Windows XP操作系统安全配置基线和操作说明.docx
《Windows XP操作系统安全配置基线和操作说明.docx》由会员分享,可在线阅读,更多相关《Windows XP操作系统安全配置基线和操作说明.docx(27页珍藏版)》请在冰豆网上搜索。
WindowsXP操作系统安全配置基线和操作说明
WindowsXP操作系统安全配置
基线与配置说明
2014年9月
1、账户管理
1.1Administrator账户管理
安全判定依据
1)进入“控制面板->管理工具->计算机管理”,在弹出框中选择“系统工具->本
地用户和组->用户”,
2)如果存在Administrator账号,并且隶属于Administrators组,
表明不符合安全要求。
安全配置参考
重命名账户:
鼠标右键->重命名,键入新的账户名称
配置截图参考:
右键点击administrator用户重命名为其它名称(注意,不要改为admin)
1.2Guest账户管理
安全判定依据
进入“控制面板->管理工具->计算机管理”,在弹出框中选择“系统工具->本地
用户和组->用户”,在右侧选择Guest,双击鼠标左键查看,如果勾选了“账户已
禁用”选项,表明符合安全要求。
双击guest账户,确保账户已停用选项是被选中的则为符合要求。
1.3无关账户管理
安全判定依据
1)进入“控制面板->管理工具->计算机管理”,在弹出框中选择“系统工具->本
地用户和组->用户”,
2)如果不存在无关账户,或无关账户处于禁用状态,
表明符合安全要求。
参考操作
删除无关账户:
鼠标史键->删除;
如果用户里面存在guest和administrator(已改名账户)以外的其它账户则不符合安全要求
须对其它用户进行右键——删除操作
2、密码管理
2.1密码复杂度
安全基线要求
密码复杂度要求:
至少包含以下四种类别的字符中的三种:
英文大写字母(A到Z)
英文小写字母(a到z)
阿拉伯数字(0到9)
非字母字符(例如!
、$、#、%)
安全判定依据
进入“控制面板->管理工具->本地安全策略”,在“账户策略->密码策略”中,
选择“密码必须符合复杂性要求”,查看其“安全设置“,如果显示”已启用“,
表明符合安全要求。
2.2密码长度最小值
安全基线要求
对于采用静态口令认证技术的设备,密码最小长度不少于8位
安全判定依据
进入“控制面板->管理工具->本地安全策略”,在“账户策略->密码策略”中,
选择“密码长度最小值”,查看其“安全设置“,如果显示”8个字符“,表明
符合安全要求。
2.3密码最长使用期限
安全基线要求
对于采用静态口令认证技术的设备,口令生存期不长于90天
安全判定依据
进入“控制面板->管理工具->本地安全策略”,在“账户策略->密码策略”中,
选择“密码最长使用期限,查看其“安全设置”,如果显示“90天“,表明符合
安全要求。
2.4强制密码历史
安全基线要求
对于采用静态口令认证技术的设备,应配置设备使用户不能重复使用最近5次(含
5次)内已使用的口令
检测操作参考
进入“控制面板->管理工具->本地安全策略”,在“账户策略->密码策略->强制
密码历史”,鼠标右键->属性->5->确定。
安全判定依据
进入“控制面板->管理工具->本地安全策略”,在“账户策略->密码策略”中,
选择“强制密码历史,查看其“安全设置“,如果显示“5个记住的密码“,表
明符合安全要求。
2.5账户锁定阈值(可选)
安全基线要求
对亍采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不
含6次),锁定该用户使用的账户
检测操作参考
进入“控制面板->管理工具->本地安全策略”,在“账户策略->账户锁定策略->
账户锁定阈值”,鼠标史键->属性->6->确定。
安全判定依据
进入“控制面板->管理工具->本地安全策略”,在“账户策略->账户锁定策略”
中,选择“账户锁定阈值”,查看其“安全设置“,如果显示“6次无效登录“,
表明符合安全要求。
3、认证授权
3.1远程强制关机授权
安全基线要求
非域环境的计算机,“从远程系统强制关机“的权限只指派给Administrators组
检测操作参考
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权限分配->
从远程系统强制关机”,鼠标右键->属性->设置为只指派给Administrators组。
安全判定依据
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权限分配”
中,鼠标左键双击“从远程系统强制关机”,如果弹出的对话框中仅显
示”Administrators”组,表明符合安全要求。
3.2文件所有权授权
安全基线要求
“取得文件或其他对象的所有权“只指派给Administrators组
检测操作参考
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权限分配->取得文件或其他对象的所有权”,鼠标史键->属性->设置为只指派给
安全判定依据
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权限分配”
中,鼠标左键双击“取得文件或其他对象的所有权”,如果弹出的对话框中仅显
示”Administrators”组,表明符合安全要求。
4、日志审计
4.1审核策略更改
安全基线要求
启用对Windows系统的审核策略更改,成功不失败都要审核
检测操作参考
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略->审核
策略更改”,鼠标右键->属性->勾选“成功”与“失败”两项。
安全判定依据
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略“中,
选择”审核策略更改”,查看其“安全设置“,默认为无审核,如果显示为“成
功,失败”,表明符合安全要求。
4.2审核登录事件
安全基线要求
应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账户,登
录是否成功,登录时间,以及远程登录时使用的IP地址
检测操作参考
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略->审核
登录事件”,鼠标史键->属性->勾选“成功”和“失败”两项。
安全判定依据
进入“控制面板->管理工具->本地安全策略“,在“本地策略->审核策略“中,
选择”审核登录事件”,查看其“安全设置“,默认为无审核,如果显示为“成
4.3审核对象访问
安全基线要求
启用对Windows系统的审核对象访问,成功不失败都要审核
检测操作参考
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略->审核
对象访问”,鼠标右键->属性->勾选“成功”和“失败”两项。
安全判定依据
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略“中,
选择”审核对象访问”,查看其“安全设置“,默认为无审核,如果显示为“成
功,失败”,表明符合安全要求。
4.4审核进程跟踪
安全基线要求
启用对Windows系统的审核特权使用,成功不失败都要审核
检测操作参考
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略->审核
特权使用”,鼠标右键->属性->勾选“成功”与“失败”两项。
安全判定依据
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略“中,
选择”审核特权使用”,查看其“安全设置“,默认为无审核,如果显示为“成
功,失败”,表明符合安全要求。
对审核策略中的所有项均进行以上配置操作
4.5日志文件大小
安全基线要求
设置日志容量和覆盖规则,保证日志存储
检测操作参考
进入“控制面板->管理工具->事件查看器”,选择“事件查看器(本地)
->Windows日志”,
1)在“应用程序”中,鼠标史键单击选择“属性”,将“日志最大大小”设置为
“40960KB”,“达到事件日志最大大小时“选择“按需要覆盖事件(旧事件优
先)”。
2)在“安全”中,鼠标右键单击选择“属性”,将“日志最大大小”设置为
“40960KB”,“达到事件日志最大大小时“选择“按需要覆盖事件(旧事件优
先)”。
3)在“系统”中,鼠标右键单击选择“属性”,将“日志最大大小”设置为
“40960KB”,“达到事件日志最大大小时“选择“按需要覆盖事件(旧事件优
先)”。
安全判定依据
进入“控制面板->管理工具->事件查看器,选择“事件查看器(本地)->Windows日志”,鼠标史键点击“应用程序“、“安全”、“系统”,选择“属性“,查
看这三项的“日志最大大小”和“达到事件日志最大大小时“的选项,如果显示
为”40960”和“按需要覆盖事件(旧事件优先)“,表明符合安全要求。
对windows日志中的‘应用程序’‘安全’‘系统’三项均进行上图配置
5、系统服务
5.1启用Windows防火墙
安全基线要求
启用Windows防火墙
检测操作参考
进入“控制面板->Windows防火墙->打开或关闭Windows防火墙”,查看“家
庭或工作(专用)网络位置设置“与”公用网络位置设置“中防火墙的配置情况。
安全判定依据
进入“控制面板->Windows防火墙->打开或关闭Windows防火墙”,查看“家
庭或工作(专用)网络位置设置“与”公用网络位置设置“,如果均选择”启用
Windows防火墙“,并勾选“Windows防火墙阻止新程序时通知我”,表明符
合安全要求。
5.2关闭自劢播放功能
安全基线要求
关闭Windows自劢播放,防止从移劢设备不光盘感染恶意代码
检测操作参考
开始->运行->gpedit.msc,打开本地组策略编辑器,在“计算机配置->管理模
板->Windows组件->自劢播放策略”中,选择“关闭自劢播放”,查看其状态。
安全判定依据
开始->运行->gpedit.msc,打开本地组策略编辑器,在“计算机配置->管理模
板->Windows组件->自动播放策略”中,选择“关闭自劢播放”,查看其状态,
默认为“未配置“,如果为”已启用“,表明符合安全要求。
6、补丁不防护软件
6.1系统安全补丁管理
安全基线要求
所有联网终端计算机统一部署桌面安全管理软件,由该软件统一进行系统安全补
丁更新
检测操作参考
按照集团公司信息管理部要求,集中部署桌面安全管理系统,监督未部署的终端
计算机并进行整改,保证所有联网终端计算机全部安装统一的桌面安全管理系统
软件。
安全判定依据
开始->运行->cmd.exe,输入systeminfo,查看系统补丁的安装情况。
6.2防病毒管理
安全基线要求
所有联网终端计算机统一部署中国石油统一部署的防病毒软件
检测操作参考
按照集团公司信息管理部要求,集中部署桌面安全管理系统,监督未部署的终端
计算机并进行整改,保证所有联网终端计算机全部安装统一的桌面安全管理系统
软件。
安全判定依据
以赛门铁克端点准入系统SEP为例,双击主机史下角SEP图标,在“状态”选项
栏查看“防病毒不防间谍软件防护”、“主动型威胁防护”、“网络威胁防护”
的更新时间。
7、共享文件夹及访问权限
7.1关闭默认共享
安全基线要求
在非域环境下,关闭Windows硬盘默认共享,例如C$,D$
检测操作参考
开始->运行->regedit.exe,进入注册表编辑器,更改注册表键值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanSer
ver\Parameters\下,增加REG_DWORD类型的AutoShareServer键,值为0。
安全判定依据
开始->运行->regedit.exe,进入注册表编辑器,查看注册表键值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanSer
ver\Parameters\下,如果有AutoShareServer项,并且值为0,表明符合安全
要求。
7.2设置共享文件夹访问权限
安全基线要求
设置共享文件夹访问权限,只允许授权的账户拥有权限共享此文件夹
检测操作参考
进入“控制面板->管理工具->计算机管理”,在“系统工具->共享文件夹”下,
查看每个共享文件夹的共享权限,只将权限授权于指定账户。
安全判定依据
进入“控制面板->管理工具->计算机管理”,在“系统工具->共享文件夹”下,
查看每个共享文件夹的共享权限。
8、远程维护
8.1远程协助安全管理
安全基线要求
如无特别需要,关闭远程协助
检测操作参考
鼠标右键点击“我的电脑”,选择“属性”,选中“远程设置”,查看“远程协
助”的状态。
安全判定依据
鼠标右键点击“我的电脑”,选择“属性”,选中“远程设置”,在”远程协助“的
下方查看,如果勾选了“允许远程协助连接这台计算机”,表明开启了远程协助,
不符合安全要求。
8.2远程桌面安全管理
安全基线要求
终端计算机如无特别需要,关闭远程桌面
检测操作参考
鼠标右键点击“我的电脑”,选择“属性”,选中“远程设置”,查看“远程桌
面”的状态。
安全判定依据
鼠标右键点击“我的电脑”,选择“属性”,选择“远程设置”,在“远程桌面”
的下方查看,如果勾选了“不允许连接到这台计算机”,表明关闭了远程桌面,
符合安全要求。
9、其他
9.1数据执行保护
安全基线要求
配置系统核心的数据执行保护,提高系统抵抗非法修改文件的能力
检测操作参考
进入“控制面板->系统”,在“高级系统设置”选项卡的“性能”下点击设置,
选择“数据执行保护”选项卡,选择“仅为基本Windows程序和服务启用
DEP”。
安全判定依据
进入“控制面板->系统”,在“高级系统设置”选项卡的“性能”下点击设置,
选择“数据执行保护”选项卡,如果设置为“仅为基本Windows程序和服务启用DEP”,表明符合安全要求。