Windows系统安全配置基线要点.docx

Windows系统安全配置基线要点.docx

《Windows系统安全配置基线要点.docx》由会员分享，可在线阅读，更多相关《Windows系统安全配置基线要点.docx（17页珍藏版）》请在冰豆网上搜索。

Windows系统安全配置基线要点

Windows系统安全配置基线

第1章概述

1.1目的

本文规定了WINDOWS操作系统主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行WINDOWS操作系统的安全合规性检查和配置。

1.2适用范围

本配置标准的使用者包括：

服务器系统管理员、安全管理员和相关使用人员。

本配置标准适用的范围包括：

WINDOWS服务器。

1.3适用版本

适用于WindowsXP、WindowsServer服务器。

第2章安装前准备工作

2.1需准备的光盘

（1）正版的Windows服务器操作系统光盘。

（2）服务器用杀毒软件光盘。

第3章操作系统的基本安装

3.1基本安装

（1）使用NTFS文件系统来最小化安装操作系统。

（2）管理员账号须设置较复杂的口令（由数字、大小写字母和特殊字符组成），长度在12位以上，其中管理员口令应一机一密码，不同机器之间不应相同。

（3）断开网络安装完操作系统后，在业务网专用区域内连接网络进行系统升级，并打开Windows自动更新服务。

（4）升级完成后，安装前述光盘中的杀毒软件并进行更新。

第4章账号管理、认证授权

4.1账号

4.1.1管理缺省账户

安全基线项目名称

操作系统缺省账户安全基线要求项

安全基线项说明

对于管理员帐号，要求更改缺省帐户名称；禁用guest（来宾）帐号。

检测操作步骤

进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：

缺省帐户Administrator－>属性

Guest帐号->属性

基线符合性判定依据

缺省账户Administrator名称已更改

Guest帐号已停用

备注

4.1.2删除无用账户

安全基线项目名称

操作系统缺省账户安全基线要求项

安全基线项说明

删除或锁定与设备运行、维护等与工作无关的账号。

检测操作步骤

1、参考配置操作

进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：

删除或锁定与设备运行、维护等与工作无关的账号。

基线符合性判定依据

1、判定条件

结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的账号。

2、检测操作

进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：

查看是否删除或锁定与设备运行、维护等与工作无关的账号。

备注

4.1.3用户权限分离

安全基线项目名称

操作系统缺省账户安全基线要求项

安全基线项说明

按照用户分配账号。

根据系统的要求，设定不同的账户和账户组，管理员用户，操作员用户operator，审计用户auditor等。

检测操作步骤

1、参考配置操作

进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：

根据系统的要求，设定不同的账户和账户组，管理员用户，操作员用户和审计用户纳入user组。

基线符合性判定依据

1、判定条件

结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的账户和账户组，管理员用户，操作员用户，审计用户。

2、检测操作

进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：

查看根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户，审计用户。

备注

4.2口令

4.2.1密码复杂度

安全基线项目名称

操作系统密码复杂度安全基线要求项

安全基线项说明

最短密码长度12个字符，启用本机组策略中密码必须符合复杂性要求的策略。

即密码需要包含以下四种类别的字符：

l英语大写字母A,B,C,…Z

l英语小写字母a,b,c,…z

l西方阿拉伯数字0,1,2,…9

非字母数字字符，如标点符号，@,#,$,%,&,*等

检测操作步骤

进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：

查看是否“密码必须符合复杂性要求”选择“已启动”

基线符合性判定依据

“密码必须符合复杂性要求”选择“已启动”

备注

4.2.2密码最长生存期

安全基线项目名称

操作系统密码最长生存期要求项

安全基线项说明

对于采用静态口令认证技术的系统，账户口令的生存期不长于90天。

检测操作步骤

进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：

查看“密码最长存留期”

基线符合性判定依据

“密码最长存留期”设置不大于“90天”

备注

4.2.3密码历史

安全基线项目名称

操作系统密码历史安全基线要求项

安全基线项说明

对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。

检测操作步骤

1、参考配置操作

进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：

“强制密码历史”设置为“记住5个密码”

基线符合性判定依据

1、判定条件

“强制密码历史”设置为“记住5个密码”

2、检测操作

进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：

查看是否“强制密码历史”设置为“记住5个密码”

备注

4.2.4帐户锁定策略

安全基线项目名称

操作系统账户锁定策略安全基线要求项

安全基线项说明

对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过4次（不含5），锁定该用户使用的账号。

检测操作步骤

进入“控制面板->管理工具->本地安全策略”，在“帐户策略->帐户锁定策略”：

查看“账户锁定阀值”设置

基线符合性判定依据

“账户锁定阀值”设置为小于或等于3次，锁定时间1分钟。

备注

4.3授权

4.3.1远程关机

安全基线项目名称

操作系统远程关机策略安全基线要求项

安全基线项说明

在本地安全设置中从远端系统强制关机只指派给Administrators组。

检测操作步骤

进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”:

查看“从远端系统强制关机”设置

基线符合性判定依据

“从远端系统强制关机”设置为“只指派给Administrtors组”

备注

4.3.2本地关机

安全基线项目名称

操作系统本地关机策略安全基线要求项

安全基线项说明

在本地安全设置中关闭系统仅指派给Administrators组。

检测操作步骤

进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”:

查看“关闭系统”设置

基线符合性判定依据

“关闭系统”设置为“只指派给Administrators组”

备注

4.3.3隐藏上次登录名

安全基线项目名称

操作系统本地登录名隐藏策略安全基线要求项

安全基线项说明

交互式登录，不显示上次登录的用户名

检测操作步骤

运行输入“gpedit.msc”à本地计算机策略àwindows设置à安全设置à本地策略à安全选项下:

启用”交互式登录:

不显示最后的用户名”

基线符合性判定依据

“交互式登录:

不显示最后的用户名”设置为“已启用”

备注

4.3.4关机清理内存页面

安全基线项目名称

操作系统关机清理内存策略安全基线要求项

安全基线项说明

关机时清理虚拟内存页面文件

检测操作步骤

运行输入“gpedit.msc”à本地计算机策略àwindows设置à安全设置à本地策略à安全选项下:

启用”关机:

清理虚拟内存页面文件”

基线符合性判定依据

“关机:

清理虚拟内存页面文件”设置为“已启用”

备注

4.3.5用户权利指派

安全基线项目名称

操作系统用户权力指派策略安全基线要求项

安全基线项说明

在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。

检测操作步骤

进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”：

查看是否“取得文件或其它对象的所有权”设置

基线符合性判定依据

“取得文件或其它对象的所有权”设置为“只指派给Administrators组”

备注

第5章日志配置操作

5.1日志配置

5.1.1审核登录

安全基线项目名称

操作系统审核登录策略安全基线要求项

安全基线项说明

设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。

检测操作步骤

开始->运行->执行“控制面板->管理工具->本地安全策略->审核策略”

审核登录事件。

基线符合性判定依据

审核登录事件，设置为成功和失败都审核。

备注

5.1.2审核策略更改

安全基线项目名称

操作系统审核策略更改安全基线要求项

安全基线项说明

启用组策略中对Windows系统的审核策略更改，成功和失败都要审核。

检测操作步骤

进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中

查看“审核策略更改”设置。

基线符合性判定依据

“审核策略更改”设置为“成功”和“失败”都要审核。

备注

5.1.3审核对象访问

安全基线项目名称

操作系统审核对象访问安全基线要求项

安全基线项说明

启用组策略中对Windows系统的审核对象访问，成功和失败都要审核。

检测操作步骤

进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：

查看“审核对象访问”设置。

基线符合性判定依据

“审核对象访问”设置为“成功”和“失败”都要审核。

备注

5.1.4审核事件目录服务器访问

安全基线项目名称

操作系统审核事件目录服务器访问策略安全基线要求项

安全基线项说明

启用组策略中对Windows系统的审核目录服务访问，失败。

检测操作步骤

进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：

查看“审核目录服务器访问”设置。

基线符合性判定依据

“审核目录服务器访问”设置为“成功”和“失败”都要审核。

备注

5.1.5审核特权使用

安全基线项目名称

操作系统审核特权使用策略安全基线要求项

安全基线项说明

启用组策略中对Windows系统的审核特权使用，成功和失败都要审核。

检测操作步骤

进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：

查看“审核特权使用”设置。

基线符合性判定依据

“审核特权使用”设置为“成功”和“失败”都要审核。

备注

5.1.6审核系统事件

安全基线项目名称

操作系统审核系统事件策略安全基线要求项

安全基线项说明

启用组策略中对Windows系统的审核系统事件，成功和失败都要审核。

检测操作步骤

进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：

查看“审核系统事件”设置。

基线符合性判定依据

“审核系统事件”设置为“成功”和“失败”都要审核。

备注

5.1.7审核账户管理

安全基线项目名称

操作系统审核账户管理策略安全基线要求项

安全基线项说明

启用组策略中对Windows系统的审核帐户管理，成功和失败都要审核。

检测操作步骤

进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：

查看“审核账户管理”设置。

基线符合性判定依据

“审核账户管理”设置为“成功”和“失败”都要审核。

备注

5.1.8审核过程追踪

安全基线项目名称

操作系统审核过程追踪策略安全基线要求项

安全基线项说明

启用组策略中对Windows系统的审核过程追踪失败。

检测操作步骤

进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：

查看“审核过程追踪”设置。

基线符合性判定依据

“审核过程追踪”设置为“失败”需要审核。

备注

5.1.9日志文件大小

安全基线项目名称

操作系统日志容量安全基线要求项

安全基线项说明

设置应用日志文件大小至少为8M，设置当达到最大的日志尺寸时，按需要改写事件。

检测操作步骤

进入“控制面板->管理工具->事件查看器”，在“事件查看器（本地）”中：

查看“应用日志”“系统日志”“安全日志”属性中的日志大小,以及设置当达到最大的日志尺寸时的相应策略。

基线符合性判定依据

“应用日志”“系统日志”“安全日志”属性中的日志大小设置不小于“8M”,设置当达到最大的日志尺寸时，“按需要改写事件”。

备注

第6章其他配置操作

6.1共享文件夹及访问权限

6.1.1关闭默认共享

安全基线项目名称

操作系统默认共享安全基线要求项

安全基线项说明

非域环境中，关闭Windows硬盘默认共享，例如C$，D$。

检测操作步骤

进入“开始－>运行－>Regedit”，进入注册表编辑器，查看HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer；

基线符合性判定依据

HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer键，值为0。

备注

6.2防病毒管理

6.2.1防病毒软件保护

安全基线项目名称

操作系统防病毒保护安全基线要求项

安全基线项说明

对Windows2003服务器主机应当安装部署服务器专版杀毒软件，并打开自动升级病毒库选项。

检测操作步骤

查看是否存在符合条件的杀毒软件；

点击进入杀毒软件的操作界面，检查是否开启自动更新。

基线符合性判定依据

如不存在杀毒软件或者没打开自动更新即为不合规。

备注

6.3Windows服务

6.3.1系统服务管理

安全基线项目名称

操作系统系统服务管理安全基线要求项

安全基线项说明

检查系统开机启动的服务，并根据实际情况开启/关闭服务，如：

Messenger，TaskScheduler，Server，Workstation，PrintSpooler，Alerter，ComputerBrowser，DHCPClient，RemoteRegistryService，SNMP，TCP/IPNetBIOSHelper，IPSECPolicyAgent等；

检测操作步骤

打开“控制面板”，打开“管理工具”中的“服务”。

基线符合性判定依据

关闭不需要的服务，并设置非开机自动启动项。

询问管理员，在系统确实需要的情况下可开启相应的服务，如SNMP等。

备注

系统管理员应出具系统所必要的服务列表。

查看所有服务，不在此列表的服务需关闭。

6.4访问控制

6.4.1限制Radmin管理地址

安全基线项目名称

操作系统数据访问控制安全基线要求项

安全基线项说明

通过限制Radmin管理地址，严格控制访问者来源

检测操作步骤

1、参考配置操作

开始菜单àRadminàoperationsforRemoteAdministratorserver

选择Operations

选择Add

添加168.8.44.0/255.255.255.0

168.8.43.0/255.255.255.0

基线符合性判定依据

1、判定条件

在非管理网段尝试进行radmin连接

备注

中心机房以外的服务器管理暂时不做源地址限制。

6.5启动项

6.4.1关闭Windows自动播放功能

安全基线项目名称

操作系统Windows自动播放安全基线要求项

安全基线项说明

关闭Windows自动播放功能。

检测操作步骤

打开“开始→运行”，在对话框中输入“gpedit.msc”命令，在出现“组策略”窗口中依次选择“在计算机配置→管理模板→系统”，双击“关闭自动播放”查看。

基线符合性判定依据

在“设置”选项卡中选“已启用”选项。

备注

6.4.3配置屏保功能

安全基线项目名称

操作系统Windows其他安全配置基线要求项

安全基线项说明

配置Windows屏幕保护功能

检测操作步骤

1、参考配置操作

打开控制面板→显示，在“显示”属性中选择屏幕保护，选择任意屏幕保护程序后将等待时间修改为15分钟，并选择“在恢复时使用密码保护”，确定即可。

基线符合性判定依据

1、判定条件

计算机15分钟无操作时能自动启用屏幕保护，恢复时要求输入密码。

2、检测操作

打开控制面板→显示，在“显示”属性中选择屏幕保护，检查等待时间和“在恢复时使用密码保护”设置。

备注

6.4.4补丁更新

安全基线项目名称

操作系统Windows其他安全配置基线要求项

安全基线项说明

安装最新的ServicePack补丁集

检测操作步骤

1、参考配置操作

安装最新的ServicePack补丁集，目前WindowsXP的ServicePack为SP3。

Windows2000要求重装到Windows2003，对于客观因素无法重装的Windows2000，建议ServicePack升级至SP4,Windows2003的ServicePack为SP2，Windows2008的ServocePack为SP2。

基线符合性判定依据

1、判定条件

显示XP系统已安装SP3，Win2000系统已安装SP4，Win2003为SP2，Win2008为SP2。

2、检测操作

右击我的电脑->属性，查看是否XP系统已安装SP3，Win2000系统已安装SP4，Win2003系统已安装SP2，2008系统已安装SP2。

备注

持续改进

本文件由XXX定期进行审查，根据审查结果修订标准，并重新颁发执行。