Windows Server 系统通用安全基线配置详细

一:隐藏账户检查

打开注册表查看cmd> regedit路径 HKEY_LOCAL_MACHINE --SAM–SAM(需要右击权限修改管理员权限)-Domains-Account-users

查看Users表项与Names表项中的项数量是否一致。

如果数量一致:无隐藏用户。

反之对照其它电脑用户注册表 即可找出隐藏用户表项。

二:共享账号检查

配置名称:账号分配检查,避免共享账号存在

配置要求: 1、系统需按照实际用户分配账号;

2、根据系统的使用需求,设定不同的账户和账户组,包括管理员用户,数据库用户,审计用户,来宾用户等;

3、避免出现共享账号情况;

操作指南:参考配置操作(适用2000、2003)

”控制面板==》管理工具==》计算机管理==》系统工具==》本地用户和组”。

参考配置操作(适用2008 x64)

”管理工具==》服务器管理==》配置==》本地用户和组”。
          参考配置操作(适用2016 x64)
         ”控制面板==》系统和安全==》管理工具==》计算机管理==》本地用户和组”。

检查方法:查看已创建账户和账户组,与管理员确认有无无用的或共用的账户,如果每一账户都按需创建和划分账户组的则符合要求。

配置方法:根据系统实际使用需求,设定不同的账户和账户组,如:管理员用户,数据库用户,审计用户,来宾用户。

使用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64、Windows Server 2016 X64。

三:来宾账户检查

配置名称:禁用来宾账户

配置要求:禁用guest(来宾)用户

操作指南:参考配置操作(适用2000、2003)

”控制面板==》管理工具==》计算机管理”,在”系统工具==》本地用户和组==》Guest账户>属性==》“常规”页

参考配置操作(适用2008 x64)

”管理工具==》服务器管理”,在”配置==》本地用户和组==》Guest账户==》属性==》 “常规”页
          参考配置操作(适用2016 x64)
         ”控制面板==》系统和安全==》管理工具==》计算机管理==》本地用户和组==》Guest账户==》属性==》 “常规”页”。

检查方法:检查复选框”账户已禁用”项状态,勾选为已禁用来宾账号

配置方法:勾选复选框”账户已禁用”项,禁用来宾账号。

适用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64、Windows Server 2016 X64。

四:口令复杂度策略

配置名称:口令复杂度策略

配置要求:1、最短密码长度 10个字符;

2、启用本机组策略中密码必须符合复杂性要求的策略,即密码至少包含以下四种类别的字符中的三种:
如果启用此策略,密码必须符合下列最低要求:
    不能包含用户的帐户名,不能包含用户姓名中超过两个连续字符的部分
      ♦至少有六个字符长
      ♦包含以下四类字符中的三类字符:
      ♦英文大写字母(A 到 Z)
      ♦英文小写字母(a 到 z)
      ♦10 个基本数字(0 到 9)
      ♦非字母字符(例如 !、$、#、%)

操作指南:参考配置操作(适用2000、2003)

1、”控制面板==》管理工具==》本地安全策略==》帐户策略==》密码策略==》密码长度最小值==》属性”

2、”控制面板==》管理工具==》本地安全策略==》帐户策略==》密码策略==》密码必须符合复杂性要求==》属性”

参考配置操作(适用2008 x64)

1、”管理工具==》本地安全策略==》帐户策略==》密码策略==》密码长度最小值==》属性”

2、”管理工具==》本地安全策略==》帐户策略==》密码策略==》密码必须符合复杂性要求==》属性”
         参考配置操作(适用2016 x64)
           1、”控制面板==》系统和安全==》管理工具==》本地安全策略==》帐户策略==》密码策略==》密码长度最小值==》属性”
           2、”控制面板==》系统和安全==》管理工具==》本地安全策略==》帐户策略==》密码策略==》帐户策略==》密码策略==》密码必须符合复杂性要求==》属性”

检查方法:1、检查最小值设置,大于等于10为符合要求;

2、检查单选框”已启动”状态,选中”已启动”为符合。

配置方法:1、将密码最小值设置为大于等于10;

2、将”密码必须符合复杂性要求”项,选中”已启动”。

使用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64、Windows Server 2016 X64。

五:口令最长生存期策略

配置名称:口令最长生存期策略

配置要求:要求操作系统的账户口令的最长生存期不长于90天。

操作指南:参考配置操作(适用2000、2003)

”控制面板==》管理工具==》本地安全策略==》帐户策略==》密码策略==》密码最长存留期==》属性”

参考配置操作(适用2008 x64)

”管理工具==》本地安全策略==》帐户策略==》密码策略==》密码最长存留期==》属性”
          参考配置操作(适用2016 x64)
         ”控制面板==》系统和安全==》管理工具==》本地安全策略==》帐户策略==》密码策略==》密码最长存留期==》属性”

检查方法:检查”密码最长使用期限”小于等于90为符合。

配置方法:检查”密码最长使用期限”小于等于90为符合。

使用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64、Windows Server 2016 X64。

六:远程关机授权

配置名称:本地安全设置中远程关机授权只指派给Administrators组

配置要求:在本地安全设置中从远端系统强制关机只指派给Administrators组。

操作指南:参考配置操作(适用2000、2003)

”控制面板==》管理工具==》本地安全策略==》本地策略==》用户权利指派==》从远端系统强制关机==》属性”

参考配置操作(适用2008 x64)

”管理工具==》本地安全策略==》本地策略==》用户权限分配==》从远程系统强制关机==》属性”
          参考配置操作(适用2016 x64)
          ”控制面板==》系统和安全==》管理工具==》本地安全策略==》本地策略==》用户权限分配==》从远程系统强制关机==》属性”

检查方法:查看”从远端系统强制关机”权限指派情况”,仅指派给 administrators,符合要求。

配置方法:设置为”只指派给Administrators组”

使用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64、Windows Server 2016 X64。

七:系统关闭授权

配置名称:本地安全设置中关闭系统仅指派给Administrators组

配置要求:检测本地安全设置中关闭系统仅指派给Administrators组

操作指南:参考配置操作(适用2003)

”控制面板==》管理工具==》本地安全策略==》本地策略==》用户权利指派==》关闭系统->属性”

参考配置操作(适用2008 x64)

”管理工具==》本地安全策略==》本地策略==》用户权限分配==》关闭系统==》属性”
          参考配置操作(适用2016 x64)
          ”控制面板==》系统和安全==》管理工具==》本地安全策略==》本地策略==》用户权限分配==》关闭系统==》属性”

检查方法:查看”关闭系统”权限指派情况,内容为administrators,表示符合要求。

配置方法:设置为”只指派给Administrators组”

使用版本:Windows Server 2003、Windows Server 2008 X64、Windows Server 2016 X64。

八:文件权限指派

配置名称:文件权限指派

配置要求:在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。

操作指南:参考配置操作(适用2003)

”控制面板==》管理工具==》本地安全策略==》本地策略==》用户权利指派==》取得文件或其它对象的所有权==》属性”

参考配置操作(适用2008 x64)

”管理工具==》本地安全策略==》本地策略==》用户权限分配==》用户权利指派==》取得文件或其它对象的所有权==》属性”
         参考配置操作(适用2016 x64)
        ”控制面板==》系统和安全==》管理工具==》本地安全策略==》本地策略==》用户权限分配==》取得文件或其它对象的所有权==》属性”

检查方法:查看“取得文件或其它对象”的仅限指情况,指派给Administrators”为符合要求。

配置方法:设置为”只指派给Administrators组”

使用版本:Windows Server 2003、Windows Server 2008 X64、Windows Server 2016 X64。

九:匿名权限限制

配置名称:网络连接中限制匿名用户连接权限

配置要求:在组策略中只允许授权账号从网络访问(包括网络共享等,但不包括终端服务)此计算机。

操作指南:参考配置操作(适用2003)

”控制面板==>管理工具==>本地安全策略==>本地策略==>用户权利指派==>从网络访问此计算机==>属性”

参考配置操作(适用2008 x64)

”管理工具==>本地安全策略==>本地策略==>用户权限分配==>从网络访问此计算机==>属性”
          参考配置操作(适用2016 x64)
         ”控制面板==》系统和安全==》管理工具==》本地安全策略==>本地策略==>用户权限分配==>从网络访问此计算机==>属性”

检查方法:检查属性列表,不包括”Users”和”Everyone”组和其他无用组为符合要求.

配置方法:根据需求添加访问组。

适用版本:Windows Server 2003、Windows Server 2008 X64、Windows Server 2016 X64

十:登陆日志检查

配置名称:检测是否设置审核账户登录事件

配置要求:系统应启用日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。

操作指南:参考配置操作(适用2000、2003)

”控制面板==》管理工具==》本地安全策略==》审核策略==》审核登录事件==》属性”。

参考配置操作(适用2008 x64)

”管理工具==》本地安全策略==》审核策略==》审核登录事件==》属性”。
         参考配置操作(适用2016 x64)
        ”控制面板==》系统和安全==》管理工具==》本地安全策略==》审核策略==》审核登录事件==》属性”。

检查方法:检查是否同时勾选了”成功”和”失败”,同时勾选为符合要求。

配置方法:设置为成功和失败都审核。

适用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64、Windows Server 2016 X64

十一:系统日志完备性检查

配置名称:系统日志完备性检查,检查是否启用系统多项审核策略

配置要求:系统应配置完整的审核策略,启用本地策略中审核策略中如下项。每项都需要设置为”成功”和”失败”都要审核。

参考配置操作(适用2000、2003)

”控制面板==》管理工具==》本地安全策略
          需要配置的策略:

参考配置操作(适用2008 x64)

”管理工具==》本地安全策略
          需要配置的策略:
          参考配置操作(适用2016 x64)
         ”控制面板==》系统和安全==》管理工具==》本地安全策略
          需要配置的策略:

♦审核策略更改

♦审核对象访问

♦审核进程跟踪

♦审核目录服务访问

♦审核特权使用

♦审核系统事件

♦审核账户管理

操作指南:参考配置操作

进入”控制面板==》管理工具==》本地安全策略==》本地策略->审核策略”中。进入如下项的”属性页”

♦审核策略更改

♦审核对象访问

♦审核进程跟踪

♦审核目录服务访问

♦审核特权使用

♦审核系统事件

♦审核账户管理

检查方法:检查项包括以下7子项:

♦检测是否启用对Windows系统的审核策略更改

♦检测是否启用对Windows系统的审核对象访问

♦检测是否启用Windows系统审核目录服务访问

♦检测是否启用Windows系统审核特权使用

♦检测是否启用Windows系统审核系统事件

♦检测是否启用Windows系统的审核账户管理

♦检测是否启用Windows系统的审核过程追踪

以上每一项都要勾选”成功”和”失败”项,才符合要求。

配置方法:分别进入以上7个子项配置页,勾选”成功”和”失败”复选框。

适用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64、Windows Server 2016 X64

十二:日志大小设置

配置名称:检测系统日志、应用日志、安全日志的大小以及扩展设置是否符合规范

配置要求:1、设置系统日志文件大小至少为32MB,设置当达到最大的日志尺寸时,按需要改写事件。

2、设置应用日志文件大小至少为32MB,设置当达到最大的日志尺寸时,按需要改写事件。

3、设置安全日志文件大小至少为32MB,设置当达到最大的日志尺寸时,按需要改写事件。
Windows server 2016 R2 x64:
配置名称:检测系统日志、应用程序日志、安全日志、设置日志的大小以及扩展设置是否符合规范
配置要求:1、设置系统日志文件大小至少为1028MB,设置当达到最大的日志尺寸时,按需要改写事件。

2、设置应用程序日志文件大小至少为1028MB,设置当达到最大的日志尺寸时,按需要改写事件。

3、设置安全日志文件大小至少为1028MB,设置当达到最大的日志尺寸时,按需要改写事件。
          4、设置设置日志文件大小至少为1028MB,设置当达到最大的日志尺寸时,按需要改写事件。

操作指南:参考配置操作(适用2000、2003)

进入”控制面板==》管理工具==》事件查看器”,在”事件查看器(本地)”中的:

“系统日志”属性页;

“应用日志”属性页;

“安全日志”属性页。

参考配置操作(适用2008 x64)

进入”管理工具==》服务器管理”, 在”诊断==》事件查看器==》windows日志”中的:

“系统日志”属性页;

“应用日志”属性页;

“安全日志”属性页。
          参考配置操作(适用2016 x64)

进入”控制面板==》系统和安全==》管理工具==》事件查看器==》windows日志”中的:

“应用程序日志”属性页;

“安全日志”属性页;

“设置日志”属性页。
         “系统日志”属性页。
         “已转发事件日志”属性页。

检查方法:检查包括以下6子项

♦应用日志文件大小至少为32M B

♦当达到最大的应用日志尺寸时,按需要改写事件

♦系统日志文件大小至少为32M B

♦当达到最大的应用日志尺寸时,按需要改写事件

♦安全日志文件大小至少为32M B

♦当达到最大的安全日志尺寸时,按需要改写事件

以上检查内容符合,整体才符合要求。
Windows server 2016 R2 x64:
检查方法:检查包括以下8子项
          ♦系统日志文件大小至少为1028MB,
          ♦设置当达到最大的日志尺寸时,按需要改写事件。

♦应用程序日志文件大小至少为1028MB,
          ♦设置当达到最大的日志尺寸时,按需要改写事件。

♦安全日志文件大小至少为1028MB,
          ♦设置当达到最大的日志尺寸时,按需要改写事件。
♦设置日志文件大小至少为1028MB,
          ♦设置当达到最大的日志尺寸时,按需要改写事件。

配置方法:1、设置应用日志文件大小至少为32M B

设置当达到最大的应用日志尺寸时,按需要改写事件

2、设置系统日志文件大小至少为32M B

设置当达到最大的应用日志尺寸时,按需要改写事件

3、设置安全日志文件大小至少为32M B

设置当达到最大的安全日志尺寸时,按需要改写事件
Windows server 2016 R2 x64:
配置方法:
          1、设置系统日志文件大小至少为1028MB,
          设置当达到最大的日志尺寸时,按需要改写事件。

2、设置应用程序日志文件大小至少为1028MB,
          设置当达到最大的日志尺寸时,按需要改写事件。

3、设置安全日志文件大小至少为1028MB,
          设置当达到最大的日志尺寸时,按需要改写事件。
          4、设置设置日志文件大小至少为1028MB,
          设置当达到最大的日志尺寸时,按需要改写事件。

适用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64、Windows Server 2016 X64

十三:远程登录超时配置

配置名称:远程登陆超时配置

配置要求:检查设置:对于远程登陆的账号,设置不活动断连时间15分钟

操作指南:参考配置操作(适用2003)

”控制面板->管理工具->本地安全策略->本地策略->安全选项->Microsoft网络服务器- 暂停会话前所需的空闲时间量”

参考配置操作(适用2008 x64)

”管理工具->本地安全策略->本地策略->安全选项->Microsoft网络服务器- 暂停会话前所需的空闲时间量”
        参考配置操作(适用2016 x64)
       ”控制面板==》系统和安全==》管理工具->本地安全策略->本地策略->安全选项->Microsoft网络服务器 - 暂停会话前所需的空闲时间量”

检查方法:检查”对于远程登陆的账号设置”,不活动断连时间15分钟或小于15分钟为符合要求。

配置方法:设置为”在挂起会话之前所需的空闲时间”为15分钟或更小。

适用版本:Windows Server 2003、Windows Server 2008 X64、Windows Server 2016 X64、

十四:默认共享检查

配置名称:默认共享检查

配置要求:非域环境中,关闭Windows硬盘默认共享,例如C$,D$。

操作指南:参考配置操作

”开始->运行->net share”

检查方法:检查有无默认共享,无任何默认共享为符合要求。

配置方法:”开始->运行->Regedit”,进入注册表编辑器,

定位到HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters\下,

增加REG_DWORD类型的AutoShareServer 键,值为 0。

Windows Server 2008X64环境配置检查位置:HKEY_LOCAL_MACHINE//SYSTEM//CurrentControlSet//Services//lanmanserver//parameters”

适用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64、Windows Server 2016 X64.

十五:共享权限检查

配置名称:共享权限检查

配置要求:查看每个共享文件夹的共享权限,只允许授权的账户拥有权限共享此文件夹,禁止使用共享权限为”everyone”

操作指南:参考配置操作(适用2000、2003)

”控制面板->管理工具->计算机管理->系统工具->共享文件夹”

参考配置操作(适用2008 x64)

”管理工具->共享和存储管理”
          参考配置操作(适用2016 x64)
         ”控制面板==》系统和安全==》管理工具==》计算机管理==》共享文件夹”

检查方法:1、查看每个共享文件夹的共享权限仅限于业务需要,不设置成为”everyone”

2、输出所有共享文件夹信息和具体权限信息;但权限是否符合需求需要后期处理确认

配置方法:在”共享文件”属性页中,只保留需要的账户。

适用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64、Windows Server 2016 X64

十六:防范病毒管理

配置名称:防病毒管理

配置要求:安装防病毒软件,并及时更新。

操作指南:参考配置操作

定位到杀毒软件版本信息页面。

检查方法:检查防病毒进程运行是否正常及当前病毒库版本是否为最新。

配置方法:安装防病毒软件,并检查是否更新到最新病毒定义。

适用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64、Windows Server 2016 X64

十七:屏保密码保护

配置名称:密码屏幕保护

配置要求:设置带密码的屏幕保护,并将时间设定为15分钟。

操作指南:参考配置操作(适用2000、2003)

”控制面板==》显示==》屏幕保护程序”:

参考配置操作(适用2008 x64)

”控制面板==》外观==》显示==》屏幕保护程序”:
          参考配置操作(适用2016 x64)
          控制面板==》外观和个性化==》个性化==》屏幕保护程序

检查方法:检查是否启用了”在恢复时使用密码保护”,并设置等待时间为15分钟或者更短,两项都满足为符合要求。

配置方法:1、设置等待时间为”15分钟”;

2、勾选”在恢复时使用密码保护”选择框。

适用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64、Windows Server 2016 X64

十八:自动播放关闭

配置名称:自动播放关闭

配置要求:关闭Windows自动播放功能

操作指南:参考配置操作(适用2000)

”开始->运行->Regedit”,进入注册表编辑器,定位到注册表:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CDRom

参考配置操作(适用2003)

点击开始→运行→输入gpedit.msc,打开组策略编辑器,浏览到计算机配置==》管理模板==》系统”

参考配置操作(适用2008 x64)

点击开始->运行→输入gpedit.msc,打开组策略编辑器,浏览到计算机配置==》管理模板==》Windows 组件->自动播放策略”
        参考配置操作(适用2016 x64)
        点击开始->运行→输入gpedit.msc,打开本地组策略编辑器,管理模板==》Windows 组件==》自动播放策略”

检查方法:Windows2000:检查”Autorun”键值,为0符合要求;

Windows 2003:检查”关闭自动播放”对话框,选择了所有驱动器为符合要求;

Windows 2008:检查”关闭自动播放”对话框,选择了所有驱动器,为符合要求。
         Windows 2016:检查”关闭自动播放”对话框,选择了所有驱动器,为符合要求。

配置方法:Windows 2000:将”Autorun”键值更改为0。

Windows2003:在右边窗格中双击”关闭自动播放”,对话框中选择所有驱动器,确定即可。

Windows2008:,在右边窗格中双击”关闭自动播放”,对话框中选择所有驱动器,确定即可。
          Windows2016:,在右边窗格中双击”关闭自动播放”,对话框中选择所有驱动器,确定即可。

适用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64、Windows Server 2016 X64。

十九:SNMP默认口令修改

配置名称:SNMP默认口令修改

配置要求:如需启用SNMP服务,则修改默认的SNMP Community String设置。

操作指南:参考配置操作(适用2003)

打开”控制面板”,打开”管理工具”中的”服务”,找到”SNMP Service”,单击右键打开”属性”面板中的”安全”选项卡。

参考配置操作(适用2008 x64)

进入”管理工具==》服务器管理”,在”配置==》服务”,找到”SNMP Service”,单击右键打开”属性”面板中的”安全”选项卡
         参考配置操作(适用2016 x64)
         进入”管理工具==》服务器管理”,在”配置==》服务”,找到”SNMP Service”,单击右键打开”属性”面板中的”安全”选项

检查方法:1、确认SNMP 服务已启动;

2、服务如启动,检查Community String是否使用默认public和private,如果没使用为符合要求

配置方法:在这个配置界面中,修改community strings,避免使用默认密码。

适用版本:Windows Server 2003、Windows Server 2008 X64

二十:启动项检查

配置名称:启动项检查

配置要求:列出系统启动时自动加载的进程和服务列表,不在此列表的需关闭。

操作指南:参考配置操作

“开始==》运行==》MSconfig”启动系统配置实用程序。

检查方法:查看是否有可疑启动项,对于无法确认程序,需要与管理员进行确认。

配置方法:直接将可以启动项前的勾选框勾选掉。

适用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64、Windows Server 2016 X64

二十一:管理员账号更名

配置名称:管理员账号更改名称

配置要求:对于管理员账号,要求更改缺省帐户名称administrator

操作指南:参考配置操作(适用2003)

进入”控制面板==》管理工具==》计算机管理”,在”系统工具==》本地用户和组”

参考配置操作(适用2008 x64)

进入”管理工具==》服务器管理==》配置==》本地用户和组”
          参考配置操作(适用2016 x64)
          进入”控制面板==》系统和安全==》管理工具==》计算机管理==》本地用户和组”

检查方法:检测管理员帐户是否改名,已更名为符合要求

配置方法:“右键Administrator==》属性”,更改名称即可

适用版本:Windows Server 2003、Windows Server 2008 X64、Windows Server 2016 X64

二十二:登录失败账户锁定策略

配置名称:配置登录失败账户锁定策略,超过8次登录失败锁定账号策略

配置要求:应配置当用户短时间内连续认证失败次数超过8次(不含8次),锁定该用户使用的账号;设置账户锁定时间为30分钟。

操作指南:参考配置操作(适用2003)

进入”控制面板==》管理工具==》本地安全策略==》帐户策略==》帐户锁定策略==》账户锁定时间==》属性页”
           参考配置操作(适用2008 x64)
          进入”管理工具==》服务器管理==》帐户策略==》帐户锁定策略==》账户锁定阀值==》属性
          参考配置操作(适用2016 x64)
         进入”控制面板==》系统和安全==》管理工具==》本地安全策略==》帐户策略==》帐户锁定策略==》账户锁定阀值==》属性页”
页”

检查方法:1、”静态口令认证技术的设备用户是否连续认证失败次数超过8次(不含8次),锁定该用户的账号”;

2、检查是否设置账号锁定时间为30分钟或更长;

符合以上2项检查为符合要求。

配置方法:1、在”账户锁定阀值”属性页中,设置为 8次;

2、在”账户锁定时间”属性页中,设置为30分钟

适用版本:Windows Server 2003、Windows Server 2008 X64、Windows Server 2016 X64、

二十三:本机防火墙设置

配置名称:检查Windows是否启用自带防火墙

配置要求:启用Windows 自带防火墙。根据业务需要限定允许访问网络的应用程序,和允许远程登陆该设备的IP地址范围。

操作指南:参考配置操作(适用2003)

”控制面板==》网络连接==》本地连接==》高级选项”

参考配置操作(适用2008 x64)

”控制面板==》系统和安全==》Windows防火墙==》打开或关闭Windows防火墙选项”
         参考配置操作(适用2016 x64)
        ”控制面板==》系统和安全==》Windows防火墙==》打开或关闭Windows防火墙选项”

检查方法:检查Windows是否启用自带防火墙”.

配置方法:1、启用Windows防火墙。

在”例外”中配置允许业务所需的程序接入网络。

在”例外==》编辑==》更改范围”编辑允许接入的网络地址范围。

适用版本:Windows Server 2003、Windows Server 2008 X64、Windows Server 2016 X64、

二十四:DEP功能启用

配置名称:DEP功能启用

配置要求:对于Windows 2003及Windows 2008对Windows操作系统程序和服务启用系统自带DEP功能(数据执行保护),防止在受保护内存位置运行有害代码。

操作指南:参考配置操作(适用2003、2008 x64)

进入”控制面板==》系统”,在”高级”选项卡的”性能”下的”设置”。进入 “数据执行保护”选项卡。
         参考配置操作(适用2016 x64)

进入”控制面板==》系统和安全==》系统”,在”高级系统设置---高级”选项卡的”性能”下的”设置”。进入 “数据执行保护”选项卡。

检查方法:检测Windows是否启用数据执行保护,启动为符合要求。

配置方法:在“数据执行保护”选项卡中,设置为”仅为基本 Windows 操作系统程序和服务启用DEP”。

适用版本:Windows Server 2003、Windows Server 2008 X64

二十五:服务检查

配置名称:Windows服务输出

配置要求:列出所需要服务的列表(包括所需的系统服务),通过与系统管理员确认无异常服务存在。一般情况下,如无特殊必要,

不应安装IIS、DNS、WINS、DHCP等服务或组件。

配置指南:参考配置操作(适用2000、2003)

进入”控制面板==》管理工具==》计算机管理”,进入”服务和应用程序”:

查看所有服务,输出所有服务列表,查看是否有异常服务。

参考配置操作(适用2008 x64)

进入”管理工具==》服务器管理”,在”配置->服务”:

查看所有服务,输出所有服务列表,查看是否有异常服务。
          参考配置操作(适用2016 x64)
          进入”控制面板==》系统和安全==》管理工具==》服务”:
         查看所有服务,输出所有服务列表,查看是否有异常服务。

检查方法:1、系统管理员应出具系统所必要的服务列表。

2、查看所有服务,不在此列表的服务需关闭。

或建议关闭Task Scheduler 计划任务,Routing and Remote Access在局域网以及广域网环境中为企业提供路由服务。

RemoteRegistry使远程用户能修改此计算机上的注册表设置。Print Spooler将文件加载到内存中以便迟后打印。关闭无线服务和telnet服务。

配置方法:进入”控制面板==》管理工具==》计算机管理”,进入”服务和应用程序”:

查看所有服务,不在此列表的服务是否已关闭。

适用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64、Windows Server 2016 X64

(0)

相关推荐