1、Windows 安全配置規(guī)范2010 年 11 月第1章概述1.1適用范圍本規(guī)范明確了 Windows操作系統(tǒng)在安全配置方面的基本要求，可作為編制設(shè) 備入網(wǎng)測(cè)試、安全驗(yàn)收、安全檢查規(guī)范等文檔的參考。適用于中國(guó)電信所有運(yùn)行的 Windows操作系統(tǒng)，包括Windows2000、Windows XP、Windows2003, Windows7 , Windows 2008 以及各版本中的 SeVer、 PrOfeSSi Onal 版本。第2章安全配置要求2.1賬號(hào)編號(hào)：1要求內(nèi)容應(yīng)按照不冋的用戶分配不冋的賬號(hào)，避免不冋用戶間共享賬號(hào)，避免用戶賬號(hào)和設(shè)備間通信使用的賬號(hào)共享。操作指南1、參考配置操作

2、進(jìn)入“控制面板- 管理工具- 計(jì)算機(jī)管理”，在“系統(tǒng)工具- 本地用戶和組”：根據(jù)系統(tǒng)的要求，設(shè)定不冋的賬戶和賬戶組。檢測(cè)方法1、判定條件結(jié)合要求和實(shí)際業(yè)務(wù)情況判斷符合要求，根據(jù)系統(tǒng)的要求，設(shè)定不同的賬戶和賬戶組2、檢測(cè)操作進(jìn)入“控制面板- 管理工具- 計(jì)算機(jī)管理”，在“系統(tǒng)工具- 本地 用戶和組”：查看根據(jù)系統(tǒng)的要求，設(shè)定不冋的賬戶和賬戶組編號(hào)：2要求內(nèi)容應(yīng)刪除與運(yùn)行、維護(hù)等工作無關(guān)的賬號(hào)。操作指南1參考配置操作A）可使用用戶管理工具：開始-運(yùn)行-ComPmgmt.msc-本地用戶和組-用戶B）也可以通過net命令：刪除賬號(hào)： net USer accou nt/del 停用賬號(hào)： net U

3、Ser acco Un t/active:no1.判定條件結(jié)合要求和實(shí)際業(yè)務(wù)情況判斷符合要求，刪除或鎖定與設(shè)備運(yùn)行、維護(hù)檢測(cè)方法等與工作無關(guān)的賬號(hào)。注：主要指測(cè)試帳戶、共享帳號(hào)、已經(jīng)不用賬號(hào)等2.檢測(cè)操作開始-運(yùn)行-ComPmgmt.msc-本地用戶和組-用戶編號(hào)：3要求內(nèi)容重命名 Administrator ;禁用guest （來兵）帳號(hào)。操作指南1、參考配置操作進(jìn)入“控制面板- 管理工具- 計(jì)算機(jī)管理”，在“系統(tǒng)工具- 本地 用戶和組”：Administrator 屬性一 更改名稱GUeSt帳號(hào)- 屬性 已停用檢測(cè)方法1、判定條件缺省賬戶Administrator 名稱已更改。GUeSt帳

4、號(hào)已停用。2、檢測(cè)操作進(jìn)入“控制面板- 管理工具- 計(jì)算機(jī)管理”，在“系統(tǒng)工具- 本地用戶和組”：缺省帳戶一 屬性一 更改名稱GUeSt帳號(hào)- 屬性 已停用2.2 口令編號(hào)：1要求內(nèi)容密碼長(zhǎng)度要求：最少 8位密碼復(fù)雜度要求：至少包含以下四種類別的字符中的三種：英語大寫字母A, B, C,Z英語小寫字母a, b, c,Z阿拉伯?dāng)?shù)字0, 1,2,9非字母數(shù)字字符，如標(biāo)點(diǎn)符號(hào)，, #, $, %, &, *等操作指南1、參考配置操作進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“帳戶策略- 密碼策略”：“密碼必須符合復(fù)雜性要求”選擇“已啟動(dòng)”檢測(cè)方法1、判定條件“密碼必須符合復(fù)雜性要求”選擇“已啟

5、動(dòng)”2、檢測(cè)操作進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“帳戶策略- 密碼策略”：查看是否“密碼必須符合復(fù)雜性要求”選擇“已啟動(dòng)”編號(hào)：2要求內(nèi)容對(duì)于米用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，賬戶口令的生存期不長(zhǎng)于90天。操作指南1、參考配置操作進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“帳戶策略- 密碼策略”：“密碼最長(zhǎng)存留期”設(shè)置為“90天”檢測(cè)方法1、判定條件“密碼最長(zhǎng)存留期”設(shè)置為“ 90天”2、檢測(cè)操作進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“帳戶策略- 密 碼策略”：查看是否“密碼最長(zhǎng)存留期”設(shè)置為“90天”編號(hào)：3要求內(nèi)容對(duì)于米用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置設(shè)備，使用戶

6、不能重復(fù)使用最近5次（含5次）內(nèi)已使用的口令。操作指南1、參考配置操作進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“帳戶策略- 密碼策略”：“強(qiáng)制密碼歷史”設(shè)置為“記住5個(gè)密碼”檢測(cè)方法1、判定條件“強(qiáng)制密碼歷史”設(shè)置為“記住5個(gè)密碼”2、檢測(cè)操作進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“帳戶策略- 密碼策略”：查看是否“強(qiáng)制密碼歷史”設(shè)置為“記住5個(gè)密碼”編號(hào)：4要求內(nèi)容對(duì)于米用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過6次（不含6次），鎖定該用戶使用的賬號(hào)。操作指南1、參考配置操作進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“帳戶策略- 帳戶鎖定策略”：“賬戶

7、鎖定閥值”設(shè)置為 6次檢測(cè)方法1、判定條件“賬戶鎖定閥值”設(shè)置為小于或等于6次2、檢測(cè)操作進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“帳戶策略- 帳 戶鎖定策略”：查看是否“賬戶鎖定閥值”設(shè)置為小于等于6次補(bǔ)充說明：設(shè)置不當(dāng)可能導(dǎo)致賬號(hào)大面積鎖定，在域環(huán)境中應(yīng)小心設(shè)置，Admi ni Strator賬號(hào)本身不會(huì)被鎖疋。2.3授權(quán)編號(hào)：1要求內(nèi)容本地、遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)只指派給Admi ni StratOrS組。操作指南1、參考配置操作進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“本地策略- 用戶權(quán)利指派”：關(guān)閉系統(tǒng)設(shè)置為只指派給AdminiStratOrS組從遠(yuǎn)程系統(tǒng)強(qiáng)制關(guān)機(jī)設(shè)置為只指

8、派給AdminiStratOrS組檢測(cè)方法1、判定條件關(guān)閉系統(tǒng)設(shè)置為只指派給AdminiStratOrS組從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī) 設(shè)置為 只指派給AdminiStrtOrS組2、檢測(cè)操作進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“本地策略- 用戶權(quán)利指派”：查看關(guān)閉系統(tǒng)設(shè)置為只指派給AdminiStratOrS組查看是否“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置為“只指派給Admi nistrators組”要求內(nèi)容在本地安全設(shè)置中取得文件或其它對(duì)象的所有權(quán)僅指派給編號(hào)：2要求內(nèi)容在本地安全設(shè)置中取得文件或其它對(duì)象的所有權(quán)僅指派給Admi nistrators 。操作指南1、參考配置操作進(jìn)入“控制面板- 管理

9、工具- 本地安全策略”，在“本地策略- 用戶權(quán)利指派”：“取得文件或其它對(duì)象的所有權(quán)”設(shè)置為“只指派給Admi nistrators組”檢測(cè)方法1、判定條件“取得文件或其它對(duì)象的所有權(quán)”設(shè)置為“只指派給Admi nistrators組”2、檢測(cè)操作進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“本地策略- 用戶權(quán)利指派”：查看是否“取得文件或其它對(duì)象的所有權(quán)”設(shè)置為“只指派給Admi nistrators組”編號(hào)：3要求內(nèi)容在本地安全設(shè)置中只允許授權(quán)帳號(hào)本地、遠(yuǎn)程訪問登陸此計(jì)算機(jī)。操作指南1、參考配置操作進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“本地策略- 用 戶權(quán)利指派”“從本地登

10、陸此計(jì)算機(jī)”設(shè)置為“指定授權(quán)用戶”“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”設(shè)置為“指定授權(quán)用戶”檢測(cè)方法1、判定條件“從本地登陸此計(jì)算機(jī)”設(shè)置為“指定授權(quán)用戶”“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”設(shè)置為“指定授權(quán)用戶”2、檢測(cè)操作進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“本地策略- 用 戶權(quán)利指派”查看是否“從本地登陸此計(jì)算機(jī)”設(shè)置為“指定授權(quán)用戶” 查看是否“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”設(shè)置為“指定授權(quán)用戶”2.4 補(bǔ)丁編號(hào)：1要求內(nèi)容在不影響業(yè)務(wù)的情況下，應(yīng)安裝最新的SerViCe PaCk補(bǔ)丁集。對(duì) 服務(wù)器系統(tǒng)應(yīng)先進(jìn)行兼容性測(cè)試。操作指南1、參考配置操作安裝最新的SerViCe PaCk 補(bǔ)丁集，以及最新的 Hotfi

11、X 補(bǔ)丁。目前 Windows XP 的 SerViCe PaCk 為 SP3。Windows2000 的 SerViCe PaCk 為 SP4,Windows 2003 的 SerViCe PaCk 為 SP2檢測(cè)方法1、判定條件2、檢測(cè)操作進(jìn)入控制面板- 添加或刪除程序- 顯示更新打鉤，查看是否 XP系 統(tǒng)已安裝SP3 Win2000系統(tǒng)已安裝SP4, Win2003系統(tǒng)已安裝SP2。冋時(shí)檢查所有的hotfix ,并查看系統(tǒng)安裝的最后一個(gè)補(bǔ)丁的發(fā)布日期是否與最近最新發(fā)布的補(bǔ)丁日期一致。2.5防護(hù)軟件編號(hào)：1 （可選）要求內(nèi)容啟用自帶防火墻或安裝第三方威脅防護(hù)軟件。 根據(jù)業(yè)務(wù)需要限定允 許訪

12、問網(wǎng)絡(luò)的應(yīng)用程序，和允許遠(yuǎn)程登陸該設(shè)備的IP地址范圍。操作指南1、參考配置操作（以啟動(dòng)自帶防火墻為例）進(jìn)入“控制面板 網(wǎng)絡(luò)連接 本地連接”，在高級(jí)選項(xiàng)的設(shè)置中啟用Windows防火墻。在“例外”中配置允許業(yè)務(wù)所需的程序接入網(wǎng)絡(luò)。在“例外- 編輯- 更改范圍”編輯允許接入的網(wǎng)絡(luò)地址范圍。檢測(cè)方法1、判定條件啟用Windows防火墻。“例外”中允許接入網(wǎng)絡(luò)的程序均為業(yè)務(wù)所需。2、檢測(cè)操作進(jìn)入“控制面板 網(wǎng)絡(luò)連接 本地連接”，在高級(jí)選項(xiàng)的設(shè)置中， 查看是否啟用Win dows防火墻。查看是否在“例外”中配置允許業(yè)務(wù)所需的程序接入網(wǎng)絡(luò)。查看是否在“例外-編輯- 更改范圍”編輯允許接入的網(wǎng)絡(luò)地址范 圍。

13、2.6防病毒軟件編號(hào)：1要求內(nèi)容安裝防病毒軟件，并及時(shí)更新。操作指南1、參考配置操作安裝防病毒軟件，并及時(shí)更新。檢測(cè)方法1、判定條件已安裝放病毒軟件，病毒碼更新時(shí)間不早于 1個(gè)月，各系統(tǒng)病毒碼 升級(jí)時(shí)間要求參見各系統(tǒng)相關(guān)規(guī)定。2、檢測(cè)操作控制面板-添加或刪除程序，是否安裝有防病毒軟件。 打開防病毒 軟件控制面板，查看病毒碼更新日期。2.8日志安全要求編號(hào)：1要求內(nèi)容設(shè)備應(yīng)配置日志功能，對(duì)用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登 錄使用的賬號(hào)，登錄是否成功，登錄時(shí)間，以及遠(yuǎn)程登錄時(shí)，用戶 使用的IP地址。操作指南1、參考配置操作開始- 運(yùn)行- 執(zhí)行“控制面板- 管理工具- 本地安全策略- 審核策略”

14、審核登錄事件，雙擊，設(shè)置為成功和失敗都審核。檢測(cè)方法1、判定條件審核登錄事件，設(shè)置為成功和失敗都審核。2、檢測(cè)操作開始- 運(yùn)行- 執(zhí)行“控制面板- 管理工具- 本地安全策略- 審核策略”審核登錄事件，雙擊，查看是否設(shè)置為成功和失敗都審核。編號(hào)：2要求內(nèi)容開啟審核策略，以便出現(xiàn)安全問題后進(jìn)行追查操作指南1、參考配置操作對(duì)審核策略進(jìn)行檢查：開始-運(yùn)行 -gpedit.msc計(jì)算機(jī)配置-Windows設(shè)置-安全設(shè)置-本地策略-審核策略 以下審核是必須開啟的，其他的可以根據(jù)需要增加：審核系統(tǒng)登陸事件成功，失敗審核帳戶管理成功，失敗審核登陸事件成功，失敗審核對(duì)象訪問成功審核策略更改成功，失敗審核特權(quán)使用

15、成功，失敗審核系統(tǒng)事件成功，失敗2、補(bǔ)充說明可能會(huì)使日志量猛增檢測(cè)方法1、判定條件嘗試對(duì)被添加了訪冋審核的對(duì)象進(jìn)行訪冋，然后查看安全日志中是否會(huì)有相關(guān)記錄， 或通過其他手段激化以配置的審核策略，并觀察日志中的記錄情況，如果存在記錄條目，則配置成功。2、檢測(cè)操作編號(hào)：3要求內(nèi)容設(shè)置日志容量和覆蓋規(guī)則，保證日志存儲(chǔ)操作指南1、參考配置操作開始-運(yùn)行-eventvwr右鍵選擇日志，屬性，根據(jù)實(shí)際需求設(shè)置：日志文件大小超過上線時(shí)的處理方式（建議日志記錄天數(shù)不小于60天）2、補(bǔ)充說明建議對(duì)每個(gè)日志均進(jìn)行如上操作，同時(shí)應(yīng)保證磁盤空間檢測(cè)方法1、判定條件2、檢測(cè)操作開始-運(yùn)行-eventvwr，右鍵選擇日志

16、，屬性，查看日志上線及超過上線時(shí)的處理方式2.7 Windows服務(wù)編號(hào)：1要求內(nèi)容關(guān)閉不必要的服務(wù)操作指南1、參考配置操作進(jìn)入“控制面板- 管理工具- 計(jì)算機(jī)管理”，進(jìn)入“服務(wù)和應(yīng)用程 序”：查看所有服務(wù)，不在此列表的服務(wù)需關(guān)閉。可禁用的服務(wù)及其相關(guān)說明如附表所示檢測(cè)方法1、判定條件系統(tǒng)管理員應(yīng)出具系統(tǒng)所必要的服務(wù)列表。 查看所有服務(wù)，不在此列表的服務(wù)需關(guān)閉。2、檢測(cè)操作進(jìn)入“控制面板- 管理工具- 計(jì)算機(jī)管理”，進(jìn)入“服務(wù)和應(yīng)用程序”：查看所有服務(wù)，不在此列表的服務(wù)是否已關(guān)閉。編號(hào)：2要求內(nèi)容如需啟用SNM服務(wù)，則修改默認(rèn)的 SNMPCommUnity String設(shè)置。操作指南1、參考配

17、置操作打開控制面板”，打開 管理工具”中的 服務(wù)”，找到SNMP SerViCe ”，單擊右鍵打開 屬性”面板中的 安全”選項(xiàng)卡，在這個(gè)配 置界面中，可以修改 CommUnity Strings ,也就是微軟所說的團(tuán)體名稱”。檢測(cè)方法1、判定條件community Strings已改，不是默認(rèn)的“ PUbIiC ”2、檢測(cè)操作打開控制面板”，打開 管理工具”中的 服務(wù)”，找到SNMP SerViCe ”，單擊右鍵打開屬性”面板中的 安全”選項(xiàng)卡，在這個(gè)配置界面中，查看 CommU nity Stri ngs,也就是微軟所說的團(tuán)體名稱”。編號(hào)：3要求內(nèi)容如對(duì)互聯(lián)網(wǎng)開放 Win dowsTermi

18、 nial 服務(wù)(RemOte DeSktOP),需修改默認(rèn)服務(wù)端口。操作指南1、參考配置操作運(yùn)行Regedt32并轉(zhuǎn)到此項(xiàng)：HKEY_LOCAL_MACHINESyStemCUrre ntCo ntrolSetCo ntrolTermi nalSerVerWi nStatio nsRDP-Tcp找到“POrtNUmber ”子項(xiàng)，會(huì)看到默認(rèn)值 OooooD3D,它是3389的十六進(jìn)制表示形式。使用十六進(jìn)制數(shù)值修改此端口號(hào)，并保存新值。檢測(cè)方法1、判定條件找到“ PortNUmber ”子項(xiàng)，設(shè)定值非 OooooD3D,即十進(jìn)制33892、檢測(cè)操作運(yùn)行Regedt32 ,找到此項(xiàng)并判斷。2.8

19、啟動(dòng)項(xiàng)要求內(nèi)容關(guān)閉無效啟動(dòng)項(xiàng)操作指南1、參考配置操作開始- 運(yùn)行-MSconfig ”啟動(dòng)菜單中，取消不必要的啟動(dòng)項(xiàng)。檢測(cè)方法1、判定條件2、檢測(cè)操作系統(tǒng)管理員提供業(yè)務(wù)必須的自動(dòng)加載進(jìn)程和服務(wù)列表文檔。查看 開始- 運(yùn)行-MSconfig 啟動(dòng)菜單：不需要的自動(dòng)加載進(jìn)程是否已禁用和取消。2.9關(guān)閉自動(dòng)播放功能編號(hào)：1要求內(nèi)容關(guān)閉Windows自動(dòng)播放功能操作指南1、參考配置操作點(diǎn)擊開始運(yùn)行輸入gpedit.msc ，打開組策略編輯器，瀏覽到計(jì) 算機(jī)配置管理模板系統(tǒng)，在右邊窗格中雙擊 關(guān)閉自動(dòng)播放”， 對(duì)話框中選擇所有驅(qū)動(dòng)器，確定即可。檢測(cè)方法1、判定條件所有驅(qū)動(dòng)器均 關(guān)閉自動(dòng)播放”2、檢測(cè)操作

20、關(guān)閉自動(dòng)播放”配置已啟用，啟用范圍：所有驅(qū)動(dòng)器。2.10共享文件夾編號(hào)：1要求內(nèi)容關(guān)閉 Windows硬盤默認(rèn)共享，例如C$, D&操作指南1、參考配置操作進(jìn)入“開始 運(yùn)行Regedit ”，進(jìn)入注冊(cè)表編輯器，更改注冊(cè)表鍵值：在HKLMSystemCurre ntCo ntrolSet下，增加 REG_DWORDl型的AUtOShareSerVer 鍵，值為 0。檢測(cè)方法1、判定條件HKLMSystemCurre ntCo ntrolSet增加了 REG_DWORD型的 AUtOShareSerVer 鍵，值為 0。2、檢測(cè)操作進(jìn)入“開始 運(yùn)行Regedit ”，進(jìn)入注冊(cè)表編輯器，更改注冊(cè)表鍵

21、值：增加 REG_DWORD型的 AUtOShareSerVer 鍵，值為 0。編號(hào)：2要求內(nèi)容設(shè)置共享文件夾的訪問權(quán)限， 只允許授權(quán)的賬戶擁有權(quán)限共享此文 件夾。操作指南1、參考配置操作進(jìn)入“控制面板- 管理工具- 計(jì)算機(jī)管理”，進(jìn)入“系統(tǒng)工具 共 享文件夾”：查看每個(gè)共享文件夾的共享權(quán)限，只將權(quán)限授權(quán)于指定賬戶。檢測(cè)方法1、判定條件查看每個(gè)共享文件夾的共享權(quán)限僅限于業(yè)務(wù)需要，不設(shè)置成為a”every One 。2、檢測(cè)操作進(jìn)入“控制面板- 管理工具- 計(jì)算機(jī)管理”，進(jìn)入“系統(tǒng)工具 共 享文件夾”：查看每個(gè)共享文件夾的共享權(quán)限。2.11 使用NTFS文件系統(tǒng)要求內(nèi)容在不毀壞數(shù)據(jù)的情況下，將F

22、AT分區(qū)改為NTFS格式操作指南1、參考配置操作將FAT卷轉(zhuǎn)換成NTFS分區(qū)CoNVERTvolume/FS:NTFS/V/CvtAreafiIe nameNoSeCUrity XVolume指定驅(qū)動(dòng)器號(hào)（后面加一個(gè)冒號(hào)）、裝載點(diǎn)或卷名/FS:NTFS 指定要被轉(zhuǎn)換成 NTFS的卷/V指定CONVERT應(yīng)該用詳述模式運(yùn)行/CvtArea:file name將根目錄中的一個(gè)接續(xù)文件指定為NTFS系統(tǒng)文件的占位符/NoSecurity指疋每個(gè)人都可以訪冋轉(zhuǎn)換的文件和目錄的女全設(shè)置/X如果必要，先強(qiáng)行卸載卷，有打開的句柄則無效例如：COVert C : /FS:NTFS備注：在有其他非 WlN系統(tǒng)訪

23、問、存在數(shù)據(jù)共享的情況下，不建議將FAT分區(qū)改為NTFS格式檢測(cè)方法1、判定條件2、檢測(cè)操作精品資料SySteB 運(yùn)行，然后在打開行里輸入 regedit ，然后單擊確疋，查看相關(guān)注冊(cè)表項(xiàng)進(jìn)行查看；使用空連接掃描工具無法遠(yuǎn)程枚舉用戶名和用戶組附表：端口及服務(wù)服務(wù)名稱端口服務(wù)說明關(guān)閉方法處置建議系統(tǒng)服務(wù)部分echo7/TCPRFC862聲協(xié)議關(guān)閉Simple TCP/IP Services服務(wù)。建議關(guān)閉echo7/UDPRFC862聲協(xié)議discard9/UDPRFC863廢除協(xié)議discard9/TCPRFC863廢除協(xié)議daytime13/UDPRFC867白天協(xié)議daytime13/TCP

24、RFC867白天協(xié)議qotd17/TCPRFC865白天協(xié)議的引用qotd17/UDPRFC865白天協(xié)議的引用Charge n19/TCPRFC864字符產(chǎn)生協(xié)議Charge n19/UDPRFC864字符產(chǎn)生協(xié)議ftp21/TCP文件傳輸協(xié)議（控制）關(guān)閉FTPPUbIiShi ngService服務(wù)。根據(jù)情況選擇開放SmtP25/TCP簡(jiǎn)單郵件發(fā)送協(xié)議關(guān)閉Simple MailTra nsport Protocol服務(wù)。建議關(guān)閉n ameserver42/TCPWlNS主機(jī)名服務(wù)關(guān)閉WindowsInternet NameService服務(wù)。建議關(guān)閉42/UDPdomai n53/UDP域

25、名服務(wù)器關(guān)閉DNS Server服務(wù)。根據(jù)情況選擇開放53/TCP根據(jù)情況選擇開放dhcps67/UDPDHCP服務(wù)器/In ter net連接共享關(guān)閉Simple TCP/IP Services服務(wù)。建議關(guān)閉dhcpc68/UDPDHCF協(xié)議客戶端關(guān)閉DHCP Client服務(wù)。建議關(guān)閉http80/TCPHTTP萬維網(wǎng)發(fā)布服務(wù)關(guān)閉World WideWeb PUbIiShi ngService服務(wù)。根據(jù)情況選擇開放epmap135/TCPRPC服務(wù)系統(tǒng)基本服務(wù)無法關(guān)閉135/UDP無法關(guān)閉n etbios-ns137/UDPNetBIOS名稱解析在網(wǎng)卡的TCP/IP選 項(xiàng)中WINS頁勾選 禁用TCP/IP上的 NETBIOS根據(jù)情況選擇開放n etbios-dgm138/UDPNetBIOS數(shù)據(jù)報(bào)服務(wù)根據(jù)情況選擇開放n etbios-ss n139/TCPNetBIOS會(huì)話服務(wù)系統(tǒng)基本服務(wù)無法關(guān)閉SnmP161/UDPSNMP服務(wù)關(guān)閉SNMP 服務(wù)根據(jù)情況選擇開放https443/TCP安全超文本傳輸協(xié)議關(guān)閉World WideWeb PUbIiShi ngService服務(wù)根據(jù)情況選擇開放microsoft-ds445/UDPSMB服務(wù)器運(yùn)行 regedit ,打開 HKEY_LOCAL_MACHIr ESystemCurre ntC on tr