Windows 主机加固方案 一、加固主机列表

本次安全加固服务的对象包括： 编号 IP 地址 操作系统 用途或服务 Windows 2000 Advanced Server IIS 服务器 二、加固方案

操作系统加固方案

补丁安装

编号： 名称： 系统当前状态： 实施方案： 实施目的： 实施风险： 是否实施： Windows-02001 补丁安装 使用 Windows update 安装最新补丁 可以使系统版本为最新版本 安装补丁可能导致主机启动失败，或其他未知情况发生。 是 否 （客户填写）

帐号、口令策略修改

编号： 名称： 系统当前状态： Windows-03002,Windows-03003,Windows-03004 帐号口令策略修改 密码长度最小值 密码最长存留期 密码最短存留期 帐号锁定计数器 帐户锁定时间 0 字符 42 天 0 天 无 0 无 7 字符 90 天 30 天 5 次 实施方案： 帐户锁定阀值 密码长度最小值 密码最长存留期 密码最短存留期 帐号锁定计数器 实施目的： 实施风险： 帐户锁定时间 5 分钟 保障帐号以及口令的安全 帐户锁定阀值 1 分钟 设置帐号策略后可能导致不符合帐号策略的帐号无法登录， 需修改不符合帐号策略的密码（注：管理员不受帐号策略限 制，但管理员密码应复杂以避免被暴力猜测导致安全风险）。 是否实施： 编号： 名称： 系统当前状态： 实施方案： 实施目的： 是 否 （客户填写） Windows-03002,Windows-03003,Windows-03004 更改默认管理员用户名 默认管理员帐号为 administrator 更改默认管理员用户名 默认管理员帐号可能被攻击者用来进行密码暴力猜测，可能 由于太多的错误密码尝试导致该帐户被锁定。建议修改默认

实施风险： 是否实施： 管理员用户名。 无，但此步骤不总是必要。 是 否 （客户填写） 网络与服务加固

编号： 名称： 系统当前状态： Windows-04005 将暂时不需要开放的服务停止 已启动且需要停止的服务包括： Alerter 服务 Computer Browser 服务 IPSEC Policy Agent 服务 Messenger 服务 Microsoft Search 服务 Print Spooler 服务 RunAs Service 服务 Remote Registry Service 服务 Security Accounts Manager 服务 Task Scheduler 服务 TCP/IP NetBIOS Helper Service 服务 实施方案： 开始 | 运行 | | 将上述服务的启动类型设置为 手动并停止上述服务 实施目的： 实施风险： 避免未知漏洞给主机带来的风险 可能由于管理员对主机所开放服务不了解，导致该服务被卸 载。由于某服务被禁止使得依赖于此服务的其他服务不能正 常启动。 是否实施： 是 否 （客户填写）

文件系统加固

编号： 名称： 系统当前状态： 实施方案： Windows-05002 限制特定执行文件的权限 未对敏感执行文件设置合适的权限 通过实施我公司的安全策略文件对特定文件权限进行限制，禁 止 Guests 用户组访问这些文件。 实施目的： 禁止 Guests 用户组访问以下文件： 实施风险： 在极少数情况下，某些网页可能调用 来完成某种功能， 限制 的执行权限可能导致调用 cmd 失败。 是 否 （客户填写） 是否实施： 日志审核增强

编号： 名称： 系统当前状态： Windows-06001 设置主机审核策略 审核策略更改 审核登录事件 审核对象访问 审核过程追踪 审核目录服务访问

无审核 成功、失败 无审核 无审核 无审核