PC機(jī)及筆記本電腦Windows系統(tǒng)安全配置標(biāo)準(zhǔn)

1、XX公司PC機(jī)及筆記本電腦Windows系統(tǒng)安全配置標(biāo)準(zhǔn)i 目的為保證*您司 IT 支撐系統(tǒng)的信息安全，規(guī)范個(gè)人桌面 PCM 及移動(dòng)筆記本的 Windows 操作系統(tǒng)安全配置，特制定此標(biāo)準(zhǔn)。2范圍本標(biāo)準(zhǔn)適用于 XX 公司個(gè)人辦公 P（M 及筆記本電腦上所用的 Windows2000 系統(tǒng)、WindowsXP系統(tǒng)及 Windows7 系統(tǒng)。3Windows2000 安全配置標(biāo)準(zhǔn)3.1系統(tǒng)補(bǔ)丁安裝標(biāo)準(zhǔn)3.1.1系統(tǒng)補(bǔ)丁分類(lèi)Windows2000 系統(tǒng)與安全相關(guān)的補(bǔ)丁大致分三類(lèi)：ServicePack（補(bǔ)丁包）：ServicePack 是經(jīng)過(guò)測(cè)試的所有修復(fù)程序、安全更新程序、關(guān)鍵更新程序以及更新程序

2、的累積的集合。ServicePack 還可能包含自產(chǎn)品發(fā)布以來(lái)針對(duì)內(nèi)部發(fā)現(xiàn)問(wèn)題的其他修復(fù)以及設(shè)計(jì)上的更改或功能上的增加。ServicePack 補(bǔ)丁包涵蓋了自發(fā)布之前的所有補(bǔ)丁，是重要的補(bǔ)丁集合。SecurityPatch（安全補(bǔ)?。篠ecurityPatch 是針對(duì)特定問(wèn)題廣泛發(fā)布的修復(fù)程序，用于修復(fù)特定產(chǎn)品的與安全相關(guān)的漏洞。Microsoft 在發(fā)布的安全公告中將 SecurityPatch 分級(jí)為嚴(yán)重、重要、中等、低四個(gè)等級(jí)。嚴(yán)重的安全補(bǔ)丁缺失，會(huì)造成蠕蟲(chóng)快速傳播（如振蕩波，沖擊波），對(duì)系統(tǒng)本身和網(wǎng)絡(luò)造成重大影響，這類(lèi)補(bǔ)丁需要及時(shí)應(yīng)用到操作系統(tǒng)。Hotfix（修補(bǔ)程序）：Hotfix

3、 是針對(duì)某一個(gè)具體的系統(tǒng)漏洞或安全問(wèn)題而發(fā)布的專(zhuān)門(mén)解決該漏洞或安全問(wèn)題的小程序，通常稱(chēng)為修補(bǔ)程序，如果在最近發(fā)布的 ServicePack 后面，出現(xiàn)安全方面的漏洞，通常對(duì)應(yīng)的補(bǔ)丁會(huì)以 Hotfix 修補(bǔ)程序的形式發(fā)布。3.1.2補(bǔ)丁安裝原則1、新安裝或者重新安裝 Windows2000 操作系統(tǒng)，必須安裝最新的 ServicePack 補(bǔ)丁集。2、必須安裝等級(jí)為嚴(yán)重和重要的 SecurityPatch。3、有關(guān)安全方面的 Hotfixes 補(bǔ)丁應(yīng)當(dāng)及時(shí)安裝。4、最新的安全補(bǔ)丁發(fā)布與升級(jí)步驟，由數(shù)據(jù)中心定期在內(nèi)網(wǎng)上發(fā)布通知。注：補(bǔ)丁更新要慎重，可能出現(xiàn)硬件不兼容，或者影響當(dāng)前的應(yīng)用系統(tǒng)，安裝補(bǔ)

4、丁之前要經(jīng)過(guò)測(cè)試和驗(yàn)證。3.2帳號(hào)和口令安全配置標(biāo)準(zhǔn)3.2.1密碼策略配置要求通過(guò)“本地安全策略”調(diào)整默認(rèn)的“密碼策略”，提高系統(tǒng)的安全水平，“密碼策略”中各選項(xiàng)的具體要求如下表：策略默認(rèn)設(shè)置安全設(shè)置強(qiáng)制執(zhí)行密碼歷史記錄記住 1 個(gè)密碼記住 5 個(gè)密碼密碼最長(zhǎng)期限42 天90 天密碼最短期限0 天。天最擔(dān)密碼長(zhǎng)度0 個(gè)字符8 個(gè)字符密碼必須符合復(fù)雜性要求禁用啟用為域中所有用戶(hù)使用可還原的加密來(lái)儲(chǔ)存密碼禁用禁用“密碼策略”的設(shè)置步驟如下：進(jìn)入“控制面板/管理工具/本地安全策略”，在“帳戶(hù)策略-密碼策略”。國(guó)本,一設(shè)._gg?文件項(xiàng)拱作。查告過(guò)）判勛1 1囪磅因府峪安全諛直瓢筆同必須符告好性蕈求已

5、啟用；嗣密得氏童最小值 6 6 千亍特初筆碼最長(zhǎng)存留斯那天畫(huà)磨得最宜存留班 0 0天卷強(qiáng)制落礪史 S S 母記任的嘮碼函的城卬昕百用尸使用配邁隙由加密來(lái)情存智碼已停用3.2.2密碼復(fù)雜性配置要求在“密碼策略”中“密碼必須符合復(fù)雜性要求”選項(xiàng)啟動(dòng)后，系統(tǒng)將強(qiáng)制要求密碼的設(shè)置具備一定的強(qiáng)壯度，要求密碼至少包含以下四種類(lèi)別的字符中的三種：英語(yǔ)大寫(xiě)字母 A,B,C,Z英語(yǔ)小寫(xiě)字母 a,b,c,z西方阿拉伯?dāng)?shù)字 0,1,2,9非字母數(shù)字字符，如標(biāo)點(diǎn)符號(hào)，,#,$,%,&,*等3.2.3帳號(hào)安全控制要求1、“帳戶(hù)鎖定策略”配置要求有效的帳號(hào)鎖定策略有助于防止攻擊者猜出帳號(hào)對(duì)應(yīng)的密碼。要求按照下表要

6、求調(diào)整“帳戶(hù)鎖定策略”策略默認(rèn)設(shè)置安全設(shè)置帳戶(hù)鎖定時(shí)間未定義30 分鐘帳戶(hù)鎖定閾值05 次無(wú)效登錄復(fù)位帳戶(hù)鎖定計(jì)數(shù)器未定義30 分鐘之后帳號(hào)鎖定配置具體操作如下圖：進(jìn)入“控制面板/管理工具/本地安全策略”，在“帳戶(hù)策略-帳戶(hù)鎖定策略”臺(tái)安至設(shè)置-帆尸簧略通密蔻策距擊冷怵尸潁定策峰國(guó)箍本地美喀出 e e 年相美略國(guó)門(mén)教件圈借悌略士寫(xiě)IP安全螂 6 6f f在本相2、系統(tǒng)內(nèi)置帳號(hào)管理要求Windows2000 系統(tǒng)中存在不可刪除的內(nèi)置帳號(hào)，包括 Administrator 和 guest。對(duì)于管理員帳號(hào)，要求更改缺省帳戶(hù)名稱(chēng)，并對(duì)隸屬于 Administrators 組的帳號(hào)要嚴(yán)格監(jiān)控；要求禁用

7、guest（來(lái)賓）帳號(hào)，以防止攻擊者通過(guò)利用已知的用戶(hù)名破壞遠(yuǎn)程服務(wù)器。3、其它帳號(hào)管理要求臨時(shí)的測(cè)試帳號(hào)和過(guò)期的無(wú)用帳號(hào)應(yīng)該在 3 個(gè)工作日內(nèi)及時(shí)刪除。（注：測(cè)試帳號(hào)和無(wú)用帳號(hào)不是系統(tǒng)默認(rèn)安裝時(shí)生成的，是系統(tǒng)操作過(guò)程中人為新增的帳號(hào)，應(yīng)該及時(shí)刪除。）3.3服務(wù)和端口配置標(biāo)準(zhǔn)3.3.1服務(wù)管理配置要求Windows2000 缺省安裝會(huì)創(chuàng)建很多默認(rèn)服務(wù)并配置為在系統(tǒng)啟動(dòng)時(shí)運(yùn)行。實(shí)際運(yùn)行環(huán)境中并不需要運(yùn)行所有服務(wù)，而任何多余的服務(wù)都是潛在的受攻擊點(diǎn)，因此要求禁用不必要的服務(wù)。下表列出的服務(wù)是 Windows2000 系統(tǒng)提供基本管理功能所必需的，請(qǐng)根據(jù)系統(tǒng)的應(yīng)用的情況禁用下表中沒(méi)有提到的服務(wù)：服務(wù)

8、啟動(dòng)服務(wù)功能實(shí)現(xiàn)AutomaticUpdates自動(dòng)允許下載并女裝 Windows 更新COM+事件服務(wù)手動(dòng)允許組件服務(wù)的管理DHCP 客戶(hù)端自動(dòng)通過(guò)注冊(cè)和更新 IP 地址和 DNSM 名來(lái)營(yíng)埋網(wǎng)絡(luò)配置分布式鏈接跟蹤客戶(hù)端自動(dòng)用來(lái)維護(hù) NTFS 卷上的鏈接DNS 客戶(hù)端自動(dòng)允許解析 DNS 名稱(chēng)事件日志自動(dòng)允許在事件日志中查看事件日志消息邏輯磁盤(pán)管理器自動(dòng)需要它來(lái)確保動(dòng)態(tài)磁盤(pán)信息保持最新邏輯磁盤(pán)管理器管理服務(wù)手動(dòng)需要它以執(zhí)行磁盤(pán)管理Netlogon自動(dòng)加入域時(shí)所需網(wǎng)絡(luò)連接手動(dòng)網(wǎng)絡(luò)通訊所需性能日志和警報(bào)手動(dòng)收集計(jì)算機(jī)的性能數(shù)據(jù)，向日志中寫(xiě)入或觸發(fā)警報(bào)即插即用自動(dòng)Windows2000 標(biāo)識(shí)和使用

9、系統(tǒng)硬件時(shí)所需受保護(hù)的存儲(chǔ)?自動(dòng)需要用它保護(hù)敏感數(shù)據(jù)，如私鑰遠(yuǎn)程過(guò)程調(diào)用(RPC)自動(dòng)Windows2000 中的內(nèi)部過(guò)程所需安全帳戶(hù)管理器自動(dòng)存儲(chǔ)本地安全帳戶(hù)的帳戶(hù)息系統(tǒng)事件通知自動(dòng)在事件日志中記錄條目所需TCP/IPNetBIOSHelper 服務(wù)自動(dòng)在組策略中進(jìn)行軟件分發(fā)所需(可分發(fā)修補(bǔ)程序)Windows 管理規(guī)范驅(qū)動(dòng)程序手動(dòng)使用“性能日志和警報(bào)”實(shí)現(xiàn)性能警報(bào)時(shí)所需Windows 時(shí)間服務(wù)自動(dòng)需要它來(lái)保證 Kerberos 身份驗(yàn)證后,致的功能工作站自動(dòng)加入域時(shí)所需3.3.2 端口配置要求為防止攻擊者通過(guò)小端口瀏覽到指定網(wǎng)段內(nèi)的工作站中全部共享信息、對(duì)共享文件進(jìn)行編輯、刪除操作等，應(yīng)該

10、關(guān)閉不需要的小端口，關(guān)閉方法如下：1、139 端口139 端口是 NetBIOSSession 端口，用來(lái)文件和打印共享。按照如下方法關(guān)閉：關(guān)閉 139 端口，在“網(wǎng)絡(luò)和撥號(hào)連接”中“本地連接”中選取“Internet 協(xié)議(TCP/IP)”屬性，進(jìn)入“高級(jí) TCP/IP 設(shè)置”“WIN 殷置”里選擇“禁用 TCP/IP 的 NETBIOS。2、445 端口關(guān)閉 445 端口，修改注冊(cè)表，添加一個(gè)鍵值HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParametersSMBDeviceEnabled=dword:00000000。注：

11、若打印機(jī)配置必須開(kāi)啟以上端口，可暫不關(guān)閉。3.4安全選項(xiàng)配置標(biāo)準(zhǔn)請(qǐng)按照下表中的要求設(shè)置 Windows2000 系統(tǒng)中的安全選項(xiàng):安全選項(xiàng)注釋安全設(shè)置LANManager 身份驗(yàn)確定網(wǎng)絡(luò)登錄時(shí)將使用哪個(gè)質(zhì)詢(xún)/響應(yīng)身份驗(yàn)證發(fā)送 LM&NTLM 響證級(jí)別協(xié)議。該選項(xiàng)會(huì)影響客戶(hù)端使用的身份驗(yàn)證協(xié)議的級(jí)別、協(xié)商的會(huì)話(huà)安全級(jí)別，以及服務(wù)器所接受的身份驗(yàn)證級(jí)別。應(yīng)，如果已協(xié)商，使用 NTLMv2 安全會(huì)話(huà)對(duì)匿名連接的額外限制確定匿名連接到計(jì)算機(jī)應(yīng)具有的其他權(quán)限。不允許枚舉 sam 賬號(hào)和共享在斷開(kāi)會(huì)話(huà)之前所需的空閑時(shí)間確定“服務(wù)器消息塊（SMB）”會(huì)話(huà)因?yàn)椴换顒?dòng)而被掛起之前，在該會(huì)話(huà)中必須經(jīng)過(guò)的連

12、續(xù)空閑時(shí)間。15 分鐘如果無(wú)法記錄安全審計(jì)則立即關(guān)閉系統(tǒng)確定當(dāng)系統(tǒng)無(wú)法記錄安全事件時(shí)是否關(guān)閉系統(tǒng)。停用登錄屏幕上不要顯示上次登錄的用戶(hù)名確定是否將上次登錄到計(jì)算機(jī)的用戶(hù)名顯示在Windows 登錄畫(huà)面中。啟用在關(guān)機(jī)時(shí)清理虛擬內(nèi)存貝回父換文件確定在關(guān)閉系統(tǒng)時(shí)是否清除虛擬內(nèi)存頁(yè)面文件。啟用發(fā)送未加密的密碼到第二方SMB 服務(wù)器如果啟用該策略，將允許“服務(wù)器消息塊（SMB）”重定向器向身份驗(yàn)證期間/、支持密碼加密的非 MicrosoftSMB 服務(wù)器發(fā)送明義密碼。停用在密碼到期前提示用戶(hù)更改密碼確定提前多長(zhǎng)時(shí)間（單位為天）警告用戶(hù)其密碼將過(guò)期。通過(guò)這種提前警告，用戶(hù)可以有時(shí)間創(chuàng)建具有足夠安全性的密碼

13、。14 天具體設(shè)置方法為：進(jìn)入“控制面板/管理工具/本地安全策略“，在“本地策略-安全選項(xiàng)”中完成上表提及的各個(gè)“安全選項(xiàng)”的調(diào)整。a*憎支全誑宣.inx|1*T國(guó)J J國(guó)易雷悒F 夠/1 1車(chē)施飛霍1 1次致金為一壁UUSIMen.UUSIMen.中立乜皿前上JHLMJHLM良MLHMLH啊應(yīng)kXSIW*.WTJ*IkXSIW*.WTJ*I明J J腐守寶:因諾；對(duì)安方譚正陸中巧行詠豐7U7U布邛鼻可i i股巳且用已啟珥蔭守學(xué)工道；對(duì)于力強(qiáng)曲 F 多行獨(dú)釣蹈成招名出= =）己斤用已國(guó)用啕安全畫(huà)當(dāng)對(duì)史金*厘據(jù)志行塞!字楚B B（JDJD震可i i助電自用巴當(dāng)閑般克生；如ftft：* *起土舊川加

14、w.umjtWw.umjtW上坨判事照到巳作川巳用兒前臺(tái)5Mm5Mm印，加nFkfflfiianFkfflfiiatxtmtxtm己自刖己a a聞一二 10 嫉也-:承由戶(hù)重電- -USUS才仲中H HT.T.2323 串秘?cái)z匹l lmuBAmuBA0 0W W 事由_j_jktkt；中子 asasLELE4 4 要金 B5 5L L:冷不五卜T T耳母不卜咨IfIf案的甲巴哥巳向用巳伸目局對(duì)缶位:ft 還序板重主使用進(jìn)行審計(jì),已方用已存用畫(huà)制喝因由茄3 3仃普把創(chuàng)&能果詞曲巴聘用巴怡府劉耳氣骷逋i i血口察于ESES白昆；EffJMEffJM已停雨函立客P P等而牌前行落字留名可瓶）

15、己寫(xiě)用己后用腐而客戶(hù)謊5 5膽逐進(jìn)行方字喳&宦和已颶用已停司盟淀出名醫(yī)舞懶外混物秀-中眥-賽:工講加情覆HEauHEau早西由全QUliH*QUliH*的已網(wǎng)用L LL L停冏廚揄京力閩睢司工至親1 1年三萬(wàn)EMGEMG即國(guó)珥已停用日S S用函網(wǎng)止I I笠前隔尸塞齊的耳位里檸B B后用己仔目哨陋止當(dāng)戶(hù)空堂打印可犯動(dòng)膻序已停用已傳當(dāng)?shù)? 3第BkJLEBkJLE知七兒件巧朋百蛔勘amtuamtu仃1 1具0101耿盤(pán)兄尚劉訪(fǎng)喻巴田用E15AE15A蚣幫砰,復(fù)組忙坨審。動(dòng)新筑號(hào)用播卻T T己彳用己行冏西普用用CIRLCIRL 1 1*仙際登鼻節(jié)甘聲冊(cè)肯定義咨審定交躅t t牯唉沖保酹J J才

16、注找乖ifif啜，在旭旬1 1般不可用的噌況的inin次3E3E費(fèi)!收益至明川集月期況安室計(jì)RjuwnRjuwn事出索如匕不用已侑兩踐1 1新式西4 4日既溶1 1nd*ftnd*ft設(shè)TTHLTTHL良EIEI兄畋聲稱(chēng)尋3 3匠洞序的守的“作汨有足兌汽車(chē) X 望同由用戶(hù)過(guò)甌節(jié)后曬SSrS?SSrS?jd1111rr3.5安全審計(jì)配置標(biāo)準(zhǔn)3.5.1審核策略配置要求Windows2000 系統(tǒng)的缺省配置是不開(kāi)任何安全審核，要求通過(guò)開(kāi)啟審核策略”，記錄以下操作：審核策略默認(rèn)配置安全設(shè)置審核登陸事件無(wú)審核成功，失敗審核帳戶(hù)登陸事件無(wú)審核成功，失敗審核帳戶(hù)管理無(wú)審核成功，失敗審核系統(tǒng)事件無(wú)審核成功，失

17、敗配置方法：通過(guò)“控制面板/管理工具/本地安全策略“，在“本地策略-審核策略”中打開(kāi)相應(yīng)的審核選項(xiàng)：3.5.2 日志屬性配置要求根據(jù)下表調(diào)整各種日志屬性:日志類(lèi)別安全設(shè)置應(yīng)用程序日志大小10240K當(dāng)送到最大日志大小時(shí)改寫(xiě)久于 15 天的事件i1安全性日志大小10240K當(dāng)送到最大日志大小時(shí)改寫(xiě)久于 15 天的事件(系統(tǒng)日志大小10240K當(dāng)送到最大日志大小時(shí)改寫(xiě)久于 15 天的事件配置方法:通過(guò)“控制面板/管理工具/事件查看器“，在“屬性”中進(jìn)行設(shè)置:|文件工廠卻 R 比看)帝劫 W W 嗎雪白絲雀引回事件有看天才電)宸用程序安全性栗觀看4M4Ml lt:*t:*L L奸亞丸舌號(hào)iM4rmi

18、M4rm% %arar EcEc t3t3 fictiMcrtxfictiMcrtx需輻B B L LPITOTPITOTOftinOftin手雙諦邊港置手名秋：飛全浩口雌腳 SCWIMJOKyS/5kaCWIMJOKyS/5ka 32.32. nfinfi6 6Seclv?ntEviSeclv?ntEvi火?。?1?051?0ISIS(3(3純.2.26868字為之電f f百：小口9 9年J2J2月1111日星期五JMJMiaia：5a5a由刷恒,皿瓊：月中日星1 1郵BFTBFT犯訪(fǎng)同時(shí)301?301?年:耳通日軍朝口ITIT：*:*:4G4G日本十小量HBHB忐文仲大小也h h皿皿二期士

19、在利星大的日志武小時(shí)：O O提需翦q q事件(y(y通改可工T T|15|15: :夫打事件硒為雙理可口富用rfjissrfjissmJmJ話(huà)除日志短I.晌正【職，3.6 其它安全配置參考3.6.6使用 NTFS 文件系統(tǒng)NTF 故件系統(tǒng)比 FATF 口 FAT32 雖壯和穩(wěn)定，不易崩潰，Windows200 函供了基于 NTF 故件系統(tǒng)的對(duì)文件和目錄的訪(fǎng)問(wèn)控制列表(ACL)。建議所有的磁盤(pán)卷都使用 NTFSC 件系統(tǒng)。3.6.7共享管理要求停用所有不必要的文件共享，特別注意系統(tǒng)默認(rèn)啟用的隱含系統(tǒng)共享，如 C$D$IPC$、admin$等。因工作需要臨時(shí)開(kāi)啟共享，使用完畢后應(yīng)及時(shí)關(guān)閉。1、關(guān)閉

20、默認(rèn)共享的方法有兩種：2、在服務(wù)配置中禁用 Server 服務(wù)；更改注冊(cè)表鍵值：在 HKLMSystemCurrentControlSetServicesLanmanServer下，增力口 REG_DWORD1 的 AutoShareServer 鍵，值為 0。1.1.3禁用自動(dòng)播放功能在命令彳 T 運(yùn)行 gpedit.msc,進(jìn)入組策略管理器，在計(jì)算機(jī)配置-管理模板-系統(tǒng)，找到右邊的“關(guān)閉自動(dòng)播放”，將此條目啟用。禁止自動(dòng)播放功能可以防止 M 病毒等通過(guò)自動(dòng)加載功能引入病毒。1.1.4啟用屏幕保護(hù)設(shè)置帶密碼的屏幕保護(hù)，將時(shí)間設(shè)定為 5-10 分鐘，使得系統(tǒng)在無(wú)人操作 5-10 分鐘后自動(dòng)啟用

21、屏幕保護(hù)，再次進(jìn)入系統(tǒng)需要認(rèn)證。3.6.5 防病毒設(shè)置必須安裝公司統(tǒng)一的防病毒軟件，并設(shè)置定期升級(jí)。5.1.1桌面管理軟件安裝公司統(tǒng)一的桌面管理軟件。4WindowsXP 安全配置標(biāo)準(zhǔn)系統(tǒng)補(bǔ)丁安裝標(biāo)準(zhǔn)系統(tǒng)補(bǔ)丁分類(lèi)WindowsXP 的與安全相關(guān)的補(bǔ)丁大致分三類(lèi)：ServicePack（補(bǔ)丁包）：ServicePack 是經(jīng)過(guò)測(cè)試的所有修復(fù)程序、安全更新程序、關(guān)鍵更新程序以及更新程序的累積的集合。ServicePack 還可能包含自產(chǎn)品發(fā)布以來(lái)針對(duì)內(nèi)部發(fā)現(xiàn)問(wèn)題的其他修復(fù)以及設(shè)計(jì)上的更改或功能上的增加。ServicePack 補(bǔ)丁包涵蓋了自發(fā)布之前的所有補(bǔ)丁，是重要的補(bǔ)丁集合。SecurityPa

22、tch（安全補(bǔ)丁）：SecurityPatch 是針對(duì)特定問(wèn)題廣泛發(fā)布的修復(fù)程序，用于修復(fù)特定產(chǎn)品的與安全相關(guān)的漏洞。Microsoft 在發(fā)布的安全公告中將 SecurityPatch 分級(jí)為嚴(yán)重、重要、中等、低四個(gè)等級(jí)。嚴(yán)重的安全補(bǔ)丁缺失，會(huì)造成蠕蟲(chóng)快速傳播（如振蕩波，沖擊波），對(duì)系統(tǒng)本身和網(wǎng)絡(luò)造成重大影響，這類(lèi)補(bǔ)丁需要及時(shí)應(yīng)用到操作系統(tǒng)。Hotfix（修補(bǔ)程序）：Hotfix 是針對(duì)某一個(gè)具體的系統(tǒng)漏洞或安全問(wèn)題而發(fā)布的專(zhuān)門(mén)解決該漏洞或安全問(wèn)題的小程序，通常稱(chēng)為修補(bǔ)程序，如果在最近發(fā)布的 ServicePack 后面,出現(xiàn)安全方面的漏洞，通常對(duì)應(yīng)的補(bǔ)丁會(huì)以 Hotfix 修補(bǔ)程序的形式發(fā)

23、布。補(bǔ)丁安裝原則1、新安裝或者重新安裝 WindowsXPB 作系統(tǒng)，必須安裝最新的 ServicePack 補(bǔ)丁集。2、必須安裝等級(jí)為嚴(yán)重和重要的 SecurityPatch。3、有關(guān)安全方面的 Hotfixes 補(bǔ)丁應(yīng)當(dāng)及時(shí)安裝。4、最新的安全補(bǔ)丁發(fā)布與升級(jí)步驟，參照公司內(nèi)網(wǎng)和微軟網(wǎng)站的公告。注：補(bǔ)丁更新要慎重，可能出現(xiàn)硬件不兼容，或者影響當(dāng)前的應(yīng)用系統(tǒng)，安裝補(bǔ)丁之前要經(jīng)過(guò)測(cè)試和驗(yàn)證。4.2 安全中心配置標(biāo)準(zhǔn)防火墻啟用要求WindowsXP 安裝了 SP 吉卜丁會(huì)有安全中心， 包括主機(jī)防火墻， 自動(dòng)更新， 病毒防護(hù)三個(gè)主要功能， 其中， 要求啟用 Windows火墻。防火墻啟用方式如下圖：

24、VindxmVindxm安全中心心 titi.xL.xLQIDQID 門(mén)?隸柏鵬等兩禽百欣自以Hi,Hi,業(yè)V V二W&*t$W&*t$壇且錄邪的F F標(biāo)+茨噎軍工“祖口?！盕 中助-至節(jié)安全中心”厚行僦儂TnlTnl羽林日Q Q病等擰官喧五金說(shuō)宣安金基就編國(guó)豁并蜜哂 Q.打武口3 3子祜由?三Vi.BduVi.Bdu bEbE防火管密旨訴附宏下至佳次即其氈壬上感肋，運(yùn)1 1涼隔“件a an n揖瑞樂(lè)中停防火墻Viftdn/EViftdn/E昉力增已FJ;FJ;助.兒垮UMjiUMji事RHRH9 自動(dòng)空新昌霆翳箭若殿附CCMCCMm m關(guān)注您防鶯粗濡或做曜演匡虱.4.2.2

25、自動(dòng)更新啟用要求安全中心還包括自動(dòng)更新功能，定期地檢查針對(duì)計(jì)算機(jī)的最新的重要更新，然后自動(dòng)安裝這些更新。重要更新（包括關(guān)鍵更新和安全更新）應(yīng)該在發(fā)行后盡快安裝到計(jì)算機(jī)上，保護(hù)您計(jì)算機(jī)免受病毒攻擊和其他安全威脅。要求啟用自動(dòng)更新功能，方法如圖所示：W,rrioft圭注!MMJ展在.請(qǐng)周冰必弟?chē)?guó)&.注：內(nèi)外網(wǎng)物理分離管理的終端，可以根據(jù)實(shí)際情況選擇不開(kāi)啟，但應(yīng)通過(guò)其他途徑及時(shí)獲取并安裝補(bǔ)丁。防病毒設(shè)置安裝公司統(tǒng)一的防病毒軟件，并設(shè)置定期升級(jí)。桌面管理軟件安裝公司統(tǒng)一的桌面管理軟件。帳號(hào)和口令安全配置標(biāo)準(zhǔn)密碼策略配置要求通過(guò)“本地安全策略”調(diào)整默認(rèn)的“密碼策略”，提高系統(tǒng)的安全水平，“密碼策

26、略”中各選項(xiàng)的具體要求如下表：策略默認(rèn)設(shè)置安全設(shè)置強(qiáng)制密碼歷史記住 0 個(gè)密碼記住 5 個(gè)密碼密碼最長(zhǎng)存留期42 天90 天會(huì)全中心口動(dòng)中新日切更新都生曲胡的 H H 直機(jī)幡比罅，H HH H上LtLtuftuft載地屬新宜 M 和病互但展*tit-*tit-V Vi iLILII IL Lt tsUpdatesUpdate構(gòu)杳昂新的更痂若里宅專(zhuān)才E E點(diǎn)向於存取國(guó)美“貿(mào)生中心”的幫助-史芭，行全中心”宿如我的方磔防火墻VfindowVfindowH H防火喑巳1 1安堂成方.竊上笥，自動(dòng)更新自總哩勤設(shè)置方？E E。目哥竟就西骷 I I喻膘畿孤露結(jié)幕黑乩溜需公罐乎更郭期自承受新婦旭工ftTft

27、T口成網(wǎng)尊onon日朝下苑訪(fǎng) r 更新,廣安裝宅七：LiLit t違碌宓就二罡患.畫(huà)甚專(zhuān)尊魚(yú)，翔頻送菁j j ；二f f；有可用下載回調(diào)和我，但旱耳麥自中下翁弟守技磨哥Q巧圭防疔訴注爭(zhēng)有工-可2加 如-I-1E*為雙管更安全設(shè)置：IntaEnolIntaEnol透頂，口美司自幼更轉(zhuǎn)工.就果也不足喉霸更.茹，忠的 iiii 置機(jī)將受粗局夏里士一自動(dòng)更新從工IfoIfo】認(rèn).叼羽安裝史BF.BF.I曜 F豫槽11應(yīng)爾如密碼最皖存留期0 天0 天最擔(dān)密碼長(zhǎng)度0 個(gè)字符8 個(gè)字符密碼必須符合復(fù)雜性要求禁用啟用為域中所有用戶(hù)使用可還原的加密來(lái)儲(chǔ)存密碼已停用已停用“密碼策略”的設(shè)置步驟如下：進(jìn)入“控制面板

28、/性能和維護(hù)/管理工具/本地安全策略”，在“帳戶(hù)策略-密碼策略”。袁蹄茹坂宜圖密內(nèi)必須符合復(fù)來(lái)住要求已啟用同事防長(zhǎng)度總小值 8 8 個(gè)字符圖色通錄 K K 有砰期 soso 天同察眄信短百鑄期 0 0 天硼強(qiáng)制密到歷史 5 5 個(gè)記住的密電面為域中斯有用 F F 便月可還原的儂聚他存爸媽已傳用密碼復(fù)雜性配置要求在“密碼策略”中“密碼必須符合復(fù)雜性要求”選項(xiàng)啟動(dòng)后，系統(tǒng)將強(qiáng)制要求密碼的設(shè)置具備一定的強(qiáng)壯度，要求密碼至少包含以下四種類(lèi)別的字符中的三種：英語(yǔ)大寫(xiě)字母 A,B,C,Z英語(yǔ)小寫(xiě)字母 a,b,c,z西方阿拉伯?dāng)?shù)字 0,1,2,9非字母數(shù)字字符，如標(biāo)點(diǎn)符號(hào)，,#,$,%,&,*等帳號(hào)

29、安全控制要求1、“帳戶(hù)鎖定策略”配置要求有效的帳號(hào)鎖定策略有助于防止攻擊者猜出您帳號(hào)對(duì)應(yīng)的密碼。要求按照下表要求調(diào)整“帳戶(hù)鎖定策略”：IGIG 安至設(shè)置日國(guó)帳戶(hù)泰喀+R+R 邳啡尸被定策嘴國(guó) CSCS 本地策喀iQ公胡策略國(guó)硒軟件眼制裝喀十曷唉全策略，在本閽支件 8 接作出查看玷助應(yīng)囹回四策略默認(rèn)設(shè)置安全設(shè)置帳戶(hù)鎖定時(shí)間未定義30 分鐘帳戶(hù)鎖定閾值05 次無(wú)效登錄復(fù)位帳戶(hù)鎖定計(jì)數(shù)器未定義30 分鐘之后帳號(hào)鎖定配置具體操作如下圖：進(jìn)入“控制面板/性能和維護(hù)/管理工具/本地安全策略”，在“帳戶(hù)策略-帳戶(hù)鎖定策略”2、系統(tǒng)內(nèi)置帳號(hào)管理要求WindowsX 隘統(tǒng)中存在不可刪除的內(nèi)置帳號(hào)，包括 Admi

30、nistrator 和 guest。對(duì)于管理員帳號(hào)，要求更改缺省帳戶(hù)名稱(chēng)，并對(duì)隸屬于 Administrators 組的帳號(hào)要嚴(yán)格監(jiān)控；要求禁用 guest（來(lái)賓）帳號(hào)，以防止攻擊者通過(guò)利用已知的用戶(hù)名破壞遠(yuǎn)程服務(wù)器。3、其它帳號(hào)管理要求臨時(shí)的測(cè)試帳號(hào)和過(guò)期的無(wú)用帳號(hào)應(yīng)該在 3 個(gè)工作日內(nèi)及時(shí)刪除。（注：測(cè)試帳號(hào)和無(wú)用帳號(hào)不是系統(tǒng)默認(rèn)安裝時(shí)生成的，是系統(tǒng)操作過(guò)程中人為新增的帳號(hào)，應(yīng)該及時(shí)刪除。）服務(wù)和端口配置標(biāo)準(zhǔn)服務(wù)管理配置要求WindowsX 做省安裝會(huì)創(chuàng)建很多默認(rèn)服務(wù)并配置為在系統(tǒng)啟動(dòng)時(shí)運(yùn)行。實(shí)際運(yùn)行環(huán)境中并不需要運(yùn)行所有服務(wù)，而任何多余的服務(wù)都是潛在的受攻擊點(diǎn)，因此要求禁用不必要的服務(wù)。

31、下表列出的服務(wù)是 WindowsX 隘統(tǒng)提供基本管理功能所必需的，請(qǐng)根據(jù)系統(tǒng)的應(yīng)用的情況禁用下表中沒(méi)有提到的服務(wù)：服務(wù)啟動(dòng)服務(wù)功能實(shí)現(xiàn)AutomaticUpdates自動(dòng)允許下載并女裝 Windows 更新COM+事件服務(wù)手動(dòng)允許組件服務(wù)的管理DHCP 客戶(hù)端自動(dòng)通過(guò)注冊(cè)和更新 IP 地址和 DNSM 名來(lái)營(yíng)埋網(wǎng)絡(luò)配置DistributedLinkTrackingClient 分布式鏈接跟蹤客戶(hù)端自動(dòng)用來(lái)維護(hù) NTFS 卷上的鏈接DNS 客戶(hù)端自動(dòng)允許解析 DNS 名稱(chēng)EventLog 事件日志自動(dòng)允許在事件日志中查看事件日志消息邏輯磁盤(pán)管理器自動(dòng)需要它來(lái)確保動(dòng)態(tài)磁盤(pán)信息保持最新邏輯磁盤(pán)管理器

32、管理服務(wù)手動(dòng)需要它以執(zhí)行磁盤(pán)管理Netlogon自動(dòng)加入域時(shí)所需網(wǎng)絡(luò)連接手動(dòng)網(wǎng)絡(luò)通訊所需性能日志和警報(bào)手動(dòng)收集計(jì)算機(jī)的性能數(shù)據(jù)，向日志中寫(xiě)入或觸發(fā)警報(bào)即插即用自動(dòng)WindowsXP 標(biāo)識(shí)和使用系統(tǒng)硬件時(shí)所需受保護(hù)的存儲(chǔ)?自動(dòng)需要用它保護(hù)敏感數(shù)據(jù)，如私鑰遠(yuǎn)程過(guò)程調(diào)用（RPC）自動(dòng)WindowsXP 中的內(nèi)部過(guò)程所需安全帳戶(hù)管理器自動(dòng)存儲(chǔ)本地安全帳戶(hù)的帳戶(hù)息系統(tǒng)事件通知自動(dòng)在事件日志中記錄條目所需TCP/IPNetBIOSHelper 服務(wù)自動(dòng)在組策略中進(jìn)行軟件分發(fā)所需（可分發(fā)修補(bǔ)程序）WindowsAudio自動(dòng)基于 Windows 的程序的音頻設(shè)備WindowsFirewall自動(dòng)提供防火墻保

33、護(hù)Windows 管理規(guī)范驅(qū)動(dòng)程序手動(dòng)使用“性能日志和警報(bào)”實(shí)現(xiàn)性能警報(bào)時(shí)所需Windows 時(shí)間服務(wù)自動(dòng)需要它來(lái)保證 Kerberos 身份驗(yàn)證后,致的功能工作站自動(dòng)加入域時(shí)所需具體設(shè)置方法為：進(jìn)入“控制面板/管理工具/服務(wù)“完成上表提及的各個(gè)“安全選項(xiàng)”的調(diào)整。率A A系科國(guó)總 出 為 理巡防見(jiàn)陶6 6品 F 電*看工也車(chē)好 H電 系 如 軍糧 不 妁 軍地 右 加 本地 市 斷 內(nèi)出工與S SIEIE伴加選擇 T甘未疊著記的溫述，宅群毛itit狀態(tài)是煙糕！鬟 M 內(nèi)立件四喻照看LitfcjLitfcjI II I第柞手百君中杷明即而國(guó)喊號(hào)國(guó) 1 1H由項(xiàng)JF川醇沌率動(dòng)動(dòng)就A:耳力而刃茴茍

34、干手手巴手手手由于手手手二手手手手手工.迎IJtmilinIJtmilin 0L.0L.Hicrcsoft.Hicrcsoft.蟲(chóng)訃*口匕LNLN加砧史UIUIS.S.電JIJIU-U-皿酗廝虐電解？】工“逋Ld.Ld.為L(zhǎng)ti-u-n.Lti-u-n.埸1 1郵h h”釬N*N*翰片7 7MTMTA ATreviTrevi4 4M M電pClpCl! !逮正日用ft,唯jCLjCL引SySy式uniAp.uniAp.虧押基干UiUistrstrL Lb-mte1b-mte1L LL L. .主計(jì)其機(jī).電jUijUi= =trtrEtcdLtrEtcdLtr.打調(diào)因手加 弱 碗相 打 場(chǎng)咽 舌

35、 于地 城 每不 也 壬斷 對(duì) 席眼等DKCli*nt為比i i增E E娶MlMl反電FndHxA AM M及港汽，1 1K呼-TM 曄厚% %|H.L;pmJ|H.L;pmJS Snpjnpjsxrsxri i臼用在此笛HJif陽(yáng)艮三任IffAFICB-BCB-BTELTILTELTIL. .月DiDi勺磔slTr十力1MGESFESFPhftr.r*Phftr.r*4.4.2 端口配置要求為防止攻擊者通過(guò)小端口瀏覽到指定網(wǎng)段內(nèi)的工作站中全部共享信息、對(duì)共享文件進(jìn)行編輯、刪除操作等，應(yīng)該關(guān)閉不需要的小端口，關(guān)閉方法如下:1、139 端口139 端口是 NetBIOSSession 端口，用來(lái)

36、文件和打印共享。按照如下方法關(guān)閉:關(guān)閉 139 端口，在“網(wǎng)絡(luò)和撥號(hào)連接”中“本地連接”中選取“Internet 協(xié)議(TCP/IP)”屬性，進(jìn)入“高級(jí) TCP/IP 設(shè)置”“WIN 殷置”里選擇“禁用 TCP/IP 的 NETBIOS2、445 端口關(guān)閉 445 端口，修改注冊(cè)表，添加一個(gè)鍵值HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParametersSMBDeviceEnabled=dword:00000000。注：若打印機(jī)配置必須開(kāi)啟以上端口，可暫不關(guān)閉。4.5 安全選項(xiàng)配置標(biāo)準(zhǔn)請(qǐng)按照下表中的要求設(shè)置 WindowsXP

37、 系統(tǒng)中的安全選項(xiàng):安全選項(xiàng)安全設(shè)置帳戶(hù)：使用空白密碼的本地帳戶(hù)只允許進(jìn)行控制臺(tái)登錄已啟用帳戶(hù)：重命名系統(tǒng)管理員帳戶(hù)重命名帳戶(hù)：重命名來(lái)賓帳戶(hù)重命名設(shè)備：允許不登錄移除已禁用設(shè)備：允許格式化和彈出可移動(dòng)媒體Administrators設(shè)備：防止用戶(hù)安裝打印機(jī)驅(qū)動(dòng)程序已禁用設(shè)備：只有本地登錄的用戶(hù)才能訪(fǎng)問(wèn) CD-ROM已啟用設(shè)備：只有本地登錄的用戶(hù)才能訪(fǎng)問(wèn)軟盤(pán)已啟用設(shè)備：未簽名驅(qū)動(dòng)程序的安裝操作允許安裝但發(fā)出警告交互式登錄：不顯不上次的用戶(hù)名已啟用交互式登錄：不需要按 CTRL+ALT+DEL已禁用交互式登錄：用戶(hù)試圖登錄時(shí)消息文字此系統(tǒng)限制為僅授權(quán)用戶(hù)。 嘗試進(jìn)行未經(jīng)授權(quán)訪(fǎng)問(wèn)的個(gè)人將受到起訴。

38、交互式登錄：可被緩存的前次登錄個(gè)數(shù)（在域控制器不可用的情況下）1交互式登錄：在密碼到期前提示用戶(hù)更改密碼14 天Microsoft 網(wǎng)絡(luò)客戶(hù)：發(fā)送未加密的密碼到第 FSMB 服務(wù)器已禁用Microsoft 網(wǎng)絡(luò)服務(wù)器：在掛起會(huì)話(huà)之前所需的空閑時(shí)間15 分鐘Microsoft 網(wǎng)絡(luò)服務(wù)器：數(shù)字簽名的通信（若客戶(hù)同意）已啟用Microsoft 網(wǎng)絡(luò)服務(wù)器：當(dāng)?shù)卿洉r(shí)間用完時(shí)自動(dòng)注銷(xiāo)用戶(hù)已禁用網(wǎng)絡(luò)訪(fǎng)問(wèn)：允許匿名 SID/名稱(chēng)轉(zhuǎn)換已禁用網(wǎng)絡(luò)訪(fǎng)問(wèn)：不允許 SAM 帳戶(hù)和共享的匿名枚舉已啟用網(wǎng)絡(luò)訪(fǎng)問(wèn)：不允許為網(wǎng)絡(luò)身份驗(yàn)證儲(chǔ)存憑據(jù)或.NETPassports已啟用網(wǎng)絡(luò)訪(fǎng)問(wèn)：限制匿名訪(fǎng)問(wèn)命名管道和共享已啟用網(wǎng)絡(luò)

39、訪(fǎng)問(wèn)：本地帳戶(hù)的共享和安全模式經(jīng)典-本地用戶(hù)以自己的身份驗(yàn)證網(wǎng)絡(luò)訪(fǎng)問(wèn)：可遠(yuǎn)程訪(fǎng)問(wèn)的注冊(cè)表路徑空網(wǎng)絡(luò)女全:不要在下次更改號(hào)碼時(shí)存儲(chǔ) LANManager 的哈希值已啟用網(wǎng)絡(luò)安全：在超過(guò)登錄時(shí)間后強(qiáng)制注銷(xiāo)已禁用網(wǎng)絡(luò)安全：基于 NTLMSSP（包括安全 RPC）客戶(hù)的最小會(huì)話(huà)安全要求 NTLMv2會(huì)話(huà)安全要求128-位加密美機(jī)：允許在未登錄前美機(jī)已禁用關(guān)機(jī)：清理虛擬內(nèi)存貝的文件已啟用具體設(shè)置方法為：進(jìn)入“控制面板/性能和維護(hù)/管理工具/本地安全策略“，在“本地策略-安全選項(xiàng)”中完成上表提及的各個(gè)“安全選項(xiàng)”的調(diào)整。幫助 H HHiI2心安至設(shè)置- -_3_3 帳尸策略s s（3 3密碼第喀方帳尸鎖定

40、策略-酉本地策略+以審核策略+通用尸權(quán)利指派_安全選項(xiàng)+ +LJLJ 公朝策略卡軟件限制策略.4.4mIP安全策略，荏本地日員員.堿成成控轉(zhuǎn)控控虐尸戶(hù)戶(hù)尸尸域域域域域域域就幅帳帳幗幅:對(duì)安全通道數(shù)據(jù)進(jìn)行數(shù)字加密期 1 1 果可能）:對(duì)安全通道數(shù)據(jù)進(jìn)行數(shù)字加密或簽名皓是）;對(duì)安全通道數(shù)據(jù)進(jìn)行數(shù)字簽名由口果可帳戶(hù):重命名來(lái)賓帳戶(hù)litlit本地安全設(shè)置安全設(shè)京 X已啟用已啟用已啟用:bDUI I霸定取消應(yīng)用株尸：重命名來(lái)宸裸尸安全審計(jì)配置標(biāo)準(zhǔn)審核策略配置要求WindowsXP 系統(tǒng)的缺省配置是不開(kāi)任何安全審核，要求通過(guò)開(kāi)啟審核策略”，記錄以下操作：審核策略默認(rèn)配置安全設(shè)置審核登陸事件無(wú)審核成功，失

41、敗審核帳戶(hù)登陸事件無(wú)審核成功，失敗審核帳戶(hù)管理無(wú)審核成功，失敗審核系統(tǒng)事件無(wú)審核成功，失敗配置方法：通過(guò)“控制面板/管理工具/本地安全策略“，在“本地策略-審核策略”中打開(kāi)相應(yīng)的審核選項(xiàng)：日志屬性配置要求根據(jù)下表調(diào)整各種日志屬性:日志類(lèi)別安全設(shè)置應(yīng)用程序日志大小 10240K當(dāng)送到最大日志大小時(shí)改寫(xiě)久于 15 天的事件安全性日志大小10240K當(dāng)送到最大日志大小時(shí)改寫(xiě)久于 15 天的事件系統(tǒng)日志大小10240K當(dāng)送到最大日志大小時(shí)改寫(xiě)久于 15 天的事件配置方法:通過(guò)“控制面板/管理工具/事件查看器“，在“屬性”中進(jìn)行設(shè)置:臺(tái)花到最大的日志式小時(shí)去用ifilifil連揍/其它安全配置參考使用

42、NTFS 文件系統(tǒng)NTF 故件系統(tǒng)比 FA 而 FAT32 雖壯和穩(wěn)定，不易崩潰，WindowsX 喉供了基于 NTF 故件系統(tǒng)的對(duì)文件和目錄的訪(fǎng)問(wèn)控制列表（ACL）。建議所有的磁盤(pán)卷都使用 NTFSC 件系統(tǒng)。共享管理要求停用所有不必要的文件共享，特別注意系統(tǒng)默認(rèn)啟用的隱含系統(tǒng)共享，如 C$D$IPC$、admin$等。因工作需要臨時(shí)開(kāi)啟共享，使用完畢后應(yīng)及時(shí)關(guān)閉。1、關(guān)閉默認(rèn)共享的方法有兩種：2、在服務(wù)配置中禁用 Server 服務(wù);|丈件工）用 H 比方呼兩）如國(guó)國(guó)團(tuán)典闋江 1 1RIRI亨件麥百哥本地）應(yīng)用程序安全性/酰CrtdntulCrtdntulH H妞曳 *r*rJ JM MT

43、41T41工/plvir*rplvir*rHiHiarar E E t t 3 3 fkMotifkMoti茹詰/餐水名稱(chēng)：日:4W4W 荷心|：安全1t仁加皿達(dá)”1 1同值MMEedMMEed仃云而濱布小自K K./中41t41t也鉗：物糠大兒51?51?0 0ISISCSCS純. 6060宇芒）自！f f總：2DUJ2DUJ年JEJE居1111日星期五_R_R： ：5353傳廁間：如1 1母3 3月行日星岫四1T1T：舞二M M訪(fǎng)同耐芭：301301纖彳月5 5日星期四1 1總；靠EFEF十號(hào)就日忐文仲大小也.imo-*XJ后需委在京事件狂（，速葺久于色.不和略電* *FBFB幃二號(hào)寸衣色

44、值 q更改注冊(cè)表鍵值：在 HKLMSystemCurrentControlSetServicesLanmanServer下，增力口 REG_DWORD1 的 AutoShareServer 鍵，值為 0。禁用自動(dòng)播放功能在命令彳 T 運(yùn)行 gpedit.msc,進(jìn)入組策略管理器，在計(jì)算機(jī)配置-管理模板-系統(tǒng)，找到右邊的“關(guān)閉自動(dòng)播放”，將此條目啟用。禁止自動(dòng)播放功能可以防止 IB 病毒等通過(guò)自動(dòng)加載功能引入病毒。啟用屏幕保護(hù)設(shè)置帶密碼的屏幕保護(hù)，將時(shí)間設(shè)定為 5-10 分鐘，使得系統(tǒng)在無(wú)人操作 5-10 分鐘后自動(dòng)啟用屏幕保護(hù)，再次進(jìn)入系統(tǒng)需要認(rèn)證。系統(tǒng)啟動(dòng)自動(dòng)加載項(xiàng)在命令彳 T 運(yùn)行 msc

45、onfig.exe,進(jìn)入系統(tǒng)配置使用程序，對(duì)系統(tǒng)啟動(dòng)加載項(xiàng)目進(jìn)行檢查，將不必要的加載項(xiàng)清除。建議：首先確定每個(gè)加載項(xiàng)內(nèi)容的用途，比如下列加載：輸入法、系統(tǒng)驅(qū)動(dòng)、業(yè)務(wù)軟件、殺毒軟件等；對(duì)于不需要自動(dòng)啟動(dòng)的應(yīng)用項(xiàng)目予以清除。位系與配置實(shí)用程序一般|SYSTEM.IMI|WIN.IHI|BOOT.IMI服務(wù)啟動(dòng)總動(dòng)項(xiàng)目1管令I(lǐng)位置KIIMJPMIGy；WIlTDOVSIMEimjp8_.KKMSOFTtfAREMicrosotWirLdowsCurreJOTINTSETPC：UNDCWSVsystem32.I.HKIMSOFTWAREMicrosotWin.dowsCurrei0TINTSETPC:

46、1INDCWSsystem32I.KKDISOFTWAREHicrosoftWindowsCurrei(3AGRSMNSGAGRSMMSG.exeKKIMSOFTWAREMicrosoftWin.dowsCurrei0IMSCMIGC:VTROGRAlVCOMMOlTlH.KmiSOFTWAREMicrosotWin.dowSCurrei11avp“C：ProgramTilesXKasp.HKU1SOFTWAREMicrosoftWin.dowsCurreiHKIMSOFTWAREMicrosotWin.dowsCurrezRJSynTPLprC：TrogrjnFilesSynap.HKDIS

47、OFTWAREHicrosoftWindowsVCurrei0SynTPEnhC：TrogrjnFilesVSynap.KKIMSOFTWAREMicrosoftWiRdowsCurreiPlLin&oes“C：Progra/ii?ilesLing.KKLMSOFTWABEMicrosoftWiRdowsCurrw11ctfmonC:UND0WS.system32ict.HKCUSOFTWAREMicrosoftWin.dowsCurrei帳戶(hù)鎖定策略”2、系統(tǒng)內(nèi)置帳號(hào)管理要求Windows7 系統(tǒng)中存在不可刪除的內(nèi)置帳號(hào)，包括 Administrator 和 guest。對(duì)于管理員帳

48、號(hào)，要求更改缺省帳戶(hù)名稱(chēng)，并對(duì)隸屬于 Administrators 組的帳號(hào)要嚴(yán)格監(jiān)控；要求禁用 guest（來(lái)賓）帳號(hào)，以防止攻擊者通過(guò)利用已知的用戶(hù)名破壞遠(yuǎn)程服務(wù)器。3、其它帳號(hào)管理要求臨時(shí)的測(cè)試帳號(hào)和過(guò)期的無(wú)用帳號(hào)應(yīng)該在 3 個(gè)工作日內(nèi)及時(shí)刪除。（注：測(cè)試帳號(hào)和無(wú)用帳號(hào)不是系統(tǒng)默認(rèn)安裝時(shí)生成的，是系統(tǒng)操作過(guò)程中人為新增的帳號(hào)，應(yīng)該及時(shí)刪除。）服務(wù)和端口配置標(biāo)準(zhǔn)服務(wù)管理配置要求Windows7 缺省安裝會(huì)創(chuàng)建很多默認(rèn)服務(wù)并配置為在系統(tǒng)啟動(dòng)時(shí)運(yùn)行。實(shí)際運(yùn)行環(huán)境中并不需要運(yùn)行所有服務(wù)，而任何多余的服務(wù)都是潛在的受攻擊點(diǎn)，因此要求禁用不必要的服務(wù)。下表列出的服務(wù)是 Windows7 系統(tǒng)提供基本

49、管理功能所必需的，請(qǐng)根據(jù)系統(tǒng)的應(yīng)用的情況禁用下表中沒(méi)有提到的服務(wù):服務(wù)啟動(dòng)服務(wù)功能實(shí)現(xiàn)AutomaticUpdates自動(dòng)允許下載并女裝 Windows 更新BaseFilteringEngine自動(dòng)一種管理防火墻和 IPSEC 策略的服務(wù)COM+事件服務(wù)手動(dòng)允許組件服務(wù)的管理DHCP 客戶(hù)端自動(dòng)通過(guò)注冊(cè)和更新 IP 地址和 DNSM 名來(lái)營(yíng)埋網(wǎng)絡(luò)配置DistributedLinkTrackingClient 分布式鏈接跟蹤客戶(hù)端自動(dòng)用來(lái)維護(hù) NTFS 卷上的鏈接DNS 客戶(hù)端自動(dòng)允許解析 DNS 名稱(chēng)EventLog 事件日志自動(dòng)允許在事件日志中查看事件日志消息GroupPolicyClie

50、nt自動(dòng)提供計(jì)算機(jī)組策略設(shè)置服務(wù)邏輯磁盤(pán)管理器自動(dòng)需要它來(lái)確保動(dòng)態(tài)磁盤(pán)信息保持最新邏輯磁盤(pán)管理器管理服務(wù)手動(dòng)需要它以執(zhí)行磁盤(pán)管理Netlogon自動(dòng)加入域時(shí)所需網(wǎng)絡(luò)連接手動(dòng)網(wǎng)絡(luò)通訊所需NetworkStoreInterfaceService自動(dòng)向用戶(hù)模式客戶(hù)端發(fā)送網(wǎng)絡(luò)通知性能日志和警報(bào)手動(dòng)收集計(jì)算機(jī)的性能數(shù)據(jù)，向日志中寫(xiě)入或觸發(fā)警報(bào)即插即用自動(dòng)Windows7 標(biāo)識(shí)和使用系統(tǒng)硬件時(shí)所需受保護(hù)的存儲(chǔ)?自動(dòng)需要用它保護(hù)敏感數(shù)據(jù)，如私鑰遠(yuǎn)程過(guò)程調(diào)用（RPC）自動(dòng)Windows7 中的內(nèi)部過(guò)程所需RPCEndpointMapper自動(dòng)解析 RPCg 口標(biāo)識(shí)符以傳輸端點(diǎn)安全帳戶(hù)管理器自動(dòng)存儲(chǔ)本地安全帳戶(hù)

51、的帳戶(hù)息系統(tǒng)事件通知自動(dòng)在事件日志中記錄條目所需TCP/IPNetBIOSHelper 服務(wù)自動(dòng)在組策略中進(jìn)行軟件分發(fā)所需（可分發(fā)修補(bǔ)程序）UserProfileService自動(dòng)負(fù)責(zé)加載和卸載用戶(hù)配置文件WindowsAudio自動(dòng)基于 Windows 的程序的音頻設(shè)備WindowsAudioEndpointBuilder自動(dòng)管理 Windows 音頻服務(wù)的音頻設(shè)備WindowsFirewall自動(dòng)提供防火墻保護(hù)Windows 管理規(guī)范驅(qū)動(dòng)程序手動(dòng)使用“性能日志和警報(bào)”實(shí)現(xiàn)性能警報(bào)時(shí)所需Windows 時(shí)間服務(wù)自動(dòng)需要它來(lái)保證 Kerberos 身份驗(yàn)證后一致的功能工作站自動(dòng)加入域時(shí)所需具體

52、設(shè)置方法為：進(jìn)入“控制面板/系統(tǒng)和安全/管理工具/服務(wù)“完成上表提及的各個(gè)“安全選項(xiàng)”的調(diào)整。端口配置要求為防止攻擊者通過(guò)小端口瀏覽到指定網(wǎng)段內(nèi)的工作站中全部共享信息、對(duì)共享文件進(jìn)行編輯、刪除操作等，應(yīng)該關(guān)閉不需要的小端口，關(guān)閉方法如下：1、139 端口139 端口是 NetBIOSSession 端口，用來(lái)文件和打印共享。按照如下方法關(guān)閉：關(guān)閉 139 端口，在“網(wǎng)絡(luò)和撥號(hào)連接”中“本地連接”中選取“Internet 協(xié)議(TCP/IP)”屬性，進(jìn)入“高級(jí) TCP/IP 設(shè)置”“WIN 殷置”里選擇“禁用 TCP/IP 的 NETBIOS。2、445 端口關(guān)閉 445 端口，修改注冊(cè)表，添加

53、一個(gè)鍵值HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParametersSMBDeviceEnabled=dword:00000000。注：若打印機(jī)配置必須開(kāi)啟以上端口，可暫不關(guān)閉。安全選項(xiàng)配置標(biāo)準(zhǔn)請(qǐng)按照下表中的要求設(shè)置 Windows7 系統(tǒng)中的安全選項(xiàng):安全選項(xiàng)安全設(shè)置帳戶(hù)：使用空密碼的本地帳戶(hù)只允許進(jìn)行控制臺(tái)登錄已啟用帳戶(hù)：重命名系統(tǒng)管理員帳戶(hù)重命名帳戶(hù)：重命名來(lái)賓帳戶(hù)重命名設(shè)備：允許在未登錄的情況下彈出已禁用設(shè)備：允許對(duì)可移動(dòng)媒體進(jìn)行格式化并彈出設(shè)備：防止用戶(hù)安裝打印機(jī)驅(qū)動(dòng)程序Administrators已禁用設(shè)備：將 CD-ROM 勺訪(fǎng)問(wèn)權(quán)限僅限于本地登錄的用戶(hù)已啟用設(shè)備：將軟盤(pán)驅(qū)動(dòng)器的訪(fǎng)問(wèn)權(quán)限僅限于本地登錄的用戶(hù)已啟用交互式登錄：不顯示最后的用戶(hù)名已啟用交互式登錄：無(wú)需按 CTRL+ALT+DEL已禁用交互式登錄：之前登錄到緩存的次數(shù)（域控制器不可用時(shí)）1交互式登錄：提示用戶(hù)在過(guò)期之前更改密碼14 天Microsoft 網(wǎng)絡(luò)客戶(hù)端：將未加密的密碼發(fā)送到第二方SMB 服務(wù)器。已禁用Microsoft 網(wǎng)絡(luò)服務(wù)器：暫停會(huì)話(huà)前所需的空閑時(shí)間數(shù)量15 分鐘Microsoft 網(wǎng)絡(luò)服務(wù)器：對(duì)通信進(jìn)行數(shù)字簽名（始終）已啟用Microsoft