提示：文章寫完后，目錄可以自動生成，如何生成可參考右邊的幫助檔案

注意

1.實驗環境

以下設定為windows 資訊安全等級保護（等保2.0）安全配置核查，需要在windows server或windows pro作業系統中進行，本文環境為windows server2012虛擬機和windows10 專業版，

2.準備設定

①輸入如下命令，按回車或點擊確定按鈕，就會打開桌面圖示設定功能，
rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,0

②在桌面圖示設定功能中，勾選的圖示就會顯示在桌面上，沒有勾選的圖示則不會顯示在桌面上，完成后如圖所示：

一、windows基線檢查

1.系統已安裝最新的service pack

2.系統已經安裝了最新的安全補丁

打開控制面板->系統和安全->windows更新，檢車是否有可用更新，

二、本地安全策略檢查

1.密碼策略

打開開始選單，選擇應用“管理工具”，選擇“本地安全策略”，左側"安全設定"欄中依次點開"賬戶策略"——“密碼策略”，進行如下操作：
①雙擊“密碼必須符合復雜性要求”，選擇啟用；
②雙擊“密碼長度的最小值”，設定為（8個字符）
③雙擊“密碼最短使用期限”，設定為（1天）
④雙擊“密碼最長使用期限”，設定為（90天）
⑤雙擊“強制密碼歷史”，設定為（24個）避免用戶更改口令時使用以前使用過的口令，可以防止密碼泄露
⑥雙擊“用可還原的加密來存盤密碼”，設定為禁用
設定完成如下圖所示：

2.賬戶鎖定策略

繼續點開“密碼策略”下方的“賬戶鎖定策略”，進行如下操作：
①首先修改“賬戶鎖定閾值”為（3次無效登錄），彈出框選確定
②設定：賬戶鎖定時間（15分鐘）重置賬戶鎖定計數器（15分鐘之后），設定完成如下：

3.審核策略

在左側"安全設定"欄中依次點開"本地策略"——“審核策略”，進行如下操作：
①審核策略更改（成功或失敗）
②審核登錄事件（成功或失敗）
③審核物件訪問（失敗）【用于跟蹤特定用戶對特定檔案的訪問】
④審核程序跟蹤（可選）【每次跟蹤一個用戶啟動，停止或改變一個行程，該事件日志將會增長的非常快，建議僅在決定必要時才使用】
⑤審核目錄服務訪問（未定義）【僅域控制器才需要審計目錄服務訪問】
⑥審核特權使用（失敗）【用戶跟蹤用戶對超出賦予權限的使用】
⑦審核系統事件（成功和失敗）【系統事件審核相當關鍵，包括啟動和關閉計算機，或其他與安全相關的事件】
⑧審核賬戶登錄事件（成功和失敗）
⑨審核賬戶管理（成功和失敗）【用戶跟蹤賬號的創建、改名、用戶組的創建和改名，以及賬號口令的更改等】

設定完成結果如下：

4.安全選項

繼續點開“本地策略”下方的“安全選項”，找到“賬戶：來賓狀態”，確認其狀態為（已禁用）

5.事件查看器

在開始選單的“windows管理工具”中，我們可以找到’事件查看器‘
①喚出"事件查看器"程式視窗，選擇左側"事件查看器(本地)→Windows 日志"檔案夾，點擊參考程式，

②在此界面下點擊工具列"操作"標簽，彈出下拉選單選擇"屬性"項，修改“達到日志大小時”按需要覆寫事件日志（登錄保持方式）和安全日志的最大占用空間（80MB或81920KB），點擊確定，如下圖所示：

三、安全選項檢查

繼續在開始選單->“管理工具”->“本地安全策略”->’‘本地策略’’->安全選項中，找到以下相關的若干策略，檢查如下設定：

1.Microsoft網路服務器

①當登錄時間用完時自動注銷用戶（啟用）【可以避免用戶在不適合的時間登錄到系統，或者用戶登錄到系統后忘記退出登錄】
②在掛起會話之前所需的空閑時間（小于等于30分鐘）
③發送未加密的密碼到第三方SMB服務器（禁用）

2.故障恢復控制臺

①允許對所有驅動器和檔案夾進行軟盤復制和訪問（禁用）
【windows2000控制臺恢復的另一個特性是它禁止訪問硬碟啟動器上的所有檔案和目錄，它僅允許訪問每個卷的根目錄和systemroot%目錄及子目錄，即便這樣，它還限制不允許把硬碟啟動器上的檔案復制到軟盤上】
②允許自動系統管理級登錄（禁用）
【恢復控制臺是windows2000的一個新特性，它在一個不能啟動的系統上給出一個受限的命令列訪問界面，該特性可能會導致任何可以重啟系統的人繞過賬號口令限制和其他安全設定而訪問系統】

3.關機

①清除虛擬記憶體頁面檔案（禁用）
②允許系統在未登陸前關機（禁用）

4.互動式登陸

①不顯示上次的用戶名（啟用）
②不需要按ctrl+alt+delete組合件（禁用）
③可被快取的前次登陸個數（域控制器不可用的情況下）（0）

5.賬戶

重命名系統管理員賬戶（除了Administrator的其他名稱）

四、注冊表檢查

按ctrl+R調出系統的運行頁面，在其中輸入regedit，如圖：

點下確認后，我們可以看到注冊表的編輯頁面，左側有許多可以折疊伸展的條目，那些都是注冊表的目錄，

1.禁止自動登陸

【自動登陸會將用戶名和口令以明文的形式保存在注冊表中】
①在左側欄中選擇HKEY_LOCAL_MACHINE的條目，點它前面的小三角，可以把它展開，在展開的條目中再展開System的條目，依次找到System\ControlSet001\Control\NetworkProvider項，并點擊這個NetworkProvider項將其打開，如下圖所示：
　
②在右邊的視窗單擊右鍵，新建一個DWORE值命名為DisableDefaultPasswords，并把把這個新建的DisableDefaultPasswords值改為1，改完后點確定就可以了，如圖；

2.禁止CD自動運行：

【防止CD上可能的惡意程式被自動運行】
①依次點擊展開\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services，選中下方cdrom，

②在右側找到并雙擊打開Start，修改數值資料為4，點擊確定

③重啟電腦，這樣光驅就隱藏了，如果需要恢復，同樣的操作修改數值資料為1即可

3.洗掉服務器上的管理員共享：

【每個windowsNT/2000機器在安裝后都默認存在“管理員共享”，它們被限制只允許管理員使用，但是它們會在網路上以Admin$、c $ 等來暴露每個卷的根目錄和%systemroot%目錄】
依次點擊展開HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\，選中下方Parameters，點擊右側空白新建，型別為(REG_DWORD)，命名為AutoShareServer，值為0，如下圖所示：

4.幫助防止碎片包攻擊

依次點擊展開HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip,點擊Parameters，新建EnablePMTUDiscovery，型別為(REG_DWORD)，值為1，

5.防止SYN Flood攻擊

依次點擊展開HKEY_LOCAL_MACHINE\CurrentControlSet\Services,點擊Tcpip，新建SynAttackProtect，型別為(REG_DWORD)，值為2，

6.SYN攻擊保護

【管理TCP半開sockets的最大數目】
依次點擊展開HKEY_LOCAL_MACHINE\CurrentControlSet\Services\Tcpip,點擊Parameter，新建TcpMaxHalfOpen，型別為(REG_DWORD)，值為100或500，

五、其他檢查選項及風險等級

1.禁止某些服務

win+R打開運行，輸入Services.msc，打開服務設定，依次設定以下服務：
1 Alerter-禁止
【Alerter服務通常用于行程間發送資訊，比如執行列印作業，它也用于和Messenger服務連接來在網路中的計算機間發送同樣的資訊】
2 Clipbook-禁止
【Clipbook服務用于在網路上的機器間共享剪貼板上的資訊，大多數情況下用戶沒有必要和其他機器共享這種資訊】
3 Computer Browser-禁止
【Computer Browser服務用于跟蹤網路上一個域內的機器，它允許用戶通過網上鄰居來發現其不知道確切名稱的共享資源，不幸的是它可以不通過任何授權就允許任何人瀏覽】

4 Internet Connection Sharing-禁止

5 Messenger-禁止
6 Remote Registry Service-禁止

7 Routing and Remote Access-禁止

8 Simple MailTrasfer Protocol（SMTP）-禁止
【該服務是IIS的一部分，應該被禁止或完全洗掉】
9 Simple Network Management Protocol（SNMP）Services-禁止
10 Simple Network Management Protocol（SNMP） Trap-禁止
11 Telnet-禁止
12 World Wide Web Publishing Service-禁止

2.轉換磁盤格式

【NTFS檔案系統具有更好的安全性，提供了強大的訪問控制機制】
電腦磁盤一般是FAT32格式的，將所有的磁盤卷轉換為NTFS格式的步驟如下，
①點擊開始選單，在搜索框中輸入CMD命令并以管理員身份運行cmd.exe程式，
②輸入命令convert c:/fs:ntfs 然后回車，將c盤轉換為NTFS格式

③轉換后查看磁盤屬性可以驗證：

六、個人版防火墻和防病毒軟體的檢查

1.第三方防火墻檢查

1 已經安裝第三方個人版防火墻
2 已經安裝防病毒軟體
3 防病毒軟體的特征碼和檢查引擎已經更新到最新
進入控制面板->添加或洗掉程式，查看是否安裝有防病毒軟體，同時打開防病毒軟體控制面板，查看病毒碼更新日期，
如已安裝防病毒軟體，則病毒碼更新時間不早于1個月，各系統病毒碼升級時間要求參見各系統相關規定，
4 防病毒軟體已設定自動更新

2.查看例外服務或埠

1 不存在例外埠(netstat -an)（netstat -anb）

2 不存在例外服務(net start)

3 注冊表的自動運行項中不存在例外程式HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

4 系統中不存在例外系統賬號
5 打開殺毒軟體的殺毒歷史記錄，不存在沒被清除的病毒

3.用戶權限分配

打開開始選單->“管理工具”->“本地安全策略”->’‘本地策略’’->用戶權限分配，進行以下操作：
1 從遠端系統強制關機只指派給Administrators組

2 關閉系統僅指派給Administrators組
3 取得檔案或其他物件的所有權僅指派給Administrators

4 配置指定授權用戶允許本地登錄此計算機

4.本地組策略管理

同時按下鍵盤上的WIN鍵+R鍵打開運行視窗，在運行視窗中輸入gpedit.msc，按回車鍵打開即可打開本地組策略編輯器，
5 在組策略中，只允許授權賬號從網路訪問（包括網路共享等，但不包括終端服務）此計算機

6 啟動windows系統的IP安全機制（IPSec）或網路連接上的TCP\IP篩選
7 啟用windows xp和windows2003自帶的防火墻，根據業務需要限定允許訪問網路的應用程式和允許遠程登錄該設備的IP地址范圍
8 設定帶密碼的螢屏保護程式，并將時間設定為5分鐘
進入“控制面板－>顯示－>螢屏保護程式”
9 對于windows xp sp2及windows2003對windows作業系統程式和服務啟用系統自帶的DEP功能（資料執行保護），防止在受保護記憶體位置運行有害代碼
10 如需啟用SNMP服務，則修改默認的SNMP Community String設定
打開“控制面板”，打開“管理工具”中的“服務”，找到“SNMP Service”，單擊右鍵打開“屬性”面板中的“安全”選項卡，在這個配置界面中，查看community strings，是否已改，而不是默認的“public”，
11 如需啟用IIS服務，則將IIS升級到最新補丁