2023年12月18日发(作者:)
1. 帐号管理
Windows-1 检查是否启用审核对象访问的审核
检测步骤:
一、进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:查看是否“审核对象访问”设置为“成功”和判定依据
“失败”都要审核
判定依据:
审核对象访问设置为“成功”和“失败”都要审核则合规,否则不合规
检查点 检查是否启用审核对象访问的审核
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考步骤:
(1).进入“控制面板->管理工具->本地安全策略”,在“本地策加固方案
略->审核策略”中: “审核对象访问”设置为“成功”和“失败”都要审核.
Windows-2 检查口令重复使用次数限制
检测步骤:
一、进入“控制面板->管理工具->本地安全策略”,在“帐户策判定依据
略->密码策略”:查看是否“强制密码历史”设置为“记住5个密码”
判定依据:
强制密码历史>=5则合规,否则不合规.
检查点 账户重复口令次数
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考配置:
加固方案
(1).进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:“强制密码历史”设置为“记住5个密码”
Windows-3 检查共享文件夹权限设置
进入“控制面板->管理工具->计算机管理”,进入“系统工具判定依据 ->共享文件夹”:查看每个共享文件夹的共享权限,是否设置成为everyone。
检查点 检查共享文件夹权限设置
截图
结果
并说明符合/不符合,不符合的需整改为符合
进入“控制面板->管理工具->计算机管理”,进入“系统工具加固方案 ->共享文件夹”:查看每个共享文件夹的共享权限,只将权限授权于指定账户。
Windows-4 检查是否禁用guest用户
检测步骤:
判定依据
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”,查看guest账号状态.
判定依据:
guest账号被禁用则合规,否则不合规.
检查点 检查是否禁用guest用户
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考步骤:
加固方案
进入控制面板->管理工具->计算机管理,在“系统工具->本地用户和组”:找到guest用户将guest用户禁用.
Windows-5 检查口令生存周期要求
检测步骤:
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:查看是否“密码最长存留期”设置为“不长于90判定依据
天”
判定依据:
密码最长存留期<=90合规,否则不合规.
检查点 帐户口令生存期长度
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考步骤:
加固方案
(1).进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:“密码最长存留期”设置为“不长于90天”
Windows-6 管理缺省账号-更改缺省帐户名称
检测步骤:
一、进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:缺省帐户->属性-> 查看是否更改名判定依据
称.
判定条件:
administrators组账号中不存在名称为administrator的账号则合规,否则不合规.
检查点 检查是否修改管理员账号缺省名称
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考步骤:
加固方案
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组-用户”:Administrator->属性-> 更改名称.
Windows-7 检查口令锁定策略
检测步骤:
进入“控制面板->管理工具->本地安全策略”,在“帐户策略判定依据
->帐户锁定策略”:查看“账户锁定阀值”配置.
判定依据
账户锁定阀值<=10且>=1则合规,否则不合规.
检查点 账户锁定阀值
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考配置:
加固方案
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->帐户锁定策略”:“账户锁定阀值”设置为 10次
Windows-8 检查口令策略设置是否符合复杂度要求
检测步骤:
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:查看是否“密码必须符合复杂性要求”选择“已判定依据
启动”.
判定依据:
密码必须符合复杂度要求状态为启动则合规,否则不合规.
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考步骤:
加固方案
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:“密码必须符合复杂性要求”选择“已启动”.
Windows-9 检查是否设置屏幕锁定
检测步骤:
进入“控制面板->显示->屏幕保护程序”:查看是否启用屏幕保护程序,且在恢复时是否使用密码保护.
判定依据
判定依据:
启用了屏幕保护程序且在屏幕恢复时使用了密码保护功能则合规,否则不合规.
检查点(0) 屏幕保护等待时间
截图
结果
并说明符合/不符合,不符合的需整改为符合
检查点(1) 检查是否存在未启用屏幕超时的用户
截图
结果
并说明符合/不符合,不符合的需整改为符合
检查点(2) 检查是否存在屏幕保护恢复时未启用密码保护的用户
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考步骤:
加固方案
进入“控制面板->显示->屏幕保护程序”:启用屏幕保护程序,设置等待时间为“5分钟”,启用“在恢复时使用密码保护”。
Windows-10 帐户锁定时间
检测方法
进入“控制面板”--“管理工具”--"本地安全策略"--“帐号策略”--“帐号锁定策略”,查看“帐号锁定时间”是否修改为5分判定依据
钟。
判定依据
帐号锁定时间大于等于5则合规,否则不合规。
检查点
标准值
结果
帐号锁定时间
大于等于5
截图
并说明符合/不符合,不符合的需整改为符合
参考配置操作
加固方案 “控制面板”--“管理工具”--"本地安全策略"--“帐号策略”--“帐号锁定策略”,修改“帐号锁定时间”为5分钟。
Windows-11 检查复位帐户锁定计数器
检测步骤:
“控制面板”--“管理工具”--"本地安全策略"--“帐号策略”--“帐号锁定策略”,查看是否修改“复位帐户锁定计数器”是否修判定依据
改为3分钟
判定依据:
复位帐户锁定计数器设置为>=3分钟时合规,否则不合规
检查点 复位帐户锁定计数器
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考步骤:
加固方案
“控制面板”--“管理工具”--"本地安全策略"--“帐号策略”--“帐号锁定策略”,修改“复位帐户锁定计数器”为3分钟
Windows-12 禁止RoutingAndRemoteAccess
检测步骤:
进入“控制面板”--“管理工具”--“服务”,找到Routing and
判定依据
Remote Access服务项,查看其状态.
判定依据:
Routing and Remote Access服务处于禁止状态则合规,否则不合规
检查点 检查是否禁止Remote Registry 服务
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考步骤:
加固方案
“控制面板”--“管理工具”--“服务”,找到Routing and Remote
Access服务项,将其启动类型设置为已禁用,并停止该服务.
Windows-13 管理无关账号
检测步骤:
可使用用户管理工具:开始-运行--本地用户和组-用户,查看用户信息.
判定依据
判定条件:
手工检查项,用户可以依据实际需求,来维护与工作无关的账号
检查点 管理无关账号
截图
结果
并说明符合/不符合,不符合的需整改为符合
打开命令提示符,运行命令“”打开计算机管加固方案 理面板,浏览到路径“计算机管理(本地)系统工具本地用户和组用户”,新建一个用户并启用它.
Windows-14 管理账号共享
检测方法
执行以下命令查看系统中存活的账号:
判定依据
#wmic useraccount where (Disabled="FALSE" and
LocalAccount="TRUE") get name | find /v /i "name"
判定依据:系统中有存活的账号则合规,否则不合规。
检查点 已启用的用户的个数
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考配置操作
打开命令提示符,运行命令“”打开计算机管加固方案
理面板,浏览到路径“计算机管理(本地)系统工具本地用户和组用户”,新建一个用户并启用它。
2. 口令策略
Windows-15 检查关键权限指派安全要求-取得文件或其他对象的所有权
检查步骤:
进入“控制面板->管理工具->本地安全策略”,
在“本地策略->用户权利指派”:查看是否“取得文件或其它对判定依据 象的所有权”设置为“只指派给Administrators组”。
判定依据:
“取得文件或其它对象的所有权”设置为“只指派给Administrators组”
取得文件或其它对象的所有权”设置为“只指派给检查点
Administrators组”
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考步骤:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->加固方案
用户权利指派”:“取得文件或其它对象的所有权”设置为“只指派给Administrators组”。
Windows-16 检查关键权限指派安全要求-关闭系统
检测步骤:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:查看“关闭系统”设置为“只指派给判定依据
Administrators组”。
判定依据:
“关闭系统”设置为“只指派给Administrators组”则合规,否则不合规.
检查点 关闭系统”设置为“只指派给Administrators组
截图
结果
并说明符合/不符合,不符合的需整改为符合
加固方案 参考步骤:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:“关闭系统”设置为“只指派给Administrators组”。
Windows-17 检查是否记录帐户登录日志
检测步骤:
点击开始->运行-> 执行“ 控制面板->管理工具->本地安全策略->审核策略”审核登录事件,双击,查看是否设置为成功判定依据
和失败都审核。
判定依据:
审核登录事件设置为成功和失败都审核则合规,否则不合规.
检查点 检查是否记录帐户登录日志
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考步骤:
加固方案
开始->运行-> 执行“ 控制面板->管理工具->本地安全策略->审核策略”审核登录事件,双击,设置为成功和失败都审核。
Windows-18 检查是否启用审核帐户管理的审核
检测步骤:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->判定依据 审核策略”中:查看是否“审核账户管理”设置为“成功” 和“失败”都要审核
判定依据:
审核账户管理设置为“成功” 和“失败”都要审核则合规,否则不合规.
检查点 检查是否启用审核帐户管理的审核
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考步骤:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->加固方案
审核策略”中:“审核账户管理”设置为“成功” 和“失败”都要审核
Windows-19 检查是否启用审核过程追踪的审核
检测步骤:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:查看是否“审核过程追踪”设置为 “失败”需要审判定依据
核
判定依据:
审核过程追踪设置为失败需要审核则合规,否则不合规.
检查点 检查是否启用审核过程追踪的审核
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考步骤:
加固方案
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:“审核过程追踪”设置为 “失败”需要审核
Windows-20 检查是否启用审核系统事件的审核
检测步骤:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:查看是否“审核系统事件”设置为“成功” 和“失判定依据
败”都要审核.
判定依据:
审核系统事件设置为成功和失败都要审核则合规,否则不合规.
检查点 检查是否启用审核系统事件的审核
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考步骤:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->加固方案
审核策略”中:“审核系统事件”设置为“成功” 和“失败”都要审核
Windows-21 检查是否启用审核目录服务访问的审核
检测步骤:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:查看是否“审核目录服务器访问”设置为“成功”
判定依据
和“失败”都要审核
判定依据:
审核目录服务器访问设置为成功和失败都要审核则合规,否则不合规.
检查点 检查是否启用审核目录服务访问的审核
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考步骤:
(1).进入“控制面板->管理工具->本地安全策略”,在“本地策略加固方案
->审核策略”中:“审核目录服务器访问”设置为“成功” 和“失败”都要审核
Windows-22 检查是否启用审核特权使用的审核
检测步骤;
一、进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:查看是否“审核特权使用”设置为“成功” 和判定依据
“失败”都要审核.
判定依据:
审核特权使用设置为成功和失败都要审核则合规,否则不合规.
检查点 检查是否启用审核特权使用的审核
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考步骤:
(1).进入“控制面板->管理工具->本地安全策略”,在“本地策略加固方案
->审核策略”中:“审核特权使用”设置为“成功” 和“失败”都要审核
Windows-23 检查关键权限指派安全要求-从远程系统强制关机
检测步骤:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:查看是否“从远端系统强制关机”设置为“只指判定依据
派给Administrators组”.
判定依据:
从远端系统强制关机权限值分配给administrators组账号.
检查点 从远端系统强制关机”设置为“只指派给Administrators组
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考配置:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->加固方案
用户权利指派”:“从远端系统强制关机”设置为“只指派给Administrators组”。
Windows-24 检查关键权限指派安全要求-从网络访问此计算机
检测步骤:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”查看是否“从网络访问此计算机”设置为判定依据
“administrators组”。
判定依据:
从网络访问此计算机的权限只指派给administrators账户组
检查点
结果
从网络访问此计算机”设置为“administrators组
截图
并说明符合/不符合,不符合的需整改为符合
参考步骤:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->加固方案
用户权利指派”“从网络访问此计算机”只设置为“administrators组”。
Windows-25 检查关键权限指派安全要求-允许本地登录
检测步骤:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”查看是否“从本地登陆此计算机”设置为判定依据
“administrators”.
判定依据:
将本地登录此计算机的权限只指派给administrators账户组则合规,否则不合规.
检查点 “从本地登陆此计算机”设置为“administrators”。
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考步骤:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->加固方案
用户权利指派”“从本地登陆此计算机”设置为只有“administrators”.
Windows-26 不允许匿名枚取SAM帐号与共享
判定依据 检测步骤:
进入“控制面板”--“管理工具”--"本地安全策略"--“帐号策略”--“安全选项”,查看“不允许匿名枚取SAM帐号与共享"状态.
判定依据:
状态为启用则合规,否则不合规.
检查点 不允许匿名枚取SAM帐号与共享
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考步骤:
加固方案
“控制面板”--“管理工具”--"本地安全策略"--“帐号策略”--“安全选项”,修改“不允许匿名枚取SAM帐号与共享”为启用.
Windows-27 不允许匿名枚取SAM帐号
检测步骤:
进入“控制面板”--“管理工具”--"本地安全策略"--“帐号策略”-判定依据
-“安全选项”,查看“不允许匿名枚取SAM帐号”的状态.
判定依据:
其状态为启用则合规,否则不合规
检查点 不允许匿名枚取SAM帐号
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考步骤:
加固方案
“控制面板”--“管理工具”--"本地安全策略"--“帐号策略”--“安全选项”,修改“不允许匿名枚取SAM帐号”为启用.
Windows-28 匿名远程连接
检测步骤:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项”,在右边窗格中找到:
判定依据 “网络访问: 可匿名访问的共享";"网络访问:查看可匿名访问的命名管道",查看其配置
判定依据:
上述两个检查条目配置均为空则合规,否则不合规.
检查点(0) 检查可匿名访问的共享
截图
结果
并说明符合/不符合,不符合的需整改为符合
检查点(1) 检查可匿名访问的命名管道
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考步骤:
“控制面板->管理工具->本地安全策略”,在“本地策略->安全加固方案
选项”,在右边窗格中找到"网络访问: 可匿名访问的共享"、"网络访问: 可匿名访问的命名管道” 将其值设置为空.
Windows-29 禁用可远程访问的注册表路径和子路径
检测步骤:
判定依据
一、进入“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项”,查看以下两处配置
"网络访问:可远程访问的注册表路径"
"网络访问:可远程访问的注册表路径和子路径"
#windowsxp没有此项,不需要检查
判定条件:
以上两处配置均为空则合规,否则不合规
检查点(0) 检查可远程访问的注册表路径和子路径
截图
结果
并说明符合/不符合,不符合的需整改为符合
检查点(1) 检查可远程访问的注册表路径
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考步骤:
(1).“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项”,在右边窗格中找到“网络访问: 可远程访问的注册表加固方案 路径和子路径”,修改其配置为空
(2). .“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项”,在右边窗格中找到“网络访问: 可远程访问的注册表路径",修改其配置为空.
Windows-30 禁止用户开机自动登陆
检测步骤:
判定依据
一、执行以下命令查看AutoAdminLogon的值:
#reg query
"HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionWinlogon"
"AutoAdminLogon"
判定依据
AutoAdminLogon的值为0合规,否则不合规.
检查点 禁止用户开机自动登陆
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考步骤:
(1).开始->运行->键入 regedit
(2)修订注册表项:
进加固方案
HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinlogon,新建一个名称为AutoAdminLogon,类型为REG_DWORD,值为0的键值。
如果存在AutoAdminLogon 则直接将键值改为0
入/v AutoAdminLogon|find
3. 认证授权
Windows-31
判定依据
检查日志文件大小设置
检测步骤:
一、进入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中:查看应用日志、系统日志、安全日志的大小.
判定依据:
查看应用日志、系统日志、安全日志的大小,且当日志文件达到最大大小时的动作的序号均为“按需要改写事件”时合规,否则不合规.
检查点(0)
标准值
检查应用程序日志文件最大大小
8388608
截图
结果
并说明符合/不符合,不符合的需整改为符合
检查点(1)
运算符
标准值
检查应用系统文件最大大小
大于等于
8388608
截图
结果
并说明符合/不符合,不符合的需整改为符合
检查点(2)
运算符
标准值
检查安全日志文件最大大小
大于等于
8388608
截图
结果
并说明符合/不符合,不符合的需整改为符合
检查系统日志、安全日志、应用程序日文件达到最大大小时检查点(3)
的动作的序号
标准值 0X0
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考步骤:
(1).进入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中:“应用日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时,“按需要改写事加固方案
件”。
“系统日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时,“按需要改写事件”。
“安全日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时,“按需要改写事件”。
Windows-32 检查是否启用审核策略更改的审核
检测步骤:
一、进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中查看是否“审核策略更改”设置为“成功” 和判定依据
“失败”都要审核.
判定条件:
审核策略更改设置为成功和失败都审核则合规,都则不合规.
检查点 检查是否审核策略更改.
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考步骤:
(1).进入“控制面板->管理工具->本地安全策略”,在“本地策加固方案
略->审核策略”中“审核策略更改”设置为“成功” 和“失败”都要审核.
Windows-33 检查防火墙配置
检测步骤:
一、进入“控制面板->网络连接->本地连接”,在高级选项的设置中,查看是否启用Windows防火墙.
二、查看是否在“例外”中配置允许业务所需的程序接入网络.
判定依据
三、查看是否在“例外->编辑->更改范围”编辑允许接入的网络地址范围.
判定条件:
防火墙操作模式和例外模式状态为启用,且防火墙服务(Windows Firewall)处于启用状态则合规,否则不合规
检查点(0) 检查防火墙操作模式是否启用
截图
结果
并说明符合/不符合,不符合的需整改为符合
检查点(1)
标准值
检查防火墙例外模式是否启用
禁用disable
截图
结果
并说明符合/不符合,不符合的需整改为符合
检查点(2) 检查是否启用防火墙服务
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考步骤:
(1).进入“控制面板->网络连接->本地连接”,在高级选项的加固方案
设置中启用Windows防火墙,在“例外”中配置允许业务所需的程序接入网络.在“例外->编辑->更改范围”编辑允许接入的网络地址范围.
Windows-34 审核帐户登录事件
检测方法
进入“控制面板”--“管理工具”--"本地安全策略"--“审核策略策略”,查看“审核帐户登录事件”是否修改为成功与失败。
判定依据
判定依据
审核账户登录事件选择成功与失败都审核则合规,否则不合规。
检查点
审核帐户登录事件
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考配置操作
加固方案
“控制面板”--“管理工具”--"本地安全策略"--“审核策略策略”,修改“审核帐户登录事件”为成功与失败。
4. 系统服务
Windows-35 检查TCPIP筛选配置
检测步骤:
进入“控制面板->网络连接->本地连接”,进入“Internet协议(TCP/IP)属性->高级TCP/IP设置”,在“选项”的属性中查判定依据
看是否启用网络连接上的TCP/IP筛选.
判定依据:
启用网络连接上的TCP/IP筛选则合规,否则不合规
检查点 检查是否已启用TCP/IP筛选功能
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考步骤:
(1).进入“控制面板->网络连接->本地连接”,进入“Internet加固方案 协议(TCP/IP)属性->高级TCP/IP设置”,
在“选项”的属性中启用网络连接上的TCP/IP筛选,只开放业务所需要的TCP,UDP端口和IP协议。
Windows-36 检查是否启用SYN攻击保护
检测步骤:
一、执行以下命令reg query
"HKEY_LOCAL_MACHINESYSTEMCurrentControlSetService判定依据
sTcpipParameters"|findstr
TcpMaxPortsExhausted
TcpMaxHalfOpenRetried"
查看参数SynAttackProtect 、TcpMaxPortsExhausted、/I "SynAttackProtect
TcpMaxHalfOpen
TcpMaxHalfOpen、TcpMaxHalfOpenRetried的值.
判定依据:
SynAttackProtect的值为1或2、TcpMaxPortsExhausted值为5、TcpMaxHalfOpen的值为500、TcpMaxHalfOpenRetried的值为400则合规,否则不合规.
检查点(0) 检查是否已启用SYN攻击保护
截图
结果
并说明符合/不符合,不符合的需整改为符合
检查点(1) 检查TCP连接请求阈值
截图
结果
并说明符合/不符合,不符合的需整改为符合
检查点(2) 检查处于SYN_RCVD 状态下的 TCP 连接阈值
截图
结果
并说明符合/不符合,不符合的需整改为符合
检查处于SYN_RCVD 状态下,且至少已经进行了一次重新传检查点(3)
输的TCP连接阈值
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考步骤:
加固方案
(1)在“开始->运行->键入regedit”启用 SYN 攻击保护的命名值位于注册表项
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 之下添加以下几个键值:
值名称:SynAttackProtect.推荐值:1.类型为:DWORD值(REG_DWORD). 数据为标准值(注意:标准值为16进制表示)的数值,若已存在则修改其数据。此数据的有效值为0-2)
值名称:TcpMaxPortsExhausted.推荐值:5.类型为:DWORD值(REG_DWORD) (注意:标准值为16进制表示)的数值,若已存在则修改其数据。此数据的有效值为在0-ffff(16进制)
值名称:TcpMaxHalfOpen.推荐值数据:500.类型为:DWORD值(REG_DWORD)(注意:标准值为16进制表示)的数值,若已存在则修改其数据。此数据的有效值为在64-ffff(16进制)
值名称:TcpMaxHalfOpenRetried.推荐值数据:400类型为:DWORD值(REG_DWORD)(注意:标准值为16进制表示)的数值,若已存在则修改其数据。此数据的有效值为在50-ffff(16进制)
Windows-37 检查SNMP安全设置
检测步骤:
打开“控制面板”,打开“管理工具”中的“服务”,找到“SNMP
Service”,单击右键打开“属性”面板中的“安全”选项卡,在这个判定依据
配置界面中,查看community strings,也就是微软所说的“团体名称”。
判定依据:
community strings不为public则合规,否则不合规.
检查点 检查是否修改snmp默认团体名称
截图
结果
并说明符合/不符合,不符合的需整改为符合
打开“控制面板”,打开“管理工具”中的“服务”,找到“SNMP
Service”,单击右键打开“属性”面板中的“安全”选项卡,在这个加固方案
配置界面中,可以修改community strings,也就是微软所说的“团体名称”.
Windows-38 ICMP重定向
检测步骤:
执行以下命令,查看EnableICMPRedirect的值
#REG
判定依据
QUERY
"HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters" /v EnableICMPRedirect
判定依据:
EnableICMPRedirect的值为0x0则合规,否则不合规.
检查点 检查是否已禁用ICMP重定向
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考步骤:
加固方案
(1).浏览注册表,HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServi
cesTcpipParameters将EnableICMPRedirect值设为0.若该值不存在,添加名称为“EnableICMPRedirect”、类型为DWORD、数据为标准值的数值.此数据的有效值为0-1
Windows-39 防止源路由欺骗攻击
检测步骤:
一、执行以下命令,查看参数DisableIPSourceRouting的值
#reg query
"HKEY_LOCAL_MACHINESystemCurrentControlSetServices判定依据
TcpipParameters" /v DisableIPSourceRouting|find
"DisableIPSourceRouting"
判定条件:
DisableIPSourceRouting的值为2则合规,否则不合规.
检查点 检查源路由配置
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考步骤:
(1).打开命令提示符,运行命令“regedit”打开注册表编辑器,浏览加固方案
“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters”,添加名称为“DisableIPSourceRouting”、类型为DWORD、数据为标准值的数值,若已存在则修改其数据.
到路径
说明:此数据的有效值为0-2,其中0表示转发所有数据包,1表示不转发源路由的数据包,2表示丢弃所有传入源路由的数据包.
5. 文件权限
Windows检查是否修改默认远程登录端口
-40
检测步骤:
执行以下命令查看PortNumber的值.
#reg query
判定依据 "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v PortNumber
判定依据:
PortNumber的值不为0xd3d则合规,否则合规.
检查点 检查是否修改默认远程登录端口
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考步骤:
在终端服务器上做如下修改:
加固方案
1.浏览如下注册表路径HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal
ServerWinStationsRDP-Tcp下都有一个PortNumber值,通常为
3389,将其修改为自己的值,如9833(可自己指定端口,但最好不要设为低端端口,以免冲突);
2.重新启动服务器。
Windows检查是否关闭默认共享
-41
检测步骤:
一、使用以下命令查看AutoShareServer和AutoShareWKS键值的值
#reg query
"HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslan判定依据 manserverparameters"|findstr /I "AutoShareServer"
#reg query
"HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters"|findstr /I "AutoShareWKS"
判定依据:
AutoShareServer和AutoShareWKS的值均为0x0
检查点(0) 关闭Windows硬盘默认共享-AutoShareServer
截图
结果
并说明符合/不符合,不符合的需整改为符合
检查点(1) 关闭Windows硬盘默认共享-AutoShareWKS
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考操作步骤:
1)加固之前将系统默认共享删除
进入控制面板-管理工具-计算机管理-系统工具-共享文件夹-共享,将描述为"默认共享"的共享名删除掉.
2)修改注册表
加固方案
进入“开始->运行->Regedit”,进入注册表编辑器,
更改注册表键值:在HKEY_LOCAL_MACHINESystemCurrentControlSet
ServicesLanmanServerParameters下,
增加REG_DWORD类型的AutoShareServer 键,值为
_DWORD类型的AutoShareWKS 键,值为 0.
Windows检查是否已启用并正确配置Windows网络时间同步服务(NTP)
-42
检测步骤:
一、执行以下命令查看w32tm状态
#wmic service where name="w32time" get state | find /i /v "state"
判定依据
二、执行以下命令获取W32Time服务的启动类型
#wmic service where name="w32time" get startmode | find /i /v
"startmode"
三、执行以下命令获取时间服务器地址
#reg query
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesw32timeParameters /v NtpServer || echo NtpServer notfound not
config
判定依据:
1)w32tm服务启用
2)w32tm启动类型为自动
3)配置了时间服务器
三者均满足则合规,否则不合规.
检查点(0) 检查Windows Time(W32Time)服务状态
截图
结果
并说明符合/不符合,不符合的需整改为符合
检查点(1) 检查时间服务器地址
截图
结果
并说明符合/不符合,不符合的需整改为符合
检查点(2) 检查Windows Time(W32Time)服务的启动类型
截图
结果
并说明符合/不符合,不符合的需整改为符合
加固方案 参考配置:
(1).打开命令提示符,运行命令“”打开服务面板,在右边窗格中找到名称为“Windows Time”的服务,点击右键,“启动”此服务,并且设置其启动方式为自动.
(2).打开命令提示符,运行命令“”打开“时间和日期属性”对话框,切换到“Internet时间”选项卡,勾选“与Internet时间服务器同步”,配置服务器地址为标准值之一。
Windows-43
安装系统补丁Service Pack
检测方法
控制面板->添加或删除程序->显示更新打钩,查看系统是否已安装最新补丁。
判定依据
判定依据
WindowsXP最新补丁包为SP3,Windows2003和Windows2003R2最新补丁包为SP2,WindowsVista和Windows2008为SP2,Windows7和Windows2008R2为SP1,如果不满足则不合规,满足则合规。
检查点(1)
检查windows xp是否安装系统补丁
截图
结果
并说明符合/不符合,不符合的需整改为符合
检查点(2)
检查windows 2003是否安装系统补丁
截图
结果
并说明符合/不符合,不符合的需整改为符合
检查点(3)
检查win7和windows2008 r2是否安装系统补丁
截图
结果
并说明符合/不符合,不符合的需整改为符合
检查点(4)
检查windows 2008是否安装系统补丁
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考配置操作
从微软官方下载最新补丁包安装,或开启自动更新安装最新补丁包。
加固方案
说明:
WindowsXP最新补丁包为SP3,Windows2003和Windows2003R2最新补丁包为SP2,WindowsVista和Windows2008为SP2,Windows7和Windows2008R2为SP1。
Windows检查是否设置登录超时
-44
检测步骤:
一、进入“控制面板->管理工具->本地安全策略”,
在“本地策略->安全选项”:查看是否“Microsoft网络服务器”设置判定依据
为“在挂起会话之前所需的空闲时间”为15分钟
判定依据:
挂起会话之前所需的空闲时间等于15分钟则合规,否则不合规.
检查点
标准值
挂起会话之前所需的空闲时间
15
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考配置:
(1).进入“控制面板->管理工具->本地安全策略”,在“本地策略->加固方案
安全选项”:“Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟
Windows检查是否关闭Windows自动播放功能
-45
检测步骤:
一、执行以下命令查看参数NoDriveTypeAutoRun的值.
#reg query
判定依据 HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer | find "NoDriveTypeAutoRun"
判定依据:
NoDriveTypeAutoRun的值为0xff则合规,否则不合规.
检查点 关闭自动播放
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考配置:
(1).点击开始→运行→输入,打开组策略编辑器,浏览加固方案
到计算机配置→管理模板→系统,在右边窗格中双击“关闭自动播放”,对话框中选择所有驱动器,确定即可。
(2).针对WIN7系统,应该在管理模板>>Windows组件>>自动播放策略>>关闭自动播放,这里进行加固.
Windows检查DEP安全配置
-46
检测步骤:
进入“控制面板->系统”,在“高级”选项卡的 “性能”下的“设置”。进入 “数据执行保护”选项卡。查看是否设置为“ 仅为基本
判定依据
Windows 操作系统程序和服务启用DEP”.
判定依据:
配置为仅为基本 Windows 操作系统程序和服务启用DEP则合规,否则不合规.
检查点 检查DEP安全配置-DataExecutionPrevention_SupportPolicy
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考步骤:
(1).进入“控制面板->系统”,在“高级”选项卡的 “性能”下的“设加固方案 置”。进入 “数据执行保护”选项卡。设置为“ 仅为基本 Windows
操作系统程序和服务启用DEP”.
(2).更改配置后需要重启系统才能生效
Windows检查是否安装防病毒软件
-47
判定依据 检测步骤:
控制面板->添加或删除程序,是否安装有防病毒软件.
判定条件:
被扫描设备如果安装了杀毒软件则合规,否则不合规.
检查点 检查是否安装杀毒软件.
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考步骤:
加固方案
安装防病毒软件,并及时更新。
Windows禁止Alerter服务
-48
检测步骤:
进入“控制面板”--“管理工具”--“服务”,找到Alerter服务项,查看判定依据
其状态.
判定依据:
Alerter服务处于禁止状态则合规,否则不合规
检查点 检查是否禁止Alerter服务
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考步骤:
加固方案
“控制面板”--“管理工具”--“服务”,找到Alerter服务项,将其启动类型设置为已禁用,并停止该服务.
Windows禁用telnet服务
-49
检测步骤:
进入“控制面板”--“管理工具”--“服务”,找到服务项,查判定依据
看其状态.
判定依据:
服务处于禁止状态则合规,否则不合规
检查点 检查是否禁止(telnet服务)程序
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考步骤:
加固方案
“控制面板”--“管理工具”--“服务”,找到服务项,将其启动类型设置为已禁用,并停止该服务.
Windows禁止ComputerBrowser服务
-50
检测步骤:
进入“控制面板”--“管理工具”--“服务”,找到Computer Browser服判定依据
务项,查看其状态.
判定依据:
Computer Browser服务处于禁止状态则合规,否则不合规
检查点
结果
检查是否禁止ComputerBrowser服务
截图
并说明符合/不符合,不符合的需整改为符合
参考步骤:
加固方案
(1).“控制面板”--“管理工具”--“服务”,找到Computer Browser服务项,将其启动类型设置为已禁用,并停止该服务.
Windows禁止Messenger服务
-51
检测方法
进入“控制面板”--“管理工具”--“服务”,找到Messenger服务项,判定依据
查看其状态。
判定依据
Messenger服务处于禁止状态则合规,否则不合规。
检查点 禁止Messenger服务
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考配置操作
加固方案 “控制面板”--“管理工具”--“服务”,找到Messenger服务项,将其启动类型设置为已禁用,并停止该服务。
Windows禁止RemoteRegistry服务
-52
检测步骤:
判定依据
进入“控制面板”--“管理工具”--“服务”,找到Remote Registry服务项,查看其状态.
判定依据:
Remote Registry服务处于禁止状态则合规,否则不合规
检查点 检查是否禁止Remote Registry服务
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考步骤:
加固方案
“控制面板”--“管理工具”--“服务”,找到Remote Registry服务项,将其启动类型设置为已禁用,并停止该服务.
Windows禁止PrintSpooler服务
-53
检测步骤:
进入“控制面板”--“管理工具”--“服务”,找到Print Spooler服务项,判定依据
查看其状态.
判定依据:
Print Spooler服务处于禁止状态则合规,否则不合规
检查点 检查是否禁止Print Spooler服务
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考步骤:
加固方案
“控制面板”--“管理工具”--“服务”,找到Print Spooler服务项,将其启动类型设置为已禁用,并停止该服务.
Windows禁止AutomaticUpdates服务
-54
检测步骤:
进入“控制面板”--“管理工具”--“服务”,找到Automatic Updates服判定依据
务项,查看其状态.
判定依据:
Automatic Updates服务处于禁止状态则合规,否则不合规
检查点 检查是否禁止Automatic Updates服务
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考步骤:
加固方案
“控制面板”--“管理工具”--“服务”,找到Automatic Updates服务项,将其启动类型设置为已禁用,并停止该服务.
Windows禁止TerminalService服务
-55
检测步骤:
进入“控制面板”--“管理工具”--“服务”,找到Terminal Service服务判定依据
项,查看其状态.
判定依据:
Terminal Service服务处于禁止状态则合规,否则不合规
检查点
结果
检查是否禁止Terminal Service服务
截图
并说明符合/不符合,不符合的需整改为符合
参考步骤:
加固方案
“控制面板”--“管理工具”--“服务”,找到Terminal Service服务项,将其启动类型设置为已禁用,并停止该服务.
Windows不显示上次的用户名
-56
检测步骤:
进入“控制面板”--“管理工具”--"本地安全策略"--“安全选项”,查看判定依据
“不显示最后的用户名”状态.
判定依据:
状态为启用这合规,否则不合规
检查点 检查是否不显示上次的用户名.
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考步骤
加固方案
“控制面板”--“管理工具”--"本地安全策略"--“安全选项”,修改“不显示最后的用户名”状态为启用;
Windows禁止WorldWideWebPublishing服务
-57
检测步骤:
判定依据
进入“控制面板”--“管理工具”--“服务”,找到World Wide Web
Publishing Service服务项,查看其状态.
判定依据:
World Wide Web Publishing Service服务处于禁止状态则合规,否则不合规
检查点 检查是否禁止WorldWideWebPublishing服务
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考步骤:
“控制面板”--“管理工具”--“服务”,找到World Wide Web
加固方案
Publishing Service服务项,将其启动类型设置为已禁用,并停止该服务.
Windows禁止SimpleMailTrasferProtocol服务
-58
检测步骤:
进入“控制面板”--“管理工具”--“服务”,找到Simple Mail Transfer
Protocol服务项,查看其状态.
判定依据
判定依据:
Simple Mail Transfer Protocol服务处于禁止状态则合规,否则不合规
检查点 检查是否禁止SimpleMailTrasferProtocol服务
截图
结果
并说明符合/不符合,不符合的需整改为符合
加固方案 参考步骤:
(1).“控制面板”--“管理工具”--“服务”,找到Simple Mail Transfer
Protocol服务项,将其启动类型设置为已禁用,并停止该服务.
Windows禁止SNMPService服务
-59
检测步骤:
进入“控制面板”--“管理工具”--“服务”,找到SNMP Service服务判定依据
项,查看其状态.
判定依据:
SNMP Service服务处于禁止状态则合规,否则不合规
检查点 检查是否禁止SNMP Service
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考步骤:
加固方案
“控制面板”--“管理工具”--“服务”,找到SNMP Service服务项,将其启动类型设置为已禁用,并停止该服务.
Windows禁止SNMPTrap服务
-60
检测步骤:
进入“控制面板”--“管理工具”--“服务”,找到SNMP Trap Service服判定依据
务项,查看其状态.
判定依据:
SNMP Trap Service服务处于禁止状态则合规,否则不合规
检查点 检查是否禁止SNMPTrap服务
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考步骤:
加固方案
“控制面板”--“管理工具”--“服务”,找到SNMP Trap Service服务项,将其启动类型设置为已禁用,并停止该服务.
Windows禁止蓝屏后自动启动机器
-61
检测步骤;
执行以下命令查看参数AutoReboot的值:
#reg query
判定依据 "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlCrashControl"|findstr /I "AutoReboot"
判定依据:
AutoReboot的值为0X0则合规,否则不合规.
检查点 禁止蓝屏后自动启动机器
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考步骤:
(1).右键点击“我的电脑”--“高级系统设置”--“高级”--“启动和故障加固方案
恢复”--“设置”;
(2).勾掉“自动重启启动”.
Windows匿名权限限制
-62
检测步骤:
执行以下命令查看restrictanonymous的值.
#REG QUERY "HKLMSystemCurrentControlSetControlLsa" /v
判定依据
restrictanonymous
判定条件:
restrictanonymous的值为0x1则合规,否则不合规
检查点 匿名用户空链接为0x1说明删除
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考步骤:
(1).如果没有通过检查,请将注册表键值HKLMSystemCurrentControlSetControlLsarestrictanonymous设置为1,若该值不存在,可以自己创建,名称为加固方案
“restrictanonymous”、类型为DWORD、数据为标准值的数值.
或执行下行命令添加此键值:
REG ADD "HKLMSystemCurrentControlSetControlLsa" /v
"restrictanonymous" /t "REG_DWORD" /d "00000001"
修改完成后重新启动系统生效。
Windowsctrl-alt-del配置
-63
检测步骤:
点击“开始”-“运行”,输入,在打开的组策略编辑器中定位至“计算机配置”-“windows设置”-“安全设置”-“本地策略”-“安全判定依据
选项”,是否在右边的窗格中找到“交互式登录设置,查看其状态
判定条件:
交互式登录:不需要按Ctrl+Alt+Del状态禁用则合规,否则不合规.
检查点 检查ctrl + alt + del 配置状态是否禁用
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考配置:
(1).点击“开始”-“运行”,输入,在打开的组策略编辑器中加固方案
定位至“计算机配置”-“windows设置”-“安全设置”-“本地策略”-“安全选项”,在右边的窗格中找到“交互式登录:不需要按Ctrl+Alt+Del”,双击打开它,选择“已禁用”,点击“确定”完成设置。
Windows清除虚拟内存页面文件
-64
检测步骤:
一、点击“开始”-“运行”,输入,在打开的组策略编辑器中判定依据
定位至“计算机配置”-“windows设置”-“安全设置”-“本地策略”-“安全选项”,在右边的窗格中找到“关机: 清除虚拟内存页面文件”,查看其状态.
判定条件:
关机: 清除虚拟内存页面文件状态为启用则合规,否则不合规
检查点 清除虚拟内存页面文件启用
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考配置:
(1).点击“开始”-“运行”,输入,在打开的组策略编辑器中加固方案
定位至“计算机配置”-“windows设置”-“安全设置”-“本地策略”-“安全选项”,在右边的窗格中找到“关机: 清除虚拟内存页面文件”,双击打开它,选择“已启用”,点击“确定”完成设置。
Windows关闭不必要的服务
-65
检测步骤:
一、进入“控制面板->管理工具->计算机管理”,进入“服务和应用程判定依据
序-服务”,查看所有服务.
判定依据:
手工检查项,用户可视自己的实际需要关闭不必要的服务.
检查点 关闭不必要的服务
截图
结果
并说明符合/不符合,不符合的需整改为符合
参考步骤:
加固方案
(1).执行以下命令查看,当前已经启动的服务列表:
发布评论