1主機(jī)加固Windows賬號(hào)管理、認(rèn)證授權(quán)賬號(hào)1.1.1.1.1管理缺省賬戶項(xiàng)目名稱操作系統(tǒng)缺省賬戶要求項(xiàng)編號(hào)Windows-02-01-01項(xiàng)目說(shuō)明對(duì)于管理員帳號(hào)，要求更改缺省帳戶名稱；禁用guest（來(lái)賓）帳號(hào)。檢測(cè)操作步驟進(jìn)入“控制面板叩管理工具叩計(jì)算機(jī)管理”，在“系統(tǒng)工具田本地用戶和組”：缺省帳戶Administrator一＞屬性Guest帳號(hào)叩屬性符合性判定依據(jù)缺省賬戶Administrator名稱已更改。Guest帳號(hào)已停用。配置方法進(jìn)入“控制面板叩管理工具叩計(jì)算機(jī)管理”，在“系統(tǒng)工具田本地用戶和組”。Administrator一＞屬性一口更改名稱Guest帳號(hào)叩屬性一口已停用實(shí)施風(fēng)險(xiǎn)業(yè)務(wù)系統(tǒng)直接利用Administrator賬號(hào)管理需相應(yīng)修改其賬號(hào)。備注口令1.1.1.2.1密碼復(fù)雜度項(xiàng)目名稱操作系統(tǒng)密碼復(fù)雜度要求項(xiàng)編號(hào)Windows-02-02-01項(xiàng)目說(shuō)明最短密碼長(zhǎng)度8個(gè)字符，啟用本機(jī)組策略中密碼必須符合復(fù)雜性要求的策略。即密碼至少包含以下四種類別的字符中的三種：英語(yǔ)大寫字母A,B,C,…Z英語(yǔ)小寫字母a,b,c,…z西方阿拉伯?dāng)?shù)字0,1,2,?9非字母數(shù)字字符，如標(biāo)點(diǎn)符號(hào)，@,#,$,%,&,*等檢測(cè)操作步進(jìn)入“控制面板叩管理工具-口本地安全策略”，在“帳戶策略叩密碼策略”：

驟查看是否“密碼必須符合復(fù)雜性要求”選擇“已啟動(dòng)”符合性判定依據(jù)“密碼必須符合復(fù)雜性要求”選擇“已啟動(dòng)”配置方法進(jìn)入“控制面板管理工具本地安全策略”，在“帳戶策略密碼策略”?！懊艽a必須符合復(fù)雜性要求”選擇“已啟動(dòng)”設(shè)置如下策略策略默認(rèn)設(shè)置推薦最低設(shè)置最短密碼長(zhǎng)度個(gè)字符個(gè)字符密碼必須符合復(fù)雜性要求禁用啟用為域中所有用戶使用可還原的加密來(lái)儲(chǔ)存密碼禁用禁用實(shí)施風(fēng)險(xiǎn)風(fēng)險(xiǎn)較小備注1.1.1.2.2密碼歷史項(xiàng)目名稱操作系統(tǒng)密碼歷史要求項(xiàng)編號(hào)項(xiàng)目說(shuō)明對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，賬戶口令的生存期不長(zhǎng)于天。檢測(cè)操作步驟進(jìn)入“控制面板管理工具本地安全策略”，在“帳戶策略密碼策略”：查看“密碼最長(zhǎng)存留期”符合性判定依據(jù)“密碼最長(zhǎng)存留期”設(shè)置不大于“天”配置方法進(jìn)入“控制面板管理工具本地安全策略”，在“帳戶策略密碼策略”。設(shè)置如下策略策略默認(rèn)設(shè)置推薦最低設(shè)置強(qiáng)制執(zhí)行密碼歷史記錄記住個(gè)密碼記住個(gè)碼密碼最長(zhǎng)期限天天密碼最短期限天天實(shí)施風(fēng)險(xiǎn)業(yè)務(wù)系統(tǒng)直接利用的賬號(hào)不適用密碼最長(zhǎng)天期限備注1.1.2帳戶鎖定策略項(xiàng)目名稱操作系統(tǒng)賬戶鎖定策略要求項(xiàng)

編號(hào)項(xiàng)目說(shuō)明對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過次（不含次），鎖定該用戶使用的賬號(hào)。檢測(cè)操作步驟進(jìn)入“控制面板管理工具本地安全策略”，在“帳戶策略帳戶鎖定策略”：查看“賬戶鎖定閥值”設(shè)置符合性判定依據(jù)“賬戶鎖定閥值”設(shè)置為小于或等于次配置方法參考配置操作：進(jìn)入“控制面板管理工具本地安全策略”，在“帳戶策略賬戶鎖定策略”。設(shè)置如下策略：策略默認(rèn)設(shè)置推薦最低設(shè)置賬戶鎖定時(shí)間未定義分鐘賬戶鎖定閾值次無(wú)效登錄復(fù)位賬戶鎖定計(jì)數(shù)器未定義分鐘實(shí)施風(fēng)險(xiǎn)安全掃描檢測(cè)暴力破解口令將導(dǎo)致賬號(hào)鎖定。備注1.1.2.1授權(quán)1.1.2.1.1遠(yuǎn)程關(guān)機(jī)項(xiàng)目名稱操作系統(tǒng)遠(yuǎn)程關(guān)機(jī)策略要求項(xiàng)編號(hào)項(xiàng)目說(shuō)明在本地安全設(shè)置中從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)只指派給組。檢測(cè)操作步驟進(jìn)入“控制面板管理工具本地安全策略”，在“本地策略用戶權(quán)利指派”查看“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置符合性判定依據(jù)“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置為“只指派給組”配置方法進(jìn)入“控制面板管理工具本地安全策略”，在“本地策略用戶權(quán)利指派”?！皬倪h(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置為“只指派給組”。實(shí)施風(fēng)險(xiǎn)風(fēng)險(xiǎn)較小備注1.1.2.1.2本地關(guān)機(jī)項(xiàng)目名稱操作系統(tǒng)本地關(guān)機(jī)策略要求項(xiàng)

編號(hào)項(xiàng)目說(shuō)明在本地安全設(shè)置中關(guān)閉系統(tǒng)僅指派給組。檢測(cè)操作步驟進(jìn)入“控制面板管理工具本地安全策略”，在“本地策略用戶權(quán)利指派”查看“關(guān)閉系統(tǒng)”設(shè)置符合性判定依據(jù)“關(guān)閉系統(tǒng)”設(shè)置為“只指派給組”配置方法參考配置操作：進(jìn)入“控制面板管理工具本地安全策略”，在“本地策略用戶權(quán)利指派”。“關(guān)閉系統(tǒng)”設(shè)置為“只指派給組”。實(shí)施風(fēng)險(xiǎn)風(fēng)險(xiǎn)較小備注1.1.2.1.3用戶權(quán)利指派項(xiàng)目名稱操作系統(tǒng)用戶權(quán)力指派策略要求項(xiàng)編號(hào)項(xiàng)目說(shuō)明在本地安全設(shè)置中取得文件或其它對(duì)象的所有權(quán)僅指派給。檢測(cè)操作步驟進(jìn)入“控制面板管理工具本地安全策略”，在“本地策略用戶權(quán)利指派”：查看是否“取得文件或其它對(duì)象的所有權(quán)”設(shè)置符合性判定依據(jù)“取得文件或其它對(duì)象的所有權(quán)”設(shè)置為“只指派給組”配置方法進(jìn)入“控制面板管理工具本地安全策略”，在“本地策略用戶權(quán)利指派”?！叭〉梦募蚱渌鼘?duì)象的所有權(quán)”設(shè)置為“只指派給組”。實(shí)施風(fēng)險(xiǎn)風(fēng)險(xiǎn)較小備注1.1.3日志配置操作1.1.3.1日志配置1.1.3.1.1審核登錄項(xiàng)目名稱操作系統(tǒng)審核登錄策略要求項(xiàng)編號(hào)項(xiàng)目說(shuō)明設(shè)備應(yīng)配置日志功能，對(duì)用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的賬號(hào)，登錄是否成功，登錄時(shí)間，以及遠(yuǎn)程登錄時(shí)，用戶使用的地址。檢測(cè)操作步開始運(yùn)行執(zhí)行“控制面板管理工具本地安全策略審核策略”

驟審核登錄事件。符合性判定依據(jù)審核登錄事件，設(shè)置為成功和失敗都審核。配置方法參考配置操作：開始運(yùn)行執(zhí)行“控制面板管理工具本地安全策略審核策略”審核登錄事件，雙擊，設(shè)置為成功和失敗都審核。實(shí)施風(fēng)險(xiǎn)風(fēng)險(xiǎn)較小備注1.1.3.1.2審核策略更改項(xiàng)目名稱操作系統(tǒng)審核策略更改要求項(xiàng)編號(hào)項(xiàng)目說(shuō)明啟用組策略中對(duì)系統(tǒng)的審核策略更改，成功和失敗都要審核。檢測(cè)操作步驟進(jìn)入“控制面板管理工具本地安全策略”，在“本地策略審核策略”中查看“審核策略更改”設(shè)置。符合性判定依據(jù)“審核策略更改”設(shè)置為“成功”和“失敗”都要審核。配置方法參考配置操作：開始運(yùn)行執(zhí)行“控制面板管理工具本地安全策略審核策略”審核策略更改，雙擊，設(shè)置為成功和失敗都審核。實(shí)施風(fēng)險(xiǎn)風(fēng)險(xiǎn)較小備注1.1.3.1.3審核對(duì)象訪問項(xiàng)目名稱操作系統(tǒng)審核對(duì)象訪問要求項(xiàng)編號(hào)項(xiàng)目說(shuō)明啟用組策略中對(duì)系統(tǒng)的審核對(duì)象訪問，成功和失敗都要審核。檢測(cè)操作步驟進(jìn)入“控制面板管理工具本地安全策略”，在“本地策略審核策略”中：查看“審核對(duì)象訪問”設(shè)置。符合性判定依據(jù)“審核對(duì)象訪問”設(shè)置為“成功”和“失敗”都要審核。配置方法參考配置操作：開始運(yùn)行執(zhí)行“控制面板管理工具本地安全策略審核策略”審核對(duì)象訪問，雙擊，設(shè)置為成功和失敗都審核。

實(shí)施風(fēng)險(xiǎn)風(fēng)險(xiǎn)較小備注1.1.3.1.4審核事件目錄服務(wù)器訪問項(xiàng)目名稱操作系統(tǒng)審核事件目錄服務(wù)器訪問策略要求項(xiàng)編號(hào)項(xiàng)目說(shuō)明啟用組策略中對(duì)系統(tǒng)的審核目錄服務(wù)訪問，失敗。檢測(cè)操作步驟進(jìn)入“控制面板管理工具本地安全策略”，在“本地策略審核策略”中：查看“審核目錄服務(wù)器訪問”設(shè)置。符合性判定依據(jù)“審核目錄服務(wù)器訪問”設(shè)置為“成功”和“失敗”都要審核。配置方法參考配置操作：開始運(yùn)行執(zhí)行“控制面板管理工具本地安全策略審核策略”審核目錄服務(wù)器訪問，雙擊，設(shè)置為成功和失敗都審核。實(shí)施風(fēng)險(xiǎn)風(fēng)險(xiǎn)較小備注1.1.3.1.5審核特權(quán)使用項(xiàng)目名稱操作系統(tǒng)審核特權(quán)使用策略要求項(xiàng)編號(hào)項(xiàng)目說(shuō)明啟用組策略中對(duì)系統(tǒng)的審核特權(quán)使用，成功和失敗都要審核。檢測(cè)操作步驟進(jìn)入“控制面板管理工具本地安全策略”，在“本地策略審核策略”中：查看“審核特權(quán)使用”設(shè)置。符合性判定依據(jù)“審核特權(quán)使用”設(shè)置為“成功”和“失敗”都要審核。配置方法參考配置操作：開始運(yùn)行執(zhí)行“控制面板管理工具本地安全策略審核策略”審核特權(quán)使用，雙擊，設(shè)置為成功和失敗都審核。實(shí)施風(fēng)險(xiǎn)風(fēng)險(xiǎn)較小備注1.1.3.1.6審核系統(tǒng)事件項(xiàng)目名稱操作系統(tǒng)審核系統(tǒng)事件策略要求項(xiàng)編號(hào)

項(xiàng)目說(shuō)明啟用組策略中對(duì)系統(tǒng)的審核系統(tǒng)事件，成功和失敗都要審核。檢測(cè)操作步驟進(jìn)入“控制面板管理工具本地安全策略”，在“本地策略審核策略”中：查看“審核系統(tǒng)事件”設(shè)置。符合性判定依據(jù)“審核系統(tǒng)事件”設(shè)置為“成功”和“失敗”都要審核。配置方法參考配置操作：開始運(yùn)行執(zhí)行“控制面板管理工具本地安全策略審核策略”審核系統(tǒng)事件，雙擊，設(shè)置為成功和失敗都審核。實(shí)施風(fēng)險(xiǎn)風(fēng)險(xiǎn)較小備注1.1.3.1.7審核賬戶管理項(xiàng)目名稱操作系統(tǒng)審核賬戶管理策略要求項(xiàng)編號(hào)項(xiàng)目說(shuō)明啟用組策略中對(duì)系統(tǒng)的審核帳戶管理，成功和失敗都要審核。檢測(cè)操作步驟進(jìn)入“控制面板管理工具本地安全策略”，在“本地策略審核策略”中：查看“審核賬戶管理”設(shè)置。符合性判定依據(jù)“審核賬戶管理”設(shè)置為“成功”和“失敗”都要審核。配置方法參考配置操作：開始運(yùn)行執(zhí)行“控制面板管理工具本地安全策略審核策略”審核賬戶管理，雙擊，設(shè)置為成功和失敗都審核。實(shí)施風(fēng)險(xiǎn)風(fēng)險(xiǎn)較小備注1.1.3.1.8審核過程追蹤項(xiàng)目名稱操作系統(tǒng)審核過程追蹤策略要求項(xiàng)編號(hào)項(xiàng)目說(shuō)明啟用組策略中對(duì)系統(tǒng)的審核過程追蹤失敗。檢測(cè)操作步驟進(jìn)入“控制面板管理工具本地安全策略”，在“本地策略審核策略”中：查看“審核過程追蹤”設(shè)置。符合性判定依據(jù)“審核過程追蹤”設(shè)置為“失敗”需要審核。

配置方法參考配置操作：開始運(yùn)行執(zhí)行“控制面板管理工具本地安全策略審核策略”審核過程追蹤，雙擊，設(shè)置為成功和失敗都審核。實(shí)施風(fēng)險(xiǎn)風(fēng)險(xiǎn)較小備注1.1.3.1.9日志文件大小項(xiàng)目名稱操作系統(tǒng)日志容量要求項(xiàng)編號(hào)項(xiàng)目說(shuō)明設(shè)置應(yīng)用日志文件大小至少為，設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)，按需要改寫事件。檢測(cè)操作步驟進(jìn)入“控制面板管理工具事件查看器”，在“事件查看器（本地）”中：查看“應(yīng)用日志”“系統(tǒng)日志”“安全日志”屬性中的日志大小以及設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)的相應(yīng)策略。符合性判定依據(jù)“應(yīng)用日志”“系統(tǒng)日志”“安全日志”屬性中的日志大小設(shè)置不小于“”設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)，“按需要改寫事件”配置方法參考配置操作：進(jìn)入“控制面板管理工具事件查看器”，在“事件查看器（本地）”中：“應(yīng)用日志”屬性中的日志大小設(shè)置不小于“”設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)，“按需要改寫事件”“系統(tǒng)日志”屬性中的日志大小設(shè)置不小于"''設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)，“按需要改"件”“安全日志”屬性中的日志大小設(shè)置不小于"''設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)，“按需要改"件”實(shí)施風(fēng)險(xiǎn)需查看盤剩余空間。備注IP協(xié)議安全配置IP協(xié)議啟用SYN攻擊保護(hù)項(xiàng)目名稱操作系統(tǒng)攻擊保護(hù)要求項(xiàng)編號(hào)項(xiàng)目說(shuō)明啟用攻擊保護(hù)；指定觸發(fā)洪水攻擊保護(hù)所必須超過的連接請(qǐng)求

數(shù)閥值為5指定處于狀態(tài)的連接數(shù)的閾值為0指定處于至少已發(fā)送一次重傳的狀態(tài)中