為避免和減少網絡安全事件的發生，需定期對業務系統網絡安全情況進行自查或第三方檢查評估，網絡安全檢查涉及的方面比較多，比如組織機構建立情況、相關制度的建立落實情況、本體安全、結構安全、系統安全、等保測評情況、廣域網安全、局域網安全、數據安全、安全應急措施等，其中，系統安全檢查又包括操作系統安全檢查、應用系統安全檢查、中間件安全檢查等，安全檢查又可細分為漏洞掃描檢查、數據分析檢查、基線配置檢查等多種方式，這次我們就淺談一下操作系統安全檢查中windows系統基線配置檢查主要檢查內容。

　　01

　　賬號管理

　　a) 是否存在不用的、多余的、過期的賬戶

　　如默認Guest用戶、安裝軟件時自動建立的用戶、隱藏用戶。

　　注意，隱藏賬號我們用命令是查詢不到的，只能去注冊表中查看是否有隱藏賬號。注冊表位置在DOS命令行輸regedit,找到以下位置即可：HKEYLOCALMACHINE\SAM\SAM\Domains\Account\Users\Names

　　如果在SAM下看不到內容，是因為當前用戶無權限查看，需要手動添加權限。

　　b) 是否禁用、刪除、或重命名最高管理員用戶

　　Windows系統中的默認的管理員：Administrator用戶。重命名需要在組策略中修改，在“計算機管理->本地用戶和組”中重命名，實際為為用戶添加別名。

　　02

　　口令管理

　　a) 是否設置滿足復雜度要求的口令并定期更換，杜絕空口令、弱口令。

　　弱口令如123456，passwOrd，admin等存在極高的被破解風險。

　　b) 是否開啟賬戶密碼復雜度策略，限定密碼最小長度、最大長度和使用期限。

　　在“開始”》“運行”中輸入gpedit.msc打開組策略

　　最短密碼長度8個字符，至少包含以下四種類別的字符中的三種：

　　◆ 英語大寫字母 A, B, C, … Z

　　◆ 英語小寫字母 a, b, c, … z

　　◆ 西方阿拉伯數字 0, 1, 2, … 9

　　◆ 非字母數字字符，如標點符號，@, #, $, %, &, *等

　　對于采用靜態口令認證技術的設備，賬戶口令的生存期不長于90天。

　　對于采用靜態口令認證技術的設備，應配置設備，使用戶不能重復使用最近3次(含3次)內已使用的口令。

　　c) 是否開啟帳戶鎖定策略，設置合理的鎖定時間、鎖定閾值。

　　此項設置可有效預防系統口令被使用口令字典暴力破解。

　　03

　　權限管理

　　a) 是否根據用戶角色分配權限，僅授予用戶的最小訪問權限。

　　b) 是否實現特權用戶的權限分離。

　　用戶權限的細化可以在組策略“計算機配置→Windows設置→安全設置→本地策略→用戶權限指派”分支詳細設置，雙擊需要改變的用戶權限，單擊“添加用戶或組”按鈕，然后雙擊想指派給權限的用戶賬號，最后單擊“確定”按鈕退出。

　　c) 是否存在自定義共享文件并設置訪問權限控制。

　　非業務需要盡可能避免使用共享文件方式傳輸文件。

　　d) 是否刪除默認共享。

　　在cmd下輸入#net share查看共享情況。

　　04

　　系統服務

　　a) 是否關閉不常用的系統服務

　　對系統運行的服務應該進行嚴格控制，一些不應該開啟的服務或是會帶來安全性問題的服務原則上都應該關閉。

　　Windows下停止如下不需要的服務：

　　◆ DHCP server services

　　◆ WINS Service

　　◆ Fax Service

　　◆ Bluetooth Support Service

　　◆ Indexing Services

　　◆ Messenger Service

　　◆ Print Spooler

　　◆ Remote Registry Service(AD域環境除外)

　　◆ Server(AD域環境除外)

　　◆ Simple TCP/IP Services

　　◆ Wireless Zero Configuration

　　◆ SMTP/FTP/IIS Admin/WWW Publish

　　◆ SNMP Community String (如果需要IIS服務，可關閉由IIS提供的SMTP、FTP服務)

　　若開啟SNMP服務，是否使用默認community strings(團體名稱)

　　b) 是否存在異常的系統服務。

　　05

　　訪問控制

　　a) 是否開啟系統防火墻并配置合理的訪問控制策略，根據業務需要設置詳細的出入站規則。

　　b) 檢查是否開啟FTP，是否禁用匿名登錄

　　在“本地用戶和組->用戶”，查看是否存在IIS_Anonymous_USER用戶，如果存在，是否禁用;

　　如果使用其他類型的FTP軟件，如SERV-U，在配置文件中查看是否禁用匿名登錄權限。

　　06

　　日志審計

　　a) 是否開啟審核策略

　　開啟賬戶審核功能，對用戶登錄進行記錄，記錄內容包括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠程登錄時，用戶使用的IP地址。

　　啟用組策略中對Windows系統的審核系統事件、審核特權使用、審核賬戶管理、審核策略更改、審核目錄服務訪問(域環境)、審核過程追蹤、審核對象訪問。

　　b) 日志記錄是否全面

　　c) 日志記錄文件最大大小是否設置合理

　　d) 是否修改默認日志保存路徑

　　e) 是否對日志記錄做備份管理(日志服務器)

　　07

　　安全策略

　　a) 檢查在本地安全設置中從遠端系統強制關機是否只指派給Administrators組。

　　b) 檢查在本地安全設置中關閉系統僅指派給Administrators組。

　　c) 檢查在本地安全設置中取得文件或其它對象的所有權僅指派給Administrators。

　　d) 檢查是否在本地安全設置中不允許為網絡身份驗證存儲憑證。

　　e) 檢查設置不允許SAM賬戶和共享的匿名枚舉

　　f) 檢查設置關機時清除虛擬內存頁面文件

　　g) 檢查設置設置掛起會話之前所需的空閑時間

　　h) 檢查設置禁止開機自動登錄

　　i) 檢查設置限制從網絡訪問此計算機

　　j) 檢查設置交互式登錄不顯示上次登錄的用戶名

　　08

　　補丁管理

　　a) 是否定期更新補丁以修復重要的安全漏洞

　　09

　　防病毒管理

　　a) 是否安裝惡意代碼防護軟件并及時更新防惡意代碼軟件的版本和代碼庫

　　b) 是否支持防惡意代碼的統一管理

　　工業控制系統上位機建議安裝基于白名單的主機安全防護系統，若安裝殺毒軟件，應禁用自動處理功能并定期更新病毒庫。

　　10

　　其他

　　a) 是否開啟遠程管理并設置一定的安全防護措施(如限制僅可信IP連接)

　　b) 是否存在可疑的程序進程

　　c) 是否關閉存在風險的、不用的網絡端口，如445端口

　　d) 是否安裝不必要的、存在風險的程序，如teamviewer、QQ

　　e) 是否存在可疑的網絡連接

　　f) 是否存在多余的、可疑的系統啟動項

　　在“開始->運行”中輸入“msconfig”查看

　　g) 是否存在可疑的計劃任務程序

　　h) 是否設置屏幕保護程序并啟用密碼保護

　　i) 是否禁用自動播放

　　在組策略，管理模板，windows組件中，自動播放策略，開啟關閉自動播放

　　以上只是提供了windows系統安全檢查中經常關注的幾點，在實際的安全檢查中需要根據業務的實際情況有所偏重，甚至會查的更加詳細，并不局限于以上內容。