Windows-7操作系统安全配置基线和操作说明

admin管理员组

文章数量:1531267

2023年12月21日发(作者：)

Windows 7 操作系统安全配置

基线与配置说明

2017年3月

1、账户管理

1.1 Administrator 账户管理

安全判定依据

1）进入“控制面板->管理工具->计算机管理”，在弹出框中选择“系统工具->本

地用户和组->用户”，

2）如果存在 Administrator 账号，并且隶属于Administrators 组，

表明不符合安全要求。

安全配置参考

重命名账户：鼠标右键->重命名，键入新的账户名称

配置截图参考：

右键点击administrator用户重命名为其它名称（注意，不要改为admin）

1.2 Guest 账户管理

进入“控制面板->管理工具->计算机管理”，在弹出框中选择“系统工具->本地

安全判定依据

用户和组->用户”，在右侧选择 Guest，双击鼠标左键查看，如果勾选了“账户已

禁用”选项，表明符合安全要求。

双击guest账户，确保账户已禁用选项是被选中的则为符合要求。

1.3 无关账户管理

1）进入“控制面板->管理工具->计算机管理”，在弹出框中选择“系统工具->本

安全判定依据

地用户和组->用户”，

2）如果不存在无关账户，或无关账户处于禁用状态，

表明符合安全要求。

参考操作 删除无关账户：鼠标史键->删除；

如果用户里面存在guest和administrator（已改名账户）以外的其它账户则不符合安全要求

须对其它用户进行右键——删除操作

2、密码管理

2.1 密码复杂度

密码复杂度要求：8位以上至少包含以下四种类别的字符中的三种：

英文大写字母（A 到 Z）

安全基线要求

英文小写字母( a 到 z )

阿拉伯数字( 0 到 9 )

非字母字符（例如!、$、#、%）

进入“控制面板->管理工具->本地安全策略”，在“账户策略->密码策略”中，

安全判定依据

选择“密码必须符合复杂性要求”，查看其“安全设置“，如果显示”已启用“，

表明符合安全要求。

2.2 密码长度最小值

安全基线要求 对亍采用静态口令认证技术的设备，密码最小长度不少于 8 位

进入“控制面板->管理工具->本地安全策略”，在“账户策略->密码策略”中，

安全判定依据

选择“密码长度最小值”，查看其“安全设置“，如果显示”8 个字符“，表明

符合安全要求。

2.3 密码最长使用期限

安全基线要求 对于采用静态口令认证技术的设备，口令生存期不长于 90 天

进入“控制面板->管理工具->本地安全策略”，在“账户策略->密码策略”中，

安全判定依据

选择“密码最长使用期限，查看其“安全设置”，如果显示“90 天“，表明符合

安全要求。

2.4 强制密码历史

安全基线要求

对于采用静态口令认证技术的设备，应配置设备使用户不能重复使用最近 5 次（含

5 次）内已使用的口令

进入“控制面板->管理工具->本地安全策略”，在“账户策略->密码策略->强制

密码历史”，鼠标右键->属性-> 5 ->确定。

进入“控制面板->管理工具->本地安全策略”，在“账户策略->密码策略”中，

安全判定依据

选择“强制密码历史，查看其“安全设置“，如果显示“5 个记住的密码“，表

检测操作参考

2.5 账户锁定阈值（可选）

安全基线要求

对亍采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过 5 次（不

含 5次），锁定该用户使用的账户，锁定时间30分钟

进入“控制面板->管理工具->本地安全策略”，在“账户策略->账户锁定策略->

账户锁定阈值”，鼠标史键->属性-> 5 ->确定。

进入“控制面板->管理工具->本地安全策略”，在“账户策略->账户锁定策略”

安全判定依据

中，选择“账户锁定阈值”，查看其“安全设置“，如果显示“5 次无效登录“，

检测操作参考

3、认证授权

3.1 远程强制关机授权

安全基线要求

检测操作参考

非域环境的计算机，“从远程系统强制关机“的权限只指派给 Administrators 组

进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权限分配->

从远程系统强制关机”，鼠标右键->属性->设置为只指派给 Administrators 组。

进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权限分配”

安全判定依据

中，鼠标左键双击“从远程系统强制关机”，如果弹出的对话框中仅显

示”Administrators”组，表明符合安全要求。

3.2 文件所有权授权

安全基线要求

检测操作参考

“取得文件或其他对象的所有权“只指派给 Administrators 组

进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权限分配->取 得 文 件 或 其 他 对 象 的 所 有 权 ” ， 鼠 标 史 键 -> 属 性 -> 设

置 为 只 指 派 给

进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权限分配”

安全判定依据

中，鼠标左键双击“取得文件或其他对象的所有权”，如果弹出的对话框中仅显

示”Administrators”组，表明符合安全要求。

4、日志审计

4.1 审核策略更改

安全基线要求

检测操作参考

启用对 Windows 系统的审核策略更改，成功不失败都要审核

进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略->审核

策略更改”，鼠标右键->属性->勾选“成功”与“失败”两项。

进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略“中，

安全判定依据

选择”审核策略更改”，查看其“安全设置“，默认为无审核，如果显示为“成

功，失败”，表明符合安全要求。

4.2 审核登录事件

安全基线要求

应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账户，登

录是否成功，登录时间，以及远程登录时使用的 IP 地址

进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略->审核

登录事件”，鼠标史键->属性->勾选“成功”和“失败”两项。

进入“控制面板->管理工具->本地安全策略“，在“本地策略->审核策略“中，

选择”审核登录事件”，查看其“安全设置“，默认为无审核，如果显示为“成

检测操作参考

安全判定依据

4.3 审核对象访问

安全基线要求

检测操作参考

启用对 Windows 系统的审核对象访问，成功不失败都要审核

进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略->审核

对象访问”，鼠标右键->属性->勾选“成功”和“失败”两项。

进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略“中，

安全判定依据

选择”审核对象访问”，查看其“安全设置“，默认为无审核，如果显示为“成

功，失败”，表明符合安全要求。

4.4 审核进程跟踪

安全基线要求

检测操作参考

启用对 Windows 系统的审核特权使用，成功不失败都要审核

进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略->审核

特权使用”，鼠标右键->属性->勾选“成功”与“失败”两项。

进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略“中，

安全判定依据

选择”审核特权使用”，查看其“安全设置“，默认为无审核，如果显示为“成

功，失败”，表明符合安全要求。

对审核策略中的所有项均进行以上配置操作

4.5日志文件大小

安全基线要求 设置日志容量和覆盖规则，保证日志存储

进入“控制面板 ->管理工具 ->事件查看器”，选择“事件查看器（本地）

->Windows 日志”，

1）在“应用程序”中，鼠标史键单击选择“属性”，将“日志最大大小”设置为

“40960KB”，“达到事件日志最大大小时“选择“按需要覆盖事件（旧事件优

检测操作参考

先）”。

2）在“安全”中，鼠标右键单击选择“属性”，将“日志最大大小”设置为

“40960KB”，“达到事件日志最大大小时“选择“按需要覆盖事件（旧事件优

先）”。

3）在“系统”中，鼠标右键单击选择“属性”，将“日志最大大小”设置为

“40960KB”，“达到事件日志最大大小时“选择“按需要覆盖事件（旧事件优

先）”。

安全判定依据 进入“控制面板->管理工具->事件查看器，选择“事件查看器（本地）-> Windows日志”，鼠标史键点击“应用程序“、“安全”、“系统”，选择“属性“，查

看这三项的“日志最大大小”和“达到事件日志最大大小时“的选项，如果显示

为” 40960”和“按需要覆盖事件（旧事件优先）“，表明符合安全要求。

对windows日志中的‘应用程序’‘安全’‘系统’三项均进行上图配置

5、系统服务

5.1 启用 Windows 防火墙

安全基线要求

检测操作参考

启用 Windows 防火墙

进入“控制面板->Windows 防火墙->打开或关闭 Windows 防火墙”，查看“家

庭或工作（专用）网络位置设置“与”公用网络位置设置“中防火墙的配置情况。

进入“控制面板->Windows 防火墙->打开或关闭 Windows 防火墙”，查看“家

安全判定依据

庭或工作（专用）网络位置设置“与”公用网络位置设置“，如果均选择”启用

Windows 防火墙“，并勾选“Windows 防火墙阻止新程序时通知我”，表明符

合安全要求。

5.2 关闭自劢播放功能

安全基线要求

检测操作参考

关闭 Windows 自劢播放，防止从移劢设备不光盘感染恶意代码

开始->运行-> ，打开本地组策略编辑器，在“计算机配置->管理模

板->Windows 组件 ->自劢播放策略”中，选择“关闭自劢播放”，查看其状态。

开始->运行-> ，打开本地组策略编辑器，在“计算机配置->管理模

安全判定依据

板->Windows 组件 ->自动播放策略”中，选择“关闭自劢播放”，查看其状态，

默认为“未配置“，如果为”已启用“，表明符合安全要求。

6、补丁不防护软件

6.1 系统安全补丁管理

安全基线要求

所有联网终端计算机统一部署桌面安全管理软件，由该软件统一进行系统安全补

丁更新

按照集团公司信息管理部要求，集中部署桌面安全管理系统，监督未部署的终端

检测操作参考

计算机并进行整改，保证所有联网终端计算机全部安装统一的桌面安全管理系统

软件。

安全判定依据 开始->运行-> ，输入 systeminfo，查看系统补丁的安装情况。

6.2 防病毒管理

安全基线要求 所有联网终端计算机统一部署中国石油统一部署的防病毒软件

按照集团公司信息管理部要求，集中部署桌面安全管理系统，监督未部署的终端

检测操作参考

计算机并进行整改，保证所有联网终端计算机全部安装统一的桌面安全管理系统

软件。

瑞星防病毒系统、桌面统一管理系统

安全判定依据

7、共享文件夹及访问权限

7.1 关闭默认共享

安全基线要求 在非域环境下，关闭 Windows 硬盘默认共享，例如 C$,D$

开始->运行-> ，进入注册表编辑器，更改注册表键值：

检测操作参考

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanSer

verParameters下，增加 REG_DWORD 类型的 AutoShareServer 键，值为 0。

开始->运行-> ，进入注册表编辑器，查看注册表键值：

安全判定依据

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanSer

verParameters下，如果有 AutoShareServer 项，并且值为 0，表明符合安全

要求。

7.2 设置共享文件夹访问权限

安全基线要求

检测操作参考

设置共享文件夹访问权限，只允许授权的账户拥有权限共享此文件夹

进入“控制面板->管理工具->计算机管理”，在“系统工具->共享文件夹”下，

查看每个共享文件夹的共享权限，只将权限授权于指定账户。

进入“控制面板->管理工具->计算机管理”，在“系统工具->共享文件夹”下，

查看每个共享文件夹的共享权限。

安全判定依据

8、远程维护

8.1 远程协助安全管理

安全基线要求

检测操作参考

如无特别需要，关闭远程协助

鼠标右键点击“我的电脑”，选择“属性”，选中“远程设置”，查看“远程协

助”的状态。

鼠标右键点击“我的电脑”，选择“属性”，选中“远程设置”，在”远程协助“的

安全判定依据

下方查看，如果勾选了“允许远程协助连接这台计算机”，表明开启了远程协助，

不符合安全要求。

8.2 远程桌面安全管理

安全基线要求

检测操作参考

终端计算机如无特别需要，关闭远程桌面

鼠标右键点击“我的电脑”，选择“属性”，选中“远程设置”，查看“远程桌

面”的状态。

鼠标右键点击“我的电脑”，选择“属性”，选择“远程设置”，在“远程桌面”

安全判定依据

的下方查看，如果勾选了“不允许连接到这台计算机”，表明关闭了远程桌面，

符合安全要求。

9、其他

9.1 数据执行保护

安全基线要求 配置系统核心的数据执行保护，提高系统抵抗非法修改文件的能力

进入“控制面板->系统”，在“高级系统设置”选项卡的“性能”下点击设置，

检测操作参考

选择“数据执行保护”选项卡，选择“仅为基本 Windows 程序和服务启用

DEP”。

进入“控制面板->系统”，在“高级系统设置”选项卡的“性能”下点击设置，

选择“数据执行保护”选项卡，如果设置为“仅为基本 Windows 程序和服务启用 DEP”，表明符合安全要求。

安全判定依据

10、关闭135等端口

• 1）打开电-脑-控-制-面板

• 2）打开系统和安全选项

• 3）打开Windows防火墙

• 4）点击左侧高级设置

• 5）点击入站规则

• 6）点击右侧新建规则

• 7）选择端口（O），点击下一步

• 8）选择特定本地端口，输入135,137,138,139,445，中间用逗号隔开，逗号为英文输入的逗号

• 9）选择阻止连接，点击下一步

• 10）点击下一步

• 11）名称一栏输入关闭端口，点击完成

• 12）双击关闭端口，查看端口设置

• 13）可以看到阻止连接

• 14）点击协议和端口，可以看到阻止连接的本地端口是之前设置的135,137,138,139,445，说明网络端口135,137,138,139,445已经阻止连接

本文标签： 选择账户策略设置要求