Windows系统的安全系统的配置基线.docx
《Windows系统的安全系统的配置基线.docx》由会员分享,可在线阅读,更多相关《Windows系统的安全系统的配置基线.docx(16页珍藏版)》请在冰豆网上搜索。
Windows系统的安全系统的配置基线
Windows系统安全配置基线
第1章概述
1.1目的
本文规定了WINDOWS操作系统主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进展WINDOWS操作系统的安全合规性检查和配置.
1.2适用X围
本配置标准的使用者包括:
服务器系统管理员、安全管理员和相关使用人员.
本配置标准适用的X围包括:
WINDOWS服务器.
1.3适用版本
适用于WindowsXP、WindowsServer服务器.
第2章安装前准备工作
2.1需准备的光盘
〔1〕正版的Windows服务器操作系统光盘.
〔2〕服务器用杀毒软件光盘.
第3章操作系统的根本安装
3.1根本安装
〔1〕使用NTFS文件系统来最小化安装操作系统.
〔2〕管理员账号须设置较复杂的口令〔由数字、大小写字母和特殊字符组成〕,长度在12位以上,其中管理员口令应一机一密码,不同机器之间不应一样.
〔3〕断开网络安装完操作系统后,在业务网专用区域内连接网络进展系统升级,并打开Windows自动更新服务.
〔4〕升级完成后,安装前述光盘中的杀毒软件并进展更新.
第4章账号管理、认证授权
4.1账号
安全基线项目名称
操作系统缺省账户安全基线要求项
安全基线项说明
对于管理员某某,要求更改缺省某某名称;禁用guest〔来宾〕某某.
检测操作步骤
进入"控制面板->管理工具->计算机管理〞,在"系统工具->本地用户和组〞:
缺省某某Administrator->属性
Guest某某->属性
基线符合性判定依据
缺省账户Administrator名称已更改
Guest某某已停用
备注
安全基线项目名称
操作系统缺省账户安全基线要求项
安全基线项说明
删除或锁定与设备运行、维护等与工作无关的账号.
检测操作步骤
1、参考配置操作
进入"控制面板->管理工具->计算机管理〞,在"系统工具->本地用户和组〞:
删除或锁定与设备运行、维护等与工作无关的账号.
基线符合性判定依据
1、判定条件
结合要求和实际业务情况判断符合要求,删除或锁定与设备运行、维护等与工作无关的账号.
2、检测操作
进入"控制面板->管理工具->计算机管理〞,在"系统工具->本地用户和组〞:
查看是否删除或锁定与设备运行、维护等与工作无关的账号.
备注
4.1.3用户权限别离
安全基线项目名称
操作系统缺省账户安全基线要求项
安全基线项说明
按照用户分配账号.根据系统的要求,设定不同的账户和账户组,管理员用户,操作员用户operator,审计用户auditor等.
检测操作步骤
1、参考配置操作
进入"控制面板->管理工具->计算机管理〞,在"系统工具->本地用户和组〞:
根据系统的要求,设定不同的账户和账户组,管理员用户,操作员用户和审计用户纳入user组.
基线符合性判定依据
1、判定条件
结合要求和实际业务情况判断符合要求,根据系统的要求,设定不同的账户和账户组,管理员用户,操作员用户,审计用户.
2、检测操作
进入"控制面板->管理工具->计算机管理〞,在"系统工具->本地用户和组〞:
查看根据系统的要求,设定不同的账户和账户组,管理员用户,数据库用户,审计用户.
备注
4.2口令
4.2.1密码复杂度
安全基线项目名称
操作系统密码复杂度安全基线要求项
安全基线项说明
最短密码长度12个字符,启用本机组策略中密码必须符合复杂性要求的策略.即密码需要包含以下四种类别的字符:
l英语大写字母A,B,C,…Z
l英语小写字母a,b,c,…z
l西方阿拉伯数字0,1,2,…9
非字母数字字符,如标点符号,,#,$,%,&,*等
检测操作步骤
进入"控制面板->管理工具->本地安全策略〞,在"某某策略->密码策略〞:
查看是否"密码必须符合复杂性要求〞选择"已启动〞
基线符合性判定依据
"密码必须符合复杂性要求〞选择"已启动〞
备注
密码最长生存期
安全基线项目名称
操作系统密码最长生存期要求项
安全基线项说明
对于采用静态口令认证技术的系统,账户口令的生存期不长于90天.
检测操作步骤
进入"控制面板->管理工具->本地安全策略〞,在"某某策略->密码策略〞:
查看"密码最长存留期〞
基线符合性判定依据
"密码最长存留期〞设置不大于"90天〞
备注
密码历史
安全基线项目名称
操作系统密码历史安全基线要求项
安全基线项说明
对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次〔含5次〕内已使用的口令.
检测操作步骤
1、参考配置操作
进入"控制面板->管理工具->本地安全策略〞,在"某某策略->密码策略〞:
"强制密码历史〞设置为"记住5个密码〞
基线符合性判定依据
1、判定条件
"强制密码历史〞设置为"记住5个密码〞
2、检测操作
进入"控制面板->管理工具->本地安全策略〞,在"某某策略->密码策略〞:
查看是否"强制密码历史〞设置为"记住5个密码〞
备注
4.2.4某某锁定策略
安全基线项目名称
操作系统账户锁定策略安全基线要求项
安全基线项说明
对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过4次〔不含5〕,锁定该用户使用的账号.
检测操作步骤
进入"控制面板->管理工具->本地安全策略〞,在"某某策略->某某锁定策略〞:
查看"账户锁定阀值〞设置
基线符合性判定依据
"账户锁定阀值〞设置为小于或等于3次,锁定时间1分钟.
备注
4.3授权
远程关机
安全基线项目名称
操作系统远程关机策略安全基线要求项
安全基线项说明
在本地安全设置中从远端系统强制关机只指派给Administrators组.
检测操作步骤
进入"控制面板->管理工具->本地安全策略〞,在"本地策略->用户权利指派〞:
查看"从远端系统强制关机〞设置
基线符合性判定依据
"从远端系统强制关机〞设置为"只指派给Administrtors组〞
备注
本地关机
安全基线项目名称
操作系统本地关机策略安全基线要求项
安全基线项说明
在本地安全设置中关闭系统仅指派给Administrators组.
检测操作步骤
进入"控制面板->管理工具->本地安全策略〞,在"本地策略->用户权利指派〞:
查看"关闭系统〞设置
基线符合性判定依据
"关闭系统〞设置为"只指派给Administrators组〞
备注
4.3.3隐藏上次登录名
安全基线项目名称
操作系统本地登录名隐藏策略安全基线要求项
安全基线项说明
交互式登录,不显示上次登录的用户名
检测操作步骤
运行输入"gpedit.msc〞→本地计算机策略→windows设置→安全设置→本地策略→安全选项下:
启用〞交互式登录:
不显示最后的用户名〞
基线符合性判定依据
"交互式登录:
不显示最后的用户名〞设置为"已启用〞
备注
4.3.4关机清理内存页面
安全基线项目名称
操作系统关机清理内存策略安全基线要求项
安全基线项说明
关机时清理虚拟内存页面文件
检测操作步骤
运行输入"gpedit.msc〞→本地计算机策略→windows设置→安全设置→本地策略→安全选项下:
启用〞关机:
清理虚拟内存页面文件〞
基线符合性判定依据
"关机:
清理虚拟内存页面文件〞设置为"已启用〞
备注
4.3.5用户权利指派
安全基线项目名称
操作系统用户权力指派策略安全基线要求项
安全基线项说明
在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators.
检测操作步骤
进入"控制面板->管理工具->本地安全策略〞,在"本地策略->用户权利指派〞:
查看是否"取得文件或其它对象的所有权〞设置
基线符合性判定依据
"取得文件或其它对象的所有权〞设置为"只指派给Administrators组〞
备注
第5章日志配置操作
5.1日志配置
5.1.1审核登录
安全基线项目名称
操作系统审核登录策略安全基线要求项
安全基线项说明
设备应配置日志功能,对用户登录进展记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以与远程登录时,用户使用的IP地址.
检测操作步骤
开始->运行->执行"控制面板->管理工具->本地安全策略->审核策略〞
审核登录事件.
基线符合性判定依据
审核登录事件,设置为成功和失败都审核.
备注
5.1.2审核策略更改
安全基线项目名称
操作系统审核策略更改安全基线要求项
安全基线项说明
启用组策略中对Windows系统的审核策略更改,成功和失败都要审核.
检测操作步骤
进入"控制面板->管理工具->本地安全策略〞,在"本地策略->审核策略〞中
查看"审核策略更改〞设置.
基线符合性判定依据
"审核策略更改〞设置为"成功〞和"失败〞都要审核.
备注
5.1.3审核对象访问
安全基线项目名称
操作系统审核对象访问安全基线要求项
安全基线项说明
启用组策略中对Windows系统的审核对象访问,成功和失败都要审核.
检测操作步骤
进入"控制面板->管理工具->本地安全策略〞,在"本地策略->审核策略〞中:
查看"审核对象访问〞设置.
基线符合性判定依据
"审核对象访问〞设置为"成功〞和"失败〞都要审核.
备注
5.1.4审核事件服务器访问
安全基线项目名称
操作系统审核事件服务器访问策略安全基线要求项
安全基线项说明
启用组策略中对Windows系统的审核服务访问,失败.
检测操作步骤
进入"控制面板->管理工具->本地安全策略〞,在"本地策略->审核策略〞中:
查看"审核服务器访问〞设置.
基线符合性判定依据
"审核服务器访问〞设置为"成功〞和"失败〞都要审核.
备注
5.1.5审核特权使用
安全基线项目名称
操作系统审核特权使用策略安全基线要求项
安全基线项说明
启用组策略中对Windows系统的审核特权使用,成功和失败都要审核.
检测操作步骤
进入"控制面板->管理工具->本地安全策略〞,在"本地策略->审核策略〞中:
查看"审核特权使用〞设置.
基线符合性判定依据
"审核特权使用〞设置为"成功〞和"失败〞都要审核.
备注
5.1.6审核系统事件
安全基线项目名称
操作系统审核系统事件策略安全基线要求项
安全基线项说明
启用组策略中对Windows系统的审核系统事件,成功和失败都要审核.
检测操作步骤
进入"控制面板->管理工具->本地安全策略〞,在"本地策略->审核策略〞中:
查看"审核系统事件〞设置.
基线符合性判定依据
"审核系统事件〞设置为"成功〞和"失败〞都要审核.
备注
5.1.7审核账户管理
安全基线项目名称
操作系统审核账户管理策略安全基线要求项
安全基线项说明
启用组策略中对Windows系统的审核某某管理,成功和失败都要审核.
检测操作步骤
进入"控制面板->管理工具->本地安全策略〞,在"本地策略->审核策略〞中:
查看"审核账户管理〞设置.
基线符合性判定依据
"审核账户管理〞设置为"成功〞和"失败〞都要审核.
备注
5.1.8审核过程追踪
安全基线项目名称
操作系统审核过程追踪策略安全基线要求项
安全基线项说明
启用组策略中对Windows系统的审核过程追踪失败.
检测操作步骤
进入"控制面板->管理工具->本地安全策略〞,在"本地策略->审核策略〞中:
查看"审核过程追踪〞设置.
基线符合性判定依据
"审核过程追踪〞设置为"失败〞需要审核.
备注
5.1.9日志文件大小
安全基线项目名称
操作系统日志容量安全基线要求项
安全基线项说明
设置应用日志文件大小至少为8M,设置当达到最大的日志尺寸时,按需要改写事件.
检测操作步骤
进入"控制面板->管理工具->事件查看器〞,在"事件查看器〔本地〕〞中:
查看"应用日志〞"系统日志〞"安全日志〞属性中的日志大小,以与设置当达到最大的日志尺寸时的相应策略.
基线符合性判定依据
"应用日志〞"系统日志〞"安全日志〞属性中的日志大小设置不小于"8M〞,设置当达到最大的日志尺寸时,"按需要改写事件〞.
备注
第6章其他配置操作
6.1共享文件夹与访问权限
6.1.1关闭默认共享
安全基线项目名称
操作系统默认共享安全基线要求项
安全基线项说明
非域环境中,关闭Windows硬盘默认共享,例如C$,D$.
检测操作步骤
进入"开始->运行->Regedit〞,进入注册表编辑器,查看HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer;
基线符合性判定依据
HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer键,值为0.
备注
6.2防病毒管理
6.2.1防病毒软件保护
安全基线项目名称
操作系统防病毒保护安全基线要求项
安全基线项说明
对Windows2003服务器主机应当安装部署服务器专版杀毒软件,并打开自动升级病毒库选项.
检测操作步骤
查看是否存在符合条件的杀毒软件;
点击进入杀毒软件的操作界面,检查是否开启自动更新.
基线符合性判定依据
如不存在杀毒软件或者没打开自动更新即为不合规.
备注
6.3Windows服务
6.3.1系统服务管理
安全基线项目名称
操作系统系统服务管理安全基线要求项
安全基线项说明
检查系统开机启动的服务,并根据实际情况开启/关闭服务,如:
Messenger,TaskScheduler,Server,Workstation,PrintSpooler,Alerter,puterBrowser,DHCPClient,RemoteRegistryService,SNMP,TCP/IPNetBIOSHelper,IPSECPolicyAgent等;
检测操作步骤
打开"控制面板〞,打开"管理工具〞中的"服务〞.
基线符合性判定依据
关闭不需要的服务,并设置非开机自动启动项.询问管理员,在系统确实需要的情况下可开启相应的服务,如SNMP等.
备注
系统管理员应出具系统所必要的服务列表.
查看所有服务,不在此列表的服务需关闭.
6.4访问控制
限制Radmin管理地址
安全基线项目名称
操作系统数据访问控制安全基线要求项
安全基线项说明
通过限制Radmin管理地址,严格控制访问者来源
检测操作步骤
1、参考配置操作
开始菜单→Radmin→operationsforRemoteAdministratorserver
选择Operations
选择Add
添加168.8.44.0/255.255.255.0
168.8.43.0/255.255.255.0
基线符合性判定依据
1、判定条件
在非管理网段尝试进展radmin连接
备注
中心机房以外的服务器管理暂时不做源地址限制.
6.5启动项
关闭Windows自动播放功能
安全基线项目名称
操作系统Windows自动播放安全基线要求项
安全基线项说明
关闭Windows自动播放功能.
检测操作步骤
打开"开始→运行〞,在对话框中输入"gpedit.msc〞命令,在出现"组策略〞窗口中依次选择"在计算机配置→管理模板→系统〞,双击"关闭自动播放〞查看.
基线符合性判定依据
在"设置〞选项卡中选"已启用〞选项.
备注
6.4.3配置屏保功能
安全基线项目名称
操作系统Windows其他安全配置基线要求项
安全基线项说明
配置Windows屏幕保护功能
检测操作步骤
1、参考配置操作
打开控制面板→显示,在"显示〞属性中选择屏幕保护,选择任意屏幕保护程序后将等待时间修改为15分钟,并选择"在恢复时使用密码保护〞,确定即可.
基线符合性判定依据
1、判定条件
计算机15分钟无操作时能自动启用屏幕保护,恢复时要求输入密码.
2、检测操作
打开控制面板→显示,在"显示〞属性中选择屏幕保护,检查等待时间和"在恢复时使用密码保护〞设置.
备注
6.4.4补丁更新
安全基线项目名称
操作系统Windows其他安全配置基线要求项
安全基线项说明
安装最新的ServicePack补丁集
检测操作步骤
1、参考配置操作
安装最新的ServicePack补丁集,目前WindowsXP的ServicePack为SP3.
Windows2000要求重装到Windows2003,对于客观因素无法重装的Windows2000,建议ServicePack升级至SP4,Windows2003的ServicePack为SP2,Windows2008的ServocePack为SP2.
基线符合性判定依据
1、判定条件
显示XP系统已安装SP3,Win2000系统已安装SP4,Win2003为SP2,Win2008为SP2.
2、检测操作
右击我的电脑->属性,查看是否XP系统已安装SP3,Win2000系统已安装SP4,Win2003系统已安装SP2,2008系统已安装SP2.
备注
持续改良
本文件由XX定期进展审查,根据审查结果修订标准,并重新颁发执行.
升级会员 