本文針對(duì)Windows操作系統(tǒng)的賬號(hào)管理、賬戶授權(quán)、日志配置、通信協(xié)議（IP協(xié)議安全）以及設(shè)置其他安全進(jìn)行合規(guī)性檢查和配置。

一、賬戶管理：

1、分配賬號(hào)：

進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理”，在“系統(tǒng)工具->本地用戶和組”，結(jié)合要求和實(shí)際業(yè)務(wù)情況判斷符合要求，根據(jù)系統(tǒng)的要求，設(shè)定不同的賬戶和賬戶組。

2、清除無(wú)效賬戶：

進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理”，在“系統(tǒng)工具->本地用戶和組”，刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等與工作無(wú)關(guān)的賬號(hào)。

3、更改缺省賬戶名稱；禁用guest（來賓）賬號(hào)：

進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理”，在“系統(tǒng)工具->本地用戶和組”。Administrator－>屬性－> 更改名稱，Guest賬號(hào)->屬性－> 已停用。

4、配置密碼策略：

進(jìn)入“控制面板->管理工具->本地安全策略”，在“賬戶策略->密碼策略”?！懊艽a必須符合復(fù)雜性要求”選擇“已啟動(dòng)”設(shè)置符合要求的策略。

5、配置賬戶鎖定策略：

進(jìn)入“控制面板->管理工具->本地安全策略”，在“賬戶策略->賬戶鎖定策略”。

二、賬戶授權(quán)：

1、遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)設(shè)置：

進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權(quán)利指派”?！皬倪h(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置為“只指派給Administrators組”。

2、關(guān)閉系統(tǒng)設(shè)置：

進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權(quán)利指派”?！瓣P(guān)閉系統(tǒng)”設(shè)置為“只指派給Administrators組”。

3、“取得文件或其它對(duì)象的所有權(quán)”設(shè)置：

進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權(quán)利指派”?！叭〉梦募蚱渌鼘?duì)象的所有權(quán)”設(shè)置為“只指派給Administrators組”。

4“從本地登錄此計(jì)算機(jī)”設(shè)置：

進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權(quán)利指派”，“從本地登錄此計(jì)算機(jī)”設(shè)置為“指定授權(quán)用戶”。

5、“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”設(shè)置：

進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權(quán)利指派”，“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”設(shè)置為“指定授權(quán)用戶”。

三、日志配置：

1、審核策略設(shè)置：

開始->運(yùn)行-> 執(zhí)行“控制面板->管理工具->本地安全策略->審核策略”

審核登錄事件，雙擊，設(shè)置為成功和失敗都審核。

“審核策略更改”設(shè)置為“成功”和“失敗”都要審核

“審核對(duì)象訪問”設(shè)置為“成功”和“失敗”都要審核

“審核目錄服務(wù)器訪問”設(shè)置為“成功”和“失敗”都要審核

“審核特權(quán)使用”設(shè)置為“成功”和“失敗”都要審核

“審核系統(tǒng)事件”設(shè)置為“成功”和“失敗”都要審核

“審核賬戶管理”設(shè)置為“成功”和“失敗”都要審核

“審核過程追蹤”設(shè)置為“失敗”需要審核

2、日志記錄策略設(shè)置：

進(jìn)入“控制面板->管理工具->事件查看器”，在“事件查看器（本地）”中：

“應(yīng)用日志”屬性中的日志大小設(shè)置不小于“8192KB”,設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)，“按需要改寫事件”

“系統(tǒng)日志”屬性中的日志大小設(shè)置不小于“8192KB”,設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)，“按需要改寫事件”

“安全日志”屬性中的日志大小設(shè)置不小于“8192KB” ,設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)，“按需要改寫事件”。

四、通信協(xié)議（IP協(xié)議安全）：

1、啟用TCP/IP篩選：

系統(tǒng)管理員出示業(yè)務(wù)所需端口列表。根據(jù)列表只開放系統(tǒng)與業(yè)務(wù)所需端口。進(jìn)入“控制面板－>網(wǎng)絡(luò)連接－>本地連接”，進(jìn)入“Internet協(xié)議（TCP/IP）屬性－>高級(jí)TCP/IP設(shè)置”，在“選項(xiàng)”的屬性中啟用網(wǎng)絡(luò)連接上的TCP/IP篩選，只開放業(yè)務(wù)所需要的TCP，UDP端口和IP協(xié)議。

2、開啟系統(tǒng)防火墻：

系統(tǒng)管理員出示業(yè)務(wù)所需端口列表。根據(jù)列表只開放系統(tǒng)與業(yè)務(wù)所需端口。進(jìn)入“控制面板－>網(wǎng)絡(luò)連接－>本地連接”，在高級(jí)選項(xiàng)的設(shè)置中：?jiǎn)⒂肳indows防火墻。在“例外”中配置允許業(yè)務(wù)所需的程序接入網(wǎng)絡(luò)。在“例外->編輯->更改范圍”編輯允許接入的網(wǎng)絡(luò)地址范圍。

3、啟用SYN攻擊保護(hù)：

在“開始->運(yùn)行->鍵入regedit”啟用 SYN 攻擊保護(hù)的命名值位于注冊(cè)表項(xiàng)HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。值名稱：SynAttackProtect。推薦值：2。

以下部分中的所有項(xiàng)和值均位于注冊(cè)表項(xiàng) HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。

指定必須在觸發(fā) SYNflood 保護(hù)之前超過的 TCP 連接請(qǐng)求閾值。值名稱：TcpMaxPortsExhausted。推薦值：5。

啟用SynAttackProtect 后，該值指定SYN_RCVD 狀態(tài)中的 TCP 連接閾值，超過 SynAttackProtect 時(shí)，觸發(fā) SYN flood 保護(hù)。值名稱：TcpMaxHalfOpen。推薦值數(shù)據(jù)：500。

啟用 SynAttackProtect 后，指定至少發(fā)送了一次重傳的 SYN_RCVD 狀態(tài)中的 TCP 連接閾值。超過 SynAttackProtect 時(shí)，觸發(fā) SYN flood 保護(hù)。值名稱：TcpMaxHalfOpenRetried。推薦值數(shù)據(jù)：400。

Windows Server 2012

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersSynAttackProtect推薦值：2

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersTcpMaxHalfOpen推薦值：500

Windows Server 2008

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSynAttackProtect推薦值：2

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpMaxPortsExhausted推薦值：5

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpMaxHalfOpen推薦值：500HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpMaxHalfOpenRetried推薦值：400

五、設(shè)置其他安全要求：

1、啟用屏幕保護(hù)程序：

進(jìn)入“控制面板－>顯示－>屏幕保護(hù)程序”：?jiǎn)⒂闷聊槐Ｗo(hù)程序，設(shè)置等待時(shí)間為“5分鐘”，啟用“在恢復(fù)時(shí)使用密碼保護(hù)”。

2、設(shè)置Microsoft網(wǎng)絡(luò)服務(wù)器掛起時(shí)間：

進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->安全選項(xiàng)”：“Microsoft網(wǎng)絡(luò)服務(wù)器”設(shè)置為“在掛起會(huì)話之前所需的空閑時(shí)間”為15分鐘。

3、關(guān)閉默認(rèn)共享：

進(jìn)入“開始－>運(yùn)行－>Regedit”，進(jìn)入注冊(cè)表編輯器更改注冊(cè)表鍵值：在HKLMSystemCurrentControlSetServicesLanmanServerParameters下，增加REG_DWORD類型的AutoShareServer鍵，值為0。

4、設(shè)置共享文件夾訪問權(quán)限:

進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理”，進(jìn)入“系統(tǒng)工具－>共享文件夾”：查看每個(gè)共享文件夾的共享權(quán)限，只將權(quán)限授權(quán)于指定賬戶。

5、安裝系統(tǒng)補(bǔ)?。?/p>

安裝最新的Service Pack補(bǔ)丁集，以及最新的Hotfix補(bǔ)丁。目前Windows XP的Service Pack為SP3。Windows2000的Service Pack為SP4,Windows 2003的Service Pack為SP2。

注意：安裝補(bǔ)丁前，應(yīng)對(duì)操作系統(tǒng)進(jìn)行兼容性測(cè)試，避免補(bǔ)丁打上后系統(tǒng)無(wú)法正常使用。

6、安裝、更新殺毒軟件：

安裝防病毒軟件，并將病毒庫(kù)更新到最新的版本。

7、數(shù)據(jù)執(zhí)行保護(hù)配置：

進(jìn)入“控制面板－>系統(tǒng)”，在“高級(jí)”選項(xiàng)卡的“性能”下的“設(shè)置”。進(jìn)入 “數(shù)據(jù)執(zhí)行保護(hù)”選項(xiàng)卡。設(shè)置為“僅為基本 Windows 操作系統(tǒng)程序和服務(wù)啟用DEP”。

8、關(guān)閉服務(wù)：

進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理”，進(jìn)入“服務(wù)和應(yīng)用程序”：

查看所有服務(wù)，不在此列表的服務(wù)都需要（還是評(píng)估一下吧）關(guān)閉。

?

?

9、修改SNMP服務(wù)密碼：

打開“控制面板”，打開“管理工具”中的“服務(wù)”，找到“SNMP Service”，單擊右鍵打開“屬性”面板中的“安全”選項(xiàng)卡，在這個(gè)配置界面中，可以修改community strings，也就是微軟所說的“團(tuán)體名稱”。

10、關(guān)閉無(wú)效啟動(dòng)項(xiàng)：

“開始->運(yùn)行->MSconfig”啟動(dòng)菜單中，取消不必要的啟動(dòng)項(xiàng)。

11、關(guān)閉Windows自動(dòng)播放功能：

點(diǎn)擊開始→運(yùn)行→輸入gpedit.msc，打開組策略編輯器，瀏覽到計(jì)算機(jī)配置→管理模板→系統(tǒng)，在右邊窗格中雙擊“關(guān)閉自動(dòng)播放”，對(duì)話框中選擇所有驅(qū)動(dòng)器，確定即可。

?