中国移动Windows操作系统安全配置规范.docx
《中国移动Windows操作系统安全配置规范.docx》由会员分享,可在线阅读,更多相关《中国移动Windows操作系统安全配置规范.docx(15页珍藏版)》请在冰豆网上搜索。
中国移动Windows操作系统安全配置规范
中国移动Windows操作系统安全配置规范
WINDOWS操作系统安全配置规范SpecificationforWindowsOSConfigurationUsedinChinaMobile版本号:
、0、0网络与信息安全规范编号:
【网络与信息安全规范】
【第四层:
技术规范Windows操作系统】
【第4504号】
全文结束》》-12-18发布全文结束》》-01-01实施中国移动通信集团公司发布目录1概述、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误!
未定义书签。
1、1适用范围、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误!
未定义书签。
1、2内部适用性说明、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误!
未定义书签。
1、3外部引用说明、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误!
未定义书签。
1、4术语和定义、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误!
未定义书签。
1、5符号和缩略语、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误!
未定义书签。
2WINDOWS设备安全配置要求、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误!
未定义书签。
2、1账号管理、认证授权、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误!
未定义书签。
2、1、1账号、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误!
未定义书签。
2、1、2口令、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误!
未定义书签。
2、1、3授权、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误!
未定义书签。
2、2日志配置操作、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误!
未定义书签。
2、3IP协议安全配置操作、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误!
未定义书签。
2、4设备其他配置操作、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误!
未定义书签。
2、4、1屏幕保护、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误!
未定义书签。
2、4、2共享文件夹及访问权限、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误!
未定义书签。
2、4、3补丁管理、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误!
未定义书签。
2、4、4防病毒管理、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误!
未定义书签。
2、4、5Windows服务、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误!
未定义书签。
2、4、6启动项、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误!
未定义书签。
前言本标准由中国移动通信有限公司网络部提出并归口。
本标准由标准提出并归口部门负责解释。
本标准起草单位:
中国移动通信有限公司网络部。
本标准解释单位:
同提出单位。
本标准主要起草人:
中国移动通信集团浙江公司朱国萃中国移动集团公司陈敏时1概述
1、1适用范围本规范所指的设备为Windows系统设备。
本规范明确了运行Windows操作系统的设备在安全配置方面的基本要求。
在未特别说明的情况下,均适用于所有运行的Windows操作系统,包括Windows2000、WindowsXP、Windows2003以及各版本中的Sever、Professional版本。
1、2内部适用性说明配置要求说明编号采纳意见补充说明安全要求通用-1-可选增强安全要求WINDOWS-配置设备配置2-可选增强安全要求WINDOWS-配置可选安全要求通用-3-可选不采纳Windows无法在远程登陆时通过切换用户提升权限安全要求通用-4增强安全要求WINDOWS-配置设备配置5完全采纳安全要求通用-6-可选完全采纳安全要求通用-7-可选完全采纳安全要求通用-9增强安全要求WINDOWS-配置设备配置设备配置设备配置设备配置设备配置12完全采纳安全要求通用-13-可选增强安全要求WINDOWS-配置设备配置24-可选增强安全要求WINDOWS-配置设备配置设备配置设备配置设备配置设备配置设备配置设备配置设备配置设备配置14-可选不采纳Windows日志储存在本地安全要求通用-16-可选增强安全要求WINDOWS-配置可选安全要求WINDOWS-配置可选安全要求通用-17-可选不采纳Windosw远程管理采用了自有协议,不支持SSH安全要求通用-19-可选不采纳WIN系统不具备字符交互界面安全要求通用-20-可选增强安全要求WINDOWS-配置设备配置27-可选不采纳Windows不支持CONSOLE访问
1、3外部引用说明中国移动通用安全功能和配置规范
1、4术语和定义
1、5符号和缩略语缩写英文描述中文描述缩写英文描述中文描述2WINDOWS设备安全配置要求本规范从Windows系统设备的认证授权功能、安全日志功能以及IP网络安全功能,和其他自身安全配置功能四
个方面提出安全要求。
2、1账号管理、认证授权认证功能用于确认登录系统的用户真实身份。
认证功能的具体实现方式包括静态口令、动态口令、指纹等生物鉴别技术等。
授权功能赋予系统账号的操作权限,并限制用户进行超越其账号权限的操作。
2、1、1账号编号:
安全要求通用-1要求内容按照用户分配账号。
根据系统的要求,设定不同的账户和账户组,管理员用户,数据库用户,审计用户,来宾用户等。
操作指南
1、参考配置操作进入“控制面板计算机管理”,在“系统工具管理工具本地用户和组”:
查看根据系统的要求,设定不同的账户和账户组,管理员用户,数据库用户,审计用户,来宾用户。
编号:
安全要求WINDOWS-配置可选要求内容删除或锁定与设备运行、维护等与工作无关的账号。
操作指南
1、参考配置操作进入“控制面板计算机管理”,在“系统工具管理工具本地用户和组”:
查看是否删除或锁定与设备运行、维护等与工作无关的账号。
编号:
安全要求WINDOWS-配置可选要求内容对于管理员帐号,要求更改缺省帐户名称;禁用guest(来宾)帐号。
操作指南
1、参考配置操作进入“控制面板计算机管理”,在“系统工具属性已停用检测方法
1、判定条件缺省账户Administrator名称已更改。
Guest帐号已停用。
2、检测操作进入“控制面板计算机管理”,在“系统工具属性已停用
2、1、2口令编号:
安全要求WINDOWS-配置管理工具密码策略”:
“密码必须符合复杂性要求”选择“已启动”检测方法
1、判定条件“密码必须符合复杂性要求”选择“已启动”
2、检测操作进入“控制面板本地安全策略”,在“帐户策略设备配置管理工具密码策略”:
“密码最长存留期”设置为“90天”检测方法
1、判定条件“密码最长存留期”设置为“90天”
2、检测操作进入“控制面板本地安全策略”,在“帐户策略设备配置可选要求内容对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令。
操作指南
1、参考配置操作进入“控制面板本地安全策略”,在“帐户策略管理工具密码策略”:
查看是否“强制密码历史”设置为“记住5个密码”编号:
安全要求WINDOWS-配置管理工具帐户锁定策略”:
“账户锁定阀值”设置为6次检测方法
1、判定条件“账户锁定阀值”设置为小于或等于6次
2、检测操作进入“控制面板本地安全策略”,在“帐户策略设备配置管理工具用户权利指派”:
“从远端系统强制关机”设置为“只指派给Administrators组”检测方法
1、判定条件“从远端系统强制关机”设置为“只指派给Administrtors组”
2、检测操作进入“控制面板本地安全策略”,在“本地策略设备配置管理工具用户权利指派”:
“关闭系统”设置为“只指派给Administrators组”检测方法
1、判定条件“关闭系统”设置为“只指派给Administrators组”
2、检测操作进入“控制面板本地安全策略”,在“本地策略设备配置管理工具用户权利指派”:
“取得文件或其它对象的所有权”设置为“只指派给Administrators组”检测方法
1、判定条件“取得文件或其它对象的所有权”设置为“只指派给Administrators组”
2、检测操作进入“控制面板本地安全策略”,在“本地策略设备配置管理工具用户权利指派”“从本地登陆此计算机”设置为“指定授权用户”检测方法
1、判定条件“从本地登陆此计算机”设置为“指定授权用户”
2、检测操作进入“控制面板本地安全策略”,在“本地策略设备配置管理工具用户权利指派”“从网络访问此计算机”设置为“指定授权用户”检测方法
1、判定条件“从网络访问此计算机”设置为“指定授权用户”
2、检测操作进入“控制面板本地安全策略”,在“本地策略设备配置运行管理工具审核策略”审核登录事件,双击,设置为成功和失败都审核。
检测方法
1、判定条件审核登录事件,设置为成功和失败都审核。
2、检测操作开始执行“控制面板本地安全策略设备配置管理工具审核策略”中“审核策略更改”设置为“成功”和“失败”都要审核检测方法
1、判定条件“审核策略更改”设置为“成功”和“失败”都要审核
2、检测操作进入“控制面板本地安全策略”,在“本地策略设备配置管理工具审核策略”中:
“审核对象访问”设置为“成功”和“失败”都要审核检测方法
1、判定条件“审核对象访问”设置为“成功”和“失败”都要审核
2、检测操作进入“控制面板本地安全策略”,在“本地策略设备配置管理工具审核策略”中:
“审核目录服务器访问”设置为“成功”和“失败”都要审核检测方法
1、判定条件“审核目录服务器访问”设置为“成功”和“失败”都要审核
2、检测操作进入“控制面板本地安全策略”,在“本地策略设备配置管理工具审核策略”中:
“审核特权使用”设置为“成功”和“失败”都要审核检测方法
1、判定条件“审核目录服务器访问”设置为“成功”和“失败”都要审核
2、检测操作进入“控制面板本地安全策略”,在“本地策略设备配置管理工具审核策略”中:
“审核系统事件”设置为“成功”和“失败”都要审核检测方法
1、判定条件“审核系统事件”设置为“成功”和“失败”都要审核
2、检测操作进入“控制面板本地安全策略”,在“本地策略设备配置管理工具审核策略”中:
“审核账户管理”设置为“成功”和“失败”都要审核检测方法
1、判定条件“审核账户管理”设置为“成功”和“失败”都要审核
2、检测操作进入“控制面板本地安全策略”,在“本地策略设备配置管理工具审核策略”中:
“审核过程追踪”设置为“失败”需要审核检测方法
1、判定条件“审核过程追踪”设置为“失败”需要审核
2、检测操作进入“控制面板本地安全策略”,在“本地策略设备配置可选要求内容设置应用日志文件大小至少为8192KB,设置当达到最大的日志尺寸时,按需要改写事件。
操作指南
1、参考配置操作进入“控制面板事件查看器”,在“事件查看器(本地)”中:
“应用日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时,“按需要改写事件”检测方法
1、判定条件“应用日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时,“按需要改写事件”
2、检测操作进入“控制面板事件查看器”,在“事件查看器(本地)”中:
查看是否“应用日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时,“按需要改写事件”编号:
安全要求WINDOWS-配置可选要求内容设置系统日志文件大小至少为8192KB,设置当达到最大的日志尺寸时,按需要改写事件。
操作指南
1、参考配置操作进入“控制面板事件查看器”,在“事件查看器(本地)”中:
“系统日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时,“按需要改写事件”检测方法
1、判定条件“系统日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时,“按需要改写事件”
2、检测操作进入“控制面板事件查看器”,在“事件查看器(本地)”中:
查看是否“系统日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时,“按需要改写事件”编号:
安全要求WINDOWS-配置可选要求内容设置安全日志文件大小至少为8192KB,设置当达到最大的日志尺寸时,按需要改写事件。
操作指南
1、参考配置操作进入“控制面板事件查看器”,在“事件查看器(本地)”中:
“安全日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时,“按需要改写事件”检测方法
1、判定条件“安全日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时,“按需要改写事件”
2、检测操作进入“控制面板事件查看器”,在“事件查看器(本地)”中:
查看是否“安全日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时,“按需要改写事件”
2、3IP协议安全配置操作编号:
安全要求WINDOWS-配置可选要求内容对没有自带防火墙的Windows系统,启用Windows系统的IP安全机制(IPSec)或网络连接上的TCP/IP筛选,只开放业务所需要的TCP,UDP端口和IP协议。
操作指南
1、参考配置操作进入“控制面板网络连接本地连接”,进入“Internet协议(TCP/IP)属性高级TCP/IP设置”,在“选项”的属性中启用网络连接上的TCP/IP筛选,只开放业务所需要的TCP,UDP端口和IP协议。
检测方法
1、判定条件系统管理员出示业务所需端口列表。
根据列表只开放系统与业务所需端口。
2、检测操作进入“控制面板网络连接本地连接”,进入“Internet协议(TCP/IP)属性高级TCP/IP设置”,在“选项”的属性中启用网络连接上的TCP/IP筛选,查看是否只开放业务所需要的TCP,UDP端口和IP协议。
编号:
安全要求WINDOWS-配置可选要求内容启用WindowsXP和Windows2003自带防火墙。
根据业务需要限定允许访问网络的应用程序,和允许远程登陆该设备的IP地址范围。
操作指南
1、参考配置操作进入“控制面板网络连接本地连接”,在高级选项的设置中启用Windows防火墙。
在“例外”中配置允许业务所需的程序接入网络。
在“例外更改范围”编辑允许接入的网络地址范围。
检测方法
1、判定条件启用Windows防火墙。
“例外”中允许接入网络的程序均为业务所需。
2、检测操作进入“控制面板网络连接本地连接”,在高级选项的设置中,查看是否启用Windows防火墙。
查看是否在“例外”中配置允许业务所需的程序接入网络。
查看是否在“例外更改范围”编辑允许接入的网络地址范围。
编号:
安全要求WINDOWS-配置可选要求内容启用SYN攻击保护;指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阀值为5;指定处于SYN_RCVD状态的TCP连接数的阈值为500;指定处于至少已发送一次重传的SYN_RCVD状态中的TCP连接数的阈值为400。
操作指南
1、参考配置操作在“开始键入regedit”启用SYN攻击保护的命名值位于注册表项HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices之下。
值名称:
SynAttackProtect。
推荐值:
2。
以下部分中的所有项和值均位于注册表项HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices之下。
指定必须在触发SYNflood保护之前超过的TCP连接请求阈值。
值名称:
TcpMaxPortsExhausted。
推荐值:
5。
启用SynAttackProtect后,该值指定SYN_RCVD状态中的TCP连接阈值,超过SynAttackProtect时,触发SYNflood保护。
值名称:
TcpMaxHalfOpen。
推荐值数据:
500。