安全审计功能应得到启用，审计范围包括每个用户，审计非常重要用户行为和非常重要安全事件。检查它的安全设置是不是成功，是不是失败，例如，键入secpol.msccommand--"LocalPolicy--"来检查，即不打开任何审计功能。审核记录应包括审核的日期和时间，用户，审核类型，审核是不是成功，以及其他与审核有关的信息。默认情况下满足Windows审计记录的要求，如果使用第三方审计工具，请检查审计工具的记录是不是满足。

Windows日志，形为是键入eventvwr.msc。应该保护审计记录，定期备份，以避免被意外删除、修改或覆盖等。除了administrators组以外，Windows操作系统默认情况下不能删除修改日志，因此需要检查应用程序、安全性、系统日志策略是不是合理，关注事项如下图(默认配置)：请输入eventvwr.msc--"WindowsLog--"应用程序--"属性。访问管理员是不是对系统日志、备份策略、备份记录进行备份，应保护审核过程，防止未经授权的干扰。检查“管理审核和安全日志”策略项是不是包含独立于审计的用户组(默认符合)，形为是键入secpol.msc--"本地策略入侵防护技术。只安装所需的组件和应用程序，遵循最低安装原则。

请输入dcomcnfg-"ComponentServices-"Component-ComponentServices""计算机-"我的电脑。检查和访问管理员，看看是不是有多余的部件。pwiz.cpl，通过运行。检查和面谈是不是有多余的服务。应关闭不需要的系统服务、默认共享和高风险端口。请运行--"services.msc，检查系统服务，检查lerter、RemoteRegistryServicceMesssenger等多余的服务，以及TaskScheduler是不是启动。您也可以在这儿检查telnet服务是不是打开。请运行--"cmd--"进入netshare，检查是不是打开了共享。在运行--cmd--netstat-an时检查高风险端口(例如135,137,138,139,445,3389端口等)通过设置终端访问方式或网络地址范围，应该限制通过网络管理的管理终端。

在这一点上，一般系统将只限制通过本地登录或Baster登录，而访问网络地址范围科将限制通过防火墙、Baster、主机防火墙，以下是主机防火墙的演示。首先检查主机防火墙是不是通过运行-firewall.cpl-高级设置-入站规则-远程桌面连接-用户模式(Tcp-In)-范围(默认未配置)来打开。

提供数据有效性检查功能，以确保通过人机界面键入或通过通讯界面键入的数据符合系统设置要求。该项目不适用于主机，用于应用测试。应该可以发现有可能存在的已知漏洞，并在进行充分的测试评估之后及时进行修补。询问管理员是不是做了漏洞扫描，是不是定期进行了漏洞扫描，检查漏洞扫描报告。请通过运行--appwiz.cpl--检查已安装的更新，并检查是不是有更新补丁，以及是否是最新的。应可以检测对关键节点的入侵行为，并在严重入侵事件发生时提供报警。检查操作系统是不是安装入侵检测软件、EDR、火绒、Association、Cabassky等反病毒软件，是不是打开入侵检测和报警(通过邮箱、短信等)。

恶意代码的防范措施，采取技术措施，防止恶意代码攻击或主动免疫信任验证机制，及时识别入侵和病毒行为，有效阻断入侵和病毒行为。在网络和主机两级都需要同时进行恶意代码防范，对网络防恶意代码产品的管理员和主机防恶意代码软件病毒库是不是相同(不同厂家不同)，检查防恶意代码软件的相关功能是不是打开，病毒库是不是及时更新，是不是有发现病毒入侵的邮件、短信报警机制。