Windows安全评估1.ServicePacks和Hotfixs安装情况检查方法:运行cmd打开命令提示符窗口,再输入systeminfo查看目前补丁信息检查项符合不符合不适用1、系统已经安装最新的ServicePack详述2、系统已经安装所有的hotfix2.审计和帐号策略检查方法:操作:点击开始-设置-控制面板,然后双击管理工具,最后双击本地安全策略,开始进行检查检查项符合不符合不适用1、密码策略:密码必须符合复杂性要求,是否启用2、密码策略:密码长度最小值(8)3、密码策略:密码最长使用期限(90天)4、密码策略:密码最短使用期限(1天)5、密码策略:强制密码历史(24)详述6、密码策略:用可还原的加密来储存密码(禁用)7、帐户锁定策略:复位帐户锁定计数器(15分钟之后)8、帐户锁定策略:帐户锁定时间(15分钟)9、帐户锁定策略:帐户锁定阀值(3次无效登录)10、安全选项:帐户:来宾状态(已禁用)11、审核策略:审核策略更改(成功和失败)12、审核策略:审核登录事件(成功和失败)13、审核策略:审核对象访问(失败)详述14、审核策略:审核目录服务访问(未定义)详述15、审核策略:审核特权使用(失败)详述16、审核策略:审核系统事件(成功和失败)详述17、审核策略:审核帐户登录事件(成功和失败)18、审核策略:审核帐户管理(成功和失败)详述19、事件查看器:登录保持方式(需要时覆盖事件日志)20、事件查看器:安全日志最大占用空间(80Mb)3.安全设置检查方法:操作:点击开始-设置-控制面板,然后双击管理工具,最后双击本地安全策略,选择安全选项进行检查检查项符合不符合不适用1、Microsoft网络服务器:当登录时间用完时自动注销用户(启用)2、Microsoft网络服务器:在挂起会话之前所需的空闲时间(小于等于30分钟)3、Microsoft网络客户端:发送未加密的密码到第三方SMB服务器:(禁用)4、故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问(禁用)5、故障恢复控制台:允许自动系统管理级登录(禁用)6、关机:清除虚拟内存页面文件(启用)7、关机:允许系统在未登录前关机(禁用)8、交互式登录:不显示上次的用户名(启用)9、交互式登录:不需要按Ctrl+Alt+Del(禁用)10、交互式登录:可被缓存的前次登录个数(在域控制器不可用的情况下)(0)11、帐户:重命名系统管理员账户(除了Administrator的其它名字)12、网络访问:不允许SAM帐户和共享的匿名枚举(启用)13、网络访问:不允许为网络身份验证储存凭证或.NETpassports(启用)14、审核:如果无法记录安全审核则立即关闭系统(启用)15、审核:对全局系统对象的访问进行审核(启用)16、审核:对备份和还原权限的使用进行审核(启用)检查方法:操作:点击开始-设置-控制面板,然后双击管理工具,最后双击本地安全策略,选择用户权限分配进行检查。检查项符合不符合不适用1、关闭系统:只有Administrators组2、通过终端服务拒绝登陆:加入Guests、User组3、通过终端服务允许登陆:只加入Administrators组4、从网络访问此计算机中删除PowerUsers和BackupOperators4.注册表安全设置检查方法:运行regedit,然后进行检查检查项符合不符合不适用1、禁止自动登录:HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\AutoAdminLogon(REG_DWORD)02、禁止CD自动运行:HKLM\System\CurrentControlSet\Services\CDrom\Autorun(REG_DWORD)03、删除服务器上的管理员共享:HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer(REG_DWORD)04、源路由欺骗保护:HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting(REG_DWORD)25、帮助防止碎片包攻击:HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscovery(REG_DWORD)16、防止SYNFlood攻击:HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect(REG_DWORD)27、SYN攻击保护-管理TCP半开sockets的最大数目:HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpen(REG_DWORD)100或5005.不必要的服务检查方法:操作:点击开始-设置-控制面板,然后双击管理工具,最后双击服务,开始进行检查检查项符合不符合不适用1、Alerter–禁止详述2、Clipbook–禁止详述3、ComputerBrowser–禁止详述4、InternetConnectionSharing–禁止5、Messenger–禁止6、RemoteRegistryService–禁止7、RoutingandRemoteAccess–禁止8、SimpleMailTrasferProtocol(SMTP)–禁止详述9、SimpleNetworkManagementProtocol(SNMP)Service–禁止10、SimpleNetworkManagementProtocol(SNMP)Trap–禁止11、Telnet–禁止12、WorldWideWebPublishingService–禁止6.文件系统检查方法:检查项符合不符合不适用1、所有的磁盘卷使用NTFS文件系统详述7.个人版防火墙和防病毒软件检查方法:检查项符合不符合不适用1、已经安装第三方个人版防火墙2、已经安装防病毒软件3、防病毒软件的特征码和检查引擎已经更新到最新。4、防病毒软件已设置自动更新8.后门查找检查方法:netstat-an检查项符合不符合不适用1、不存在异常端口(netstat-an)