目錄

1范圍............................................................................1

2規(guī)范性引用文件.................................................................1

3術(shù)語定義........................................................................1

3.1身份identity...........................................................................................................................1

3.2鑒別authentication.................................................................................................................1

3.3訪問控制accesscontrol.........................................................................................................2

3.4安全審計securityaudit..........................................................................................................2

3.5入侵intrusion.........................................................................................................................2

3.6入侵防御intrusionprevention..............................................................................................2

3.7熱補丁hotfix...........................................................................................................................2

3.8虛擬補丁virtualpatch...........................................................................................................2

4縮略語.........................................................................2

5概述...........................................................................3

6安全防護加固...................................................................3

6.1系統(tǒng)補丁...............................................................4

6.2第三方安全防護軟件安裝..................................................5

6.3惡意代碼防范............................................................6

7安全配置加固...................................................................8

7.1身份鑒別.................................................................9

7.2訪問控制...............................................................13

7.3安全審計................................................................19

7.4入侵防御...............................................................26

附錄A安全加固項實施建議......................................................29

附錄B建議安裝的系統(tǒng)補丁......................................................31

附錄C常見的高危漏洞...........................................................32

附錄D建議關(guān)閉的服務(wù).........................................................34

附錄E建議關(guān)閉的端口.........................................................35

參考文獻........................................................................37

V

1范圍

本實踐指南從安全防護加固和安全配置加固兩個方面，給出了針

對Windows7操作系統(tǒng)的本地安全防護和安全策略配置建議。

本實踐指南適用于Windows7操作系統(tǒng)以及兼容操作系統(tǒng)平臺的

安全加固，Windows7以上的操作系統(tǒng)安全加固也可參考使用。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可

少的條款。其中，注E期的引用文件，僅該日期對應(yīng)的版本適用于本

文件；不注日期的引用文件，其最新版本（包垢所有的修改單）適用

于本文件。

GB/T25069信息安全技術(shù)術(shù)語

GB/T37090—2018信息安全技術(shù)病毒防治產(chǎn)品安全技術(shù)要求

和測試評價方法

3術(shù)語定義

GB/T25069界定的以及下列術(shù)語和定義適用于本文件。

3.1身份identity

與某一實體相關(guān)的一組屬性。

注1：一個實體能有多個身份。

注2：幾個實體能有同一的身份。

3.2鑒別authentication

1

驗證某一實體所聲稱身份的過程。

3.3訪問控制accesscontrol

一種確保數(shù)據(jù)處理系統(tǒng)的資源只能由經(jīng)授權(quán)實體以授權(quán)方式進

行訪問的手段。

3.4安全審計securityaudit

對信息系統(tǒng)記錄與活動的獨立評審和考察，以測試系統(tǒng)控制的充

分程度，確保對于既定安全策略和運行規(guī)程的符合性，發(fā)現(xiàn)安全違規(guī)，

并在控制、安全策略和過程三方面提出改進建議。

3.5入侵intrusion

對網(wǎng)絡(luò)或聯(lián)網(wǎng)系統(tǒng)的未授權(quán)訪問，即對信息系統(tǒng)進行有意或無意

的未授權(quán)訪問，包括針對信息系統(tǒng)的惡意活動或?qū)π畔⑾到y(tǒng)內(nèi)資源的

未授權(quán)使用。

3.6入侵防御intrusionprevention

積極應(yīng)對以防止入侵的正規(guī)過程。

3.7熱補丁hotfix

指能夠修復(fù)軟件漏洞的一些代碼，它不會使當(dāng)前正在運行的業(yè)務(wù)

中斷，即在不重啟的情況下，可以對當(dāng)前軟件的漏洞進行即時修復(fù)。

3.8虛擬補丁virtualpatch

指一組程序或者代碼，它不直接修復(fù)受影響軟件的漏洞，而采用

外圍的方式，通過控制受影響軟件的輸入或輸出，來達到緩解或者清

除漏洞的目的。

4縮略語

2

下列縮略語適用于本文件。

DEP：數(shù)據(jù)執(zhí)行保護(DataExecutionProtection)

DPAPI：數(shù)據(jù)保護API(DataProtectionAPI)

DS：目錄服務(wù)(DirectoryService)

FTP：文件傳輸協(xié)議(FileTransferProtocol)

RDS：遠程桌面服務(wù)(RemoteDesktopServices)

RPC：遠程過程調(diào)用(Remoteprocedurecall)

SAM：安全賬戶管理(SecurityAccountManager)

SYN：同步序列編號(SynchronizeSequenceNumbers)

TCP：傳輸控制協(xié)議(TransmitControlProtocol)

UAC：用戶賬戶控制(UserAccountControl)

5概述

本實踐指南從安全防護加固和安全配置加固兩個方面給出48個

加固項，其中，安全防護加固項9個，安全配置加固項39個，每個加

固項包括“加固內(nèi)容、加固建議、實施/操作指南'三項要素，具體說明

了加固方法。

為了便于實際操作，附錄A給出了加固項的實施優(yōu)先級建議，分

重要和一般兩個級別，用戶可根據(jù)具體情況分步驟實施。

6安全防護加固

3

安全防護加固包括三方面的內(nèi)容，首先，及時安裝微軟官方已經(jīng)

發(fā)布的針對Windows7系統(tǒng)漏洞的補丁，防止惡意攻擊利用已知漏洞

的攻擊；其次，針對一些新出現(xiàn)的漏洞且沒有官方補丁的情況，可以

采用網(wǎng)絡(luò)安全廠商提供的熱補丁或虛擬補丁、系統(tǒng)加固方案等作為緩

解措施，但熱補丁或虛擬補丁的有效性建議由專業(yè)機構(gòu)進行驗證；同

時這些補丁與用戶業(yè)務(wù)系統(tǒng)的兼容性等需要用戶根據(jù)自身的實際情

況進行驗證、修補；最后，可以利用系統(tǒng)本身的安全配置以及安裝網(wǎng)

絡(luò)安全廠商提供的惡意代碼防范軟件，以達到安全加固的FI的。

6.19卜丁

及時安裝系統(tǒng)補丁，可以很大程度避免被惡意入侵和利用，讓系

統(tǒng)和軟件運行更穩(wěn)定。建議安裝的系統(tǒng)補丁見附錄B。

6.1.1已知高危漏洞修復(fù)

加固內(nèi)容

已知高危漏洞進行補丁修復(fù)。

加固建議

針對已知高危漏洞，充分評估后進行修復(fù)。

實施/操作指南

針對已知高危漏洞查找并安裝對應(yīng)補丁或使用安全軟件進行漏

洞修復(fù)。常見的高危漏洞詳見附錄C。

6.1.2WindowsUpdate系統(tǒng)升級進程禁止

加固內(nèi)容

4

禁止WindowsUpdate系統(tǒng)升級進程訪問互聯(lián)網(wǎng)，防止可能通過本

升級進程收集信息，增加安全風(fēng)險。

加固建議

禁止WindowsUpdate系統(tǒng)升級進程訪問互聯(lián)網(wǎng)。

實施/操作指南

利用操作系統(tǒng)自身的功能設(shè)置或采用其他聯(lián)網(wǎng)檢查工具實現(xiàn)阻

止外聯(lián)Windows7升級服務(wù)器。

6.2第三方安全防護軟件安裝

采用網(wǎng)絡(luò)安全廠商提供的安全防護軟件，可針對沒有微軟補丁的

操作系統(tǒng)漏洞進行主動防御，對攻擊行為進行攔截，包括但不限于以

下技術(shù)方式。

6.2.1停服后的漏洞修復(fù)

加固內(nèi)容

修復(fù)WIN7停服后高危操作系統(tǒng)漏洞。

加固建議

針對WIN7停服后無法提供實體補丁的高危操作系統(tǒng)漏洞，采用

網(wǎng)絡(luò)安全廠商提供的相應(yīng)補丁解決方案進行漏洞修復(fù)。

實施/操作指南

部署具備相關(guān)補丁漏洞免疫功能的終端安全防護軟件，并開啟針

對Windows7操作系統(tǒng)適配的系統(tǒng)補丁，卜發(fā)至Windows7操作系統(tǒng)終

端并開啟防護。

6.2.2熱補丁或虛擬補丁安裝

s

加固內(nèi)容

使用網(wǎng)絡(luò)安全廠商提供的熱補丁或虛擬補丁功能，通過內(nèi)存檢測、

內(nèi)核加固、網(wǎng)絡(luò)流量檢測等方式進行漏洞修復(fù)或攻擊攔截。

加固建議

安裝并開啟網(wǎng)絡(luò)安全廠商提供的熱補丁或虛擬補丁功能，進行動

態(tài)檢測防護加固。

實施月柒作指南

部署具備熱補丁或虛擬補丁功能的終端安全防護軟件，并開啟針

對Windows7操作系統(tǒng)的熱補丁或虛擬補丁能力。

6.2.3系統(tǒng)加固

加固內(nèi)容

使用包括但不限于主動防御、內(nèi)存修補等技術(shù)措施，以清除由于

系統(tǒng)漏洞帶來的安全隱患。

加固建議

安裝并開啟網(wǎng)絡(luò)安全廠商提供的系統(tǒng)加固功能U

實施/操作指南

部署具備系統(tǒng)加固能力的終端安全防護軟件，并開啟系統(tǒng)加固功

能。

6.3惡意代碼防范

惡意代碼防范主要針對惡意代碼可能的入侵點提供安全加固建

議。

6.3.1UAC驗證

6

加固內(nèi)容

啟用用戶賬戶控制（UAC）功能。

加固建議

啟用用戶賬戶控制（UAC）功能。

實施/操作指南

在運行窗口輸入“gpedit.msc”打開本地組策略。配置計算機配置

->Windows設(shè)置，安全設(shè)置->本地策略的策略值。安全選項

->“用戶賬戶控制：以管理員批準(zhǔn)模式運行所有管理員”為“已啟用

6.32自動播放

加固內(nèi)容

關(guān)閉自動播放功能。

加固建議

關(guān)閉自動播放功能。

實施/操作指南

在運行窗口輸入“gpeditmsc”打開木地組策略。將計算機配置->

管理模板->Windows組件->自動播放策略自動運行的默認(rèn)行

為”的策略值配置為“已啟用：不執(zhí)行任何自動運行命令

6.3.3數(shù)據(jù)執(zhí)行保護

加固內(nèi)容

啟用數(shù)據(jù)執(zhí)行保護（DEP）。

加固建議

打開數(shù)據(jù)執(zhí)行保護（DEP）功能。

7

實施/操作指南

進入“控制面板。系統(tǒng)”；選擇“高級系統(tǒng)設(shè)置-＞高級〉性能，設(shè)置

，數(shù)據(jù)執(zhí)行保護”選項卡，勾選“僅為基本W(wǎng)indows操作系統(tǒng)程序和

服務(wù)啟用DEP”。

6.3.4惡意代碼防范軟件

加固內(nèi)容

安裝惡意代碼防范軟件并及時更新特征庫。

加固建議

開啟實時防護功能并定期掃描，及時升級軟件、更新特征庫。

實施/操作指南

選用符合“GB/T37090—2018《信息安全技術(shù)病毒防治產(chǎn)品安全

技術(shù)要求和測試評價方法》”的惡意代碼防范軟件。

7安全配置加固

安全配置加固主要通過Windows7操作系統(tǒng)木身提供的各種配置

進行加固，包括但不限于身份鑒別、訪問控制、安全審計、入侵防御

等。部分配置項在默認(rèn)情況下未啟用，啟用這些配置項可以預(yù)防某些

特定的網(wǎng)絡(luò)威脅攻擊，增強Windows7系統(tǒng)安全。

本實踐指南所列的配置加固項未窮盡，用戶可以根據(jù)自身業(yè)務(wù)需

求以及網(wǎng)絡(luò)威脅的發(fā)展變化態(tài)勢，進行動態(tài)調(diào)整，以增強系統(tǒng)的安全

性。

8

用戶在參考本章中的安全配置加固項進行加固工作時，除了手動

加固，還可采用滿足本實踐指南要求的自動化工具開展安全策略檢查

并實施加固操作。

7.1身份鑒別

身份鑒別主要是對登錄用戶數(shù)字身份進行合法性校驗，保證以數(shù)

字身份進行操作的操作者就是這個數(shù)字身份合法擁有者，通過對身份

鑒別相關(guān)安全策略的加固，可以提高賬戶安全性。本節(jié)主要針對口令

復(fù)雜度、使用期限、登錄失敗處理、屏幕保護等與身份鑒別等有關(guān)策

略提供安全實施建議。

7.1.1口令復(fù)雜度

加固內(nèi)容

口令策略啟用口令符合復(fù)雜性要求。

加固建議

滿足口令復(fù)雜度要求：至少包含大小寫字母、數(shù)字和特殊符號3

種或者3種以上組合。

實施/操作指南

運行窗口輸入“gpedit.msc”打開本地組策略。配置計算機配置->

Windows設(shè)置->安全設(shè)置->賬戶策略〉密碼策略「“密碼必須符

合復(fù)雜性要求”選擇“已啟動（備注：此處Windows菜單選項中的“密

碼”就是本義的“口令”，下同。）

7.1.2口令長度

加固內(nèi)容

9

口令要有最小長度限制。

加固建議

配置口令策略限制口令的長度必須至少為8個字符:。

實施/操作指南

在運行窗口輸入“gpedit.msc”打開本地組策略。配置計算機配置

->Windows設(shè)置，安全設(shè)置，賬戶策略，密碼策略?>密碼長度最小

值大于等于8個字符。

7.1.3口令最長使用期限

加固內(nèi)容

口令要有最長使用期限限制。

加固建議

配置口令最長使用時間，設(shè)置口令為30天至90天后過期。

實施/操作指南

在運行窗口輸入“gpedit.msc”打開本地組策略。配置計算機配置

->Windows設(shè)置>安全設(shè)置>賬戶策略〉密碼策略〉密碼最長使用

期限的策略值為30-90之間數(shù)值。

7.1.4錯誤登錄嘗試

加固內(nèi)容

錯誤登錄嘗試次數(shù)要有最多次數(shù)限制。

加固建議

配置錯誤登錄嘗試次數(shù)，設(shè)置為不超過5次。

實施/操作指南

10

在運行窗口輸入“gpedit.msc”打開本地組策略。配置計算機配置

-＞W(wǎng)indows設(shè)置-＞安全設(shè)置。賬戶策略-＞賬戶鎖定策略，賬戶鎖定

閾值的策略值為“5”。

7.1.5鎖定持續(xù)時間

加固內(nèi)容

“錯誤登錄嘗試''次數(shù)達到閾值后，賬戶被鎖定持續(xù)時間要有最短

時間限制。

加固建議

配置鎖定持續(xù)時間，設(shè)置至少為15分鐘。

實施/操作指南

在運行窗口輸入“gpedit.msc”打開本地組策略。配置計算機配置

-＞W(wǎng)indows設(shè)置，安全設(shè)置-＞賬戶策略，賬戶鎖定策略-＞賬戶鎖定

時間的策略值大于等于15。

7.1.6登錄計數(shù)器

加固內(nèi)容

重置登錄計數(shù)器要有最短時間限制。

加固建議

配置重置登錄計數(shù)器之前的時間，設(shè)置至少為15分鐘。

實施/操作指南

在運行窗口輸入“gpedit.msc”打開本地組策略。配置計算機配置

?＞W(wǎng)indows設(shè)置。安全設(shè)置?＞賬戶策略,賬戶鎖定策略?＞重置賬戶

鎖定計數(shù)器的策略值大于等于15。

11

7.1.7口令使用歷史

加固內(nèi)容

用戶不能重復(fù)使用最近已使用的口令。

加固建議

配置強制口令歷史，設(shè)置至少為10個。

實施/操作指南

在運行窗口輸入“gpedit.msc”打開本地組策略。配置計算機配置

->Windows設(shè)置->安全設(shè)置。賬戶策略，密碼策略->強制密碼歷史

的策略值大于等于10。

7.1.8空閑會話時間

加固內(nèi)容

對于遠程登錄的賬戶，要設(shè)置強制終結(jié)空閑會話的時間。

加固建議

設(shè)置該空閑時間不超過15分鐘。

實施/操作指南

控制面板->管理工具，本地安全策略，本地策略，安全選項。打

開選項“Micros。仕網(wǎng)絡(luò)服務(wù)器：暫停會話前所需的空閑時間數(shù)量”的

屬性頁。設(shè)置“中斷連接如果空閑時間超過“小于等于15分鐘。

7.1.9屏幕保護

加固內(nèi)容

設(shè)置帶口令的屏幕保護，并設(shè)定進入屏幕保護的空閑時間。

加固建議

12

設(shè)置帶口令的屏幕保護，并將時間設(shè)定為至少5分鐘。

實施/操作指南

進入“控制面板，顯示，屏幕保護程序”。后用屏幕保護程序，設(shè)

置等待時間為大于等于5分鐘，啟用“在恢復(fù)時使用密碼保護”。

7.2訪問控制

通過訪問控制管理可以減少主機被非法遠程登錄，以及減少通過

共享等方式使計算機感染惡意代碼的可能性。本節(jié)主要針對賬戶管理、

賬戶使用、權(quán)限管理等與訪問控制等有關(guān)策略提供安全實施建議。

7.2.1管理員賬戶

加固內(nèi)容

禁用或更改Administrator管理員賬戶。

加固建議

禁用Administrato怫戶或把Administrator更改成其他名稱。

實施/操作指南

進入“控制面板一管理工具一計算機管理”，在“系統(tǒng)工具一木地

用戶和組一用戶，，：

Administrator一屬性一重命名或設(shè)置“賬戶己禁用”；

或Administrator一重命名一＞修改為其他名稱。

7.2.2Guest賬戶

加固內(nèi)容

禁用Guest來賓賬戶。

加固建議

禁用Guest來賓賬戶。

實施/操作指南

進入“控制面板-＞系統(tǒng)和安全.＞管理工具-＞計算機管理”，在“系統(tǒng)

工具-＞本地用戶和組"，查看Administrator、Guest及其他賬戶狀態(tài)，

選擇Guest賬戶，右擊屬性，勾選“賬戶已禁用”。

7.2.3多余或者過期賬戶

加固內(nèi)容

刪除多余或者過期的賬9。

加固建議

刪除多余或者過期的賬戶。

實施/操作指南

進入“控制面板，系統(tǒng)和安全-＞管理工具，計算機管理”，在“系統(tǒng)

工具?＞本地用戶和組”，查看多余或者過期的賬戶狀態(tài)，選擇該賬戶，

進行刪除。

7.2.4用戶自動登錄

加固內(nèi)容

禁止用戶開機自動登錄。

加固建議

禁止用戶開機自動登錄。

實施/操作指南

在“開始-＞運行-＞鍵入regedit”

設(shè)置注冊表項：

14

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CuiT

entVersion\Winlogon\AutoAdminLogon(REG_DWORD),值為0。

7.2.5遠程強制關(guān)機

加固內(nèi)容

限定擁有“從遠程系統(tǒng)強制關(guān)機”權(quán)限的用戶。

加固建議

只允許Administrators或改名的管理員具備遠程關(guān)機權(quán)限。

實施/操作指南

在運行窗口輸入“gpedit.msc”打開本地組策略。配置計算機配置

-＞W(wǎng)indows設(shè)置-＞安全設(shè)置-＞本地策略-＞用戶權(quán)限分配?＞“從遠

程系統(tǒng)強制關(guān)機”的策略值。

7.2.6共享文件夾訪問

加固內(nèi)容

只將共享文件夾權(quán)限授予指定賬戶。

加固建議

共享文件夾不能有everyone的權(quán)限，只允許授權(quán)的賬戶擁有權(quán)限

共享此文件夾。

實施/操作指南

進入“控制面板，管理工具〉計算機管理”，進入“系統(tǒng)工具一＞共

享文件”；修改對應(yīng)共享文件夾的共享權(quán)限。

7.2.7匿名訪問命名

加固內(nèi)容

15

禁用匿名訪問命名管道和共享。

加固建議

禁用匿名訪問命名管道和共享。

實施/操作指南

“控制面板，管理工具?＞本地安全策略”，在“本地策略。安全選

項網(wǎng)絡(luò)訪問：可匿名訪問的共享設(shè)置為全部刪除。

“控制面板〉管理工具〉本地安全策略”，在“本地策略,安全選

項“：網(wǎng)絡(luò)訪問：可匿名訪問的命名管道設(shè)置為全部刪除。

7.2.8共享賬戶

加固內(nèi)容

應(yīng)按照不同的用戶分配不同的賬戶，避免大同用戶間共享賬戶。

避免用戶賬戶和設(shè)備間通信使用的賬戶共享。

加固建議

為不同的用戶分配不同的賬戶。

實施/操作指南

進入“控制面板-＞管理工具-＞計算機管理”，在“系統(tǒng)工具,本地用

戶和組”：根據(jù)系統(tǒng)的要求，設(shè)定不同的賬戶和賬戶組。

7.2.9遠程訪問

加固內(nèi)容

禁止未經(jīng)授權(quán)的遠程訪問注冊表路徑。

加固建議

16

“遠程訪問的注冊表路徑和子路徑”的配置已全部刪除或僅配置

需要遠程訪問的注冊表路徑。

實施/操作指南

配置計算機配置-＞W(wǎng)indows設(shè)置-＞安全設(shè)置-＞本地策略-＞安

全選項，”網(wǎng)絡(luò)訪問：可遠程訪問的注冊表路徑''的策略值為

"4System\CuiTentControlSet\Control\ProductOptions

System\CurrentControlSet\Control\ServerApplications

Software\Microsoft\WindowsNT\CurrentVersion”。

7.2.10域控環(huán)境

拒絕從網(wǎng)絡(luò)訪問計算機

加固內(nèi)容

配置”拒絕從網(wǎng)絡(luò)訪問這臺計算機”的用戶權(quán)限。

加固建議

“拒絕從網(wǎng)絡(luò)訪問這臺計算機”的策略值僅包含EnterpriseAdmins

組、DomainAdmins組、本地賬戶、Guests組▼

實施/操作指南

在運行窗口輸入“gpedit.msc”打開本地組策略。配置計算機配置

-＞W(wǎng)indows設(shè)置-＞安全設(shè)置-＞本地策略-＞用戶權(quán)限分配，“拒絕

從網(wǎng)絡(luò)訪問這臺計算機”配置相應(yīng)值。

拒絕批處理作業(yè)登錄

加固內(nèi)容

配置“拒絕作為批處理作業(yè)登錄''的用戶權(quán)限。

17

加固建議

“拒絕作為批處理作業(yè)登錄”的策略值僅包含EnterpriseAdmins組、

DomainAdmins組、Guests組。

實施/操作指南

在運行窗口輸入“gpedit.msc”打開本地組策略。配置計算機配置

->Windows設(shè)置，安全設(shè)置，本地策略〉用戶權(quán)限分配?>“拒絕

作為批處理作業(yè)登錄”配置相應(yīng)值。

拒絕服務(wù)登錄

加固內(nèi)容

配置“拒絕作為服務(wù)登錄”的用戶權(quán)限。

加固建議

“拒絕作為服務(wù)登錄”的策略值僅包含EnterpriseAdmins組、

DomainAdmins組。

實施/操作指南

在運行窗口輸入“gpedit.msc”打開木地組策略.配置計算機配置

->Windows設(shè)置,安全設(shè)置->本地策略->用戶權(quán)限分配->“拒絕

作為服務(wù)登錄“配置相應(yīng)值。

拒絕本地登錄

加固內(nèi)容

配置“拒絕本地登錄”的用戶權(quán)限。

加固建議

18

“拒絕本地登錄”的策略值僅包含EnterpriseAdmins組、Domain

Admins組、Guests組。

實施/操作指南

在運行窗口輸入“gpedit.msc”打開本地組策略。配置計算機配置

-＞W(wǎng)indows設(shè)置-＞安全設(shè)置-＞本地策略-＞用戶權(quán)限分配拒絕

本地登錄”配置相應(yīng)值。

拒絕遠程桌面服務(wù)登錄

加固內(nèi)容

配置“拒絕通過遠程桌面服務(wù)登錄”的用戶權(quán)限。

加固建議

“拒絕通過遠程桌面服務(wù)登錄”的策略值僅包含以下內(nèi)容：

如果組織未使用遠程桌面服務(wù)，請將Everyone組分配為此權(quán)限以

阻止所有訪問；

如果組織使用RDS,僅包含EnterpriseAdmins組、DomainAdmins

組、本地賬戶、Guests組。

實施/操作指南

在運行窗口輸入“gpedit.msc”打開本地組策略。配置計算機配置

-＞W(wǎng)indows設(shè)置-＞安全設(shè)置-＞本地策略-＞用戶權(quán)限分配拒絕

通過遠程桌面服務(wù)登錄”配置相應(yīng)值。

7.3安全審計

19

通過系統(tǒng)的安全審計相關(guān)功能可以對主機內(nèi)重要事件進行記錄，

為調(diào)查取證提供依據(jù)。本節(jié)主要針對安全主體、行為、日志等與安全

審計等有關(guān)策略提供安全實施建議。

7.3.1賬戶登錄審計

加固內(nèi)容

對用戶登錄進行審計。

加固建議

開啟“審核登錄事件''策略，當(dāng)有非法賬戶登錄后，可以對登錄終

端的賬戶或注銷的賬戶進行記錄（記錄信息主要包含源IP、端口、登

錄方式等）。

實施/操作指南

在運行窗口輸入“gpedit.msc”打開本地組策略。配置計算機配置

->Windows設(shè)置->安全設(shè)置->高級審核策略配置->系統(tǒng)審核策略?

本地組策略對象->賬戶登錄審核憑證驗證“審核Kerberos身份

驗證服務(wù)”、"審核Kerberos服務(wù)票證操作”以及“審核其他賬戶登錄事

件''的策略值，并勾選“配置以下審核事件”的“成功”復(fù)選框，以及“失

敗”復(fù)選框。

7.3.2賬戶管理審計

加固內(nèi)容

對計算機上的每個賬戶管理進行審計。

加固建議

開啟“賬戶管理”策略，對計算機賬戶管理相關(guān)活動進行記錄。

20

實施/操作指南

在運行窗口輸入“gpedit.msc”打開本地組策略。配置計算機配置

->Windows設(shè)置->安全設(shè)置->高級審核策略配置，系統(tǒng)審核策略-

本地組策略對象->賬戶管理->“審核計算機賬戶管理，“審核通訊組

管理，“審核其他賬戶管理事件”、“審核安全組管理”以及“審核用戶

賬戶管理”的策略值，并勾選“配置以下審核事件”的“成功”復(fù)選框，

以及“失敗”夏選框。

7.3.3進程詳細(xì)跟蹤審計

加固內(nèi)容

對計算機程序進程活動詳情進行審計。

加固建議

開啟“詳細(xì)跟蹤”策略，可以對計算機程序進程活動詳情進行記錄。

實施/操作指南

在運行窗口輸入“gpedit.msc”打開本地組策略。配置計算機配置

->Windows設(shè)置一安全設(shè)置->高級審核策略配置->系統(tǒng)審核策略-

本地組策略對象->詳細(xì)跟蹤->“審核DPAPI活動“審核進程創(chuàng)建，

“進程終止”以及“審核RPC事件”的策略值，并勾選“配置以下審核事件”

的“成功”復(fù)選框，以及“失敗”復(fù)選框。

73.4目錄服務(wù)訪問審計

加固內(nèi)容

對計算機的目錄服務(wù)訪問進行審計。

加固建議

21

開啟“審核DS訪問”策略，可以對訪問計算機目錄進行記錄。

實施/操作指南

在運行窗口輸入“gpedit.msc”打開本地組策略。配置計算機配置

->Windows設(shè)置->安全設(shè)置->高級審核策略配置->系統(tǒng)審核策略?

本地組策略對象，DS訪問，“審核詳細(xì)的目錄服務(wù)復(fù)制”、“審核目

錄服務(wù)訪問”、"審核目錄服務(wù)更改審核目錄服務(wù)復(fù)制'’的策略值，

并勾選“配置以下審核事件”的"成功”夏選框，以及“失敗”復(fù)選框。

7.3.5計算機登錄事件審計

加固內(nèi)容

對計算機登錄/注銷相關(guān)事件進行審計。

加固建議

開啟“審核登錄/注銷”策略，可以對計算機登錄/注銷事件進行記

錄。

實施/操作指南

在運行窗口愉入"gpedit.msc”打開木地組策略。配置計算機配置

->Windows設(shè)置，安全設(shè)置，高級審核策略配置->系統(tǒng)審核策略-

本地組策略對象->登錄/注銷->"審核賬戶鎖定”、“審核IPsec擴展模

式”、“審核IPsec主模式”、“審核IPsec快速模式”、“審核注銷”、“審核

登錄審核網(wǎng)絡(luò)策略服務(wù)器”、"審核其他登錄/注銷事件”以及“審核

特殊登錄”，并勾選“配置以下審核事件”的“成功”復(fù)選框，以及“失敗”

復(fù)選框。

7.3.6對象訪問審計

22

加固內(nèi)容

對對象訪問進行審計。

加固建議

開啟“審核對象訪問”策略，可以對對象訪問進行記錄。

實施/操作指南

在運行窗口輸入“gpedit.msc”打開本地組策略。配置計算機配置

->Windows設(shè)置。安全設(shè)置，高級審核策略配置->系統(tǒng)審核策略-

本地組策略對象。對象訪問->“審核已生成應(yīng)用程序，“審核證書服

務(wù)''、"審核詳細(xì)的文件共享”、“審核文件共享”、“審核文件系統(tǒng)”、“審

核篩選平臺連接“、"審核篩選平臺數(shù)據(jù)包丟棄”、“審核句柄操作”、"審

核內(nèi)核對象”、"審核其他對象訪問事件”、"審核注冊表”以及“審核

SAM”的策略值，并勾選“配置以下審核事件”的“成功”復(fù)選框，以及

“失敗”復(fù)選框。

7.3.7策略更改審計

加固內(nèi)容

對用戶進行本地安全策略變更時進行審計7

加固建議

開啟“審核策略變更''策略，當(dāng)有攻擊者進行本地安全策略變更時,

可以對嘗試更改終端賬戶權(quán)限分配策略、審核策略、賬戶策略或信任

策略的每一個事件進行記錄。

實施月兼作指南

23

在運行窗口輸入“gpedit.msc”打開本地組策略。配置計算機配置

->Windows設(shè)置->安全設(shè)置->高級審核策略配置->系統(tǒng)審核策略-

本地組策略對象，策略更改，“審核審核策略更改”、"審核身份驗證

策略更改”、"審核授權(quán)策略更改”、“審核篩選平臺''以及"審核MPSSVC

規(guī)則級別策略更改”以及“審核其他策略更改事件”的策略值，并勾選

“配置以下審核事件”的“成功”復(fù)選框，以及“失敗''復(fù)選框。

7.3.8特權(quán)使用審計

加固內(nèi)容

對特權(quán)使用進行審計。

加固建議

開啟“審核特權(quán)使用”策略，可以記錄特權(quán)使用記錄。

實施/操作指南

在運行窗口輸入“gpedil.msc”打開本地組策略。配置計算機配置

->Windows設(shè)置，安全設(shè)置->高級審核策略配置->系統(tǒng)審核策略?

本地組策略對象介特權(quán)使用審核非敏感權(quán)限使用”、“審核其他權(quán)

限使用事件”以及“審核敏感權(quán)限使用”的策略值，并勾選“配置以下審

核事件”的“成功”復(fù)選框，以及“失敗”復(fù)選框。

7.3.9系統(tǒng)事件審計

加固內(nèi)容

對系統(tǒng)相關(guān)事件進行審計。

加固建議

開啟“審核系統(tǒng)事件”策略，可以對系統(tǒng)相關(guān)事件進行記錄。

24

實施/操作指南

在運行窗口輸入“gpedit.msc”打開本地組策略。配置計算機配置

->Windows設(shè)置，安全設(shè)置->高級審核策略配置->系統(tǒng)審核策略?

本地組策略對象->系統(tǒng)審核IPsec驅(qū)動程序”、“審核其他系統(tǒng)事

件”、"審核安全狀態(tài)更改”、"審核安全系統(tǒng)擴展”以及"審核系統(tǒng)完整

性”的策略值，并勾選“配置以下審核事件”的“成功”復(fù)選框，以及“失

敗”復(fù)選框。

7.3.10全局對象訪問審計

加固內(nèi)容

對文件系統(tǒng)和注冊表全局對象訪問進行審計。

加固建議

開啟“審核全局對象訪問”策略，可以對文件系統(tǒng)和注冊表全局對

象訪問進行記錄。

實施/操作指南

在運行窗口輸入“gpedit.msc”打開木地組策略。配置計算機配置

->Windows設(shè)置，安全設(shè)置->高級審核策略配置->系統(tǒng)審核策略?

本地組策略對象，全局對象訪問審計文件系統(tǒng)”和“注冊表”的策

略值，并勾選“配置以下審核事件”的“成功”復(fù)選框，以及“失敗”復(fù)選

框。

7.3.11日志配額

加固內(nèi)容

系統(tǒng)日志額度要有最小值要求。

25

加固建議

設(shè)置日志容量，可以在惡意用戶在攻擊系統(tǒng)時記錄攻擊日志，保

證F1志存儲能夠進行溯源。

實施/操作指南

在運行窗口輸入“gpedit.msc”打開本地組策略。將計算機配置->

管理模板->Windows組件->事件日志服務(wù)->系統(tǒng)->“最大日志大

?。↘B）”的策略值配置為“已啟用:最大日志大小（KB）為‘32768’

（經(jīng)驗值，可滿足《中華人民共和國網(wǎng)絡(luò)安全法》最低保存日志時間

180天的存儲要求）或更高

注：如果系統(tǒng)配置為將審計記錄直接發(fā)送到審計服務(wù)器，則該組策略不適用。

7.4入侵防御

通過入侵防御相關(guān)功能可以減少主機被遠程攻擊的可能性，縮小

主機暴露面。本節(jié)主要針對系統(tǒng)服務(wù)、共享、端口的使用等與入侵防

御等方面提供安全實施建議。

7.4.1系統(tǒng)服務(wù)

加固內(nèi)容

關(guān)閉非必要的系統(tǒng)服務(wù)。

加固建議

停止并禁用非必要的系統(tǒng)服務(wù)，建議關(guān)閉的服務(wù)見附錄C。

實施/操作指南

在運行窗口輸入“Services,msc^打開服務(wù)控制面板，將Shared

Information（信息共享）、DynamicDataExchange（動態(tài)數(shù)據(jù)交換）、

26

FTP>Telnet>RemoteDesktopServices（遠程桌面連接）、Remote

Registry（遠程注冊表）等系統(tǒng)服務(wù)設(shè)置為禁用。

7.4.2默認(rèn)共享

加固內(nèi)容

關(guān)閉默認(rèn)共享。

加固建議

將默認(rèn)共享關(guān)閉。

實施/操作指南

在運行窗口輸入“Rcgcdit”，進入注冊表編輯器，新增注冊表鍵值，

具體注冊表路徑

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanma

nServer\Parameters\值名稱：AutoSharcScrver,值名稱：AutoSharcWKS,

值類型：REG_DWORD值：0。

7.4.3系統(tǒng)防火墻

加固內(nèi)容

啟用系統(tǒng)防火墻。

加固建議

啟用系統(tǒng)防火墻。

實施/操作指南

進入“控制面板一>系統(tǒng)和安全一〉Windows防火墻一〉打開或關(guān)

閉Windows防火墻”，選擇"啟用Windows防火墻

7.4.4SYN攻擊保護

27

加固內(nèi)容

啟用SYN攻擊保護。

加固建議

啟用SYN攻擊保護功能并設(shè)置TCP連接數(shù)的閾值。

實施/操作指南

在“開始->運行->鍵入regedit”，查看注冊表項，進入

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpi

p\Parameters；新建以工字符串值并設(shè)置相應(yīng)數(shù)據(jù)：

SynAttackProtect,設(shè)為2；

TcpMaxportsExhausted,設(shè)為5：

TcpMaxHalfOpen,設(shè)為500；

TcpMaxHalfOpenRetried，設(shè)為400。

7.4.5高危端口

加固內(nèi)容

關(guān)閉高危端口U

加固建議

使用系統(tǒng)防火墻或其他安全軟件禁用非必要的高危端口，建議關(guān)

閉的端口見附錄D。

實施/操作指南

使用系統(tǒng)防火墻或其他安全軟件禁用高危端口。如：135、137、

138、139、445、593、1025、2745、3127、3389、6129。

28

附錄A安全加固項實施建議

表A.1按照目前網(wǎng)絡(luò)安全服務(wù)提供商對操作系統(tǒng)安全加固的實踐

經(jīng)驗，提出了Windows7操作系統(tǒng)安全加固項的實施優(yōu)先級建議，分

重要和一般兩級，用戶可根據(jù)具體情況實施。

表A.1安全加固項實施優(yōu)先級

序號加固類別加固項對應(yīng)編號優(yōu)先級建議

1已知高危漏洞修復(fù)6.1.1重要

2WindowsUpdate系統(tǒng)升級進程禁止6.1.2一般

3停服后的漏洞修復(fù)6.2.1重要

4安全熱補丁或虛擬補丁安裝6.2.2重要

5防護系統(tǒng)加固6.2.3重要

6加固UAC驗證6.3.1重要

7自動播放6.3.2重要

8數(shù)據(jù)執(zhí)行保護6.3.3重要

9惡意代碼防范軟件6.3.4重要

1()口令復(fù)雜度7.1.1重要

11口令長度7.1.2重要

12口令最長使用期限7.1.3重要

13錯誤登錄嘗試7.1.4重要

14鎖定持續(xù)時間7.1.5重要

15登錄計數(shù)器7.1.6重要

16口令使用歷史7.1.7重要

17空閑會話時間7.1.8重要

18屏幕保護7.1.9重要

19管理員賬戶7.2.1重要

女全

20Guest賬戶7.2.2重要

配置

21多余或者過期賬戶7.2.3重要

加固

22用戶自動登錄7.2.4重要

23遠程強制關(guān)機7.2.5重要

24共享文件夾訪問7.2.6重要

25匿名訪問命名管道和共享7.2.7重要

26共享賬戶7.2.8一般

27遠程訪問7.2.9一般

28拒絕從網(wǎng)絡(luò)訪問計算機一般

29拒絕批處理作業(yè)登錄一般

30拒絕服務(wù)登錄一般

31拒絕本地登錄一般

29

表A.1加固項匯總表（續(xù)）

序號加固類別加固項對應(yīng)編號優(yōu)先級建議

32拒絕遠程桌面服務(wù)登錄一般

33賬戶登錄審計7.3.1重要

34賬戶管理審計7.3.2重要

35進程詳情跟蹤審計7.3.3一般

36目錄服務(wù)訪問審計7.3.4一般

37計算機登錄事件審計7.3.5一般

38對象訪問審計7.3.6一般

39安全策略更改審計7.3.7重要

配

置

40特權(quán)使用審計7.3.8重要

加

固

41系統(tǒng)事件審計7.3.9一般

42全局對象訪問審計7.3.10一般

43口志配額7.3.11一般

44系統(tǒng)服務(wù)7.4.1一般

45默認(rèn)共享7.4.2重要

46系統(tǒng)防火墻7.4.3重要

47SYN攻擊保護7.4.4一般

48高危端口7.4.5重要

30

附錄B建議安裝的系統(tǒng)補丁

一些重點高危漏洞可以通過安全系統(tǒng)補丁進行修復(fù)。建議在條件

允許情況下，確保以下補丁已被安裝。建議安裝的系統(tǒng)補丁見表B.1。

表B.1建議安裝的系統(tǒng)補丁列表

序號漏洞描述補丁

1Microsoft輔助功能驅(qū)動程序特權(quán)提升漏洞KB2961072

2HTTP.sys中的漏洞可能允許遠程執(zhí)行代碼KB3042553

3MicrosoftWindowsS^4B輸入驗證錯誤漏洞KB4012212

4MicrosoftOffice內(nèi)存損壞漏洞KB3162047

5MicrosoftRemoteDesktopServices資源管理錯誤漏洞KB4499164

6MicrosoftInternetExplorer腳本引擎內(nèi)存損壞漏洞KB4537820

7Windowscng.sys提權(quán)漏洞KB5008244

8MicrosoftWindowsTCP/IP拒絕服務(wù)漏洞KB4601347

31

附錄C常見的高危漏洞

對于一些具有高危、易操作、權(quán)限高的漏洞，建議進行修復(fù)。常

見高危漏洞參見表C.1。

表C.1常見的高危漏洞列表

序號漏洞描述漏洞編號

1Micrcscft號甫助功能驅(qū)動程序特權(quán)提升漏洞CVE-2014-I767

2HTTP.sys中的漏洞可能允許遠程執(zhí)行代碼CVE-20I5-1635

3MicrosoftWindowsSMB輸入驗證錯誤漏洞CVE-2017-0143

4MicrosoftWindowsSMB輸入驗證錯誤漏洞CVE-2017-()144

5MicrosoftOffice內(nèi)存損壞漏洞CVE-2017-11882

6MicrosoftRemoteDesktopServices資源管理錯誤漏洞CVE-2019-0708

7Internel連接共享服務(wù)遠程代碼執(zhí)行漏洞CVE-2020-0662

8MicrosoftInternetExplorer腳本引擎內(nèi)存損壞漏洞CVE-2020-0674

9MicrosoftGraphics遠程代碼執(zhí)行漏洞CVE-2020-0687

10遠程桌面客戶端遠程代碼執(zhí)行漏洞CVE-2020-0734

11MediaFoundation內(nèi)存損壞漏洞CVE-2020-0738

12GD1+遠程代碼執(zhí)行漏洞CVE-2020-0881

13GD1+遠程代碼執(zhí)行漏洞CVE-2020-0883

14Jet數(shù)據(jù)庫引擎遠程代碼執(zhí)行漏洞CVE-2020-0889

15Microsoft圖形組件遠程代碼執(zhí)行漏洞CVE-2020-0907

16MicrosoftCOMforWindows遠程執(zhí)行代碼漏洞CVE-2020-0922

17GD1+遠程代碼執(zhí)行漏洞CVE-2020-0964

18Jet數(shù)據(jù)庫引擎遠程代碼執(zhí)行漏洞CVE-2020-0992

19組策略特權(quán)提升漏洞CVE-2020-1013

20Windows權(quán)限提刀漏洞CVE-2020-I015

21Microsoft腳本運行時遠程執(zhí)行代碼漏洞CVE-2020-1061

22InternetExplorer內(nèi)存損壞漏洞CVE-2020-1062

23Windows遠程代碼執(zhí)行漏洞CVE-2020-1067

24Windows后臺智能傳輸服務(wù)提權(quán)漏洞CVE-2020-1112

25Windows任務(wù)計劃程序安全功能繞過漏洞CVE-2020-1113

26Microsoft圖形組件遠程代碼執(zhí)行漏洞CVE-2020-1153

27GD1+遠程代碼執(zhí)行漏洞CVE-2020-1285

28LNK遠程代碼執(zhí)行漏洞CVE-2020-1299

29WindowsSMB已驗證遠程執(zhí)行代碼漏洞CVE-2020-1301

30組策略特權(quán)提升漏洞CVE-2020-1317

31WindowsMedia遠程代碼執(zhí)行漏洞CVE-2020-1339

32

表Cl常見的高危漏洞列表（續(xù)）

序號漏洞描述漏洞編號

32MicrosoftGraphics遠程代碼執(zhí)行漏洞CVE-2020-