| 标题 | 检查内容 | 修复方法 | 检查说明 |
| 检查“记住密码数目”是否大于等于24 | 检查 计算机配置\策略\Windows设置\安全设置\账户策略\密码策略\记住密码数目,记住密码数目配置项应为:大于等于24 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\账户策略\密码策略\记住密码数目,修改其值大于等于24 | 此安全设置确定再次使用某个旧密码之前必须与某个用户帐户关联的唯一新密码数。该值必须介于 0 个和 24 个密码之间。此策略使管理员能够通过确保旧密码不被连续重新使用来增强安全性。 |
| 检查“密码最大有效时间”是否大于0并且小于等于60 | 检查 计算机配置\策略\Windows设置\安全设置\账户策略\密码策略\密码最大有效时间,密码最大有效时间配置项应为:大于0并且小于等于60 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\账户策略\密码策略\密码最大有效时间,修改其值大于0并且小于等于60 | 此安全设置确定在系统要求用户更改某个密码之前可以使用该密码的期间(以天为单位)。可以将密码设置为在某些天数(介于 1 到 999 之间)后到期,或者将天数设置为 0,指定密码永不过期。如果密码最长使用期限介于 1 和 999 天之间,密码最短使用期限必须小于密码最长使用期限。如果将密码最长使用期限设置为 0,则可以将密码最短使用期限设置为介于 0 和 998 天之间的任何值。 |
| 检查“密码最短修改时间”是否大于等于1 | 检查 计算机配置\策略\Windows设置\安全设置\账户策略\密码策略\密码最短修改时间,密码最短修改时间配置项应为:大于等于1 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\账户策略\密码策略\密码最短修改时间,修改其值大于等于1 | 此安全设置确定在用户更改某个密码之前必须使用该密码一段时间(以天为单位)。可以设置一个介于 1 和 998 天之间的值,或者将天数设置为 0,允许立即更改密码。密码最短使用期限必须小于密码最长使用期限,除非将密码最长使用期限设置为 0,指明密码永不过期。如果将密码最长使用期限设置为 0,则可以将密码最短使用期限设置为介于 0 和 998 之间的任何值。 |
| 检查“密码最小长度”是否大于等于14 | 检查 计算机配置\策略\Windows设置\安全设置\账户策略\密码策略\密码最小长度,密码最小长度配置项应为:大于等于14 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\账户策略\密码策略\密码最小长度,修改其值大于等于14 | 此安全设置确定用户帐户密码包含的最少字符数。可以将值设置为介于 1 和 14 个字符之间,或者将字符数设置为 0 以确定不需要密码。 |
| 检查“密码复杂度”策略是否启用 | 检查 计算机配置\策略\Windows设置\安全设置\账户策略\密码策略\密码复杂度,密码复杂度配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\账户策略\密码策略\密码复杂度,修改其值已启用 | 此安全设置确定密码是否必须符合复杂性要求。如果启用此策略,密码必须符合下列最低要求:不能包含用户的帐户名,不能包含用户姓名中超过两个连续字符的部分;至少有六个字符长;包含以下四类字符中的三类字符:;英文大写字母(A 到 Z);英文小写字母(a 到 z);10 个基本数字(0 到 9);非字母字符(例如 !、$、#、%);在更改或创建密码时执行复杂性要求。 |
| 检查“使用可还原加密”策略是否禁用 | 检查 计算机配置\策略\Windows设置\安全设置\账户策略\密码策略\使用可还原加密,使用可还原加密配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置 | 此安全设置确定操作系统是否使用可还原的加密来储存密码。 |
| 检查“账号锁定时间”是否大于等于15 | 检查 计算机配置\策略\Windows设置\安全设置\账户策略\账户锁定策略\账号锁定时间,账号锁定时间配置项应为:大于等于15 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\账户策略\账户锁定策略\账号锁定时间,修改其值大于等于15 | 此安全设置确定锁定帐户在自动解锁之前保持锁定的分钟数。可用范围从 0 到 99,999 分钟。如果将帐户锁定时间设置为 0,帐户将一直被锁定直到管理员明确解除对它的锁定。 |
| 检查“账号锁定阈值”是否大于0并且小于等于10 | 检查 计算机配置\策略\Windows设置\安全设置\账户策略\账户锁定策略\账号锁定阈值,账号锁定阈值配置项应为:大于0并且小于等于10 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\账户策略\账户锁定策略\账号锁定阈值,修改其值大于0并且小于等于10 | 此安全设置确定导致用户帐户被锁定的登录尝试失败的次数。在管理员重置锁定帐户或帐户锁定时间期满之前,无法使用该锁定帐户。可以将登录尝试失败次数设置为介于 0 和 999 之间的值。如果将值设置为 0,则永远不会锁定帐户。 |
| 检查“账号锁定重置时间”是否大于等于15 | 检查 计算机配置\策略\Windows设置\安全设置\账户策略\账户锁定策略\账号锁定重置时间,账号锁定重置时间配置项应为:大于等于15 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\账户策略\账户锁定策略\账号锁定重置时间,修改其值大于等于15 | 此安全设置确定在某次登录尝试失败之后将登录尝试失败计数器重置为 0 次错误登录尝试之前需要的时间。可用范围是 1 到 99,999 分钟。 |
| 检查“作为受信任的呼叫方访问凭据管理器”策略是否设置为空 | 检查 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\作为受信任的呼叫方访问凭据管理器,作为受信任的呼叫方访问凭据管理器配置项应为:空(无用户或组) | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\作为受信任的呼叫方访问凭据管理器,修改为:空(无用户或组) | 在备份/还原期间凭据管理器使用此设置。任何帐户都不应该拥有此权限,因为该权限仅分配给 Winlogon。如果将该权限分配给其他实体,则可能会泄露用户保存的凭据。 |
| 检查“网络访问服务器”策略是否设置为Administrators, Authenticated Users, ENTERPRISE DOMAIN CONTROLLERS | 检查 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\网络访问服务器,网络访问服务器配置项应为:Administrators, Authenticated Users, ENTERPRISE DOMAIN CONTROLLERS | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\网络访问服务器,修改其值Administrators, Authenticated Users, ENTERPRISE DOMAIN CONTROLLERS | 此用户权限确定允许哪些用户和组通过网络连接到计算机。此用户权限不影响远程桌面服务。 |
| 检查“以操作系统方式执行”策略是否设置为空 | 检查 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\以操作系统方式执行,以操作系统方式执行配置项应为:空(无用户或组) | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\以操作系统方式执行,修改为:空(无用户或组) | 此用户权限允许某个进程模拟任意用户而无须进行身份验证。因此该进程可以与该用户一样获得对本地资源的访问权限。 |
| 检查“将工作站添加到域”策略是否设置为Administrators | 检查 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\将工作站添加到域,将工作站添加到域配置项应为:Administrators | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\将工作站添加到域,修改其值Administrators | 此安全设置确定哪些组或用户可以将工作站添加到域。 |
| 检查“为进程调整内存配额”策略是否设置为Administrators, LOCAL SERVICE, NETWORK SERVICE | 检查 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\为进程调整内存配额,为进程调整内存配额配置项应为:Administrators, LOCAL SERVICE, NETWORK SERVICE | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\为进程调整内存配额,修改其值Administrators, LOCAL SERVICE, NETWORK SERVICE | 此权限确定谁可以更改进程可消耗的最大内存。 |
| 检查“允许本地登录”策略是否设置为Administrators, ENTERPRISE DOMAIN CONTROLLERS | 检查 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\允许本地登录,允许本地登录配置项应为:Administrators, ENTERPRISE DOMAIN CONTROLLERS | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\允许本地登录,修改其值Administrators, ENTERPRISE DOMAIN CONTROLLERS | 确定哪些用户可以登录到该计算机。 |
| 检查“允许通过远程桌面服务登录”策略是否设置为Administrators, Remote Desktop Users | 检查 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\允许通过远程桌面服务登录,允许通过远程桌面服务登录配置项应为:Administrators, Remote Desktop Users | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\允许通过远程桌面服务登录,修改其值Administrators, Remote Desktop Users | 此安全设置确定哪些用户或组具有作为远程桌面服务客户端登录的权限。 |
| 检查“备份文件和目录”策略是否设置为Administrators | 检查 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\备份文件和目录,备份文件和目录配置项应为:Administrators | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\备份文件和目录,修改其值Administrators | 此用户权限确定哪些用户可以绕过文件和目录、注册表和其他永久对象权限进行系统备份。 |
| 检查 "更改系统时间" 策略是否设置为Administrators, LOCAL SERVICE | 检查 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\更改系统时间,更改系统时间配置项应为:Administrators, LOCAL SERVICE | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\更改系统时间,修改其值Administrators, LOCAL SERVICE | 此用户权限确定哪些用户和组可以更改计算机内部时钟上的日期和时间。分配了此用户权限的用户可以影响事件日志的外观。如果已更改了系统时间,则记录的事件将反映此新时间,而不是事件发生的实际时间。 |
| 检查“更改时区”策略是否设置为Administrators, LOCAL SERVICE | 检查 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\更改时区,更改时区配置项应为:Administrators, LOCAL SERVICE | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\更改时区,修改其值Administrators, LOCAL SERVICE | 该用户权限确定哪些用户和组可以更改计算机用于显示本地时间(计算机的系统时间加上时区偏移)的时区。系统时间本身是绝对的,因此不受时区变化的影响。 |
| 检查“创建页面文件”策略是否设置为Administrators | 检查 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\创建页面文件,创建页面文件配置项应为:Administrators | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\创建页面文件,修改其值Administrators | 此用户权限确定哪些用户和组可以调用内部应用程序编程接口(API)创建页面文件和更改页面文件的大小。此用户权限供操作系统内部使用,且通常不需要分配给任何用户。 |
| 检查“创建令牌对象”策略是否设置为空 | 检查 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\创建令牌对象,创建令牌对象配置项应为:空(无用户或组) | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\创建令牌对象,修改为:空(无用户或组) | 此安全设置确定进程可以使用哪些帐户创建令牌,该令牌接着可以在进程使用内部应用程序编程接口(API)创建访问令牌时用于获取任何本地资源的访问权限。 |
| 检查“创建全局对象”策略是否设置为Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE | 检查 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\创建全局对象,创建全局对象配置项应为:Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\创建全局对象,修改其值Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE | 此安全设置确定用户是否可以创建所有会话都可以使用的全局对象。没有此用户权限的用户仍可以创建特定于其自身的会话的对象。可以创建全局对象的用户会影响在其他用户的会话下运行的进程,这样会导致应用程序失败或数据损坏。 |
| 检查“创建永久共享对象”策略是否设置为空 | 检查 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\创建永久共享对象,创建永久共享对象配置项应为:空(无用户或组) | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\创建永久共享对象,修改为:空(无用户或组) | 此用户权限确定进程可以使用哪些帐户利用对象管理器创建目录对象。 |
| 检查“创建符号链接”策略是否设置为Administrators | 检查 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\创建符号链接,创建符号链接配置项应为:Administrators | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\创建符号链接,修改其值Administrators | 此权限确定用户是否可以从登录的计算机创建符号链接。 |
| 检查“调试程序”策略是否设置为Administrators | 检查 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\调试程序,调试程序配置项应为:Administrators | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\调试程序,修改其值Administrators | 此用户权限确定哪些用户可以将调试程序连接到任何进程或连接到内核。不需要将此用户权限分配给正在调试自己的应用程序的开发人员。调试新系统组件的开发人员将需要此用户权限来执行相应操作。此用户权限提供对敏感和关键系统组件的完全访问权限。 |
| 检查“拒绝从网络访问这台计算机”策略是否设置为Guests | 检查 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\拒绝从网络访问这台计算机,拒绝从网络访问这台计算机配置项应为:Guests | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\拒绝从网络访问这台计算机,修改其值Guests | 此安全设置确定要防止哪些用户通过网络访问计算机。如果用户帐户受制于此策略设置和“从网络访问此计算机”策略设置,则前者会取代后者。 |
| 检查“拒绝作为批处理作业登录”策略是否设置为Guests | 检查 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\拒绝作为批处理作业登录,拒绝作为批处理作业登录配置项应为:Guests | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\拒绝作为批处理作业登录,修改其值Guests | 此安全设置确定要防止哪些帐户作为批处理作业登录。如果用户帐户受制于此策略设置和“作为批处理作业登录”策略设置,则前者会取代后者。 |
| 检查“拒绝作为服务登录”策略是否设置为Guests | 检查 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\拒绝作为服务登录,拒绝作为服务登录配置项应为:Guests | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\拒绝作为服务登录,修改其值Guests | 此安全设置确定要防止哪些服务帐户将进程注册为服务。如果帐户受制于此策略设置和“作为服务登录”策略设置,则前者会取代后者。 |
| 检查“拒绝本地登录”策略是否设置为Guests | 检查 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\拒绝本地登录,拒绝本地登录配置项应为:Guests | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\拒绝本地登录,修改其值Guests | 此安全设置确定要防止哪些用户在该计算机上登录。如果帐户受制于此策略设置和“允许本地登录”策略设置,则前者会取代后者。 |
| 检查“拒绝通过远程桌面服务登录”策略是否设置为Guests | 检查 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\拒绝通过远程桌面服务登录,拒绝通过远程桌面服务登录配置项应为:Guests | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\拒绝通过远程桌面服务登录,修改其值Guests | 此安全设置确定禁止哪些用户和组作为远程桌面服务客户端登录。 |
| 检查“信任计算机和用户帐户可以执行委派”策略是否设置为空 | 检查 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\信任计算机和用户帐户可以执行委派,信任计算机和用户帐户可以执行委派配置项应为:空(无用户或组) | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\信任计算机和用户帐户可以执行委派,修改为:空(无用户或组) | 此安全设置确定哪些用户可以在用户或计算机对象上设置“已为委派信任”设置。 |
| 检查“从远程系统强制关机”策略是否设置为Administrators | 检查 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\从远程系统强制关机,从远程系统强制关机配置项应为:Administrators | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\从远程系统强制关机,修改其值Administrators | 此安全设置确定允许哪些用户从网络上的远程位置关闭计算机。误用此用户权限会导致拒绝服务。 |
| 检查“生成安全审核”策略是否设置为LOCAL SERVICE, NETWORK SERVICE | 检查 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\生成安全审核,生成安全审核配置项应为:LOCAL SERVICE, NETWORK SERVICE | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\生成安全审核,修改其值LOCAL SERVICE, NETWORK SERVICE | 此安全设置确定进程可以使用哪些帐户将项目添加到安全日志中。安全日志用于跟踪未授权的系统访问。如果启用了“审核: 如果无法记录安全审核,则立即关闭系统”安全策略设置,则误用此用户权限会导致生成许多审核事件,可能隐藏攻击证据或导致拒绝服务。有关详细信息,请参阅“审核: 如果无法记录安全审核,则立即关闭系统” |
| 检查“身份验证后模拟客户端”策略是否设置为Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE | 检查 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\身份验证后模拟客户端,身份验证后模拟客户端配置项应为:Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\身份验证后模拟客户端,修改其值Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE | 将此权限分配给用户使代表该用户运行的程序能够模拟客户端。此种模拟要求此用户权限可防止未经授权的用户说服客户端连接(例如,通过远程过程调用(RPC)或命名管道)到他们已创建的服务,然后模拟该客户端,这样会将未经授权的用户的权限提升至管理级别或系统级别。 |
| 检查“提高计划优先级”策略是否设置为Administrators | 检查 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\提高计划优先级,提高计划优先级配置项应为:Administrators | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\提高计划优先级,修改其值Administrators | 此安全设置确定哪些帐户可以使用对另一个进程具有 Write Property 访问权限的进程来提高分配给其他进程的执行优先级。具有此权限的用户可以通过任务管理器用户界面更改进程的计划优先级。 |
| 检查“加载和卸载设备驱动程序”策略是否设置为Administrators | 检查 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\加载和卸载设备驱动程序,加载和卸载设备驱动程序配置项应为:Administrators | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\加载和卸载设备驱动程序,修改其值Administrators | 此用户权限确定哪些用户可以将设备驱动程序或其他代码动态加载到内核模式中以及从中卸载。此用户权限不适用于即插即用设备驱动程序。建议不要将此权限分配给其他用户。 |
| 检查“锁定内存页”策略是否设置为空 | 检查 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\锁定内存页,锁定内存页配置项应为:空(无用户或组) | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\锁定内存页,修改为:空(无用户或组) | 此安全设置确定哪些帐户可以使用进程将数据保持在物理内存中,这样可防止系统将数据分页到磁盘上的虚拟内存中。行使此权限会因降低可用随机存取内存(RAM)的数量而显著影响系统性能。 |
| 检查“作为批处理作业登录”策略是否设置为Administrators | 检查 计算机配置\Windows设置\安全设置\本地策略\用户权限分配\作为批处理作业登录,作为批处理作业登录配置项应为:Administrators | 请使用运行,输入gpedit.msc,找到 计算机配置\Windows设置\安全设置\本地策略\用户权限分配\作为批处理作业登录,修改其值Administrators | 此安全设置使用户能够通过批处理队列实用程序登录,并仅提供用于与旧版本的 Windows 的兼容性。 |
| 检查“管理审核和安全日志”策略是否设置为Administrators | 检查 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\管理审核和安全日志,管理审核和安全日志配置项应为:Administrators | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\管理审核和安全日志,修改其值Administrators | 此安全设置确定哪些用户可以为各种资源(如文件、Active Directory 对象和注册表项)指定对象访问审核选项。 |
| 检查“修改一个对象标签”策略是否设置为空 | 检查 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\修改一个对象标签,修改一个对象标签配置项应为:空(无用户或组) | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\修改一个对象标签,修改为:空(无用户或组) | 此权限确定哪些用户帐户可以修改对象(例如文件、注册表项或其他用户所拥有的进程)的完整性标签。在用户帐户下运行的进程可以将该用户所拥有的对象标签修改为没有此权限的更低级别。 |
| 检查“修改固件环境值”策略是否设置为Administrators | 检查 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\修改固件环境值,修改固件环境值配置项应为:Administrators | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\修改固件环境值,修改其值Administrators | 此安全设置确定谁可以修改固件环境值。固件环境变量是在非基于 x86 的计算机的稳定 RAM 中存储的设置。该设置的效果依赖于处理器。 |
| 检查“执行卷维护任务”策略是否设置为Administrators | 检查 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\执行卷维护任务,执行卷维护任务配置项应为:Administrators | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\执行卷维护任务,修改其值Administrators | 此安全设置确定哪些用户和组可以在卷上运行维护任务,如远程碎片整理。 |
| 检查“配置文件单个进程”策略是否设置为Administrators | 检查 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\配置文件单个进程,配置文件单个进程配置项应为:Administrators | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\配置文件单个进程,修改其值Administrators | 此安全设置确定哪些用户可以使用性能监视工具来监视非系统进程的性能。 |
| 检查“配置文件系统性能”策略是否设置为Administrators | 检查 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\配置文件系统性能,配置文件系统性能配置项应为:Administrators | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\配置文件系统性能,修改其值Administrators | 此安全设置确定哪些用户可以使用性能监视工具来监视系统进程的性能。 |
| 检查“替换进程级令牌”策略是否设置为Administrators | 检查 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\替换进程级令牌,替换进程级令牌配置项应为:Administrators | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\替换进程级令牌,修改其值Administrators | 此安全设置确定哪些用户帐户可以调用 CreateProcessAsUser() 应用程序编程接口(API),从而使一个服务能够启动另一个服务。任务计划程序是使用此用户权限的进程的一个示例。有关任务计划程序的信息,请参阅任务计划程序概述。 |
| 检查“还原文件和目录”策略是否设置为Administrators | 检查 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\还原文件和目录,还原文件和目录配置项应为:Administrators | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\还原文件和目录,修改其值Administrators | 此安全设置确定在还原备份的文件和目录时哪些用户可以绕过文件、目录、注册表和其他永久对象权限,以及确定哪些用户可以将任何有效的安全主体设置为对象的所有者。 |
| 检查“关闭系统”策略是否设置为Administrators | 检查 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\关闭系统,关闭系统配置项应为:Administrators | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\关闭系统,修改其值Administrators | 此安全设置确定哪些在本地登录到计算机的用户可以使用关机命令关闭操作系统。误用此用户权限会导致拒绝服务。 |
| 检查“同步目录服务数据”策略是否设置为空 | 检查 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\同步目录服务数据,同步目录服务数据配置项应为:空(无用户或组) | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\同步目录服务数据,修改为:空(无用户或组) | 此安全设置确定哪些用户和组有权同步所有目录服务数据。这也称为 Active Directory 同步。 |
| 检查“取得文件或其他对象的所有权”策略是否设置为Administrators | 检查 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\取得文件或其他对象的所有权,取得文件或其他对象的所有权配置项应为:Administrators | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\用户权限分配\取得文件或其他对象的所有权,修改其值Administrators | 此安全设置确定哪些用户可以取得系统中任何安全对象(包括 Active Directory 对象、文件和文件夹、打印机、注册表项、进程以及线程)的所有权。 |
| 检查“帐户: 管理员帐户状态”策略是否禁用 | 检查 计算机配置\策略\Windows设置\安全设置\本地策略\安全设置\帐户: 管理员帐户状态,帐户: 管理员帐户状态配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全设置\帐户: 管理员帐户状态,修改其值为:已禁用 | 此安全设置确定是启用还是禁用本地管理员帐户。 |
| 检查“帐户: 来宾帐户状态”策略是否禁用 | 检查 计算机配置\策略\Windows设置\安全设置\本地策略\安全设置\帐户: 来宾帐户状态,帐户: 来宾帐户状态配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\帐户: 来宾帐户状态,修改其值为:已禁用 | 此安全设置确定是启用还是禁用来宾帐户。 |
| 检查“帐户: 使用空密码的本地帐户只允许进行控制台登录”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\中的LimitBlankPasswordUse,LimitBlankPasswordUse配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\帐户: 使用空密码的本地帐户只允许进行控制台登录,修改其值已启用 | 此安全设置确定未进行密码保护的本地帐户是否可以用于从物理计算机控制台之外的位置登录。如果启用此设置,则未进行密码保护的本地帐户将仅能够通过计算机的键盘登录 |
| 检查“帐户: 重命名管理员帐户”策略是否设置为Administrator | 检查 计算机配置\策略\Windows设置\安全设置\本地策略\安全设置\帐户: 重命名管理员帐户,帐户: 重命名管理员帐户配置项应为:Administrator | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\帐户: 重命名管理员帐户,修改其值Administrator | 此安全设置确定是否存在另一个帐户名称与帐户 Administrator 的安全标识符(SID)相关联。因为人们都知道重命名 Administrator 帐户会使未授权的人猜测此权限用户名和密码组合的难度稍微大一些。 |
| 检查“帐户: 重命名来宾帐户”策略是否设置为Guest | 检查 计算机配置\策略\Windows设置\安全设置\本地策略\安全设置\帐户: 重命名来宾帐户,帐户: 重命名来宾帐户配置项应为:Guest | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\帐户: 重命名来宾帐户,修改其值Guest | 此安全设置确定是否存在另一个帐户名称与帐户 "Guest" 的安全标识符(SID)相关联。因为人们都知道重命名 Guest 帐户会使未授权的人猜测此用户名和密码组合的难度稍微大一些。 |
| 检查“审核: 强制审核策略子类别设置(Windows Vista 或更高版本)可替代审核策略类别设置”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\中的scenoapplylegacyauditpolicy,scenoapplylegacyauditpolicy配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\审核: 强制审核策略子类别设置(Windows Vista 或更高版本)可替代审核策略类别设置,修改其值已启用 | Windows Vista 以及 Windows 的更高版本允许审核策略子类别以更精确的方式管理审核策略。在类别级别设置审核策略将替代新的子类别审核策略功能。组策略仅允许在类别级别设置审核策略,并且在新计算机加入域或升级到 Windows Vista (或更高版本)时,现有组策略可能会替代这些新计算机的子类别设置。为了允许使用子类别管理审核策略,而无须更改组策略,Windows Vista 以及更高版本中有一个新的注册表值 SCENoApplyLegacyAuditPolicy,该注册表值阻止了从组策略和本地安全策略管理工具中应用类别级别的审核策略。 |
| 检查“审核: 如果无法记录安全审核则立即关闭系统”策略是否禁用 | 检查 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\中的crashonauditfail,crashonauditfail配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\审核: 如果无法记录安全审核则立即关闭系统,修改其值已禁用 | 此安全设置确定无法记录安全事件时系统是否会关机。 |
| 检查“设备: 允许对可移动媒体进行格式化并弹出”策略是否设置为Administrators | 检查 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\中的AllocateDASD,AllocateDASD配置项应为:0 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\设备: 允许对可移动媒体进行格式化并弹出,修改其值为Administrators | 允许对可移动媒体进行格式化并弹出 |
| 检查“设备: 防止用户在连接共享打印机时安装打印机驱动程序”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers\中的AddPrinterDrivers,AddPrinterDrivers配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\设备: 防止用户在连接共享打印机时安装打印机驱动程序,修改其值已启用 | 此安全设置确定允许格式化和弹出可移动 NTFS 介质的用户。 |
| 检查“域控制器: 允许服务器操作者计划任务”策略是否禁用 | 检查 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\中的SubmitControl,SubmitControl配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\域控制器: 允许服务器操作者计划任务,修改其值已禁用 | 对于要使用共享打印机进行打印的计算机,该本地计算机上必须安装有该共享打印机的驱动程序。此安全设置确定允许哪些人可以在连接共享打印机时安装打印机驱动程序。如果启用该设置,则只有管理员可以在连接共享打印机时安装打印机驱动程序。如果禁用该设置,则任何用户都可以在连接共享打印机时安装打印机驱动程序。 |
| 检查“域控制器: LDAP 服务器签名要求”策略是否设置为需要签名 | 检查 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\中的ldapserverintegrity,ldapserverintegrity配置项应为:Require signing | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\域控制器: LDAP 服务器签名要求,修改其值:需要签名 | 该安全设置确定 LDAP 服务器是否需要与 LDAP 客户端协商签名,如下所示: |
| 检查“域控制器: 拒绝计算机帐户密码更改”策略是否禁用 | 检查 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\中的RefusePasswordChange,RefusePasswordChange配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\域控制器: 拒绝计算机帐户密码更改,修改其值已禁用 | 该安全设置确定域控制器是否会拒绝成员计算机更改计算机帐户密码的请求。默认情况下,成员计算机每隔 30 天更改一次其计算机帐户密码。如果启用该设置,域控制器将拒绝计算机帐户密码更改请求。 |
| 检查“域成员: 对安全通道数据进行数字加密或数字签名(始终)”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\中的requiresignorseal,requiresignorseal配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\域成员: 对安全通道数据进行数字加密或数字签名(始终),修改其值已启用 | 该安全设置确定是否必须对所有由域成员引发的安全通道流量进行签名或加密。 |
| 检查“域成员: 对安全通道数据进行数字加密(如果可能)”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\中的sealsecurechannel,sealsecurechannel配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\域成员: 对安全通道数据进行数字加密(如果可能),修改其值已启用 | 该安全设置确定域成员是否尝试协商它所引发的所有安全通道流量的加密。 |
| 检查“域成员: 对安全通道数据进行数字签名(如果可能)”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\中的signsecurechannel,signsecurechannel配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\域成员: 对安全通道数据进行数字签名(如果可能),配置项值修改为:已启用 | 该安全设置确定域成员是否尝试协商对它所引发的所有安全通道流量进行签名。 |
| 检查“域成员: 禁用计算机帐户密码更改”策略是否禁用 | 检查 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\中的disablepasswordchange,disablepasswordchange配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\域成员: 禁用计算机帐户密码更改,配置项值修改为:已禁用 | 确定域成员是否定期更改其计算机帐户密码。如果启用该设置,则域成员不会尝试更改其计算机帐户密码。如果禁用该设置,则域成员会尝试按照“域成员: 计算机帐户密码最长使用期限”设置所指定的间隔更改其计算机帐户密码,默认情况下是每隔 30 天。 |
| 检查“域成员: 计算机帐户密码最长使用期限”策略是否大于0并且小于等于30 | 检查 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Netlogon\Parameters\中的MaximumPasswordAge,MaximumPasswordAge配置项应为:大于0并且小于等于30 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\域成员: 计算机帐户密码最长使用期限,配置项值修改为:大于0并且小于等于30 | 该安全设置确定域成员尝试更改其计算机帐户密码的频率。 |
| 检查“域成员: 需要使用强(Windows 2000 或更高版本)会话密钥”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\中的requirestrongkey,requirestrongkey配置项应为:Enabled | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\域成员: 需要使用强(Windows 2000 或更高版本)会话密钥,配置项值修改为:Enabled | 该安全设置确定已加密的安全通道数据是否需要 128 位密钥强度。 |
| 检查“交互式登录: 不显示最后的用户名”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\中的DontDisplayLastUserName,DontDisplayLastUserName配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\交互式登录: 不显示最后的用户名,配置项值修改为:已启用 | 该安全设置确定是否在 Windows 登录屏幕中显示最后登录到计算机的用户的名称。 |
| 检查“交互式登录: 无需按 Ctrl+Alt+Del”策略是否禁用 | 检查 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\中的DisableCAD,DisableCAD配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\交互式登录: 无需按 Ctrl+Alt+Del,配置项值修改为:已禁用 | 该安全设置决定用户是否需要按 Ctrl+Alt+Del 才能登录。 |
| 检查“交互式登录: 试图登录的用户的消息文本”策略是否设置为Any text | 检查 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\中的LegalNoticeText,LegalNoticeText配置项应为:Any text(任意内容) | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\交互式登录: 试图登录的用户的消息文本,配置项值修改为:Any text (任意内容) | 该安全设置指定用户登录时向其显示的文本消息。 |
| 检查“交互式登录: 试图登录的用户的消息标题”策略是否设置为Any text | 检查 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\中的LegalNoticeCaption,LegalNoticeCaption配置项应为:Any text(任意内容) | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\交互式登录: 试图登录的用户的消息标题,配置项值修改为:Any text(任意内容) | 该安全设置允许在包含“交互式登录: 试图登录的用户的消息文本”的窗口的标题栏中显示标题的说明。 |
| 检查“交互式登录: 之前登录到缓存的次数(域控制器不可用时)”策略是否大于0并且小于等于4 | 检查 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\中的cachedlogonscount,cachedlogonscount配置项应为:大于0并且小于等于4 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\交互式登录: 之前登录到缓存的次数(域控制器不可用时),配置项值修改为:大于0并且小于等于4 | 所有之前用户的登录信息都会缓存在本地,因此当随后的登录尝试期间域控制器不可用时,用户仍然可以登录。如果域控制器不可用且已缓存用户的登录信息,则系统会向用户提示如下所示的消息: |
| 检查“交互式登录: 提示用户在密码过期之前更改密码”策略是否大于5并且小于14 | 检查 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\中的passwordexpirywarning,passwordexpirywarning配置项应为:大于5并且小于14 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\交互式登录: 提示用户在密码过期之前更改密码,配置项值修改为:大于5并且小于14 | 确定提前多长时间(以天为单位)向用户发出其密码即将过期的警告。借助该提前警告,用户有时间构造足够强大的密码。 |
| 检查“交互式登录: 需要域控制器身份验证以进行解锁”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\中的ForceUnlockLogon,ForceUnlockLogon配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\交互式登录: 需要域控制器身份验证以进行解锁,配置项值修改为:已启用 | 必须提供登录信息以解锁已锁定的计算机。对于域帐户,该安全设置确定是否必须联系域控制器以解锁计算机。如果禁用该设置,则用户可以使用已缓存的凭据解锁计算机。如果启用该设置,则域控制器必须对用于解锁计算机的域帐户进行身份验证。 |
| 检查“交互式登录: 智能卡移除行为”策略 | 检查 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\中的scremoveoption,scremoveoption配置项应为:1或2或3 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\交互式登录: 智能卡移除行为,配置项值修改为:“锁定工作站”或“强制注销”或“如果为远程桌面服务会话,则断开连接” | 此安全设置确定从智能卡读卡器中移除已登录用户的智能卡时发生的情况。 |
| 检查“Microsoft 网络客户端: 对通信进行数字签名(始终)”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\中的RequireSecuritySignature,RequireSecuritySignature配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\Microsoft 网络客户端: 对通信进行数字签名(始终),配置项值修改为:已启用 | 该安全设置确定 SMB 客户端组件是否要求进行数据包签名。 |
| 检查“Microsoft 网络客户端: 对通信进行数字签名(如果服务器允许)”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\中的EnableSecuritySignature,EnableSecuritySignature配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\Microsoft 网络客户端: 对通信进行数字签名(如果服务器允许),配置项值修改为:已启用 | 该安全设置确定 SMB 客户端是否尝试协商 SMB 数据包签名。 |
| 检查“Microsoft 网络客户端: 发送未加密的密码以连接到第三方 SMB 服务器”策略是否禁用 | 检查 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\中的EnablePlainTextPassword,EnablePlainTextPassword配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\Microsoft 网络客户端: 发送未加密的密码以连接到第三方 SMB 服务器,配置项值修改为:已禁用 | 如果启用此安全设置,则允许服务器消息块(SMB)重定向程序向不支持在身份验证期间进行密码加密的非 Microsoft SMB 服务器发送纯文本密码。 |
| 检查“Microsoft 网络服务器: 暂停会话前所需的空闲时间量”策略是否大于0并且小于等于15 | 检查 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\中的autodisconnect,autodisconnect配置项应为:大于0并且小于等于15 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\Microsoft 网络服务器: 暂停会话前所需的空闲时间量,配置项值修改为:大于0并且小于等于15 | 该安全设置确定因处于非活动状态而暂停会话之前服务器消息块(SMB)会话必须经过的连续空闲时间量。 |
| 检查“Microsoft 网络服务器: 对通信进行数字签名(始终)”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\中的requiresecuritysignature,requiresecuritysignature配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\Microsoft 网络服务器: 对通信进行数字签名(始终),配置项值修改为:已启用 | 此安全设置确定 SMB 服务器组件是否要求对数据包进行签名。 |
| 检查“Microsoft 网络服务器: 对通信进行数字签名(如果客户端允许)”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\中的enablesecuritysignature,enablesecuritysignature配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\Microsoft 网络服务器: 对通信进行数字签名(如果客户端允许),配置项值修改为:已启用 | 此安全设置确定 SMB 服务器是否将与请求 SMB 数据包签名的客户端协商 SMB 数据包签名。 |
| 检查“Microsoft 网络服务器: 登录时间过期后断开与客户端的连接”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\中的enableforcedlogoff,enableforcedlogoff配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\Microsoft 网络服务器: 登录时间过期后断开与客户端的连接,配置项值修改为:已启用 | 此安全设置确定在连接到本地计算机的用户超出其用户帐户的有效登录时间时是否断开与用户的连接。此设置会影响服务器消息块(SMB)组件。 |
| 检查“Microsoft 网络服务器: 服务器 SPN 目标名称验证级别”策略是否设置为在由客户端提供时接受 | 检查 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\中的SMBServerNameHardeningLevel,SMBServerNameHardeningLevel配置项应为:1 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\Microsoft 网络服务器: 服务器 SPN 目标名称验证级别,配置项值修改为:在由客户端提供时接受 | 此策略设置控制具有共享文件夹或打印机的计算机(服务器)对客户端计算机使用服务器消息块(SMB)协议创建会话时提供的服务主体名称(SPN)执行的验证级别。 |
| 检查“网络访问: 允许匿名 SID/名称转换”策略是否禁用 | 检查 计算机配置\策略\Windows设置\安全设置\本地策略\安全设置\Networkaccess:AllowanonymousSID网络访问: 允许匿名 SID/名称转换,网络访问: 允许匿名 SID/名称转换配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\Networkaccess:AllowanonymousSID网络访问: 允许匿名 SID/名称转换,网络访问,修改其值为:已禁用 | 此策略设置确定匿名用户是否可以请求另一个用户的安全标识符(SID)属性。 |
| 检查“网络访问: 不允许匿名枚举 SAM 帐户”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\中的RestrictAnonymousSAM,RestrictAnonymousSAM配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\网络访问: 不允许匿名枚举 SAM 帐户,配置项值修改为:已启用 | 此安全设置确定将哪些附加权限授予连接到计算机的匿名连接。 |
| 检查“网络访问: 不允许 SAM 帐户和共享的匿名枚举”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\中的RestrictAnonymous,RestrictAnonymous配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\网络访问: 不允许 SAM 帐户和共享的匿名枚举,配置项值修改为:已启用 | 此安全设置确定是否允许 SAM 帐户和共享的匿名枚举。 |
| 检查“网络访问: 不允许存储网络身份验证的密码和凭据”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\中的disabledomaincreds,disabledomaincreds配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\网络访问: 不允许存储网络身份验证的密码和凭据,配置项值修改为:已启用 | 此安全设置确定凭据管理器是否保存通过域身份验证的密码和凭据,以备日后使用。 |
| 检查“网络访问: 将 Everyone 权限应用于匿名用户”策略是否禁用 | 检查 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\中的EveryoneIncludesAnonymous,EveryoneIncludesAnonymous配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\网络访问: 将 Everyone 权限应用于匿名用户,配置项值修改为:已禁用 | 此安全设置确定将哪些附加权限授予连接到计算机的匿名连接。 |
| 检查“网络访问: 可匿名访问的命名管道”策略是否设置为LSARPC, NETLOGON, SAMR, BROWSER | 检查 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\中的NullSessionPipes,NullSessionPipes配置项应为:LSARPC,NETLOGON,SAMR,BROWSER | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\网络访问: 可匿名访问的命名管道,配置项值修改为:LSARPC, NETLOGON, SAMR, BROWSER | 此安全设置确定哪些通信会话(管道)将具有允许匿名访问的属性和权限。 |
| 检查“网络访问: 可远程访问的注册表路径” | 检查 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedExactPaths\中的Machine,Machine配置项应为:System\CurrentControlSet\Control\ProductOptions ,System\CurrentControlSet\Control\Server Applications,Software\Microsoft\Windows NT\CurrentVersion | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\网络访问: 可远程访问的注册表路径,修改为:System\CurrentControlSet\Control\ProductOptions ,System\CurrentControlSet\Control\Server Applications,Software\Microsoft\Windows NT\CurrentVersion | 此安全设置确定哪些注册表项可以通过网络进行访问,而不管 Winreg 注册表项的访问控制列表(ACL)中列出的用户或组是什么。 |
| 检查“网络访问: 可远程访问的注册表路径和子路径” | 检查 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedPaths\中的Machine,Machine配置项应为:System\CurrentControlSet\Control\Print\Printers ,System\CurrentControlSet\Services\Eventlog,Software\Microsoft\OLAP Server, Software\Microsoft\Windows NT\CurrentVersion\Print ,Software\Microsoft\Windows NT\CurrentVersion\Windows,System\CurrentControlSet\Control\ContentIndex ,System\CurrentControlSet\Control\Terminal Server ,System\CurrentControlSet\Control\Terminal Server\UserConfig,System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration, Software\Microsoft\Windows NT\CurrentVersion\Perflib,System\CurrentControlSet\Services\SysmonLog | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\网络访问: 可远程访问的注册表路径和子路径,修改为:System\CurrentControlSet\Control\Print\Printers ,System\CurrentControlSet\Services\Eventlog,Software\Microsoft\OLAP Server, Software\Microsoft\Windows NT\CurrentVersion\Print ,Software\Microsoft\Windows NT\CurrentVersion\Windows,System\CurrentControlSet\Control\ContentIndex ,System\CurrentControlSet\Control\Terminal Server ,System\CurrentControlSet\Control\Terminal Server\UserConfig,System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration, Software\Microsoft\Windows NT\CurrentVersion\Perflib,System\CurrentControlSet\Services\SysmonLog | 此安全设置确定哪些注册表路径和子路径可以通过网络进行访问,而不管 Winreg 注册表项的访问控制列表(ACL)中列出的用户或组是什么。 |
| 检查“网络访问: 限制对命名管道和共享的匿名访问”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\中的restrictnullsessaccess,restrictnullsessaccess配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\网络访问: 限制对命名管道和共享的匿名访问,配置项值修改为:已启用 | 启用此安全设置会限制对以下设置的共享和管道的匿名访问: |
| 检查“网络访问: 可匿名访问的共享”策略是否设置为空 | 检查 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\中的NullSessionShares,NullSessionShares配置项应为:None | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\网络访问: 可匿名访问的共享,配置项值修改为:None | 此安全设置确定匿名用户可以访问哪些网络共享。 |
| 检查“网络访问: 本地帐户的共享和安全模型” | 检查 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\中的ForceGuest,ForceGuest配置项应为:0 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\网络访问: 本地帐户的共享和安全模型,配置项值修改为:0 | 此安全设置确定如何对使用本地帐户的网络登录进行身份验证。如果将此设置设为“经典”,使用本地帐户凭据的网络登录通过这些凭据进行身份验证。“经典”模型能够对资源的访问权限进行精细的控制。通过使用“经典”模型,您可以针对同一个资源为不同用户授予不同类型的访问权限。 |
| 检查“网络安全: 允许本地系统将计算机标识用于 NTLM”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\中的UseMachineId,UseMachineId配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\网络安全: 允许本地系统将计算机标识用于 NTLM,配置项值修改为:已启用 | 此策略设置允许使用协商的本地系统服务在恢复为 NTLM 身份验证时使用计算机标识。 |
| 检查“网络安全: 允许 LocalSystem NULL 会话回退”策略是否禁用 | 检查 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\中的allownullsessionfallback,allownullsessionfallback配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\网络安全: 允许 LocalSystem NULL 会话回退,配置项值修改为:已禁用 | 使用 LocalSystem 时,允许 NTLM 回退到 NULL 会话。 |
| 检查“网络安全: 允许对此计算机的 PKU2U 身份验证请求使用联机标识”策略是否禁用 | 检查 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\pku2u\中的AllowOnlineID,AllowOnlineID配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\网络安全: 允许对此计算机的 PKU2U 身份验证请求使用联机标识,配置项值修改为:已禁用 | 默认情况下,此策略在加入域的计算机上是关闭的。这将不允许联机标识对运行 Windows 7 的加入域的计算机进行身份验证。 |
| 检查“网络安全: 配置 Kerberos 允许的加密类型” | 检查 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\中的SupportedEncryptionTypes,SupportedEncryptionTypes配置项应为:2147483644 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\网络安全: 配置 Kerberos 允许的加密类型,配置项值修改为:RC4_HMAC_MD5, AES128_HMAC_SHA1, AES256_HMAC_SHA1, Future encryption types | 此策略设置让您可以设置允许 Kerberos 使用的加密类型。 |
| 检查“网络安全: 在下一次更改密码时不存储 LAN 管理器哈希值”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\中的NoLMHash,NoLMHash配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\网络安全: 在下一次更改密码时不存储 LAN 管理器哈希值,配置项值修改为:已启用 | 此安全设置确定在下一次更改密码时是否为新密码存储 LAN 管理器(LM)哈希值。相比加密性更强的 Windows NT 哈希,LM 哈希的加密性相对较弱,易于受攻击。由于 LM 哈希存储在本地计算机上的安全数据库中,因此,一旦安全数据库受到攻击,密码便会泄漏。 |
| 检查“网络安全: 在超过登录时间后强制注销”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\中的EnableForcedLogOff,EnableForcedLogOff配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\Microsoft 网络服务器: 登录时间过期后断开与客户端的连接,修改为:已启用 | 此安全设置确定在连接到本地计算机的用户超出其用户帐户的有效登录时间时是否断开与其的连接。此设置会影响服务器消息块(SMB)组件。 |
| 检查“网络安全: LAN 管理器身份验证级别”策略是否设置为“仅发送 NTLMv2 响应\拒绝 LM & NTL” | 检查 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\中的LmCompatibilityLevel,LmCompatibilityLevel配置项应为:5(仅发送 NTLMv2 响应\拒绝 LM & NTL) | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\网络安全: LAN 管理器身份验证级别,配置项值修改为:仅发送 NTLMv2 响应\拒绝 LM & NTL | 网络安全: LAN 管理器身份验证级别 |
| 检查“网络安全: LDAP 客户端签名要求”策略是否设置为协商签名 | 检查 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LDAP\中的LDAPClientIntegrity,LDAPClientIntegrity配置项应为:大于等于1 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\网络安全: LDAP 客户端签名要求,配置项值修改为:大于等于1 | 此安全设置确定代表发出 LDAP BIND 请求的客户端请求的数据签名等级,其设置值如下: |
| 检查“网络安全: 基于 NTLM SSP 的(包括安全 RPC)客户端的最小会话安全”策略是否设置为“要求 NTLMv2 会话安全,要求 128 位加密” | 检查 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\中的NTLMMinServerSec,NTLMMinServerSec配置项应为:537,395,200(要求 NTLMv2 会话安全,要求 128 位加密) | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\网络安全: 基于 NTLM SSP 的(包括安全 RPC)服务器的最小会话安全,配置项值修改为:要求 NTLMv2 会话安全,要求 128 位加密 | 此安全设置允许服务器要求协商 128 位加密和/或 NTLMv2 会话安全。这些值取决于 LAN 管理器身份验证级别安全设置值。这些选项包括: |
| 检查“网络安全: 基于 NTLM SSP 的(包括安全 RPC)服务器的最小会话安全”策略是否设置为“要求 NTLMv2 会话安全,要求 128 位加密” | 检查 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\中的NTLMMinServerSec,NTLMMinServerSec配置项应为:537,395,200(要求 NTLMv2 会话安全,要求 128 位加密) | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\网络安全: 基于 NTLM SSP 的(包括安全 RPC)服务器的最小会话安全,配置项值修改为:要求 NTLMv2 会话安全,要求 128 位加密 | 此安全设置允许服务器要求协商 128 位加密和/或 NTLMv2 会话安全。这些值取决于 LAN 管理器身份验证级别安全设置值。这些选项包括: |
| 检查“关机: 允许系统在未登录的情况下关闭”策略是否禁用 | 检查 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\中的ShutdownWithoutLogon,ShutdownWithoutLogon配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\关机: 允许系统在未登录的情况下关闭,配置项值修改为:已禁用 | 此安全设置确定是否可以在无需登录 Windows 的情况下关闭计算机。 |
| 检查“系统对象: 非 Windows 子系统不要求区分大小写”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Kernel\中的ObCaseInsensitive,ObCaseInsensitive配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\系统对象: 非 Windows 子系统不要求区分大小写,配置项值修改为:已启用 | 此安全设置确定是否在所有子系统上强制要求不区分大小写。Win32 子系统不区分大小写。但是,内核支持其他子系统区分大小写,如 POSIX。 |
| 检查“系统对象: 增强内部系统对象的默认权限(例如,符号链接)”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\中的ProtectionMode,ProtectionMode配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\系统对象: 增强内部系统对象的默认权限(例如,符号链接),配置项值修改为:已启用 | 该安全设置确定对象的默认随机访问控制列表(DACL)的强度。 |
| 检查 "系统设置: 可选子系统" 策略是否定义为空 | 检查 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Subsystems\中的Optional,Optional配置项值应为:空 | 请使用运行,输入gpedit.msc,找到 计算机配置\安全设置\本地策略\安全选项\系统设置: 可选子系统,配置项值修改为:空(空字符串) | 此安全设置确定可选择启动哪些子系统来支持应用程序。使用此安全设置,可以根据环境的需求指定任意多个支持应用程序的子系统。 |
| 检查“用户帐户控制: 对内置管理员帐户使用管理审批模式”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\中的FilterAdministratorToken,FilterAdministratorToken配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\用户帐户控制: 对内置管理员帐户使用管理审批模式,配置项值修改为:已启用 | 此策略设置控制内置管理员帐户的管理审批模式的行为。 |
| 检查“用户帐户控制: 允许 UIAccess 应用程序在不使用安全桌面的情况下提示提升”策略是否禁用 | 检查 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\中的EnableUIADesktopToggle,EnableUIADesktopToggle配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\用户帐户控制: 允许 UIAccess 应用程序在不使用安全桌面的情况下提示提升,配置项值修改为:已禁用 | 此策略设置控制用户界面辅助功能(UIAccess 或 UIA)程序是否可以自动禁用标准用户用来进行提升提示的安全桌面。 |
| 检查“用户帐户控制: 在管理审批模式下管理员的提升提示行为”策略是否设置为“在安全桌面上同意提示” | 检查 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\中的ConsentPromptBehaviorAdmin,ConsentPromptBehaviorAdmin配置项应为:2(在安全桌面上同意提示) | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\用户帐户控制: 在管理审批模式下管理员的提升提示行为,配置项值修改为:2(在安全桌面上同意提示) | 此策略设置控制管理员的提升提示行为。 |
| 检查“用户帐户控制: 标准用户的提升提示行为”策略是否设置为“自动拒绝提升请求” | 检查 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\中的ConsentPromptBehaviorUser,ConsentPromptBehaviorUser配置项应为:0(自动拒绝提升请求) | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\用户帐户控制: 标准用户的提升提示行为,配置项值修改为:自动拒绝提升请求 | 此策略设置控制标准用户的提升提示行为。 |
| 检查“用户帐户控制: 检测应用程序安装和提示提升”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\中的EnableInstallerDetection,EnableInstallerDetection配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\用户帐户控制: 检测应用程序安装和提示提升,配置项值修改为:已启用 | 此策略设置控制计算机的应用程序安装检测行为。 |
| 检查“用户帐户控制: 仅提升安装在安全位置的 UIAccess 应用程序”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\中的EnableSecureUIAPaths,EnableSecureUIAPaths配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\用户帐户控制: 仅提升安装在安全位置的 UIAccess 应用程序,配置项值修改为:已启用 | 此策略设置控制请求使用用户界面辅助功能(UIAccess)完整性级别运行的应用程序是否必须位于文件系统上的安全位置。安全位置限于以下目录: |
| 检查“用户帐户控制: 启用管理审批模式”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\中的EnableLUA,EnableLUA配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\用户帐户控制: 启用管理审批模式,配置项值修改为:已启用 | 此策略设置控制计算机的所有用户帐户控制(UAC)策略设置行为。如果更改此策略设置,则必须重新启动计算机。 |
| 检查“用户帐户控制: 提示提升时切换到安全桌面”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\中的PromptOnSecureDesktop,PromptOnSecureDesktop配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\用户帐户控制: 提示提升时切换到安全桌面,配置项值修改为:已启用 | 此策略设置控制提升请求是在交互式用户桌面上提示还是在安全桌面上提示。 |
| 检查“用户帐户控制: 将文件及注册表写入失败虚拟化到每用户位置”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\中的EnableVirtualization,EnableVirtualization配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\用户帐户控制: 将文件及注册表写入失败虚拟化到每用户位置,配置项值修改为:已启用 | 此策略设置控制是否将应用程序写入失败重定向到定义的注册表和文件系统位置。此策略设置将缓和以管理员身份运行的应用程序,并将运行时应用程序数据写入 %ProgramFiles%、%Windir%、%Windir%\system32 或 HKLM\Software。 |
| 检查“域:防火墙状态”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\DomainProfile\中的EnableFirewall,EnableFirewall配置项应为:1 | 请使用运行,输入regedit,找到注册表 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\DomainProfile\键值:EnableFirewall,配置项值修改为:1 | 选择“启用(推荐)”可以使 Windows 防火墙使用此配置文件的设置筛选网络流量。如果选择“关闭”,Windows 防火墙将不使用此配置文件的任何防火墙规则或连接安全规则。 |
| 检查“域:入站连接”策略是否设置为阻止 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\DomainProfile\中的DefaultInboundAction,DefaultInboundAction配置项应为:Block | 请使用运行,输入regedit,找到注册表 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\DomainProfile\键值:DefaultInboundAction,配置项值修改为:Block | 此设置用于确定与入站防火墙规则不匹配的入站连接行为。默认行为是阻止连接,除非有防火墙规则允许连接。 |
| 检测“域:出站连接”策略是否设置为允许 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\DomainProfile\中的DefaultOutboundAction,DefaultOutboundAction配置项应为:0 | 请使用运行,输入regedit,找到注册表 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\DomainProfile\键值:DefaultOutboundAction,配置项值修改为:0 | 此设置用于确定与出站防火墙规则不匹配的出站连接行为。默认行为是允许连接,除非有防火墙规则阻止连接。 |
| 检测“域:显示通知”策略是否设置为否 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\DomainProfile\中的DisableNotifications,DisableNotifications配置项应为:0 | 请使用运行,输入regedit,找到注册表 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\DomainProfile\键值:DisableNotifications,配置项值修改为:0 | 选择此选项可以使高级安全 Windows 防火墙在某个程序被阻止接收入站连接时向用户显示通知。 |
| 检查“域:应用本地防火墙规则”策略是否设置为是 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\DomainProfile\中的AllowLocalPolicyMerge,AllowLocalPolicyMerge配置项应为:1 | 请使用运行,输入regedit,找到注册表 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\DomainProfile\键值:AllowLocalPolicyMerge,配置项值修改为:1 | 除了组策略应用的特定于此计算机的防火墙规则之外,还要在允许管理员在此计算机上创建和应用本地防火墙规则时,选择此选项。清除此选项后,管理员仍然可以创建规则,但不会应用本地定义的规则。只有通过组策略配置策略时才能使用此设置。 |
| 检查“域:应用本地连接规则”策略是否设置为是 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\DomainProfile\中的AllowLocalIPsecPolicyMerge,AllowLocalIPsecPolicyMerge配置项应为:1 | 请使用运行,输入regedit,找到注册表 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\DomainProfile\键值:AllowLocalIPsecPolicyMerge,配置项值修改为:1 | 除了组策略应用的特定于此计算机的连接安全规则之外,还要在允许管理员在此计算机上创建和应用本地连接安全规则时,选择此选项。清除此选项后,管理员仍然可以创建规则,但不会应用本地定义的规则。只有通过组策略配置策略时才能使用此设置。 |
| 检查“域:日志名称”策略设置路径 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\中的LogFilePath,LogFilePath配置项应为:%SYSTEMROOT%\System32\logfiles\firewall\domainfw.log | 请使用运行,输入regedit,找到注册表 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\键值:LogFilePath,配置项值修改为:%SYSTEMROOT%\System32\logfiles\firewall\domainfw.log | 输入希望 Windows 防火墙在其中写入其日志信息的文件的路径和名称。如果要配置将部署到多台计算机的组策略对象 (GPO),请使用可用环境变量(如 %windir%),以确保对于网络上的每台计算机该位置均是正确的。 |
| 检查“域:日志大小限制”策略是否设置为16384 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\中的LogFileSize,LogFileSize配置项应为:大于等于16384 | 请使用运行,输入regedit,找到注册表 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\键值:LogFileSize,配置项值修改为:大于等于16384 | 指定允许文件增长到的最大大小。该值必须介于 1 和 32,767 千字节 (KB) 之间。 |
| 检查“域:记录被丢弃的数据包”策略是否设置为是 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\中的LogDroppedPackets,LogDroppedPackets配置项应为:1 | 请使用运行,输入regedit,找到注册表 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\键值:LogDroppedPackets,配置项值修改为:1 | 使用此选项可以在高级安全 Windows 防火墙以任何原因丢弃入站数据包时记录日志。日志将记录丢弃数据包的原因和时间。在日志的“操作”列中查找带有单词 DROP 的条目。 |
| 检查“域:记录成功的连接”策略是否设置为是 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\中的LogSuccessfulConnections,LogSuccessfulConnections配置项应为:1 | 请使用运行,输入regedit,找到注册表 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\键值:LogSuccessfulConnections,配置项值修改为:1 | 使用此选项可以在高级安全 Windows 防火墙以任何原因丢弃入站数据包时记录日志。日志将记录丢弃数据包的原因和时间。在日志的“操作”列中查找带有单词 DROP 的条目。 |
| 检查“专用:防火墙状态”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\PrivateProfile\中的EnableFirewall,EnableFirewall配置项应为:1 | 请使用运行,输入regedit,找到注册表 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\PrivateProfile\键值:EnableFirewall,配置项值修改为:1 | 选择“启用(推荐)”可以使 Windows 防火墙使用此配置文件的设置筛选网络流量。如果选择“关闭”,Windows 防火墙将不使用此配置文件的任何防火墙规则或连接安全规则。 |
| 检查“专用:入站连接”策略是否设置为阻止 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\PrivateProfile\中的DefaultInboundAction,DefaultInboundAction配置项应为:1 | 请使用运行,输入regedit,找到注册表 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\PrivateProfile\键值:DefaultInboundAction,配置项值修改为:1 | 此设置用于确定与入站防火墙规则不匹配的入站连接行为。默认行为是阻止连接,除非有防火墙规则允许连接。 |
| 检查“专用:出站连接”策略是否设置为允许 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\PrivateProfile\中的DefaultOutboundAction,DefaultOutboundAction配置项应为:0 | 请使用运行,输入regedit,找到注册表 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\PrivateProfile\键值:DefaultOutboundAction,配置项值修改为:0 | 此设置用于确定与出站防火墙规则不匹配的出站连接行为。默认行为是允许连接,除非有防火墙规则阻止连接。 |
| 检查“专用:显示通知”策略是否设置为否 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\PrivateProfile\中的DisableNotifications,DisableNotifications配置项应为:0 | 请使用运行,输入regedit,找到注册表 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\PrivateProfile\键值:DisableNotifications,配置项值修改为:0 | 选择此选项可以使高级安全 Windows 防火墙在某个程序被阻止接收入站连接时向用户显示通知。 |
| 检查“专用:应用本地防火墙规则”策略是否设置为是 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\PrivateProfile\中的AllowLocalPolicyMerge,AllowLocalPolicyMerge配置项应为:1 | 请使用运行,输入regedit,找到注册表 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\PrivateProfile\键值:AllowLocalPolicyMerge,配置项值修改为:1 | 除了组策略应用的特定于此计算机的防火墙规则之外,还要在允许管理员在此计算机上创建和应用本地防火墙规则时,选择此选项。清除此选项后,管理员仍然可以创建规则,但不会应用本地定义的规则。只有通过组策略配置策略时才能使用此设置。 |
| 检查“专用:应用本地连接规则”策略是否设置为是 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\PrivateProfile\中的AllowLocalIPsecPolicyMerge,AllowLocalIPsecPolicyMerge配置项应为:1 | 请使用运行,输入regedit,找到注册表 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\PrivateProfile\键值:AllowLocalIPsecPolicyMerge,配置项值修改为:1 | 除了组策略应用的特定于此计算机的连接安全规则之外,还要在允许管理员在此计算机上创建和应用本地连接安全规则时,选择此选项。清除此选项后,管理员仍然可以创建规则,但不会应用本地定义的规则。只有通过组策略配置策略时才能使用此设置。 |
| 检查“专用:日志名称”策略设置路径 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\中的LogFilePath,LogFilePath配置项应为:%SYSTEMROOT%\System32\logfiles\firewall\privatefw.log | 请使用运行,输入regedit,找到注册表 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\键值:LogFilePath,配置项值修改为:%SYSTEMROOT%\System32\logfiles\firewall\privatefw.log | 输入希望 Windows 防火墙在其中写入其日志信息的文件的路径和名称。如果要配置将部署到多台计算机的组策略对象 (GPO),请使用可用环境变量(如 %windir%),以确保对于网络上的每台计算机该位置均是正确的。 |
| 检查“专用:日志大小限制”策略是否设置为16384 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\中的LogFileSize,LogFileSize配置项应为:大于等于16384 | 请使用运行,输入regedit,找到注册表 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\键值:LogFileSize,配置项值修改为:大于等于16384 | 指定允许文件增长到的最大大小。该值必须介于 1 和 32,767 千字节 (KB) 之间。 |
| 检查“专用:记录被丢弃的数据包”策略是否设置为是 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\中的LogDroppedPackets,LogDroppedPackets配置项应为:1 | 请使用运行,输入regedit,找到注册表 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\键值:LogDroppedPackets,配置项值修改为:1 | 使用此选项可以在高级安全 Windows 防火墙以任何原因丢弃入站数据包时记录日志。日志将记录丢弃数据包的原因和时间。在日志的“操作”列中查找带有单词 DROP 的条目。 |
| 检查“专用:记录成功的连接”策略是否设置为是 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\中的LogSuccessfulConnections,LogSuccessfulConnections配置项应为:1 | 请使用运行,输入regedit,找到注册表 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\键值:LogSuccessfulConnections,配置项值修改为:1 | 使用此选项可以在高级安全 Windows 防火墙允许入站连接时记录日志。日志将记录建立连接的原因和时间。在日志的“操作”列中查找带有单词 ALLOW 的条目。 |
| 检查“公用:防火墙状态”策略是否设置为启用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\PublicProfile\中的EnableFirewall,EnableFirewall配置项应为:1 | 请使用运行,输入regedit,找到注册表 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\PublicProfile\键值:EnableFirewall,配置项值修改为:1 | 选择“启用(推荐)”可以使 Windows 防火墙使用此配置文件的设置筛选网络流量。如果选择“关闭”,Windows 防火墙将不使用此配置文件的任何防火墙规则或连接安全规则。 |
| 检测“公用:入站连接”策略是否设置为阻止 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\PublicProfile\中的DefaultInboundAction,DefaultInboundAction配置项应为:1 | 请使用运行,输入regedit,找到注册表 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\PublicProfile\键值:DefaultInboundAction,配置项值修改为:1 | 此设置用于确定与入站防火墙规则不匹配的入站连接行为。默认行为是阻止连接,除非有防火墙规则允许连接。 |
| 检测“公用:出站连接”策略是否设置为允许 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\PublicProfile\中的DefaultOutboundAction,DefaultOutboundAction配置项应为:0 | 请使用运行,输入regedit,找到注册表 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\PublicProfile\键值:DefaultOutboundAction,配置项值修改为:0 | 此设置用于确定与出站防火墙规则不匹配的出站连接行为。默认行为是允许连接,除非有防火墙规则阻止连接。 |
| 检查“公用:显示通知”策略是否设置为是 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\PublicProfile\中的DisableNotifications,DisableNotifications配置项应为:1 | 请使用运行,输入regedit,找到注册表 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\PublicProfile\键值:DisableNotifications,配置项值修改为:1 | 选择此选项可以使高级安全 Windows 防火墙在某个程序被阻止接收入站连接时向用户显示通知。 |
| 检查“公用:应用本地防火墙规则”策略是否设置为否 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\PublicProfile\中的AllowLocalPolicyMerge,AllowLocalPolicyMerge配置项应为:0 | 请使用运行,输入regedit,找到注册表 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\PublicProfile\键值:AllowLocalPolicyMerge,配置项值修改为:0 | 除了组策略应用的特定于此计算机的防火墙规则之外,还要在允许管理员在此计算机上创建和应用本地防火墙规则时,选择此选项。清除此选项后,管理员仍然可以创建规则,但不会应用本地定义的规则。只有通过组策略配置策略时才能使用此设置。 |
| 检查“公用:应用本地连接规则”策略是否设置为否 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\PublicProfile\中的AllowLocalIPsecPolicyMerge,AllowLocalIPsecPolicyMerge配置项应为:0 | 请使用运行,输入regedit,找到注册表 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\PublicProfile\键值:AllowLocalIPsecPolicyMerge,配置项值修改为:0 | 除了组策略应用的特定于此计算机的连接安全规则之外,还要在允许管理员在此计算机上创建和应用本地连接安全规则时,选择此选项。清除此选项后,管理员仍然可以创建规则,但不会应用本地定义的规则。只有通过组策略配置策略时才能使用此设置。 |
| 检查“公用:日志名称”策略设置路径 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\中的LogFilePath,LogFilePath配置项应为:%SYSTEMROOT%\System32\logfiles\firewall\publicfw.log | 请使用运行,输入regedit,找到注册表 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\键值:LogFilePath,配置项值修改为:%SYSTEMROOT%\System32\logfiles\firewall\publicfw.log | 输入希望 Windows 防火墙在其中写入其日志信息的文件的路径和名称。如果要配置将部署到多台计算机的组策略对象 (GPO),请使用可用环境变量(如 %windir%),以确保对于网络上的每台计算机该位置均是正确的。 |
| 检查“公用:日志大小限制”策略是否设置为16384 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\中的LogFileSize,LogFileSize配置项应为:大于等于16384 | 请使用运行,输入regedit,找到注册表 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\键值:LogFileSize,配置项值修改为:大于等于16384 | 指定允许文件增长到的最大大小。该值必须介于 1 和 32,767 千字节 (KB) 之间。 |
| 检查“公用:记录被丢弃的数据包”策略是否设置为是 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\中的LogDroppedPackets,LogDroppedPackets配置项应为:1 | 请使用运行,输入regedit,找到注册表 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\键值:LogDroppedPackets,配置项值修改为:1 | 使用此选项可以在高级安全 Windows 防火墙以任何原因丢弃入站数据包时记录日志。日志将记录丢弃数据包的原因和时间。在日志的“操作”列中查找带有单词 DROP 的条目。 |
| 检查“公用:记录成功的连接”策略是否设置为是 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\中的LogSuccessfulConnections,LogSuccessfulConnections配置项应为:1 | 请使用运行,输入regedit,找到注册表 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\键值:LogSuccessfulConnections,配置项值修改为:1 | 使用此选项可以在高级安全 Windows 防火墙允许入站连接时记录日志。日志将记录建立连接的原因和时间。在日志的“操作”列中查找带有单词 ALLOW 的条目。 |
| 检查“审核凭据验证”策略是否设置为成功和失败 | 检查 计算机配置\策略\Windows设置\安全设置\高级审计策略配置\审计策略\账户登录\审核凭据验证,审核凭据验证配置项应为:成功和失败 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\高级审计策略配置\审计策略\账户登录\审核凭据验证,修改其值为:成功和失败 | 此策略设置允许您审核通过对用户帐户登录凭据执行验证测试生成的事件。 |
| 检查“审核应用程序组管理”策略是否设置为成功和失败 | 检查 计算机配置\策略\Windows设置\安全设置\高级审计策略配置\审计策略\账户管理\审核应用程序组管理,审核应用程序组管理配置项应为:成功和失败 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\高级审计策略配置\审计策略\账户管理\审核应用程序组管理,修改其值为:成功和失败 | 此策略设置允许您审核由更改应用程序组生成的事件,例如:创建、更改或删除应用程序组;添加或删除应用程序组成员。 |
| 检查“审核计算机帐户管理”策略是否设置为成功和失败 | 检查 计算机配置\策略\Windows设置\安全设置\高级审计策略配置\审计策略\账户管理\审核计算机帐户管理,审核计算机帐户管理配置项应为:成功和失败 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\高级审计策略配置\审计策略\账户管理\审核计算机帐户管理,修改其值为:成功和失败 | 此策略设置允许您审核由更改计算机帐户(例如在创建、更改或删除计算机帐户时)生成的事件。 |
| 检查“审核分发组管理”策略是否设置为成功和失败 | 检查 计算机配置\策略\Windows设置\安全设置\高级审计策略配置\审计策略\账户管理\审核分发组管理,审核分发组管理配置项应为:成功和失败 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\高级审计策略配置\审计策略\账户管理\审核分发组管理,修改其值为:成功和失败 | 此策略设置允许您审核由更改分发组生成的事件,例如:创建、更改或删除分发组;添加或删除分发组成员;更改分发组类型。如果配置此策略设置,则在尝试更改分发组时会生成审核事件。 |
| 检查“审核其他帐户管理事件”策略是否设置为成功和失败 | 检查 计算机配置\策略\Windows设置\安全设置\高级审计策略配置\审计策略\账户管理\审核其他帐户管理事件,审核其他帐户管理事件配置项应为:成功和失败 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\高级审计策略配置\审计策略\账户管理\审核其他帐户管理事件,修改其值为:成功和失败 | 此策略设置允许您审阅由未包含在此类别中的其他用户帐户更改生成的事件,例如:访问某个用户帐户的密码哈希。这通常发生在 Active Directory 管理工具密码迁移过程中;调用密码策略检查 API。当恶意应用程序测试此策略以减少在密码字典攻击中的攻击尝试次数时,调用此函数可能导致攻击加重。 |
| 检查“审核安全组管理”策略是否设置为成功和失败 | 检查 计算机配置\策略\Windows设置\安全设置\高级审计策略配置\审计策略\账户管理\审核安全组管理,审核安全组管理配置项应为:成功和失败 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\高级审计策略配置\审计策略\账户管理\审核安全组管理,修改其值为:成功和失败 | 此策略设置允许您审核由更改安全组生成的事件,例如:创建、更改或删除安全组;添加或删除安全组成员;更改组类型。如果配置此策略设置,则在尝试更改安全组时会生成审核事件。 |
| 检查“审核用户帐户管理”策略是否设置为成功和失败 | 检查 计算机配置\策略\Windows设置\安全设置\高级审计策略配置\审计策略\账户管理\审核用户帐户管理,审核用户帐户管理配置项应为:成功和失败 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\高级审计策略配置\审计策略\账户管理\审核用户帐户管理,修改其值为:成功和失败 | 此策略设置允许您审核对用户帐户的更改。包括下列事件:创建、更改、删除用户帐户;重命名、禁用、启用、锁定或解锁用户帐户;设置或更改用户帐户的密码;向用户帐户的 SID 历史记录添加安全标识符(SID);配置目录服务还原模式密码;更改管理用户帐户的权限;备份或还原凭据管理器凭据。如果配置此策略设置,则在尝试更改用户帐户时会生成审核事件。 |
| 检查“审核进程创建”策略是否设置为成功 | 检查 计算机配置\策略\Windows设置\安全设置\高级审计策略配置\审计策略\DetailedTracking\审核进程创建,审核进程创建配置项应为:成功 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\高级审计策略配置\审计策略\DetailedTracking\审核进程创建,修改其值为:成功 | 此策略设置允许您审核在创建或启动进程时生成的事件。也会审核创建进程的应用程序或用户的名称。 |
| 检查“审核目录服务访问”策略是否设置为成功和失败 | 检查 计算机配置\策略\Windows设置\安全设置\高级审计策略配置\审计策略\DS 访问\审核目录服务访问,审核目录服务访问配置项应为:成功和失败 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\高级审计策略配置\审计策略\DS 访问\审核目录服务访问,修改其值为:成功和失败 | 此策略设置允许您审核在访问 Active Directory 域服务(AD DS)对象时生成的事件。只记录具备匹配的系统访问控制列表(SACL)的 AD DS 对象。 |
| 检查“审核域服务对象更改”策略是否设置为成功和失败 | 检查 计算机配置\策略\Windows设置\安全设置\高级审计策略配置\审计策略\DSAccess\审核域服务对象更改,审核域服务对象更改配置项应为:成功和失败 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\高级审计策略配置\审计策略\DSAccess\审核域服务对象更改,修改其值为:成功和失败 | 此策略设置允许您审核由更改 Active Directory 域服务(AD DS)中的对象生成的事件。在创建、删除、修改、移动或撤消删除对象时会记录事件。如果可能,在此子类别中记录的事件会指示对象属性的旧值和新值。此子类别中的事件只在域控制器上记录,并且只记录 AD DS 中具备匹配的系统访问控制列表(SACL)的对象。 |
| 检查“审核帐户锁定”策略是否设置为成功 | 检查 计算机配置\策略\Windows设置\安全设置\高级审计策略配置\审计策略\登录/登出\审核帐户锁定,审核帐户锁定配置项应为为:成功 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\高级审计策略配置\审计策略\登录/登出\审核帐户锁定,修改其值为:成功 | 此策略设置允许您审核由尝试登录到已锁定帐户失败而生成的事件 |
| 检查“审核注销”策略是否设置为成功 | 检查 计算机配置\策略\Windows设置\安全设置\高级审计策略配置\审计策略\登录/登出\审核注销,审核注销配置项应为为:成功 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\高级审计策略配置\审计策略\登录/登出\审核注销,修改其值为:成功 | 此策略设置允许您审核由关闭登录会话生成的事件。这些事件发生在被访问的计算机上。对于交互式登录,在用户帐户登录的计算机上生成安全审核事件。 |
| 检查“审核登录策略”是否设置为成功和失败 | 检查 计算机配置\策略\Windows设置\安全设置\高级审计策略配置\审计策略\登录/登出\审核登录,审核登录配置项应为:成功和失败 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\高级审计策略配置\审计策略\登录/登出\审核登录,修改其值为:成功和失败 | 此策略设置允许您审核由计算机上的用户帐户登录尝试生成的事件。此子类别中的事件与创建登录会话相关,并且发生在被访问的计算机上。对于交互式登录,在用户帐户登录的计算机上生成安全审核事件。对于网络登录(例如访问网络上的共享文件夹),在承载资源的计算机上生成安全审核事件。包括下列事件:成功的登录尝试;失败的登录尝试;使用明确凭据的登录尝试。当某个进程尝试通过明确指定帐户的凭据来登录该帐户时会生成此事件。这种情况最常出现在批登录配置中,例如计划任务或使用 RUNAS 命令时;安全标识符(SID)被筛选掉并且不允许登录。 |
| 检查“审核其他登录/注销事件”策略是否设置为成功和失败 | 检查 计算机配置\策略\Windows设置\安全设置\高级审计策略配置\审计策略\登录/登出\审计Other登录审核其他登录/注销事件,审核其他登录/注销事件配置项应为:成功和失败 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\高级审计策略配置\审计策略\登录/登出\审计Other登录审核其他登录/注销事件,修改其值为:成功和失败 | 此策略设置允许您审核“登录/注销”策略设置未涵盖的其他登录/注销相关事件,例如:终端服务会话断开连接;新建终端服务会话;锁定和解锁工作站;调用屏幕保护程序;解除屏幕保护程序;检测到 Kerberos 重播攻击,即同一条 Kerberos 请求收到两次且信息相同。这可能是由网络配置错误导致的;授予某个用户或计算机帐户访问无线网络的权限;授予某个用户或计算机帐户访问有线 802.1x 网络的权限。 |
| 检查“审核特殊登录”策略是否设置为成功 | 检查 计算机配置\策略\Windows设置\安全设置\高级审计策略配置\审计策略\登录/登出\审核特殊登录,审核特殊登录配置项应为:成功 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\高级审计策略配置\审计策略\登录/登出\审核特殊登录,修改其值为:成功 | 此策略设置允许您审核由特殊登录生成的事件,例如:使用特殊登录,特殊登录拥有相当于管理员的权限并且可用于提升进程优先级;由特殊组成员发起的登录。特殊组允许您审核当某个组的成员登录到您的网络时生成的事件。 |
| 检查“审核审核策略更改”策略是否设置为成功和失败 | 检查 计算机配置\策略\Windows设置\安全设置\高级审计策略配置\审计策略\PolicyChange\审核审核策略更改,审核审核策略更改配置项应为:成功和失败 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\高级审计策略配置\审计策略\PolicyChange\审核审核策略更改,修改其值为:成功和失败 | 此策略设置允许您审核对安全审核策略设置的更改,例如:设置审核策略对象上的权限和审核设置;更改系统审核策略;注册安全事件源;注销安全事件源;更改每用户审核设置;更改 CrashOnAuditFail 的值;更改文件系统或注册表对象上的系统访问控制列表;更改特殊组列表。 |
| 检查“审核身份验证策略更改”策略是否设置为成功 | 检查 计算机配置\策略\Windows设置\安全设置\高级审计策略配置\审计策略\PolicyChange\审核身份验证策略更改,审核身份验证策略更改配置项应为:成功 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\高级审计策略配置\审计策略\PolicyChange\审核身份验证策略更改,修改其值为:成功 | 此策略设置允许您审核在使用敏感特权(用户权限)时生成的事件,例如:调用特权服务。调用下列特权之一:作为操作系统的一部分;备份文件和目录;创建令牌对象;调试程序;信任计算机和用户帐户可以执行委派;生成安全审核;身份验证后模拟客户端;加载和卸载设备驱动程序;管理审核和安全日志;修改固件环境值;替换进程级令牌;还原文件和目录;取得文件或其他对象的所有权。 |
| 检查“审核敏感权限使用”策略是否设置为成功和失败 | 检查 计算机配置\策略\Windows设置\安全设置\高级审计策略配置\审计策略\特权使用\审核敏感权限使用,审核敏感权限使用配置项应为:成功和失败 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\高级审计策略配置\审计策略\特权使用\审核敏感权限使用,修改其值为:成功和失败 | 此策略设置允许您审核在使用敏感特权(用户权限)时生成的事件,例如:调用特权服务。调用下列特权之一:作为操作系统的一部分;备份文件和目录;创建令牌对象;调试程序;信任计算机和用户帐户可以执行委派;生成安全审核;身份验证后模拟客户端;加载和卸载设备驱动程序;管理审核和安全日志;修改固件环境值;替换进程级令牌;还原文件和目录;取得文件或其他对象的所有权。 |
| 检查“审核IPsec 驱动程序”策略是否设置为成功和失败 | 检查 计算机配置\策略\Windows设置\安全设置\高级审计策略配置\审计策略\系统\审核IPsec 驱动程序,审核IPsec 驱动程序配置项应为:成功和失败 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\高级审计策略配置\审计策略\系统\审核IPsec 驱动程序,修改其值为:成功和失败 | 此策略设置允许您审核由 IPsec 筛选器驱动程序生成的事件,例如:启动和关闭 IPsec 服务;网络数据包由于完整性检查失败而被丢弃;网络数据包由于重播检查失败而被丢弃;网络数据包由于是纯文本而被丢弃;接收的网络数据包带有不正确的安全参数索引(SPI),这可能表示网卡工作不正常或驱动程序需要更新;无法处理 IPsec 筛选器。 |
| 检查“审核其他系统事件”策略是否设置为成功和失败 | 检查 计算机配置\策略\Windows设置\安全设置\高级审计策略配置\审计策略\系统\审核其他系统事件,审核其他系统事件配置项应为:成功和失败 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\高级审计策略配置\审计策略\系统\审核其他系统事件,修改其值为:成功和失败 | 此策略设置允许您审核以下任意事件:启动和关闭 Windows 防火墙服务和驱动程序;由 Windows 防火墙服务执行的安全策略处理;加密密钥文件和迁移操作。 |
| 检查“审核安全状态更改”策略是否设置为成功 | 检查 计算机配置\策略\Windows设置\安全设置\高级审计策略配置\审计策略\系统\审核安全状态更改,审核安全状态更改配置项应为:成功 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\高级审计策略配置\审计策略\系统\审核安全状态更改,修改其值为:成功 | 此策略设置允许您审核由更改计算机的安全状态生成的事件,例如以下事件:启动和关闭计算机;更改系统时间;从 CrashOnAuditFail 恢复系统,在安全事件日志已满并配置了 CrashOnAuditFail 注册表项的情况下,系统重启后记录该事件。 |
| 检查“审核安全系统扩展”策略是否设置为成功和失败 | 检查 计算机配置\策略\Windows设置\安全设置\高级审计策略配置\审计策略\系统\审核安全系统扩展,审核安全系统扩展配置项应为:成功和失败 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\高级审计策略配置\审计策略\系统\审核安全系统扩展,修改其值为:成功和失败 | 此策略设置允许您审核与安全系统扩展或服务相关的事件,例如:安全系统扩展,例如加载验证包、通知包或安全包并在本地安全机构(LSA)注册;安装服务并在服务控制管理器上注册。审核日志包括有关服务名称、二进制、类型、启动类型和服务帐户的信息。 |
| 检查“审核系统完整性”策略是否设置为成功和失败 | 检查 计算机配置\策略\Windows设置\安全设置\高级审计策略配置\审计策略\系统\审核系统完整性,审核系统完整性配置项应为:成功和失败 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\Windows设置\安全设置\高级审计策略配置\审计策略\系统\审核系统完整性,修改其值为:成功和失败 | 此策略设置允许您审核破坏安全子系统完整性的事件,例如:由于审核系统的问题而无法写入事件日志的事件;进程在尝试通过在客户端地址空间中执行回复、读取或写入操作模拟客户端时使用无效的本地过程调用(LPC)端口;检测到危害系统完整性的远程过程调用(RPC);检测到可执行文件的哈希值无效(由代码完整性决定);危害系统完整性的加密操作。 |
| 检查“LAPS的AdmPwd GPO扩展/CSE”是否安装 | 检查 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}\中的DllName,DllName配置项应为:C:\Program Files\LAPS\CSE\AdmPwd.dll | 请使用运行,输入regedit,找到注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}\键值:DllName,配置项值修改为:C:\Program Files\LAPS\CSE\AdmPwd.dll | 在2015年5月,Microsoft发布了本地管理员密码解决方案(LAPS)工具,它是免费和支持的软件,允许组织在域连接的工作站和成员服务器上自动设置随机和唯一的本地管理员帐户密码。 密码存储在域计算机帐户的机密属性中,并且可以在需要时由经批准的Sysadmins从Active Directory检索。 |
| 检查“LAPS:不允许密码过期时间超过策略要求”是否设置为启用 | 检查 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft Services\AdmPwd\中的PwdExpirationProtectionEnabled,PwdExpirationProtectionEnabled配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\LAPS\密码最长使用期限,配置项值修改为:已启用 | 在2015年5月,Microsoft发布了本地管理员密码解决方案(LAPS)工具,它是免费和支持的软件,允许组织在域连接的工作站和成员服务器上自动设置随机和唯一的本地管理员帐户密码。 密码存储在域计算机帐户的机密属性中,并且可以在需要时由经批准的Sysadmins从Active Directory检索。 |
| 检查“ LAPS:启用本地管理员密码管理”是否设置为启用 | 检查 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft Services\AdmPwd\中的AdmPwdEnabled,AdmPwdEnabled配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\LAPS\不允许密码过期时间超过策略要求,配置项值修改为:已启用 | 在2015年5月,Microsoft发布了本地管理员密码解决方案(LAPS)工具,它是免费和支持的软件,允许组织在域连接的工作站和成员服务器上自动设置随机和唯一的本地管理员帐户密码。 密码存储在域计算机帐户的机密属性中,并且可以在需要时由经批准的Sysadmins从Active Directory检索。 |
| 检查“密码必须符合复杂性要求”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft Services\AdmPwd\中的PasswordComplexity,PasswordComplexity配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\LAPS\密码必须符合复杂性要求,配置项值修改为:已启用 | 在2015年5月,Microsoft发布了本地管理员密码解决方案(LAPS)工具,它是免费和支持的软件,允许组织在域连接的工作站和成员服务器上自动设置随机和唯一的本地管理员帐户密码。 密码存储在域计算机帐户的机密属性中,并且可以在需要时由经批准的Sysadmins从Active Directory检索。 |
| 检查“密码设置:密码长度”设置是否大于等于15 | 检查 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft Services\AdmPwd\中的PasswordLength,PasswordLength配置项应为:15 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\LAPS\密码长度最小值,配置项值修改为:15 | 在2015年5月,Microsoft发布了本地管理员密码解决方案(LAPS)工具,它是免费和支持的软件,允许组织在域连接的工作站和成员服务器上自动设置随机和唯一的本地管理员帐户密码。 密码存储在域计算机帐户的机密属性中,并且可以在需要时由经批准的Sysadmins从Active Directory检索。 |
| 检查“密码设置:最长使用天数”设置是否小于等于30 | 检查 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft Services\AdmPwd\中的PasswordAgeDays,PasswordAgeDays配置项应为:30 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\LAPS\密码最长使用期限,配置项值修改为:30 | 在2015年5月,Microsoft发布了本地管理员密码解决方案(LAPS)工具,它是免费和支持的软件,允许组织在域连接的工作站和成员服务器上自动设置随机和唯一的本地管理员帐户密码。 密码存储在域计算机帐户的机密属性中,并且可以在需要时由经批准的Sysadmins从Active Directory检索。 |
| 检查“MSS:启用自动登陆”是否设置为禁用 | 检查 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\中的AutoAdminLogon,AutoAdminLogon配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\MSS(Legacy)允许自动登陆,修改为:已禁用 | 此设置与Windows XP和Windows Vista中的欢迎屏幕功能分开; 如果禁用此功能,则不会禁用此设置。 如果将计算机配置为自动登录,任何能够物理访问计算机的人也可以访问计算机上的所有内容,包括计算机连接到的任何网络或网络。 此外,如果启用自动登录,则密码以纯文本形式存储在注册表中,并且存储此值的特定注册表项可由Authenticated Users组远程读取。 |
| 检查“MSS:IPV6源路由保护等级”是否设置为启用:最高保护,原路由完全禁用 | 检查 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip6\Parameters\中的DisableIPSourceRouting,DisableIPSourceRouting配置项应为:Enabled:Highest protection, source routing is completely disabled | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\MSS(Legacy)IPV6源路由保护等级,修改为: | IP源路由是一种允许发送者根据IP路由规则判断数据报是否能够通过网络的机制。 |
| 检查“MSS:IPv4源路由保护等级”是否设置为启用:最高保护,原路由完全禁用 | 检查 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\中的DisableIPSourceRouting,DisableIPSourceRouting配置项应为:Enabled:Highest protection, source routing is completely disabled | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\MSS(Legacy)IPv4源路由保护等级,配置项值修改为: | IP源路由是一种允许发送方确定数据报应通过网络采用的IP路由的机制。 建议将此设置配置为“未定义用于企业环境”和“针对高安全性环境的最高保护”,以完全禁用源路由。 |
| 检查“MSS:允许ICMP重定向”是否设置为禁用 | 检查 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\中的EnableICMPRedirect,EnableICMPRedirect配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\MSS(Legacy)允许ICMP重定向,配置项值修改为:已禁用 | Internet控制消息协议(ICMP)重定向导致IPv4堆栈探测主机路由。 这些路由会覆盖开放最短路径优先(OSPF)生成的路由。 |
| 检查“MSS:无操作最长连接时间”是否设置为300000或5分钟 | 检查 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\中的KeepAliveTime,KeepAliveTime配置项应为:300,000 or 5 minutes | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\MSS(Legacy)无操作最长连接时间,配置项值修改为:300,000 or 5 minutes | 此值控制TCP尝试通过发送保持活动数据包来验证空闲连接是否仍然完好的频率。 如果远程计算机仍可访问,则它确认保持活动分组。 |
| 检查“打开映射器I/O (LLTDIO)驱动程序(在域中允许操作)”策略是否禁用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\LLTD\中的AllowLLTDIOOnDomain,AllowLLTDIOOnDomain配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\网络\链路层拓扑发现\打开映射器I/O (LLTDIO)驱动程序(在域中允许操作),配置项值修改为:已禁用 | 此策略设置更改映射器 I/O 网络协议驱动程序的运行行为。LLTDIO 使计算机能够发现它所连接到的网络的拓扑。它还使计算机能够初始化服务质量请求,如带宽估计和网络运行状况分析。 |
| 检查“打开映射器I/O (LLTDIO)驱动程序(在公共网络时允许)”策略是否禁用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\LLTD\中的AllowLLTDIOOnPublicNet,AllowLLTDIOOnPublicNet配置项应为:0 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\网络\链路层拓扑发现\打开映射器I/O (LLTDIO)驱动程序(在公共网络时允许),配置项值修改为:已禁用 | 此策略设置更改映射器 I/O 网络协议驱动程序的运行行为。LLTDIO 使计算机能够发现它所连接到的网络的拓扑。它还使计算机能够初始化服务质量请求,如带宽估计和网络运行状况分析。 |
| 检查“打开映射器I/O (LLTDIO)驱动程序(开启LLTDIO)”策略是否禁用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\LLTD\中的EnableLLTDIO,EnableLLTDIO配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\网络\链路层拓扑发现\打开映射器I/O (LLTDIO)驱动程序(开启LLTDIO),配置项值修改为:已禁用 | 此策略设置更改映射器 I/O 网络协议驱动程序的运行行为。LLTDIO 使计算机能够发现它所连接到的网络的拓扑。它还使计算机能够初始化服务质量请求,如带宽估计和网络运行状况分析。 |
| 检查“打开映射器I/O (LLTDIO)驱动程序)(在专有网络中禁止)”策略是否禁用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\LLTD\中的ProhibitLLTDIOOnPrivateNet,ProhibitLLTDIOOnPrivateNet配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\网络\链路层拓扑发现\打开映射器I/O (LLTDIO)驱动程序)(在专有网络中禁止),配置项值修改为:已禁用 | 此策略设置更改映射器 I/O 网络协议驱动程序的运行行为。LLTDIO 使计算机能够发现它所连接到的网络的拓扑。它还使计算机能够初始化服务质量请求,如带宽估计和网络运行状况分析。 |
| 检查“打开响应器(RSPNDR)驱动程序(在域中允许操作)”策略是否禁用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\LLTD\中的AllowRspndrOnDomain,AllowRspndrOnDomain配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\网络\链路层拓扑发现\打开响应器(RSPNDR)驱动程序(在域中允许操作),配置项值修改为:已禁用 | 此策略设置更改响应方网络协议驱动程序的运行行为。响应方使计算机能够参与链路层拓扑发现请求,以便在网络上发现并找到该计算机。它还使计算机能够参与服务质量活动,如带宽估计和网络运行状况分析。 |
| 检查“打开响应器(RSPNDR)驱动程序(在公共网络时允许)”策略是否禁用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\LLTD\中的AllowRspndrOnPublicNet,AllowRspndrOnPublicNet配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\网络\链路层拓扑发现\打开响应器(RSPNDR)驱动程序(在公共网络时允许),配置项值修改为:已禁用 | 此策略设置更改响应方网络协议驱动程序的运行行为。响应方使计算机能够参与链路层拓扑发现请求,以便在网络上发现并找到该计算机。它还使计算机能够参与服务质量活动,如带宽估计和网络运行状况分析。 |
| 检查“打开响应器(RSPNDR)驱动程序(开启PSPNDR)”策略是否禁用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\LLTD\中的EnableRspndr,EnableRspndr配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\网络\链路层拓扑发现\打开响应器(RSPNDR)驱动程序(开启PSPNDR),配置项值修改为:已禁用 | 此策略设置更改响应方网络协议驱动程序的运行行为。响应方使计算机能够参与链路层拓扑发现请求,以便在网络上发现并找到该计算机。它还使计算机能够参与服务质量活动,如带宽估计和网络运行状况分析。 |
| 检查“打开响应器(RSPNDR)驱动程序(在专有网络中禁止)”策略是否禁用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\LLTD\中的ProhibitRspndrOnPrivateNet,ProhibitRspndrOnPrivateNet配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\网络\链路层拓扑发现\打开响应器(RSPNDR)驱动程序(在专有网络中禁止),配置项值修改为:已禁用 | 此策略设置更改响应方网络协议驱动程序的运行行为。响应方使计算机能够参与链路层拓扑发现请求,以便在网络上发现并找到该计算机。它还使计算机能够参与服务质量活动,如带宽估计和网络运行状况分析。 |
| 检查“关闭Microsoft对等网络服务”是否启用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Peernet\中的Disabled,Disabled配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\网络\Microsoft对等网络服务\关闭Microsoft对等网络服务,配置项值修改为:已启用 | 对等名称解析协议 (PNRP) 允许将名称分布解析为 IPV6 地址和端口号。PNRP引导自身的方式之一是在同一子网上使用多播。即PNRP在本地子网上发布自身,这样其他计算机可以在需要时找到它。 |
| 检查“禁止在DNS上安装和配置网桥”是否启用 | 检查 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Network Connections\中的NC_AllowNetBridge_NLA,NC_AllowNetBridge_NLA配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\网络\网络连接\禁止在DNS上安装和配置网桥,配置项值修改为:已启用 | 确定用户是否可以安装和配置网桥。 |
| 检查“禁用IPv6”是否禁用 | 检查 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TCPIP6\Parameters\中的DisabledComponents,DisabledComponents配置项应为:已禁用 | 请使用运行,输入regedit,找到注册表 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TCPIP6\Parameters\键值:DisabledComponents,配置项值修改为:已禁用 | Internet协议版本6(IPv6)是计算机用来通过因特网以及家庭和商业网络交换信息的一组协议。 IPv6允许分配比IPv4更多的IP地址。 旧的网络,主机和操作系统可能不支持IPv6 |
| 检查“禁用Windows立即连接配置无线设置”策略是否禁用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WCN\Registrars中的EnableRegistrars,EnableRegistrars配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\网络\Windows立即连接\使用Windows立即连接配置无线设置,配置项值修改为:已禁用 | 此策略设置允许使用Windows Connect Now(WCN)配置无线设置。 WCN注册器通过Windows便携式设备API(WPD)和USB闪存驱动器使能通过带内802.11 Wi-Fi通过以太网(UPnP)发现和配置设备。 其他选项可用于允许在特定介质上进行发现和配置。 |
| 检查“禁用Windows立即连接配置无线设置(UPnP)”策略是否禁用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WCN\Registrars中的DisableUPnPRegistrar,DisableUPnPRegistrar配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\网络\Windows立即连接\使用Windows立即连接配置无线设置(UPnP),配置项值修改为:已禁用 | 此策略设置允许使用Windows Connect Now(WCN)配置无线设置。 WCN注册器通过Windows便携式设备API(WPD)和USB闪存驱动器使能通过带内802.11 Wi-Fi通过以太网(UPnP)发现和配置设备。 其他选项可用于允许在特定介质上进行发现和配置。 |
| 检查“禁用Windows立即连接配置无线设置(InBand802DOT11)”策略是否禁用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WCN\Registrars中的DisableInBand802DOT11Registrar,DisableInBand802DOT11Registrar配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\网络\Windows立即连接\使用Windows立即连接配置无线设置(InBand802DOT11),配置项值修改为:已禁用 | 此策略设置允许使用Windows Connect Now(WCN)配置无线设置。 WCN注册器通过Windows便携式设备API(WPD)和USB闪存驱动器使能通过带内802.11 Wi-Fi通过以太网(UPnP)发现和配置设备。 其他选项可用于允许在特定介质上进行发现和配置。 |
| 检查“禁用Windows立即连接配置无线设置(FlashConfig)”策略是否禁用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WCN\Registrars\中的DisableFlashConfigRegistrar,DisableFlashConfigRegistrar配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\网络\Windows立即连接\使用Windows立即连接配置无线设置(FlashConfig),配置项值修改为:已禁用 | 此策略设置允许使用Windows Connect Now(WCN)配置无线设置。 WCN注册器通过Windows便携式设备API(WPD)和USB闪存驱动器使能通过带内802.11 Wi-Fi通过以太网(UPnP)发现和配置设备。 其他选项可用于允许在特定介质上进行发现和配置。 |
| 检查“禁用Windows立即连接配置无线设置(WPD)”策略是否禁用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WCN\Registrars中的DisableWPDRegistrar,DisableWPDRegistrar配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\网络\Windows立即连接\使用Windows立即连接配置无线设置(WPD),配置项值修改为:已禁用 | 此策略设置允许使用Windows Connect Now(WCN)配置无线设置。 WCN注册器通过Windows便携式设备API(WPD)和USB闪存驱动器使能通过带内802.11 Wi-Fi通过以太网(UPnP)发现和配置设备。 其他选项可用于允许在特定介质上进行发现和配置。 |
| 检查“禁止访问Windows立即连接向导”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WCN\UI\中的DisableWcnUi,DisableWcnUi配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\网络\网络\Windows立即连接\禁止访问Windows立即连接向导,配置项值修改为:已启用 | 此策略设置禁止访问 Windows Connect Now (WCN) 向导。 |
| 检查“本地账号通过网络登录的应用UAC限制”是否启用 | 检查 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\中的LocalAccountTokenFilterPolicy,LocalAccountTokenFilterPolicy配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\SCM:PasstheHashMitigations\本地账号通过网络登录的应用UAC限制,配置项值修改为:已启用 | 此设置控制本地帐户是否可用于通过网络登录进行远程管理(例如,NET USE,连接到C$等)。 在多个系统上配置相同的帐户和密码时,本地帐户对凭证盗窃的风险很高。启用此策略可显着降低此风险。 |
| 检查“允许远程访问即插即用接口”策略是否禁用 | 检查 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceInstall\Settings\中的AllowRemoteRPC,AllowRemoteRPC配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\系统\设备安装\允许远程访问即插即用接口,配置项值修改为:已禁用 | 此策略设置允许您允许或拒绝远程访问即插即用接口。 |
| 检查“配置注册表策略处理”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Group Policy\{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\中的NoBackgroundPolicy,NoBackgroundPolicy配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\系统\组策略\配置注册表策略处理,配置项值修改为:已启用 | 此策略决定何时更新注册表策略。此策略设置适用于计算机,用户和域控制器的组策略。 |
| 检查“配置注册表策略处理(周期性后台处理期间不要应用)”是否启用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Group Policy\{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\中的NoGPOListChanges,NoGPOListChanges配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\系统\组策略\配置注册表策略处理(周期性后台处理期间不要应用),配置项值修改为:已启用 | “周期性后台处理期间不要应用”选项阻止系统在计算机正在使用时后台更新受影响的策略。在禁用后台更新时,策略更改将在下一用户登录或者系统重启之后生效。 |
| 检查“关闭组策略后台刷新(即使尚未更改组策略对象也进行处理)”是否禁用 | 检查 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\中的DisableBkGndGroupPolicy,DisableBkGndGroupPolicy配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\系统\组策略\关闭组策略后台刷新(即使尚未更改组策略对象也进行处理),配置项值修改为:已禁用 | “即使尚未更改组策略对象也进行处理”选项即使在策略没有更改的情况下也会更新并重新应用策略。很多策略实现指定只有在改变时才更新。但是,您可能还是想要更新未改变的策略,诸如,一旦用户改变所需的设置就重新应用它。 |
| 检查“关闭通过HTTP下载打印机驱动”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\中的DisableWebPnPDownload,DisableWebPnPDownload配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\系统\Internet通信管理\Internet通信设置\关闭通过HTTP下载打印机驱动,配置项值修改为:已启用 | 此策略设置控制计算机是否可以通过HTTP下载打印驱动程序包。 要设置 HTTP 打印,需要通过 HTTP 下载产品盒中未提供的驱动程序。 |
| 检查“关闭手写识别错误报告”是否启用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\HandwritingErrorReports\中的PreventHandwritingErrorReports,PreventHandwritingErrorReports配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\系统\Internet通信管理\Internet通信设置\关闭手写识别错误报告,配置项值修改为:已启用 | 关闭手写识别错误报告工具。手写识别错误报告工具使用户能够报告在 Tablet PC 输入面板中遇到的错误。该工具可生成错误报告并通过安全连接将其传输到 Microsoft。Microsoft 使用这些错误报告来改进将来版本的 Windows 中的手写识别。 |
| 检查“如果URL连接指向Microsoft.com则关闭internet连接向导”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Internet Connection Wizard\中的ExitOnMSICW,ExitOnMSICW配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\系统\Internet通信管理\Internet通信设置\如果URL连接指向Microsoft.com则关闭internet连接向导,配置项值修改为:已启用 | 此策略设置指定 Internet 连接向导能否连接到 Microsoft 以下载 Internet 服务提供商列表 (ISP)。 |
| 检查“关闭Web发布和在线订购向导的Internet下载”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\中的NoWebServices,NoWebServices配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\系统\Internet通信管理\Internet通信设置\关闭Web发布和在线订购向导的Internet下载,配置项值修改为:已启用 | 此策略设置 Windows 是否下载 Web 发布和在线订购向导的提供商列表。 |
| 检查“关闭Internet文件关联服务”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\中的NoInternetOpenWith,NoInternetOpenWith配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\系统\Internet通信管理\Internet通信设置\关闭Internet文件关联服务,配置项值修改为:已启用 | 此策略指定是否使用 Microsoft Web 服务来查找用于打开不带文件关联的文件的应用程序。当用户要打开的文件的扩展名与计算机上的任何应用程序没有关联时,系统将允许用户选择本地应用程序或使用 Web 服务查找应用程序。 |
| 检查“关闭通过HTTP打印”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\中的DisableHTTPPrinting,DisableHTTPPrinting配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\系统\Internet通信管理\Internet通信设置\关闭通过HTTP打印,配置项值修改为:已启用 | 此策略指定是否允许从此客户端通过 HTTP 进行打印。通过 HTTP 打印允许客户端打印到 Intranet 和 Internet 上的打印机。 |
| 检查“如果URL连接指向Microsoft.com则关闭注册”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Registration Wizard Control\中的NoRegistration,NoRegistration配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\系统\Internet通信管理\Internet通信设置\如果URL连接指向Microsoft.com则关闭注册,配置项值修改为:已启用 | 此策略设置指定 Windows 注册向导是否可以连接到 Microsoft.com 进行联机注册。 |
| 检查“关闭搜索助理内容文件更新”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SearchCompanion\中的DisableContentFileUpdates,DisableContentFileUpdates配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\系统\Internet通信管理\Internet通信设置\关闭搜索助理内容文件更新,配置项值修改为:已启用 | 此策略设置指定在本地搜索和Internet搜索期间搜索助理是否应自动下载内容更新。 |
| 检查“关闭'订购图片'图片任务”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\中的NoOnlinePrintsWizard,NoOnlinePrintsWizard配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\系统\Internet通信管理\Internet通信设置\关闭'订购图片'图片任务,配置项值修改为:已启用 | 此策略指定联机订购图片”任务在 Windows 文件夹中的“图片任务”中是否可用。联机订购图片”向导用于下载提供商列表,允许用户联机订购图片。 |
| 检查“关闭文件和文件夹的发布到web任务”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\中的NoPublishingWizard,NoPublishingWizard配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\系统\Internet通信管理\Internet通信设置\关闭文件和文件夹的发布到web任务,配置项值修改为:已启用 | 此策略设置将此文件发布到 Web”、“将此文件夹发布到 Web”和“将选定项目发布到 Web”任务在 Windows 文件夹中的文件和文件夹任务中是否可用。 |
| 检查“关闭Windows Messenger客户体验改善计划”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Messenger\Client\中的CEIP,CEIP配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\系统\Internet通信管理\Internet通信设置\关闭Windows Messenger客户体验改善计划,配置项值修改为:已启用 | 此策略设置Windows Messenger 是否收集有关如何使用 Windows Messenger 软件和服务的匿名信息。 |
| 检查“关闭Windows 客户体验改善计划”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SQMClient\Windows\中的CEIPEnable,CEIPEnable配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\系统\Internet通信管理\Internet通信设置\关闭Windows 客户体验改善计划,配置项值修改为:已启用 | 此策略设置Windows Messenger 是否收集有关如何使用 Windows Messenger 软件和服务的匿名信息。 |
| 检查“关闭Windows 错误报告”是否启用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Windows Error Reporting\中的Disabled,Disabled配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\系统\Internet通信管理\Internet通信设置\关闭Windows 错误报告,配置项值修改为:已启用 | 控制是否向 Microsoft 报告错误。错误报告用于报告有关出现故障或停止响应的系统或应用程序的信息,用来改进产品质量。 |
| 检查“总是用经典登录”是否启用 | 检查 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\中的LogonType,LogonType配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\管理模板\系统\登录总是用经典登录,配置项值修改为:已启用 | 此设置迫使用户使用经典登录屏幕登录到计算机。默认情况下,工作组设置为使用简单登录屏幕。只有计算机不在域上时,此设置才起作用。 |
| 检查“当唤醒计算机时需要密码(使用电池)”是否启用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Power\PowerSettings\0e796bdb-100d-47d6-a2d5-f7d2daa51f51\中的DCSettingIndex,DCSettingIndex配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\系统\电源管理\睡眠设置\当唤醒计算机时需要密码(使用电池),配置项值修改为:已启用 | 指定当系统从睡眠状态恢复时是否需要提示用户输入密码。 |
| 检查“唤醒计算机时需要密码(接通电源)”是否启用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Power\PowerSettings\0e796bdb-100d-47d6-a2d5-f7d2daa51f51\中的ACSettingIndex,ACSettingIndex配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\系统\电源管理\睡眠设置\唤醒计算机时需要密码(接通电源),配置项值修改为:已启用 | 指定当系统从睡眠状态恢复时是否需要提示用户输入密码。 |
| 检查“提供远程协助”策略是否禁用 | 检查 HKEY_LOCAL_MACHINE\Software\policies\Microsoft\Windows NT\Terminal Services\中的fAllowUnsolicited,fAllowUnsolicited配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\系统\远程协助\提供远程协助,配置项值修改为:已禁用 | 使用此策略设置可以打开或关闭此计算机上的“提供远程协助”。如果启用此策略,则此计算机上的用户可以使用“提供远程协助”从其企业技术支持人员处获得帮助。如果禁用此策略,则此计算机上的用户无法使用“提供远程协助”从其企业技术支持人员处获得帮助。如果未配置此策略,则此计算机上的用户无法使用“提供远程协助”从其企业技术支持人员处获得帮助。如果启用此策略,则有两种方法允许帮助者提供远程协助: “只允许帮助者查看计算机”或“允许帮助者远程控制计算机”。配置此策略设置时,还会指定允许提供远程协助的用户或用户组的列表。 |
| 检查“请求的远程协助”策略是否禁用 | 检查 HKEY_LOCAL_MACHINE\Software\policies\Microsoft\Windows NT\Terminal Services\中的fAllowToGetHelp,fAllowToGetHelp配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\系统\远程协助\请求的远程协助,配置项值修改为:已禁用 | 使用此策略设置可以在此计算机上启用或禁用“请求的远程协助”。如果启用此策略,则此计算机上的用户可以使用电子邮件或文件传输请求某人的帮助。同时,用户可以使用即时消息程序以允许与此计算机的连接,并可以配置其他远程协助设置。如果禁用此策略,则此计算机上的用户无法使用电子邮件或文件传输请求某人的帮助。另外,用户无法使用即时消息程序以允许与此计算机的连接。如果未配置此策略,则用户可以自行在控制面板的“系统属性”中启用或禁用“请求的远程协助”。用户还可以配置远程协助设置。如果启用此策略设置,则有两种方法允许帮助者提供远程协助: “只允许帮助者查看计算机”或“允许帮助者远程控制计算机”。最长票证时间”设置用于设置通过使用电子邮件或文件传输创建的远程协助邀请可以保持打开的时间限制。选择发送电子邮件邀请的方法”设置指定要使用哪一种电子邮件标准发送远程协助邀请。根据电子邮件程序的不同,可以使用 Mailto 标准(邀请收件人通过 Internet 链接连接)或 SMAPI (简单 MAPI)标准(邀请附加在电子邮件上)。在 Windows Vista 中,SMAPI 是唯一支持的方法,因此不提供此设置。如果启用此策略,则还应启用适当的防火墙例外以允许远程协助通信。 |
| 检查“RPC终点映射程序客户端验证”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Rpc\中的EnableAuthEpResolution,EnableAuthEpResolution配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\系统\远程过程调用\RPC终点映射程序客户端验证,配置项值修改为:已启用 | 此策略设置控制当RPC客户端进行的调用包含认证信息时,RPC客户端是否与端点映射服务进行认证。启用此设置将指导需要与终点映射程序服务通信的 RPC 客户端进行验证,只要解析终点所需的 RPC 调用包含验证信息。禁用此设置将导致需要与终点映射程序服务通信的 RPC 客户端不进行验证。 在这种方式下,运行 Windows NT4(所有 Service Pack)的计算机上的终点映射程序服务无法处理提供的验证信息。 这意味着,需要终点解析时,在客户端计算机上启用此设置将阻止该客户端使用 RPC 与 Windows NT4 服务器进行通信。 |
| 检查“用于未验证的RPC客户端的限制”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Rpc\中的RestrictRemoteClients,RestrictRemoteClients配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\系统\远程过程调用\用于未验证的RPC客户端的限制,配置项值修改为:已启用 | 此策略设置控制RPC服务器运行时如何处理连接到RPC服务器的未经身份验证的RPC客户端。如果启用此设置,它指导 RPC 服务器上的 RPC 运行时限制未经验证的 RPC 客户端连接到计算机上运行的 RPC 服务器。如果客户端使用命名管道与服务器通信或使用 RPC 安全,该客户端将被认为是未经验证的客户端。特别指定可以被未经验证的客户端访问的 RPC 接口可能在此限制之外,这取决于为该策略选取的值。如果禁用或没有配置此设置,“已验证”值将用于 Windows XP 而“无”值将用于支持此策略设置的服务器 SKU。 |
| 检查“Microsoft支持诊断工具:开启MSDT与支持提供商的交互式通信”是否设置为已禁用 | 检查 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\ScriptedDiagnosticsProvider\Policy\中的DisableQueryRemoteServer,DisableQueryRemoteServer配置项应为:0 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\系统\疑难解答和诊断\Microsoft支持诊断工具\Microsoft支持诊断工具:开启MSDT与支持提供商的交互式通信,配置项值修改为:已禁用 | Microsoft 支持诊断工具(MSDT)收集技术支持人员用以分析的诊断数据。 |
| 检查“启用/禁用 PerfTrack”策略是否禁用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WDI\{9c5a40da-b965-4fc3-8781-88dd50a6299d}\中的ScenarioExecutionEnabled,ScenarioExecutionEnabled配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\系统\疑难解答和诊断\WindowsPerformancePerfTrack\启用/禁用 PerfTrack,配置项值修改为:已禁用 | 此策略设置指定是启用还是禁用响应事件跟踪。如果启用此策略设置,则将处理和聚合响应事件。聚合的数据将通过 SQM 传输到 Microsoft。如果禁用此策略设置,则不会处理响应事件。如果不配置此策略设置,则 DPS 默认将启用 Windows Performance PerfTrack。 |
| 检查“启用NTP客户端”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\W32Time\TimeProviders\NtpClient\中的Enabled,Enabled配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\系统\Windows时间服务\时间提供程序\启用NTP客户端,配置项值修改为:已启用 | 此策略设置指定是否启用Windows NTP客户端。 启用Windows NTP客户端允许您的计算机将其计算机时钟与其他NTP服务器同步。 如果您决定使用第三方时间提供程序,则可能需要禁用此服务。 |
| 检查“启用NTP服务端”策略是否禁用 | 检查 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\W32Time\TimeProviders\NtpServer\中的Enabled,Enabled配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\系统\Windows时间服务\时间提供程序\启用NTP服务端,配置项值修改为:已禁用 | 此策略设置允许您指定是否启用Windows NTP服务器。 |
| 检查“设置自动播放的默认行为”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\中的NoAutorun,NoAutorun配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\Windows组件\自动播放\策略设置自动播放的默认行为,配置项值修改为:已启用 | 此策略设置设置自动运行命令的默认行为。自动运行命令通常存储在 autorun.inf 文件中。这些命令通常启动安装程序或其他例程。 |
| 检查“关闭自动播放”是否启用 | 检查 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\中的NoDriveTypeAutoRun,NoDriveTypeAutoRun配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\Windows组件\自动播放\策略关闭自动播放,配置项值修改为:已启用 | 一旦将介质插入驱动器,自动播放就开始从驱动器中进行读取操作。这样,程序的安装文件和音频媒体上的音乐将立即启动。 攻击者可以使用此功能启动程序来损坏计算机或计算机上的数据。 您可以启用“关闭自动播放”设置以禁用“自动播放”功能。 默认情况下,某些可移动驱动器类型(如软盘和网络驱动器)中禁用自动播放,但CD-ROM驱动器上不启用。 |
| 检查“提升时枚举管理员账号”是否禁用 | 检查 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\CredUI\中的EnumerateAdministrators,EnumerateAdministrators配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\Windows组件\凭据用户界面\提升时枚举管理员账号,配置项值修改为:已禁用 | 默认情况下,尝试提升正在运行的应用程序时,不会显示管理员帐户。 |
| 检查“关闭桌面小工具”策略是否设置为已启用 | 检查 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Windows\Sidebar\中的TurnOffSidebar,TurnOffSidebar配置项应为:1 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\Windows组件\桌面小工具\关闭桌面小工具,配置项值修改为:已启用 | 使用此策略设置可以关闭桌面小工具。小工具是可在桌面上显示信息或实用程序的小程序。 |
| 检查“关闭用户安装的桌面小工具”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Windows\Sidebar\中的TurnOffUserInstalledGadgets,TurnOffUserInstalledGadgets配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\Windows组件\桌面小工具\关闭用户安装的桌面小工具,配置项值修改为:已启用 | 使用此策略设置可以关闭用户已安装的桌面小工具。 |
| 检查“应用:保留旧事件”是否禁用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\EventLog\Application\中的Retention,Retention配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\Windows组件\事件日志服务\应用程序\应用程序:保留旧事件,配置项值修改为:已禁用 | 此策略设置会在日志文件达到最大大小时控制事件日志行为。启用此策略设置后,当日志文件达到最大大小时,新事件不会写入日志并丢失。禁用此策略设置后,当日志文件达到最大大小时,新事件将覆盖旧事件。 |
| 检查“应用:最大日志大小(KB)”是否大于等于32768 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\EventLog\Application\中的MaxSize,MaxSize配置项应为:大于等于32768 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\Windows组件\事件日志服务\应用程序\应用程序:最大日志大小(KB),配置项值修改为:大于等于32768 | 此策略设置指定日志文件的最大大小(以 KB 为单位)。如果启用此策略设置,则可以将日志文件大小配置为介于 1 M(1024 千字节)到 2 T(2147483647 千字节)之间,按千字节增量增加。如果禁用或没有配置此策略设置,则日志文件大小的最大值将设置为本地配置值。本地管理员可使用日志属性对话框更改此值,此值默认为 20 M。 |
| 检查“安全:保留旧事件”是否禁用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\EventLog\Security\中的Retention,Retention配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\Windows组件\事件日志服务\安全\安全:保留旧事件,配置项值修改为:已禁用 | 此策略设置会在日志文件达到最大大小时控制事件日志行为。启用此策略设置后,当日志文件达到最大大小时,新事件不会写入日志并丢失。禁用此策略设置后,当日志文件达到最大大小时,新事件将覆盖旧事件。 |
| 检查“安全:最大日志大小(KB)”是否大于等于196608 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\EventLog\Security\中的MaxSize,MaxSize配置项应为:大于等于196608 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\Windows组件\事件日志服务\安全\安全:最大日志大小(KB),配置项值修改为:大于等于196608 | 此策略设置指定日志文件的最大大小(以 KB 为单位)。如果启用此策略设置,则可以将日志文件大小配置为介于 1 M(1024 千字节)到 2 T(2147483647 千字节)之间,按千字节增量增加。如果禁用或没有配置此策略设置,则日志文件大小的最大值将设置为本地配置值。本地管理员可使用日志属性对话框更改此值,此值默认为 20 M。 |
| 检查“安装:保留旧事件”是否禁用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\EventLog\Setup\中的Retention,Retention配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\Windows组件\事件日志服务\安装程序\安装:保留旧事件,配置项值修改为:已禁用 | 此策略设置会在日志文件达到最大大小时控制事件日志行为。启用此策略设置后,当日志文件达到最大大小时,新事件不会写入日志并丢失。禁用此策略设置后,当日志文件达到最大大小时,新事件将覆盖旧事件。 |
| 检查“安装:最大日志大小(KB)”是否大于等于32768 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\EventLog\Setup\中的MaxSize,MaxSize配置项应为:大于等于32768 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\Windows组件\事件日志服务\安装程序\安装:最大日志大小(KB),配置项值修改为:大于等于32768 | 此策略设置指定日志文件的最大大小(以 KB 为单位)。如果启用此策略设置,则可以将日志文件大小配置为介于 1 M(1024 千字节)到 2 T(2147483647 千字节)之间,按千字节增量增加。如果禁用或没有配置此策略设置,则日志文件大小的最大值将设置为本地配置值。本地管理员可使用日志属性对话框更改此值,此值默认为 20 M。 |
| 检查“系统:保留旧事件”是否禁用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\EventLog\System\中的Retention,Retention配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\Windows组件\事件日志服务\系统\系统:保留旧事件,配置项值修改为:已禁用 | 此策略设置会在日志文件达到最大大小时控制事件日志行为。启用此策略设置后,当日志文件达到最大大小时,新事件不会写入日志并丢失。禁用此策略设置后,当日志文件达到最大大小时,新事件将覆盖旧事件。 |
| 检查“系统:最大日志大小(KB)”是否大于等于32768 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\EventLog\System\中的MaxSize,MaxSize配置项应为:大于等于32768 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\Windows组件\事件日志服务\系统\系统:最大日志大小(KB),配置项值修改为:大于等于32768 | 此策略设置指定日志文件的最大大小(以 KB 为单位)。如果启用此策略设置,则可以将日志文件大小配置为介于 1 M(1024 千字节)到 2 T(2147483647 千字节)之间,按千字节增量增加。如果禁用或没有配置此策略设置,则日志文件大小的最大值将设置为本地配置值。本地管理员可使用日志属性对话框更改此值,此值默认为 20 M。 |
| 检查“关闭损坏时堆终止”是否禁用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Explorer\中的NoHeapTerminationOnCorruption,NoHeapTerminationOnCorruption配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\Windows组件\Windows资源管理器\关闭损坏时堆终止,配置项值修改为:已禁用 | 禁用损坏时堆终止可以在没有立即停止“资源管理器”的情况下让某些遗留的插件应用程序继续运行,即使“资源管理器”仍可在稍后异常终止。 |
| 检查“关闭外壳协议保护模式”策略是否禁用 | 检查 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\中的PreXPSP2ShellProtocolBehavior,PreXPSP2ShellProtocolBehavior配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\Windows组件\Windows资源管理器\关闭外壳协议保护模式,配置项值修改为:已禁用 | 此策略设置允许您配置外壳协议可以包含的功能数量。使用此协议的全部功能时,应用程序可以打开文件夹并启动文件。保护模式减少了此协议的功能,应用程序仅可打开文件夹的有限集。当协议处于保护模式时,应用程序无法使用此协议打开文件。建议使此协议始终处于保护模式以提高 Windows 的安全性。 |
| 检查“不允许保存密码”是否启用 | 检查 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\中的DisablePasswordSaving,DisablePasswordSaving配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\Windows组件\远程桌面服务\远程桌面客户端连接\不允许保存密码,配置项值修改为:已启用 | 控制用户是否可以使用远程桌面连接保存密码。如果启用此设置,则将禁用远程桌面连接中的凭据保存复选框,并且用户无法再保存密码。用户使用远程桌面连接打开 RDP 文件并保存设置时,将删除之前已存在于 RDP 文件中的密码。如果禁用或未配置此设置,则用户将可以使用远程桌面连接保存密码。 |
| 检查“将远程桌面服务用户限制到单独的远程桌面服务会话”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Terminal Services\中的fSingleSessionPerUser,fSingleSessionPerUser配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\Windows组件\远程桌面服务\远程桌面会话主机\连接\将远程桌面服务用户限制到单独的远程桌面服务会话,配置项值修改为:已启用 | 使用此策略设置可以将用户限制到单独的远程桌面服务会话。 |
| 检查“不允许COM端口重定向”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\中的fDisableCcm,fDisableCcm配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\Windows组件\远程桌面服务\远程桌面会话主机\设备和资源重定向\不允许COM端口重定向,配置项值修改为:已启用 | 此策略设置是否在远程桌面服务会话中阻止将数据从远程计算机重定向到客户端 COM 端口。 |
| 检查“不允许驱动器重定向”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\中的fDisableCdm,fDisableCdm配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\Windows组件\远程桌面服务\远程桌面会话主机\设备和资源重定向\不允许驱动器重定向,配置项值修改为:已启用 | 此策略设置是否阻止远程桌面服务会话中客户端驱动器的映射(驱动器重定向)。 |
| 检查“不允许LPT端口重定向”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\中的fDisableLPT,fDisableLPT配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\Windows组件\远程桌面服务\远程桌面会话主机\设备和资源重定向\不允许LPT端口重定向,配置项值修改为:已启用 | 此策略指定在远程桌面服务会话期间是否阻止将数据重定向到客户端 LPT 端口。 |
| 检查“不允许受支持的即插即用设备重定向”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\中的fDisablePNPRedir,fDisablePNPRedir配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\Windows组件\远程桌面服务\远程桌面会话主机\设备和资源重定向\不允许受支持的即插即用设备重定向,配置项值修改为:已启用 | 使用此策略设置,可以控制受支持的即插即用设备(如 Windows 便携设备)重定向到远程桌面服务会话中的远程计算机。 |
| 检查“始终连接时提示需要密码”是否设置为启用 | 检查 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\中的fPromptForPassword,fPromptForPassword配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\Windows组件\远程桌面服务\远程桌面会话主机\安全\始终连接时提示需要密码,配置项值修改为:已启用 | 指定连接时远程桌面服务是否总是提示客户端输入密码。可以使用此设置为登录到远程桌面服务的用户强制提示输入密码,即使他们已在远程桌面连接客户端中提供了密码也进行提示。默认情况下,远程桌面服务允许用户通过在远程桌面连接客户端中输入密码来实现自动登录。 |
| 检查“要求安全的RPC通信”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Terminal Services\中的fEncryptRPCTraffic,fEncryptRPCTraffic配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\Windows组件\远程桌面服务\远程桌面会话主机\安全\要求安全的RPC通信,配置项值修改为:已启用 | 此策略设置远程桌面会话主机服务器是对所有客户端都要求安全的 RPC 通信,还是允许不安全的通信。使用此设置可以通过仅允许经过身份验证并且加密的请求来增强与客户端进行 RPC 通信的安全性。 |
| 检查“客户端连接加密级别”是否设置为高级别 | 检查 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\中的MinEncryptionLevel,MinEncryptionLevel配置项应为:3 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\Windows组件\远程桌面服务\远程桌面会话主机\安全\设置客户端连接加密级别,配置项值修改为:“已启用:高级别” | 此策略设置是否在远程桌面协议(RDP)连接期间要求使用特定加密级别来保证客户端和 RD 会话主机服务器之间的通信安全。 |
| 检查“活动但空闲的远程桌面服务会话的时间限制”是否大于0并且小于等于15 | 检查 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\中的MaxIdleTime,MaxIdleTime配置项应为:大于0并且小于等于15 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\Windows组件\远程桌面服务\远程桌面会话主机\会话时间限制\设置活动但空闲的远程桌面服务会话的时间限制,配置项值修改为:大于0并且小于等于15 | 使用此策略设置可以指定活动的远程桌面服务会话在自动断开连接之前可以保持空闲状态(无用户输入)的最长时间。 |
| 检查“已中断会话的时间限制”是否设置为60 | 检查 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\中的MaxDisconnectionTime,MaxDisconnectionTime配置项应为:60 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\Windows组件\远程桌面服务\远程桌面会话主机\会话时间限制\设置已中断会话的时间限制,配置项值修改为:60 | 使用此策略设置可以对已断开连接的远程桌面服务会话配置时间限制。 |
| 检查“在退出时不删除临时文件夹”是否禁用 | 检查 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\中的DeleteTempDirsOnExit,DeleteTempDirsOnExit配置项应为:Disabled | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\Windows组件\远程桌面服务\远程桌面会话主机\临时文件夹\在退出时不删除临时文件夹,配置项值修改为:已禁用 | 此策略设置指定在注销时远程桌面服务是否保留用户的每会话临时文件夹。 |
| 检查“不对每个会话使用临时文件夹”策略是否禁用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Terminal Services\中的PerSessionTempDir,PerSessionTempDir配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\Windows组件\远程桌面服务\远程桌面会话主机\临时文件夹\不对每个会话使用临时文件夹,配置项值修改为:已禁用 | 使用此策略设置可以阻止远程桌面服务创建特定于会话的临时文件夹。默认情况下,远程桌面服务为用户在远程计算机上维护的每个活动会话创建单独的临时文件夹。这些临时文件夹在远程计算机中用户配置文件夹下的 Temp 文件夹中创建,并使用“sessionid”进行命名。 |
| 检查“关闭附件的下载”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Feeds\中的DisableEnclosureDownload,DisableEnclosureDownload配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\Windows组件\RSSFeeds\关闭附件的下载,配置项值修改为:已启用 | 此策略设置阻止用户从提要中将附件(文件附件)下载到用户的计算机。 |
| 检查“允许加密文件的索引”策略是否禁用 | 检查 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Search\中的AllowIndexingEncryptedStoresOrItems,AllowIndexingEncryptedStoresOrItems配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\Windows组件\RSSFeeds\关闭附件的下载,配置项值修改为:已禁用 | 此策略设置允许对加密项目建立索引。 如果您启用此策略设置,索引将尝试解密和索引内容(访问限制仍然适用)。 如果禁用此策略设置,则搜索服务组件(包括非Microsoft组件)不会对加密项目或加密存储进行索引。 默认情况下不配置此策略设置。 如果不配置此策略设置,将使用通过控制面板配置的本地设置。 默认情况下,“控制面板”设置设置为不对加密内容编制索引。 启用或禁用此设置时,将完全重建索引。 必须对索引的位置使用全卷加密(例如BitLocker驱动器加密或非Microsoft解决方案),以保持加密文件的安全性。 |
| 检查“加入Microsoft MAPS”策略是否禁用 | 检查 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet\中的SpynetReporting,SpynetReporting配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\Windows组件\WindowsDefender\MAPS\加入Microsoft MAPS,配置项值修改为:已禁用 | 此策略设置允许您加入Microsoft MAPS.Microsoft MAPS是在线社区,帮助您选择如何响应潜在的威胁。社区还有助于阻止新的恶意软件感染的传播。 您可以选择发送有关检测到的软件的基本或其他信息。其他信息有助于Microsoft创建新定义并帮助其保护您的计算机。 |
| 检查“默认同意”是否启用 | 检查 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Error Reporting\Consent\中的DefaultConsent,DefaultConsent配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\Windows组件\Windows 错误报告\同意\配置默认同意,配置项值修改为:已启用 | 此设置确定 Windows 错误报告的同意行为。 |
| 检查“允许用户对安装进行控制”是否禁用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Installer\中的EnableUserControl,EnableUserControl配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\Windows组件\Windows Installer\允许用户对安装进行控制,配置项值修改为:已禁用 | 允许用户更改通常只有系统管理员可以使用的安装选项。该设置绕过了 Windows 安装程序的一些安全功能。它允许完成在其他情况下将会因安全冲突而被中止的安装。 Windows 安装程序的安全功能可以防止用户更改通常是为系统管理员保留的安装选项,如指定要将文件安装到哪个目录。如果 Windows 安装程序检测到安装程序包允许用户更改受保护的选项,它将会停止安装并显示一则消息。只有当安装程序是在具有特权的安全上下文中运行时,这些安全功能才会运行;在这种上下文中,安装程序可以访问用户无法访问的目录。 |
| 检查“永远以高特权进行安装”是否禁用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Installer\中的AlwaysInstallElevated,AlwaysInstallElevated配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\Windows组件\Windows Installer\永远以高特权进行安装,配置项值修改为:已禁用 | 指导 Windows 安装程序在系统上安装任何程序时使用系统权限。该设置会将提升的特权扩展到所有程序。这些特权通常是为已分配给用户(桌面上提供的)或计算机(自动安装的)、或者显示在“控制面板”的“添加或删除程序”中的程序而保留的。该设置允许用户安装需要访问用户可能无查看或更改权限目录(包括受高度限制的计算机上的目录)的程序。 如果禁用或未配置此设置,当安装的程序不是管理员分发或提供的程序时,系统将会应用当前用户的权限。 |
| 检查“禁用IE对Windows Installer脚本的安全提示”策略是否禁用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Installer\中的SafeForScripting,SafeForScripting配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\Windows组件\Windows Installer\禁用IE对Windows Installer脚本的安全提示,配置项值修改为:已禁用 | 允许基于 Web 的程序在计算机上安装软件时不通知用户。 |
| 检查“打开Powershell脚本块日志记录”策略是否禁用 | 检查 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging\中的EnableScriptBlockLogging,EnableScriptBlockLogging配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\Windows组件\Windows PowerShell\打开Powershell脚本块日志记录,配置项值修改为:已禁用 | 此策略设置允许将所有PowerShell脚本输入记录到Microsoft-WindowsPowerShell /操作事件日志。 |
| 检查“打开Powershell转换”策略是否禁用 | 检查 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\PowerShell\Transcription\中的EnableTranscripting,EnableTranscripting配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\Windows组件\Windows PowerShell\打开Powershell转换,配置项值修改为:已禁用 | 此策略设置允许您将Windows PowerShell命令的输入和输出捕获到文本中。 |
| 检查“客户端:允许基本身份验证”策略是否禁用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WinRM\Client\中的AllowBasic,AllowBasic配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\Windows组件\WindowsRemote管理(WinRM)\WinRMClient客户端:允许基本身份验证,配置项值修改为:已禁用 | 此策略设置允许您管理 Windows 远程管理 (WinRM) 客户端是否使用基本身份验证。如果启用此策略设置,则 WinRM 客户端将使用基本身份验证。如果将 WinRM 配置为使用 HTTP 传输,则用户名和密码将作为纯文本通过网络发送。如果禁用或没有配置此策略设置,则 WinRM 客户端不会使用基本身份验证。 |
| 检查“客户端:允许未加密通信”策略是否禁用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WinRM\Client\中的AllowUnencryptedTraffic,AllowUnencryptedTraffic配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\Windows组件\WindowsRemote管理(WinRM)\WinRMClient客户端:允许未加密通信,配置项值修改为:已禁用 | 此策略设置允许您管理 Windows 远程管理 (WinRM) 客户端是否通过网络发送和接收未加密的邮件。如果启用此策略设置,则 WinRM 客户端将通过网络发送和接收未加密的邮件。如果禁用或不配置此策略设置,则 WinRM 客户端仅通过网络发送或接收加密的邮件。 |
| 检查“客户端:不允许使用摘要式身份验证”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WinRM\Client\中的AllowDigest,AllowDigest配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\Windows组件\WindowsRemote管理(WinRM)\WinRMClient客户端:不允许使用摘要式身份验证,配置项值修改为:已启用 | 此策略设置允许您管理 Windows 远程管理 (WinRM) 客户端是否不会使用摘要式身份验证。如果启用此策略设置,则 WinRM 客户端不会使用摘要式身份验证。如果禁用或不配置此策略设置,则 WinRM 客户端将使用摘要式身份验证。 |
| 检查“服务:允许基本身份验证”策略是否禁用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WinRM\Service\中的AllowBasic,AllowBasic配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\Windows组件\WindowsRemote管理(WinRM)\WinRMService服务:允许基本身份验证,配置项值修改为:已禁用 | 此策略设置允许您管理 Windows 远程管理 (WinRM) 服务是否接受来自远程客户端的基本身份验证。如果启用此策略设置,则 WinRM 服务将接受来自远程客户端的基本身份验证。如果禁用或不配置此策略设置,则 WinRM 服务不会接受来自远程客户端的基本身份验证。 |
| 检查“服务:允许未加密通信”策略是否禁用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WinRM\Service\中的AllowUnencryptedTraffic,AllowUnencryptedTraffic配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\Windows组件\WindowsRemote管理(WinRM)\WinRMService服务:允许未加密通信,配置项值修改为:已禁用 | 此策略设置允许您管理 Windows 远程管理 (WinRM) 服务是否通过网络发送和接收未加密的邮件。如果启用此策略设置,则 WinRM 客户端将通过网络发送和接收未加密的邮件。如果禁用或不配置此策略设置,则 WinRM 客户端仅通过网络发送或接收加密的邮件。 |
| 检查“不允许WinRM存储RunAs凭据”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WinRM\Service\中的DisableRunAs,DisableRunAs配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\Windows组件\WindowsRemote管理(WinRM)\WinRMService不允许WinRM存储RunAs凭据,配置项值修改为:已启用 | 此策略设置允许您管理Windows远程管理(WinRM)服务是否不允许为任何插件存储RunAs凭据。如果启用此策略设置,WinRM服务将不允许为任何插件设置RunAsUser或RunAsPassword配置值。 如果插件已设置RunAsUser和RunAsPassword配置值,则将从此计算机上的凭据存储中擦除RunAsPassword配置值。如果禁用或不配置此策略设置,WinRM服务将允许为插件设置RunAsUser和RunAsPassword配置值,并且将安全地存储RunAsPassword值。如果启用然后禁用此策略设置,则之前为RunAsPassword配置的任何值都需要重置。 |
| 检查“允许远程shell访问”策略是否禁用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WinRM\Service\WinRS\中的AllowRemoteShellAccess,AllowRemoteShellAccess配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\管理模板\Windows组件\WindowsRemoteShell\允许远程shell访问,配置项值修改为:已禁用 | 此策略设置允许您管理对所有支持的shell的远程访问的配置,以执行脚本和命令。 |
| 检查“配置自动更新”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU\中的NoAutoUpdate,NoAutoUpdate配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\Windows组件\Windows更新\配置自动更新,配置项值修改为:已启用 | 此策略指定此计算机是否将通过 Windows 自动更新服务来接收安全更新和其他重要下载。通过此设置,可以指定是否在此计算机上启用自动更新。 |
| 检查“配置自动更新(计划安装)”是否设置为0 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU\中的ScheduledInstallDay,ScheduledInstallDay配置项应为:0 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\Windows组件\Windows更新\配置自动更新(计划安装),配置项值修改为:0 | 此策略指定此计算机是否将通过 Windows 自动更新服务来接收安全更新和其他重要下载。通过此设置,可以指定是否在此计算机上启用自动更新。 |
| 检查“不要调整‘关闭Windows’对话框里的‘安装更新并关机’的默认选项”策略是否禁用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU\中的NoAUAsDefaultShutdownOption,NoAUAsDefaultShutdownOption配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\管理模板\Windows组件\Windows更新\不要调整“关闭Windows”对话框里的“安装更新并关机”的默认选项,配置项值修改为:已禁用 | 此策略设置允许您管理“安装更新并关机”选项能否在“关闭 Windows”对话框中被设置为默认选择。 |
| 检查“不要在‘关闭 Windows’对话框中显示‘安装更新并关机’”策略是否禁用 | 检查 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\中的NoAUShutdownOption,NoAUShutdownOption配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\Windows组件\Windows更新\不要调整“关闭Windows”对话框里的“安装更新并关机”的默认选项,配置项值修改为:已禁用 | 此策略设置允许您管理“安装更新并关机”选项是否在“关闭 Windows”对话框中显示。 |
| 检查“对于有已登录用户的计算机,计划的自动更新安装不执行重新启动”策略是否禁用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU\中的NoAutoRebootWithLoggedOnUsers,NoAutoRebootWithLoggedOnUsers配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 计算机配置\策略\管理模板\Windows组件\Windows更新\对于有已登录用户的计算机,计划的自动更新安装不执行重新启动,配置项值修改为:已禁用 | 此策略指定为了完成计划的安装,自动更新将等待任何登录的用户重新启动计算机,而不是自动使计算机重新启动。如果将状态设置为“启用”,且在用户已登录到此计算机时,自动更新不会在计划安装过程中自动重新启动计算机,而是会通知用户重新启动计算机。请注意,需要重新启动计算机才能使更新生效。如果将状态设置为“禁用”或“未配置”,则自动更新将通知用户计算机将在 5 分钟内自动重新启动以完成安装。 |
| 检查“重新计划自动更新计划的安装”策略是否启用 | 检查 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU\中的RescheduleWaitTimeEnabled,RescheduleWaitTimeEnabled配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 计算机配置\管理模板\Windows组件\Windows更新\重新计划自动更新计划的安装,配置项值修改为:已启用 | 此策略指定自动更新在系统启动后开始处理以前丢失的计划的安装之前等待的时间。 |
| 检查“启用屏幕保护程序”策略是否启用 | 检查 HKEY_USERS\<SID>\Software\Policies\Microsoft\Windows\Control Panel\Desktop\中的ScreenSaveActive,ScreenSaveActive配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 用户配置\策略\管理模板\控制面板\个性化\启用屏幕保护程序,配置项值修改为:已启用 | 此策略设置允许您管理是否运行屏幕保护程序。如果禁用此设置,则屏幕保护程序不会运行。此外,此设置还禁用“个性化”或“显示控制面板”中“屏幕保护程序”对话框的“屏幕保护程序”区域。这样,用户就无法更改屏幕保护程序选项。如果未配置此设置,则它对系统无效。启用此设置时,如果符合以下两个条件,则屏幕保护程序会运行: 第一,通过“可执行的屏幕保护程序的名称”设置或通过客户端计算机上的“控制面板”,指定客户端上的有效屏幕保护程序。第二,通过设置或“控制面板”,将屏幕保护程序超时设置为非零值。 |
| 检查“强制使用特定的屏幕保护程序”是否设置为scrnsave.scr | 检查 HKEY_USERS\<SID>\Software\Policies\Microsoft\Windows\Control Panel\Desktop\中的SCRNSAVE.EXE,SCRNSAVE.EXE配置项应为:scrnsave.scr | 请使用运行,输入gpedit.msc,找到 用户配置\策略\管理模板\控制面板\个性化\强制使用特定的屏幕保护程序,配置项值修改为:scrnsave.scr | 此策略设置允许您管理是否运行屏幕保护程序。如果禁用此设置,则屏幕保护程序不会运行。此外,此设置还禁用“个性化”或“显示控制面板”中“屏幕保护程序”对话框的“屏幕保护程序”区域。这样,用户就无法更改屏幕保护程序选项。如果未配置此设置,则它对系统无效。启用此设置时,如果符合以下两个条件,则屏幕保护程序会运行: 第一,通过“可执行的屏幕保护程序的名称”设置或通过客户端计算机上的“控制面板”,指定客户端上的有效屏幕保护程序。第二,通过设置或“控制面板”,将屏幕保护程序超时设置为非零值。 |
| 检查“密码保护屏幕保护程序”是否启用 | 检查 HKEY_USERS\<SID>\Software\Policies\Microsoft\Windows\Control Panel\Desktop\中的ScreenSaverIsSecure,ScreenSaverIsSecure配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 用户配置\策略\管理模板\控制面板\个性化\密码保护屏幕保护程序,配置项值修改为:已启用 | 如果启用此设置,则所有屏幕保护程序都受密码保护。如果禁用此设置,则无法对任何屏幕保护程序设置密码保护。 |
| 检查“检查屏幕保护程序超时”设置是否大于0并且小于等于900 | 检查 HKEY_USERS\<SID>\Software\Policies\Microsoft\Windows\Control Panel\Desktop\中的ScreenSaveTimeOut,ScreenSaveTimeOut配置项应为:大于0并且小于等于900 | 请使用运行,输入gpedit.msc,找到 用户配置\策略\管理模板\控制面板\个性化\屏幕保护程序超时,配置项值修改为:大于0并且小于等于900 | 如果启用了屏幕保护程序超时设置,则当自上次用户操作起经过指定的时间量时,屏幕保护程序将启动。如果等待时间设置为零或未指定屏幕保护程序,则此设置不起作用。 |
| 检查“关闭帮助体验改善计划”策略是否启用 | 检查 HKEY_USERS\<SID>\Software\Policies\Microsoft\Assistance\Client\1.0\中的NoImplicitFeedback,NoImplicitFeedback配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 用户配置\策略\管理模板\系统\Internet通信管理\InternetCommunicationSettings\关闭帮助体验改善计划,配置项值修改为:已启用 | 此策略设置用户是否能参与帮助体验改善计划。帮助体验改善计划将收集有关客户如何使用 Windows 帮助的信息,以便 Microsoft 能够改善帮助。 |
| 检查“文件附件中不保留区域信息”策略是否禁用 | 检查 HKEY_USERS\<SID>\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments\中的SaveZoneInformation,SaveZoneInformation配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 用户配置\策略\管理模板\Windows组件\附件管理\文件附件中不保留区域信息,配置项值修改为:已禁用 | 使用此策略设置,可以管理 Windows 是否使用附件来源区域(即受限制的区域、Internet 区域、Intranet 区域或本地区域)的信息来标记文件附件。此设置需要 NTFS 才能正确运行,在 FAT32 上,会在不提示的情况下失败。如果不保留区域信息,Windows 将无法作出正确的风险评估。如果启用了此策略设置,Windows 将不使用文件附件的区域信息来标记文件附件。如果禁用了此策略设置,Windows 将使用文件附件的区域信息来标记文件附件。如果未配置此策略设置,Windows 将使用文件附件的区域信息来标记文件附件。 |
| 检查“打开附件时通知防病毒程序”策略是否启用 | 检查 HKEY_USERS\<SID>\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments\中的ScanWithAntiVirus,ScanWithAntiVirus配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 用户配置\策略\管理模板\Windows组件\附件管理\打开附件时通知防病毒程序,配置项值修改为:已启用 | 使用此策略设置,可以管理通知已注册防病毒程序的方式。如果注册了多个程序,这些程序都将得到通知。如果在文件到达计算机的电子邮件服务器时,注册的防病毒程序已经对文件执行了访问时检查或扫描,则就不需要再次调用。如果启用了此策略,则在用户打开文件附件时,Windows 会通知注册的防病毒程序扫描此文件。如果未通过防病毒程序检查,将阻止打开附件。 |
| 检查“防止用户共享其配置文件内的文件”策略是否启用 | 检查 HKEY_USERS\<SID>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\中的NoInplaceSharing,NoInplaceSharing配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 用户配置\策略\管理模板\Windows组件\网络共享\防止用户共享其配置文件内的文件,配置项值修改为:已启用 | 此策略设置指定用户是否可以在其配置文件中共享文件。默认情况下,管理员选择计算机后,会允许用户将其配置文件内的文件共享给其网络上的其他用户。管理员可以通过使用共享向导在其配置文件内共享文件来选择计算机。 |
| 检查“永远以高特权进行安装”是否禁用 | 检查 HKEY_USERS\<SID>\Software\Policies\Microsoft\Windows\Installer\中的AlwaysInstallElevated,AlwaysInstallElevated配置项应为:已禁用 | 请使用运行,输入gpedit.msc,找到 用户配置\策略\管理模板\Windows组件\WindowsInstaller\永远以提升的权限进行安装,配置项值修改为:已禁用 | 指导 Windows 安装程序在系统上安装任何程序时使用系统权限。该设置会将提升的特权扩展到所有程序。这些特权通常是为已分配给用户(桌面上提供的)或计算机(自动安装的)、或者显示在“控制面板”的“添加或删除程序”中的程序而保留的。该设置允许用户安装需要访问用户可能无查看或更改权限目录(包括受高度限制的计算机上的目录)的程序。 如果禁用或未配置此设置,当安装的程序不是管理员分发或提供的程序时,系统将会应用当前用户的权限。 |
| 检查“防止下载编解码器”策略是否启用 | 检查 HKEY_USERS\<SID>\Software\Policies\Microsoft\WindowsMediaPlayer\中的PreventCodecDownload,PreventCodecDownload配置项应为:已启用 | 请使用运行,输入gpedit.msc,找到 用户配置\策略\管理模板\Windows组件\Windows Media Player\播放\防止下载编解码器,修改其值已启用 | 此策略将避免播放机自动将编解码器下载到您的计算机上。另外,播放机的“播放机”选项卡中的“自动下载编解码器”复选框不可用。 |
扫一扫
2437
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
