Windows系統安全配置指南Windows系統安全配置指南中國聯通信息化事業部 第中國聯通信息化事業部 第頁共21頁密碼最短期限天天實施風險業務系統直接利用的賬號不適用密碼最長天期限備注2.2.3帳戶鎖定策略項目名稱操作系統賬戶鎖定策略要求項編號項目說明對于采用靜態口令認證技術的設備，應配置當用戶連續認證失敗次數超過次（不含次），鎖定該用戶使用的賬號。檢測操作步驟進入“控制面板 管理工具本地安全策略”，在“帳戶策略 帳戶鎖定策略”：查看“賬戶鎖定閥值”設置符合性判定依據“賬戶鎖定閥值”設置為小于或等于次配置方法參考配置操作：進入“控制面板管理工具本地安全策略”，在“帳戶策略賬戶鎖定策略”。設置如下策略：策略默認設置推薦最低設置賬戶鎖定時間未定義分鐘賬戶鎖定閾值次無效登錄復位賬戶鎖定計數器未定義分鐘實施風險安全掃描檢測暴力破解口令將導致賬號鎖定。備注2.3授權2.3.1遠程關機項目名稱操作系統遠程關機策略要求項編號項目說明在本地安全設置中從遠端系統強制關機只指派給 組。檢測操作步進入“控制面板管理工具本地安全策略”，在“本地策略用戶權利指派”

驟查看“從遠端系統強制關機”設置符合性判定依據“從遠端系統強制關機”設置為“只指派給 組”配置方法進入“控制面板管理工具 本地安全策略”，在“本地策略用戶權利指派”。“從遠端系統強制關機”設置為“只指派給 組”。實施風險風險較小備注2.3.2本地關機項目名稱操作系統本地關機策略要求項編號項目說明在本地安全設置中關閉系統僅指派給 組。檢測操作步驟進入“控制面板管理工具本地安全策略”，在“本地策略用戶權利指派”查看“關閉系統”設置符合性判定依據“關閉系統”設置為“只指派給 組”配置方法參考配置操作：進入“控制面板管理工具本地安全策略”，在“本地策略用戶權利指派”。“關閉系統”設置為“只指派給 組”。實施風險風險較小備注2.3.3用戶權利指派項目名稱操作系統用戶權力指派策略要求項編號項目說明在本地安全設置中取得文件或其它對象的所有權僅指派給 。檢測操作步驟進入“控制面板 管理工具本地安全策略”，在“本地策略 用戶權利指派”：查看是否“取得文件或其它對象的所有權”設置符合性判定依據“取得文件或其它對象的所有權”設置為“只指派給 組”配置方法進入“控制面板 管理工具本地安全策略”，在“本地策略用戶權利指派”。

“取得文件或其它對象的所有權”設置為“只指派給 組”。實施風險風險較小備注第3章日志配置操作3.1日志配置3.1.1審核登錄項目名稱操作系統審核登錄策略要求項編號項目說明設備應配置日志功能，對用戶登錄進行記錄，記錄內容包括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠程登錄時，用戶使用的地址。檢測操作步驟開始運行執行“控制面板管理工具本地安全策略審核策略”審核登錄事件。符合性判定依據審核登錄事件，設置為成功和失敗都審核。配置方法參考配置操作：開始運行執行“控制面板管理工具本地安全策略審核策略”審核登錄事件，雙擊，設置為成功和失敗都審核。實施風險風險較小備注3.1.2審核策略更改項目名稱操作系統審核策略更改要求項編號項目說明啟用組策略中對 系統的審核策略更改，成功和失敗都要審核。檢測操作步驟進入“控制面板管理工具本地安全策略”，在“本地策略審核策略”中查看“審核策略更改”設置。符合性判定依據“審核策略更改”設置為“成功”和“失敗”都要審核。配置方法參考配置操作：開始運行執行“控制面板管理工具本地安全策略審核策略”

審核策略更改，雙擊，設置為成功和失敗都審核。實施風險風險較小備注3.1.3審核對象訪問項目名稱操作系統審核對象訪問要求項編號項目說明啟用組策略中對 系統的審核對象訪問，成功和失敗都要審核。檢測操作步驟進入“控制面板管理工具本地安全策略”，在“本地策略審核策略”中：查看“審核對象訪問”設置。符合性判定依據“審核對象訪問”設置為“成功”和“失敗”都要審核。配置方法參考配置操作：開始運行執行“控制面板管理工具本地安全策略審核策略”審核對象訪問，雙擊，設置為成功和失敗都審核。實施風險風險較小備注3.1.4審核事件目錄服務器訪問項目名稱操作系統審核事件目錄服務器訪問策略要求項編號項目說明啟用組策略中對 系統的審核目錄服務訪問，失敗。檢測操作步驟進入“控制面板管理工具本地安全策略”，在“本地策略審核策略”中：查看“審核目錄服務器訪問”設置。符合性判定依據“審核目錄服務器訪問”設置為“成功”和“失敗”都要審核。配置方法參考配置操作：開始運行執行“控制面板管理工具本地安全策略審核策略”審核目錄服務器訪問，雙擊，設置為成功和失敗都審核。實施風險風險較小

備注3.1.5審核特權使用項目名稱操作系統審核特權使用策略要求項編號項目說明啟用組策略中對 系統的審核特權使用，成功和失敗都要審核。檢測操作步驟進入“控制面板管理工具本地安全策略”，在“本地策略審核策略”中：查看“審核特權使用”設置。符合性判定依據“審核特權使用”設置為“成功”和“失敗”都要審核。配置方法參考配置操作：開始運行執行“控制面板管理工具本地安全策略審核策略”審核特權使用，雙擊，設置為成功和失敗都審核。實施風險風險較小備注3.1.6審核系統事件項目名稱操作系統審核系統事件策略要求項編號項目說明啟用組策略中對 系統的審核系統事件，成功和失敗都要審核。檢測操作步驟進入“控制面板管理工具本地安全策略”，在“本地策略審核策略”中：查看“審核系統事件”設置。符合性判定依據“審核系統事件”設置為“成功”和“失敗”都要審核。配置方法參考配置操作：開始運行執行“控制面板管理工具本地安全策略審核策略”審核系統事件，雙擊，設置為成功和失敗都審核。實施風險風險較小備注

3.1.7審核賬戶管理項目名稱操作系統審核賬戶管理策略要求項編號項目說明啟用組策略中對 系統的審核帳戶管理，成功和失敗都要審核。檢測操作步驟進入“控制面板管理工具本地安全策略”，在“本地策略審核策略”中：查看“審核賬戶管理”設置。符合性判定依據“審核賬戶管理”設置為“成功”和“失敗”都要審核。配置方法參考配置操作：開始運行執行“控制面板管理工具本地安全策略審核策略”審核賬戶管理，雙擊，設置為成功和失敗都審核。實施風險風險較小備注3.1.8審核過程追蹤項目名稱操作系統審核過程追蹤策略要求項編號項目說明啟用組策略中對 系統的審核過程追蹤失敗。檢測操作步驟進入“控制面板管理工具本地安全策略”，在“本地策略審核策略”中：查看“審核過程追蹤”設置。符合性判定依據“審核過程追蹤”設置為“失敗”需要審核。配置方法參考配置操作：開始運行執行“控制面板管理工具本地安全策略審核策略”審核過程追蹤，雙擊，設置為成功和失敗都審核。實施風險風險較小備注

3.1.9日志文件大小項目名稱操作系統日志容量要求項編號項目說明設置應用日志文件大小至少為 ，設置當達到最大的日志尺寸時，按需要改寫事件。檢測操作步驟進入“控制面板管理工具事件查看器”，在“事件查看器（本地）”中：查看“應用日志”“系統日志”“安全日志”屬性中的日志大小以及設置當達到最大的日志尺寸時的相應策略。符合性判定依據“應用日志”“系統日志”“安全日志”屬性中的日志大小設置不小于“ 2設置當達到最大的日志尺寸時，“按需要改寫事件”配置方法參考配置操作：進入“控制面板管理工具事件查看器”，在“事件查看器（本地）”中：“應用日志”屬性中的日志大小設置不小于" ''設置當達到最大的日志尺寸時，“按需要改"件”“系統日志”屬性中的日志大小設置不小于" ''設置當達到最大的日志尺寸時，“按需要改"件”“安全日志”屬性中的日志大小設置不小于" ''設置當達到最大的日志尺寸時，“按需要改"件”實施風險需查看盤剩余空間。備注第4章IP協議安全配置IP協議啟用SYN攻擊保護項目名稱操作系統 攻擊保護要求項編號項目說明啟用攻擊保護；指定觸發洪水攻擊保護所必須超過的連接請求數閥值為5指定處于狀態的連接數的閾值為0指定處于至少已發送一次重傳的狀態中的連接數的閾值為。檢測操作步驟在“開始運行鍵入 ”查看注冊表項r符合性判定依據推薦值：2推薦值：。推薦值數據： o。i薦值數據： 。

配置方法參考配置操作：在“開始運行鍵入 ”啟用 攻擊保護的命名值位于注冊表項之下。值名稱：。推薦值：。以下部分中的所有項和值均位于注冊表項之下。指定必須在觸發 保護之前超過的 連接請求閾值。值名稱：。E薦值：。啟用 后，該值指定 狀態中的連接閾值，超過 時，觸發 保護。值名稱：。fO數據： 0啟用 后，指定至少發送了一次重傳的 狀態中的 連接閾值。超過 時，觸發 保護。值名稱： 。推薦值數據： 0實施風險業務系統可針對自身特點相應調整具體數值，內網系統遇到 攻擊概率較低。備注第5章設備其他配置操作共享文件夾及訪問權限關閉默認共享項目名稱操作系統默認共享要求項編號項目說明非域環境中，關閉 硬盤默認共享，例如, $檢測操作步驟進入“開始一運行一 ”，進入注冊表編輯器，查看S符合性判定依據鍵，值為r配置方法進入“開始一運行一 “，進入注冊表編輯器，更改注冊表鍵值：在下，增加 類型的鍵，值為0實施風險利用共享訪問的業務系統需仔細測試。備注防病毒管理數據執行保護項目名稱操作系統數據執行保護要求項編號項目說明對于 及 對 操作系統程序和服務啟用系統自帶功能數據執行保護，防止在受保護內存位置運行有害代碼。

檢測操作步驟進入“控制面板一系統”，在“高級”選項卡的“性能”下的“設置”。進入“數據執行保護”選項卡。查看“僅為基本 操作系統程序和服務啟用空符合性判定依據“數據執行保護”選項卡已設置為“僅為基本 操作系統程序和服務啟用空配置方法參考配置操作：進入“控制面板一系統”，在“高級”選項卡的“性能”下的“設置”。進入“數據執行保護”選項卡。設置為“僅為基本 操作系統程序和服務啟用空實施風險風險較低。備注數據執行保護是一種有助于防止您的計算機免受病毒和其他安全威脅破壞的安全功能。有害的程序可能會通過試圖運行（也稱為“執行”）計算機內存中為和其他已授權程序保留的代碼來攻擊。這些類型的攻擊可能會損害您的程序和文件。可以通過監視程序以確保它們安全使用計算機內存，幫助保護您的計算機。如果注意到計算機上的某個程序使用的內存不正確，則它將關閉該程序并通知您。Windows月服務SNMP服務管理項目名稱操作系統SNMP服務管理要求項編號項目說明如需啟用SNMP服務，則修改默認的SNMP 設置。檢測操作步驟打開“控制面板”，打開“管理工具”中的“服務”，找到“SNMPS ”,單擊右鍵打開“屬性”面板中的“安全”選項卡，在這個配置界面中，查看y也就是微軟所說的“團體名稱”。符合性判定依據已改，不是默認的“ l配置方法參考配置操作：打開“控制面板”，打開“管理工具”中的“服務”，找到“SNMP

Service"，單擊右鍵打開“屬性”面板中的“安全”選項卡，在這個配置界面中，可以修改cmmit $仃1也就是微軟所說的“團體名稱”。實施風險相關smP服務器同時修改“團體名稱”。備注啟動項關閉Windows自動播放功能項目名稱操作系統id自動播放要求項編號ids項目說明關閉id自動播放功能。檢測操作步驟打開“開始f運行”，