Windows操作系统安全配置规范v2 0

中国移动 WINDOWS 操作系统
安全配置规范
Specification for Windows OS

Configuration Used in China Mobile
版本号：2.0.0
XXXX-XX-XX 发布 XXXX-XX-XX 实施
中国移动通信有限公司网络部
中国移动 windows 操作系统安全配置规范
目录
1 概述..........................................................................................................................................................................1
1.1 适用范围.........................................................................................................................................................1
1.2 内部适用性说明.............................................................................................................................................1
1.3 外部引用说明.................................................................................................................................................2
1.4 术语和定义.....................................................................................................................................................3
1.5 符号和缩略语.................................................................................................................................................3
2 WINDOWS 设备安全配置要求............................................................................................................................3
2.1 账号管理、认证授权.....................................................................................................................................3
2.1.1 账号.........................................................................................................................................................4
2.1.2 口令.........................................................................................................................................................5
2.1.3 授权.........................................................................................................................................................7
2.2 日志配置操作................................................................................................................................................11
2.3 IP 协议安全配置操作...................................................................................................................................17
2.4 设备其他配置操作.......................................................................................................................................20
2.4.1 屏幕保护...............................................................................................................................................20
2.4.2 共享文件夹及访问权限.......................................................................................................................21
2.4.3 补丁管理...............................................................................................................................................22
2.4.4 防病毒管理...........................................................................................................................................23
2.4.5 Windows 服务............................................................................................................................................24
2.4.6 启动项...................................................................................................................................................25
中国移动 windows 操作系统安全配置规范
前言
为了贯彻安全三同步的要求，在设备选型、入网测试、工程验收以及运行维护等环节，
明确并落实安全功能和配置要求。有限公司组织部分省公司编制了中国移动设备安全功能
和配置系列规范。本系列规范可作为编制设备技术规范、设备入网测试规范，工程验收手
册，局数据模板等文档的依据。本规范是该系列规范之一，明确了中国移动各类型设备所
需满足的通用安全功能和配置要求，并作为本系列其他规范的编制基础。
本标准起草单位：中国移动通信有限公司网络部、中国移动通信集团浙江公司。
本标准解释单位：同提出单位。
本标准主要起草人：朱国萃、陈敏时、周智、石磊、曹一生。
中国移动 Windows 操作系统安全配置规范
1 概述
1.1 适用范围
本规范所指的设备为 Windows 系统设备。本规范明确了运行 Windows 操作

系统的设备在安全配置方面的基本要求。在未特别说明的情况下，均适用于所有
运行的 Windows 操作系统，包括 Windows 2000、Windows XP、Windows2003,
Windows7 , Windows 2008 以及各版本中的 Sever、Professional 版本。
1.2 内部适用性说明
配置要求说明
编号采纳意见补充说明
安全要求-设备-通用-配置--1-可选增强安全要求-设备-WINDOWS-配置-1
安全要求-设备-通用-配置--2-可选增强安全要求-设备-WINDOWS-配置-2-可选
安全要求-设备-通用-配置--3-可选不采纳 Windows 无法在远程登陆时通过切换用
户提升权限
安全要求-设备-通用-配置--4 增强安全要求-设备-WINDOWS-配置-4
安全要求-设备-通用-配置--5 完全采纳安全要求-设备-WINDOWS-配置-35
安全要求-设备-通用-配置--6-可选完全采纳安全要求-设备-WINDOWS-配置-36-可选
安全要求-设备-通用-配置--7-可选完全采纳安全要求-设备-WINDOWS-配置-37
安全要求-设备-通用-配置--9 增强安全要求-设备-WINDOWS-配置-5
安全要求-设备-WINDOWS-配置-6
安全要求-设备-通用-配置--12 完全采纳安全要求-设备-WINDOWS-配置-38
中国移动通信集团公司 1
第 1 页共 29 页
安全要求-设备-WINDOWS-配置-17-可选
安全要求-设备-通用-配置--14-可选不采纳 Windows 日志储存在本地
安全要求-设备-通用-配置--17-可选不采纳 Windosw 远程管理采用了自有协议，不
支持 SSH
安全要求-设备-通用-配置--19-可选不采纳 WIN 系统不具备字符交互界面
安全要求-设备-通用-配置--27-可选不采纳 Windows 不支持 CONSOLE 访问
1.3 外部引用说明
《中国移动通用安全功能和配置规范》
1.4 术语和定义
第 2 页共 29 页
1.5 符号和缩略语
缩写英文描述中文描述
2 WINDOWS 设备安全配置要求
本规范从 Windows 系统设备的认证授权功能、安全日志功能以及 IP 网络安

全功能，和其他自身安全配置功能四个方面提出安全要求。
2.1 账号管理、认证授权
认证功能用于确认登录系统的用户真实身份。认证功能的具体实现方式包括
静态口令、动态口令、指纹等生物鉴别技术等。授权功能赋予系统账号的操作权
限，并限制用户进行超越其账号权限的操作。
2.1.1 账号
编号：安全要求-设备-WINDOWS-配置--1
要求内容按照用户分配账号。根据系统的要求，设定不同的账户和账户组，
管理员用户，数据库用户，审计用户，来宾用户等。
操作指南 1、参考配置操作
进入“控制面板->管理工具->计算机管理”，在“系统工具->本地
用户和组”：
根据系统的要求，设定不同的账户和账户组，管理员用户，数据
库用户，审计用户，来宾用户。
第 3 页共 29 页
检测方法 1、判定条件
结合要求和实际业务情况判断符合要求，根据系统的要求，设定
不同的账户和账户组，管理员用户，数据库用户，审计用户，来
宾用户。
2、检测操作
用户和组”：
查看根据系统的要求，设定不同的账户和账户组，管理员用户，
数据库用户，审计用户，来宾用户。
编号：安全要求-设备-WINDOWS-配置-2-可选
要求内容删除或锁定与设备运行、维护等与工作无关的账号。
用户和组”：
删除或锁定与设备运行、维护等与工作无关的账号。
结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、
维护等与工作无关的账号。
2、检测操作
用户和组”：
查看是否删除或锁定与设备运行、维护等与工作无关的账号。
要求内容对于管理员帐号，要求更改缺省帐户名称；禁用 guest（来宾）帐
号。
用户和组”：
第 4 页共 29 页
Administrator－>属性－> 更改名称
Guest 帐号->属性－> 已停用
缺省账户 Administrator 名称已更改。
Guest 帐号已停用。
2、检测操作
用户和组”：
缺省帐户－>属性－> 更改名称
Guest 帐号->属性－> 已停用
编号：安全要求-设备-WINDOWS-配置-37
要求内容对于采用静态口令认证技术的设备，应配置当用户连续认证失败
次数超过 6 次（不含 6 次），锁定该用户使用的账号。
进入“控制面板->管理工具->本地安全策略”，在“帐户策略->帐
户锁定策略”：
“账户锁定阀值”设置为 6 次
“账户锁定阀值”设置为小于或等于 6 次
2、检测操作
进入“控制面板->管理工具->本地安全策略”，在“帐户策略->帐
户锁定策略”：
查看是否“账户锁定阀值”设置为小于等于 6 次
2.1.2 口令
第 5 页共 29 页
要求内容最短密码长度 6 个字符，启用本机组策略中密码必须符合复杂性
要求的策略。即密码至少包含以下四种类别的字符中的三种：
 英语大写字母 A, B, C, … Z
 英语小写字母 a, b, c, … z
 西方阿拉伯数字 0, 1, 2, … 9
非字母数字字符，如标点符号，@, #, $, %, &, *等
进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密
码策略”：
“密码必须符合复杂性要求”选择“已启动”
“密码必须符合复杂性要求”选择“已启动”
2、检测操作
码策略”：
查看是否“密码必须符合复杂性要求”选择“已启动”
要求内容对于采用静态口令认证技术的设备，账户口令的生存期不长于 90
天。
码策略”：
“密码最长存留期”设置为“90 天”
“密码最长存留期”设置为“90 天”
2、检测操作
码策略”：
查看是否“密码最长存留期”设置为“90 天”
第 6 页共 29 页
要求内容对于采用静态口令认证技术的设备，应配置设备，使用户不能重
复使用最近 5 次（含 5 次）内已使用的口令。
码策略”：
“强制密码历史”设置为“记住 5 个密码”
“强制密码历史”设置为“记住 5 个密码”
2、检测操作
码策略”：
查看是否“强制密码历史”设置为“记住 5 个密码”
2.1.3 授权
要求内容在本地安全设置中从远端系统强制关机只指派给 Administrators
组。
进入“控制面板->管理工具->本地安全策略”，在“本地策略->用
户权利指派”:
“从远端系统强制关机”设置为“只指派给 Administrators 组”
“从远端系统强制关机”设置为“只指派给 Administrtors 组”
2、检测操作
户权利指派”:
查看是否“从远端系统强制关机”设置为“只指派给
Administrators 组”
第 7 页共 29 页
要求内容在本地安全设置中关闭系统仅指派给 Administrators 组。
户权利指派”:
“关闭系统”设置为“只指派给 Administrators 组”
“关闭系统”设置为“只指派给 Administrators 组”
2、检测操作
户权利指派”:
查看“关闭系统”设置为“只指派给 Administrators 组”
要求内容在本地安全设置中取得文件或其它对象的所有权仅指派给
Administrators。
户权利指派”：
“取得文件或其它对象的所有权”设置为“只指派给
“取得文件或其它对象的所有权”设置为“只指派给
2、检测操作
户权利指派”：
查看是否“取得文件或其它对象的所有权”设置为“只指派给
第 8 页共 29 页
要求内容在本地安全设置中配置指定授权用户允许本地登陆此计算机。
户权利指派”
“从本地登陆此计算机”设置为“指定授权用户”
“从本地登陆此计算机”设置为“指定授权用户”
2、检测操作
户权利指派”
查看是否“从本地登陆此计算机”设置为“指定授权用户”
要求内容在组策略中只允许授权帐号从网络访问(包括网络共享等，但不包
括终端服务)此计算机。
户权利指派”
“从网络访问此计算机”设置为“指定授权用户”
“从网络访问此计算机”设置为“指定授权用户”
2、检测操作
户权利指派”
查看是否“从网络访问此计算机”设置为“指定授权用户”
2.2 日志配置操作
要求内容设备应配置日志功能，对用户登录进行记录，记录内容包括用户
登录使用的账号，登录是否成功，登录时间，以及远程登录时，
第 9 页共 29 页
用户使用的 IP 地址。
开始->运行-> 执行“ 控制面板->管理工具->本地安全策略->审核
策略”
审核登录事件，双击，设置为成功和失败都审核。
审核登录事件，设置为成功和失败都审核。
2、检测操作
开始->运行-> 执行“ 控制面板->管理工具->本地安全策略->审核
策略”
审核登录事件，双击，查看是否设置为成功和失败都审核。
要求内容启用组策略中对 Windows 系统的审核策略更改，成功和失败都要
审核。
进入“控制面板->管理工具->本地安全策略”，在“本地策略->审
核策略”中
“审核策略更改”设置为“成功” 和“失败”都要审核
“审核策略更改”设置为“成功” 和“失败”都要审核
2、检测操作
核策略”中
查看是否“审核策略更改”设置为“成功” 和“失败”都要审核
要求内容启用组策略中对 Windows 系统的审核对象访问，成功和失败都要
审核。
第 10 页共 29 页
核策略”中：
“审核对象访问”设置为“成功”和“失败”都要审核
“审核对象访问”设置为“成功”和“失败”都要审核
2、检测操作
核策略”中：
查看是否“审核对象访问”设置为“成功”和“失败”都要审核
要求内容启用组策略中对 Windows 系统的审核目录服务访问，失败。
核策略”中：
“审核目录服务器访问”设置为“成功” 和“失败”都要审核
2、检测操作
核策略”中：
查看是否“审核目录服务器访问”设置为“成功” 和“失败”都
要审核
要求内容启用组策略中对 Windows 系统的审核特权使用，成功和失败都要
审核。
核策略”中：
“审核特权使用”设置为“成功” 和“失败”都要审核
第 11 页共 29 页
2、检测操作
核策略”中：
查看是否“审核目录服务器访问”设置为“成功” 和“失败”都
要审核
要求内容启用组策略中对 Windows 系统的审核系统事件，成功和失败都要
审核。
核策略”中：
“审核系统事件”设置为“成功” 和“失败”都要审核
“审核系统事件”设置为“成功” 和“失败”都要审核
2、检测操作
核策略”中：
查看是否“审核系统事件”设置为“成功” 和“失败”都要审核
要求内容启用组策略中对 Windows 系统的审核帐户管理，成功和失败都要
审核。
核策略”中：
“审核账户管理”设置为“成功” 和“失败”都要审核
“审核账户管理”设置为“成功” 和“失败”都要审核
2、检测操作
第 12 页共 29 页
核策略”中：
查看是否“审核账户管理”设置为“成功” 和“失败”都要审核
要求内容启用组策略中对 Windows 系统的审核过程追踪，失败。
核策略”中：
“审核过程追踪”设置为 “失败”需要审核
“审核过程追踪”设置为 “失败”需要审核
2、检测操作
核策略”中：
查看是否“审核过程追踪”设置为 “失败”需要审核
要求内容设置应用日志文件大小至少为 8192KB，设置当达到最大的日志尺
寸时，按需要改写事件。
进入“控制面板->管理工具->事件查看器”，在“事件查看器（本
地）”中：
“应用日志”属性中的日志大小设置不小于“8192KB” ,设置当
达到最大的日志尺寸时，“按需要改写事件”
“应用日志”属性中的日志大小设置不小于“8192KB” ,设置当
2、检测操作
第 13 页共 29 页
地）”中：
查看是否“应用日志”属性中的日志大小设置不小于
“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”
要求内容设置系统日志文件大小至少为 8192KB，设置当达到最大的日志尺
地）”中：
“系统日志”属性中的日志大小设置不小于“8192KB” ,设置当
“系统日志”属性中的日志大小设置不小于“8192KB” , 设置当
2、检测操作
地）”中：
查看是否“系统日志”属性中的日志大小设置不小于
要求内容设置安全日志文件大小至少为 8192KB，设置当达到最大的日志尺
地）”中：
“安全日志”属性中的日志大小设置不小于“8192KB” ,设置当
“安全日志”属性中的日志大小设置不小于“8192KB” ,设置当
第 14 页共 29 页
2、检测操作
地）”中：
查看是否“安全日志”属性中的日志大小设置不小于
2.3 IP 协议安全配置操作
要求内容对没有自带防火墙的 Windows 系统，启用 Windows 系统的 IP 安全
机制(IPSec)或网络连接上的 TCP/IP 筛选，只开放业务所需要的
TCP，UDP 端口和 IP 协议。
进入“控制面板－>网络连接－>本地连接”，进入“Internet 协议
（TCP/IP）属性－>高级 TCP/IP 设置”，在“选项”的属性中启
用网络连接上的 TCP/IP 筛选，只开放业务所需要的 TCP，UDP 端
口和 IP 协议。
系统管理员出示业务所需端口列表。
根据列表只开放系统与业务所需端口。
2、检测操作
进入“控制面板－>网络连接－>本地连接”，进入“Internet 协议
（TCP/IP）属性－>高级 TCP/IP 设置”，在“选项”的属性中启
用网络连接上的 TCP/IP 筛选，查看是否只开放业务所需要的
TCP，UDP 端口和 IP 协议。
要求内容启用 Windows XP 和 Windows 2003 自带防火墙。根据业务需要限
第 15 页共 29 页
定允许访问网络的应用程序，和允许远程登陆该设备的 IP 地址范
围。
进入“控制面板－>网络连接－>本地连接”，在高级选项的设置中
启用 Windows 防火墙。
在“例外”中配置允许业务所需的程序接入网络。
在“例外->编辑->更改范围”编辑允许接入的网络地址范围。
启用 Windows 防火墙。
“例外”中允许接入网络的程序均为业务所需。
2、检测操作
进入“控制面板－>网络连接－>本地连接”，在高级选项的设置
中，查看是否启用 Windows 防火墙。
查看是否在“例外”中配置允许业务所需的程序接入网络。
查看是否在“例外->编辑->更改范围”编辑允许接入的网络地址
范围。
要求内容启用 SYN 攻击保护；指定触发 SYN 洪水攻击保护所必须超过的
TCP 连接请求数阀值为 5；指定处于 SYN_RCVD 状态的 TCP 连
接数的阈值为 500；指定处于至少已发送一次重传的 SYN_RCVD
状态中的 TCP 连接数的阈值为 400。
在“开始->运行->键入 regedit”
启用 SYN 攻击保护的命名值位于注册表项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 之
下。值名称：SynAttackProtect。推荐值：2。
以下部分中的所有项和值均位于注册表项
下。
指定必须在触发 SYN flood 保护之前超过的 TCP 连接请求阈值。值
第 16 页共 29 页
名称：TcpMaxPortsExhausted。推荐值：5。
启用 SynAttackProtect 后，该值指定 SYN_RCVD 状态中的 TCP 连

接阈值，超过 SynAttackProtect 时，触发 SYN flood 保护。值名
称：TcpMaxHalfOpen。推荐值数据：500。
启用 SynAttackProtect 后，指定至少发送了一次重传的
SYN_RCVD 状态中的 TCP 连接阈值。超过 SynAttackProtect 时，
触发 SYN flood 保护。值名称：TcpMaxHalfOpenRetried。推荐值数
据：400。
各注册表键值均按要求设置。
2、检测操作
在“开始->运行->键入 regedit”
启用 SYN 攻击保护的命名值位于注册表项
下。值名称：SynAttackProtect。推荐值：2。
以下部分中的所有项和值均位于注册表项
下。
指定必须在触发 SYN flood 保护之前超过的 TCP 连接请求阈值。值

名称：TcpMaxPortsExhausted。推荐值：5。
启用 SynAttackProtect 后，该值指定 SYN_RCVD 状态中的 TCP 连

接阈值，超过 SynAttackProtect 时，触发 SYN flood 保护。值名
称：TcpMaxHalfOpen。推荐值数据：500。
启用 SynAttackProtect 后，指定至少发送了一次重传的
SYN_RCVD 状态中的 TCP 连接阈值。超过 SynAttackProtect 时，
触发 SYN flood 保护。值名称：TcpMaxHalfOpenRetried。推荐值数
据：400。
第 17 页共 29 页
2.4 设备其他配置操作
2.2.1 屏幕保护
要求内容设置带密码的屏幕保护，并将时间设定为 5 分钟。
进入“控制面板－>显示－>屏幕保护程序”：
启用屏幕保护程序，设置等待时间为“5 分钟”，启用“在恢复时
使用密码保护”
启用屏幕保护程序，设置等待时间为“5 分钟”，启用“在恢复时
使用密码保护”。
2、检测操作
进入“控制面板－>显示－>屏幕保护程序”：
查看是否启用屏幕保护程序，设置等待时间为“5 分钟”，启用
“在恢复时使用密码保护”
要求内容对于远程登陆的帐号，设置不活动断连时间 15 分钟。
进入“控制面板->管理工具->本地安全策略”，在“本地策略->安
全选项”：
“Microsoft 网络服务器”设置为“在挂起会话之前所需的空闲时
间”为 15 分钟
“Microsoft 网络服务器”设置为“在挂起会话之前所需的空闲时
间”为 15 分钟。
2、检测操作
进入“控制面板->管理工具->本地安全策略”，在“本地策略->安
第 18 页共 29 页
全选项”：
查看是否“Microsoft 网络服务器”设置为“在挂起会话之前所需
的空闲时间”为 15 分钟
2.2.2 共享文件夹及访问权限
要求内容非域环境中，关闭 Windows 硬盘默认共享，例如 C$，D$。
进入“开始－>运行－>Regedit”，进入注册表编辑器，
更改注册表键值：在 HKLM\System\CurrentControlSet\ Services\
LanmanServer\Parameters\ 下，增加 REG_DWORD 类型的
AutoShareServer 键，值为 0。
HKLM\System\CurrentControlSet\ Services\LanmanServer\
Parameters\增加了 REG_DWORD 类型的 AutoShareServer 键，值为
0。
2、检测操作
进入“开始－>运行－>Regedit”，进入注册表编辑器，更改注册
表键值：在 HKLM\System\CurrentControlSet\ Services\
LanmanServer\Parameters\ 下，增加 REG_DWORD 类型的
AutoShareServer 键，值为 0。
要求内容查看每个共享文件夹的共享权限，只允许授权的账户拥有权限共
享此文件夹。
进入“控制面板->管理工具->计算机管理”，进入“系统工具－>
第 19 页共 29 页
共享文件夹”：
查看每个共享文件夹的共享权限，只将权限授权于指定账户。
查看每个共享文件夹的共享权限仅限于业务需要，不设置成为
“everyone”。
2、检测操作
进入“控制面板->管理工具->计算机管理”，进入“系统工具－>
共享文件夹”：
查看每个共享文件夹的共享权限。
2.2.3 时间同步
要求内容通过微软 Active Directory 管理的终端, 或者是独立终端, 要求配置
时间同步源.终端定期执行时间同步操作(必要时).
a. 在具有 PDC Emulator 角色的 DC 上运行如下命令, 以和外部时间

源同步
w32tm /config /syncfromflags:manual
/manualpeerlist:<PeerList>
b. 在 PC 终端上运行如下命令行同步时间：
w32tm /config /update
检查终端主机的时间是否与标准时间同步。
2、检测操作
找到一个标准时间源，检查终端主机的时间是否与标准时间同步。
2.2.4 补丁管理
第 20 页共 29 页
要求内容应安装最新的 Service Pack 补丁集。对服务器系统应先进行兼容性
测试。
安装最新的 Service Pack 补丁集，目前 Windows XP 的 Service Pack
为 SP2。
Windows2000 的 Service Pack 为 SP4,Windows 2003 的 Servoce Pack
为 SP1
显示 XP 系统已安装 SP2，Win2000 系统已安装 SP4。

2、检测操作
控制面板->添加或删除程序->显示更新打钩，查看是否
XP 系统已安装 SP2，Win2000 系统已安装 SP4。
要求内容应安装最新的 Hotfix 补丁。对服务器系统应先进行兼容性测试。
安装最新的 Hotfix 补丁。对服务器系统应先进行兼容性测试。
已安装最新的 Hotfix 补丁，并经过兼容性测试。
2、检测操作
控制面板->添加或删除程序->显示更新打钩，查看最近安装的
Hotfix 补丁是否为微软最新发布。也可以运行微软自动扫描工具
MBSA (支持群组扫描)
2.2.5 防病毒管理
要求内容安装防病毒软件，并及时更新。
第 21 页共 29 页
安装防病毒软件，并及时更新。
已安装放病毒软件，病毒码更新时间不早于 1 个月，各系统病毒
码升级时间要求参见各系统相关规定。
2、检测操作
控制面板->添加或删除程序，是否安装有防病毒软件。打开防病
毒软件控制面板，查看病毒码更新日期。
要求内容对于 Windows XP SP2,SP3 及 Windows 2003 对 Windows 操作系统
程序和服务启用系统自带 DEP 功能(数据执行保护)，防止在受保
护内存位置运行有害代码。
进入“控制面板－>系统”，在“高级”选项卡的 “性能”下的
“设置”。进入 “数据执行保护”选项卡。设置为“ 仅为基本
Windows 操作系统程序和服务启用 DEP”。
“数据执行保护”选项卡已设置为“ 仅为基本 Windows 操作系
统程序和服务启用 DEP”。
2、检测操作
进入“控制面板－>系统”，在“高级”选项卡的 “性能”下的
“设置”。进入 “数据执行保护”选项卡。查看是否设置为“ 仅为
基本 Windows 操作系统程序和服务启用 DEP”。
2.2.6 Windows 服务
要求内容列出所需要服务的列表(包括所需的系统服务)，不在此列表的服务
第 22 页共 29 页
需关闭。
进入“控制面板->管理工具->计算机管理”，进入“服务和应用
程序”：
查看所有服务，不在此列表的服务需关闭。
系统管理员应出具系统所必要的服务列表。
查看所有服务，不在此列表的服务需关闭。
2、检测操作
进入“控制面板->管理工具->计算机管理”，进入“服务和应用
程序”：
查看所有服务，不在此列表的服务是否已关闭。
要求内容如需启用 SNMP 服务，则修改默认的 SNMP Community String 设
置。
打开“控制面板”，打开“管理工具”中的“服务”，找到
“SNMP Service”，单击右键打开“属性”面板中的“安全”选项
卡，在这个配置界面中，可以修改 community strings，也就是微软
所说的“团体名称”。
community strings 已改，不是默认的“public”
2、检测操作
打开“控制面板”，打开“管理工具”中的“服务”，找到
“SNMP Service”，单击右键打开“属性”面板中的“安全”选项
卡，在这个配置界面中，查看 community strings，也就是微软所说
的“团体名称”。
要求内容如需启用 IIS 服务，则将 IIS 升级到最新补丁。
第 23 页共 29 页
下载 IIS 补丁包
IIS4.0
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=23667
IIS5.0
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=23665
并安装，或升级到 IIS6.0
已安装 IIS 补丁包或升级到 IIS6.0。
2、检测操作
控制面板->添加或删除程序->显示更新打钩，查看是否安装 IIS 补
丁包。
要求内容如对互联网开放 WindowsTerminial 服务(Remote Desktop)，需修改
默认服务端口。
运行 Regedt32 并转到此项:
HKEY_LOCAL_MACHINESystemCurrentControlSetControlTermi
nal ServerWinStationsRDP-Tcp
找到“PortNumber”子项，会看到默认值 00000D3D，它是
3389 的十六进制表示形式。使用十六进制数值修改此端口号，并
保存新值。
找到“PortNumber”子项，设定值非 00000D3D，即十进制 3389
2、检测操作
运行 Regedt32 ,找到此项并判断。
第 24 页共 29 页
2.2.7 启动项
要求内容列出系统启动时自动加载的进程和服务列表，不在此列表的需关
闭。
“开始->运行->MSconfig”启动菜单中，取消不必要的启动项。
不需要的自动加载进程通过“开始->运行->MSconfig”启动菜单
中取消。
2、检测操作
系统管理员提供业务必须的自动加载进程和服务列表文档。
查看 “开始->运行->MSconfig”启动菜单。
要求内容关闭 Windows 自动播放功能
点击开始→运行→输入 gpedit.msc，打开组策略编辑器，浏览到计
算机配置→管理模板→系统，在右边窗格中双击“关闭自动播
放”，对话框中选择所有驱动器，确定即可。
所有驱动器均“关闭自动播放”
2、检测操作
“关闭自动播放”配置已启用，启用范围：所有驱动器。
第 25 页共 29 页

Windows操作系统安全配置规范v2 0

Uploaded by

Copyright:

Available Formats

You might also like

Windows操作系统安全配置规范v2 0

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Windows操作系统安全配置规范v2 0

Uploaded by

Copyright:

Available Formats

中国移动 WINDOWS 操作系统

Specification for Windows OS

本规范所指的设备为 Windows 系统设备。本规范明确了运行 Windows 操作

本规范从 Windows 系统设备的认证授权功能、安全日志功能以及 IP 网络安

Guest 帐号->属性－> 已停用

缺省账户 Administrator 名称已更改。

Guest 帐号->属性－> 已停用

次数超过 6 次（不含 6 次），锁定该用户使用的账号。

要求内容 最短密码长度 6 个字符，启用本机组策略中密码必须符合复杂性

复使用最近 5 次（含 5 次）内已使用的口令。

开始->运行-> 执行“ 控制面板->管理工具->本地安全策略->审核

开始->运行-> 执行“ 控制面板->管理工具->本地安全策略->审核

机制(IPSec)或网络连接上的 TCP/IP 筛选，只开放业务所需要的

TCP，UDP 端口和 IP 协议。

（TCP/IP）属性－>高级 TCP/IP 设置”，在“选项”的属性中启

用网络连接上的 TCP/IP 筛选，只开放业务所需要的 TCP，UDP 端

（TCP/IP）属性－>高级 TCP/IP 设置”，在“选项”的属性中启

用网络 连接上 的 TCP/IP 筛 选， 查看 是 否只开放业 务所需要的

TCP，UDP 端口和 IP 协议。

中，查看是否启用 Windows 防火墙。

TCP 连接请求数阀值为 5；指定处于 SYN_RCVD 状态的 TCP 连

接数的阈值为 500；指定处于至少已发送一次重传的 SYN_RCVD

状态中的 TCP 连接数的阈值为 400。

指定必须在触发 SYN flood 保护之前超过的 TCP 连接请求阈值。值

启用 SynAttackProtect 后，该值指定 SYN_RCVD 状态中的 TCP 连

SYN_RCVD 状态中的 TCP 连接阈值。超过 SynAttackProtect 时，

触发 SYN flood 保护。值名称：TcpMaxHalfOpenRetried。推荐值数

指定必须在触发 SYN flood 保护之前超过的 TCP 连接请求阈值。值

启用 SynAttackProtect 后，该值指定 SYN_RCVD 状态中的 TCP 连

SYN_RCVD 状态中的 TCP 连接阈值。超过 SynAttackProtect 时，

触发 SYN flood 保护。值名称：TcpMaxHalfOpenRetried。推荐值数

Parameters\增加了 REG_DWORD 类型的 AutoShareServer 键，值为

a. 在具有 PDC Emulator 角色的 DC 上运行如下命令, 以和外部时间

要求内容 应安装最新的 Service Pack 补丁集。对服务器系统应先进行兼容性

安装最新的 Service Pack 补丁集，目前 Windows XP 的 Service Pack

Windows2000 的 Service Pack 为 SP4,Windows 2003 的 Servoce Pack

显示 XP 系统已安装 SP2，Win2000 系统已安装 SP4。

安装最新的 Hotfix 补丁。对服务器系统应先进行兼容性测试。

已安装最新的 Hotfix 补丁，并经过兼容性测试。

程序和服务启用系统自带 DEP 功能(数据执行保护)，防止在受保

“设置”。进入 “数据执行保护”选项卡。设置为“ 仅为基本

Windows 操作系统程序和服务启用 DEP”。

“数据执行保护”选项卡已设置为“ 仅为基本 Windows 操作系

基本 Windows 操作系统程序和服务启用 DEP”。

卡，在这个配置界面中，可以修改 community strings，也就是微软

community strings 已改，不是默认的“public”

卡，在这个配置界面中，查看 community strings，也就是微软所说

已安装 IIS 补丁包或升级到 IIS6.0。

找到“PortNumber”子项，设定值非 00000D3D，即十进制 3389

You might also like

要求内容最短密码长度 6 个字符，启用本机组策略中密码必须符合复杂性

用网络连接上的 TCP/IP 筛选，查看是否只开放业务所需要的

要求内容应安装最新的 Service Pack 补丁集。对服务器系统应先进行兼容性