Windows Server的基线安全（等保要求）

检查项类别

名称

方式

检查项预期

是否达标

加固建议

文档

IP协议

防火墙TCP/IP筛选配置

手动

业务所需的TCP，UDP端口和IP协议是否开放

0

开放业务所需的TCP，UDP端口和IP协议

是否启用Windows系统自带的防火墙

自动

启用windows自带的防火墙

0

更改允许接入网络的地址范围

是否启用SYN攻击保护

自动

在注册表中存在SynAttackProtect，TcpMaxPortsExhausted，TcpMaxHalfOpen， TcpMaxHalfOpenRetried，四个注册表项，且四个注册表项均为推荐值

0

四种注册表项值均设置为推荐值

其他

是否开启屏幕保护

自动

启用屏幕保护程序，启用“在恢复时使用密码保护”

0

启用屏幕保护程序，启用“在恢复时使用密码保护”，并设置等待时间“具体时间依照客户需求”

口令

查看注册表信息

自动

查看以下五种注册表项的值；自动登录；源路由欺骗保护；删除匿名用户空链接； 碎片攻击保护；syn flood攻击保护。五种注册表项值均为推荐值。

0

将五种注册表项值设置为推荐值

是否关闭Windows自动播放功能

自动

注册表项值NoDriverTypeAutoRun REG_DWORD 0xff

0

组策略所有设置中启用“关闭自动播放”

匿名远程连接

自动

可匿名访问的共享 为空 可匿名访问的命名管道 为空

0

在组策略中，将“可匿名访问的共享”和“可匿名访问的命名管道”的值设置为空

【部署文档】Windows Server安全基线加固-组策略禁用匿名远程连接，禁用远程访问的注册表和子路径

是否禁用远程访问的注册表和子路径

自动

可远程访问的注册表路径和子路径 为空 可远程访问的注册表路径 为空

0

在组策略中，修改“可远程访问的注册表路径和子路径”和“可远程访问的注册表路径”的配置为空

查看密码要求

自动

MinimumPasswordLength >= 8 PasswordComplexity = 1

0

在组策略中，启用“密码必须符合复杂性要求”并将密码长度最小值“设置为至少8个字符

【部署文档】Windows Server安全基线加固-通过组策略设置密码安全策略

查看密码最长保留期

自动

0

在组策略中，将”密码最长使用期限“设置为”不长于90天“

查看强制密码历史

自动

PasswordHistorySize >= 5

0

在组策略中，将”强制密码历史“设置记住5个密码

查看账户锁定阈值

自动

LockoutBadCount <= 6且LockoutBadCount > 0

0

在组策略中，将”账户锁定阈值“设置为10次

启动项

是否关闭无效启动项

手动

手动，显示Windows启动程序信息（msconfig）

0

取消不必要的启动项

授权

在本地安全设置中只允许授权账号本地、远程访问登陆此计算机

自动

SeNetworkLogonRight = *S-1-5-32-544

0

在组策略中，进入"用户权利（权限）指派",将“从网络访问此计算机”只设置为“administrators组”

【部署文档】Windows Server安全基线加固-通过组策略为用户权限指派进行授权

关键权限指派安全 要求允许本地登录

自动

0

在组策略中，进入"用户权利（权限）指派",将“允许本地登录”设置为只有“Administrators”

远端系统强制关机是否只指派给Administrator组

自动

0

在组策略中，进入"用户权利（权限）指派",将“从远端系统强制关机”设置为“只指派给Administrators组”

取得文件或其他对象的所有权是否仅指派给Administrators

自动

0

在组策略中，进入"用户权利（权限）指派"，将“取得文件或其他对象的所有权”设置为“只指派给Administrators组”

文件系统

是否关闭系统默认的共享文件夹

自动

使用net share命令时，没有描述为“默认共享”的文件夹

0

1. 进入“控制面板”->"管理工具"->"计算机管理"->"系统工具"->"共享文件夹“->"共享" 2. 将”默认共享“的共享名删除掉 3. 修改注册表值，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下 增加REG_DWORD类型的AutoShareServer键，值为0；REG_DWORD类型的AutoShareWKS键，值为0.

查看共享文件夹的访问权限

自动

不存在Everyone

0

输入“compmgmt.msc”，进入“系统工具” ->"共享文件夹"->“共享”，查看每个共享文件夹的共享权限，直降权限授予指定账户

查看文件系统格式

自动

0

将FAT卷转换为NTFS分区：convert volume:/fs:ntfs 使用方法：convert C:/fs:ntfs

日志

审核账户登录事件

自动

0

将“审核账户登录事件”设置为“成功”和“失败”都需要审核

【部署文档】Windows Server安全基线加固-通过组策略设置审核策略

启用审核账户管理

自动

0

将“审核账户管理”设置为“成功和失败”都需要审核

启用审核过程追踪

自动

0

将“审核过程追踪”设置为“成功和失败”都需要审核

启用审核目录服务访问

自动

0

将“审核目录服务器访问”设置为“成功”和“失败”都要审核

启用审核策略更改

自动

0

将“审核策略更改‘设置为”成功“和”失败“都需要审核

启用审核对象访问

自动

0

将”审核对象访问“设置为”成功“和”失败“都需要审核