Windows操作系統(tǒng)安全防護(hù)指導(dǎo)手冊(cè)

Windows操作系統(tǒng)安全防護(hù)

指導(dǎo)手冊(cè)

國家電力調(diào)度控制中心

2017年11月

目錄

前言....................................................................3

1.配置管理...............................................................4

1.1用戶策略...............................................................4

1.2身份鑒別..............................................................10

1.3補(bǔ)丁管理.............................................................12

1.4主機(jī)配置.............................................................15

1.5軟件管理.............................................................20

2.網(wǎng)絡(luò)管理................................................................21

2.1網(wǎng)絡(luò)服務(wù)管理........................................................21

2.2防火墻功能............................................................25

3.接入管理................................................................32

3.1外設(shè)接口..............................................................32

3.2自動(dòng)播放..............................................................33

3.3遠(yuǎn)程登錄.............................................................34

3.4外部連接管理.........................................................39

4.1日志與審計(jì)............................................................40

5.惡意代碼防范..........................................................43

5.1防病毒軟件...........................................................43

5.2數(shù)據(jù)執(zhí)行保護(hù).........................................................44

前言

近年來國內(nèi)外網(wǎng)絡(luò)安全事件頻發(fā)，其中Windows操作系統(tǒng)漏洞被

攻擊導(dǎo)致的網(wǎng)絡(luò)安全事件造成了巨大的經(jīng)濟(jì)損失和社會(huì)影響。在電力

監(jiān)控系統(tǒng)領(lǐng)域，國產(chǎn)安全操作系統(tǒng)已得到廣泛應(yīng)用，但也有部分主機(jī)

仍在使用Windows操作系統(tǒng)，如電廠監(jiān)控系統(tǒng)、保信子站、故障錄波、

調(diào)度計(jì)劃等服務(wù)器加工作站。早期投運(yùn)的Windows操作系統(tǒng)版本低、

缺乏安全措施，為防范外部對(duì)電力監(jiān)控系統(tǒng)的惡意攻擊行為及由此引

發(fā)電力系統(tǒng)事故，結(jié)合電力監(jiān)控系統(tǒng)安全現(xiàn)狀，國調(diào)中心組織編制了

《Windows操作系統(tǒng)安全防護(hù)指導(dǎo)手冊(cè)》（含Windows重大高危漏洞

及防護(hù)方法、典型易傳播病毒及處置措施），指導(dǎo)電力監(jiān)控系統(tǒng)中

Windows主機(jī)的安全防護(hù)工作。

本手冊(cè)按照《電力監(jiān)控系統(tǒng)安全防護(hù)標(biāo)準(zhǔn)化管理要求》（調(diào)自

（2016）102號(hào)）的要求，結(jié)合Windows操作系統(tǒng)實(shí)際，從配置管理、

網(wǎng)絡(luò)管理、接入管理、日志與審計(jì)和惡意代碼防范五個(gè)方面，闡述了

電力監(jiān)控系統(tǒng)中Windows主機(jī)加固的內(nèi)容、步驟以及注意事項(xiàng)。

本手冊(cè)適用于Windows2000Professional、WindowsXP、Windows

Server2003Windows7.WindowsServer2008（以下分別簡稱Win

2000、WinXP、Win2003.Win7,Win2008）等Windows操作系統(tǒng)。

1.配置管理

1.1用戶策略

LL1用戶權(quán)限策略配置(適用于服務(wù)器或公用工作站)

加固項(xiàng)目名稱用戶權(quán)限策略配置

加固編號(hào)Windows-01-01-01

加固說明按照僅授予管理用戶最小權(quán)限的原則設(shè)置安全管理員、審計(jì)管理員和系統(tǒng)管理

員，安全管理員隸屬于BackupOperators和PowerUsers組，審計(jì)管理員隸屬

于EventLegReaders和PerformanceLogUser組，系統(tǒng)管理員隸屬于Network

ConfigurationOperators組，建立三權(quán)分立的安全策略。(適用于服務(wù)器或公

用工作站)

適用版本W(wǎng)in2000、WinXP、Win2003、Win7,Win2008

操作步驟1.按下10+R,輸入框輸入winver,確認(rèn)系統(tǒng)版本。

2.按下屬+R,輸入框輸入compmgmt.msc,進(jìn)入“計(jì)算機(jī)管理-＞本地用戶和組-)

用戶-〉新建用戶”，分別創(chuàng)建安全管理員(secadmin),審計(jì)管理員(audadmin)

和系統(tǒng)管理員(sysadmin)；

3.安全管理員權(quán)限配置

在WinXP、Win2003、Win7和Win2008：

選擇用戶“secadmin”，右擊“屬性”,進(jìn)入“隸屬于-＞添加-＞選擇組-＞高級(jí)-＞

立即查找“，同時(shí)選擇BackupOperators和PowerUsers組，點(diǎn)擊確定；

在Win2000：

選擇用戶“secadmin”,右擊“屬性”，進(jìn)入“隸屬于-＞添加-＞選擇組”，同時(shí)選

擇BackupOperators和PowerUsers組，點(diǎn)擊確定；

4.審計(jì)管理員權(quán)限配置

在Win7和Win2008：

選擇用戶“audadmin”，右擊“屬性”，進(jìn)入“隸屬于-＞添加選擇組-〉高級(jí)-〉

立即查找“，同時(shí)選擇EventLogReaders和PerformanceLogUser組，點(diǎn)擊確

定；

在Win2000.WinXP和Win2003：

審計(jì)管理員隸屬于Users組，進(jìn)入“控制面板-〉管理工具-〉本地安全策咯-》本地

策略-〉用戶權(quán)利指派管理審核和安全日志”，添加用戶“audadmin”，點(diǎn)擊確定;

5.系統(tǒng)管理員權(quán)限配置

在Win7和Win2008：

(1)選擇月戶“sysadmin”，右擊“屬性”，進(jìn)入“隸屬于-＞添加-＞選挎組高

級(jí)-＞立即查找"，選擇NetworkConfigurationOperators組，點(diǎn)擊確定；

（2）進(jìn)入“控制面板-＞管理工具本地安全策略-＞本地策略-〉用戶權(quán)限分配（用

戶權(quán)利指派）-＞取得文件或其他對(duì)象的所有權(quán)”，添加用戶“sysadmin”，點(diǎn)擊確

定

在Win2003和WinXP：

（1）選擇用戶“sysadmin”,右擊“屬性”，進(jìn)入“隸屬于-＞添加"，選擇Network

ConfigurationOperators組，點(diǎn)擊確定；

（2）進(jìn)入“控制面板-＞管理工具-》本地安全策略-〉本地策略-＞用戶權(quán)限分配（用

戶權(quán)利指派）-＞取得文件或其他對(duì)象的所有權(quán)”，添加用戶“sysadmin”，點(diǎn)擊確

定；

在Win2000：

詵擇用戶"sysadmin右擊“屬性”,進(jìn).人“隸屬于-＞添加”,選擇Administ.rat.nrs

組，點(diǎn)擊確定；

6.Administrator用戶改名

進(jìn)入“控制面板-＞管理工具-＞本地安全策略本地策略-＞安全選項(xiàng)”，雙擊“帳

戶：重命名系統(tǒng)管理員賬號(hào)”,修改Administrator用戶的名稱。

備注建議各管理員所具有的權(quán)限：

（1）安全管理員（secadmin）：備份或還原文件；

（2）審計(jì)管理員（audadmin）：管理系統(tǒng)的各種日志信息；

（3）系統(tǒng)管理員（sysadmin）：更改文件所有權(quán)/重新啟動(dòng)或關(guān)閉系統(tǒng)/設(shè)置主機(jī)

名/配置網(wǎng)卡參數(shù)/IP防火墻的管理/配置所有的對(duì)外服務(wù)。

LL2刪除或禁用系統(tǒng)無關(guān)用戶

加固項(xiàng)目名稱刪除或禁用系統(tǒng)無關(guān)用戶

加固編號(hào)Windows-01-01-02

加固說明刪除、禁用或鎖定與設(shè)備運(yùn)行、維護(hù)等工作無關(guān)的賬戶，避免無關(guān)賬戶被黑客利

用。

適用版本W(wǎng)in2000（部分適用）、WinXP、Win2003、Win7、Win2008

1.按下國輸入框輸入compmgmt.msc；

2.進(jìn)入“計(jì)算機(jī)管理-＞系統(tǒng)工具-＞本地用戶和組-＞用戶”；

3.查看窗口右側(cè)的用戶信息欄目，查找與設(shè)備運(yùn)行、維護(hù)等工作無關(guān)的用戶賬戶,

右擊刪除：

4.右擊Guest用戶，點(diǎn)擊“屬性”，勾選“帳戶已禁用“，點(diǎn)擊確定。

5.禁用administrator用戶（Win2000不適用），右擊administrator用戶，點(diǎn)

擊“屬性”，勾選“帳戶已禁用勾點(diǎn)擊確定;

6.若需要噴時(shí)適用administrator用戶，可以通過以下步驟重新啟用

administrator用戶,

（1）重啟主機(jī)，在進(jìn)入windows界面之前，按F5鍵，進(jìn)入安全模式界面（Vin2008

需要在按下F5之后，按下F8進(jìn)入“高級(jí)選項(xiàng)”，才能進(jìn)入安全模式界面），使用

上下鍵選擇“帶命令行啟動(dòng)安全模式”，輸入回車；

高級(jí)啟動(dòng)選項(xiàng)

選擇以下內(nèi)容的高級(jí)選項(xiàng)：windows7

(使用箭頭鍵以突出顯示您的選擇。)

修復(fù)計(jì)算機(jī)

網(wǎng)絡(luò)安全模式

帶命令提示符的安全模式

啟用啟動(dòng)日志

啟用低分辨率視較(640X480)

最近一次的正確配量C高級(jí))

目錄服務(wù)還原模式

調(diào)試模式

禁用系統(tǒng)失敗時(shí)自動(dòng)重新啟動(dòng)

禁用驅(qū)動(dòng)程序簽名強(qiáng)制

正常啟動(dòng)Windows

描述：僅使用核心驅(qū)動(dòng)程序和服務(wù)啟動(dòng)

Windows,請(qǐng)?jiān)诎惭b新設(shè)備或驅(qū)動(dòng)程序后無法啟動(dòng)時(shí)使用。

|Enter-選擇Esc■取消

(2)進(jìn)入安全系統(tǒng)環(huán)境，按下Clrl+All+Del兩次，進(jìn)入登錄界面，輸入用戶名

為administrator,密碼為賬戶禁用前的密碼；

(3)在命令行中輸入，netuseradministrator/active,啟用administrator；

S3省湮具C:\Windows\system32\cmd.exe_|口|X

MicrosoftVindows1版本6.1.7601]

版權(quán)所有〈c〉2009MicrosoftCorporation?保留所有權(quán)利。

C：\Users\Batsu>netuseradministrator/active

命令成功完成。

C：\Uscrs\BAt5u>

(6)再輸入shutdown-r-t1重啟主機(jī);

(7)正常后動(dòng)系統(tǒng)，可以進(jìn)入administrator。

備注建議在進(jìn)行加固之前，在測試環(huán)境中進(jìn)行測試，確認(rèn)取消adminislralor對(duì)系統(tǒng)

應(yīng)用的影響，避免由于此加固項(xiàng)導(dǎo)致系統(tǒng)應(yīng)用異常。

由于加固過程中部分操作需要administrator權(quán)限，建議在完成所有加固項(xiàng)之

后，再進(jìn)行此項(xiàng)加固中的第五步。

L1.3開啟屏幕保護(hù)程序

加固項(xiàng)目名稱屏幕保護(hù)程序時(shí)間設(shè)置

加固編號(hào)Windows-01-01-03

加固說明操作系統(tǒng)設(shè)置開啟屏幕保護(hù)，并將時(shí)間設(shè)定為5分鐘，避免非法用戶使用系統(tǒng)。

適用版本W(wǎng)in2000、WinXP.Win2003、Win7、Win2008

操作步驟1.進(jìn)），屏幕保護(hù)程序

在Wir）7：進(jìn)入“控制成f板-＞顯示-＞個(gè)性化廠＞屏幕保護(hù)程序”；

在Wir12000.WinXP、1Vin2003和Win2(）08：進(jìn)入“控制面板-＞顯示屏幕保

護(hù)程戶?（更改屏幕保護(hù)方些序）”：

2.選本名屏幕保護(hù)程序界百n,設(shè)置“等待?75,點(diǎn)擊確定；

■

??伸爐

■

—

1I

.■.IKS）

ftKM叼1)-mon

月里示登M■(用

，0X*情尊嘰

口1—lUe?3二

!

MJ"?n?e■■

P?Urmony雙WMcnvtKU

備注

LL4系統(tǒng)重要數(shù)據(jù)訪問控制（適用于SCADA等關(guān)鍵服務(wù)器）

加固項(xiàng)目名稱系統(tǒng)重要數(shù)據(jù)訪問控制

加固編號(hào)Windows-01-01-04

加固說明應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對(duì)資源的訪問，防止系統(tǒng)重要數(shù)據(jù)

泄露（適用于SCADA等關(guān)鍵服務(wù)器）。

適用版本W(wǎng)in2000、WinXP、Win2003、Win7、Win2008

操作步驟1.修改文件夾選項(xiàng)

在Win2000.Win2003、Win7和Win2008：默認(rèn)不需要修改：

在WinXP：默認(rèn)不開啟文件夾安全選項(xiàng)，需要手工開啟，進(jìn)入“工具-＞文件夾

選項(xiàng)-〉查看”，取消勾選“使用簡單文件共享”選項(xiàng)，點(diǎn)擊確定；

文件夾選項(xiàng)?岡

第現(xiàn)查看文件變型脫機(jī)文件

「文件夾視圖

圓需髀姬娥姆11

一用到所有文件莢謾?重置所有文件夾中）］

而級(jí)設(shè)置.

5文件和文菽A

□不送存縮路困

a管理網(wǎng)頁和文件夾對(duì)

o顯示兩演分并分另鼠行告理

o顯示兩部分但是作為單一文件進(jìn)行肯現(xiàn)

◎作為單一文件顯示和笆理對(duì)

□記住每個(gè)文件夾的視圖設(shè)置

丁使用笛單支怦共享削薦廠

一鼠標(biāo)指向文件夾和具面由時(shí)顯示提示信息

S顯示系統(tǒng)文件夾的內(nèi)容

□圉藏受俁護(hù)的操作系統(tǒng)文件能存）V

2.確認(rèn)系統(tǒng)中的重要數(shù)據(jù)或文件;

3.進(jìn)入到需要進(jìn)行訪問控制的文件或目錄;

4.配置權(quán)限

在Win7和Win200R：右擊“文件”或“目錄”.詵擇“屬性-＞安全-＞編輯”,

對(duì)相應(yīng)的用戶（組）設(shè)置合理的權(quán)限;

圖片庫A季f?結(jié)?性I?

包隔231

天主us

對(duì)，冬片：C:\Oferf\Tubllc\ricixre?\SMiplerid\re*

??RPS<Gh_

ItEverytoe?

<auK?cnu

MSTSTU

設(shè)WTTB

示*t

費(fèi)更注??王“45F??

r^dCP》研指SI

*±l；?

修”?

oufcHn

Kt文件安FW?

ItCI?

再入j

在Win2000、WinXP和Win2003：右擊“文件”或“目錄”，選擇“屬性-＞安

全-＞高級(jí)-＞編輯”，對(duì)相應(yīng)的用戶（組）設(shè)置合理的權(quán)限。

備注根據(jù)系統(tǒng)確定重要數(shù)據(jù)范圍，建議加固前在模擬系統(tǒng)中先進(jìn)行測試。

1.2身份鑒別

1.2.1用戶口令復(fù)雜度策略

加固項(xiàng)目名稱用戶賬戶復(fù)雜度策略

加固編號(hào)Windows-01-02-01

加固說明口令長度不小于8位，由字母、數(shù)字和特殊字符組成，不得與賬戶名相同，避免

口令被暴力破解。

適用版本W(wǎng)in2000、WinXP、Win2003、Win7、Win2008

操作步驟1.進(jìn)入“控制面板-〉管理工具-＞本地安全策略-＞帳戶策略-〉密碼策略”；

2.雙擊“密碼長度最小值”，設(shè)置“密碼長度最小值”為8個(gè)字符，點(diǎn)擊確定；

3.雙擊“密碼必須符合復(fù)雜性要求”，勾選已后用，點(diǎn)擊確定。

備注

L2.2用戶登錄失敗鎖定

加固項(xiàng)目名稱用戶登錄失敗鎖定

加固編號(hào)Windows-01-02-02

加固說明配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過5次，鎖定該用戶使用的賬戶10分鐘，避免

賬戶被惡意用戶暴力破解。

適用版本W(wǎng)in2000、WinXP、Win2003、Win7、Win2008

操作步驟1.進(jìn)入“控制面板-＞管理工具本地安全策略-＞賬戶策略-〉帳戶鎖定策略”；

2.雙擊“帳戶鎖定閥值”設(shè)置，設(shè)置無效登錄次數(shù)為5次，點(diǎn)擊確定；

3.雙擊“帳戶鎖定時(shí)間”設(shè)置，設(shè)置鎖定站間10分鐘，點(diǎn)擊確定。

備注

L2.3用戶口令周期策略

加固項(xiàng)目名稱用戶口令周期策略

加固編號(hào)Windows-01-02-03

加固說明設(shè)置賬戶口令的生存期不長于90天，避免密碼泄露。

適用版本W(wǎng)in2000、WinXP.Win2003、Win7、Win2008

操作步驟1.進(jìn)入“控制面板-＞管理工具-＞本地安全策略帳戶策略-〉密碼策略”；

2.雙擊“密碼最長使用期限（密碼最長存留期）”，設(shè)置“密碼最長使用期限”為

90天，點(diǎn)擊確定。

備注

1.2.4用戶口令過期提醒

加固項(xiàng)目名稱用戶口令過期提醒

加固編號(hào)Windows-01-02-04

加固說明密碼到期前提示用戶更改密碼，避免用戶因遺忘更換密碼而導(dǎo)致賬戶失效。

適用版本W(wǎng)in2000、WinXP、Win2003、Win7、Win2008

操作步驟1.進(jìn)入“控制面板-＞管理工具-〉本地安全策略-＞本地策略-〉安全選項(xiàng)”；

2.雙擊“交互式登錄：提示用戶在過期之前更改密碼”，設(shè)置為10天，點(diǎn)擊確定。

備注“交互式登錄：提示用戶在過期之前更改密碼”在WinXP和Win2003中為“交

互式登錄：在密碼到期前提示用戶更改密碼”，在Win2000中為“在密碼到期前

提示用戶更改密碼

1.2.5系統(tǒng)不顯示上次登錄用戶名

加固項(xiàng)目名稱系統(tǒng)不顯示上次登錄用戶名

加固編號(hào)Windows-01-02-05

加固說明操作系統(tǒng)不顯示上次用戶名，避免用戶名泄露。

適用版本W(wǎng)in200()、WinXP.Win2003、Win7、Win2008

操作步兼1.進(jìn)入“控制面板管理工具-＞本地安全策略-）本地策略-〉安全選項(xiàng)”；

2.雙擊“交互式登陸：不顯示最后的用戶名”，選擇“已啟用”，點(diǎn)擊確定。

備注“交互式登陸：不顯示最后的用戶名”在桁nXP和晅n2003中為“交互式登陸：

不顯示上次的用戶名“，在晅n2000中為“登錄屏幕上不要顯示上次登錄的用戶

名二

L3補(bǔ)丁管理

L3.1補(bǔ)丁更新

加固項(xiàng)目名稱補(bǔ)丁更新

加固編號(hào)Windows-01-03-01

加固說明安裝官方補(bǔ)丁，嚴(yán)禁安裝第三方補(bǔ)丁，避免被黑客或惡意代碼利用已知的安全漏

洞進(jìn)行攻擊。

適用版本W(wǎng)in2000、WinXP、Win2003、Win7、Win2008

操作步驟1.打開命令控制臺(tái)，輸入systeminfo,查看主機(jī)現(xiàn)有的補(bǔ)丁編號(hào)；

---1口］x

2.查看當(dāng)前系統(tǒng)漏洞是否已安裝補(bǔ)丁包；

3.在微軟官方網(wǎng)站下載對(duì)應(yīng)補(bǔ)丁包(https:〃support.Microsoft,com/zh一cn)；

ISMkfowftaa*”ts=，”

Az■??***?HatsKSM只?MtfjJftn?s

M■叫產(chǎn)況給《P?1?

器口中XW3

W*M?mO?o?QMMxmMew??PMaatea

4.驗(yàn)證補(bǔ)丁包HASH值，在官方網(wǎng)站搜索所需要安裝補(bǔ)丁包的更新說明;

19MktowftaevravIM??

5.打開對(duì)應(yīng)網(wǎng)頁查看文件哈希信息;

蛆多信息

安全更折那省信息

eixMMMaewwieRV?川）n.

安全J?斫M慢信息

文件哈瑞信息

文杵信息

6.驗(yàn)證本地補(bǔ)丁包哈希值;

7.驗(yàn)證哈希信息正確后，安裝補(bǔ)丁包程序,

備注1.附件1《Windows重大高危漏洞與易傳播病毒》為目前梳理出的重要高危漏洞,

加固時(shí)必須安裝對(duì)應(yīng)補(bǔ)丁包。除附件1中已列漏洞外，加固時(shí)應(yīng)結(jié)合微軟最新漏

洞補(bǔ)丁發(fā)布情況，針對(duì)其他可能導(dǎo)致系統(tǒng)遠(yuǎn)程命令執(zhí)行的高危漏洞，補(bǔ)充安裝對(duì)

應(yīng)的補(bǔ)丁包。

2.微軟已停止對(duì)WinXP、Win2000、Win2003的技術(shù)支持，建議盡快更換系統(tǒng)。

L4主機(jī)配置

1.4.1禁止用戶修改IP

加固項(xiàng)目名稱禁止用戶修改IP

加固編號(hào)Windows-01-04-01

加固說明規(guī)范主機(jī)網(wǎng)絡(luò)配置管理，禁止用戶任意更換IP。

適用版本W(wǎng)in2000、WinXP、Win2003、Win7、Win2008

操作步驟1.按下,+R,輸入框輸入gpedit.msc,打開“本地組策略編輯器”；

2.進(jìn)入“用戶配置-＞管理模板-＞網(wǎng)絡(luò)-＞網(wǎng)絡(luò)連接”；

3.雙擊“禁止訪問LAN連接組件的屬性”，設(shè)置為已啟用，點(diǎn)擊確定；

4.雙擊“禁止訪問LAN連接的屬性”，設(shè)置為已啟用，點(diǎn)擊確定；

5.雙擊“禁用TCP/IP高級(jí)配置”，設(shè)置為已啟用，點(diǎn)擊確定。

備注如果業(yè)務(wù)需要修改IP,可臨時(shí)取消，修改完成后重新加固。

L4.2禁止用戶更改計(jì)算機(jī)名

加固項(xiàng)目名稱禁止用戶更改計(jì)算機(jī)名

加固編號(hào)Windows-01-04-02

加固說明禁止用戶更改計(jì)算機(jī)名。

適用版本W(wǎng)in2000、WinXP、Win2003、Win7、Win2008

操作步驟1.按下10+R,輸入框輸入gpcdit.msc,打開“本地組策略編輯器”；

2.進(jìn)入“用戶配置-＞管理模板桌面”；

3.雙擊“從'計(jì)算機(jī)（我的電腦）'圖標(biāo)上下文菜單中刪除屬性”，設(shè)置為“已啟

用”，點(diǎn)擊確定。

備注

1.4.3刪除默認(rèn)路由配置

加固項(xiàng)目名稱刪除默認(rèn)路由配置

加固編號(hào)Windows-01-04-03

加固說明主機(jī)禁止使用默認(rèn)路由，避免利用默認(rèn)路由探測網(wǎng)絡(luò)。

適用版本W(wǎng)in2000、WinXP、Win2003、Win7、Win2008

操作步驟1.^TE+R?輸入框輸入emd；

2.在命令提示符中輸入“routeprint查看是否有缺省路由；

33C:\Wmdows\System32\cmd.exe

C：\MindoMs\sy5tem32>rout9print

接口列表

15...3H02850981He............Bluetooth設(shè)備(個(gè)人區(qū)域網(wǎng))

11...00Gc2949ae65............Intel(R)PRO/WOOMTNetworkConnection

1..........................................................SoftwareLoopbackInterface1

12...GOGGG30000GO00eQMicrosoftISATAPAdapter

1?fiAAAGAfifififiAAAfieQTprodnTunnelingPAOiidn-Tntarf

16...GO00090000600GeOMicrosoftISATAPAdapterM2

IPu4能由志

接

躍點(diǎn)數(shù)

網(wǎng)絡(luò)目標(biāo)網(wǎng)絡(luò)掩碼網(wǎng)關(guān)口

上

在36

127.G.G.0255.0.0.0麋127.8.8.1

上

在36

127.0.0.1

127.G.0.155上

在

曲3vA6

5555上127.G.0.1

在36

霍

上

22^.0.0.02MG,0.0.0在I27.G.G.136

127.8.8.1

永久路由:

127.0.0.0255.0.0.6127.0.0.9

G.G.0.0255.0.0.0127.0.0.91

3.以管理員身份打開命令提示符，輸入rcutedelete0.0.0.0,刪除默認(rèn)路由。

C：\Windows\system32>routedelete

操作完成，

備注在刪除默認(rèn)路由之前，應(yīng)對(duì)路由表進(jìn)行梳理，并添加具體業(yè)務(wù)的路由策略。

1.4.4關(guān)閉默認(rèn)共享

加固項(xiàng)目名稱關(guān)閉默認(rèn)共享

加固編號(hào)Windows-01-04-04

適用版本W(wǎng)in200()、WinXP、Win2003、Win7、Win2008

加固說明關(guān)閉Windows硬盤默認(rèn)共享，防止黑客從默認(rèn)共享進(jìn)入計(jì)算機(jī)竊取資料。

操作步驟1.進(jìn)入“開始->控制面板->管理工具-〉計(jì)算機(jī)管理（本地）->共享文件夾->共享”；

2.查看右側(cè)窗口,選擇對(duì)應(yīng)的共享文件夾(例如C$,D$,ADMIN$,IPC$等),右

擊停止共享。

計(jì)■嘰?理

文伴(F)投作(A)??(H)

??□9HDO

上WH機(jī)管理(本電文件央SMS■祈MA接aw

系統(tǒng)工具

-fl■CAD...C:\WindowsWindows0近程?丞

?-H■ttfindows0默認(rèn)共享II

:a+。麥?■打開(0)更$網(wǎng)作

ndows0默認(rèn)共享

-疝共享文件夾停止KS)

寓IPndows0DBIPC

㈤u

所右任務(wù)(K)?ndows0

?的更多網(wǎng)作

al打開文件*?(F)

*本電用戶和知

■tl(R)

qg管理a??(H)

?生存住

N迅3"理

，￡□=＜1雙用程序

備注

L4.5開啟用戶賬戶控制設(shè)置(UAC)

加固項(xiàng)目名稱操作系統(tǒng)用戶賬戶控制設(shè)置(UAC)的配置

加固編號(hào)Windows-01-04-05

加固說明開啟用戶賬戶控制設(shè)置(UAC),設(shè)置為僅在程序嘗試對(duì)計(jì)算機(jī)進(jìn)行更改時(shí)通知用

戶。

適用版本W(wǎng)in7、Win2008

操作步躲1.進(jìn)入“開始-＞控制面板-〉用戶賬戶和家庭安全-＞用戶賬戶”；

2.更改“用戶賬戶控制設(shè)置”,設(shè)置為“默認(rèn)”，點(diǎn)擊確定。

備注

1.4.6禁止未登錄前關(guān)機(jī)

加固項(xiàng)目名稱禁止未登錄關(guān)機(jī)

加固編號(hào)Windows-01-04-06

加固說明設(shè)置Windows登錄屏幕上不顯示關(guān)閉計(jì)算機(jī)的選項(xiàng)，避免用戶名暴露。

適用版本W(wǎng)in2000、WinXP.Win2003、Win7、Win2008

操作步驟1.進(jìn)入“控制面板-＞管理工具-〉本地安全策略本地策略-〉安全選項(xiàng)”；

2.雙擊“關(guān)機(jī)：允許系統(tǒng)在未登錄的情況下關(guān)閉“，設(shè)置屬性為“已禁用”，點(diǎn)擊

確定。

備注“關(guān)機(jī)：允許系統(tǒng)在未登錄的情況下關(guān)閉”在Win2003中為“關(guān)機(jī)：允許系統(tǒng)

在未登錄前關(guān)機(jī)"，在WinXP中為“關(guān)機(jī)：允許在未登錄前關(guān)機(jī)“，在Win2000

中為“允許在未登錄前關(guān)機(jī)”。

1.4.7關(guān)機(jī)時(shí)清除虛擬內(nèi)存頁面文件

加固項(xiàng)目名稱關(guān)機(jī)時(shí)清除虛擬內(nèi)存頁面文件

加固編號(hào)Windows-01-04-07

加固說明設(shè)置關(guān)機(jī)時(shí)清除虛擬內(nèi)存頁面文件，避免虛擬內(nèi)存信息通過硬盤泄露。

適用版本W(wǎng)in2000、WinXP、Win2003、Win7、Win2008

操作步驟1.進(jìn)入“開始-〉控制面板管理工具-〉本地安全策略”；

2.進(jìn)入“安全設(shè)置-＞本地策略-〉安全選項(xiàng)”；

3.雙擊“關(guān)機(jī)：清除虛擬內(nèi)存頁面文件”，屬性設(shè)置為“已啟用”，點(diǎn)擊確定。

備注

1.4.8禁止非管理員關(guān)機(jī)

加固項(xiàng)目名稱禁止非管理員關(guān)機(jī)

加固編號(hào)Windows-01-04-08

加固說明僅允許Administrators組進(jìn)行遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)和關(guān)閉系統(tǒng)，避免非法用戶關(guān)

閉系統(tǒng)。

適用版本W(wǎng)in200()、WinXP.Win2003、Win7、Win2008

操作步兼1.進(jìn)入“開始-＞控制面板-〉管理工具-〉本地安全策略-＞本地策略-〉用戶權(quán)限分

配”；

2.分別雙擊“關(guān)閉系統(tǒng)”和“從遠(yuǎn)程系統(tǒng)強(qiáng)制關(guān)機(jī)”選項(xiàng)，僅配置系統(tǒng)管理員

(sysadmin)用戶。

備注“從遠(yuǎn)程系統(tǒng)強(qiáng)制關(guān)機(jī)”在WinXP和Win2000中為“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”。

1.5軟件管理

1.5.1卸載無關(guān)軟件

加固項(xiàng)目名稱卸載無關(guān)軟件

加固編號(hào)Windows-01-05-01

加固說明按照最小安裝的原則，刪除操作系統(tǒng)中與業(yè)務(wù)無關(guān)的軟件。

適用版本W(wǎng)in2000、WinXP、Win2003、Win7、Win2008

操作步躲1.確認(rèn)系統(tǒng)中必須安裝的軟件列表；

2.刪除與業(yè)務(wù)系統(tǒng)無關(guān)的軟件

在Nin7和Win2008：進(jìn)入“開始-＞控制面板-〉程序與功能”，查找與系統(tǒng)業(yè)務(wù)

無關(guān)的軟件,選擇需要卸載的軟件,右鍵選擇“卸載/更改”按鈕.卸載完成,“

在Win2000.WinXP和Win2003：進(jìn)入“開始-〉控制面板-＞添加或刪除程序”，

查找與系統(tǒng)業(yè)務(wù)無關(guān)的軟件，選擇需要卸載的軟件，右擊選擇“刪除”按鈕，卸

載完成。

R澤M娛?除枝斤圖同區(qū)1

富

安吳選序加更M13顯木受-Q)拷年方式中：初出

M/嫉至曲83Q正兀睢大小oA

QMtivCIiMktM大小102W

人MA*IMrdUt812八gal大小22QOC>b

確Qio

LA4?b?*”4?r8-Cka????Saa9lifi?4大小OOB

?擊倡廉?己財(cái)歿

?

上次俺用日班201gz

事簿H跖妻松就混序《第七從計(jì),機(jī)1聆,*±”更改-?-1^-.rra

相件S)

舞MA.SW3.0大小47<?B

份43d以U032大小266C?E

S3ATICitalyatX&itall?gy?r大小]fi5412