Windows 7安全配置基線檢查指導文件

Windows7操作系統(tǒng)安全配置基線第27頁共27頁Windows7操作系統(tǒng)安全配置基線

目錄第1章 概述 41.1 目的 41.2 適用范圍 41.3 適用版本 41.4 安全基線說明 4第2章 帳戶管理、認證授權(quán) 42.1 帳戶管理及認證 42.1.1管理缺省帳戶 42.1.2按照用戶分配帳戶 52.1.3刪除與設(shè)備無關(guān)帳戶 62.2 口令 72.2.1密碼復雜度 72.2.2密碼最長留存期 82.2.3帳戶鎖定策略 92.3 授權(quán) 102.3.1遠程關(guān)機 102.3.2本地關(guān)機 112.3.3用戶權(quán)利指派 122.3.4授權(quán)帳戶登錄 122.3.5授權(quán)帳戶從網(wǎng)絡(luò)訪問 13第3章 日志配置操作 143.1 日志配置 143.1.1審核登錄 143.1.2系統(tǒng)日志完備性檢查 153.1.3日志文件大小 16第4章 剩余信息保護 184.1 剩余信息保護 184.1.1不顯示最后的用戶名 184.1.2關(guān)機前清除虛擬內(nèi)存頁面文件 194.1.3不啟用可還原的加密來存儲密碼 20第5章 設(shè)備其他配置操作 215.1 共享文件夾及訪問權(quán)限 215.1.1關(guān)閉默認共享 215.1.2共享文件夾授權(quán)訪問 225.2 安全防護 235.2.1數(shù)據(jù)執(zhí)行保護 235.2.2防病毒管理 245.3 服務(wù)安全 245.3.1系統(tǒng)必須服務(wù)列表管理 245.3.2系統(tǒng)啟動項列表管理 255.3.3遠程控制服務(wù)安全 265.3.4關(guān)閉Windows自動播放功能 275.3.5設(shè)置屏幕保護密碼和開啟時間 285.3.6限制遠程登錄空閑斷開時間 285.4 補丁管理 295.4.1操作系統(tǒng)補丁管理 29概述目的本文檔旨在指導進行Windows7操作系統(tǒng)的安全合規(guī)配置。適用范圍本配置標準適用的范圍包括：Windows7的辦公電腦客戶端。適用版本W(wǎng)indows7操作系統(tǒng)。 安全基線說明本安全基線標準主要包括賬戶管理認證、口令要求、系統(tǒng)授權(quán)、日志配置、剩余信息保護、共享文件夾及訪問權(quán)限、安全防護、服務(wù)安全和補丁管理等幾個方面，基線內(nèi)容包含28項安全基線。帳戶管理、認證授權(quán)帳戶管理及認證2.1.1管理缺省帳戶安全基線項目名稱操作系統(tǒng)缺省帳戶安全基線要求項安全基線編號WINDOWS7-01安全基線項說明對于管理員帳號，要求更改缺省帳戶名稱；禁用guest（來賓）帳號。檢測操作步驟版本：Windows7按“+R打開運行框，在框內(nèi)輸入lusrmgr.msc”回車打開本地用戶和組，點擊用戶：查看Administrator－>屬性和Guest帳號->屬性基線符合性判定依據(jù)缺省帳戶Administrator名稱已更改。Guest帳號已停用。加固標準按“+R打開運行框，在框內(nèi)輸入lusrmgr.msc”回車打開本地用戶和組，點擊用戶：找到管理員帳號administrator用戶右鍵重命名；找到guest用戶右鍵屬性→帳戶禁用。等級保護基本要求主機安全：1）身份鑒別（S3），b）應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標識和鑒別；主機安全：2）訪問控制（S3），d）應(yīng)禁用或嚴格限制默認帳戶的訪問權(quán)限，重命名系統(tǒng)默認帳戶，修改這些帳戶的默認口令。現(xiàn)狀檢查結(jié)果□符合□不符合整改結(jié)果備注重命名administrator帳戶名可能會導致部分以administrator帳戶啟動的服務(wù)無法正常運行，導致相關(guān)的應(yīng)用系統(tǒng)無法正常使用。2.1.2按照用戶分配帳戶安全基線項目名稱操作系統(tǒng)用戶帳戶劃分安全基線要求項安全基線編號WINDOWS7-02安全基線項說明按照用戶分配帳戶。根據(jù)系統(tǒng)的要求，設(shè)定不同的帳戶和帳戶組，管理員用戶，數(shù)據(jù)庫用戶，審計用戶，來賓用戶等。檢測操作步驟版本：Windows7按“+R打開運行框，在框內(nèi)輸入lusrmgr.msc”回車打開本地用戶和組：根據(jù)系統(tǒng)的要求，設(shè)定不同的帳戶和帳戶組，管理員用戶，普通用戶，審計用戶，來賓用戶?；€符合性判定依據(jù)結(jié)合要求和實際業(yè)務(wù)情況判斷符合要求，根據(jù)系統(tǒng)的要求，設(shè)定不同的帳戶和帳戶組，管理員用戶，普通用戶，審計用戶，來賓用戶。加固標準打開本地用戶和組，分別進入用戶或組，右鍵新建用戶或組。等級保護基本要求主機安全：1）身份鑒別（S3），a)應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性；主機安全：2）訪問控制（S3），e)應(yīng)及時刪除多余的、過期的帳戶，避免共享帳戶的存在?，F(xiàn)狀檢查結(jié)果□符合□不符合整改結(jié)果備注2.1.3刪除與設(shè)備無關(guān)帳戶安全基線項目名稱操作系統(tǒng)與設(shè)備無關(guān)帳戶安全基線要求項安全基線編號WINDOWS7-03安全基線項說明刪除或鎖定與設(shè)備運行、維護等與工作無關(guān)的帳戶檢測操作步驟版本：Windows7按“+R打開運行框，在框內(nèi)輸入lusrmgr.msc”回車打開本地用戶和組：根據(jù)系統(tǒng)的要求，刪除或鎖定與設(shè)備運行、維護等與工作無關(guān)的帳戶?；€符合性判定依據(jù)結(jié)合要求和實際業(yè)務(wù)情況判斷符合要求，刪除或鎖定與設(shè)備運行、維護等與工作無關(guān)的帳戶。加固標準打開用戶和組，點擊進入用戶或組，刪除系統(tǒng)中無用的用戶和組。等級保護基本要求主機安全：1）身份鑒別（S3），a）應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。主機安全：2）訪問控制（S3），e）應(yīng)及時刪除多余的、過期的帳戶，避免共享帳戶的存在?，F(xiàn)狀檢查結(jié)果□符合□不符合整改結(jié)果備注口令2.2.1密碼復雜度安全基線項目名稱操作系統(tǒng)密碼復雜度安全基線要求項安全基線編號WINDOWS7-04安全基線項說明最短密碼長度8個字符；啟用本機組策略中密碼必須符合復雜性要求的策略，即密碼至少包含以下四種類別的字符中的二種：英語大寫字母A,B,C,…Z英語小寫字母a,b,c,…z西方阿拉伯數(shù)字0,1,2,…9非字母數(shù)字字符，如標點符號，@,#,$,%,&,*等檢測操作步驟版本：Windows7按+R打開運行框，在框內(nèi)輸入secpol.msc，打開本地安全策略，在“帳戶策略→密碼策略”：查看是否“密碼必須符合復雜性要求”選擇“已啟動”?！懊艽a長度最小值”設(shè)置為“8個字符”?；€符合性判定依據(jù)“密碼最小長度”大于等于8“密碼必須符合復雜性要求”選擇“已啟動”加固標準進入密碼策略，“密碼必須符合復雜性要求”右鍵屬性啟用“密碼最小長度”右鍵屬性設(shè)置。等級保護基本要求主機安全：1）身份鑒別（S3），c)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標識應(yīng)具有不易被冒用的特點，系統(tǒng)的靜態(tài)口令應(yīng)在7位以上并由字母、數(shù)字、符號等混合組成并每三個月更換口令；現(xiàn)狀檢查結(jié)果□符合□不符合整改結(jié)果備注2.2.2密碼最長留存期安全基線項目名稱操作系統(tǒng)密碼歷史安全基線要求項安全基線編號WINDOWS7-05安全基線項說明對于采用靜態(tài)口令認證技術(shù)的設(shè)備，帳戶口令的生存期不長于90天。檢測操作步驟版本：Windows7按+R打開運行框，在框內(nèi)輸入secpol.msc，打開本地安全策略，在“帳戶策略→密碼策略”：查看“密碼最長使用期限”安全設(shè)置90天，“強制密碼歷史”安全設(shè)置為0個?；€符合性判定依據(jù)“密碼最長存留期”設(shè)置不大于“90天”，強制密碼歷史策略配置為0個。加固標準進入密碼策略，“密碼最長使用期限”右鍵屬性設(shè)置；“強制密碼歷史”右鍵屬性設(shè)置。等級保護基本要求主機安全：1）身份鑒別（S3），c)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標識應(yīng)具有不易被冒用的特點，系統(tǒng)的靜態(tài)口令應(yīng)在7位以上并由字母、數(shù)字、符號等混合組成并每三個月更換口令；現(xiàn)狀檢查結(jié)果□符合□不符合整改結(jié)果備注2.2.3帳戶鎖定策略安全基線項目名稱操作系統(tǒng)帳戶鎖定策略安全基線要求項安全基線編號WINDOWS7-06安全基線項說明對于采用靜態(tài)口令認證技術(shù)的設(shè)備，應(yīng)配置當用戶連續(xù)認證失敗次數(shù)不超過10次，鎖定該用戶使用的帳戶。檢測操作步驟版本：Windows7按+R打開運行框，在框內(nèi)輸入secpol.msc，打開本地安全策略，在“帳戶策略→帳戶鎖定策略”：查看“帳戶鎖定閥值”設(shè)置。若未設(shè)置，“帳戶鎖定閥值”→右鍵屬性設(shè)置：基線符合性判定依據(jù)“帳戶鎖定閥值”設(shè)置為小于或等于10次加固標準進入帳戶鎖定策略，“賬戶鎖定閥值”右鍵屬性設(shè)置。等級保護基本要求主機安全：1）身份鑒別（S3），d)應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會話、限制登錄間隔、限制非法登錄次數(shù)和自動退出等措施；現(xiàn)狀檢查結(jié)果□符合□不符合整改結(jié)果備注授權(quán)2.3.1遠程關(guān)機安全基線項目名稱操作系統(tǒng)遠程關(guān)機策略安全基線要求項安全基線編號WINDOWS7-07安全基線項說明在本地安全設(shè)置中從遠端系統(tǒng)強制關(guān)機只指派給Administrators組。檢測操作步驟版本：Windows7按+R打開運行框，在框內(nèi)輸入secpol.msc，打開本地安全策略，本地策略→用戶權(quán)限分配：查看“從遠端系統(tǒng)強制關(guān)機”設(shè)置?；€符合性判定依據(jù)“從遠端系統(tǒng)強制關(guān)機”設(shè)置為“只指派給Administrtors組”加固標準本地安全策略→本地策略→用戶權(quán)限分配下，“從遠端系統(tǒng)強制關(guān)機”右鍵屬性添加或刪除用戶或組。等級保護基本要求主機安全：2）訪問控制（S3），a）應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問?，F(xiàn)狀檢查結(jié)果□符合□不符合整改結(jié)果備注2.3.2本地關(guān)機安全基線項目名稱操作系統(tǒng)本地關(guān)機策略安全基線要求項安全基線編號WINDOWS7-08安全基線項說明在本地安全設(shè)置中關(guān)閉系統(tǒng)僅指派給Administrators組。檢測操作步驟版本：Windows7按+R打開運行框，在框內(nèi)輸入secpol.msc，打開本地安全策略，本地策略→用戶權(quán)限分配：查看“關(guān)閉系統(tǒng)”設(shè)置?；€符合性判定依據(jù)“關(guān)閉系統(tǒng)”設(shè)置為“只指派給Administrators組”加固標準本地安全策略→本地策略→用戶權(quán)限分配下，“關(guān)閉系統(tǒng)”右鍵屬性添加或刪除用戶或組。等級保護基本要求主機安全：2）訪問控制（S3），a）應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問。現(xiàn)狀檢查結(jié)果□符合□不符合整改結(jié)果備注2.3.3用戶權(quán)利指派安全基線項目名稱操作系統(tǒng)用戶權(quán)力指派策略安全基線要求項安全基線編號WINDOWS7-09安全基線項說明在本地安全設(shè)置中取得文件或其它對象的所有權(quán)僅指派給Administrators。檢測操作步驟版本：Windows7按+R打開運行框，在框內(nèi)輸入secpol.msc，打開本地安全策略，本地策略→用戶權(quán)限分配：查看“取得文件或其它對象的所有權(quán)”設(shè)置為只指派給“Administrators”組?；€符合性判定依據(jù)“取得文件或其它對象的所有權(quán)”設(shè)置為“只指派給Administrators組”加固標準本地安全策略→本地策略→用戶權(quán)限分配下，“取得文件或其它對象的所有權(quán)”右鍵屬性添加或刪除用戶或組。等級保護基本要求主機安全：2）訪問控制（S3），a）應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問?，F(xiàn)狀檢查結(jié)果□符合□不符合整改結(jié)果備注2.3.4授權(quán)帳戶登錄安全基線項目名稱操作系統(tǒng)用戶授權(quán)登錄安全基線要求項安全基線編號WINDOWS7-10安全基線項說明在本地安全設(shè)置中配置指定授權(quán)用戶和組允許本地登錄此計算機。檢測操作步驟版本：Windows7按+R打開運行框，在框內(nèi)輸入secpol.msc，打開本地安全策略，本地策略→用戶權(quán)限分配：查看“允許本地登錄”設(shè)置?；€符合性判定依據(jù)應(yīng)根據(jù)具體情況，設(shè)置“指定授權(quán)用戶和組”加固標準本地安全策略→本地策略→用戶權(quán)限分配下，“允許本地登錄”右鍵屬性添加或刪除指定的授權(quán)用戶或組。等級保護基本要求主機安全：2）訪問控制（S3），a）應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問。現(xiàn)狀檢查結(jié)果□符合□不符合整改結(jié)果備注2.3.5授權(quán)帳戶從網(wǎng)絡(luò)訪問安全基線項目名稱操作系統(tǒng)用戶授權(quán)從網(wǎng)絡(luò)訪問安全基線要求項安全基線編號WINDOWS7-11安全基線項說明在組策略中只允許授權(quán)帳號從網(wǎng)絡(luò)訪問(包括網(wǎng)絡(luò)共享等，但不包括終端服務(wù))此計算機。檢測操作步驟版本：Windows7按+R打開運行框，在框內(nèi)輸入secpol.msc，打開本地安全策略，本地策略→用戶權(quán)限分配：查看“從網(wǎng)絡(luò)訪問此計算機”設(shè)置基線符合性判定依據(jù)應(yīng)根據(jù)具體情況，設(shè)置“指定授權(quán)用戶和組”加固標準本地安全策略→本地策略→用戶權(quán)限分配下，“從網(wǎng)絡(luò)訪問此計算機”右鍵屬性添加或刪除指定授權(quán)的用戶或組。等級保護基本要求主機安全：2）訪問控制（G3），a）應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問?，F(xiàn)狀檢查結(jié)果□符合□不符合整改結(jié)果備注日志配置操作日志配置3.1.1審核登錄安全基線項目名稱操作系統(tǒng)審核登錄策略安全基線要求項安全基線編號WINDOWS7-12安全基線項說明設(shè)備應(yīng)配置日志功能，對用戶登錄進行記錄，記錄內(nèi)容包括用戶登錄使用的帳戶，登錄是否成功，登錄時間，以及遠程登錄時，用戶使用的IP地址。檢測操作步驟版本：Windows7按+R打開運行框，在框內(nèi)輸入secpol.msc，打開本地安全策略，本地策略→審核策略：“審核登錄事件”。基線符合性判定依據(jù)審核登錄事件，設(shè)置為成功和失敗都審核。加固標準本地安全策略→本地策略→審核策略，“審核登錄事件”右鍵屬性勾選成功、失敗。等級保護基本要求主機安全：3）安全審計（G3），a）審計范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶?，F(xiàn)狀檢查結(jié)果□符合□不符合整改結(jié)果備注3.1.2系統(tǒng)日志完備性檢查安全基線項目名稱系統(tǒng)日志完備性檢查，檢查是否啟用系統(tǒng)多項審核策略安全基線編號WINDOWS7-13安全基線項說明系統(tǒng)應(yīng)配置完整的審核策略，啟用本地策略中審核策略中如下項。每項都需要設(shè)置為“成功”和“失敗”都要審核。按+R打開運行框，在框內(nèi)輸入secpol.msc，打開本地安全策略，在本地策略→審核策略：審核策略更改；審核系統(tǒng)事件；審核帳戶登錄事件；審核帳戶管理；檢測操作步驟版本：Windows7按+R打開運行框，在框內(nèi)輸入secpol.msc，打開本地安全策略，在“本地策略->審核策略”中，啟用本地策略中審核策略中如下項，每項都需要設(shè)置為“成功”和“失敗”都要審核：審核策略更改；審核系統(tǒng)事件；審核帳戶登錄事件；審核帳戶管理；基線符合性判定依據(jù)“審核策略更改”設(shè)置為“成功”和“失敗”都要審核。加固標準本地安全策略→本地策略→審核策略下，各選項右鍵屬性勾選成功和失敗。等級保護基本要求主機安全：3）安全審計（G3），a）審計范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶。主機安全：3）安全審計（G3），b）審計內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用、賬號的分配、創(chuàng)建與變更、審計策略的調(diào)整、審計系統(tǒng)功能的關(guān)閉與啟動等系統(tǒng)內(nèi)重要的安全相關(guān)事件?，F(xiàn)狀檢查結(jié)果□符合□不符合整改結(jié)果備注3.1.3日志文件大小安全基線項目名稱操作系統(tǒng)日志容量安全基線要求項安全基線編號WINDOWS7-14安全基線項說明設(shè)置應(yīng)用日志文件大小至少為20480KB，設(shè)置當達到最大大小時，按日志滿時將其存檔，不覆蓋事件。檢測操作步驟版本：Windows7按+R打開運行框，在框內(nèi)輸入eventvwr.msc，在“事件查看器（本地）”→windows日志：查看“應(yīng)用日志”“系統(tǒng)日志”“安全日志”屬性中的日志大小,以及設(shè)置當達到事件日志最大大小時的相應(yīng)策略?；€符合性判定依據(jù)“應(yīng)用日志”“系統(tǒng)日志”“安全日志”屬性中的日志大小設(shè)置不小于“20480KB”,設(shè)置當達到事件日志最大大小時，“日志滿時將其存檔，不覆蓋事件”加固標準事件查看器→windows日志下各個選項右鍵屬性。等級保護基本要求主機安全：3）安全審計（G3），c)審計記錄應(yīng)包括事件的日期、時間、類型、主體標識、客體標識和結(jié)果等，并定期備份審計記錄，涉及敏感數(shù)據(jù)的記錄保存時間不少于半年；主機安全：3）安全審計（G3），d)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；主機安全：3）安全審計（G3），e)應(yīng)保護審計進程，避免受到未預期的中斷；現(xiàn)狀檢查結(jié)果□符合□不符合整改結(jié)果備注剩余信息保護剩余信息保護4.1.1不顯示最后的用戶名安全基線項目名稱不顯示最后的用戶名安全基線編號WINDOWS7-15安全基線項說明不顯示最后登錄的用戶名，防止信息泄露檢測操作步驟版本：Windows7按+R打開運行框，在框內(nèi)輸入secpol.msc，打開本地安全策略，在“本地策略→安全選項”：查看“交互式登錄：不顯示最后的用戶名”是否啟用基線符合性判定依據(jù)啟用“交互式登錄：不顯示最后的用戶名”。加固標準本地安全策略→本地策略→安全選項下，“交互式登錄：不顯示最后的用戶名”右鍵屬性勾選啟用。等級保護基本要求主機安全：4）剩余信息保護（S3），a）應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他使用人員前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中?，F(xiàn)狀檢查結(jié)果□符合□不符合整改結(jié)果備注4.1.2關(guān)機前清除虛擬內(nèi)存頁面文件安全基線項目名稱關(guān)機前清除虛擬內(nèi)存頁面文件安全基線編號WINDOWS7-16安全基線項說明關(guān)閉客戶端前，應(yīng)清除虛擬內(nèi)存頁面，以保護暫存在在緩存中的數(shù)據(jù)。檢測操作步驟版本：Windows7按+R打開運行框，在框內(nèi)輸入secpol.msc，打開本地安全策略，在“本地策略→安全選項”：查看“關(guān)機：前清除虛擬內(nèi)存頁面文件”是否啟用。基線符合性判定依據(jù)啟用“關(guān)機：前清除虛擬內(nèi)存頁面文件”。加固標準本地安全策略→本地策略→安全選項下，“關(guān)機：前清除虛擬內(nèi)存頁面文件”右鍵屬性勾選啟用。等級保護基本要求主機安全：4）剩余信息保護（S3），a）應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他使用人員前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中。主機安全：4）剩余信息保護（S3），b）應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其他使用人員前得到完全清除。現(xiàn)狀檢查結(jié)果□符合□不符合整改結(jié)果備注4.1.3不啟用可還原的加密來存儲密碼安全基線項目名稱不啟用可還原的加密來存儲密碼安全基線編號WINDOWS7-17安全基線項說明不啟用可還原的加密來存儲密碼，防止能夠獲取明文密碼。檢測操作步驟版本：Windows7按+R打開運行框，在框內(nèi)輸入secpol.msc，打開本地安全策略，在“賬戶策略→密碼策略”：查看“用可還原的加密來存儲密碼”是否已禁用?；€符合性判定依據(jù)禁用“用可還原的加密來存儲密碼”加固標準賬戶策略→密碼策略下，“用可還原的加密來存儲密碼”右鍵屬性設(shè)置。等級保護基本要求主機安全：4)剩余信息保護（S3），a）應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他使用人員前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中。主機安全：4）剩余信息保護（S3），b）應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其他使用人員前得到完全清除。現(xiàn)狀檢查結(jié)果□符合□不符合整改結(jié)果備注設(shè)備其他配置操作共享文件夾及訪問權(quán)限5.1.1關(guān)閉默認共享安全基線項目名稱操作系統(tǒng)默認共享安全基線要求項安全基線編號WINDOWS7-18安全基線項說明非域環(huán)境中，關(guān)閉Windows硬盤默認共享，例如C$，D$。檢測操作步驟版本：Windows7按+R打開運行框，在框內(nèi)輸入Regedit，進入注冊表編輯器，查看HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer鍵，是否值為0?；€符合性判定依據(jù)HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer鍵，值為0。加固標準打開注冊表，如果沒有AutoShareServer鍵，再路徑下如果有右鍵修改查看。等級保護基本要求主機安全：2）訪問控制（S3），a）應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問。主機安全：2)訪問控制（S3），f）宜對重要信息資源設(shè)置敏感標記。主機安全：2）訪問控制（S3），g）宜依據(jù)安全策略嚴格控制用戶對有敏感標記重要信息資源的操作?，F(xiàn)狀檢查結(jié)果□符合□不符合整改結(jié)果備注5.1.2共享文件夾授權(quán)訪問安全基線項目名稱操作系統(tǒng)共享文件夾安全基線要求項安全基線編號WINDOWS7-19安全基線項說明查看每個共享文件夾的共享權(quán)限，只允許授權(quán)的帳戶擁有權(quán)限共享此文件夾。檢測操作步驟版本：Windows7按+R打開運行框，在框內(nèi)輸入compmgmt.msc進入計算機管理，在系統(tǒng)工具→共享文件夾：查看每個共享文件夾的共享權(quán)限，只將權(quán)限授權(quán)于指定帳戶。基線符合性判定依據(jù)查看每個共享文件夾的共享權(quán)限僅限于業(yè)務(wù)需要，不設(shè)置成為“everyone”。加固標準控制面板→管理工具→服務(wù)下，server右鍵屬性禁用。等級保護基本要求主機安全：2）訪問控制（S3），a）應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問。主機安全：2）訪問控制（S3），f）宜對重要信息資源設(shè)置敏感標記。主機安全：2）訪問控制（S3），g）宜依據(jù)安全策略嚴格控制用戶對有敏感標記重要信息資源的操作?，F(xiàn)狀檢查結(jié)果□符合□不符合整改結(jié)果備注禁用server服務(wù)，可能會導致直接依賴于此服務(wù)的服務(wù)將無法啟動。安全防護5.2.1數(shù)據(jù)執(zhí)行保護安全基線項目名稱操作系統(tǒng)數(shù)據(jù)執(zhí)行保護安全基線要求項安全基線編號WINDOWS7-20安全基線項說明對Windows7操作系統(tǒng)程序和服務(wù)啟用系統(tǒng)自帶DEP功能(數(shù)據(jù)執(zhí)行保護)，防止在受保護內(nèi)存位置運行有害代碼。檢測操作步驟版本：Windows7點擊“計算機”右鍵屬性→高級系統(tǒng)設(shè)置→性能設(shè)置→數(shù)據(jù)執(zhí)行保護：查看是否選擇“僅為基本W(wǎng)indows程序和服務(wù)啟用DEP”?；€符合性判定依據(jù)“數(shù)據(jù)執(zhí)行保護”選項卡已設(shè)置為“僅為基本W(wǎng)indows程序和服務(wù)啟用DEP”。加固標準點擊“計算機”右鍵屬性→高級系統(tǒng)設(shè)置→性能設(shè)置→數(shù)據(jù)執(zhí)行保護等級保護基本要求主機安全：2）訪問控制（S3），g）宜依據(jù)安全策略嚴格控制用戶對有敏感標記重要信息資源的操作?，F(xiàn)狀檢查結(jié)果□符合□不符合整改結(jié)果備注5.2.2防病毒管理安全基線項目名稱操作系統(tǒng)防病毒管理安全基線要求項安全基線編號WINDOWS7-21安全基線項說明安裝防病毒軟件，并及時更新。檢測操作步驟版本：Windows7檢查是否安裝主流殺軟?；€符合性判定依據(jù)檢查是否安裝主流殺軟。等級保護基本要求主機安全：6）惡意代碼防范（G3），a)應(yīng)安裝國家安全部門認證的正版防惡意代碼軟件，對于依附于病毒庫進行惡意代碼查殺的軟件應(yīng)及時更新防惡意代碼軟件版本和惡意代碼庫，對于非依賴于病毒庫進行惡意代碼防御的軟件，如主動防御類軟件，應(yīng)保證軟件所采用的特征庫有效性與實時性，對于某些不能安裝相應(yīng)軟件的系統(tǒng)可以采取其他安全防護措施來保證系統(tǒng)不被惡意代碼攻擊；現(xiàn)狀檢查結(jié)果□符合□不符合整改結(jié)果備注服務(wù)安全5.3.1系統(tǒng)必須服務(wù)列表管理安全基線項目名稱操作系統(tǒng)服務(wù)列表管理安全基線要求項安全基線編號WINDOWS7-22安全基線項說明列出所需要服務(wù)的列表(包括所需的系統(tǒng)服務(wù))，不在此列表的服務(wù)需關(guān)閉。檢測操作步驟版本：Windows7按+R打開運行框，在框內(nèi)輸入compmgmt.msc進入計算機管理，進入“服務(wù)和應(yīng)用程序”：查看所有服務(wù)，不在此列表的服務(wù)需關(guān)閉?；€符合性判定依據(jù)系統(tǒng)管理員應(yīng)出具系統(tǒng)所必要的服務(wù)列表。查看所有服務(wù)，不在此列表的服務(wù)需關(guān)閉。等級保護基本要求主機安全：5）入侵防范（G3），c）操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級服務(wù)器等方式保持系統(tǒng)補丁及時得到更新?，F(xiàn)狀檢查結(jié)果□符合□不符合整改結(jié)果備注5.3.2系統(tǒng)啟動項列表管理安全基線項目名稱操作系統(tǒng)啟動項列表管理安全基線要求項安全基線編號WINDOWS7-23安全基線項說明列出系統(tǒng)啟動時自動加載的進程和服務(wù)列表，不在此列表的需關(guān)閉。檢測操作步驟版本：Windows7按+R打開運行框，在框內(nèi)輸入MSconfig”啟動菜單中，取消不必要的啟動項?；€符合性判定依據(jù)應(yīng)根據(jù)實際情況，取消不必要的啟動項。等級保護基本要求主機安全：5）入侵防范（G3），c）操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級服務(wù)器等方式保持系統(tǒng)補丁及時得到更新?，F(xiàn)狀檢查結(jié)果□符合□不符合整改結(jié)果備注5.3.3遠程控制服務(wù)安全安全基線項目名稱操作系統(tǒng)遠程控制服務(wù)管理安全基線要求項安全基線編號WINDOWS7-24安全基線項說明如對互聯(lián)網(wǎng)開放WindowsTerminial服務(wù)(RemoteDesktop)，需修改默認服務(wù)端口。檢測操作步驟版本：Windows7按+R打開運行框，在框內(nèi)輸入regedit并轉(zhuǎn)到此項:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp找到“PortNumber”子項，會看到默認值0x00000d3d，它是3389的十六進制表示形式。使用十六進制數(shù)值修改此端口號，并保存新值?；€符合性判定依據(jù)找到“PortNumber”子項，設(shè)定值非0xd3d，即十進制3389加固標準HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp找到“PortNumber”子項設(shè)定值非0xd3d，即十進制3389。等級保護基本要求主機安全：7）資源控制（A3），a）應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄?，F(xiàn)狀檢查結(jié)果□符合□不符合整改結(jié)果備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強制要求此項。5.3.4關(guān)閉Windows自動播放功能安全基線項目名稱操作系統(tǒng)Windows自動播放安全基線要求項安全基線編號WINDOWS7-25安全基線項說明關(guān)閉Windows自動播放功能。檢測操作步驟版本：Window