Windows—整改

身份鉴别

检测项a

应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；

整改步骤

1. 口令复杂度策略

   WIN+R打开运行窗口->输入"secpol.msc"，打开本地安全策略->账户策略->密码策略

   

   调整配置如下：

   • 密码必须符合复杂性要求：已启用
   • 密码长度最小值：8个字符

2. 口令有效期策略

   WIN+R打开运行窗口->输入"secpol.msc"，打开本地安全策略->账户策略->密码策略

   

   调整配置如下：

   • 密码最长使用期限：90天

整改完成附图：

• 口令复杂度与口令有效期策略
  

检测项b

应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；

整改步骤

1. 登录失败处理策略

   WIN+R打开运行窗口->输入"secpol.msc"，打开本地安全策略->账户策略->账户锁定策略

   

   调整配置如下：

   • 账户锁定阈值：5次无效登录
   • 账户锁定时间：10分钟
   • 重置账户锁定计数器：10分钟之后

2. 登录连接超时自动退出策略

   WIN+R打开运行窗口->输入"gpedit.msc"，打开本地组策略编辑器->计算机配置->管理模板->Windows组件->远程桌面服务->远程桌面会话主机->会话时间限制

   

   调整配置如下：

   • 设置活动但空闲的远程桌面服务会话的时间限制：已启用（15分钟）

整改完成附图：

• 登录失败处理策略

  

• 登录连接超时自动退出策略

  

检测项c

当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；

整改步骤

WIN+R打开运行窗口->输入"gpedit.msc"，打开本地组策略编辑器->计算机配置->管理模板->Windows组件->远程桌面服务->远程桌面会话主机->安全

调整配置如下：

• 设置客户端连接加密级别：已启用（高级别）
• 远程（RDP）连接要求使用指定的安全层：已启用（SSL）

整改完成附图：

检测项d

应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现

注：Windows自身一般无法实现，常配合堡垒机进行降危整改，这里假设堡垒机IP地址为 192.168.65.110

整改步骤

WIN+R打开运行窗口->输入"firewall.cpl"，打开Windows防火墙->高级设置->入站规则->远程桌面-用户模式（TCP-In）->作用域

调整配置如下：

• 本地IP地址->下列IP地址：192.168.65.110（堡垒机IP地址）
• 远程IP地址->下列IP地址：192.168.65.110（堡垒机IP地址）

整改完成附图：

访问控制

检测项a

应对登录的用户分配账户和权限；

整改步骤

1. 分配账户与对应的权限

   WIN+R打开运行窗口->输入"compmgmt.msc"，打开计算机管理->系统工具->本地用户和组->用户

   

   整改操作如下：

   • 新建系统管理员、审计管理员、安全管理员账户（三权分立）
   • 三类账户权限应相互制约

2. 限制默认账户的访问权限

   WIN+R打开运行窗口->输入"compmgmt.msc"，打开计算机管理->系统工具->本地用户和组->用户

   

   整改操作如下：

   • 禁用administrator账户

整改完成附图：

1. 分配账户与对应的权限

   

2. 限制默认账户的访问权限

   

检测项b

应重命名或删除默认账户，修改默认账户的默认口令；

整改步骤

WIN+R打开运行窗口->输入"compmgmt.msc"，打开计算机管理->系统工具->本地用户和组->用户

整改操作如下：

• 重命名Administrator
• 修改Administrator密码

整改完成附图：

检测项c

应及时删除或停用多余的、过期的账户，避免共享账户的存在；

整改步骤

1. 禁用或删除多余账户（这里以TestUser为例）

   WIN+R打开运行窗口->输入"compmgmt.msc"，打开计算机管理->系统工具->本地用户和组->用户

   

   整改操作如下：

   • 删除多余用户（这里为TestUser）

2. 避免共享用户

   注：仅存在一个有效账户的情况，可参照访问控制a项，添加三权分立账户

整改完成附图：

检测项d

应授予管理用户所需的最小权限，实现管理用户的权限分离；

整改步骤

• 注：参照访问控制a项，添加三权分立账户

检测项e

应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；

整改步骤

1. 网络访问

   WIN+R打开运行窗口->输入"secpol.msc"，打开本地安全策略->本地策略->安全选项

   

   调整配置如下：

   • 网络访问：可远程访问的注册表路径：空
   • 网络访问：可远程访问的注册表路径和子路径：空

2. 用户账户控制

   WIN+R打开运行窗口->输入"secpol.msc"，打开本地安全策略->本地策略->安全选项

   

   调整配置如下：

   • 用户账户控制：标准用户的提升提示行为：自动拒绝提升请求
   • 用户账户控制：管理员批准模式中管理员的提升权限提示的行为：在安全桌面上同意提示凭据或提示凭据

整改完成附图：

检测项f

访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；

• 默认符合，暂无整改说明

检测项g

应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。

• 默认不符合，暂无整改说明

安全审计

检测项a

应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；

整改步骤

1. Windows Event Log

   WIN+R打开运行窗口->输入"services.msc"，打开服务->Windows Event Log

   

   调整配置如下：

   • Windows Event Log状态：正在运行
   • Windows Event Log启动类型：自动

2. 审核策略

   WIN+R打开运行窗口->输入"secpol.msc"，打开本地安全策略->本地策略->审核策略

   

   调整配置如下：

   • 审核策略更改：成功，失败
   • 审核登录事件：成功，失败
   • 审核对象访问：成功，失败
   • 审核进程跟踪：成功，失败
   • 审核目录服务访问：成功，失败
   • 审核特权使用：成功，失败
   • 审核系统事件：成功，失败
   • 审核账户登录事件：成功，失败
   • 审核账户管理：成功，失败

整改完成附图：

1. Windows Event Log

   

2. 审核策略

   

检测项b

审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

• a项开启默认符合，暂无整改说明

检测项c

应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；

整改步骤

1. 系统

   WIN+R打开运行窗口->输入"eventvwr.msc"，打开事件查看器->Windows 日志->系统->属性

   

   调整配置如下：

   • 日志最大大小（KB）：20480
   • 达到事件日志最大大小时：日志满时将其存档，不覆盖事件

2. 安全

   WIN+R打开运行窗口->输入"eventvwr.msc"，打开事件查看器->Windows 日志->安全->属性

   

   调整配置如下：

   • 日志最大大小（KB）：20480
   • 达到事件日志最大大小时：日志满时将其存档，不覆盖事件

3. 应用程序

   WIN+R打开运行窗口->输入"eventvwr.msc"，打开事件查看器->Windows 日志->应用程序->属性

   

   调整配置如下：

   • 日志最大大小（KB）：20480
   • 达到事件日志最大大小时：日志满时将其存档，不覆盖事件

整改完成附图（统一每类附两张图180天前[不足180天取最早]+当下时间的日志）：

1. 系统

   • 180天之前

     

   • 当下时间

     

2. 安全

   • 180天之前

     

   • 当下时间

     

3. 应用程序

   • 180天之前

     

   • 当下时间

     

检测项d

应对审计进程进行保护，防止未经授权的中断。

整改步骤

1. Windows Event Log

   WIN+R打开运行窗口->输入"services.msc"，打开服务->Windows Event Log

   

   调整配置如下：

   • Windows Event Log状态：正在运行
   • Windows Event Log启动类型：自动

2. 管理审核和安全日志

   WIN+R打开运行窗口->输入"secpol.msc"，打开本地安全策略->本地策略->用户权限分配->管理审核和安全日志

   

   调整配置如下：

   • 管理审核和安全日志：仅分配给Administrator用户和组

整改完成附图：

1. Windows Event Log

   

2. 管理审核和安全日志

   

入侵防范

检测项a

应遵循最小安装的原则，仅安装需要的组件和应用程序；

整改步骤

WIN+R打开运行窗口->输入"appwiz.cpl"，打开程序和功能

整改操作如下：

• 卸载非必要的应用程序（如：WeGame）

整改完成附图：

检测项b

应关闭不需要的系统服务、默认共享和高危端口；

整改步骤

1. 系统服务

   WIN+R打开运行窗口->输入"services.msc"，打开服务

   

   整改操作如下：

   • 关闭不需要的系统服务，一般可被禁止的服务如下：

     Alert、Application Layer Gateway Service、Computer Browser、DNS Client、Error Reporting Service、Help and Support、Messenger、NetMeeting、Remote Desktop Sharing、Portable Media Serial Number、Print Spooler、Remote Desktop Help Session Manager、Remote Registry、Routing and Remote Access、Server、Shell Hardware Detection、Telnet、Terminal Services、WebClient、Wireless Zero Configuration、WMI Performance Adapter

2. 默认共享

   WIN+R打开运行窗口->输入"services.msc"，打开服务->Server

   

   整改操作如下：

   • 禁用Server服务

3. 高危端口

   WIN+R打开运行窗口->输入"cmd"，打开命令提示符->输入"netstat -an"

   

   整改操作如下：

   • 关闭高危端口，常见高危端口如下：

     135、137、138、139、445、1025

整改完成附图：

1. 系统服务

   WIN+R打开运行窗口->输入"cmd"，打开命令提示符->输入"net start"

   

2. 默认共享

   WIN+R打开运行窗口->输入"cmd"，打开命令提示符->输入"net share"

   

3. 高危端口

   WIN+R打开运行窗口->输入"firewall.cpl"，打开Windows防火墙->高级设置->入站规则

   

检测项c

应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；

整改步骤

WIN+R打开运行窗口->输入"firewall.cpl"，打开Windows防火墙->高级设置->入站规则->用户模式(TCP-In)->作用域

整改操作如下：

• 本地IP地址->下列IP地址：堡垒机IP地址或可信网段地址
• 远程IP地址->下列IP地址：堡垒机IP地址或可信网段地址

整改完成附图：

检测项d

应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求；

• 默认不适用，暂无整改说明

检测项e

应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞；

• 根据漏扫结果整改，不另作说明

检测项f

应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警；

整改步骤

安装杀毒软件（以火绒为例）

整改操作如下：

• 开启所有防护
• 配置自动升级

整改完成附图：

恶意代码防范

检测项a

应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断；

整改步骤

• 注：参照入侵防范f项，安装杀毒软件

可信验证

检测项a

• 默认不符合，暂无整改说明

数据完整性

检测项a

应采用校验技术或密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等；

• 默认部分符合，暂无整改说明

检测项b

应采用校验技术或密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

整改步骤

• 注：参照身份鉴别c项，配置客户端连接加密级别与远程（RDP）连接要求使用指定的安全层

数据保密性

检测项a

应采用密码技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等；

• 默认部分符合，暂无整改说明

检测项b

应采用密码技术保证重要数据在存储过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等。

整改步骤

• 注：参照身份鉴别c项，配置客户端连接加密级别与远程（RDP）连接要求使用指定的安全层

数据备份与恢复

检测项a

应提供重要数据的本地数据备份与恢复功能；

整改步骤

1. 虚拟资产配置快照策略
2. 实体资产提供自动备份脚本或手动备份策略

检测项b

应提供异地数据备份功能，利用通信网络将重要数据定/实时传送至备用场地。

整改步骤

• 虚拟资产配置异地备份策略

检测项c

应提供重要数据处理系统的热冗余，保证系统的高可用性；

整改步骤

1. 虚拟资产配置冗余策略

2. 集群部署配置集群策略

剩余信息保护

检测项a

应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除；

整改步骤

WIN+R打开运行窗口->输入"secpol.msc"，打开本地安全策略->本地策略->安全选项->交互式登录：不显示上次登录

调整配置如下：

• 交互式登录：不显示上次登录：已启用

整改完成附图：

检测项b

应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。

整改步骤

WIN+R打开运行窗口->输入"secpol.msc"，打开本地安全策略->本地策略->安全选项->关机：清除虚拟内存页面文件

整改完成附图：

个人信息保护

检测项a

应仅采集和保存业务必需的用户个人信息；

• 默认不适用，暂无整改说明

检测项b

应禁止未授权访问和非法使用用户个人信息。

• 默认不适用，暂无整改说明