WINDOWS操作系统安全规范手册Word下载.docx

WINDOWS操作系统安全规范手册Word下载.docx

《WINDOWS操作系统安全规范手册Word下载.docx》由会员分享，可在线阅读，更多相关《WINDOWS操作系统安全规范手册Word下载.docx（24页珍藏版）》请在冰豆网上搜索。

认证授权：

10.在本地安全设置中从远端系统强制关机只指派给Administrators组。

11.在本地安全设置中关闭系统仅指派给Administrators组。

12.在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。

13.在本地安全设置中配置指定授权用户允许本地登陆此计算机。

14.在组策略中只允许授权帐号从网络访问（包括网络共享等，但不包括终端服务）此计算机。

日志配置操作

1.设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。

2.审核登录事件，双击，设置为成功和失败都审核。

3.设置应用日志文件大小至少为8192KB，设置当达到最大的日志尺寸时，按需要改写事件。

IP协议安全配置操作

1.对没有自带防火墙的Windows系统，启用Windows系统的IP安全机制（IPSec）或网络连接上的TCP/IP筛选，只开放业务所需要的TCP，UDP端口和IP协议。

2.启用WindowsXP和Windows2003自带防火墙。

根据业务需要限定允许访问网络的应用程序，和允许远程登陆该设备的IP地址范围。

3.启用SYN攻击保护；

指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阀值为5；

指定处于SYN_RCVD状态的TCP连接数的阈值为500；

指定处于至少已发送一次重传的SYN_RCVD状态中的TCP连接数的阈值为400。

共享文件夹及访问权限

1.非域环境中，关闭Windows硬盘默认共享，例如C$，D$。

2.查看每个共享文件夹的共享权限，只允许授权的账户拥有权限共享此文件夹。

补丁管理

1.应安装最新的ServicePack补丁集。

对服务器系统应先进行兼容性测试。

2.应安装最新的Hotfix补丁。

IIS设置管理

1.禁止下载Access数据库、删除其他扩展名。

2.卸载不安全的IIS组件。

3.修改脚本错误出现的错误信息。

4.多站点设置最低权限独立IIS用户运行。

5.取消网站目录不必要写入权限目录。

6.禁止不需要运行脚本权限目录。

应用软件配置

1.禁止安装Radmin，任何用户均可获得HASH直接登陆系统。

2.禁止安装Serv-U，任何版本均存在本地提权安全漏洞，必要时修改Serv-U运行权限，修改Serv-U默认密码

3.WinRAR版本应为当前最新版本。

4.SQLSERVER安装版本不得低于SQL2000SP4/SQL2005SP2。

3.禁止在SQLServer中远程通过sa帐号连接数据库服务器。

附送，配置操作步骤，有经验的可以跳过。

1.1账号口令

要求内容

按照用户分配账号。

操作指南

1、参考配置操作

进入“控制面板->

管理工具->

计算机管理”，在“系统工具->

本地用户和组”：

根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户，审计用户，来宾用户。

检测方法

1、判定条件

结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户，审计用户，来宾用户。

2、检测操作

查看根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户，审计用户，来宾用户。

编号：

安全要求-设备-WINDOWS-配置-2-可选

删除或锁定与设备运行、维护等与工作无关的账号。

结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的账号。

查看是否删除或锁定与设备运行、维护等与工作无关的账号。

对于管理员帐号，要求更改缺省帐户名称；

Administrator－>

属性－>

更改名称

Guest帐号->

已停用

缺省账户Administrator名称已更改。

Guest帐号已停用。

缺省帐户－>

最短密码长度6个字符，启用本机组策略中密码必须符合复杂性要求的策略。

即密码至少包含以下四种类别的字符中的三种：

●英语大写字母A,B,C,…Z

●英语小写字母a,b,c,…z

●西方阿拉伯数字0,1,2,…9

非字母数字字符，如标点符号，@,#,$,%,&

*等

本地安全策略”，在“帐户策略->

密码策略”：

“密码必须符合复杂性要求”选择“已启动”

查看是否“密码必须符合复杂性要求”选择“已启动”

在下一次更改密码时不存储LAN管理器哈希值

本地安全策略”，在“本地策略->

安全选项”：

“网络安全:

在下一次更改密码时不存储LAN管理器哈希值”选择“已启用”

选择后操作修改本地用户密码

在下一次更改密码时不存储LAN管理器哈希值”选择“已启用”，

对于采用静态口令认证技术的设备，账户口令的生存期不长于90天。

“密码最长存留期”设置为“90天”

查看是否“密码最长存留期”设置为“90天”

对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。

“强制密码历史”设置为“记住5个密码”

查看是否“强制密码历史”设置为“记住5个密码”

对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。

帐户锁定策略”：

“账户锁定阀值”设置为6次

“账户锁定阀值”设置为小于或等于6次

查看是否“账户锁定阀值”设置为小于等于6次

1.1.1授权

在本地安全设置中从远端系统强制关机只指派给Administrators组。

用户权利指派”:

“从远端系统强制关机”设置为“只指派给Administrators组”

“从远端系统强制关机”设置为“只指派给Administrtors组”

查看是否“从远端系统强制关机”设置为“只指派给Administrators组”

在本地安全设置中关闭系统仅指派给Administrators组。

“关闭系统”设置为“只指派给Administrators组”

查看“关闭系统”设置为“只指派给Administrators组”

在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。

用户权利指派”：

“取得文件或其它对象的所有权”设置为“只指派给Administrators组”

查看是否“取得文件或其它对象的所有权”设置为“只指派给Administrators组”

在本地安全设置中配置指定授权用户允许本地登陆此计算机。

用户权利指派”

“从本地登陆此计算机”设置为“指定授权用户”

查看是否“从本地登陆此计算机”设置为“指定授权用户”

在组策略中只允许授权帐号从网络访问（包括网络共享等，但不包括终端服务）此计算机。

“从网络访问此计算机”设置为“指定授权用户”

查看是否“从网络访问此计算机”设置为“指定授权用户”

1.2日志配置操作

设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。

开始->

运行->

执行“控制面板->

本地安全策略->

审核策略”

审核登录事件，双击，设置为成功和失败都审核。

审核登录事件，设置为成功和失败都审核。

审核登录事件，双击，查看是否设置为成功和失败都审核。

设置应用日志文件大小至少为8192KB，设置当达到最大的日志尺寸时，按需要改写事件。

事件查看器”，在“事件查看器（本地）”中：

“应用日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时，“按需要改写事件”

查看是否“应用日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时，“按需要改写事件”

设置系统日志文件大小至少为8192KB，设置当达到最大的日志尺寸时，按需要改写事件。

“系统日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时，“按需要改写事件”

“系统日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时，“按需要改写事件”

查看是否“系统日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时，“按需要改写事件”

设置安全日志文件大小至少为8192KB，设置当达到最大的日志尺寸时，按需要改写事件。

“安全日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时，“按需要改写事件”

查看是否“安全日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时，“按需要改写事件”

1.3IP协议安全配置操作

对没有自带防火墙的Windows系统，启用Windows系统的IP安全机制（IPSec）或网络连接上的TCP/IP筛选，只开放业务所需要的TCP，UDP端口和IP协议。

进入“控制面板－>

网络连接－>

本地连接”，进入“Internet协议（TCP/IP）属性－>

高级TCP/IP设置”，在“选项”的属性中启用网络连接上的TCP/IP筛选，只开放业务所需要的TCP，UDP端口和IP协议。

系统管理员出示业务所需端口列表。

根据列表只开放系统与业务所需端口。

高级TCP/IP设置”，在“选项”的属性中启用网络连接上的TCP/IP筛选，查看是否只开放业务所需要的TCP，UDP端口和IP协议。

启用WindowsXP和Windows2003自带防火墙。

本地连接”，在高级选项的设置中

启用Windows防火墙。

在“例外”中配置允许业务所需的程序接入网络。

在“例外->

编辑->

更改范围”编辑允许接入的网络地址范围。

“例外”中允许接入网络的程序均为业务所需。

本地连接”，在高级选项的设置中，查看是否启用Windows防火墙。

查看是否在“例外”中配置允许业务所需的程序接入网络。

查看是否在“例外->

启用SYN攻击保护；

在“开始->

键入regedit”

启用SYN攻击保护的命名值位于注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services之下。

值名称：

SynAttackProtect。

推荐值：

2。

以下部分中的所有项和值均位于注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services之下。

指定必须在触发SYNflood保护之前超过的TCP连接请求阈值。

TcpMaxPortsExhausted。

5。

启用SynAttackProtect后，该值指定SYN_RCVD状态中的TCP连接阈值，超过SynAttackProtect时，触发SYNflood保护。

TcpMaxHalfOpen。

推荐值数据：

500。

启用SynAttackProtect后，指定至少发送了一次重传的SYN_RCVD状态中的TCP连接阈值。

超过SynAttackProtect时，触发SYNflood保护。

TcpMaxHalfOpenRetried。

400。

各注册表键值均按要求设置。

1.4设备其他配置操作

1.4.1共享文件夹及访问权限

非域环境中，关闭Windows硬盘默认共享，例如C$，D$。

进入“开始－>

运行－>

Regedit”，进入注册表编辑器，

更改注册表键值：

在HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\下，增加REG_DWORD类型的AutoShareServer键，值为0。

HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\增加了REG_DWORD类型的AutoShareServer键，值为0。

Regedit”，进入注册表编辑器，更改注册表键值：

查看每个共享文件夹的共享权限，只允许授权的账户拥有权限共享此文件夹。

计算机管理”，进入“系统工具－>

共享文件夹”：

查看每个共享文件夹的共享权限，只将权限授权于指定账户。

查看每个共享文件夹的共享权限仅限于业务需要，不设置成为“everyone”。

查看每个共享文件夹的共享权限。

1.4.2补丁管理

应安装最新的ServicePack补丁集。

安装最新的ServicePack补丁集，目前WindowsXP的ServicePack为SP2。

Windows2000的ServicePack为SP4,Windows2003的ServocePack为SP1

显示XP系统已安装SP2，Win2000系统已安装SP4。

控制面板->

添加或删除程序->

显示更新打钩，查看是否XP系统已安装SP2，Win2000系统已安装SP4。

应安装最新的Hotfix补丁。

安装最新的Hotfix补丁。

已安装最新的Hotfix补丁，并经过兼容性测试。

显示更新打钩，查看最近安装的Hotfix补丁是否为微软最新发布。

1.4.3IIS设置

禁止下载Access数据库、删除其他扩展名

Internet信息服务（IIS）管理器→网站→属性→主目录→配置→添加

可执行文件：

C:

\WINDOWS\twain_32.dll

扩展名：

.mdb

禁止其他文件

.（改成你要禁止的文件名）

删除扩展名：

cdxidccerasa

通过IE浏览MDB文件，判断是