开启防火墙
检查防火墙开启情况
查看系统自带或第三方防火墙开启情况
如是第三方防火墙，记录相关信息
Windows防火墙开启，并阻断以业务无关的端口
检查系统是否有恶意文件、病毒
恶意文件、病毒检查
检查系统是否存在恶意文件、病毒
使用系统安装的杀毒软件进行杀毒操作，记录结果；并查看历时杀毒结果
上线之前进行一次病毒查杀
安装最新的补丁，建议配置wsus自动更新
应用程序安装情况检查
查看系统安装程序情况
进入“控制面板->添加或删除程序”，查看除了系统补丁之外的安装程序
删除已应用无关的程序
安装专门的杀毒软件
检查杀毒软件情况
查看杀毒软件版本以及病毒库更新情况
记录杀毒软件的版本号，病毒库更新时间，更新频率，以及杀毒策略
安装统一的杀毒软件
“审核特权使用”设置为“成功” 和“失败”都要审核
审核过程追踪
启用组策略中对Windows系统的审核过程追踪失败
进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：查看“审核过程追踪”设置
“审核过程追踪”设置为 “失败”需要审核
审核系统事件
启用组策略中对Windows系统的审核系统事件，成功和失败都要审核
Windows-系统安全基线要求
Windows系统安全基线要求
测试项
基本要求
测试子项
测试内容
测试方法
要求结果
身份鉴别
应对登录操作系统的用户进行身份标识和鉴别
检查系统登录是否需要密码
登陆系统是否需要密码
检查是否有无需输入密码就可访问的用户帐户
不能存在空密码帐户
操作系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换
进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：
缺省帐户Administrator－>属性
Guest帐号->属性
缺省账户Administrator名称已更改。
Guest帐号已停用。
应限制远程登录系统账户
允许远程登录的账户检查
检查允许远程登录的账户
"进入“我的电脑->属性->系统属性”，在“远程->远程桌面->选择用户”：查看允许远程登录的账户
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted;
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen;
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried。
在主机防火墙上做访问控制，指定的IP地址对服务器进行远程管理
应根据安全策理员忘记锁定机器被非法攻击
进入“控制面板－>显示－>屏幕保护程序”：查看是否启用屏幕保护程序 并记录当前的设置
查看是否启用屏幕保护程序，设置等待时间为“5分钟”，启用“在恢复时使用密码保护”。
并指定接受SNMP数据包地址为59.231.145.137
关闭Windows自动播放功能
关闭Windows自动播放功能
关闭Windows自动播放功能
进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：查看“审核目录服务器访问”设置
“审核目录服务器访问”设置为“成功” 和“失败”都要审核
审核特权使用
启用组策略中对Windows系统的审核特权使用，成功和失败都要审核
进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：查看“审核特权使用”设置
关闭SNMP服务管理或修改默认团体字
关闭SNMP服务管理或修改默认团体字
打开“控制面板”，打开“管理工具”中的“服务”，找到“SNMP Service”，单击右键打开“属性”面板中的“安全”选项卡，在这个配置界面中，查看community strings，也就是微软所说的“团体名称”。
设置SNMP团体为cssxxzx8668017
审核对象访问
启用组策略中对Windows系统的审核对象访问，成功和失败都要审核
进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：查看“审核对象访问”设置
“审核对象访问”设置为“成功”和“失败”都要审核
审核事件目录服务器访问
启用组策略中对Windows系统的审核目录服务访问，失败
进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”:查看“从远端系统强制关机”设置
“从远端系统强制关机”设置为“只指派给Administrtors组”
操作系统本地关机策略安全
本地关机
在本地安全设置中关闭系统仅指派给Administrators组
进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”:查看“关闭系统”设置
进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：查看“审核系统事件”设置
“审核系统事件”设置为“成功” 和“失败”都要审核
日志文件大小
设置应用日志文件大小至少为8192KB，设置当达到最大的日志尺寸时，按需要改写事件
进入“控制面板->管理工具->事件查看器”，在“事件查看器（本地）”中：查看“应用日志” “系统日志” “安全日志”属性中的日志大小 ,以及设置当达到最大的日志尺寸时的相应策略
“数据执行保护”选项卡已设置为“ 仅为基本 Windows 操作系统程序和服务启用DEP”
共享文件夹及访问权限
关闭默认共享
非域环境中，关闭Windows硬盘默认共享，例如C$，D$
进入“开始->运行”，输入“cmd”，在cmd.exe窗口中输入“net share”，记录结果
默认共享关闭
根据需求对SNMP进行设定
安全配置
系统服务检查
系统服务检查
Alerter – 禁用
Clipbook – 禁用
Computer Browser – 禁用
Messenger – 禁用
Remote Registry – 禁用
Routing and Remote Access – 禁用
Telnet – 禁用
Automatic Updates – 手动
安装最新的补丁建议配置wsus动更新操作系统应遵循最小安装的原则仅安装需要的组件和应用程序并通过设置升级服务器等方式保持系统补丁及时得到更新应用程序安装情况检查查看系统安装程序情况进入控制面板添加或删除程序查看除了系统补丁之外的安装程序删除已应用无关的程序安装专门的杀毒软件检查杀毒软件情况查看杀毒软件版本以及病毒库更新情况记录杀毒软件的版本号病毒库更新时间更新频率以及杀毒策略安装统一的杀毒软开启防火墙检查防火墙开启情况查看系统自带或第三方防火墙开启情况如是第三方防火墙记录相关信息windows防火墙开启并阻断以业务无关的端口入侵防范检查系统是否有恶意文件病毒恶意文件病毒检查检查系统是否存在恶意文件病使用系统安装的杀毒软件进行杀毒操作记录结果
超时检查
启用远程回话挂起时间限制
进入“控制面板->管理工具->本地安全策略”，在“本地策略->安全选项”:查看“Microsoft 网络服务器：在挂起会话之前所需的空闲时间”设置
设置值不大于15分钟
操作系统远程关机策略安全
远程关机
在本地安全设置中从远端系统强制关机只指派给Administrators组
审核登录事件，设置为成功和失败都审核。
审核账户管理
启用组策略中对Windows系统的审核帐户管理，成功和失败都要审核
进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：查看“审核账户管理” 设置
“审核账户管理”设置为“成功” 和“失败”都要审核
审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件
口令复杂度
“密码必须符合复杂性要求”选择“已启动”
进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：查看是否“密码必须符合复杂性要求”选择“已启动”
最短密码长度8个字符，启用本机组策略中密码必须符合复杂性要求的策略。
口令定期更换
对于采用静态口令认证技术的设备，检查账户口令的生存期
“审核策略更改”设置为“成功” 和“失败”都要审核
入侵防范
操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新
系统补丁更新检查
查看系统内核版本号以及系统补丁更新情况
进入“开始->运行”，输入“winmsd.exe”,记录OS名称、版本；
进入“控制面板->添加或删除程序”，查看Windows最近安装补丁的时间；
“应用日志” “系统日志” “安全日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”
应保护审计记录，避免受到未预期的删除、修改或覆盖等
审核策略更改
启用组策略中对Windows系统的审核策略更改，成功和失败都要审核
进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中查看“审核策略更改”设置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen; 推荐值数据：500。