windows 操作系統(tǒng)安全運(yùn)維所考慮的安全基線內(nèi)容

安全配置要求
賬號
編號：1
要求內(nèi)容 應(yīng)按照不同的用戶分配不同的賬號，避免不同用戶間共享賬號。避
免用戶賬號和設(shè)備間通信使用的賬號共享。
操作指南 1、參考配置操作
進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理” ，在“系統(tǒng)工具->本地用戶和組” ：
根據(jù)系統(tǒng)的要求，設(shè)定不同的賬戶和賬戶組。
檢測方法
1、 判定條件
結(jié)合要求和實(shí)際業(yè)務(wù)情況判斷符合要求，根據(jù)系統(tǒng)的要求，設(shè)定不
同的賬戶和賬戶組
2、檢測操作
進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理” ，在“系統(tǒng)工具->本地用
戶和組” ：
查看根據(jù)系統(tǒng)的要求，設(shè)定不同的賬戶和賬戶組

編號：2
要求內(nèi)容
應(yīng)刪除與運(yùn)行、維護(hù)等工作無關(guān)的賬號。
操作指南
1．參考配置操作
A）可使用用戶管理工具：
開始-運(yùn)行-compmgmt.msc-本地用戶和組-用戶
B）也可以通過 net 命令：
刪除賬號： net user account/de1
停用賬號：net user account/active:no

檢測方法
1.判定條件
結(jié)合要求和實(shí)際業(yè)務(wù)情況判斷符合要求，刪除或鎖定與設(shè)備運(yùn)行、維護(hù)
等與工作無關(guān)的賬號。
3
注：無關(guān)的賬號主要指測試帳戶、共享帳號、長期不用賬號（半年以上
不用）等
2.檢測操作
開始-運(yùn)行-compmgmt.msc-本地用戶和組-用戶

編號：3
要求內(nèi)容 重命名 Administrator；禁用 guest（來賓）帳號。
操作指南
1、參考配置操作
進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理” ，在“系統(tǒng)工具->本地用戶和組” ：
Administrator－>屬性－> 更改名稱
Guest 帳號->屬性－> 已停用
檢測方法 1、判定條件
缺省賬戶 Administrator名稱已更改。
Guest 帳號已停用。
2、檢測操作
進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理” ，在“系統(tǒng)工具->本地用
戶和組” ：
缺省帳戶－>屬性－> 更改名稱
Guest 帳號->屬性－> 已停用

口令
編號：1
要求內(nèi)容 密碼長度要求：最少 8位
密碼復(fù)雜度要求：至少包含以下四種類別的字符中的三種：
z 英語大寫字母 A, B, C, … Z
z 英語小寫字母 a, b, c, … z
z 阿拉伯?dāng)?shù)字 0, 1, 2, … 9
z 非字母數(shù)字字符，如標(biāo)點(diǎn)符號，@, #, $, %, &, *等
4
操作指南 1、參考配置操作
進(jìn)入“控制面板->管理工具->本地安全策略” ，在“帳戶策略->密碼策略” ：
“密碼必須符合復(fù)雜性要求”選擇“已啟動(dòng)”
檢測方法
1、判定條件
“密碼必須符合復(fù)雜性要求”選擇“已啟動(dòng)”
2、檢測操作
進(jìn)入“控制面板->管理工具->本地安全策略” ，在“帳戶策略->密碼
策略” ：
查看是否“密碼必須符合復(fù)雜性要求”選擇“已啟動(dòng)”

編號：2
要求內(nèi)容 對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，賬戶口令的生存期不長于 90
天。
操作指南
1、參考配置操作
進(jìn)入“控制面板->管理工具->本地安全策略” ，在“帳戶策略->密碼策略” ： “密碼最長存留期”設(shè)置為“90 天”
檢測方法
1、判定條件
“密碼最長存留期”設(shè)置為“90 天”
2、檢測操作
進(jìn)入“控制面板->管理工具->本地安全策略” ，在“帳戶策略->密碼
策略” ：
查看是否“密碼最長存留期”設(shè)置為“90 天”

編號：3
要求內(nèi)容 對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置設(shè)備，使用戶不能重復(fù)
使用最近 5次（含 5 次）內(nèi)已使用的口令。
操作指南
1、參考配置操作

進(jìn)入“控制面板->管理工具->本地安全策略” ，在“帳戶策略->密碼策略” ：
“強(qiáng)制密碼歷史”設(shè)置為“記住 5個(gè)密碼”
檢測方法 1、判定條件
“強(qiáng)制密碼歷史”設(shè)置為“記住 5個(gè)密碼”
2、檢測操作
進(jìn)入“控制面板->管理工具->本地安全策略” ，在“帳戶策略->密碼
策略” ：
查看是否“強(qiáng)制密碼歷史”設(shè)置為“記住 5 個(gè)密碼”

編號：4
要求內(nèi)容 對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次
數(shù)超過 6 次（不含 6 次） ，鎖定該用戶使用的賬號。
操作指南 1、參考配置操作 進(jìn)入“控制面板->管理工具->本地安全策略” ，在“帳戶策略->帳戶
鎖定策略” ：
“賬戶鎖定閥值”設(shè)置為 6 次
設(shè)置解鎖閥值：30 分鐘
檢測方法 1、判定條件
“賬戶鎖定閥值”設(shè)置為小于或等于 6 次
2、檢測操作
進(jìn)入“控制面板->管理工具->本地安全策略” ，在“帳戶策略->帳戶
鎖定策略” ：
查看是否“賬戶鎖定閥值”設(shè)置為小于等于 6次
補(bǔ)充說明：
設(shè)置不當(dāng)可能導(dǎo)致賬號大面積鎖定，在域環(huán)境中應(yīng)小心設(shè)置，
Administrator 賬號本身不會(huì)被鎖定。
授權(quán)
編號：1
6
要求內(nèi)容 本地、遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)只指派給 Administrators 組。
操作指南 1、參考配置操作
進(jìn)入“控制面板->管理工具->本地安全策略” ，在“本地策略->用
戶權(quán)利指派”:
“關(guān)閉系統(tǒng)”設(shè)置為“只指派給 Administrators組”
“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置為“只指派給 Administrators組”
檢測方法 1、判定條件
“關(guān)閉系統(tǒng)”設(shè)置為“只指派給 Administrators組”
“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置為“只指派給 Administrtors組”
2、檢測操作
進(jìn)入“控制面板->管理工具->本地安全策略” ，在“本地策略->用
戶權(quán)利指派”:
查看“關(guān)閉系統(tǒng)”設(shè)置為“只指派給 Administrators 組”
查看是否“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置為“只指派給
Administrators 組”

編號：2
要求內(nèi)容 在本地安全設(shè)置中取得文件或其它對象的所有權(quán)僅指派給
Administrators。
操作指南 1、參考配置操作
進(jìn)入“控制面板->管理工具->本地安全策略” ，在“本地策略->用
戶權(quán)利指派” ：
“取得文件或其它對象的所有權(quán)”設(shè)置為“只指派給
Administrators 組”
檢測方法 1、判定條件
“取得文件或其它對象的所有權(quán)”設(shè)置為“只指派給
Administrators 組”
2、檢測操作
進(jìn)入“控制面板->管理工具->本地安全策略” ，在“本地策略->用
7
戶權(quán)利指派” ：
查看是否“取得文件或其它對象的所有權(quán)”設(shè)置為“只指派給
Administrators 組”
編號：3
要求內(nèi)容 在本地安全設(shè)置中只允許授權(quán)帳號本地、遠(yuǎn)程訪問登陸此計(jì)算機(jī)。
操作指南
1、參考配置操作
進(jìn)入“控制面板->管理工具->本地安全策略” ，在“本地策略->用
戶權(quán)利指派”
“從本地登陸此計(jì)算機(jī)”設(shè)置為“指定授權(quán)用戶”
“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”設(shè)置為“指定授權(quán)用戶”
檢測方法 1、判定條件
“從本地登陸此計(jì)算機(jī)”設(shè)置為“指定授權(quán)用戶”
“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”設(shè)置為“指定授權(quán)用戶”
2、檢測操作
進(jìn)入“控制面板->管理工具->本地安全策略” ，在“本地策略->用
戶權(quán)利指派”
查看是否“從本地登陸此計(jì)算機(jī)”設(shè)置為“指定授權(quán)用戶”
查看是否“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”設(shè)置為“指定授權(quán)用戶”

補(bǔ)丁
編號：1
要求內(nèi)容 在不影響業(yè)務(wù)的情況下，應(yīng)安裝最新的 Service Pack 補(bǔ)丁集。對
服務(wù)器系統(tǒng)應(yīng)先進(jìn)行兼容性測試。
操作指南 1、參考配置操作
安裝最新的 Service Pack補(bǔ)丁集。
例如截止到 2010 年最新版本： Windows XP 的 Service Pack 為 SP3。
Windows2000 的 Service Pack為 SP4,Windows 2003的 Service
Pack 為 SP2
檢測方法 1、判定條件

2、檢測操作
進(jìn)入控制面板->添加或刪除程序->顯示更新打鉤，查看是否 XP 系
統(tǒng)已安裝SP3， Win2000系統(tǒng)已安裝SP4， Win2003系統(tǒng)已安裝SP2。
防護(hù)軟件
編號：1

要求內(nèi)容 啟用自帶防火墻或安裝第三方威脅防護(hù)軟件。根據(jù)業(yè)務(wù)需要限定允
許訪問網(wǎng)絡(luò)的應(yīng)用程序，和允許遠(yuǎn)程登陸該設(shè)備的 IP地址范圍。
操作指南 1、參考配置操作（以啟動(dòng)自帶防火墻為例）
進(jìn)入“控制面板－>網(wǎng)絡(luò)連接－>本地連接” ，在高級選項(xiàng)的設(shè)置中
啟用 Windows 防火墻。
在“例外”中配置允許業(yè)務(wù)所需的程序接入網(wǎng)絡(luò)。
在“例外->編輯->更改范圍”編輯允許接入的網(wǎng)絡(luò)地址范圍。
說明：分為服務(wù)器和操作終端兩種情況：
服務(wù)器該項(xiàng)為可選，操作終端該項(xiàng)為必選
檢測方法 1、判定條件
啟用 Windows 防火墻。
“例外”中允許接入網(wǎng)絡(luò)的程序均為業(yè)務(wù)所需。
2、檢測操作
進(jìn)入“控制面板－>網(wǎng)絡(luò)連接－>本地連接” ，在高級選項(xiàng)的設(shè)置中，
查看是否啟用 Windows 防火墻。
查看是否在“例外”中配置允許業(yè)務(wù)所需的程序接入網(wǎng)絡(luò)。
查看是否在“例外->編輯->更改范圍”編輯允許接入的網(wǎng)絡(luò)地址范
圍。

防病毒軟件
編號：1
要求內(nèi)容 安裝防病毒軟件，并及時(shí)更新。
操作指南 1、參考配置操作
9
安裝防病毒軟件，并及時(shí)更新。
檢測方法 1、判定條件
已安裝防病毒軟件，病毒碼更新時(shí)間不早于 1個(gè)月，各系統(tǒng)病毒碼
升級時(shí)間要求參見各系統(tǒng)相關(guān)規(guī)定。
注：對于操作終端該項(xiàng)為必選項(xiàng)，對于服務(wù)器該項(xiàng)為可選項(xiàng)
2、檢測操作
控制面板->添加或刪除程序，是否安裝有防病毒軟件。打開防病
毒軟件控制面板，查看病毒碼更新日期。

日志安全要求
編號：1
要求內(nèi)容 設(shè)備應(yīng)配置日志功能，對用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登
錄使用的賬號，登錄是否成功，登錄時(shí)間，以及遠(yuǎn)程登錄時(shí)，用戶
使用的 IP地址。
操作指南
1、參考配置操作
開始->運(yùn)行-> 執(zhí)行“ 控制面板->管理工具->本地安全策略->審核
策略”
審核登錄事件，雙擊，設(shè)置為成功和失敗都審核。
檢測方法
1、判定條件
審核登錄事件，設(shè)置為成功和失敗都審核。
2、檢測操作
開始->運(yùn)行-> 執(zhí)行“ 控制面板->管理工具->本地安全策略->審核
策略”
審核登錄事件，雙擊，查看是否設(shè)置為成功和失敗都審核。

編號：2
要求內(nèi)容 開啟審核策略，以便出現(xiàn)安全問題后進(jìn)行追查
操作指南 1、參考配置操作
對審核策略進(jìn)行檢查：

開始-運(yùn)行-gpedit.msc
計(jì)算機(jī)配置-Windows 設(shè)置-安全設(shè)置-本地策略-審核策略
以下審核是必須開啟的，其他的可以根據(jù)需要增加：
y 審核系統(tǒng)登陸事件 成功，失敗
y 審核帳戶管理 成功，失敗
y 審核登陸事件 成功，失敗
y 審核對象訪問 成功
y 審核策略更改 成功，失敗
y 審核特權(quán)使用 成功，失敗
y 審核系統(tǒng)事件 成功，失敗
2、補(bǔ)充說明
可能會(huì)使日志量猛增
檢測方法 1、判定條件
嘗試對被添加了訪問審核的對象進(jìn)行訪問，然后查看安全日志中是
否會(huì)有相關(guān)記錄，或通過其他手段激化以配置的審核策略，并觀察
日志中的記錄情況，如果存在記錄條目，則配置成功。
2、檢測操作

編號：3
要求內(nèi)容
設(shè)置日志容量和覆蓋規(guī)則，保證日志存儲
操作指南 1、參考配置操作
開始-運(yùn)行-eventvwr
右鍵選擇日志，屬性，根據(jù)實(shí)際需求設(shè)置：
日志文件大?。嚎筛鶕?jù)需要制定
超過上限時(shí)的處理方式（建議日志記錄天數(shù)不小于 90天）
2、 補(bǔ)充說明
建議對每個(gè)日志均進(jìn)行如上操作，同時(shí)應(yīng)保證磁盤空間
檢測方法 1、判定條件
2、檢測操作

開始-運(yùn)行-eventvwr，右鍵選擇日志，屬性，查看日志上限及超
過上線時(shí)的處理方式

不必要的服務(wù)、端口
編號：1
要求內(nèi)容 關(guān)閉不必要的服務(wù)
操作指南 1、參考配置操作
進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理” ，進(jìn)入“服務(wù)和應(yīng)用程
序” ：
可根據(jù)具體應(yīng)用情況參考附錄 A，篩選不必要的服務(wù)。
檢測方法 1、判定條件
系統(tǒng)管理員應(yīng)出具系統(tǒng)所必要的服務(wù)列表。
查看所有服務(wù)，不在此列表的服務(wù)需關(guān)閉。
2、檢測操作
進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理” ，進(jìn)入“服務(wù)和應(yīng)用程
序” ：
查看所有服務(wù)，不在此列表的服務(wù)是否已關(guān)閉。

編號： 2
要求內(nèi)容 如需啟用SNMP服務(wù)， 則修改默認(rèn)的SNMP Community String設(shè)置。
操作指南 1、參考配置操作
打開“控制面板”，打開“管理工具”中的“服務(wù)”，找到“SNMP
Service”，單擊右鍵打開“屬性”面板中的“安全”選項(xiàng)卡，在這個(gè)配置
界面中，可以修改 community strings，也就是微軟所說的“團(tuán)體名
稱”。
檢測方法 1、判定條件
community strings已改，不是默認(rèn)的“public”
2、檢測操作
打開“控制面板”，打開“管理工具”中的“服務(wù)”，找到“SNMP

Service”，單擊右鍵打開“屬性”面板中的“安全”選項(xiàng)卡，在這個(gè)配置
界面中，查看 community strings，也就是微軟所說的“團(tuán)體名稱”。

編號： 3
要求內(nèi)容 如對互聯(lián)網(wǎng)開放 WindowsTerminial 服務(wù)(Remote Desktop)，需修改
默認(rèn)服務(wù)端口。
操作指南 1、參考配置操作
開始->運(yùn)行 Regedt32
并轉(zhuǎn)到此項(xiàng):

HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal
ServerWinStationsRDP-Tcp
找到 “PortNumber” 子項(xiàng)， 會(huì)看到默認(rèn)值 00000D3D， 它是 3389
的十六進(jìn)制表示形式。使用十六進(jìn)制數(shù)值修改此端口號，并保存新
值。
檢測方法 1、判定條件
找到“PortNumber”子項(xiàng)，設(shè)定值非 00000D3D，即十進(jìn)制 3389
2、檢測操作
運(yùn)行 Regedt32 ,找到此項(xiàng)并判斷。

啟動(dòng)項(xiàng)
要求內(nèi)容 關(guān)閉無效啟動(dòng)項(xiàng)
操作指南 1、參考配置操作
“開始->運(yùn)行->MSconfig”啟動(dòng)菜單中，取消不必要的啟動(dòng)項(xiàng)。
檢測方法 1、判定條件
2、檢測操作
系統(tǒng)管理員提供業(yè)務(wù)必須的自動(dòng)加載進(jìn)程和服務(wù)列表文檔。
查看“開始->運(yùn)行->MSconfig”啟動(dòng)菜單：
不需要的自動(dòng)加載進(jìn)程是否已禁用和取消。

關(guān)閉自動(dòng)播放功能
編號：1

要求內(nèi)容 關(guān)閉 Windows自動(dòng)播放功能
操作指南 1、參考配置操作
開始→運(yùn)行→gpedit.msc，打開組策略編輯器，瀏覽到計(jì)算機(jī)配置
→管理模板→系統(tǒng)，在右邊窗格中雙擊“關(guān)閉自動(dòng)播放”，對話框中
選擇所有驅(qū)動(dòng)器，確定即可。
檢測方法 1、判定條件
所有驅(qū)動(dòng)器均“關(guān)閉自動(dòng)播放”
2、檢測操作
“關(guān)閉自動(dòng)播放”配置已啟用，啟用范圍：所有驅(qū)動(dòng)器。

共享文件夾
編號：1
要求內(nèi)容 在非域環(huán)境下，關(guān)閉 Windows 硬盤默認(rèn)共享，例如 C$，D$。
操作指南 1、參考配置操作
進(jìn)入“開始－>運(yùn)行－>Regedit” ，進(jìn)入注冊表編輯器，更改注冊表
鍵值：
HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\
下，增加 REG_DWORD 類型的 AutoShareServer 鍵，值為 0。
檢測方法 1、判定條件
HKLM\System\CurrentControlSet\
Services\LanmanServer\Parameters\增加了 REG_DWORD 類型的
AutoShareServer 鍵，值為 0。
2、檢測操作
進(jìn)入“開始－>運(yùn)行－>Regedit” ，進(jìn)入注冊表編輯器，更改注冊表
鍵值：

HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\
，增加 REG_DWORD類型的 AutoShareServer 鍵，值為 0。

編號：2
要求內(nèi)容 設(shè)置共享文件夾的訪問權(quán)限，只允許授權(quán)的賬戶擁有權(quán)限共享此文
件夾。
操作指南 1、參考配置操作
進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理” ，進(jìn)入“系統(tǒng)工具－>共
享文件夾” ：
查看每個(gè)共享文件夾的共享權(quán)限，只將權(quán)限授權(quán)于指定賬戶。
檢測方法 1、判定條件
查看每個(gè)共享文件夾的共享權(quán)限僅限于業(yè)務(wù)需要，不設(shè)置成為
“everyone” 。
2、檢測操作
進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理” ，進(jìn)入“系統(tǒng)工具－>共
享文件夾” ：
查看每個(gè)共享文件夾的共享權(quán)限。
使用NTFS文件系統(tǒng)
要求內(nèi)容 在不毀壞數(shù)據(jù)的情況下，將ＦＡＴ分區(qū)改為ＮＴＦＳ格式
操作指南 1、參考配置操作
將 FAT 卷轉(zhuǎn)換成 NTFS 分區(qū)
CONVERT volume /FS:NTFS[/V] [/CvtArea:filename][/NoSecurity]
[/X]
Vo l ume 指定驅(qū)動(dòng)器號（后面加一個(gè)冒號） 、裝載點(diǎn)或卷名
/FS:NTFS 指定要被轉(zhuǎn)換成 NTFS 的卷
/V 指定 CONVERT 應(yīng)該用詳述模式運(yùn)行
/CvtArea:filename 將根目錄中的一個(gè)接續(xù)文件指定為NTFS系統(tǒng)文
件的占位符
15
/NoSecurity 指定每個(gè)人都可以訪問轉(zhuǎn)換的文件和目錄的安全設(shè)置
/X 如果必要，先強(qiáng)行卸載卷，有打開的句柄則無效
例如：
Covert C：/FS:NTFS
備注：
1、新上線系統(tǒng)必須要求 NTFS 分區(qū)，已上線系統(tǒng)在不損壞數(shù)據(jù)的
情況下應(yīng)用
2、在有其他非 WIN系統(tǒng)訪問、存在數(shù)據(jù)共享的情況下，不建議將
ＦＡＴ分區(qū)改為ＮＴＦＳ格式
檢測方法 1、判定條件
2、檢測操作

網(wǎng)絡(luò)訪問
編號：1

要求內(nèi)容 禁用匿名訪問命名管道和共享
16
操作指南 1、參考配置操作
“控制面板->管理工具->本地安全策略” ，在“本地策略->安全選
項(xiàng)”:網(wǎng)絡(luò)訪問：可匿名訪問的共享設(shè)置為全部刪除
“控制面板->管理工具->本地安全策略” ，在“本地策略->安全選
項(xiàng)”:網(wǎng)絡(luò)訪問：可匿名訪問的命名管道 設(shè)置為全部刪除
檢測方法 1、判定條件
全部刪除匿名訪問命名管道和共享
2、 檢測操作
查看“控制面板->管理工具->本地安全策略” ，在“本地策略->安
全選項(xiàng)”:網(wǎng)絡(luò)訪問：可匿名訪問的共享、可匿名訪問的命名管道
是否設(shè)置為全部刪除

編號：2

要求內(nèi)容 禁用可遠(yuǎn)程訪問的注冊表路徑和子路徑
操作指南 1、參考配置操作
“控制面板->管理工具->本地安全策略” ，在“本地策略->安全選
項(xiàng)”:網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑 設(shè)置為全部刪除
“控制面板->管理工具->本地安全策略” ，在“本地策略->安全選
項(xiàng)”:網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑和子路徑 設(shè)置為全部刪
除
檢測方法 1、判定條件
全部刪除可遠(yuǎn)程訪問的注冊表路徑和子路徑
3、 檢測操作
查看“控制面板->管理工具->本地安全策略” ，在“本地策略->安
全選項(xiàng)”:網(wǎng)絡(luò)訪問中，查看，可遠(yuǎn)程訪問的注冊表路徑、可遠(yuǎn)程
訪問的注冊表路徑和子路徑是否設(shè)置為全部刪除

會(huì)話超時(shí)設(shè)置
編號：1
17
要求內(nèi)容
對于遠(yuǎn)程登錄的賬戶，設(shè)置不活動(dòng)所連接時(shí)間 15 分鐘
操作指南 1、參考配置操作
進(jìn)入“控制面板—管理工具—本地安全策略” ，在“安全策略—安
全選項(xiàng)” ： “Microsoft 網(wǎng)絡(luò)服務(wù)器”設(shè)置為“在掛起會(huì)話之前所需
的空閑時(shí)間”為 15 分鐘
檢測方法 1、判定條件
“Microsoft 網(wǎng)絡(luò)服務(wù)器”設(shè)置為“在掛起會(huì)話之前所需的空閑時(shí)
間”為 15 分鐘
2、檢測操作
進(jìn)入“控制面板—管理工具—本地安全策略” ，在“安全策略—安
全選項(xiàng)” ：查看“Microsoft 網(wǎng)絡(luò)服務(wù)器”設(shè)置

注冊表設(shè)置
編號：1
要求內(nèi)容 在不影響系統(tǒng)穩(wěn)定運(yùn)行的前提下，對注冊表信息進(jìn)行更新。
操作指南 1、參考配置操作
y 自動(dòng)登錄：
HKLM\Software\Microsoft\WindowsNT\
CurrentVersion\Winlogon\AutoAdminLogon (REG_DWORD) 0
y 源路由欺騙保護(hù)：
HKLM\System\CurrentControlSet\
Services\Tcpip\Parameters\DisableIPSourceRouting
(REG_DWORD) 2
y 刪除匿名用戶空鏈接
HKEY_LOCAL_MACHINE
SYSTEM\Current\Control\Set\Control\Lsa
將 restrictanonymous 的值設(shè)置為 1，若該值不存在，可以自己
創(chuàng)建，類型為 REG_DWORD
修改完成后重新啟動(dòng)系統(tǒng)生效
y 碎片×××保護(hù)：
HKLM\System\CurrentControlSet\
18
Services\Tcpip\Parameters\EnablePMTUDiscovery
(REG_DWORD) 1
y Syn flood ×××保護(hù)：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
之下，可設(shè)置：
TcpMaxPortsExhausted。推薦值：5。
TcpMaxHalfOpen。推薦值數(shù)據(jù)：500。
TcpMaxHalfOpenRetried。推薦值數(shù)據(jù)：400
檢測方法 1、判定條件
2、檢測操作
點(diǎn)擊開始->運(yùn)行，然后在打開行里輸入 regedit，然后單擊確定，查看相
關(guān)注冊表項(xiàng)進(jìn)行查看；
使用空連接掃描工具無法遠(yuǎn)程枚舉用戶名和用戶組

附錄 A：端口及服務(wù)
服務(wù)名稱 端口 服務(wù)說明 關(guān)閉方法 處置建議
系統(tǒng)服務(wù)部分
echo 7/TCP RFC862_回聲協(xié)議
關(guān)閉"Simple
TCP/IP Services"服
務(wù)。
建議關(guān)閉
echo 7/UDP RFC862_回聲協(xié)議
discard 9/UDP RFC863 廢除協(xié)議
discard 9/TCP RFC863 廢除協(xié)議
daytime 13/UDP RFC867 白天協(xié)議
daytime 13/TCP RFC867 白天協(xié)議
qotd 17/TCP
RFC865 白天協(xié)議的
引用
qotd 17/UDP
RFC865 白天協(xié)議的
引用
chargen 19/TCP
RFC864 字符產(chǎn)生協(xié)
議
19
chargen 19/UDP
RFC864 字符產(chǎn)生協(xié)
議
ftp 21/TCP 文件傳輸協(xié)議(控制)
關(guān)閉"FTP
Publishing Service"
服務(wù)。
根據(jù)情況選擇
開放
smtp 25/TCP 簡單郵件發(fā)送協(xié)議
關(guān)閉"Simple Mail
Transport Protocol"
服務(wù)。
建議關(guān)閉
nameserver
42/TCP
WINS 主機(jī)名服務(wù)
關(guān)閉"Windows
Internet Name
Service"服務(wù)。
建議關(guān)閉
42/UDP
domain
53/UDP
域名服務(wù)器
關(guān)閉"DNS Server"
服務(wù)。
根據(jù)情況選擇
開放
53/TCP
根據(jù)情況選擇
開放
dhcps 67/UDP
DHCP 服務(wù)器
/Internet 連接共享
關(guān)閉"Simple
TCP/IP Services"服
務(wù)。
建議關(guān)閉
dhcpc 68/UDP DHCP協(xié)議客戶端
關(guān)閉"DHCP Client"
服務(wù)。
建議關(guān)閉
http 80/TCP
HTTP 萬維網(wǎng)發(fā)布服
務(wù)
關(guān)閉"World Wide
Web Publishing
Service"服務(wù)。
根據(jù)情況選擇
開放
epmap
135/TCP
RPC服務(wù) 系統(tǒng)基本服務(wù)
無法關(guān)閉
135/UDP 無法關(guān)閉
netbios-ns 137/UDP NetBIOS 名稱解析
在網(wǎng)卡的 TCP/IP選
項(xiàng)中"WINS"頁勾選"
禁用 TCP/IP上的
NETBIOS"
根據(jù)情況選擇
開放
netbios-dgm 138/UDP NetBIOS 數(shù)據(jù)報(bào)服務(wù) 根據(jù)情況選擇
開放
netbios-ssn 139/TCP NetBIOS 會(huì)話服務(wù) 系統(tǒng)基本服務(wù) 無法關(guān)閉
snmp 161/UDP SNMP 服務(wù) 關(guān)閉"SNMP "服務(wù)
根據(jù)情況選擇
開放
https 443/TCP
安全超文本傳輸協(xié)議
關(guān)閉"World Wide
Web Publishing
Service"服務(wù)
根據(jù)情況選擇
開放
20
microsoft-ds
445/UDP
SMB 服務(wù)器
運(yùn)行regedit，打開
HKEY_LOCAL_MA
CHINE\System\Cur
rentControlSet\Serv
ices\NetBT\Parame
ters 添加名為
"SMBDeviceEnable
d"的子鍵，類型
dword，值為0 重新
啟動(dòng)計(jì)算機(jī)
根據(jù)情況選擇
開放
445/TCP
isakmp 500/UDP
IPSec ISAKMP 本地
安全機(jī)構(gòu)
關(guān)閉"IPSEC Policy
Agent"服務(wù)
很少使用的服
務(wù)，如不使用
ipsec，建議關(guān)
閉
RADIUS 1645/UDP
舊式 RADIUS
Internet 身份驗(yàn)證服
務(wù)
關(guān)閉"Remote
Access Connection
Manager"服務(wù)
建議關(guān)閉
RADIUS 1646/UDP
舊式 RADIUS
Internet 身份驗(yàn)證服
務(wù)
建議關(guān)閉
radius 1812/UDP
身份驗(yàn)證 Internet 身
份驗(yàn)證服務(wù)
建議關(guān)閉
radacct 1813/UDP
計(jì)帳 Internet 身份驗(yàn)
證服務(wù)
建議關(guān)閉
MSMQ-RPC 2105/TCP
MSMQ-RPC 消息隊(duì)
列
關(guān)閉"Message
Queuing"服務(wù)。
建議關(guān)閉
Termsrv 3389/TCP 終端服務(wù)
關(guān)閉"Terminal
Services"服務(wù)。
根據(jù)情況選擇
開放
其他常用服務(wù)
Apache
80/TCP
8000/TCP
Apache HTTP 服務(wù)
器
關(guān)閉"Apache2"服
務(wù)。
根據(jù)情況選擇
開放
ms-sql-s
1433/TCP
1434/UDP
微軟公司數(shù)據(jù)庫
關(guān)閉
"MSSQLServer"服
務(wù)。
根據(jù)情況選擇
開放
ORACLE 1521/TCP 甲骨文公司數(shù)據(jù)庫
關(guān)閉
"OracleOraHome90
TNSListener"服務(wù)。
根據(jù)情況選擇
開放
21
remote
administrator
4899/TCP
Famatech公司遠(yuǎn)程控
制軟件
關(guān)閉"Remote
Administrator
Service
"服務(wù)。
根據(jù)情況選擇
開放
sybase 5000/TCP Sybase公司數(shù)據(jù)庫
關(guān)閉"Sybase
SQLServer"字樣開
始的服務(wù)。
根據(jù)情況選擇
開放
pcAnywhere
5631/TCP
5632/UDP
Symantec公司遠(yuǎn)程控
制軟件
關(guān)閉"pcAnywhere
Host Service"字樣
開始的服務(wù)。
根據(jù)情況選擇
開放