系统安全配置技术规范.docx
《系统安全配置技术规范.docx》由会员分享,可在线阅读,更多相关《系统安全配置技术规范.docx(41页珍藏版)》请在冰豆网上搜索。
系统安全配置技术规范
系统安全配置技术规范—Windows
版本
日期2013-06-03
文档编号
文档公布
212211文档说明
(一)改正信息
版本号改正日期改正者改正原因/改正内容备注
(二)文档审查人
姓名职位署名日期
1.
合用范围..................................................
错误!
不决义书签。
2.
帐号管理与受权
............................................
错误!
不决义书签。
【基本】删除或锁定可能无用的帐户........................
错误!
不决义书签。
【基本】依据用户角色分派不一样权限的帐号..................
错误!
不决义书签。
【基本】口令策略设置不切合复杂度要求....................
错误!
不决义书签。
【基本】设定不可以重复使用口令
............................
错误!
不决义书签。
不使用系统默认用户名
.................................
错误!
不决义书签。
口令生计期不得擅长
90
天..............................
错误!
不决义书签。
设定连续认证失败次数
.................................
错误!
不决义书签。
远端系统强迫关机的权限设置
...........................
错误!
不决义书签。
封闭系统的权限设置
...................................
错误!
不决义书签。
获得文件或其余对象的全部权设置.......................
错误!
不决义书签。
将从当地登录设置为指定受权用户.......................
错误!
不决义书签。
将从网络接见设置为指定受权用户.......................
错误!
不决义书签。
3.
日记配置要求..............................................
错误!
不决义书签。
【基本】审查策略设置中成功失败都要审查..................
错误!
不决义书签。
【基本】设置日记查察器大小
..............................
错误!
不决义书签。
4.
IP协议安全要求
...........................................
错误!
不决义书签。
开启TCP/IP挑选......................................
错误!
不决义书签。
启用防火墙
...........................................
错误!
不决义书签。
启用SYN攻击保护.....................................
错误!
不决义书签。
5.
服务配置要求..............................................
错误!
不决义书签。
【基本】启用
NTP服务.
...................................
错误!
不决义书签。
【基本】封闭不用要的服务
................................
错误!
不决义书签。
【基本】封闭不用要的启动项
..............................
错误!
不决义书签。
【基本】封闭自动播放功能
................................
错误!
不决义书签。
【基本】审查
HOST文件的可疑条目.........................
错误!
不决义书签。
【基本】存在未知或无用的应用程序........................
错误!
不决义书签。
【基本】封闭默认共享.
...................................
错误!
不决义书签。
【基本】非
的受权共享
............................
错误!
不决义书签。
EVERYONE
【基本】SNMPC
S
设置.........................
错误!
不决义书签。
OMMUNITYTRING
【基本】删除可匿名接见共享
...........................
错误!
不决义书签。
封闭远程注册表.......................................
错误!
不决义书签。
关于远程登岸的帐号,设置不活动断开时间为
1小时........
错误!
不决义书签。
IIS服务补丁更新......................................
错误!
不决义书签。
6.
其余配置要求..............................................
错误!
不决义书签。
【基本】安装防病毒软件
..................................
错误!
不决义书签。
【基本】配置
WSUS补丁更新服务器.........................
错误!
不决义书签。
【基本】SERVICEPACK补丁更新
.............................
错误!
不决义书签。
【基本】H
补丁更新
..................................
错误!
不决义书签。
OTFIX
设置带密码的屏幕保护
.................................
错误!
不决义书签。
交互式登录不显示上一次登录取户名.......................错误!
不决义书签。
1.合用范围
如无特别说明,本规范全部配置项合用于Windows操作系统2003、2008系列版本。
此中
标示为“基本”字样的配置项,均为本企业对此类系统的基本安全配置要求;未标示“基本”
字样的配置项,请各系统管理员视实质需求酌情遵照。
2.帐号管理与受权
2.1【基本】删除或锁定可能无用的帐户
配置项描绘
删除或锁定无用的帐户,按期清理无用账户,防备过期用户非法登入操作系统
检查方法
进入“控制面板->管理工具->计算机管理->系统工具->当地用户和组”:
审查不用要的用户和组,审查帐户隶属的组权限,审查组用户。
依据系统的要乞降实质业务状况,设定不一样的帐户和帐户组,如管理员用户、数
操作步骤
据库用户、审计用户、贵宾用户等。
删除或锁定与设施运转、保护等与工作没关
的帐户
回退操作
回退到原有的配置设置
操作风险
需要确认帐户用途
2.2【基本】依据用户角色分派不一样权限的帐号
配置项描绘
依据用户角色分派不一样权限的帐号,保证用户权限最小化
检查方法
进入“控制面板->管理工具->计算机管理->系统工具->当地用户和组”:
审查用户和组,审查帐户隶属的组权限,审查组用户。
操作步骤
依据系统的要乞降实质业务状况,设定不一样的帐户和帐户组,如管理员用户、数
据库用户、审计用户、贵宾用户等。
回退操作
回退到原有的配置设置
操作风险
需要确认帐户用途,确认用户所需权限
2.3【基本】口令策略设置不切合复杂度要求
配置项描绘
口令策略设置不切合复杂度要求,口令过于简单,易被黑客破译
检查方法
进入“控制面板->管理工具->当地安全策略”,在“帐户策略
->密码策略”中:
检查“密码一定切合复杂度要求”设置
操作步骤
设置“密码一定切合复杂度要求”已开启
回退操作
回退到原有的配置设置
操作风险
低风险
2.4【基本】设定不可以重复使用口令
配置项描绘
设定不可以重复使用近来
5次(含5次)内已使用的口令
检查方法
进入“控制面板->管理工具->当地安全策略”,在“帐户策略
->密码策略”中:
检查“强迫密码历史”设置
操作步骤
设置“强迫密码历史”大于等于5
回退操作
回退到原有的配置设置
操作风险
低风险
2.5不使用系统默认用户名
administrator、guest等默认帐户使用默认用户名,当攻击者倡始穷举攻击时,
配置项描绘
使用默认用户名,会大大降低攻击者的攻击难度
进入“控制面板->管理工具->计算机管理->系统工具->当地用户和组”:
检查方法
检查administrator、guest能否存在。
操作步骤administrator、guest重命名
回退操作回退到原有的配置设置
操作风险可能致使某些自动登录的服务异样
2.6口令生计期不得擅长
90天
配置项描绘
口令生计期不得擅长
90天,应按期改正用户口令
检查方法
进入“控制面板->管理工具
中:
检查“密码最长存留期”设置
->当地安全策略”,在“帐户策略
->密码策略”
操作步骤
设置“密码最长存留期”小于等于
90
回退操作回退到原有的配置设置
操作风险低风险
2.7设定连续认证失败次数
配置项描绘
设定连续认证失败次数超出
6次(不含
6次)锁定该账号
检查方法
进入“控制面板中:
->管理工具
->当地安全策略”,在“帐户策略
->帐户锁定策略”
检查“帐户锁定阀值”设置
操作步骤
设置“帐户锁定阀值”小于等于
6
回退操作
回退到原有的配置设置
操作风险
可能致使歹意试试锁定帐户
2.8远端系统强迫关机的权限设置
配置项描绘
将从远端系统强迫关机仅指派给
Administrators
组,防止一般用户拥有额外的
系统控制权限
进入“控制面板->管理工具->当地安全策略”,在“当地策略
->用户权益指派”
检查方法
中:
检查“从远端系统强迫关机”设置
操作步骤
设置“从远端系统强迫关机”删除除
Administrators
之外其余项
回退操作
回退到原有的配置设置
操作风险
可能致使某些系统功能异样或应用非正常运转
2.9封闭系统的权限设置
配置项描绘
将封闭系统仅指派给Administrators
组,防止一般用户拥有额外的系统控制权
限
进入“控制面板->管理工具->当地安全策略”,在“当地策略
->用户权益指派”
检查方法
中:
检查“封闭系统”设置
操作步骤
设置“封闭系统”删除除Administrators
之外其余项
回退操作
回退到原有的配置设置
操作风险
可能致使某些系统功能异样或应用非正常运转
获得文件或其余对象的全部权设置
配置项描绘
将获得文件或其余对象的全部权设置仅指派给
Administrators
组,防止一般用
户拥有额外的系统控制权限
进入“控制面板->管理工具->当地安全策略”,在“当地策略
->用户权益指派”
检查方法
中:
检查“获得文件或其余对象的全部权”设置
操作步骤
设置“获得文件或其余对象的全部权”删除除
Administrators
之外其余项
回
退
回退到原有的配置设置
操作风险
可能致使某些系统功能异样或应用非正常运转
将从当地登录设置为指定受权用户
配置项描绘
将从当地登录设置为指定受权用户,将登岸权限给予指定用户
检查方法
进入“控制面板派”中:
->管理工具
->当地安全策略”,在“当地安全策略
->用户权益指
检查“同意在当地登录”设置
操作步骤
设置“同意在当地登录”只保存受权用户,删除其余项
回退操作
回退到原有的配置设置
操作风险
可能致使某些系统功能异样或应用非正常运转
将从网络接见设置为指定受权用户
配置项描绘
将从网络接见设置为指定受权用户
检查方法
进入“控制面板中:
->管理工具
->当地安全策略”,在“当地策略
->用户权益指派”
检查“从网络接见”设置
操作步骤
设置“从网络接见”只保存受权用户,删除其余项
回退操作
回退到原有的配置设置
操作风险
可能致使某些系统功能异样或应用非正常运转
3.日记配置要求
3.1【基本】审查策略设置中成功失败都要审查
配置项描绘
记录系统的全部审查信息,审查策略设置中成功失败都要审查
检查方法
进入“控制面板->管理工具->当地安全策略”,在“当地策略
->审查策略”中:
查察能否切合操作中提到的各标准
将不切合评估内容项进行加固,安全标准设置以下:
审查策略改正:
成功和失败
审查登录事件:
成功和失败
审查系统事件:
成功和失败
审查帐户登录事件:
成功和失败
操作步骤
审查帐户管理:
成功和失败
审查对象接见:
成功和失败
审查特权使用:
成功和失败
审查目录服务接见:
成功和失败
审查过程追踪:
失败
其余设置无要求。
回退操作
回退到原有的配置设置
操作风险
开启无用的审查可能降低系统性能并占用必定磁盘空间
3.2【基本】设置日记查察器大小
配置项描绘
将应用、系统、安整日记查察器大小设置为起码
8192KB
进入“控制面板->管理工具->事件查察器”,在“事件查察器(当地)”中:
(在
检查方法
应用程序日记、安整日记和系统日记上点右键,看属性中的日记大小上限设置,
单位为KB。
)
查察能否切合操作中提到的各标准
将不切合评估内容项进行加固,应用日记的容量为
8192KB,安整日记的容量为
操作步骤
8192KB,系统日记的容量为8192KB,设置当达到最大的日记大小时,“按需要覆
盖事件”。
而且用户有流程按期转存日记
回退操作
回退到原有的配置设置
操作风险
低风险
4.IP协议安全要求
4.1开启TCP/IP挑选
配置项描绘
关于不自带windows防火墙的系统,需开启TCP/IP
挑选,切只好开放业务所需
要的TCP、UDP端口和IP协议
先请系统管理员出示业务所需端口列表。
检查方法
进入“控制面板->网络连结->当地连结->Internet
协议(TCP/IP)属性->
高级TCP/IP设置”,在“选项”的属性中启用网络连结上的
TCP/IP挑选,依据
列表查察能否只开放业务所需要的
TCP、UDP端口和IP协议。
注意异样端口,与管理员追究异样端口有关项。
对没有自带防火墙的
Windows系
操作步骤
统,启用Windows系统的IP安全体制(IPSec)或网络连结上的
TCP/IP挑选,只
开放业务所需要的TCP、UDP端口和IP协议。
回退操作
回退到原有的配置设置
操作风险
一定正确设置网络接见控制策略,不然可能致使某些应用没法正常接见网络
4.2启用防火墙
启用Windows自带防火墙,且依据业务需要限制同意接见网络的应用程序,和允
配置项描绘
许远程登岸该设施的IP地点范围
进入“控制面板->网络连结->当地连结”,在高级选项的设置中,查察能否启用Windows防火墙。
检查方法
查察能否在“例外”中配置同意业务所需的程序接入网络。
查察能否在“例外->编写->改正范围”编写同意接入的网络地点范围。
操作步骤
将不切合评估内容项进行加固,启用
Windows自带防火墙。
依据业务需要限制允
许接见网络的应用程序,和同意远程登岸该设施的
IP地点范围。
回退操作
回退到原有的配置设置
操作风险
一定正确设置网络接见控制策略,不然可能致使某些应用没法正常接见网络
4.3启用SYN攻击保护
配置项描绘
启用SYN攻击保护,当攻击者倡始
SYN攻击时,防止
CPU和内存资源被过分耗费
在“开始->运转->键入regedit”。
检查方法
启用SYN攻击保护的命名值位于注册表项HKEY_LOCAL_MACHINE\
SYSTEM\CurrentControlSet\Services
之下:
值名称:
SynAttackProtect
Windows2000介绍值:
2
Windows2003介绍值:
1
以下部分中的全部项和值均位于注册表项HKEY_LOCAL_MACHINE\
SYSTEM\CurrentControlSet\Services之下:
指定一定在触发SYNflood保护从前超出的
TCP
连结恳求阈值:
值名称:
TcpMaxPortsExhausted
介绍值:
5
启用SynAttackProtect
过SynAttackProtect
后,该值指定SYN_RCVD状态中的
时,触发SYNflood保护:
TCP
连结阈值,超
值名称:
TcpMaxHalfOpen
介绍值数据:
500
启用SynAttackProtect
TCP连结阈值,超出
后,指定起码发送了一次重传的SYN_RCVD状态中的
SynAttackProtect时,触发SYNflood保护:
值名称:
TcpMaxHalfOpenRetried
介绍值数据:
400
1、备份注册表原有的配置设置
2、将不切合评估内容项进行加固,启用SYN攻击保护:
指定触发SYN洪水攻击保护所一定超出的TCP连结恳求数阀值为5;
操作步骤
指定处于SYN_RCVD状态的TCP连结数的阈值为500;
指定处于起码已发送一次重传的SYN_RCVD状态中的TCP连结数的阈值为
400。
回退操作回退到原有的配置设置
操作风险一定正确设置网络接见控制策略,不然可能致使某些应用没法正常接见网络
5.服务配置要求
5.1【基本】启用NTP服务
配置项描绘
启用NTP服务,配置一致服务器时钟,应开启NTP服务向网络内指定的
NTPserver
同步时钟。
检查方法
关于已加入域的服务器,系统将自动与域控服务器同步时钟;
关于未加入域的服务器,需按以下步骤配置。
点击桌面右下角时钟栏,开启“更他日期和时钟设置”
-“internet
时间”
操作步骤
开启“自动与internet时间服务器同步”选型,在服务器栏中填写
NTPserver
的IP地点,而后点击“立刻更新”
回退操作
恢复系统原有NTP配置
操作风险
需要时间源,中风险,系统时间改正
5.2【基本】封闭不用要的服务
配置项描绘
列出所需要服务的列表(包含所需的系统服务
),不在此列表的服务需封闭
检查方法
进入“控制面板->管理工具->计算机管理”,进入“服务和应用程序”:
查察全部服务,不在此列表的服务需封闭。
操作步骤
封闭不需要的服务
回退操作
回退到原有的配置设置
操作风险
封闭或停止某些服务可能致使应用运转异样
5.3【基本】封闭不用要的启动项
配置项描绘
封闭不用要的启动项,优化系统资源,同时减少引入
不用要的系统破绽
检查方法
“开始
->运转->MSconfig”启动菜单中检查启动项
操作步骤
封闭不用要的启动项
回退操作
回退到原有的配置设置
操作风险
需要确认启动项能否一
升级会员 