网络安全标准实践指南—Windows7操作系统安全加固指引.docx

《网络安全标准实践指南—Windows7操作系统安全加固指引.docx》由会员分享，可在线阅读，更多相关《网络安全标准实践指南—Windows7操作系统安全加固指引.docx（36页珍藏版）》请在三一办公上搜索。

1、1范围12规范性引用文件13术语定义13.1 身份identity13.2 鉴别authentication13.3 访问控制accesscontrol23.4 安全审计securityaudit23.5 入侵intrusion23.6 入侵防御intrusionprevention23.7 热补丁hotfix23.8 虚拟补丁virtualpatch24缩略语25概述36安全防护加固36.1 系统补丁46.2 第三方安全防护软件安装56.3 恶意代码防范67安全配置加固87.1 身份鉴别97.2 访问控制137.3 安全审计197.4 入侵防御26附录A安全加固项实施建议29附录B建议安装的

2、系统补丁31附录C常见的高危漏洞32附录D建议关闭的服务34附录E建议关闭的端口35参考文献371范围本实践指南从安全防护加固和安全配置加固两个方面，给出了针对WindOWS7操作系统的本地安全防护和安全策略配置建议。本实践指南适用于WindOWS7操作系统以及兼容操作系统平台的安全加固，WindoWS7以上的操作系统安全加固也可参考使用。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T25069信息安全技术术语GB/T37090201

3、8信息安全技术病毒防治产品安全技术要求和测试评价方法3术语定义GBb25069界定的以及下列术语和定义适用于本文件。3.1 身份identity与某一实体相关的一组属性。注1：一个实体能有多个身份。注2：几个实体能有同一的身份。3.2 鉴别authentication验证某一实体所声称身份的过程。3.3 访问控制accesscontrol一种确保数据处理系统的资源只能由经授权实体以授权方式进行访问的手段。3.4 安全审计securityaudit对信息系统记录与活动的独立评审和考察，以测试系统控制的充分程度，确保对于既定安全策略和运行规程的符合性，发现安全违规，并在控制、安全策略和过程三方面提

4、出改进建议。3.5 入侵intrusion对网络或联网系统的未授权访问，即对信息系统进行有意或无意的未授权访问，包括针对信息系统的恶意活动或对信息系统内资源的未授权使用。3.6 入侵防御intrusionprevention积极应对以防止入侵的正规过程。3.7 热补丁hotfix指能够修复软件漏洞的一些代码，它不会使当前正在运行的业务中断，即在不重启的情况下，可以对当前软件的漏洞进行即时修复。3.8 虚拟补丁virtualpatch指一组程序或者代码，它不直接修复受影响软件的漏洞，而采用外围的方式，通过控制受影响软件的输入或输出，来达到缓解或者清除漏洞的目的。4缩略语下列缩略语适用于本文件。D

5、EP：数据执行保护(DataEXeCUtionPrOteCtiOn)DPAPI：数据保护APl(DataProtectionAPI)DS：目录服务(DireCtorySerViCe)FTP：文件传输协议(FileTransferProtocol)RDS：远程桌面服务(RemOteDeSktoPSerViCeS)RPC：远程过程调用(RemOteProCedUreCalDSAM：安全账户管理(SecurityAccountManager)SYN：同步序歹J编号(SynchronizeSequenceNumbers)TCP：传输控制协议(TranSmitControlProtOCol)UAC：用户

6、账户控制(USerACCOUntCOntrol)5概述本实践指南从安全防护加固和安全配置加固两个方面给出48个加固项，其中，安全防护加固项9个，安全配置加固项39个，每个加固项包括“加固内容、加固建议、实施/操作指南三项要素，具体说明了加固方法。为了便于实际操作，附录A给出了加固项的实施优先级建议，分重要和一般两个级别，用户可根据具体情况分步骤实施。6安全防护加固安全防护加固包括三方面的内容，首先，及时安装微软官方已经发布的针对WindOWS7系统漏洞的补丁，防止恶意攻击利用已知漏洞的攻击；其次，针对一些新出现的漏洞且没有官方补丁的情况，可以采用网络安全厂商提供的热补丁或虚拟补丁、系统加固方案

7、等作为缓解措施，但热补丁或虚拟补丁的有效性建议由专业机构进行验证；同时这些补丁与用户业务系统的兼容性等需要用户根据自身的实际情况进行验证、修补；最后，可以利用系统本身的安全配置以及安装网络安全厂商提供的恶意代码防范软件，以达到安全加固的目的。6.1 辍!卜丁及时安装系统补丁，可以很大程度避免被恶意入侵和利用，让系统和软件运行更稳定。建议安装的系统补丁见附录B。6.1.1 已知高危漏洞修复加固内容已知高危漏洞进行补丁修复。加固建议针对已知高危漏洞，充分评估后进行修复。实施/操作指南针对已知高危漏洞查找并安装对应补丁或使用安全软件进行漏洞修复。常见的高危漏洞详见附录C。6.1.2 WiIldoWS

8、UPdate系统升级进程禁止加固内容禁止WindoWSUPdate系统升级进程访问互联网，防止可能通过本升级进程收集信息，增加安全风险。加固建议禁止WindOWSUPdate系统升级进程访问互联网。实施/操作指南利用操作系统自身的功能设置或采用其他联网检查工具实现阻止外联WindoWS7升级服务器。6.2 第三方安全防护软件安装采用网络安全厂商提供的安全防护软件，可针对没有微软补丁的操作系统漏洞进行主动防御，对攻击行为进行拦截，包括但不限于以下技术方式。6.2.1 停服后的漏洞修复加固内容修复WIN7停服后高危操作系统漏洞。加固建议针对WIN7停服后无法提供实体补丁的高危操作系统漏洞，采用网络

9、安全厂商提供的相应补丁解决方案进行漏洞修复。实施/操作指南部署具备相关补丁漏洞免疫功能的终端安全防护软件，并开启针对WindOWS7操作系统适配的系统补丁，下发至WindoWS7操作系统终端并开启防护。6.2.2 热补丁或虚拟补丁安装加固内容使用网络安全厂商提供的热补丁或虚拟补丁功能，通过内存检测、内核加固、网络流量检测等方式进行漏洞修复或攻击拦截。加固建议安装并开启网络安全厂商提供的热补丁或虚拟补丁功能，进行动态检测防护加固。实施/操作指南部署具备热补丁或虚拟补丁功能的终端安全防护软件，并开启针对WindOWS7操作系统的热补丁或虚拟补丁能力。6.2.3 系统加固加固内容使用包括但不限于主动

10、防御、内存修补等技术措施，以清除由于系统漏洞带来的安全隐患。加固建议安装并开启网络安全厂商提供的系统加固功能。实施/操作指南部署具备系统加固能力的终端安全防护软件，并开启系统加固功能。6.3 恶意代码防范恶意代码防范主要针对恶意代码可能的入侵点提供安全加固建议。6.3.1 UAC验证加固内容启用用户账户控制（UAC）功能。加固建议启用用户账户控制（UAC）功能。实施/操作指南在运行窗口输入“gpedit.msc”打开本地组策略。配置计算机配置-WindOWS设置-安全设置-本地策略的策略值-安全选项-“用户账户控制：以管理员批准模式运行所有管理员为“已启用6.3.2自动播放加固内容关闭自动播放

11、功能。加固建议关闭自动播放功能。实施/操作指南在运行窗口输入“gpedit.msc”打开本地组策略。将计算机配置-管理模板-WindOWS组件-自动播放策略自动运行的默认行为”的策略值配置为“已启用：不执行任何自动运行命令”。6.3.3 数据执行保护加固内容启用数据执行保护（DEP）。加固建议打开数据执行保护（DEP）功能。实施/操作指南进入“控制面板-系统”；选择“高级系统设置-高级-性能-设置-数据执行保护”选项卡，勾选“仅为基本WindoWS操作系统程序和服务启用DEP”。6.3.4 恶意代码防范软件加固内容安装恶意代码防范软件并及时更新特征库。加固建议开启实时防护功能并定期扫描，及时升

12、级软件、更新特征库。实施/操作指南选用符合“GB/T370902018信息安全技术病毒防治产品安全技术要求和测试评价方法”的恶意代码防范软件。7安全配置加固安全配置加固主要通过WindOWS7操作系统本身提供的各种配置进行加固，包括但不限于身份鉴别、访问控制、安全审计、入侵防御等。部分配置项在默认情况下未启用，启用这些配置项可以预防某些特定的网络威胁攻击，增强WindOWS7系统安全。本实践指南所列的配置加固项未穷尽，用户可以根据自身业务需求以及网络威胁的发展变化态势，进行动态调整，以增强系统的安全性。用户在参考本章中的安全配置加固项进行加固工作时，除了手动加固，还可采用满足本实践指南要求的自

13、动化工具开展安全策略检查并实施加固操作。7.1 身份鉴别身份鉴别主要是对登录用户数字身份进行合法性校验，保证以数字身份进行操作的操作者就是这个数字身份合法拥有者，通过对身份鉴别相关安全策略的加固，可以提高账户安全性。本节主要针对口令复杂度、使用期限、登录失败处理、屏幕保护等与身份鉴别等有关策略提供安全实施建议。7.1.1 口令复杂度加固内容口令策略启用口令符合复杂性要求。加固建议满足口令复杂度要求：至少包含大小写字母、数字和特殊符号3种或者3种以上组合。实施/操作指南运行窗口输入“gpedit.msc”打开本地组策略。配置计算机配置-Winde）WS设置-安全设置-账户策略-密码策略”：“密码

14、必须符合复杂性要求”选择“已启动”。（备注：此处WindoWS菜单选项中的“密码就是本文的“口令”，下同。）7.12口令长度加固内容口令要有最小长度限制。加固建议配置口令策略限制口令的长度必须至少为8个字符。实施/操作指南在运行窗口输入“gpedit.msc”打开本地组策略。配置计算机配置-WindOWS设置-安全设置账户策略-密码策略-密码长度最小值大于等于8个字符。7.1.3 口令最长使用期限加固内容口令要有最长使用期限限制。加固建议配置口令最长使用时间，设置口令为30天至90天后过期。实施/操作指南在运行窗口输入“gpedit.msc”打开本地组策略。配置计算机配置-WindOWS设置-

15、安全设置-账户策略-密码策略-密码最长使用期限的策略值为30-90之间数值。7.1.4 错误登录尝试加固内容错误登录尝试次数要有最多次数限制。加固建议配置错误登录尝试次数，设置为不超过5次。实施/操作指南在运行窗口输入“gpedit.msc”打开本地组策略。配置计算机配置-WindOWS设置-安全设置-账户策略-账户锁定策略-账户锁定阈值的策略值为“5”。7.1.5 锁定持续时间加固内容“错误登录尝试次数达到阈值后，账户被锁定持续时间要有最短时间限制。加固建议配置锁定持续时间，设置至少为15分钟。实施/操作指南在运行窗口输入“gpedit.msc”打开本地组策略。配置计算机配置-WindOWS

16、设置-安全设置-账户策略-账户锁定策略-账户锁定时间的策略值大于等于15。7.1.6 登录计数器加固内容重置登录计数器要有最短时间限制。加固建议配置重置登录计数器之前的时间，设置至少为15分钟。实施/操作指南在运行窗口输入“gpedit.msc”打开本地组策略。配置计算机配置-WindOWS设置-安全设置账户策略账户锁定策略，重置账户锁定计数器的策略值大于等于15。7.1.7 口令使用历史加固内容用户不能重复使用最近已使用的口令。加固建议配置强制口令历史，设置至少为10个。实施/操作指南在运行窗口输入“gpedit.msc”打开本地组策略。配置计算机配置-WindOWS设置，安全设置账户策略密

17、码策略强制密码历史的策略值大于等于10。7.1.8 空闲会话时间加固内容对于远程登录的账户，要设置强制终结空闲会话的时间。加固建议设置该空闲时间不超过15分钟。实施/操作指南控制面板-管理工具-本地安全策略-本地策略-安全选项。打开选项“Microsoft网络服务器：暂停会话前所需的空闲时间数量”的属性页。设置“中断连接如果空闲时间超过“小于等于15分钟。7.1.9 屏幕保护加固内容设置带口令的屏幕保护，并设定进入屏幕保护的空闲时间。加固建议设置带口令的屏幕保护，并将时间设定为至少5分钟。实施/操作指南进入“控制面板显示，屏幕保护程序”。启用屏幕保护程序，设置等待时间为大于等于5分钟，启用“在

18、恢复时使用密码保护工7.2访问控制通过访问控制管理可以减少主机被非法远程登录，以及减少通过共享等方式使计算机感染恶意代码的可能性。本节主要针对账户管理、账户使用、权限管理等与访问控制等有关策略提供安全实施建议。7.2.1 管理员账户加固内容禁用或更改AdminiStTatOr管理员账户。加固建议禁用AdminiStratOr账户或把AdminiStrator更改成其他名称C实施/操作指南进入“控制面板一管理工具一计算机管理”，在“系统工具一本地用户和组一用户，：AdminiStratOrT属性一重命名或设置“账户已禁用”；或AdminiStrator一重命名一修改为其他名称。7.2.2 Gue

19、st账户加固内容禁用GUeSt来宾账户。加固建议禁用GUeSt来宾账户。实施/操作指南进入“控制面板系统和安全管理工具计算机管理”，在“系统工具本地用户和组，查看AdminiStrator、GUeSt及其他账户状态，选择GUeSt账户，右击属性，勾选“账户已禁用”。7.2.3 多余或者过期账户加固内容删除多余或者过期的账户。加固建议删除多余或者过期的账户。实施/操作指南进入“控制面板-系统和安全-管理工具-计算机管理”，在“系统工具-本地用户和组L查看多余或者过期的账户状态，选择该账户，进行删除。724用户自动登录加固内容禁止用户开机自动登录。加固建议禁止用户开机自动登录。实施/操作指南在“开

20、始运行键入regedif,设置注册表项：HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionWinlogonAutoAdminLogon(REG_DWORD),值为0。7.2.5 远程强制关机加固内容限定拥有“从远程系统强制关机”权限的用户。加固建议只允许AdminiStratOrS或改名的管理员具备远程关机权限。实施/操作指南在运行窗口输入“gpedit.msc”打开本地组策略。配置计算机配置-WindOWS设置-安全设置本地策略-用户权限分配-“从远程系统强制关机”的策略值。7.2.6 共享文件夹访问加固内容只将共享文件夹权限

21、授予指定账户。加固建议共享文件夹不能有everyone的权限，只允许授权的账户拥有权限共享此文件夹。实施/操作指南进入“控制面板-管理工具计算机管理”，进入“系统工具一共享文件”；修改对应共享文件夹的共享权限。7.2.7 匿名访问命名加固内容禁用匿名访问命名管道和共享。加固建议禁用匿名访问命名管道和共享。实施/操作指南“控制面板-管理工具-本地安全策略”，在“本地策略-安全选项”：网络访问：可匿名访问的共享设置为全部删除。“控制面板-管理工具-本地安全策略”，在“本地策略-安全选项”：网络访问：可匿名访问的命名管道设置为全部删除。7.2.8 共享账户加固内容应按照不同的用户分配不同的账户，避免

22、不同用户间共享账户。避免用户账户和设备间通信使用的账户共享。加固建议为不同的用户分配不同的账户。实施/操作指南进入“控制面板-管理工具，计算机管理L在“系统工具-本地用户和组”：根据系统的要求，设定不同的账户和账户组。7.2.9 远程访问加固内容禁止未经授权的远程访问注册表路径。加固建议“远程访问的注册表路径和子路径”的配置已全部删除或仅配置需要远程访问的注册表路径。实施/操作指南配置计算机配置-WindOWS设置安全设置-本地策略-安全选项-“网络访问：可远程访问的注册表路径”的策略值为SystemCurrentControlSetControlProductOptionsSystemCur

23、rentControlSetControlServerApplicationsSoftwareMicrosoftWindowsNTCurrentVersion”。7.2.10 域控环境7.2.10.1 拒绝从网络访问计算机加固内容配置“拒绝从网络访问这台计算机”的用户权限。加固建议“拒绝从网络访问这台计算机”的策略值仅包含EnterPriSeAdmins组、DOmainAdminS组、本地账户、GUeStS组。实施/操作指南在运行窗口输入“gpedit.msc”打开本地组策略。配置计算机配置-WindOWS设置-安全设置-本地策略-用户权限分配-“拒绝从网络访问这台计算机”配置相应值。7.2.

24、10.2 拒绝批处理作业登录加固内容配置“拒绝作为批处理作业登录”的用户权限。加固建议“拒绝作为批处理作业登录”的策略值仅包含EnterPriSeAdminS组、DomainAdminS组、GUeStS组。实施/操作指南在运行窗口输入“gpedit.msc”打开本地组策略。配置计算机配置-WindOWS设置-安全设置本地策略-用户权限分配，“拒绝作为批处理作业登录”配置相应值。7.2.10.3 拒绝服务登录加固内容配置“拒绝作为服务登录”的用户权限。加固建议“拒绝作为服务登录”的策略值仅包含EnterPriSeAdminS组、DomainAdminS组。实施/操作指南在运行窗口输入“gpedi

25、t.msc”打开本地组策略。配置计算机配置-WindoWS设置-安全设置本地策略用户权限分配-“拒绝作为服务登录”配置相应值。7.2.10.4 拒绝本地登录加固内容配置“拒绝本地登录”的用户权限。加固建议“拒绝本地登录”的策略值仅包含EnterPriSeAdminS组、DomainAdminS组、GUeStS组。实施/操作指南在运行窗口输入“gpedit.msc”打开本地组策略。配置计算机配置-WindOWS设置-安全设置本地策略-用户权限分配，“拒绝本地登录”配置相应值。7.2.10.5 拒绝远程桌面服务登录加固内容配置“拒绝通过远程桌面服务登录”的用户权限。加固建议“拒绝通过远程桌面服务登

26、录”的策略值仅包含以下内容：如果组织未使用远程桌面服务，请将EVeryOne组分配为此权限以阻止所有访问；如果组织使用RDS,仅包含EnterPriSeAdminS组、DomainAdmins组、本地账户、GUeStS组。实施/操作指南在运行窗口输入“gpedit.msc”打开本地组策略。配置计算机配置-WindOWS设置-安全设置-本地策略-用户权限分配-“拒绝通过远程桌面服务登录”配置相应值。7.3安全审计通过系统的安全审计相关功能可以对主机内重要事件进行记录，为调查取证提供依据。本节主要针对安全主体、行为、日志等与安全审计等有关策略提供安全实施建议。7.3.1 账户登录审计加固内容对用户

27、登录进行审计。加固建议开启“审核登录事件”策略，当有非法账户登录后，可以对登录终端的账户或注销的账户进行记录（记录信息主要包含源IP、端口、登录方式等）。实施/操作指南在运行窗口输入“gpedit.msc”打开本地组策略。配置计算机配置-WindOWS设置-安全设置-高级审核策略配置-系统审核策略本地组策略对象-账户登录审核凭证验证”、“审核KerberoS身份验证服务”、“审核KerberOS服务票证操作”以及“审核其他账户登录事件”的策略值，并勾选“配置以下审核事件”的“成功”复选框，以及“失败”复选框。7.3.2 账户管理审计加固内容对计算机上的每个账户管理进行审计。加固建议开启“账户管

28、理”策略，对计算机账户管理相关活动进行记录。实施/操作指南在运行窗口输入“gpedit.msc”打开本地组策略。配置计算机配置-WindOWS设置-安全设置-高级审核策略配置-系统审核策略-本地组策略对象-账户管理-“审核计算机账户管理”、“审核通讯组管理，“审核其他账户管理事件”、“审核安全组管理”以及“审核用户账户管理，的策略值，并勾选“配置以下审核事件”的“成功”复选框，以及“失败”复选框。7.3.3 进程详细跟踪审计加固内容对计算机程序进程活动详情进行审计。加固建议开启“详细跟踪”策略，可以对计算机程序进程活动详情进行记录。实施/操作指南在运行窗口输入“gpedit.msc”打开本地组

29、策略。配置计算机配置-WindOWS设置-安全设置-高级审核策略配置-系统审核策略-本地组策略对象详细跟踪审核DPAPl活动”、“审核进程创建”、“进程终止”以及“审核RPe事件”的策略值，并勾选“配置以下审核事件”的“成功”复选框，以及“失败”复选框。7.3.4 目录服务访问审计加固内容对计算机的目录服务访问进行审计。加固建议开启“审核DS访问”策略，可以对访问计算机目录进行记录。实施/操作指南在运行窗口输入“gpedit.msc”打开本地组策略。配置计算机配置-WindOWS设置-安全设置-高级审核策略配置-系统审核策略-本地组策略对象DS访问-”审核详细的目录服务复制，“审核目录服务访问

30、”、“审核目录服务更改”、审核目录服务复制”的策略值，并勾选“配置以下审核事件”的“成功”复选框，以及“失败”复选框。7.3.5 计算机登录事件审计加固内容对计算机登录/注销相关事件进行审计。加固建议开启“审核登录/注销”策略，可以对计算机登录/注销事件进行记录。实施/操作指南在运行窗口输入“gpedit.msc”打开本地组策略。配置计算机配置-WindoWS设置安全设置-高级审核策略配置-系统审核策略-本地组策略对象-登录/注销审核账户锁定”、“审核IPSeC扩展模式”、“审核IPSeC主模式”、“审核IPSeC快速模式”、“审核注销”、“审核登录”、“审核网络策略服务器”、“审核其他登录/

31、注销事件”以及“审核特殊登录”，并勾选配置以下审核事件”的“成功”复选框，以及“失败”复选框。7.3.6 对象访问审计加固内容对对象访问进行审计。加固建议开启“审核对象访问”策略，可以对对象访问进行记录。实施/操作指南在运行窗口输入“gpedit.msc”打开本地组策略。配置计算机配置-WindOWS设置-安全设置-高级审核策略配置-系统审核策略-本地组策略对象,对象访问“审核已生成应用程序”、“审核证书服务”、“审核详细的文件共享”、“审核文件共享”、“审核文件系统”、“审核筛选平台连接”、“审核筛选平台数据包丢弃”、“审核句柄操作”、“审核内核对象”、审核其他对象访问事件”、“审核注册表以

32、及审核SAM”的策略值，并勾选“配置以下审核事件”的“成功”复选框，以及“失败”复选框。7.3.7 策略更改审计加固内容对用户进行本地安全策略变更时进行审计。加固建议开启“审核策略变更”策略，当有攻击者进行本地安全策略变更时,可以对尝试更改终端账户权限分配策略、审核策略、账户策略或信任策略的每一个事件进行记录。实施/操作指南在运行窗口输入“gpedit.msc”打开本地组策略。配置计算机配置-WindOWS设置-安全设置-高级审核策略配置-系统审核策略-本地组策略对象策略更改“审核审核策略更改工“审核身份验证策略更改”、审核授权策略更改”、审核筛选平台以及审核MPSSVC规则级别策略更改”以及

33、“审核其他策略更改事件的策略值，并勾选“配置以下审核事件”的“成功”复选框，以及“失败”复选框。7.3.8 特权使用审计加固内容对特权使用进行审计。加固建议开启“审核特权使用”策略，可以记录特权使用记录。实施/操作指南在运行窗口输入“gpedit.msc”打开本地组策略。配置计算机配置-WindOWS设置-安全设置-高级审核策略配置-系统审核策略-本地组策略对象-特权使用“审核非敏感权限使用”、“审核其他权限使用事件”以及“审核敏感权限使用”的策略值，并勾选“配置以下审核事件”的成功”复选框，以及“失败”复选框。7.3.9 系统事件审计加固内容对系统相关事件进行审计。加固建议开启“审核系统事件

34、”策略，可以对系统相关事件进行记录。实施/操作指南在运行窗口输入“gpedit.msc”打开本地组策略。配置计算机配置-WindOWS设置，安全设置-高级审核策略配置-系统审核策略本地组策略对象-系统审核IPSeC驱动程序”、“审核其他系统事件”、审核安全状态更改”、审核安全系统扩展”以及审核系统完整性”的策略值，并勾选“配置以下审核事件”的“成功”复选框，以及“失败”复选框。1.2 .10全局对象访问审计加固内容对文件系统和注册表全局对象访问进行审计。加固建议开启“审核全局对象访问”策略，可以对文件系统和注册表全局对象访问进行记录。实施/操作指南在运行窗口输入“gpedit.msc”打开本地

35、组策略。配置计算机配置-WindoWS设置安全设置-高级审核策略配置-系统审核策略本地组策略对象，全局对象访问审计“文件系统”和“注册表”的策略值，并勾选“配置以下审核事件”的“成功”复选框，以及“失败”复选框。73.11 日志配额加固内容系统日志额度要有最小值要求。加固建议设置日志容量，可以在恶意用户在攻击系统时记录攻击日志，保证日志存储能够进行溯源。实施/操作指南在运行窗口输入“gpedit.msc”打开本地组策略。将计算机配置-管理模板-WindOWS组件-事件日志服务-系统最大日志大小（KB）”的策略值配置为“已启用：最大日志大小（KB）为32768,（经验值，可满足中华人民共和国网络

36、安全法最低保存日志时间180天的存储要求）或更高”。注：如果系统配置为将审计记录直接发送到审计服务器，则该组策略不适用。7.4入侵防御通过入侵防御相关功能可以减少主机被远程攻击的可能性，缩小主机暴露面。本节主要针对系统服务、共享、端口的使用等与入侵防御等方面提供安全实施建议。7.4.1 系统服务加固内容关闭非必要的系统服务。加固建议停止并禁用非必要的系统服务，建议关闭的服务见附录C。实施/操作指南在运行窗口输入“Services.msc”打开服务控制面板，将SharedInformation（信息共享）、DynamicDataExchange（动态数据交换）、FTPTelnetRemoteDe

37、sktopServices（远程桌面连接）、RemoteRegistry（远程注册表）等系统服务设置为禁用。7.4.2 默认共享加固内容关闭默认共享。加固建议将默认共享关闭。实施/操作指南在运行窗口输入“Regedit”，进入注册表编辑器，新增注册表键值，具体注册表路径HKEY_LOCAL_MACHINESystemCurrentControlSetXServicesVLanmanServerParameters值名称：AutoShareServer,值名称：AutoShareWKS,值类型：REG_DW0RD值：Oo7.4.3 系统防火墙加固内容启用系统防火墙。加固建议启用系统防火墙。实施/

38、操作指南进入“控制面板一系统和安全一Windows防火墙一打开或关闭WindoWS防火墙，选择“启用WindOWS防火墙”。744SYN攻击保护加固内容启用SYN攻击保护。加固建议启用SYN攻击保护功能并设置TCP连接数的阈值。实施/操作指南在“开始-运行键入regedif查看注册表项，进入HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters;新建以下字符串值并设置相应数据：SynAttackProtect,设为2；TCPMaXPortSEXhaUSted,设为5；TcpMaxHalfOpen,设为500；TcpMax

39、HalfOpenRetried,设为400。7.4.5高危端口加固内容关闭高危端口。加固建议使用系统防火墙或其他安全软件禁用非必要的高危端口，建议关闭的端口见附录D。实施/操作指南使用系统防火墙或其他安全软件禁用高危端口。如：135、137、138、139、445、593、1025、2745、3127、3389、6129。附录A安全加固项实施建议表A.1按照目前网络安全服务提供商对操作系统安全加固的实践经验，提出了WindOWS7操作系统安全加固项的实施优先级建议，分重要和一般两级，用户可根据具体情况实施。表A.1安全加固项实施优先级序号加固类别加固项对应编号优先级建议1已知高危漏洞修复6.1

40、.1重要2WindowsUPdate系统升级进程禁止6.1.2一般3停服后的漏洞修复6.2.1重要4安全热补丁或虚拟补丁安装6.2.2重要5防护系统加固6.2.3重要6加固UAC验证6.3.1重要7自动播放6.3.2重要8数据执行保护6.3.3重要9恶意代码防范软件6.3.4重要10口令复杂度7.1.1重要11口令长度7.1.2重要12口令最长使用期限7.1.3重要13错误登录尝试7.1.4重要14锁定持续时间7.1.5重要15登录计数器7.1.6重要16口令使用历史7.1.7重要17空闲会话时间7.1.8重要18屏幕保护7.1.9重要19安全配置加固管理员账户7.2.1重要20GUeSt账户

41、7.2.2重要21多余或者过期账户7.2.3重要22用户自动登录7.2.4重要23远程强制关机7.2.5重要24共享文件夹访问7.2.6重要25匿名访问命名管道和共享7.2.7重要26共享账户7.2.8一般27远程访问7.2.9一般28拒绝从网络访问计算机7.2.10.1一般29拒绝批处理作业登录7.2.10.2一般30拒绝服务登录7.2.10.3一般31拒绝本地登录7.2.10.4一般表A.1加固项汇总表（续）序号加固类别加固项对应编号优先级建议32拒绝远程桌面服务登录7.2.10.5一般33账户登录审计7.3.1重要34账户管理审计7.3.2重要35进程详情跟踪审计7.3.3一般36目录服

42、务访问审计7.3.4一般37计算机登录事件审计7.3.5一般38对象访问审计7.3.6一般39安全策略更改审计7.3.7重要40配置特权使用审计7.3.8重要41加固系统事件审计7.3.9一般42全局对象访问审计7.3.10一般43日志配额7.3.11一般44系统服务7.4.1一般45默认共享7.4.2重要46系统防火墙7.4.3重要47SYN攻击保护7.4.4一般48高危端口7.4.5重要附录B建议安装的系统补丁一些重点高危漏洞可以通过安全系统补丁进行修复。建议在条件允许情况下，确保以下补丁已被安装。建议安装的系统补丁见表B.1。表B.1建议安装的系统补丁列表序号漏洞描述补丁1Microso

43、ft辅助功能驱动程序特权提升漏洞KB29610722HTTP.sys中的漏洞可能允许远程执行代码KB30425533MicrosoftWindowsSMB输入验证错误漏洞KB40122124MicrosoftOffice内存损坏漏洞KB31620475MicrosoftRemoteDesktopServices资源管理错误漏洞KB44991646MicrosoftInternetExplorer脚本引擎内存损坏漏洞KB45378207WindowsCng.sys提权漏洞KB50082448MicrosoftWindowsTCP/IP拒绝服务漏洞KB4601347附录C常见的高危漏洞对于一些具有高危、易操作、权限高的漏洞，建议进行修复。常见高危漏洞参见表C.1。表C.1常见的高危漏洞列表序号漏洞描述漏洞编号1Microsoft辅助功能驱动程序特权提升漏洞CVE-2014-17672HTTP.sys中的漏洞可能允许远程执行代码CVE-2015-16353MicrosoftWindowsSMB输入验证错误漏洞CVE-2017-01434MicrosoftWindowsSMB输入验证错误漏洞CVE-2017-01445MicrosoftOffice内存损坏漏洞CVE-2017-118826MicrosoftRemoteDeskt