全国信息化标准委员会于5月26日正式发布了《网络安全标准实践指南——Windows 7 操作系统安全加固指引》（以下简称：《实践指南》）。今日，安天对主机安全防护加固和安全配置加固两个方面，给出了详细的加固操作方案。

本篇文章，安天参与《实践指南》的编写专家针对32个常见问题进行了整理回答。供用户参考。

Q1: Windows 7 操作系统已经停服2年多，为什么现在出台《网络安全标准实践指南— Windows 7 操作系统安全加固指引》（以下简称《实践指南》）？

A1：按照相关主管部门的指导意见，鉴于国内实际在用的 Windows 7 操作系统还有一定的市场份额，为了保护这部分机构和单位使用该操作系统的网络安全，因此出台该《实践指南》。

Q2：安天在该《实践指南》的出台过程中，发挥了哪些作用？

A2：安天作为该《实践指南》的牵头单位和实际参与编写单位，从2021年年底开始，在中国网络安全产业联盟（CCIA）的协调和指挥下，牵头组织国内七家网络安全厂商，克服疫情带来的不利影响，采用灵活多样的线上交流、线下封闭等形式，组织专门的技术专家团队、凝聚业内产业最佳实践，圆满完成了《实践指南》的编制工作，并得到了主管单位领导、专家的高度认可。

Q3: 《实践指南》的出台意味着倡导用户继续使用 Windows 7 操作系统？

A3：不是的。《实践指南》的出台不意味着鼓励和倡导用户继续使用 Windows 7 操作系统。恰恰相反，《实践指南》在“引言”中就明确指出，建议用户“尽快更新迭代到更加安全的操作系统。”不要继续使用 Windows 7 操作系统。

Q4: 既然不推荐用户继续使用 Windows 7 操作系统，为什么还要出台该《实践指南》？

A4：相关主管部门本着从实际和现实出发的角度，提醒那些依然由于种种原因，还依然在实际使用 Windows 7 操作系统的用户，注意由于继续使用该操作系统带来的网络安全风险。首选建议用户更换操作系统；如果实在暂时不便更换，就要特别注意本《实践指南》的加固建议，并立即着手实施加固。

Q5: 如果要引用该《实践指南》，其编号是什么？

A5: 引用编号是：TC260-PG-20221A；版本号是：V1.0-202205；指南全称是：网络安全标准实践指南—Windows 7操作系统安全加固指引。

Q6: 该《实践指南》是标准吗？

A6：该《实践指南》不是标准，这从引用编号也可以看出。它是《实践指南》，相对于国家标准来说，它是一种技术文件。

Q7：该《实践指南》的发布流程和标准有区别吗？

A7：该《实践指南》的编写和发布流程基本参考了国家标准的相关流程。

Q8：所有的国内 Windows 7 操作系统用户都建议按照该《实践指南》的要求操作吗？

A8：不是的。该《实践指南》更多的是针对政企单位实际在用的操作系统环境；针对个人用户可以参考，但个人用户可以根据自己的使用情况参考使用。

Q9：该《实践指南》主要从什么角度给用户提供加固指引?

A9: 该《实践指南》从安全防护加固和安全配置加固两个方面给用户提供操作系统加固指引。

Q10: 依照该《实践指南》的加固项进行加固，就安全了吗？

A10：不是的，该《实践指南》的加固项并不全面，实际使用还需要用户根据具体情况增加或减少加固项。

Q11: 当前的《实践指南》的加固项的选择依据是什么？

A11：主要是依据国内主要网络安全厂商，比如安天等的最佳实践提炼而来，同时参考了国内外的相关标准和指南。

Q12: 什么是《实践指南》的“安全防护加固”？

A12: 这是本《实践指南》的专用名词，有三个方面的含义：它首先指采用网络安全厂商提供的恶意代码（或者计算机病毒）防护软件来达到为 Windows 7 操作系统加固的目的。其次，指“能安尽安” Windows 7 系统已经有的系统补丁，做到“不漏一个”。最后，它还指一些第三方热补丁或者虚拟补丁的安装。

Q13：什么是《实践指南》的“安全配置加固”？

A13：和“安全防护加固”主要依靠第三方网络安全厂商提供的防护软件不同，“安全配置加固”主要是依靠修改 Windows 7 操作系统本身的配置项，来达到加固的目的。

Q14: 什么是热补丁？

A14：指能够修复软件漏洞的一些代码，它不会使当前正在运行的业务中断，即在不重启的情况下，可以对当前软件的漏洞进行即时修复。

一般指在没有 Windows 7 官方补丁的情况下，第三方网络安全厂商根据发现的漏洞或者PoC线索，开发的修补程序。

Q15: 什么是虚拟补丁？

A15: 指一组程序或者代码，它不直接修复受影响软件的漏洞，而采用外围的方式，通过控制受影响软件的输入或输出，来达到缓解或者清除漏洞的目的。

与热补丁一样，一般指在没有 Windows 7 官方补丁的情况下，第三方网络安全厂商采用“黑盒”的方式，开发的修订程序。与热补丁不一样的是，它不是依据漏洞或者PoC来实现。

Q16: 本《实践指南》一共有多少加固项？

A16：本《实践指南》一共有48项加固项，其中安全防护加固项9个，安全配置加固项39个。

Q17: 本《实践指南》的加固项由什么构成？

A17：每个加固项包括“加固内容、加固建议、实施/操作指南”三项要素，具体说明了加固方法。

Q18: “安全配置加固”中好多注册表操作项，我不会操作怎么办？有没有自动化的方法来完成加固？

A18：可以咨询本《实践指南》的技术支持单位，比如安天等第三方网络安全厂商准备了自动化的加固工具和方法。

Q19: 39个安全配置加固项都属于同一类别吗？

A19：不是的，39个安全配置加固项参考“GB/T 22239-2019 信息安全技术网络安全等级保护基本要求”，划分成了4个类别，分别是：身份鉴别、访问控制、安全审计、入侵防御。

Q20: 与“GB/T 30278-2013 信息安全技术政务计算机终端核心配置规范”相比，本《实践指南》有什么特色？

A20：本《实践指南》聚焦在 Windows 7 操作系统本身，没有覆盖其应用环境，比如邮件系统、办公软件、加密组件等。而GB/T 30278-2013更多的是从“终端”应用环境的角度阐述的。

Q21: 不少网络安全厂商都声称其开发了操作系统的热补丁或者虚拟补丁方案，我如何选择？

A21：建议采用第三方专业机构与用户自身相结合的方式：首先，第三方网络安全厂商提供的热补丁或虚拟补丁的有效性应由专业机构进行验证；同时，这些补丁与用户业务系统的兼容性等需要用户根据自身的实际情况进行验证、修补。

Q22: 本《实践指南》第七章的“域控环境”指的是什么?

A22：“域控环境”一般是企业应用环境，采用了“域控”的管理方式，它可以批量对其管理下的计算机或者用户进行管理和配置。

Q23：安全加固项的优先级是如何确定的？

A23: 优先级的确定依据是：网络安全服务提供商，比如安天等，对 Windows 7 操作系统安全加固的实践经验，提出了安全加固项的实施优先级建议，分重要和一般两级。当然，用户可根据具体情况实施。

Q24: 本《实践指南》列出的62个高危漏洞是如何确定的？

A24：主要是依据国内主要网络安全厂商，比如安天、安恒以及360等的最佳实践提炼而来。后续可能还会增加或者删除。

Q25: 本《实践指南》建议安装的8个系统补丁是如何确定的？

A25: 主要是依据国内主要网络安全厂商，比如安天、安恒以及360等的最佳实践提炼而来。后续可能还会增加或者删除。

Q26: 本《实践指南》建议关闭的18个服务是如何确定的？

A26: 主要是依据国内主要网络安全厂商，比如安天、安恒以及360等的最佳实践提炼而来。后续可能还会增加或者删除。

Q27: 本《实践指南》建议关闭的20个（类）端口是如何确定的？

A27: 主要是依据国内主要网络安全厂商，比如安天、安恒以及360等的最佳实践提炼而来。后续可能还会增加或者删除。

Q28：采用了本《实践指南》的加固项，可以预防勒索软件的攻击吗？

A28: 采用了本《实践指南》的加固项，可以增强 Windows 7 系统抵御勒索软件的攻击，特别是已知的勒索软件的攻击；但是本《实践指南》的重点是 Windows 7 系统本身的安全，而很多勒索软件采用的是系统漏洞或者第三方应用应用的漏洞为攻击入口进入系统的，建议用户采用功能全面的恶意代码防范软件，比如安天的智甲等，这样可以较为全面防护勒索软件的攻击，特别是针对一些新出现的勒索软件。

Q29: 采用了本《实践指南》发布后，如果出现了针对Windows 7 操作系统的高危漏洞（而且没有官方补丁），并被恶意软件利用，作为用户该如何办？

A29：建议用户咨询本《实践指南》的技术支持单位，比如安天、安恒以及360等选取高效针对性的防护方案。一般来说，可以采用这些网络安全厂商的热补丁、虚拟补丁或者恶意代码防护方案。

Q30：采用了本《实践指南》后，Windows 7 操作系统的安全级别可以达到一个什么防护水平？

A30: 目前还没有一个专门的评估方法来评估，采用了本《实践指南》的加固项，能达到的安全防护水平。

Q31：采用了本《实践指南》进行加固后，用什么方法可以检查加固项的完成情况？

A31：本《实践指南》没有提供这些操作指南，建议咨询本《实践指南》的技术支持单位，比如安天、安恒以及360等。可以采用自动化的工具来实现这些检查和统计，确保加固项的完成。

Q32: 采用了本《实践指南》进行加固后，用什么方法可以确保已经完成的加固项不被有意或者无意修改？

本《实践指南》没有提供这些操作指南，建议咨询本《实践指南》的技术支持单位，比如安天、安恒以及360等。可以采用自动化的工具来实时监控这些加固项，遇到被修改或者篡改，可以报警或者提示用户。