PC机及笔记本电脑Windows系统安全配置标准.docx
《PC机及笔记本电脑Windows系统安全配置标准.docx》由会员分享,可在线阅读,更多相关《PC机及笔记本电脑Windows系统安全配置标准.docx(41页珍藏版)》请在冰豆网上搜索。
PC机及笔记本电脑Windows系统安全配置标准
XX公司
PC机及笔记本电脑Windows系统安全配置标准
1目的
为保证XX公司IT支撑系统的信息安全,规范个人桌面PC机及移动笔记本的Windows操作系统安全配置,特制定此标准。
2范围
本标准适用于XX公司个人办公PC机及笔记本电脑上所用的Windows2000系统、WindowsXP系统及Windows7系统。
3Windows2000安全配置标准
3.1系统补丁安装标准
3.1.1系统补丁分类
Windows2000系统与安全相关的补丁大致分三类:
⏹ServicePack(补丁包):
ServicePack是经过测试的所有修复程序、安全更新程序、关键更新程序以及更新程序的累积的集合。
ServicePack还可能包含自产品发布以来针对内部发现问题的其他修复以及设计上的更改或功能上的增加。
ServicePack补丁包涵盖了自发布之前的所有补丁,是重要的补丁集合。
⏹SecurityPatch(安全补丁):
SecurityPatch是针对特定问题广泛发布的修复程序,用于修复特定产品的与安全相关的漏洞。
Microsoft在发布的安全公告中将SecurityPatch分级为严重、重要、中等、低四个等级。
严重的安全补丁缺失,会造成蠕虫快速传播(如振荡波,冲击波),对系统本身和网络造成重大影响,这类补丁需要及时应用到操作系统。
⏹Hotfix(修补程序):
Hotfix是针对某一个具体的系统漏洞或安全问题而发布的专门解决该漏洞或安全问题的小程序,通常称为修补程序,如果在最近发布的ServicePack后面,出现安全方面的漏洞,通常对应的补丁会以Hotfix修补程序的形式发布。
3.1.2补丁安装原则
1、新安装或者重新安装Windows2000操作系统,必须安装最新的ServicePack补丁集。
2、必须安装等级为严重和重要的SecurityPatch。
3、有关安全方面的Hotfixes补丁应当及时安装。
4、最新的安全补丁发布与升级步骤,由数据中心定期在内网上发布通知。
注:
补丁更新要慎重,可能出现硬件不兼容,或者影响当前的应用系统,安装补丁之前要经过测试和验证。
3.2帐号和口令安全配置标准
3.2.1密码策略配置要求
通过“本地安全策略”调整默认的“密码策略”,提高系统的安全水平,“密码策略”中各选项的具体要求如下表:
策略
默认设置
安全设置
强制执行密码历史记录
记住1个密码
记住5个密码
密码最长期限
42天
90天
密码最短期限
0天
0天
最短密码长度
0个字符
8个字符
密码必须符合复杂性要求
禁用
启用
为域中所有用户使用可还原的加密来储存密码
禁用
禁用
“密码策略”的设置步骤如下:
进入“控制面板/管理工具/本地安全策略”,在“帐户策略->密码策略”。
3.2.2密码复杂性配置要求
在“密码策略”中“密码必须符合复杂性要求”选项启动后,系统将强制要求密码的设置具备一定的强壮度,要求密码至少包含以下四种类别的字符中的三种:
⏹英语大写字母A,B,C,…Z
⏹英语小写字母a,b,c,…z
⏹西方阿拉伯数字0,1,2,…9
⏹非字母数字字符,如标点符号,@,#,$,%,&,*等
3.2.3帐号安全控制要求
1、“帐户锁定策略”配置要求
有效的帐号锁定策略有助于防止攻击者猜出帐号对应的密码。
要求按照下表要求调整“帐户锁定策略”:
策略
默认设置
安全设置
帐户锁定时间
未定义
30分钟
帐户锁定阈值
0
5次无效登录
复位帐户锁定计数器
未定义
30分钟之后
帐号锁定配置具体操作如下图:
进入“控制面板/管理工具/本地安全策略”,在“帐户策略->帐户锁定策略”。
2、系统内置帐号管理要求
Windows2000系统中存在不可删除的内置帐号,包括Administrator和guest。
对于管理员帐号,要求更改缺省帐户名称,并对隶属于Administrators组的帐号要严格监控;要求禁用guest(来宾)帐号,以防止攻击者通过利用已知的用户名破坏远程服务器。
3、其它帐号管理要求
临时的测试帐号和过期的无用帐号应该在3个工作日内及时删除。
(注:
测试帐号和无用帐号不是系统默认安装时生成的,是系统操作过程中人为新增的帐号,应该及时删除。
)
3.3服务和端口配置标准
3.3.1服务管理配置要求
Windows2000缺省安装会创建很多默认服务并配置为在系统启动时运行。
实际运行环境中并不需要运行所有服务,而任何多余的服务都是潜在的受攻击点,因此要求禁用不必要的服务。
下表列出的服务是Windows2000系统提供基本管理功能所必需的,请根据系统的应用的情况禁用下表中没有提到的服务:
服务
启动
类型
服务功能实现
AutomaticUpdates
自动
允许下载并安装Windows更新
COM+事件服务
手动
允许组件服务的管理
DHCP客户端
自动
通过注册和更新IP地址和DNS域名来管理网络配置
分布式链接跟踪客户端
自动
用来维护NTFS卷上的链接
DNS客户端
自动
允许解析DNS名称
事件日志
自动
允许在事件日志中查看事件日志消息
逻辑磁盘管理器
自动
需要它来确保动态磁盘信息保持最新
逻辑磁盘管理器管理服务
手动
需要它以执行磁盘管理
Netlogon
自动
加入域时所需
网络连接
手动
网络通讯所需
性能日志和警报
手动
收集计算机的性能数据,向日志中写入或触发警报
即插即用
自动
Windows2000标识和使用系统硬件时所需
受保护的存储区
自动
需要用它保护敏感数据,如私钥
远程过程调用(RPC)
自动
Windows2000中的内部过程所需
安全帐户管理器
自动
存储本地安全帐户的帐户信息
系统事件通知
自动
在事件日志中记录条目所需
TCP/IPNetBIOSHelper服务
自动
在组策略中进行软件分发所需(可分发修补程序)
Windows管理规范驱动程序
手动
使用“性能日志和警报”实现性能警报时所需
Windows时间服务
自动
需要它来保证Kerberos身份验证有一致的功能
工作站
自动
加入域时所需
3.3.2端口配置要求
为防止攻击者通过小端口浏览到指定网段内的工作站中全部共享信息、对共享文件进行编辑、删除操作等,应该关闭不需要的小端口,关闭方法如下:
1、139端口
139端口是NetBIOSSession端口,用来文件和打印共享。
按照如下方法关闭:
关闭139端口,在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WINS设置”里选择“禁用TCP/IP的NETBIOS”。
2、445端口
关闭445端口,修改注册表,添加一个键值[HKEY_LOCAL_MACHINE\
SYSTEM\CurrentControlSet\Services\NetBT\Parameters]"SMBDeviceEnabled"=dword:
00000000。
注:
若打印机配置必须开启以上端口,可暂不关闭。
3.4安全选项配置标准
请按照下表中的要求设置Windows2000系统中的安全选项:
安全选项
注释
安全设置
LANManager身份验证级别
确定网络登录时将使用哪个质询/响应身份验证协议。
该选项会影响客户端使用的身份验证协议的级别、协商的会话安全级别,以及服务器所接受的身份验证级别。
发送LM&NTLM响应,如果已协商,使用NTLMv2安全会话
对匿名连接的额外限制
确定匿名连接到计算机应具有的其他权限。
不允许枚举sam账号和共享
在断开会话之前所需的空闲时间
确定“服务器消息块(SMB)”会话因为不活动而被挂起之前,在该会话中必须经过的连续空闲时间。
15分钟
如果无法记录安全审计则立即关闭系统
确定当系统无法记录安全事件时是否关闭系统。
停用
登录屏幕上不要显示上次登录的用户名
确定是否将上次登录到计算机的用户名显示在Windows登录画面中。
启用
在关机时清理虚拟内存页面交换文件
确定在关闭系统时是否清除虚拟内存页面文件。
启用
发送未加密的密码到第三方SMB服务器
如果启用该策略,将允许“服务器消息块(SMB)”重定向器向身份验证期间不支持密码加密的非MicrosoftSMB服务器发送明文密码。
停用
在密码到期前提示用户更改密码
确定提前多长时间(单位为天)警告用户其密码将过期。
通过这种提前警告,用户可以有时间创建具有足够安全性的密码。
14天
具体设置方法为:
进入“控制面板/管理工具/本地安全策略“,在“本地策略->安全选项”中完成上表提及的各个“安全选项”的调整。
3.5安全审计配置标准
3.5.1审核策略配置要求
Windows2000系统的缺省配置是不开任何安全审核,要求通过开启“审核策略”,记录以下操作:
审核策略
默认配置
安全设置
审核登陆事件
无审核
成功,失败
审核帐户登陆事件
无审核
成功,失败
审核帐户管理
无审核
成功,失败
审核系统事件
无审核
成功,失败
配置方法:
通过“控制面板/管理工具/本地安全策略“,在“本地策略->审核策略”中打开相应的审核选项:
3.5.2日志属性配置要求
根据下表调整各种日志属性:
日志类别
安全设置
应用程序
日志大小
10240K
当达到最大日志大小时
改写久于15天的事件
安全性
日志大小
10240K
当达到最大日志大小时
改写久于15天的事件
系统
日志大小
10240K
当达到最大日志大小时
改写久于15天的事件
配置方法:
通过“控制面板/管理工具/事件查看器“,在“属性”中进行设置:
3.6其它安全配置参考
3.6.1使用NTFS文件系统
NTFS文件系统比FAT和FAT32强壮和稳定,不易崩溃,Windows2000提供了基于NTFS文件系统的对文件和目录的访问控制列表(ACL)。
建议所有的磁盘卷都使用NTFS文件系统。
3.6.2共享管理
要求停用所有不必要的文件共享,特别注意系统默认启用的隐含系统共享,如C$、D$、IPC$、admin$等。
因工作需要临时开启共享,使用完毕后应及时关闭。
1、关闭默认共享的方法有两种:
2、在服务配置中禁用Server服务;
更改注册表键值:
在HKLM\System\CurrentControlSet\Services\LanmanServer\
Parameters\下,增加REG_DWORD类型的AutoShareServer键,值为0。
3.6.3禁用自动播放功能
在命令行运行gpedit.msc,进入组策略管理器,在计算机配置-》管理模板-》系统,找到右边的“关闭自动播放”,将此条目启用。
禁止自动播放功能可以防止U盘病毒等通过自动加载功能引入病毒。
3.6.4启用屏幕保护
设置带密码的屏幕保护,将时间设定为5-10分钟,使得系统在无人操作5-10分钟后自动启用屏幕保护,再次进入系统需要认证。
3.6.5防病毒设置
必须安装公司统一的防病毒软件,并设置定期升级。
3.6.6桌面管理软件
安装公司统一的桌面管理软件。
4
WindowsXP安全配置标准
4.1系统补丁安装标准
4.1.1系统补丁分类
WindowsXP的与安全相关的补丁大致分三类:
⏹ServicePack(补丁包):
ServicePack是经过测试的所有修复程序、安全更新程序、关键更新程序以及更新程序的累积的集合。
ServicePack还可能包含自产品发布以来针对内部发现问题的其他修复以及设计上的更改或功能上的增加。
ServicePack补丁包涵盖了自发布之前的所有补丁,是重要的补丁集合。
⏹SecurityPatch(安全补丁):
SecurityPatch是针对特定问题广泛发布的修复程序,用于修复特定产品的与安全相关的漏洞。
Microsoft在发布的安全公告中将SecurityPatch分级为严重、重要、中等、低四个等级。
严重的安全补丁缺失,会造成蠕虫快速传播(如振荡波,冲击波),对系统本身和网络造成重大影响,这类补丁需要及时应用到操作系统。
⏹Hotfix(修补程序):
Hotfix是针对某一个具体的系统漏洞或安全问题而发布的专门解决该漏洞或安全问题的小程序,通常称为修补程序,如果在最近发布的ServicePack后面,出现安全方面的漏洞,通常对应的补丁会以Hotfix修补程序的形式发布。
4.1.2补丁安装原则
1、新安装或者重新安装WindowsXP操作系统,必须安装最新的ServicePack补丁集。
2、必须安装等级为严重和重要的SecurityPatch。
3、有关安全方面的Hotfixes补丁应当及时安装。
4、最新的安全补丁发布与升级步骤,参照公司内网和微软网站的公告。
注:
补丁更新要慎重,可能出现硬件不兼容,或者影响当前的应用系统,安装补丁之前要经过测试和验证。
4.2安全中心配置标准
4.2.1防火墙启用要求
WindowsXP安装了SP2补丁会有安全中心,包括主机防火墙,自动更新,病毒防护三个主要功能,其中,要求启用Windows防火墙。
防火墙启用方式如下图:
4.2.2自动更新启用要求
安全中心还包括自动更新功能,定期地检查针对计算机的最新的重要更新,然后自动安装这些更新。
重要更新(包括关键更新和安全更新)应该在发行后尽快安装到计算机上,保护您计算机免受病毒攻击和其他安全威胁。
要求启用自动更新功能,方法如图所示:
注:
内外网物理分离管理的终端,可以根据实际情况选择不开启,但应通过其他途径及时获取并安装补丁。
4.2.3防病毒设置
安装公司统一的防病毒软件,并设置定期升级。
4.2.4桌面管理软件
安装公司统一的桌面管理软件。
4.3帐号和口令安全配置标准
4.3.1密码策略配置要求
通过“本地安全策略”调整默认的“密码策略”,提高系统的安全水平,“密码策略”中各选项的具体要求如下表:
策略
默认设置
安全设置
强制密码历史
记住0个密码
记住5个密码
密码最长存留期
42天
90天
密码最短存留期
0天
0天
最短密码长度
0个字符
8个字符
密码必须符合复杂性要求
禁用
启用
为域中所有用户使用可还原的加密来储存密码
已停用
已停用
“密码策略”的设置步骤如下:
进入“控制面板/性能和维护/管理工具/本地安全策略”,在“帐户策略->密码策略”。
4.3.2密码复杂性配置要求
在“密码策略”中“密码必须符合复杂性要求”选项启动后,系统将强制要求密码的设置具备一定的强壮度,要求密码至少包含以下四种类别的字符中的三种:
⏹英语大写字母A,B,C,…Z
⏹英语小写字母a,b,c,…z
⏹西方阿拉伯数字0,1,2,…9
⏹非字母数字字符,如标点符号,@,#,$,%,&,*等
4.3.3帐号安全控制要求
1、“帐户锁定策略”配置要求
有效的帐号锁定策略有助于防止攻击者猜出您帐号对应的密码。
要求按照下表要求调整“帐户锁定策略”:
策略
默认设置
安全设置
帐户锁定时间
未定义
30分钟
帐户锁定阈值
0
5次无效登录
复位帐户锁定计数器
未定义
30分钟之后
帐号锁定配置具体操作如下图:
进入“控制面板/性能和维护/管理工具/本地安全策略”,在“帐户策略->帐户锁定策略”。
2、系统内置帐号管理要求
WindowsXP系统中存在不可删除的内置帐号,包括Administrator和guest。
对于管理员帐号,要求更改缺省帐户名称,并对隶属于Administrators组的帐号要严格监控;要求禁用guest(来宾)帐号,以防止攻击者通过利用已知的用户名破坏远程服务器。
3、其它帐号管理要求
临时的测试帐号和过期的无用帐号应该在3个工作日内及时删除。
(注:
测试帐号和无用帐号不是系统默认安装时生成的,是系统操作过程中人为新增的帐号,应该及时删除。
)
4.4服务和端口配置标准
4.4.1服务管理配置要求
WindowsXP缺省安装会创建很多默认服务并配置为在系统启动时运行。
实际运行环境中并不需要运行所有服务,而任何多余的服务都是潜在的受攻击点,因此要求禁用不必要的服务。
下表列出的服务是WindowsXP系统提供基本管理功能所必需的,请根据系统的应用的情况禁用下表中没有提到的服务:
服务
启动
类型
服务功能实现
AutomaticUpdates
自动
允许下载并安装Windows更新
COM+事件服务
手动
允许组件服务的管理
DHCP客户端
自动
通过注册和更新IP地址和DNS域名来管理网络配置
DistributedLinkTrackingClient分布式链接跟踪客户端
自动
用来维护NTFS卷上的链接
DNS客户端
自动
允许解析DNS名称
EventLog事件日志
自动
允许在事件日志中查看事件日志消息
逻辑磁盘管理器
自动
需要它来确保动态磁盘信息保持最新
逻辑磁盘管理器管理服务
手动
需要它以执行磁盘管理
Netlogon
自动
加入域时所需
网络连接
手动
网络通讯所需
性能日志和警报
手动
收集计算机的性能数据,向日志中写入或触发警报
即插即用
自动
WindowsXP标识和使用系统硬件时所需
受保护的存储区
自动
需要用它保护敏感数据,如私钥
远程过程调用(RPC)
自动
WindowsXP中的内部过程所需
安全帐户管理器
自动
存储本地安全帐户的帐户信息
系统事件通知
自动
在事件日志中记录条目所需
TCP/IPNetBIOSHelper服务
自动
在组策略中进行软件分发所需(可分发修补程序)
WindowsAudio
自动
基于Windows的程序的音频设备
WindowsFirewall
自动
提供防火墙保护
Windows管理规范驱动程序
手动
使用“性能日志和警报”实现性能警报时所需
Windows时间服务
自动
需要它来保证Kerberos身份验证有一致的功能
工作站
自动
加入域时所需
具体设置方法为:
进入“控制面板/管理工具/服务“完成上表提及的各个“安全选项”的调整。
4.4.2端口配置要求
为防止攻击者通过小端口浏览到指定网段内的工作站中全部共享信息、对共享文件进行编辑、删除操作等,应该关闭不需要的小端口,关闭方法如下:
1、139端口
139端口是NetBIOSSession端口,用来文件和打印共享。
按照如下方法关闭:
关闭139端口,在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WINS设置”里选择“禁用TCP/IP的NETBIOS”。
2、445端口
关闭445端口,修改注册表,添加一个键值[HKEY_LOCAL_MACHINE\
SYSTEM\CurrentControlSet\Services\NetBT\Parameters]"SMBDeviceEnabled"=dword:
00000000。
注:
若打印机配置必须开启以上端口,可暂不关闭。
4.5安全选项配置标准
请按照下表中的要求设置WindowsXP系统中的安全选项:
安全选项
安全设置
帐户:
使用空白密码的本地帐户只允许进行控制台登录
已启用
帐户:
重命名系统管理员帐户
重命名
帐户:
重命名来宾帐户
重命名
设备:
允许不登录移除
已禁用
设备:
允许格式化和弹出可移动媒体
Administrators
设备:
防止用户安装打印机驱动程序
已禁用
设备:
只有本地登录的用户才能访问CD-ROM
已启用
设备:
只有本地登录的用户才能访问软盘
已启用
设备:
未签名驱动程序的安装操作
允许安装但发出警告
交互式登录:
不显示上次的用户名
已启用
交互式登录:
不需要按CTRL+ALT+DEL
已禁用
交互式登录:
用户试图登录时消息文字
此系统限制为仅授权用户。
尝试进行XX访问的个人将受到起诉。
交互式登录:
可被缓存的前次登录个数(在域控制器不可用的情况下)
1
交互式登录:
在密码到期前提示用户更改密码
14天
Microsoft网络客户:
发送未加密的密码到第三方SMB服务器
已禁用
Microsoft网络服务器:
在挂起会话之前所需的空闲时间
15分钟
Microsoft网络服务器:
数字签名的通信(若客户同意)
已启用
Microsoft网络服务器:
当登录时间用完时自动注销用户
已禁用
网络访问:
允许匿名SID/名称转换
已禁用
网络访问:
不允许SAM帐户和共享的匿名枚举
已启用
网络访问:
不允许为网络身份验证储存凭据或.NETPassports
已启用
网络访问:
限制匿名访问命名管道和共享
已启用
网络访问:
本地帐户的共享和安全模式
经典-本地用户以自己的身份验证
网络访问:
可远程访问的注册表路径
空
网络安全:
不要在下次更改密码时存储LANManager的哈希值
已启用
网络安全:
在超过登录时间后强制注销
已禁用
网络安全:
基于NTLMSSP(包括安全RPC)客户的最小会话安全
要求NTLMv2会话安全要求128-位加密
关机:
允许在未登录前关机
已禁用
关机:
清理虚拟内存页面文件
已启用
具体设置方法为:
进入“控制面板/性能和维护/管理工具/本地安全策略“,在“本地策略->安全选项”中完成上表提及的各个“安全选项”的调整。
4.6安全审计配置标准
4.6.1审核策略配置要求
WindowsXP系统的缺省配置是不开任何安全审核,要求通过开启“审核策略”,记录以下操作:
审核策略
默认配置
安全设置
审核登陆事件
无审核
成功,失败
审核帐户登陆事件
无审核
成功,失败
审核帐户管理
无审核
成功,失败
审核系统事件
无审核
成功,失败
配置方法:
通过“控制面板/管理工具/本地安全策略“,在“本地策略->审核策略”中打开相应的审核选项:
4.6.2日志属性配置要求
根据下表调整各种日志属性:
日志类别
安全设置
应用程序
日志大小
10240K
当达到最大日志大小时
改写久于15天的事件
安全性
日志大小
10240K
当达到最大日志大小时
改写久于15天的事件
系统
日志大小
10240K
当达到最大日志大
升级会员 