一.账号口令
| 编号 |
配置 |
| 1 |
正确配置密码长度最小值 |
| 2 |
启用密码复杂性要求 |
| 3 |
更改管理员帐户名称 |
| 4 |
删除或禁用高危帐户 |
| 5 |
正确配置帐户锁定时间 |
| 6 |
正确配置“强制密码历史” |
| 7 |
正确配置密码最长使用期限 |
| 8 |
正确配置密码最短使用期限 |
| 9 |
按照权限、责任创建、使用用户账号 |
| 10 |
按组进行用户管理 |
| 11 |
正确配置帐户锁定阈值 |
| 12 |
正确配置“复位帐户锁定计数器”时间 |
| 13 |
域环境:启用“域环境下禁止计算机帐户更改密码”策略 |
二.认证授权
| 编号 |
配置 |
| 1 |
限制可从远端关闭系统的帐户和组 |
| 2 |
限制可关闭系统的帐户和组 |
| 3 |
正确配置“允许本地登录”策略 |
| 4 |
正确配置“从网络访问此计算机”策略 |
| 5 |
删除可匿名访问的共享和命名管道 |
| 6 |
限制“取得文件或其它对象的所有权”的帐户和组 |
| 7 |
删除可远程访问的注册表路径和子路径 |
| 8 |
限制匿名用户连接 |
三.日志审计
| 编号 |
配置 |
| 1 |
正确配置审核(日志记录)策略 |
| 2 |
正确配置系统日志 |
| 3 |
正确配置安全日志 |
| 4 |
正确配置应用程序日志 |
四.协议安全
| 编号 |
配置 |
| 1 |
启用TCP/IP筛选功能 |
| 2 |
开启Windows防火墙 |
| 3 |
启用并正确配置TCP碎片攻击保护 |
| 4 |
删除SNMP服务的默认public团体 |
| 5 |
启用并正确配置源路由攻击保护 |
| 6 |
启用并正确配置SYN攻击保护 |
| 7 |
修改默认的远程桌面(RDP)服务端口 |
| 8 |
正确配置TCP“连接存活时间” |
| 9 |
启用并正确配置ICMP攻击保护 |
| 10 |
禁用失效网关检测 |
| 11 |
正确配置重传单独数据片段的次数 |
五.其他安全
| 编号 |
配置 |
| 1 |
禁止Windows自动登录 |
| 2 |
关闭不必要的服务-DHCP Client |
| 3 |
关闭不必要的服务-Simple Mail Transport Protocol (SMTP) |
| 4 |
关闭不必要的服务-Simple TCP/IP Services |
| 5 |
关闭不必要的服务-Message Queuing |
| 6 |
关闭不必要的端口-445 |
| 7 |
关闭不必要的服务-Windows Internet Name Service (WINS) |
| 8 |
关闭不必要的服务-DHCP Server |
| 9 |
关闭不必要的服务-Remote Access Connection Manager |
| 10 |
安装防病毒软件 |
| 11 |
正确配置服务器在暂停会话前所需的空闲时间量 |
| 12 |
磁盘分区是否都是NTFS文件系统 |
| 13 |
启用“不显示最后的用户名”策略 |
| 14 |
启用并正确配置Windows自动更新 |
| 15 |
创建多个磁盘分区 |
| 16 |
启用并正确配置屏幕保护程序 |
| 17 |
关闭Windows自动播放 |
| 18 |
启用并正确配置Windows网络时间同步服务(NTP) |
| 19 |
共享文件夹的权限设置是否安全 |
| 20 |
正确配置“提示用户在密码过期之前进行更改”策略 |
| 21 |
域环境:正确配置域环境下安全通道数据的安全设置 |
| 22 |
域环境:启用“域环境下需要强会话密钥”策略 |
| 23 |
禁用“登录时无须按 Ctrl+Alt+Del”策略 |
| 24 |
启用Windows数据执行保护(DEP) |
| 25 |
禁用Windows硬盘默认共享 |
| 26 |
域环境:启用“需要域控制器身份验证以解锁工作站”策略 |
| 27 |
域环境:正确配置“可被缓存保存的登录的个数”策略 |
| 28 |
正确配置“锁定会话时显示用户信息”策略 |
| 29 |
启用“当登录时间用完时自动注销用户”策略 |