启用NTP服务，配置统一服务器时钟，应开启NTP服 务向网络内指定的NTP server同步时钟。
27
SNMP Community String设 置
如需启用SNMP服务，修改默认的SNMP Community String设置。 关闭不必要的启动项，优化系统资源，同时减少引 入 不必要的系统漏洞。
按照用户角色分配不同权限 按照用户角色分配不同权限的帐号，保证用户权限 的帐号 最小化。 将用户账号分配到相应的帐 建立多帐户组，将用户账号分配到相应的帐户组， 户组 不同的账户组拥有不同的系统访问和管理权限。 administrator、guest等默认帐户使用默认用户 不使用系统默认用户名 名，当攻击者发起穷举攻击时，使用默认用户名， 会大大降低攻击者的攻击难度。 口令策略设置不符合复杂度 口令策略设置不符合复杂度要求，口令过于简单， 要求 易被黑客破译。 设定不能重复使用最近5次（含5次）内已使用的口 设定不能重复使用口令 令。 口令生存期不得长于90天 口令生存期不得长于90天，应定期更改用户口令。
检查结果
开始->运行->net share 或我的电脑右击->管理->共享文件夹->共享 检查共享文件夹中的授权用户。
开始->运行->services.msc telnet 关闭 Automatic Updates 关闭 Background Intelligent Transfer Service 关闭 DHCP Client 关闭 Messenger 关闭 Remote Registry 关闭 Print Spooler 关闭 Server 关闭 SNMP Service 关闭 Task Schedule 关闭 TCP/IP NetBIOS Helper 关闭 对于已加入域的服务器，系统将自动与域控服务器同步时钟； 对于未加入域的服务器，需按以下步骤 点击桌面右下角时钟栏，开启“更改日期和时钟 设置”-“internet时间” 开启“自动与internet时间服务器同步”选型， 在服务器栏中填写NTP server的 IP地址，然后点 击“立即更新”。 进入“控制面板->管理工具->计算机管理”，进入“服务和应用程序”，检查“ SNMP Service”， “属性”面板中的“安全”选项卡的community strings设置。 修改默认“public” “开始->运行->MSconfig”启动菜单中检查启动项。
三、文件权限
23 关闭默认共享 24 非everyone的授权共享
关闭默认共享，未经确认的共享操作，尤其是对 everyone的共享，会对信息安全造成严重威胁。 共享文件夹中，设置只允许授权的账户拥有权限共 享此文件夹。
四、服务与配置
25 关闭不必要的服务
列出所需关闭服务的列表
26 启用NTP服务
Windows操作系统基线安全检查
序号 安全检查项 描述 一、账号与口令
1 2 3 4 5 6 7 8 9 删除或锁定可能无用的帐户 禁用GUEST账号 检查隐藏账号 删除或锁定无用的帐户，定期清理无用账户，防止 过期用户非法登入操作系统。 guest账号默认系统开启 隐藏账号一般为非法建立，会导致系统的完整性破 坏
二、程登录可能造成信息泄露
远程登录的IP地址范围设定，对登陆系统的远程用 户IP进行限定，只有符合IP范围限制的用户可登陆 将从本地登录设置为指定授 将从本地登录设置为指定授权用户，将登陆权限赋 12 权用户 予指定用户。 将从网络访问设置为指定授 13 将从网络访问设置为指定授权用户。 权用户 设定连续认证失败次数超过6次（不含6次）锁定该 14 设定连续认证失败次数 账号。 设置带密码的屏幕保护，并将时间设定为5分钟，防 15 设置带密码的屏幕保护 止合法用户未及时退出登录，造成数据泄露。 对于远程登陆的帐号，设置 对于远程登陆的帐号，设置不活动断开时间为1小 16 不活动断开时间为15分钟 时，长时间空闲账户将自动退出。 交互式登录不显示上次登录 交互式登录未设置不显示上次登录的用户名，攻击 17 用户名 者可以此获取系统用户信息，降低攻击难度。 远端系统强制关机的权限设 将从远端系统强制关机仅指派给Administrators 18 置 组，避免普通用户拥有额外的系统控制权限。 将关闭系统仅指派给Administrators组，避免普通 19 关闭系统的权限设置 用户拥有额外的系统控制权限。 将取得文件或其它对象的所有权设置仅指派给 取得文件或其它对象的所有 20 Administrators组，避免普通用户拥有额外的系统 权设置 控制权限。 删除可匿名访问共享，共享文件应明确共享对象， 21 删除可匿名访问共享 且不允许匿名访问。 关闭远程注册表，防止用户远程修改或查看系统注 22 关闭远程注册表 册表。 11 远程登录的IP地址范围设定
进入“控制面板－>网络连接－>本地连接”，在高级选项的设置中，查看是否启用 Windows防火墙。 查看是否在“例外”中配置允许业务所需的程序接入网络。 查看是否在“例外->编辑->更改范围”编辑允许接入的网络地址范围。 检查C:\windows\system32\drivers\etc目录下的用于静态DNS解析的HOSTS文件内 容是否正常
37 启用防火墙
启用Windows自带防火墙，且根据业务需要限定允许 访问网络的应用程序，和允许远程登陆该设备的IP 地址范围。 删除HOST文件下的可疑条目。
38 审核HOST文件的可疑条目
Windows操作系统基线安全检查
检查方法及步骤
开始->运行->compmgmt.msc->系统工具->本地用户和组->用户 审核不必要的用户和组，审核账户隶属的组权限，审核组用户。记录开启用户并与 配合人员核实用户的用途 net user guest查看用户属性或开始->运行->compmgmt.msc（计算机管理）->本地 用户和组，查看guest账号是否停用 帐号(管理员)检测(net user与注册表HKLM\SAM\Domains\Account\Users\Names下 帐号名比较) 开始->运行->compmgmt.msc->系统工具->本地用户和组 审核用户和组，审核账户隶属的组权限，审核组用户。记录开启用户用户权限并与 配合人员合核实户权限的正确性 开始->运行->compmgmt.msc->系统工具->本地用户和组->组 查看开启用户属于组的情况并与配合人员核实组权限的正确性 开始->运行->compmgmt.msc->系统工具->本地用户和组->用户 检查administrator、guest是否存在。 开始->运行->secpol.msc ->账户策略 ->密码策略 检查“密码必须符合复杂度要求”设置。 开始->运行->secpol.msc ->账户策略 ->密码策略 检查“强制密码历史”设置。 开始->运行->secpol.msc ->账户策略 ->密码策略 检查“密码最长使用期限”设置。 1、查看是否允许telnet登录 开始->运行->services.msc->telnet 关闭 2、查看是否允许3389登录 我的电脑->属性->远程->启用这台计算机上的远程桌面或使用命令netstat -an |find "3389" 开始->运行->secpol.msc->IP安全策略，查看已配置的策略列表 开始->运行->secpol.msc->本地策略->用户权限分配 检查“允许在本地登录”设置 开始->运行->secpol.msc->本地策略->用户权限分配 检查“从网络访问此计算机”设置。 开始->运行->secpol.msc->帐户策略->帐户锁定策略 检查“帐户锁定阀值”设置。 进入“桌面－>右击空白处－>屏幕保护程序” 查看设置等待时间与恢复时使用密码保护设置 开始->运行->secpol.msc->本地策略->安全选项 检查“Microsoft 网络服务器：在挂起会话前所需的空闲时间”设置。 开始->运行->secpol.msc->本地策略->安全选项 检查“交互式登录: 不显示上次的用户名”设置。 开始->运行->secpol.msc->本地策略->用户权限分配” 检查“从远程系统强制关机”设置。 开始->运行->secpol.msc->本地策略->用户权限分配” 检查“关闭系统”设置。 开始->运行->secpol.msc->本地策略->用户权限分配” 检查“取得文件或其它对象的所有权”设置。 开始->运行->secpol.msc->本地策略->安全选项 检查“网络访问: 可匿名访问的共享”设置。 进入“控制面板->管理工具->计算机管理”->“服务和应用程序”->“服务”， 检查“Remote Registry”。
28 关闭不必要的启动项
五、日志配置
29
审核策略设置中成功失败都 记录系统的所有审核信息，审核策略设置中成功失 要审核 败都要审核。
30 设置日志查看器大小
将应用、系统、安全日志查看器大小设置为至少 8192KB。
六、其他配置
31 安装防病毒软件 32 配置WSUS补丁更新服务器 安装防病毒软件和防病毒软件并及时升级。 指定系统获取补丁的位置，将更新源指向WSUS服务 器。
开始->运行->secpol.msc->本地策略->审核策略 参考下列审核操作标准： 审核策略更改：成功和失败 审核登录事件：成功和失败 审核系统事件：成功和失败 审核帐户登录事件：成功和失败 审核帐户管理：成功和失败 审核对象访问：成功和失败 审核特权使用：成功和失败 审核目录服务访问：成功和失败 审核过程跟踪：失败 其他设置无要求。 进入“控制面板->管理工具->事件查看器”，在“事件查看器（本地）”中：（在 应用程序日志、安全日志和系统日志上点右键，看属性中的日志大小上限设置，单 位为KB。） 检查杀毒软件的安装和升级情况。 1.执行regedit调出注册表编辑器 2.查看参数 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate] "WUServer"和"WUStatusServer"，确认其是否为"http://192.168.1.1"。 检查Service Pack补丁版本。 检查IIS版本。 检查“添加或删除程序”面板中的列表。 点击开始→运行→输入gpedit.msc，打开组策略编辑器，计算机配置→管理模板→ 系统，在右边窗格中双击“关闭自动播放”，检查 “关闭自动播放”项设置。