wiki安全

Windows, 安全基线, 等保

2024-08-31

Source

Edit

History

【网安】安全基线检查项

文章目录

1. 系统配置安全检查
2. 系统状态安全检查
3. 系统运行安全检查
1. 3.1. 1 进程检查
2. 3.2. 2 端口检查

[toc]

系统配置安全检查

1. 身份鉴别

1.1 密码最长使用期限

内容描述：

此策略使管理员能够通过确保旧密码不被连续重新使用来增强安全性。

加固建议：

Windows10/8/7/XP：请将以下UI路径设置为90或较少的天数，但不是0 ：计算机配置\Windows设置\安全设置\帐户策略\密码策略\密码最长使用期限。

注意：

域账户需要联系域管理员做对应修改。

1.2 密码最短使用期限

内容描述：

此策略设置定义用户密码必须使用多长时间。

加固建议：

Windows10/8/7/XP：请将以下UI路径设置为1或更大天：计算机配置\Windows设置\安全设置\帐户策略\密码策略\密码最短使用期限。

注意：

域账户需要联系域管理员做对应修改。

1.3 强制密码历史

内容描述：

此策略使管理员能够通过确保旧密码不被连续重新使用来增强安全性。

加固建议：

Windows10/8/7/XP：请将以下UI路径设置为24或更多密码：计算机配置\Windows设置\安全设置\帐户策略\密码策略\强制执行密码历史。

注意：

域账户需要联系域管理员做对应修改。

1.4 密码长度最小值

内容描述：

密码长度最小值越大，暴力破解难度就越高。

加固建议：

Windows10/8/7/XP：请将以下UI路径设置为14或更多字符：计算机配置\Windows设置\安全设置\帐户策略\密码策略\密码长度最小值。

注意：

域账户需要联系域管理员做对应修改。

1.5 密码必须符合复杂性要求

内容描述：

如果启用此策略，密码必须符合下列最低要求：

不包含用户的帐户名或用户全名中超过两个的部分连续字符
至少六个字符
包含以下三个类别的字符：
英文大写字母（A到Z）
英文小写字母（a到z）
以10为基数的数字（0到9）
非字母字符（例如，！，$，＃，％）
不属于以下任何Unicode字符的全部类别前四个类别。第五类可以是区域特定的。

加固建议：

Windows10/8/7/XP：请将以下UI路径设置为启用：计算机配置\Windows设置\安全设置\帐户策略\密码策略\密码必须符合复杂性要求。

注意：

域账户需要联系域管理员做对应修改。

1.6 用可还原的加密来储存密码

内容描述：

通过远程访问或 Internet 身份验证服务(IAS)使用质询握手身份验证协议(CHAP)验证时需要设置此策略。在 Internet 信息服务(IIS)中使用摘要式身份验证时也需要设置此策略。

加固建议：

Windows10/8/7/XP：请将以下UI路径设置为禁用：计算机配置\Windows设置\安全设置\帐户策略\密码策略\用可还原的加密来储存密码。

注意：

域账户需要联系域管理员做对应修改。

1.7 阻止Microsoft帐户

内容描述：

此策略设置阻止用户在此计算机上添加新的 Microsoft 帐户。如果选择“用户不能添加 Microsoft 帐户”选项，用户将不能在此计算机上创建新的 Microsoft 帐户，不能将本地帐户切换到 Microsoft 帐户，也不能将域帐户连接到 Microsoft 帐户。如果需要在企业中限制使用 Microsoft 帐户，这是首选选项。如果选择“用户不能添加 Microsoft 帐户或使用该帐户登录”选项，则现有的 Microsoft 帐户用户将不能登录到 Windows。选中此选项后，此计算机上的现有管理员可能无法登录和管理系统。如果禁用或不配置此策略(推荐)，则用户能够将 Microsoft 帐户用于 Windows。

加固建议：

Windows10/8：请将以下UI路径设置为用户不能添加 Microsoft 帐户或使用该帐户登录：计算机配置\Windows设置\安全设置\本地策略\安全选项\帐户：阻止Microsoft帐户。

1.8 帐户锁定阈值

内容描述：

此安全设置确定导致用户帐户被锁定的登录尝试失败的次数。在管理员重置锁定帐户或帐户锁定时间期满之前，无法使用该锁定帐户。可以将登录尝试失败次数设置为介于 0 和 999 之间的值。如果将值设置为 0，则永远不会锁定帐户。

加固建议：

Windows10/8/7/XP：请将以下UI路径设置为10或较少的无效登录尝试，但不是0 ：计算机配置\Windows设置\安全设置\本地策略\安全选项\交互式登录：计算机帐户锁定阈值。

注意：

域账户需要联系域管理员做对应修改。

1.9 帐户锁定持续时间

内容描述：

此策略设置确定锁定帐户之前必须经过的时间长度解锁，用户可以尝试再次登录。该设置通过指定数字来实现锁定的帐户将在几分钟之内不可用。如果此策略设置的值配置为0，锁定的帐户将保持锁定状态，直到管理员手动解锁。

加固建议：

Windows10/8/7/XP：请将以下UI路径设置为1或更多分钟：计算机配置\Windows设置\安全设置\帐户策略\帐户锁定策略\帐户锁定持续时间。

注意：

如果定义了帐户锁定阈值，则帐户锁定时间必须大于或等于重置时间。只有在指定了帐户锁定阈值时，此策略设置才有意义。

1.10 重置账号锁定计数器

内容描述：

此安全设置确定在某次登录尝试失败之后将登录尝试失败计数器重置为 0 次错误登录尝试之前需要的时间。

加固建议：

Windows10/8/7/XP：计算机配置\Windows设置\安全设置\帐户策略\帐户锁定策略\重置帐户锁定计数器后。

注意：

如果定义了帐户锁定阈值，此重置时间必须小于或等于帐户锁定时间。只有在指定了帐户锁定阈值时，此策略设置才有意义。

1.11 启用屏幕保护程序

内容描述：

确保终端在不活动的状态下，超过一定时间后会自动进入屏幕保护状态。防止终端盗用。

加固建议：

Windows10/8/7/XP：请将以下UI路径设置为启用：用户配置\管理模板\控制面板\个性化\启用屏幕保护程序

注意：

默认情况下，此组策略路径可能不存在。它由Microsoft Windows 7和Server 2008 R2管理模板（或更新版本）附带的组策略模板ControlPanelDisplay.admx / adml提供。

2. 访问控制

2.1 Guest 帐户状态

内容描述：

此安全设置确定是启用还是禁用来宾帐户。

加固建议：

Windows10/8/7/XP：请将以下UI路径设置为“已禁用”：我的电脑\右键\管理\计算机管理（本地）/本地用户和组/用户/ Guest属性/账户已禁用。

注意：

如果来宾帐户被禁用且安全选项“网络访问: 本地帐户的共享和安全模型”被设置为“仅来宾”，则网络登录(如由 Microsoft 网络服务器(SMB 服务)所执行的网络登录)将失败。

2.2 使用空密码的本地帐户只允许进行控制台登录

内容描述：

此安全设置确定未进行密码保护的本地帐户是否可以用于从物理计算机控制台之外的位置登录。如果启用此设置，则未进行密码保护的本地帐户将仅能够通过计算机的键盘登录。

加固建议：

Windows10/8/7/XP：请将以下UI路径设置为已启用：计算机配置\Windows设置\安全设置\本地策略\安全选项\帐户：使用空密码的本地帐户只允许进行控制台登录。

注意：

1、此设置不影响使用域帐户的登录。 2、使用远程交互式登录的应用程序可以绕过此设置。 3、在以前版本的 Windows Server 中，远程桌面服务称为终端服务。

2.3 帐户: 重命名来宾帐户

内容描述：

此安全设置确定是否存在另一个帐户名称与帐户 “Guest” 的安全标识符(SID)相关联。

加固建议：

Windows10/8/7/XP：计算机配置\ Windows设置\安全设置\本地策略\安全选项\帐户: 重命名来宾帐户

2.4 帐户: 重命名管理员帐户

内容描述：

此安全设置确定是否存在另一个帐户名称与帐户 Administrator 的安全标识符(SID)相关联。

加固建议：

Windows10/8/7/XP：计算机配置\ Windows设置\安全设置\本地策略\安全选项\帐户: 重命名管理员帐户

2.5 交互式登录: 提示用户在密码过期之前更改密码

内容描述：

确定提前多长时间(以天为单位)向用户发出其密码即将过期的警告。

加固建议：

Windows10/8/7/XP：计算机配置\ Windows设置\安全设置\本地策略\安全选项\交互式登录: 提示用户在密码过期之前更改密码。

2.6 交互式登录: 不显示上次登录

内容描述：

该安全设置确定 Windows 登录屏幕是否将显示上次登录该台电脑的人员的用户名，如果启用该策略，将不显示用户名。如果禁用该策略，将显示用户名。

加固建议：

Windows10/8/7/XP：计算机配置\ Windows设置\安全设置\本地策略\安全选项\交互式登录: 不显示上次登录。

2.7 关机: 清除虚拟内存页面文件

内容描述：

启用此策略会在干净关机时清除系统页面文件。启用此安全选项时，如果禁用休眠，休眠文件(hiberfil.sys)也会被清零。

加固建议：

Windows10/8/7/XP：计算机配置\ Windows设置\安全设置\本地策略\安全选项\关机: 清除虚拟内存页面文件。

2.8 操作系统UAC用户账户控制是否开启至指定级别

内容描述：

用户账户控制有助于预防有害程序对你的计算机进行更改。

加固建议：

Windows10/8/7/XP：控制面板\用户账户\更改用户账户控制设置。

2.9 允许Windows自动连接到建议的开放式热点，与联系人共享的网络以及提供付费服务的热点

内容描述：

此策略设置确定用户是否可以启用以下 WLAN 设置:“连接到建议的开放热点”、“连接到我的联系人共享的网络”和“启用付费服务”。

加固建议：

Windows10/8：请将以下UI路径设置为“已禁用”：计算机配置\管理模板\网络\WLAN服务\WLAN设置\允许Windows自动连接到建议的开放热点，联系人共享的网络以及提供付费服务的热点

注意：

默认情况下，此组策略路径可能不存在。它由Microsoft Windows 10版本1511管理模板（或更新版本）附带的组策略模板wlansvc.admx / adml提供。

2.10 允许用户通过使用远程桌面服务进行远程连接

内容描述：

使用此策略设置，可以通过使用远程桌面服务配置对计算机的远程访问。如果启用此策略设置，则目标计算机上的“远程桌面用户”组成员用户可以使用远程桌面服务远程连接到该目标计算机。如果禁用此策略设置，则用户无法使用远程桌面服务远程连接到目标计算机。目标计算机将保持当前的所有连接，但不会接受任何新传入的连接。如果未配置此策略设置，则远程桌面服务使用目标计算机上的“远程桌面”设置来确定是否允许远程连接。此设置位于“系统属性”表的“远程”选项卡上。默认情况下，不允许进行远程连接。

加固建议：

Windows10/8/7：请将以下UI路径设置为“已禁用”：计算机配置\管理模板\Windows组件\远程桌面服务\远程桌面会话主机\连接\允许用户使用远程桌面服务进行远程连接。 Windows XP：计算机配置\管理模板\Windows组件\终端服务\允许用户使用远程终端服务远程连接。

注意：

1、此组策略路径由所有版本的Microsoft Windows管理模板附带的组策略模板TerminalServer.admx / adml提供。 2、在较旧的Microsoft Windows管理模板中，此设置最初名为Windows 7＆Server 2008 R2管理模板中的“允许用户使用终端服务远程连接”，但在“ Windows 7＆Server 2008 R2管理模板”中已重命名为“允许用户使用远程桌面服务远程连接”。最终，它再次被重命名为“允许用户使用从Windows 8.0＆Server 2012（非R2）管理模板开始的远程桌面服务”进行远程连接。

2.11 管理员帐户状态

内容描述：

此安全设置确定是启用还是禁用本地管理员帐户。

加固建议：

Windows10/8/7/XP：请将以下UI路径设置为：已禁用：我的电脑\右键\管理\计算机管理（本地）\本地用户和组\用户\Administrator属性\账户已禁用。

注意：

如果在管理员帐户被禁用之后试图重新启用它，且如果当前管理员密码不符合密码要求，则无法重新启用该帐户。在这种情况下，Administrators 组的某个备用成员必须重置管理员帐户上的密码。有关如何重置密码的信息，请参阅“重置密码”。在某些环境下，禁用管理员帐户会成为一个维护问题。在安全模式启动下，禁用的管理员帐户仅在该计算机未加入域并且没有任何其他本地活动管理员帐户时才可以启用。如果计算机加入了域，将不能启用禁用的管理员。

2.12 允许ICMP重定向覆盖OSPF生成的路由

内容描述：

Internet控制消息协议（ICMP）重定向导致堆栈检测主机路由。这些路由会覆盖“开放式最短路径优先”（OSPF）生成的路由。对于企业环境，建议将此设置配置为“未定义”，对于高安全性环境，建议配置为“禁用”。

加固建议：

Windows10/8/7/XP：请将以下UI路径设置为“已禁用”：计算机配置\管理模板\MSS（传统）\MSS：（EnableICMPRedirect）允许ICMP重定向覆盖OSPF生成的路由。

注意：

默认情况下，此组策略路径不存在。需要附加的组策略模板（MSS-legacy.admx / adml）-可从此TechNet博客文章中获得：MSS设置-Microsoft安全指南博客。

2.13 检查是否关闭了默认共享

内容描述：

检查是否关闭了系统默认共享，未关闭将检查不通过。

加固建议：

Windows10/8/7/XP：请将以下UI路径设置为：“禁用”。我的电脑\右键\管理\计算机管理(本地)\ 服务和应用程序\服务\server；（或通过以下方式：同时按下win+r键，在运行窗口中输入services.msc，即可打开服务。）

2.14 设置活动但空闲的远程桌面服务会话的时间限制

内容描述：

使用此策略设置可以指定活动的远程桌面服务会话在自动断开连接之前可以保持空闲状态(无用户输入)的最长时间。

加固建议：

Windows10/8/7：请将以下UI路径设置为“启用”：计算机配置\管理模板\Windows组件\远程桌面服务\远程桌面会话主机\会话时间限制\设置活动但空闲的远程桌面服务会话的时间限制。

注意：

“计算机配置”和“用户配置”中都有此策略设置。如果同时配置了这两个策略设置，则将优先考虑“计算机配置”策略设置。

2.15 TCP/IP筛选

内容描述：

允许您连接到您的Windows计算机的TCP/IP网络流量类型。

加固建议：

网上邻居\属性\本地连接右键属性\ Internet协议（TCP/IP)\属性\高级\选项\TCP/IP筛选\属性\启动TCP/IP筛选的功能

3. 资源控制

3.1 Remote Access Auto Connection Manager (RasAuto)

内容描述：

每当程序引用远程DNS或NetBIOS名称或地址时，都会创建到远程网络的连接。

加固建议：

Windows10/8/7/XP：请将以下UI路径设置为：“禁用”。我的电脑\右键\管理\计算机管理(本地)\ 服务和应用程序\服务\Remote Access Auto Connection Manager；（或通过以下方式：同时按下win+r键，在运行窗口中输入services.msc，即可打开服务。）

3.2 Remote Desktop Services (TermService)

内容描述：

允许用户以交互方式连接到远程计算机。远程桌面和远程桌面会话主机服务器取决于此服务。

加固建议：

Windows10/8/7：请将以下UI路径设置为：禁用。我的电脑\右键\管理\计算机管理(本地)\ 服务和应用程序\服务\Remote Desktop Services。（或通过以下方式：同时按下win+r键，在运行窗口中输入services.msc，即可打开服务。）

3.3 Remote Procedure Call (RPC) Locator (RpcLocator)

内容描述：

在Windows 2003和Windows的早期版本中，远程过程调用（RPC）定位器服务管理RPC名称服务数据库。在Windows Vista和Windows的更高版本中，此服务不提供任何功能，并且提供此功能是为了与应用程序兼容。

加固建议：

Windows10/8/7/XP：请将以下UI路径设置为：禁用。我的电脑\右键\管理\计算机管理(本地)\ 服务和应用程序\服务\Remote Procedure Call (RPC) Locator (RpcLocator)。（或通过以下方式：同时按下win+r键，在运行窗口中输入services.msc，即可打开服务。）

3.4 Remote Registry (RemoteRegistry)

内容描述：

加固建议：

Windows10/8/7/XP：请将以下UI路径设置为：禁用。我的电脑\右键\管理\计算机管理(本地)\ 服务和应用程序\服务\Remote Registry（或通过以下方式：同时按下win+r键，在运行窗口中输入services.msc，即可打开服务。）

3.5 Remote Desktop Configuration (SessionEnv)

内容描述：

远程桌面配置服务（RDCS）负责所有需要SYSTEM上下文的与远程桌面相关的配置和会话维护活动。其中包括每个会话的临时文件夹，RD主题和RD证书。

加固建议：

Windows10/8/7：请将以下UI路径设置为：禁用。我的电脑\右键\管理\计算机管理(本地)\ 服务和应用程序\服务\Remote Desktop Configuration。（或通过以下方式：同时按下win+r键，在运行窗口中输入services.msc，即可打开服务。）

3.6 Remote Desktop Services UserMode Port Redirector (UmRdpService)

内容描述：

允许重定向打印机/驱动器/端口以进行RDP连接。

加固建议：

helpDocument.baseline.checkItems.1037.suggest

注意：

Windows10/8/7：请将以下UI路径设置为：禁用。我的电脑\右键\管理\计算机管理(本地)\ 服务和应用程序\服务\Remote Desktop Services UserMode Port Redirector。（或通过以下方式：同时按下win+r键，在运行窗口中输入services.msc，即可打开服务。）

3.7 Telnet服务器

内容描述：

提供网络访问的服务是一个攻击用的很好的渠道，在没有必要的情况下建议关闭。

加固建议：

Windows8/7/XP：请将以下UI路径设置为：我的电脑鼠标右键“管理”\打开计算机管理\服务和应用程序\Telnet。

注意：

如何验证telnet服务是否真的关闭了？使用快捷键win键+r，输入cmd，点击【确定】。输入telnet +IP地址（例如：telnet 192.168.1.1），回车，提示telnet不是内部或外部命令，也不是可运行的程序或批处理文件。说明已经禁止telnet。

3.8 IE受信任站点检查

内容描述：

检查对应站点是否加入IE受信任站点。

加固建议：

Windows10/8/7/XP：通过以下UI路径设置为：已启用。计算机配置\管理模板\Windows组件\Internet Explorer\Internet 控制面板\安全页\站点到区域分配列表。

3.9 Routing And Remote Access (RemoteAccess)

内容描述：

为局域网和广域网环境中的企业提供路由服务。

加固建议：

Windows10/8/7/XP：请将以下UI路径设置为：禁用。我的电脑\右键\管理\计算机管理(本地)\ 服务和应用程序\服务\Routing and Remote Access（或通过以下方式：同时按下win+r键，在运行窗口中输入services.msc，即可打开服务。）

3.10 Windows Event Log

内容描述：

此服务管理事件和事件日志。它支持日志记录事件、查询事件、订阅事件、归档事件日志以及管理事件元数据。它可以用 XML 和纯文本两种格式显示事件。停止该服务可能危及系统的安全性和可靠性。

加固建议：

Windows10/8/7：控制面板\系统和安全\管理工具\服务\Windows Event Log

3.11 专用配置文件的:防火墙状态

内容描述：

指定将计算机连接到专用网络位置时的行为。

加固建议：

Windows10/8/7：计算机配置\ Windows设置\安全设置\高级安全Windows Defender防火墙\高级安全Windows Defender防火墙-本地组策略对象\Windows Defender防火墙属性\专用配置文件\防火墙状态

3.12 公用配置文件的:防火墙状态

内容描述：

指定将计算机连接到专用网络位置时的行为。

加固建议：

Windows10/8/7：计算机配置\ Windows设置\安全设置\高级安全Windows Defender防火墙\高级安全Windows Defender防火墙-本地组策略对象\Windows Defender防火墙属性\公用配置文件\防火墙状态

3.13 公用配置文件的:应用本地防火墙规则

内容描述：

指定将计算机连接到专用网络位置时的行为。

加固建议：

Windows10/8/7：计算机配置\ Windows设置\安全设置\高级安全Windows Defender防火墙\高级安全Windows Defender防火墙-本地组策略对象\Windows Defender防火墙属性\公用配置文件\指定Windows Defender防火墙行为的设置-自定义\应用本地防火墙规则设置为否

3.14 Windows防火墙检查（仅针对Xp系统）

内容描述：

检查防火墙启用状态。

加固建议：

请按以下路径配置：防火墙状态。若您购买的奇安信终端安全管理系统已授权模块包含“主机防火墙”，您可在主机防火墙模块完成防火墙的状态调整。奇安信终端安全管理系统授权模块不包含 “主机防火墙”，您可按照以下路径下配置：控制面板\系统和安全\Windows Defender 防火墙\自定义设置。

4. 安全审计

4.1 审核登录

内容描述：

此策略设置允许你审核由计算机上的用户帐户登录尝试所生成的事件。

加固建议：

Windows10/8/7：请将以下UI路径设置为：成功和失败。计算机配置\Windows设置\安全设置\高级审核策略配置\系统审核策略\登录/注销\审核登录。

4.2 审核其他登录/注销事件

内容描述：

此策略设置允许你审核“登录/注销”策略设置未涵盖的其他登录/注销相关事件，例如:

终端服务会话断开连接。
新建终端服务会话。
锁定和解锁工作站。
调用屏幕保护程序。
解除屏幕保护程序。

加固建议：

Windows10/8/7：请将以下UI路径设置为成功和失败：计算机配置\Windows设置\安全设置\高级审核策略配置\系统审核策略\登录/注销\审核其他登录/注销事件。

4.3 审核审核策略更改

内容描述：

此策略设置允许你审核对安全审核策略设置的更改，例如:

设置审核策略对象上的权限和审核设置。
更改系统审核策略。
注册安全事件源。
注销安全事件源。
更改每用户审核设置。
更改 CrashOnAuditFail 的值。
更改文件系统或注册表对象上的系统访问控制列表。
更改特殊组列表。

加固建议：

Windows10/8/7：请设置以下UI路径以包含成功：计算机配置\Windows设置\安全设置\高级审核策略配置\系统审核策略\策略更改\审核审核策略更改。

注意：

当某个对象的系统访问控制列表(SACL)发生更改并且启用策略更改类别时执行 SACL 更改审核。在启用对象访问审核并且将对象的 SACL 配置为审核 DACL/所有者更改时审核自定义访问控制列表(SACL)和所有权更改。

4.4 管理审核和安全日志

内容描述：

此安全设置确定哪些用户可以为各种资源(如文件、Active Directory 对象和注册表项)指定对象访问审核选项。

加固建议：

Windows10/8/7/XP：计算机配置\ Windows设置\安全设置\本地策略\用户权限分配\管理审核和安全日志

4.5 审核帐户锁定

内容描述：

此策略设置允许你审核由尝试登录到已锁定帐户失败而生成的事件。

加固建议：

Windows10/8/7：计算机配置\ Windows设置\安全设置\高级审核策略配置\系统审核策略\登录/注销\审核账户锁定

\5. 入侵防范

5.1 关闭自动播放

内容描述：

此策略可防止可移动存储设备连接到计算机后，恶意软件会自动运行起来。

加固建议：

Windows10/8/7/ vista：请将以下UI路径设置为：已启用所有驱动器：计算机配置\管理模板\Windows组件\自动播放策略\关闭自动播放。

注意：

“计算机配置”和“用户配置”文件夹中都存在此策略设置。如果两个策略设置发生冲突，则“计算机配置”中的策略设置优先于“用户配置”中的策略设置。此组策略路径由Microsoft Windows管理模板的所有版本附带的组策略模板AutoPlay.admx / adml提供。

系统状态安全检查

1 补丁检查

内容描述：

是否安装关键和重要系统补丁。

加固建议：

若您购买的奇安信终端安全管理系统已授权模块包含“补丁管理”，您可在补丁管理模块完成补丁修复，若您购买的奇安信终端安全管理系统授权模块不包含“补丁管理”，您可以联系销售来咨询购买事项。

注意：

无“补丁管理”模块，该项检查无结果，系统显示检查异常，但本项不扣除对应分数。

2 防病毒检查

内容描述：

检查终端上是否安装了防病毒软件。本地防病毒软件的版本及病毒库是否及时更新。

加固建议：

若您购买的奇安信终端安全管理系统已授权模块包含“软件管家”，您可在软件管家模块完成防病毒软件安装及本地防病毒软件版本更新。若您购买的奇安信终端安全管理系统授权模块不包含 “软件管家”，您可以在对应杀软官网手动下载或联系销售来咨询模块授权购买事项。

3 杀毒软件保护检查

内容描述：

检查计算机是否存在杀毒软件保护，存在杀毒软件则检查通过

加固建议：

请在计算机上安装防病毒软件

4 工作组命名检查

内容描述：

检查工作组命名规范。

加固建议：

请按以下路径配置：控制面板\系统和安全\系统\计算机名、域和工作组设置\计算机名\更改\工作组 (查看方式为类别)

注意：

请根据管理员设置规范设置工作组名称。

5 域检查

内容描述：

检测当前系统是否加入域。

加固建议：

请按以下路径配置：将计算机加入域。控制面板\系统和安全\系统\计算机名、域和工作组设置\计算机名\网络ID (查看方式为类别)

注意：

该项与计算机工作组命名二选一

6 计算机命名检查

内容描述：

检查计算机命名规范。

加固建议：

请按以下路径配置：控制面板\系统和安全\系统\计算机名、域和工作组设置\计算机名 (查看方式为类别)

注意：

请根据管理员设置规范设置工作组名称。

7 空口令检查

内容描述：

检查操作系统账户密码是否为空口令。

加固建议：

请尽快设置系统账户密码。

8 系统中重要目录对Everyone或Guests来宾账户开放检查

内容描述：

检查操作系统中重要目录（C:\windows\system和C:\windows\system32\config）是否对Everyone或Guests来宾账户开放。

加固建议：

请取消对Everyone或Guests来宾账户开放操作系统中重要目录（右键\属性\安全，查看文件目录对应的组或用户名是否包含Everyone或Guests来宾账户）

9 系统备份还原点检查

内容描述：

检查在计算机中是否发现系统备份还原点。

加固建议：

请在系统设置\系统保护\配置中设置系统还原点。

10 系统隐藏用户检查

内容描述：

检查系统是否存在隐藏的用户。

加固建议：

我的电脑\右键\管理\计算机管理(本地)\系统工具\本地用户和组\用户\右键删除（名称结尾带$符号的是隐藏用户）

注意：

所谓隐藏账户即为控制面板与开机选择中看不见的账户。它可以用输账号密码的方式进入。

11 操作系统是否开启Hardware DEP Available保护检查

内容描述：

检查操作系统是否开启Hardware DEP Available保护

加固建议：

控制面板\系统和安全\系统\高级系统设置\高级\性能-设置\数据执行保护

系统运行安全检查

1 进程检查

内容描述：

检测进程项是否运行/禁止，运行/禁止其中任意进程即视为符合规范。

加固建议：

请按以下路径配置：进程启停状态。Ctrl+Alt+Delete\启动。

2 端口检查

内容描述：

端口状态检查。

加固建议：

请检查监听的端口是否符合管理员设置的端口开放要求（可以通过运行CMD并输入命令查看系统正在监听的端口：netstat -ano |findstr “xxx”）。