Windows 操作系统安全防护强制性要求

Windows 操作系统安全防护

强制性要求

二〇一四年五月

目录

1.系统用户口令及策略加固1

1.1.系统用户口令策略加固

1

1.2.用户权限设置

1

1.3.禁用Guest（来宾）帐户

2

1.4.禁止使用超级管理员帐号

3

1.5.删除多余的账号

4

2.日志审核策略配置4

2.1.设置主机审核策略

4

2.2.调整事件日志的大小及覆盖策略

5

2.3.启用系统失败日志记录功能

5

3.安全选项策略配置6

3.1.设置挂起会话的空闲时间

6

3.2.禁止发送未加密的密码到第三方SMB 服务器

6

3.3.禁用对所有驱动器和文件夹进行软盘复制和访问

7

3.4.禁止故障恢复控制台自动登录

7

3.5.关机时清除虚拟内存页面文件

7

3.6.禁止系统在未登录前关机

8

3.7.不显示上次登录的用户名

8

3.8.登录时需要按CTRL+ALT+DEL

8

3.9.可被缓存的前次登录个数

9

3.10. 不允许SAM 帐户和共享的匿名枚举 (9)

3.11.不允许为网络身份验证储存凭证或.NET Passports

9

3.12. 如果无法记录安全审核则立即关闭系统 (10)

3.13. 禁止从本机发送远程协助邀请 (10)

3.14. 关闭故障恢复自动重新启动 (11)

4.用户权限策略配置11

4.1.禁止用户组通过终端服务登录

11

4.2.只允许管理组通过终端服务登录

11

4.3.限制从网络访问此计算机

12

5.用户权限策略配置12

5.1.禁止自动登录

12

5.2.禁止光驱自动运行

12

5.3.启用源路由欺骗保护

13

5.4.删除IPC 共享

13

6.网络与服务加固14

6.1.卸载、禁用、停止不需要的服务

14

6.2.禁用不必要进程，防止病毒程序运行

15

6.3.关闭不必要启动项，防止病毒程序开机启动

24

6.4.检查是否开启不必要的端口

34

6.5.修改默认的远程桌面端口

34

6.6.启用客户端自带防火墙

35

6.7.检测DDOS 攻击保护设置

35

6.8.检测ICMP攻击保护设置

36

6.9.检测TCP碎片攻击保护设置

37

7.其他安全性加固38

7.1.安装防火墙和防病毒软件

38

7.2.使用NTFS文件系统

38

7.3.文件权限安全

39

7.4.未经签名的驱动程序软件安装管理

39

7.5.屏幕保护

40

7.6.检查数据执行保护

40

1.系统用户口令及策略加固1.1.系统用户口令策略加固

1.2.用户权限设置

1．参考配置操作

检查用户权限策略是否设置：

开始→运行→ gpedit.msc

计算机配置→Windows设置→安全设置→本地策略→

用户权利指派

此处有较多选项，建议对以下四项进行检查：

从网络访问此计算机（可选）

从远程系统强制关机

拒绝本地登录

建议做如下设置：

从远程系统强制关机的权利仅指派给Administrators

设置取得文件或其它对象的所有权为只指派给

Administrators组

拒绝本地登录：IUSR_MACHINENAME、

IWAN_MACHINENAME等不需要使用的用户

设置完成后使用secedit /refreshpolicymachine_policy命令

刷新策略以快速生效（建议重新启动系统）

2．补充操作说明

如果设备需要文件共享，则不应设置从网络访问此计算机项1.3.禁用Guest（来宾）帐户

1.4.禁止使用超级管理员帐号

1.5.删除多余的账号

2.日志审核策略配置2.1.设置主机审核策略

2.2.调整事件日志的大小及覆盖策略

2.3.启用系统失败日志记录功能

3.安全选项策略配置

3.1.设置挂起会话的空闲时间

3.2.禁止发送未加密的密码到第三方SMB 服务器

3.3.禁用对所有驱动器和文件夹进行软盘复制和访问

3.4.禁止故障恢复控制台自动登录

3.5.关机时清除虚拟内存页面文件

3.6.禁止系统在未登录前关机

3.7.不显示上次登录的用户名

3.8.登录时需要按CTRL+ALT+DEL

3.9.可被缓存的前次登录个数

3.10.不允许SAM 帐户和共享的匿名枚举

3.11.不允许为网络身份验证储存凭证或.NET

Passports

3.12.如果无法记录安全审核则立即关闭系统

3.13.禁止从本机发送远程协助邀请