和控制的风险系统当前状态控制面板-添加或删除程序-显示更新打钩，查看并记录当前系统安装的补

36、丁实施步骤参考配置操作：安装最新的Service Pack补丁集，以及最新的Hotfix补丁。目前Windows XP的Service Pack为SP3。Windows2000的Service Pack为SP4,Windows 2003的Service Pack为SP2回退方案卸载新安装的补丁判断依据进入控制面板-添加或删除程序-显示更新打钩，查看是否XP系统已安装SP3，Win2000系统已安装SP4，Win2003系统已安装SP2。同时检查所有的hotfix，并查看系统安装的最后一个补丁的发布日期是否与最近最新发布的补丁日期一致。实施风险高重要等级备注4.4 防病毒管理4.4.1 SHG-

37、Windows-04-04-01编号SHG-Windows-04-04-01名称安装、更新杀毒软件实施目的安装防病毒软件，并及时更新，提高系统防病毒能力问题影响如系统中未安装防病毒软件或防病毒软件未及时更新，则系统面临容易被病毒感染的风险系统当前状态查看是否安装杀毒软件；打开防病毒软件控制面板，查看病毒码更新日期实施步骤参考配置操作：安装防病毒软件，并将病毒库更新到最新的版本回退方案卸载或删除杀毒软件判断依据进入控制面板-添加或删除程序，查看是否安装有防病毒软件。同时打开防病毒软件控制面板，查看病毒码更新日期。如已安装防病毒软件，则病毒码更新时间不早于1个月，各系统病毒码升级时间要求参见各系统

38、相关规定。实施风险低重要等级备注4.4.2 SHG-Windows-04-04-02编号SHG-Windows-04-04-02名称数据执行保护配置实施目的提高系统抵抗非法修改文件的性能。对于Windows XP SP2及Windows 2003对Windows操作系统程序和服务启用系统自带DEP功能(数据执行保护)，防止在受保护内存位置运行有害代码。问题影响如未配置系统核心的数据执行保护，则无法对在内存位置运行有害代码进行保护系统当前状态进入“控制面板系统”，在“高级”选项卡的 “性能”下的“设置”。进入 “数据执行保护”选项卡。查看并记录“ 仅为基本 Windows 操作系统程序和服务启用

39、DEP”的配置状态。实施步骤参考配置操作： 进入“控制面板系统”，在“高级”选项卡的 “性能”下的“设置”。进入 “数据执行保护”选项卡。设置为“ 仅为基本 Windows 操作系统程序和服务启用DEP”。回退方案将“ 仅为基本 Windows 操作系统程序和服务启用DEP”设置到加固前配置判断依据进入“控制面板系统”，在“高级”选项卡的 “性能”下的“设置”。进入 “数据执行保护”选项卡。查看是否设置为“ 仅为基本 Windows 操作系统程序和服务启用DEP”。实施风险低重要等级备注4.5 Windows服务4.5.1 SHG-Windows-04-05-01编号SHG-Windows-0

40、4-05-01名称关闭服务实施目的关闭系统不必要的服务，提高系统安全性。列出所需要服务的列表(包括所需的系统服务)，不在此列表的服务需关闭问题影响如不关闭与业务和应用无关或不必要的服务，则系统面临容易被攻击、渗透或利用的风险系统当前状态运行命令net start 查看当前运行的服务实施步骤参考配置操作： 进入“控制面板-管理工具-计算机管理”，进入“服务和应用程序”：查看所有服务，不在此列表的服务需关闭。服务启动类型包括在成员服务器基准策略中的理由COM+ 事件服务手动允许组件服务的管理DHCP 客户端自动更新动态 DNS 中的记录所需分布式链接跟踪客户端自动用来维护 NTFS 卷上的链接DN

41、S 客户端自动允许解析 DNS 名称事件日志自动允许在事件日志中查看事件日志消息逻辑磁盘管理器自动需要它来确保动态磁盘信息保持最新逻辑磁盘管理器管理服务手动需要它以执行磁盘管理Netlogon自动加入域时所需网络连接手动网络通讯所需性能日志和警报手动收集计算机的性能数据，向日志中写入或触发警报即插即用自动Windows 标识和使用系统硬件时所需受保护的存储区自动需要用它保护敏感数据，如私钥远程过程调用 (RPC)自动Windows 中的内部过程所需远程注册服务自动hfnetchk 实用工具所需（参见附注）安全帐户管理器自动存储本地安全帐户的帐户信息服务器自动hfnetchk 实用工具所需（参见

42、附注）系统事件通知自动在事件日志中记录条目所需TCP/IP NetBIOS Helper 服务自动在组策略中进行软件分发所需（可用来分发修补程序）Windows 管理规范驱动程序手动使用“性能日志和警报”实现性能警报时所需Windows 时间服务自动需要它来保证 Kerberos 身份验证有一致的功能工作站自动加入域时所需回退方案进入“控制面板-管理工具-计算机管理”，进入“服务和应用程序”，配置并启动停止的服务判断依据系统管理员应出具系统所必要的服务列表。查看所有服务，不在此列表的服务需关闭。进入“控制面板-管理工具-计算机管理”，进入“服务和应用程序”：查看所有服务，不在此列表的服务是否已

43、关闭。实施风险中重要等级备注4.5.2 SHG-Windows-04-05-02编号SHG-Windows-04-05-02名称修改SNMP服务密码实施目的修改SNMP服务密码，防止泄露系统信息。如需启用SNMP服务，则修改默认的SNMP Community String设置问题影响如未修改SNMP服务的默认密码，则攻击者利用SNMP信息探测工具就可以获取系统信息。从而增加系统被攻击的风险系统当前状态打开“控制面板”，打开“管理工具”中的“服务”，找到“SNMP Service”，单击右键打开“属性”面板中的“安全”选项卡，查看community strings的值实施步骤参考配置操作： 打开“控制面板”，打开“管理工具”中的“