Windows安全配置指引

Windows系統(tǒng)安全配置指南Windows系統(tǒng)安全配置指南中國(guó)聯(lián)通信息化事業(yè)部第1頁(yè)共21頁(yè)第1頁(yè)共21頁(yè)中國(guó)聯(lián)通信息化事業(yè)部

第2頁(yè)共第2頁(yè)共21頁(yè)版本版本控制信息更新日期更新人審批人V1.0創(chuàng)建2012年9月備注：1.若此文檔需要日后更新，請(qǐng)創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。中國(guó)聯(lián)通信息化事業(yè)部

Windows系統(tǒng)安全配置指南第1章概述 1目的 錯(cuò)誤！未定義書簽。適用范圍 錯(cuò)誤！未定義書簽。適用版本 錯(cuò)誤！未定義書簽。實(shí)施 錯(cuò)誤！未定義書簽。例外條款 錯(cuò)誤！未定義書簽。TOC\o"1-5"\h\z\o"CurrentDocument"第2章賬號(hào)管理、認(rèn)證授權(quán) 2\o"CurrentDocument"賬號(hào) 2\o"CurrentDocument"管理缺省賬戶 2口令 2密碼復(fù)雜度 2\o"CurrentDocument"密碼歷史 3\o"CurrentDocument"帳戶鎖定策略 4\o"CurrentDocument"授權(quán) 4遠(yuǎn)程關(guān)機(jī) 4\o"CurrentDocument"本地關(guān)機(jī) 5\o"CurrentDocument"用戶權(quán)利指派 5\o"CurrentDocument"第3章日志配置操作 7\o"CurrentDocument"日志配置 7\o"CurrentDocument"審核登錄 7\o"CurrentDocument"審核策略更改 7\o"CurrentDocument"審核對(duì)象訪問(wèn) 8\o"CurrentDocument"審核事件目錄服務(wù)器訪問(wèn) 8\o"CurrentDocument"審核特權(quán)使用 9\o"CurrentDocument"審核系統(tǒng)事件 9\o"CurrentDocument"審核賬戶管理 10\o"CurrentDocument"審核過(guò)程追蹤 10\o"CurrentDocument"日志文件大小 11\o"CurrentDocument"第4章IP協(xié)議安全配置 12IP協(xié)議 12\o"CurrentDocument"啟用SYN攻擊保護(hù). 12\o"CurrentDocument"第5章 設(shè)備其他配置操作 14\o"CurrentDocument"共享文件夾及訪問(wèn)權(quán)限 14\o"CurrentDocument"關(guān)閉默認(rèn)共享 14\o"CurrentDocument"防病毒管理 14\o"CurrentDocument"數(shù)據(jù)執(zhí)行保護(hù) 14WINDOW服務(wù) 15第3頁(yè)共21頁(yè)\o"CurrentDocument"SNMP服務(wù)管理 15第3頁(yè)共21頁(yè)中國(guó)聯(lián)通信息化事業(yè)部

Windows系統(tǒng)安全配置指南TOC\o"1-5"\h\z\o"CurrentDocument"啟動(dòng)項(xiàng) 16\o"CurrentDocument"關(guān)閉Windows自動(dòng)播放功能 16第4頁(yè)共21頁(yè)\o"CurrentDocument"第6章評(píng)審與修訂 17第4頁(yè)共21頁(yè)中國(guó)聯(lián)通信息化事業(yè)部

Windows系統(tǒng)安全配置指南第1章概述目的本文檔規(guī)定了中國(guó)聯(lián)通通信有限公司管信息化事業(yè)部所維護(hù)管理的WINDOWS操作系統(tǒng)的主機(jī)應(yīng)當(dāng)遵循的操作系統(tǒng)安全性設(shè)置標(biāo)準(zhǔn)，本文檔旨在指導(dǎo)系統(tǒng)管理人員或安全檢查人員進(jìn)行WINDOWS操作系統(tǒng)的安全合規(guī)性檢查和配置。適用范本配置標(biāo)準(zhǔn)的使用者包括：服務(wù)器系統(tǒng)管理員、應(yīng)用管理員、網(wǎng)絡(luò)安全管理員。本配置標(biāo)準(zhǔn)適用的范圍包括：中國(guó)聯(lián)通總部和各省公司信息化部門維護(hù)管理WINDOWS服務(wù)器系統(tǒng)。適用版本W(wǎng)INDOWS系列服務(wù)器;實(shí)施本標(biāo)準(zhǔn)的解釋權(quán)和修改權(quán)屬于中國(guó)聯(lián)通集團(tuán)信息化事業(yè)部，在本標(biāo)準(zhǔn)的執(zhí)行過(guò)程中若有任何疑問(wèn)或建議，應(yīng)及時(shí)反饋。本標(biāo)準(zhǔn)發(fā)布之日起生效。例外條款欲申請(qǐng)本標(biāo)準(zhǔn)的例外條款，申請(qǐng)人必須準(zhǔn)備書面申請(qǐng)文件，說(shuō)明業(yè)務(wù)需求和原因，送交第1第1頁(yè)共21頁(yè)中國(guó)聯(lián)通信息化事業(yè)部

Windows系統(tǒng)安全配置指南第2章賬號(hào)管理、認(rèn)證授權(quán)賬號(hào)管理缺省賬戶項(xiàng)目名稱操作系統(tǒng)缺省賬戶要求項(xiàng)編號(hào)Windows-02-01-01項(xiàng)目說(shuō)明對(duì)于管理員帳號(hào)，要求更改缺省帳戶名稱；禁用guest（來(lái)賓）帳號(hào)。檢測(cè)操作步驟進(jìn)入“控制面板-＞管理工具-＞計(jì)算機(jī)管理”，在“系統(tǒng)工具-＞本地用戶和組”：缺省帳戶Administrator—＞屬性Guest帳號(hào)-＞屬性符合性判定依據(jù)缺省賬戶Administrator名稱已更改。Guest帳號(hào)已停用。配置方法進(jìn)入“控制面板-＞管理工具-＞計(jì)算機(jī)管理”，在“系統(tǒng)工具-＞本地用戶和組”。Administrator—＞屬性一〉更改名稱Guest帳號(hào)-＞屬性一＞已停用實(shí)施風(fēng)險(xiǎn)業(yè)務(wù)系統(tǒng)直接利用Administrator賬號(hào)管理需相應(yīng)修改其賬號(hào)。備注口令密碼復(fù)雜度項(xiàng)目名稱操作系統(tǒng)密碼復(fù)雜度要求項(xiàng)編號(hào)Windows-02-02-01項(xiàng)目說(shuō)明最短密碼長(zhǎng)度8個(gè)字符，啟用本機(jī)組策略中密碼必須符合復(fù)雜性要求的策略。即密碼至少包含以下四種類別的字符中的三種：英語(yǔ)大寫字母A,B,C,…Z中國(guó)聯(lián)通信息化事業(yè)部第2頁(yè)共21頁(yè)

Windows系統(tǒng)安全配置指南英語(yǔ)小寫字母a,b,c,…z西方阿拉伯?dāng)?shù)字0,1,2,…9非字母數(shù)字字符，如標(biāo)點(diǎn)符號(hào)，@,#,$,%,&,*等檢測(cè)操作步驟進(jìn)入“控制面板->管理工具->本地安全策略”，在“帳戶策略->密碼策略”：查看是否“密碼必須符合復(fù)雜性要求”選擇“已啟動(dòng)”符合性判定依據(jù)“密碼必須符合復(fù)雜性要求”選擇“已啟動(dòng)”配置方法進(jìn)入“控制面板->管理工具->本地安全策略”，在“帳戶策略->密碼策略”?！懊艽a必須符合復(fù)雜性要求”選擇“已啟動(dòng)”設(shè)置如下策略策略默認(rèn)設(shè)置推薦最低設(shè)置最短密碼長(zhǎng)度0個(gè)字符8個(gè)字符密碼必須符合復(fù)雜性要求禁用啟用為域中所有用戶使用可還原的加密來(lái)儲(chǔ)存密碼禁用禁用實(shí)施風(fēng)險(xiǎn)風(fēng)險(xiǎn)較小備注密碼歷史項(xiàng)目名稱操作系統(tǒng)密碼歷史要求項(xiàng)編號(hào)Windows-02-02-02項(xiàng)目說(shuō)明對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，賬戶口令的生存期不長(zhǎng)于90天。檢測(cè)操作步驟進(jìn)入“控制面板->管理工具->本地安全策略”，在“帳戶策略->密碼策略”：查看“密碼最長(zhǎng)存留期”符合性判定依據(jù)“密碼最長(zhǎng)存留期”設(shè)置不大于“90天”配置方法進(jìn)入“控制面板->管理工具->本地安全策略”，在“帳戶策略->密碼策略”。設(shè)置如下策略：策略默認(rèn)設(shè)置推薦最低設(shè)置強(qiáng)制執(zhí)行密碼歷史記錄記住1個(gè)密碼記住5個(gè)碼密碼最長(zhǎng)期限42天90天中國(guó)聯(lián)通信息化事業(yè)部第3頁(yè)共21頁(yè)

Windows系統(tǒng)安全配置指南密碼最短期限0天2天實(shí)施風(fēng)險(xiǎn)業(yè)務(wù)系統(tǒng)直接利用的賬號(hào)不適用密碼最長(zhǎng)90天期限備注帳戶鎖定策略項(xiàng)目名稱操作系統(tǒng)賬戶鎖定策略要求項(xiàng)編號(hào)Windows-02-02-03項(xiàng)目說(shuō)明對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過(guò)6次（不含6次），鎖定該用戶使用的賬號(hào)。檢測(cè)操作步驟進(jìn)入“控制面板->管理工具->本地安全策略”，在“帳戶策略->帳戶鎖定策略”：查看“賬戶鎖定閥值”設(shè)置符合性判定依據(jù)“賬戶鎖定閥值”設(shè)置為小于或等于6次配置方法參考配置操作：進(jìn)入“控制面板->管理工具->本地安全策略”，在“帳戶策略->賬戶鎖定策略”。設(shè)置如下策略：策略默認(rèn)設(shè)置推薦最低設(shè)置賬戶鎖定時(shí)間未定義30分鐘賬戶鎖定閾值06次無(wú)效登錄復(fù)位賬戶鎖定計(jì)數(shù)器未定義30分鐘實(shí)施風(fēng)險(xiǎn)安全掃描檢測(cè)暴力破解口令將導(dǎo)致賬號(hào)鎖定。備注授權(quán)遠(yuǎn)程關(guān)機(jī)項(xiàng)目名稱操作系統(tǒng)遠(yuǎn)程關(guān)機(jī)策略要求項(xiàng)編號(hào)Windows-02-03-01項(xiàng)目說(shuō)明在本地安全設(shè)置中從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)只指派給Administrators組。檢測(cè)操作步進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權(quán)利指派”：中國(guó)聯(lián)通信息化事業(yè)部第4頁(yè)共21頁(yè)

Windows系統(tǒng)安全配置指南驟查看“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置符合性判定依據(jù)“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置為“只指派給Administrtors組”配置方法進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權(quán)利指派”?！皬倪h(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置為“只指派給Administrators組”。實(shí)施風(fēng)險(xiǎn)風(fēng)險(xiǎn)較小備注本地關(guān)機(jī)項(xiàng)目名稱操作系統(tǒng)本地關(guān)機(jī)策略要求項(xiàng)編號(hào)Windows-02-03-02項(xiàng)目說(shuō)明在本地安全設(shè)置中關(guān)閉系統(tǒng)僅指派給Administrators組。檢測(cè)操作步驟進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權(quán)利指派”：查看“關(guān)閉系統(tǒng)”設(shè)置符合性判定依據(jù)“關(guān)閉系統(tǒng)”設(shè)置為“只指派給Administrators組”配置方法參考配置操作：進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權(quán)利指派”?！瓣P(guān)閉系統(tǒng)”設(shè)置為“只指派給Administrators組”。實(shí)施風(fēng)險(xiǎn)風(fēng)險(xiǎn)較小備注用戶權(quán)利指派項(xiàng)目名稱操作系統(tǒng)用戶權(quán)力指派策略要求項(xiàng)編號(hào)Windows-02-03-03項(xiàng)目說(shuō)明在本地安全設(shè)置中取得文件或其它對(duì)象的所有權(quán)僅指派給Administrators。檢測(cè)操作步驟進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權(quán)利指派”：查看是否“取得文件或其它對(duì)象的所有權(quán)”設(shè)置符合性判定依據(jù)“取得文件或其它對(duì)象的所有權(quán)”設(shè)置為“只指派給Administrators組”配置方法進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權(quán)利指派”。中國(guó)聯(lián)通信息化事業(yè)部第5頁(yè)共21頁(yè)

Windows系統(tǒng)安全配置指南“取得文件或其它對(duì)象的所有權(quán)”設(shè)置為“只指派給Administrators組”。實(shí)施風(fēng)險(xiǎn)風(fēng)險(xiǎn)較小備注第6頁(yè)共第6頁(yè)共21頁(yè)Windows系統(tǒng)安全配置指南第3章日志配置操作3.1日志配置3.1.1審核登錄項(xiàng)目名稱操作系統(tǒng)審核登錄策略要求項(xiàng)編號(hào)Windows-03-01-01項(xiàng)目說(shuō)明設(shè)備應(yīng)配置日志功能，對(duì)用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的賬號(hào)，登錄是否成功，登錄時(shí)間，以及遠(yuǎn)程登錄時(shí)，用戶使用的IP地址。檢測(cè)操作步驟開始-＞運(yùn)行-＞執(zhí)行"控制面板-＞管理工具-＞本地安全策略-＞審核策略”審核登錄事件。符合性判定依據(jù)審核登錄事件，設(shè)置為成功和失敗都審核。配置方法參考配置操作：開始-＞運(yùn)行-＞執(zhí)行"控制面板-＞管理工具-＞本地安全策略-＞審核策略”審核登錄事件，雙擊，設(shè)置為成功和失敗都審核。實(shí)施風(fēng)險(xiǎn)風(fēng)險(xiǎn)較小備注3.1.2審核策略更改項(xiàng)目名稱操作系統(tǒng)審核策略更改要求項(xiàng)編號(hào)Windows-03-01-02項(xiàng)目說(shuō)明啟用組策略中對(duì)Windows系統(tǒng)的審核策略更改，成功和失敗都要審核。檢測(cè)操作步驟進(jìn)入“控制面板-＞管理工具-＞本地安全策略”，在“本地策略-＞審核策略”中查看“審核策略更改”設(shè)置。符合性判定依據(jù)“審核策略更改”設(shè)置為“成功”和“失敗”都要審核。配置方法參考配置操作：開始-＞運(yùn)行-＞執(zhí)行"控制面板-＞管理工具-＞本地安全策略-＞審核策略”中國(guó)聯(lián)通信息化事業(yè)部第7頁(yè)共21頁(yè)

Windows系統(tǒng)安全配置指南審核策略更改，雙擊，設(shè)置為成功和失敗都審核。實(shí)施風(fēng)險(xiǎn)風(fēng)險(xiǎn)較小備注3.1.3審核對(duì)象訪問(wèn)項(xiàng)目名稱操作系統(tǒng)審核對(duì)象訪問(wèn)要求項(xiàng)編號(hào)Windows-03-01-03項(xiàng)目說(shuō)明啟用組策略中對(duì)Windows系統(tǒng)的審核對(duì)象訪問(wèn)，成功和失敗都要審核。檢測(cè)操作步驟進(jìn)入“控制面板-＞管理工具-＞本地安全策略”，在“本地策略-＞審核策略”中：查看“審核對(duì)象訪問(wèn)”設(shè)置。符合性判定依據(jù)“審核對(duì)象訪問(wèn)”設(shè)置為“成功”和“失敗”都要審核。配置方法參考配置操作：開始-＞運(yùn)行-＞執(zhí)行"控制面板-＞管理工具-＞本地安全策略-＞審核策略”審核對(duì)象訪問(wèn)，雙擊，設(shè)置為成功和失敗都審核。實(shí)施風(fēng)險(xiǎn)風(fēng)險(xiǎn)較小備注審核事件目錄服務(wù)器訪問(wèn)項(xiàng)目名稱操作系統(tǒng)審核事件目錄服務(wù)器訪問(wèn)策略要求項(xiàng)編號(hào)Windows-03-01-04項(xiàng)目說(shuō)明啟用組策略中對(duì)Windows系統(tǒng)的審核目錄服務(wù)訪問(wèn)，失敗。檢測(cè)操作步驟進(jìn)入“控制面板-＞管理工具-＞本地安全策略”，在“本地策略-＞審核策略”中：查看“審核目錄服務(wù)器訪問(wèn)”設(shè)置。符合性判定依據(jù)“審核目錄服務(wù)器訪問(wèn)”設(shè)置為“成功”和“失敗”都要審核。配置方法參考配置操作：開始-＞運(yùn)行-＞執(zhí)行"控制面板-＞管理工具-＞本地安全策略-＞審核策略”審核目錄服務(wù)器訪問(wèn)，雙擊，設(shè)置為成功和失敗都審核。實(shí)施風(fēng)險(xiǎn)風(fēng)險(xiǎn)較小中國(guó)聯(lián)通信息化事業(yè)部第8頁(yè)共21頁(yè)

Windows系統(tǒng)安全配置指南備注審核特權(quán)使用項(xiàng)目名稱操作系統(tǒng)審核特權(quán)使用策略要求項(xiàng)編號(hào)Windows-03-01-05項(xiàng)目說(shuō)明啟用組策略中對(duì)Windows系統(tǒng)的審核特權(quán)使用，成功和失敗都要審核。檢測(cè)操作步驟進(jìn)入“控制面板-＞管理工具-＞本地安全策略”，在“本地策略-＞審核策略”中：查看“審核特權(quán)使用”設(shè)置。符合性判定依據(jù)“審核特權(quán)使用”設(shè)置為“成功”和“失敗”都要審核。配置方法參考配置操作：開始-＞運(yùn)行-＞執(zhí)行"控制面板-＞管理工具-＞本地安全策略-＞審核策略”審核特權(quán)使用，雙擊，設(shè)置為成功和失敗都審核。實(shí)施風(fēng)險(xiǎn)風(fēng)險(xiǎn)較小備注第9頁(yè)共21第9頁(yè)共21頁(yè)項(xiàng)目名稱操作系統(tǒng)審核系統(tǒng)事件策略要求項(xiàng)編號(hào)Windows-03-01-06項(xiàng)目說(shuō)明啟用組策略中對(duì)Windows系統(tǒng)的審核系統(tǒng)事件，成功和失敗都要審核。檢測(cè)操作步驟進(jìn)入“控制面板-＞管理工具-＞本地安全策略”，在“本地策略-＞審核策略”中：查看“審核系統(tǒng)事件”設(shè)置。符合性判定依據(jù)“審核系統(tǒng)事件”設(shè)置為“成功”和“失敗”都要審核。配置方法參考配置操作：開始-＞運(yùn)行-＞執(zhí)行"控制面板-＞管理工具-＞本地安全策略-＞審核策略”審核系統(tǒng)事件，雙擊，設(shè)置為成功和失敗都審核。實(shí)施風(fēng)險(xiǎn)風(fēng)險(xiǎn)較小備注中國(guó)聯(lián)通信息化事業(yè)部

Windows系統(tǒng)安全配置指南審核賬戶管理項(xiàng)目名稱操作系統(tǒng)審核賬戶管理策略要求項(xiàng)編號(hào)Windows-03-01-07項(xiàng)目說(shuō)明啟用組策略中對(duì)Windows系統(tǒng)的審核帳戶管理，成功和失敗都要審核。檢測(cè)操作步驟進(jìn)入“控制面板-＞管理工具-＞本地安全策略”，在“本地策略-＞審核策略”中：查看“審核賬戶管理”設(shè)置。符合性判定依據(jù)“審核賬戶管理”設(shè)置為“成功”和“失敗”都要審核。配置方法參考配置操作：開始-＞運(yùn)行-＞執(zhí)行"控制面板-＞管理工具-＞本地安全策略-＞審核策略”審核賬戶管理，雙擊，設(shè)置為成功和失敗都審核。實(shí)施風(fēng)險(xiǎn)風(fēng)險(xiǎn)較小備注第10頁(yè)共21第10頁(yè)共21頁(yè)項(xiàng)目名稱操作系統(tǒng)審核過(guò)程追蹤策略要求項(xiàng)編號(hào)Windows-03-01-08項(xiàng)目說(shuō)明啟用組策略中對(duì)Windows系統(tǒng)的審核過(guò)程追蹤失敗。檢測(cè)操作步驟進(jìn)入“控制面板-＞管理工具-＞本地安全策略”，在“本地策略-＞審核策略”中：查看“審核過(guò)程追蹤”設(shè)置。符合性判定依據(jù)“審核過(guò)程追蹤”設(shè)置為“失敗”需要審核。配置方法參考配置操作：開始-＞運(yùn)行-＞執(zhí)行"控制面板-＞管理工具-＞本地安全策略-＞審核策略”審核過(guò)程追蹤，雙擊，設(shè)置為成功和失敗都審核。實(shí)施風(fēng)險(xiǎn)風(fēng)險(xiǎn)較小備注中國(guó)聯(lián)通信息化事業(yè)部

Windows系統(tǒng)安全配置指南第11頁(yè)共21第11頁(yè)共21頁(yè)項(xiàng)目名稱操作系統(tǒng)日志容量要求項(xiàng)編號(hào)Windows-03-01-09項(xiàng)目說(shuō)明設(shè)置應(yīng)用日志文件大小至少為8192KB，設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)，按需要改寫事件。檢測(cè)操作步驟進(jìn)入“控制面板->管理工具->事件查看器”，在“事件查看器（本地）”中：查看“應(yīng)用日志”“系統(tǒng)日志”“安全日志”屬性中的日志大小，以及設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)的相應(yīng)策略。符合性判定依據(jù)“應(yīng)用日志”“系統(tǒng)日志” “安全日志”屬性中的日志大小設(shè)置不小于“8192KB”，設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)，“按需要改寫事件”配置方法參考配置操作：進(jìn)入“控制面板->管理工具->事件查看器”，在“事件查看器（本地）”中：“應(yīng)用日志”屬性中的日志大小設(shè)置不小于“8192KB”，設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)，“按需要改寫事件”“系統(tǒng)日志”屬性中的日志大小設(shè)置不小于“8192KB”，設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)，“按需要改寫事件”“安全日志”屬性中的日志大小設(shè)置不小于“8192KB”，設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)，“按需要改寫事件”實(shí)施風(fēng)險(xiǎn)需查看C盤剩余空間。備注中國(guó)聯(lián)通信息化事業(yè)部

Windows系統(tǒng)安全配置指南第4章IP協(xié)議安全配置IP協(xié)議第12頁(yè)共21頁(yè)啟用第12頁(yè)共21頁(yè)項(xiàng)目名稱操作系統(tǒng)SYN攻擊保護(hù)要求項(xiàng)編號(hào)Windows-04-01-01項(xiàng)目說(shuō)明啟用SYN攻擊保護(hù)；指定觸發(fā)SYN洪水攻擊保護(hù)所必須超過(guò)的TCP連接請(qǐng)求數(shù)閥值為5；指定處于SYN_RCVD狀態(tài)的TCP連接數(shù)的閾值為500；指定處于至少已發(fā)送一次重傳的SYN_RCVD狀態(tài)中的TCP連接數(shù)的閾值為400。檢測(cè)操作步驟在“開始-＞運(yùn)行-＞鍵入regedit”查看注冊(cè)表項(xiàng)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetriedo符合性判定依據(jù)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect;推薦值：2oHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted;推薦值：5。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen;推薦值數(shù)據(jù)：500oHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried。推薦值數(shù)據(jù)：400。中國(guó)聯(lián)通信息化事業(yè)部

Windows系統(tǒng)安全配置指南配置方法參考配置操作：在“開始-＞運(yùn)行-＞鍵入regedit”啟用SYN攻擊保護(hù)的命名值位于注冊(cè)表項(xiàng)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services之下。值名稱：SynAttackProtect。推薦值：2。以下部分中的所有項(xiàng)和值均位于注冊(cè)表項(xiàng)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services之下。指定必須在觸發(fā)SYNflood保護(hù)之前超過(guò)的TCP連接請(qǐng)求閾值。值名稱：TcpMaxPortsExhausted。推薦值：5。啟用SynAttackProtect后，該值指定SYN_RCVD狀態(tài)中的TCP連接閾值，超過(guò)SynAttackProtect時(shí)，觸發(fā)SYNflood保護(hù)。值名稱：TcpMaxHalfOpen。推薦值數(shù)據(jù)：500。啟用SynAttackProtect后，指定至少發(fā)送了一次重傳的SYN_RCVD狀態(tài)中的TCP連接閾值。超過(guò)SynAttackProtect時(shí)，觸發(fā)SYNflood保護(hù)。值名稱：TcpMaxHalfOpenRetried。推薦值數(shù)據(jù)：400。實(shí)施風(fēng)險(xiǎn)業(yè)務(wù)系統(tǒng)可針對(duì)自身特點(diǎn)相應(yīng)調(diào)整具體數(shù)值，內(nèi)網(wǎng)系統(tǒng)遇到SYNflood攻擊概率較低。備注第13頁(yè)共第13頁(yè)共21頁(yè)Windows系統(tǒng)安全配置指南第5章設(shè)備其他配置操作5.1共享文件夾及訪問(wèn)權(quán)限5.1.1關(guān)閉默認(rèn)共享項(xiàng)目名稱操作系統(tǒng)默認(rèn)共享要求項(xiàng)編號(hào)Windows-05-01-01項(xiàng)目說(shuō)明非域環(huán)境中，關(guān)閉Windows硬盤默認(rèn)共享，例如C$，D$。檢測(cè)操作步驟進(jìn)入“開始一>運(yùn)行—>Regedit”，進(jìn)入注冊(cè)表編輯器，查看HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer；符合性判定依據(jù)HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer鍵，值為0。配置方法進(jìn)入“開始一＞運(yùn)行一＞Regedit”，進(jìn)入注冊(cè)表編輯器，更改注冊(cè)表鍵值：在HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\下，增加REG_DWORD類型的AutoShareServer鍵，值為0。實(shí)施風(fēng)險(xiǎn)利用共享訪問(wèn)的業(yè)務(wù)系統(tǒng)需仔細(xì)測(cè)試。備注5.2防病毒管理第14頁(yè)共21頁(yè)第14頁(yè)共21頁(yè)項(xiàng)目名稱操作系統(tǒng)數(shù)據(jù)執(zhí)行保護(hù)要求項(xiàng)編號(hào)Windows-05-02-01項(xiàng)目說(shuō)明對(duì)于WindowsXPSP2及Windows2003對(duì)Windows操作系統(tǒng)程序和服務(wù)啟用系統(tǒng)自帶DEP功能（數(shù)據(jù)執(zhí)行保護(hù)），防止在受保護(hù)內(nèi)存位置運(yùn)行有害代碼。中國(guó)聯(lián)通信息化事業(yè)部

Windows系統(tǒng)安全配置指南檢測(cè)操作步驟進(jìn)入“控制面板一＞系統(tǒng)”，在“高級(jí)”選項(xiàng)卡的“性能”下的“設(shè)置”。進(jìn)入“數(shù)據(jù)執(zhí)行保護(hù)”選項(xiàng)卡。查看“僅為基本W(wǎng)indows操作系統(tǒng)程序和服務(wù)啟用DEP”。符合性判定依據(jù)“數(shù)據(jù)執(zhí)行保護(hù)”選項(xiàng)卡已設(shè)置為“僅為基本W(wǎng)indows操作系統(tǒng)程序和服務(wù)啟用DEP”。配置