最全的Windows基線配置

序號檢查項類型檢查項名稱配置項描述檢查方法操作步驟操作風險1賬號管理與授權(quán)【基本】刪除或鎖定可能無用的賬戶刪除或鎖定無用的賬戶，定期清埋無用賬戶，防止過期用戶非法登錄操作系統(tǒng)。進入”控制面板->管理工具->計算機管理->系統(tǒng)工具->本地用戶和組"；審核不必要的用戶和組，審核賬戶隸屬的組權(quán)限，審核組用戶根據(jù)系統(tǒng)的要求和實際業(yè)務(wù)情況，設(shè)定不同的賬戶和賬戶組，如管理員用戶、數(shù)據(jù)庫用戶、審計用戶、來賓用戶等。刪除或鎖定與設(shè)備運行、維護等工作無關(guān)的賬戶需要確認賬戶用途2【基本】按照用戶角色分配不同權(quán)限的帳號按照用戶角色分配不l司權(quán)限的帳號，保證用戶權(quán)限最小化進入”控制面板->管理工具->計算機管理->系統(tǒng)工具->本地用戶和組"；審核不必要的用戶和組，審核賬戶隸屬的組權(quán)限，審核組用戶根據(jù)系統(tǒng)的要求和實際業(yè)務(wù)情況，設(shè)定不同的賬戶和賬戶組，如管理員用戶、數(shù)據(jù)庫用戶、審計用戶、來賓用戶等。需要確認賬戶用途，確定用戶權(quán)限。3【基本】口令設(shè)置安全策略口令策略設(shè)置相關(guān)設(shè)置進入”控制面板->管理工具->本地安全策略"，在”賬戶策略：中；檢查是否符合操作步驟中提到的各種將不符合檢查內(nèi)容項進行加固，安全標準配置如下：密碼策略：低

標準。密碼必須符合復(fù)雜度要求已啟用密碼長度最小值8個字符密碼最短使用期限1天密碼最長使用期限90天強制密碼歷史5個記住的密碼用可還原的加密來儲存密碼已禁用賬戶鎖定策略：賬戶鎖定時間5分鐘賬戶鎖定閾值6次無效登錄重置賬戶鎖定計時器5分鐘不使用系統(tǒng)默認用戶名administrator,guest等默認賬戶使用默認用戶名，當攻擊者發(fā)起窮進入”控制面板->管理工具->計算機管理->系統(tǒng)工具->本地用戶和組"；檢查administrator,guest是否存administrator,guest重命名?？赡軐?dǎo)致某些自動登錄的服舉攻擊時，使用默認用戶名，會大大降低攻擊者的攻擊難度。在。遠端系統(tǒng)強制關(guān)機設(shè)置將從遠端系統(tǒng)強制關(guān)機僅指派給administrator組，避免普通用戶擁有額外的系統(tǒng)控制權(quán)限。進入”控制面板->管理工具->本地安全策略"，在”本地策略->用戶權(quán)限分配：中；檢查”從遠程系統(tǒng)強制關(guān)機"設(shè)置。設(shè)置”從遠程系統(tǒng)強制關(guān)機"刪除除administrator以外其他項。關(guān)閉系統(tǒng)的權(quán)限設(shè)置將關(guān)閉系統(tǒng)僅指派給administrator組，避免普通用戶擁有額外的系統(tǒng)控制權(quán)限。進入”控制面板->管理工具->本地安全策略"，在”本地策略->用戶權(quán)限分配：中；檢查”關(guān)閉系統(tǒng)"設(shè)置。設(shè)置”關(guān)閉系統(tǒng)"刪除除administrator以外其他項。務(wù)異常?？赡軐?dǎo)致某些系統(tǒng)功能異?；驊?yīng)用費正常運行?？赡軐?dǎo)致某些系統(tǒng)功能異常或應(yīng)用費正常運行。將從本土地登錄設(shè)置為指定授權(quán)用戶將從本土地登錄設(shè)置為指定授權(quán)用戶，將登錄權(quán)限賦予指定用戶。進入”控制面板->管理工具->本地安全策略"，在”本地策略->用戶權(quán)限分配：中；檢查”允許本土地登錄"設(shè)置。設(shè)置"允許本地登錄”只保留授權(quán)用戶，刪除其他項?？赡軐?dǎo)致某些系統(tǒng)功能異常或應(yīng)用費正常運行。將從網(wǎng)路訪問設(shè)置為指定授權(quán)用戶將從網(wǎng)絡(luò)訪問設(shè)置為指定授權(quán)用戶。進入”控制面板->管理工具->本地安全策略"，在”本地策略->用戶權(quán)限分配：中；檢查”從網(wǎng)絡(luò)訪問此計算機"設(shè)置。設(shè)置"從網(wǎng)絡(luò)訪問此計算機”只保留授權(quán)用戶，刪除其他項。可能導(dǎo)致某些系統(tǒng)功能異?；驊?yīng)用費正常運行。日志配置要求【基本】審核策略設(shè)置中成功失敗都要審核記錄系統(tǒng)的所有審核信息，審核策略設(shè)置中成功失敗都要審核。進入”控制面板->管理工具->本地安全策略”，在”本地策略->審核策略：中；將不符合檢查內(nèi)容項進行加固，安全標準配置如下：審核策略更改：成功，失敗開啟無用的審核可能降低系10檢查是否符合操作步驟中提到的各項標準。審核登錄事件：成功，失敗審核對象訪問：成功，失敗審核過程追蹤：失敗審核目錄服務(wù)訪問：成功，失敗審核特權(quán)使用：成功，失敗審核系統(tǒng)事件：成功，失敗審核賬號登錄事件：成功，失敗審核賬號管理：成功，失敗其他設(shè)置無要求。統(tǒng)性能并占用一定磁盤空間【基本】設(shè)置日志查看器大小將應(yīng)用、系統(tǒng)、安全日志查看器大小設(shè)置為至少20180KB。進入"控制面板->管理工具->事件查看器”，在"事件查看器（本地）”中.（在應(yīng)用程序日志、安全日志和系統(tǒng)日志上點右鍵，看屬性中的日志將不符合檢查內(nèi)容項進行加固，安全標準配置如下：應(yīng)用日志的容量為20480KB安全日志的容量為20480KB風險較低1112大小上線設(shè)置，單位為KB)系統(tǒng)日志的容量為20480KB設(shè)置當達到最大的日志大小時，"安需要覆蓋事件”。并且用戶有流程定期轉(zhuǎn)存日志。高級安全審核-賬戶登錄高級安全審核策略-賬號登錄打開"運行"輸入gpedit.msc，在"本地組策略編輯器->計算機配置->Windows設(shè)置->安全設(shè)置->高級安全審核策略配置->本地組策略對象->賬號登錄"中；檢查是否符合操作步驟中提到的各種標準。將不符合檢查內(nèi)容項進行加固，安全標準配置如下：審核憑據(jù)驗證成功和失敗低高級安全審核-DS訪問高級安全審核策略-DS訪問打開"運行"輸入gpedit.msc，在"本地組策略編輯器->計算機配置將不符合檢查內(nèi)容項進行加固，安全標準配置如下：低->Windows設(shè)置->安全設(shè)置->i高級安全審核策略配置->本地組策略對象->DS訪問"中；檢查是否符合操作步驟中提到的各種標準。審核目錄服務(wù)訪問成功和失敗審核目錄服務(wù)更改成功失敗安全選項配置Microsoft網(wǎng)絡(luò)服務(wù)器安全選項-Microsoft網(wǎng)路服務(wù)器打開"開始-控制面板-管理工具”在"本地安全策略-本地策略-安全選項-Microsoft網(wǎng)絡(luò)服務(wù)器”中檢查是否符合操作步驟中提到的各種標準。將不符合檢查內(nèi)容項進行加固，安全標準配置如下：登錄時間過期后斷開與客戶端的連接已啟用；暫?；卦捛八璧目臻g時間數(shù)量15分鐘；中關(guān)機安全選項-關(guān)機打開"開始-控制面板-管理工具”在"本地安全策略-本地策略-安全選項將不符合檢查內(nèi)容項進行加固，安全標準配置如下：中13141516-關(guān)機”中檢查是否符合操作步驟中提到的各種標準。清除虛擬內(nèi)存頁面文件已禁用允許系統(tǒng)在未登錄的情況下關(guān)閉已禁用恢復(fù)控制臺安全選項-恢復(fù)控制臺打開"開始-控制面板-管理工具”在"本地安全策略-本地策略-安全選項-恢復(fù)控制臺”中檢查是否符合操作步驟中提到的各種標準。將不符合檢查內(nèi)容項進行加固，安全標準配置如下：允許自動管理登錄已禁用中父互式登錄安全選項-交互式登錄打開"開始-控制面板-管理工具”在"本地安全策略-本地策略-安全選項-交互式登錄中檢查是否符合操作步驟中提到的各種將不符合檢查內(nèi)容項進行加固，安全標準配置如下：不顯示最后的用戶名已啟用提示用戶在過期之前更改密碼中17標準。30天無需按Ctrl+Alt+del已禁用至曲鈕臺巨七|_|法出需要智能LI、已禁、用之前登錄到緩存的次數(shù)（域控制器不可用時）0次智能卡移除操作鎖定工作站設(shè)備安全選項-設(shè)備打開"開始-控制面板-管理工具”在"本地安全策略-本地策略-安全選項-設(shè)備”中檢查是否符合操作步驟中提到的各種標準。將不符合檢查內(nèi)容項進行加固，安全標準配置如下：防止用戶安裝打印機驅(qū)動程序已啟用將CD-ROM的訪問權(quán)限僅限于本地登錄的用戶已啟用將軟盤驅(qū)動程序的訪問權(quán)限僅限于本中1819地登錄的用戶已啟用；允許對可移媒體進行格式化并彈出administrators審核安全選項-審核打開"開始-控制面板-管理工具”在"本地安全策略-本地策略-安全選項-審核”中檢查是否符合操作步驟中提到的各種標準。將不符合檢查內(nèi)容項進行加固，安全標準配置如下：強制審核策略子類別設(shè)置（WindowsVista或更高版本厝代審核策略類別設(shè)置已啟用如果無法記錄安全審核則立即關(guān)閉系統(tǒng)已禁用中網(wǎng)絡(luò)安全安全選項-網(wǎng)絡(luò)安全打開"開始-控制面板-管理工具”在"本地安全策略-本地策略-安全選項-網(wǎng)絡(luò)安全”中將不符合檢查內(nèi)容項進行加固，安全標準配置如下：LAN管理器身份驗證級別僅中將不符合檢查內(nèi)容項進行加固，安全標準如下：本地賬戶的共享和安全模式經(jīng)典；打開"開始-控制面板-管理工具”在不允許SAM賬戶的匿名枚舉已20網(wǎng)路訪問安全選項-網(wǎng)絡(luò)訪問"本地安全策略-本地策略-安全選項-網(wǎng)絡(luò)訪問”中檢查是否符合操作步驟中提到的各種標準。啟用；不允許SAM賬戶和共享的匿名枚舉20網(wǎng)路訪問安全選項-網(wǎng)絡(luò)訪問"本地安全策略-本地策略-安全選項-網(wǎng)絡(luò)訪問”中檢查是否符合操作步驟中提到的各種標準。啟用；不允許SAM賬戶和共享的匿名枚舉已啟用不允許存儲網(wǎng)絡(luò)省份驗證的密碼和憑據(jù)已啟用；將everyone權(quán)限應(yīng)用于匿名用戶已禁用可匿名訪問的共享無定義21可匿名訪問的命名管理無定義可遠程訪問的注冊表路徑無定義可遠程訪問的注冊表路徑和子路無限制對命名管理和共享的匿名訪問已啟用允許匿名SID/名稱轉(zhuǎn)換已禁用系統(tǒng)對象安全選項-系統(tǒng)對象打開"開始-控制面板-管理工具”在"本地安全策略-本地策略-安全選項-系統(tǒng)對象”中將不符合檢查內(nèi)容項進行加固，安全標準如下：非Windows子系統(tǒng)不要區(qū)分大小寫中檢查是否符合操作步驟中提到的各種標準。已啟用加強內(nèi)部系統(tǒng)對象的默認權(quán)限（例如，符合鏈接）已啟用222324系統(tǒng)加密安全選項-系統(tǒng)加密打開"開始-控制面板-管理工具”在"本地安全策略-本地策略-安全選項-系統(tǒng)加密”中檢查是否符合操作步驟中提到的各種標準。將不符合檢查內(nèi)容項進行加固，安全標準如下：為計算機上存儲的用戶密鑰強制使用強密鑰保護用戶每次使用密鑰時必須鍵入密碼。中系統(tǒng)設(shè)置安全選項-系統(tǒng)設(shè)置打開"開始-控制面板-管理工具”在"本地安全策略-本地策略-安全選項-系統(tǒng)設(shè)置”中檢查是否符合操作步驟中提到的各種標準。將不符合檢查內(nèi)容項進行加固，安全標準可選子系統(tǒng)無；中用戶賬戶控制安全選項-用戶賬戶控制打開"開始-控制面板-管理工具”在"本地安全策略-本地策略-安全選項-用戶賬戶控制”中將不符合檢查內(nèi)容項進行加固，安全標準標準用戶的提升提示行為自動拒絕提升請求；中

式已啟用賬戶安全選項-賬戶打開"開始-控制面板-管理工具”在"本地安全策略-本地策略-安全選項-賬戶”中檢查是否符合操作步驟中提到的各種標準。將不符合檢查內(nèi)容項進行加固，安全標準配置如下：來賓賬戶狀態(tài)已禁用使用空白密碼的本地賬戶只允許進行控制臺登錄已啟用；重命名來賓賬戶不包含"guets”字段；中服務(wù)配置要求【基本】啟用NTP服務(wù)啟用NTP服務(wù)，配置統(tǒng)一服務(wù)器時鐘，應(yīng)開啟NTP服務(wù)向網(wǎng)絡(luò)內(nèi)指定的NTPserver同步時鐘。對于已加入域的服務(wù)器，系統(tǒng)將自動與與控制服務(wù)器同步時鐘；對于未加入域的服務(wù)器，需按一下步驟配置。點擊桌面右下角時鐘欄，開啟"更改日期和時鐘設(shè)置”-"Internet時間”開啟”自動與Internet時間服務(wù)器同步”選型。在服務(wù)器欄中填寫NTPserver的IP地址,然后點擊”立即更需要時間源，中風險,系統(tǒng)時間更改2526272829新"【基本】關(guān)閉不必要的服務(wù)列出所需要服務(wù)的列表（包括所需要的系統(tǒng)服務(wù)），不在此列表的服務(wù)需關(guān)閉進入"控制面板->管理工具->計算機管理”，進入"服務(wù)和應(yīng)用程序”查看所有服務(wù)，不在此列表的服務(wù)關(guān)閉。關(guān)閉不需要的服務(wù)關(guān)閉或者停止某些服務(wù)可能導(dǎo)致應(yīng)用運行異常【基本】關(guān)閉不必要的啟動項關(guān)閉不必要的啟動項，優(yōu)化系統(tǒng)資源，同時減少引入不必要的系統(tǒng)漏洞"開始-運行-Msconfig”啟動菜單中檢查啟動項關(guān)閉不必要的啟動項需要確認啟動項是否必須啟動【基礎(chǔ)】關(guān)閉自動播放功能關(guān)閉自動播放功能，避免執(zhí)行未經(jīng)掃描或確認的文件，從而引入木馬點擊?開始-運行-輸入gpedit.msc，打開組策略編輯器，管理模板-系統(tǒng)檢查"關(guān)閉自動播放"項設(shè)置設(shè)置"關(guān)閉自動播放”已啟用風險較低303132或病毒【基本】審核HOST文件的可疑條目刪除HOST文件下的可疑條目查看是否符合操作中提到的標準，檢查C:\Windows\system\drivers\etc目錄下的用于靜態(tài)DNS解析的HOST文件內(nèi)容是否正常將不符合評估內(nèi)容項進行加固，確保C:\windows\system32\drivers\etc目錄下的用于靜態(tài)DNS解析的HOSTS文件內(nèi)容正常，對于未知條目可以與管理員追查與系統(tǒng)管理員確認后可執(zhí)行加固關(guān)閉遠程注冊表關(guān)閉遠程注冊表，防止用戶遠程修改或查看系統(tǒng)注冊表進入"控制面板-管理工具-計算機管理"，進入”服務(wù)和應(yīng)用程序"；檢查”remoteregistry“設(shè)置"remoteregistry”已停用某些應(yīng)用可能需要次功能【基本】安裝防病毒軟件安裝防病毒軟件和防病毒軟件并及時升級檢查殺毒軟件的安裝和升級情況安裝殺毒軟件并升級到最新版本需要重啟并可能誤刪正常的系統(tǒng)或應(yīng)其他配置要333435用文件【基本】servicepack補丁更新servicepack補丁及時更新，將為攻擊者提供入侵漏洞檢查servicepack補丁版本安裝最新servicepack補丁包需要重啟且未經(jīng)測試的補丁可能導(dǎo)致應(yīng)用運行異常設(shè)置帶密碼的屏幕保護設(shè)置帶密碼的屏幕保護，并將時間設(shè)定為5分鐘，防止合法用戶未及時推出登錄，造成數(shù)據(jù)泄露進入"控制面板-顯示-屏幕保護程序”；查看是否符合操作中提到的標準將不符合評估內(nèi)容