Windows操作系統(tǒng)安全防護(hù)指導(dǎo)手冊(cè)

2 8 12加固項(xiàng)目名稱(chēng)加固編號(hào)加固說(shuō)明適用版本操作步驟用戶權(quán)限策略配置按照僅授予管理用戶最小權(quán)限的原則設(shè)置安全管理員、審計(jì)管理員和系統(tǒng)管理員，安全管理員隸屬于BackupOperators和PowerUsers組，審計(jì)管理員隸屬于EventLogReaders和PerformanceLogUser組，系統(tǒng)管理員隸屬于NetworkConfigurationOperators組，建立三權(quán)分立的安全策略。（適用于服務(wù)器或公Win2000、WinXP、Win2003、Win7、Win20081.按下+R，輸入框輸入winver，確認(rèn)系統(tǒng)版本。2.按下+R，輸入框輸入compmgmt.msc，進(jìn)入“計(jì)算機(jī)管理->本地用戶和組->和系統(tǒng)管理員（sysadmin3.安全管理員權(quán)限配置在WinXP、Win2003、Win7和Win2008：立即查找”，同時(shí)選擇BackupOperators和PowerUsers組，點(diǎn)擊確定；3擇BackupOperators和PowerUsers組，點(diǎn)擊確定；4.審計(jì)管理員權(quán)限配置立即查找”，同時(shí)選擇EventLogReaders和PerformanceLogUser組，點(diǎn)擊確在Win2000、WinXP和Win2003：審計(jì)管理員隸屬于Users組，進(jìn)入“控制面板->管理工具->本地安全策略->本地5.系統(tǒng)管理員權(quán)限配置4定在Win2003和WinXP：ConfigurationOperators組，點(diǎn)擊確定；6.Administrator用戶改名進(jìn)入“控制面板->管理工具->本地安全策略->本地策略->安全選項(xiàng)”，雙擊“帳備注建議各管理員所具有的權(quán)（1）安全管理員（secadmin備份或還原文件；（2）審計(jì)管理員（audadmin管理系統(tǒng)的各種日志信息；（3）系統(tǒng)管理員（sysadmin更改文件所有權(quán)/重新啟動(dòng)或關(guān)閉系統(tǒng)/設(shè)置主機(jī)名/配置網(wǎng)卡參數(shù)/IP防火墻的管理/配置所有的對(duì)外服務(wù)。加固項(xiàng)目名稱(chēng)加固項(xiàng)目名稱(chēng)刪除或禁用系統(tǒng)無(wú)關(guān)用戶5加固編號(hào)加固說(shuō)明Windows-01-01-02加固編號(hào)加固說(shuō)明刪除、禁用或鎖定與設(shè)備運(yùn)行、維護(hù)等工作無(wú)關(guān)的賬戶，避免無(wú)關(guān)賬戶被黑客利適用版本操作步驟適用版本操作步驟1.按下+R，輸入框輸入compmgmt.msc；2.進(jìn)入“計(jì)算機(jī)管理->系統(tǒng)工具->本地用戶和組->用戶”；6（2）進(jìn)入安全系統(tǒng)環(huán)境，按下Ctrl+Alt+Del兩次，進(jìn)入登錄界面，輸入用戶名為administrator，密碼為賬戶禁用前的密碼；（3）在命令行中輸入，netuseradministrator/active，啟用administrator；（7）正常啟動(dòng)系統(tǒng)，可以進(jìn)入administrator。備注建議在進(jìn)行加固之前，在測(cè)試環(huán)境中進(jìn)行測(cè)試，確認(rèn)取消administrator對(duì)系統(tǒng)應(yīng)用的影響，避免由于此加固項(xiàng)導(dǎo)致系統(tǒng)應(yīng)用異常。由于加固過(guò)程中部分操作需要administrator權(quán)限，建議在完成所有加固項(xiàng)之后，再進(jìn)行此項(xiàng)加固中的第五步。加固項(xiàng)目名稱(chēng)加固編號(hào)屏幕保護(hù)程序時(shí)間設(shè)置加固項(xiàng)目名稱(chēng)加固編號(hào)Windows-01-01-037操作系統(tǒng)設(shè)置開(kāi)啟屏幕保護(hù)，并將時(shí)間設(shè)定為5操作系統(tǒng)設(shè)置開(kāi)啟屏幕保護(hù)，并將時(shí)間設(shè)定為5分鐘，避免非法用戶使用系統(tǒng)。Win2000、WinXP、Win2003、Win7、Win2008加固說(shuō)明適用版本操作步驟1.進(jìn)入屏幕保護(hù)程序在Win7：進(jìn)入“控制面板->顯示->個(gè)性化->屏幕保護(hù)程序”；在Win2000、WinXP、Win2003和Win2008：進(jìn)入“控制面板->顯示->屏幕保2.選擇屏幕保護(hù)程序界面，設(shè)置“等待”為5，點(diǎn)擊確定；加固項(xiàng)目名稱(chēng)系統(tǒng)重要數(shù)據(jù)訪問(wèn)控制加固編號(hào)加固說(shuō)明Windows-01-01-04應(yīng)啟用訪問(wèn)控制功能，依據(jù)安全策略控制用戶對(duì)資源的訪問(wèn)，防止系統(tǒng)重要數(shù)據(jù)適用版本操作步驟Win2000、WinXP、Win2003、Win7、Win20081.修改文件夾選項(xiàng)在Win2000、Win2003、Win7和Win2008：默認(rèn)不需要修改；在WinXP：默認(rèn)不開(kāi)啟文件夾安全選項(xiàng)，需要手工開(kāi)啟，進(jìn)入“工具->文件夾82.確認(rèn)系統(tǒng)中的重要數(shù)據(jù)或文件；3.進(jìn)入到需要進(jìn)行訪問(wèn)控制的文件或目錄；4.配置權(quán)限對(duì)相應(yīng)的用戶（組）設(shè)置合理的權(quán)限；備注根據(jù)系統(tǒng)確定重要數(shù)據(jù)范圍，建議加固前在模擬系統(tǒng)中先進(jìn)行測(cè)試。加固項(xiàng)目名稱(chēng)用戶賬戶復(fù)雜度策略加固編號(hào)加固說(shuō)明Windows-01-02-01口令長(zhǎng)度不小于8位，由字母、數(shù)字和特殊字符組成，不得與賬戶名相同，避免9適用版本操作步驟Win2000、WinXP、Win2003、Win7、Win20081.進(jìn)入“控制面板->管理工具->本地安全策略->帳戶策略->密碼策略”；加固項(xiàng)目名稱(chēng)用戶登錄失敗鎖定加固編號(hào)加固說(shuō)明Windows-01-02-02配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過(guò)5次，鎖定該用戶使用的賬戶10分鐘，避免賬戶被惡意用戶暴力破解。適用版本操作步驟Win2000、WinXP、Win2003、Win7、Win20082.雙擊“帳戶鎖定閥值”設(shè)置，設(shè)置無(wú)效登錄次數(shù)為5次，點(diǎn)擊確定；3.雙擊“帳戶鎖定時(shí)間”設(shè)置，設(shè)置鎖定時(shí)間10分鐘，點(diǎn)擊確定。加固項(xiàng)目名稱(chēng)用戶口令周期策略加固編號(hào)加固說(shuō)明適用版本操作步驟Windows-01-02-03設(shè)置賬戶口令的生存期不長(zhǎng)于90天，避免密碼泄露。Win2000、WinXP、Win2003、Win7、Win20081.進(jìn)入“控制面板->管理工具->本地安全策略->帳戶策略->密碼策略”；加固項(xiàng)目名稱(chēng)用戶口令過(guò)期提醒加固編號(hào)加固說(shuō)明適用版本操作步驟Windows-01-02-04密碼到期前提示用戶更改密碼，避免用戶因遺忘更換密碼而導(dǎo)致賬戶失效。Win2000、WinXP、Win2003、Win7、Win20081.進(jìn)入“控制面板->管理工具->本地安全策略->本地策略->安全選項(xiàng)”；“交互式登錄：提示用戶在過(guò)期之前更改密碼”在WinXP和Win2003中為“交加固項(xiàng)目名稱(chēng)系統(tǒng)不顯示上次登錄用戶名加固編號(hào)加固說(shuō)明適用版本操作步驟Windows-01-02-05操作系統(tǒng)不顯示上次用戶名，避免用戶名泄露。Win2000、WinXP、Win2003、Win7、Win20081.進(jìn)入“控制面板->管理工具->本地安全策略->本地策略->安全選項(xiàng)”；“交互式登陸：不顯示最后的用戶名”在WinXP和Win2003中為“交互式登陸：加固項(xiàng)目名稱(chēng)加固編號(hào)補(bǔ)丁更新加固項(xiàng)目名稱(chēng)加固編號(hào)Windows-01-03-01加固說(shuō)明安裝官方補(bǔ)丁，嚴(yán)禁安裝第三方補(bǔ)丁，避免被黑客或惡意代碼利用已知的安全漏加固說(shuō)明適用版本操作步驟Win2000、WinXP、Win2003、Win7、Win適用版本操作步驟1.打開(kāi)命令控制臺(tái)，輸入systeminfo，查看主機(jī)現(xiàn)有的補(bǔ)丁編號(hào)；;2.查看當(dāng)前系統(tǒng)漏洞是否已安裝補(bǔ)丁包；3.在微軟官方網(wǎng)站下載對(duì)應(yīng)補(bǔ)丁包（/zh-cn4.驗(yàn)證補(bǔ)丁包HASH值，在官方網(wǎng)站搜索所需要安裝補(bǔ)丁包的更新說(shuō)明；5.打開(kāi)對(duì)應(yīng)網(wǎng)頁(yè)查看文件哈希信息；7.驗(yàn)證哈希信息正確后，安裝補(bǔ)丁包程序。備注1.附件1《Windows重大高危漏洞與加固時(shí)必須安裝對(duì)應(yīng)補(bǔ)丁包。除附件1中已列洞補(bǔ)丁發(fā)布情況，針對(duì)其他可能導(dǎo)致系統(tǒng)遠(yuǎn)程命令執(zhí)行的高危漏洞，補(bǔ)充安裝對(duì)2.微軟已停止對(duì)2.微軟已停止對(duì)WinXP、Win2000、Win2003的技術(shù)支持，建議盡快更換系統(tǒng)。加固項(xiàng)目名稱(chēng)禁止用戶修改IP加固編號(hào)加固說(shuō)明適用版本W(wǎng)indows-01-04-01規(guī)范主機(jī)網(wǎng)絡(luò)配置管理，禁止用戶任意更換IP。Win2000、WinXP、Win2003、Win7、Win2008操作步驟2.進(jìn)入“用戶配置->管理模板->網(wǎng)絡(luò)->網(wǎng)絡(luò)連接”；如果業(yè)務(wù)需要修改IP，可臨時(shí)取消，修改完成后重新加固。加固項(xiàng)目名稱(chēng)禁止用戶更改計(jì)算機(jī)名加固編號(hào)加固說(shuō)明適用版本W(wǎng)indows-01-04-02Win2000、WinXP、Win2003、Win7、Win2008操作步驟2.進(jìn)入“用戶配置->管理模板->桌面”；加固項(xiàng)目名稱(chēng)加固編號(hào)加固說(shuō)明適用版本操作步驟刪除默認(rèn)路由配置Windows-01-04-03主機(jī)禁止使用默認(rèn)路由，避免利用默認(rèn)路由探測(cè)網(wǎng)絡(luò)。Win2000、WinXP、Win2003、Win7、Win20083.以管理員身份打開(kāi)命令提示符，輸入routedelete，刪除默認(rèn)路由。在刪除默認(rèn)路由之前，應(yīng)對(duì)路由表進(jìn)行梳理，并添加具體業(yè)務(wù)的路由策略。加固項(xiàng)目名稱(chēng)關(guān)閉默認(rèn)共享加固編號(hào)適用版本加固說(shuō)明操作步驟Windows-01-04-04Win2000、WinXP、Win2003、Win7、Win2008關(guān)閉Windows硬盤(pán)默認(rèn)共享，防止黑客從默認(rèn)共享進(jìn)入計(jì)算機(jī)竊取資料。2.查看右側(cè)窗口，選擇對(duì)應(yīng)的共享文件夾（例如C$，D$，ADMIN$，IPC$等右加固項(xiàng)目名稱(chēng)操作系統(tǒng)用戶賬戶控制設(shè)置（UAC）的配置加固編號(hào)加固說(shuō)明Windows-01-04-05開(kāi)啟用戶賬戶控制設(shè)置（UAC設(shè)置為僅在程序嘗試對(duì)計(jì)算機(jī)進(jìn)行更改時(shí)通知用適用版本操作步驟Win7、Win20081.進(jìn)入“開(kāi)始->控制面板->用戶賬戶和家庭安全->用戶賬戶”；加固項(xiàng)目名稱(chēng)禁止未登錄關(guān)機(jī)加固編號(hào)加固說(shuō)明適用版本操作步驟Windows-01-04-06設(shè)置Windows登錄屏幕上不顯示關(guān)閉計(jì)算機(jī)的選項(xiàng)，避免用戶名暴露。Win2000、WinXP、Win2003、Win7、Win2008備注“關(guān)機(jī):允許系統(tǒng)在未登錄的情況下關(guān)閉”在Win2003中為“關(guān)機(jī):允許系統(tǒng)加固項(xiàng)目名稱(chēng)關(guān)機(jī)時(shí)清除虛擬內(nèi)存頁(yè)面文件加固編號(hào)加固說(shuō)明適用版本操作步驟Windows-01-04-07設(shè)置關(guān)機(jī)時(shí)清除虛擬內(nèi)存頁(yè)面文件，避免虛擬內(nèi)存信息通過(guò)硬盤(pán)泄露。Win2000、WinXP、Win2003、Win7、Win20081.進(jìn)入“開(kāi)始->控制面板->管理工具->本地安全策略”；2.進(jìn)入“安全設(shè)置->本地策略->安全選項(xiàng)”；加固項(xiàng)目名稱(chēng)禁止非管理員關(guān)機(jī)加固編號(hào)加固說(shuō)明Windows-01-04-08僅允許Administrators組進(jìn)行遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)和關(guān)閉系統(tǒng)，避免非法用戶關(guān)適用版本操作步驟Win2000、WinXP、Win2003、Win7、Win20081.進(jìn)入“開(kāi)始->控制面板->管理工具->本地安全策略->本地策略->用戶權(quán)限分2.分別雙擊“關(guān)閉系統(tǒng)”和“從遠(yuǎn)程系統(tǒng)強(qiáng)制關(guān)機(jī)”選項(xiàng)，僅配置系統(tǒng)管理員加固項(xiàng)目名稱(chēng)卸載無(wú)關(guān)軟件加固編號(hào)加固說(shuō)明適用版本操作步驟Windows-01-05-01按照最小安裝的原則，刪除操作系統(tǒng)中與業(yè)務(wù)無(wú)關(guān)的軟件。Win2000、WinXP、Win2003、Win7、Win20081.確認(rèn)系統(tǒng)中必須安裝的軟件列表；2.刪除與業(yè)務(wù)系統(tǒng)無(wú)關(guān)的軟件無(wú)關(guān)的軟件，選擇需要卸載的軟件，右鍵選擇“卸載/更改”按鈕，卸載完成。在Win2000、WinXP和Win2003：進(jìn)入“開(kāi)始->控制面板->添加或刪除程序”，查找與系統(tǒng)業(yè)務(wù)無(wú)關(guān)的軟件，選擇需要卸載的軟件，右擊選擇“刪除”按鈕，卸禁止安裝與工作無(wú)關(guān)或存在安全漏洞的軟件，應(yīng)按照如下原則安裝軟件：1.工作站：僅安裝系統(tǒng)客戶端的基礎(chǔ)運(yùn)行環(huán)境和文檔編輯（WPS解壓縮2.服務(wù)器：僅安裝承載業(yè)務(wù)系統(tǒng)運(yùn)行的基礎(chǔ)軟件環(huán)境。加固項(xiàng)目名稱(chēng)加固編號(hào)加固說(shuō)明適用版本操作步驟關(guān)閉不必要的服務(wù)Windows-02-01-01應(yīng)遵循最小安裝的原則，僅安裝和開(kāi)啟必需的服務(wù)，避免系統(tǒng)中存在不必要的服Win2000、WinXP、Win2003、Win7、Win20083.雙擊需要關(guān)閉的服務(wù)，點(diǎn)擊停止按鈕以停止當(dāng)前正在運(yùn)行的服務(wù)；4.將啟動(dòng)類(lèi)型設(shè)置為禁用，點(diǎn)擊確定。在執(zhí)行系統(tǒng)加固前確認(rèn)系統(tǒng)應(yīng)用無(wú)需使用該服務(wù)。ServerAlerter（Win7、Win2008不適用）Clipbook（Win7、Win2008不適用）ComputerBrowserDHCPClientMessenger（Win7、Win2008不適用）RemoteRegistryService（Win7、Win2008不適用）RoutingandRemoteAccessSimpleMailTrasferProtocol(SMTP)（Win2000不適用）SimpleNetworkManagementProtocol(SNMP)Service（WinXP、Win2000不SimpleNetworkManagementProtocol(SNMP)Trap（WinXP、Win2000不適TelnetWorldWideWebPublishingService（WinXP、Win2000不適用）PrintSpoolerTerminalService（Win2000不適用）TaskScheduler（可選）Messengernetsend（WinXP、Win2000為Messenger）remoteRegistry（WinXP、Win2000為remoteRegistryservice不適用）SSDPDiscovery（Win2000不適用）DNSClientWindowsRemoteManagement（WS-Management)（可選，Win2000不適用）加固項(xiàng)目名稱(chēng)關(guān)閉不必要的系統(tǒng)端口加固編號(hào)加固說(shuō)明Windows-02-01-02遵循白名單的原則，僅開(kāi)放系統(tǒng)應(yīng)用所需的專(zhuān)用端口，避免系統(tǒng)中存在不必要的適用版本操作步驟Win2000、WinXP、Win2003、Win7、Win20082.查看系統(tǒng)當(dāng)前實(shí)際監(jiān)聽(tīng)的端口列表在Win7、WinXP、Win2003和Win2008：在命令提示符中，輸入netstat-ano命令，查看系統(tǒng)當(dāng)前網(wǎng)絡(luò)連接狀況；在Win2000：在命令提示符中，輸入netstat-an命令，查看系統(tǒng)當(dāng)前網(wǎng)絡(luò)連PID（1）打開(kāi)任務(wù)管理器，根據(jù)PID來(lái)查看端口對(duì)應(yīng)的進(jìn)程或服務(wù)；（2）通過(guò)停止進(jìn)程或禁用服務(wù)，關(guān)閉不必要的端口；（3）按照白名單原則，僅開(kāi)放必須的端口；在WinXP、Win7、Win2003和Win2008中：使用防火墻實(shí)現(xiàn)白名單制度，操作步驟參照2.2.2配置訪問(wèn)控制規(guī)則。在Win2000中：使用IP安全策略實(shí)現(xiàn)白名單制度，操作步驟參照2.2.2配置訪備注1.以下端口禁止開(kāi)放：TCP21，TCP23，TCP/UDP135，TCP/UDP137，TCP/UDP138，TCP/UDP139，TCP/UDP445。2.以下端口應(yīng)限制訪問(wèn)IP：TCP3389。加固項(xiàng)目名稱(chēng)加固編號(hào)加固說(shuō)明適用版本W(wǎng)indows-02-01-03Win2000、WinXP、Win2003、Win7、Win2008操作步驟操作步驟1.按下+R，輸入框中輸入regedit命令；2.查看注冊(cè)表項(xiàng)，進(jìn)入HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters;3.新建字符串值，重命名為SynAttackProtect，雙擊修改數(shù)值數(shù)據(jù)為2；4.新建字符串值，重命名為T(mén)cpMaxportsExhausted，雙擊修改數(shù)值數(shù)據(jù)為5；5.新建字符串值，重命名為T(mén)cpMaxHalfOpen，雙擊修改數(shù)值數(shù)據(jù)為500；1.指定觸發(fā)SYN洪水攻擊保護(hù)所必須超過(guò)的TCP連接請(qǐng)求數(shù)的閥值為5；2.指定系統(tǒng)拒絕的連接請(qǐng)求數(shù)的閾值為500；3.指定TCP的半連接數(shù)的閾值為400。加固項(xiàng)目名稱(chēng)設(shè)置最小掛起時(shí)間加固編號(hào)加固說(shuō)明Windows-02-01-04在連接到本地計(jì)算機(jī)的用戶超出其賬戶的有效登錄時(shí)間時(shí)應(yīng)斷開(kāi)與用戶的連接，避免被黑客或惡意軟件利用。適用版本操作步驟Win2000、WinXP、Win2003、Win7、Win20081.進(jìn)入“控制面板->管理工具->本地安全策略->本地策略->安全選項(xiàng)”；2.雙擊“Microsoft網(wǎng)絡(luò)服務(wù)器:登錄時(shí)間過(guò)期后斷開(kāi)與客戶端的連接”和“網(wǎng)3.雙擊“Microsoft網(wǎng)絡(luò)服務(wù)器:暫停會(huì)話前所需的空閑時(shí)間量”，設(shè)置時(shí)間為備注1.15分鐘為參考值，應(yīng)根據(jù)系統(tǒng)應(yīng)用的實(shí)際情況進(jìn)行配置；2.“Microsoft網(wǎng)絡(luò)服務(wù)器:登錄時(shí)間過(guò)期后斷開(kāi)與客戶端的連接”在WinXP和Win2003為“Microsoft網(wǎng)絡(luò)服務(wù)器:登錄時(shí)間用完后自動(dòng)注銷(xiāo)用戶”，Win3.“網(wǎng)絡(luò)安全:在超過(guò)登錄時(shí)間后強(qiáng)制注銷(xiāo)”安全選項(xiàng)在WinXP和Win2003為“網(wǎng)絡(luò)安全:在超過(guò)登錄時(shí)間后強(qiáng)制注銷(xiāo)”，Win2000無(wú)該安全項(xiàng)；4.“Microsoft網(wǎng)絡(luò)服務(wù)器:暫停會(huì)話前所需的空閑時(shí)間量”在WinXP和Win2003為“Microsoft網(wǎng)絡(luò)服務(wù)器:掛起會(huì)話前所需的空閑時(shí)間量”，為“在斷開(kāi)會(huì)話之前所需的空閑時(shí)間”。加固項(xiàng)目名稱(chēng)開(kāi)啟防火墻功能加固編號(hào)加固項(xiàng)目名稱(chēng)開(kāi)啟防火墻功能加固編號(hào)加固說(shuō)明適用版本操作步驟Windows-02-02-01打開(kāi)系統(tǒng)自帶防火墻，減小被網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。WinXP、Win2003、Win7、Win20081.按下+R，輸入框中輸入Firewall.cpl；加固項(xiàng)目名稱(chēng)加固編號(hào)適用版本加固說(shuō)明操作步驟配置訪問(wèn)控制規(guī)則Windows-02-02-02Win2000、WinXP、Win2003、Win7、Win2008Win2000使用IP安全策略實(shí)現(xiàn)訪問(wèn)控制，其他Windows系統(tǒng)使用防火墻實(shí)現(xiàn)訪問(wèn)控制，增加系統(tǒng)抵御網(wǎng)絡(luò)攻擊的能力。(1)按下+R，輸入框中輸入wf.msc，進(jìn)入高級(jí)安全防火墻；2.在Win2003、WinXP：(1)按下+R，輸入框中輸入Firewall.cpl，進(jìn)入"Windows防火墻—>例外"選(4)WinXP防火墻采用白名單制度，只需勾選系統(tǒng)必須的專(zhuān)用端口。3.在Win2000：（1）按下+R，輸入框中輸入gpedit.msc，打開(kāi)本地組策略編輯器，進(jìn)入“計(jì)算機(jī)配置->windows設(shè)置->IP安全策略，在本地機(jī)器上”；（4）雙擊進(jìn)入新建策略的屬性，在“規(guī)則”選項(xiàng)中“添加取消勾選“使用添（6）點(diǎn)擊“篩選器操作->添加”,選擇安全方法為“許可”；(8)所有許可策略添加完成后，添加一條拒絕所有連接的IP安全策略，符合白名加固項(xiàng)目名稱(chēng)禁用大容量存儲(chǔ)介質(zhì)（USB存儲(chǔ)設(shè)備）加固編號(hào)加固說(shuō)明適用版本W(wǎng)indows-03-01-01禁用USB存儲(chǔ)設(shè)備，防止利用USB接口非法接入。Win2000、WinXP、Win2003、Win7、Win2008操作步驟1.按下+R，在輸入框輸入regedit，打開(kāi)注冊(cè)表編輯器；2.進(jìn)入3.雙擊右側(cè)注冊(cè)表中的“Start”項(xiàng)，修改值為4。加固項(xiàng)目名稱(chēng)關(guān)閉自動(dòng)播放功能加固編號(hào)加固說(shuō)明Windows-03-02-01關(guān)閉移動(dòng)存儲(chǔ)介質(zhì)或光驅(qū)的自動(dòng)播放或自動(dòng)打開(kāi)功能，防止惡意程序通過(guò)U盤(pán)或光盤(pán)等移動(dòng)存儲(chǔ)介質(zhì)感染主機(jī)系統(tǒng)。適用版本W(wǎng)in2000、WinXP、Win2003、Win7、Win2008操作步驟（1）進(jìn)入“計(jì)算機(jī)配置->管理模板->Windows組件->自動(dòng)播放策略”；在Win2000、WinXP和Win2003:（1）進(jìn)入“計(jì)算機(jī)配置->管理模板->系統(tǒng)”；加固項(xiàng)目名稱(chēng)加固編號(hào)加固說(shuō)明加固項(xiàng)目名稱(chēng)加固編號(hào)加固說(shuō)明適用版本操作步驟關(guān)閉遠(yuǎn)程主機(jī)RDP服務(wù)Windows-03-03-01處于網(wǎng)絡(luò)邊界的主機(jī)RDP服務(wù)應(yīng)處于關(guān)閉狀態(tài)，有遠(yuǎn)程登錄需求時(shí)可由管理員臨時(shí)開(kāi)啟，避免非法用戶利用RDP服務(wù)漏洞進(jìn)行攻擊。WinXP、Win2003、Win7、Win2008（2）取消勾選“允許用戶遠(yuǎn)程連接到這臺(tái)計(jì)算機(jī)”和“允許這臺(tái)計(jì)算機(jī)發(fā)送遠(yuǎn)加固項(xiàng)目名稱(chēng)加固編號(hào)加固項(xiàng)目名稱(chēng)加固編號(hào)Windows-03-03-02加固說(shuō)明適用版本操作步驟僅限于指定IP地址范圍主機(jī)遠(yuǎn)程登錄，防止非法主機(jī)的遠(yuǎn)程訪問(wèn)。WinXP、Win2003、Win7、Win20082.分別進(jìn)入“計(jì)算機(jī)配置->管理模板->網(wǎng)絡(luò)->網(wǎng)絡(luò)連接->Windows防火墻->域配3.雙擊“允許入站遠(yuǎn)程桌面例外”,選擇“已啟用”；4.填入允許遠(yuǎn)程登錄到本機(jī)的主機(jī)IP地址，并以逗號(hào)分隔，點(diǎn)擊確定。加固項(xiàng)目名稱(chēng)限制遠(yuǎn)程登錄協(xié)議加固編號(hào)加固說(shuō)明Windows-03-03-03系統(tǒng)遠(yuǎn)程登錄僅允許使用Windows系統(tǒng)自帶工具，嚴(yán)禁使用第三方遠(yuǎn)程登錄軟適用版本操作步驟Win2000、WinXP、Win2003、Win7、Win20082.卸載系統(tǒng)中的第三方遠(yuǎn)程登錄軟件。卸載TeamViewer、PCAnywhere、向日葵等第三方遠(yuǎn)程登錄軟件。加固項(xiàng)目名稱(chēng)限制遠(yuǎn)程登錄時(shí)間加固編號(hào)加固說(shuō)明Windows-03-03-04設(shè)置遠(yuǎn)程桌面服務(wù)在某個(gè)活動(dòng)或空閑會(huì)話超時(shí)后自動(dòng)終止，防止被非法用戶利適用版本操作步驟WinXP、Win2003、Win7、Win20081.按下+R，在輸入框輸入gpedit.msc，進(jìn)入“本地組（1）進(jìn)入“計(jì)算機(jī)配置->管理模板->Windows組件->遠(yuǎn)程桌面服務(wù)->遠(yuǎn)程桌面設(shè)置“活動(dòng)會(huì)話限制”為10分鐘，點(diǎn)擊確定。置“活動(dòng)會(huì)話限制”為10分鐘，點(diǎn)擊確定。加固項(xiàng)目名稱(chēng)修改遠(yuǎn)程桌面默認(rèn)服務(wù)端口加固編號(hào)加固項(xiàng)目名稱(chēng)修改遠(yuǎn)程桌面默認(rèn)服務(wù)端口加固編號(hào)加固說(shuō)明適用版本操作步驟Windows-03-03-05WinXP、Win2003、Win7、Win20081.按下+R，在輸入框中輸入regedit命令，打開(kāi)注冊(cè)表編輯器；2.進(jìn)入HKLM/System/CurrentControlSet/Control/TerminalServer/WinStations/RDP-Tcp；3.雙擊“PortNumber”子項(xiàng)，修改值為自定義端口（如13889）,點(diǎn)擊確定。加固項(xiàng)目名稱(chēng)限制匿名用戶遠(yuǎn)程連接加固編號(hào)加固說(shuō)明適用版本W(wǎng)indows-03-03-06限制匿名用戶連接權(quán)限，防止用戶遠(yuǎn)程枚舉本地賬號(hào)。WinXP、Win2003、Win7、Win2008操作步驟2.進(jìn)入“計(jì)算機(jī)配置->Window設(shè)置->安全設(shè)置->本地策略->安全選項(xiàng)”；加固項(xiàng)目名稱(chēng)主機(jī)間登錄禁止使用公鑰驗(yàn)證加固編號(hào)加固說(shuō)明Windows-03-03-07適用版本操作步驟WinXP、Win2003、Win7、Win20081.進(jìn)入“控制面板->管理工具->本地安全策略->本地策略->安全選項(xiàng)”；“網(wǎng)絡(luò)訪問(wèn)，不允許存儲(chǔ)網(wǎng)絡(luò)身份驗(yàn)證的密碼和憑據(jù)”在WinXP和Win2003中為“網(wǎng)絡(luò)訪問(wèn):不允許存儲(chǔ)網(wǎng)絡(luò)身份驗(yàn)證的憑據(jù)或.NETPassports”。加固項(xiàng)目名稱(chēng)加固編號(hào)加固說(shuō)明適用版本操作步驟禁止使用無(wú)線網(wǎng)卡Windows-03-04-01禁用無(wú)線網(wǎng)卡，防止設(shè)備通過(guò)無(wú)線網(wǎng)絡(luò)進(jìn)行通信。Win2000、WinXP、Win2003、Win7、Win20081.核實(shí)是否存在無(wú)線網(wǎng)卡，若存在，請(qǐng)執(zhí)行以下操作并拔出網(wǎng)卡設(shè)備；3.查找右側(cè)“設(shè)備管理器”的窗口，選擇網(wǎng)絡(luò)適配器，找到無(wú)線網(wǎng)卡設(shè)備名稱(chēng)；加固項(xiàng)目名稱(chēng)加固編號(hào)加固說(shuō)明適用版本操作步驟配置日志策略Windows-04-01-01配置系統(tǒng)日志策略配置文件，對(duì)系統(tǒng)登錄、訪問(wèn)等行為進(jìn)行審計(jì)，為后續(xù)問(wèn)題追Win2000、WinXP、Win2003、Win7、Win20082.進(jìn)入“計(jì)算機(jī)配置->Windows設(shè)置->安全設(shè)置->本地策略->審