Windows系统安全配置基线Word格式.docx
《Windows系统安全配置基线Word格式.docx》由会员分享,可在线阅读,更多相关《Windows系统安全配置基线Word格式.docx(17页珍藏版)》请在冰豆网上搜索。
(2)服务器用杀毒软件光盘。
第3章操作系统的基本安装
3.1基本安装
(1)使用NTFS文件系统来最小化安装操作系统。
(2)管理员账号须设置较复杂的口令(由数字、大小写字母和特殊字符组成),长度在12位以上,其中管理员口令应一机一密码,不同机器之间不应相同。
(3)断开网络安装完操作系统后,在业务网专用区域内连接网络进行系统升级,并打开Windows自动更新服务。
(4)升级完成后,安装前述光盘中的杀毒软件并进行更新。
第4章账号管理、认证授权
4.1账号
4.1.1管理缺省账户
安全基线项目名称
操作系统缺省账户安全基线要求项
安全基线项说明
对于管理员帐号,要求更改缺省帐户名称;
禁用guest(来宾)帐号。
检测操作步骤
进入“控制面板->
管理工具->
计算机管理”,在“系统工具->
本地用户和组”:
缺省帐户Administrator->
属性
Guest帐号->
基线符合性判定依据
缺省账户Administrator名称已更改
Guest帐号已停用
备注
4.1.2删除无用账户
删除或锁定与设备运行、维护等与工作无关的账号。
1、参考配置操作
1、判定条件
结合要求和实际业务情况判断符合要求,删除或锁定与设备运行、维护等与工作无关的账号。
2、检测操作
查看是否删除或锁定与设备运行、维护等与工作无关的账号。
4.1.3用户权限分离
按照用户分配账号。
根据系统的要求,设定不同的账户和账户组,管理员用户,操作员用户operator,审计用户auditor等。
根据系统的要求,设定不同的账户和账户组,管理员用户,操作员用户和审计用户纳入user组。
结合要求和实际业务情况判断符合要求,根据系统的要求,设定不同的账户和账户组,管理员用户,操作员用户,审计用户。
查看根据系统的要求,设定不同的账户和账户组,管理员用户,数据库用户,审计用户。
4.2口令
4.2.1密码复杂度
操作系统密码复杂度安全基线要求项
最短密码长度12个字符,启用本机组策略中密码必须符合复杂性要求的策略。
即密码需要包含以下四种类别的字符:
英语大写字母A,B,C,…Z
英语小写字母a,b,c,…z
西方阿拉伯数字0,1,2,…9
非字母数字字符,如标点符号,@,#,$,%,&
*等
本地安全策略”,在“帐户策略->
密码策略”:
查看是否“密码必须符合复杂性要求”选择“已启动”
“密码必须符合复杂性要求”选择“已启动”
4.2.2密码最长生存期
操作系统密码最长生存期要求项
对于采用静态口令认证技术的系统,账户口令的生存期不长于90天。
查看“密码最长存留期”
“密码最长存留期”设置不大于“90天”
4.2.3密码历史
操作系统密码历史安全基线要求项
对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令。
“强制密码历史”设置为“记住5个密码”
查看是否“强制密码历史”设置为“记住5个密码”
4.2.4帐户锁定策略
操作系统账户锁定策略安全基线要求项
对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过4次(不含5),锁定该用户使用的账号。
帐户锁定策略”:
查看“账户锁定阀值”设置
“账户锁定阀值”设置为小于或等于3次,锁定时间1分钟。
4.3授权
4.3.1远程关机
操作系统远程关机策略安全基线要求项
在本地安全设置中从远端系统强制关机只指派给Administrators组。
本地安全策略”,在“本地策略->
用户权利指派”:
查看“从远端系统强制关机”设置
“从远端系统强制关机”设置为“只指派给Administrtors组”
4.3.2本地关机
操作系统本地关机策略安全基线要求项
在本地安全设置中关闭系统仅指派给Administrators组。
查看“关闭系统”设置
“关闭系统”设置为“只指派给Administrators组”
4.3.3隐藏上次登录名
操作系统本地登录名隐藏策略安全基线要求项
交互式登录,不显示上次登录的用户名
运行输入“gpedit.msc”本地计算机策略windows设置安全设置本地策略安全选项下:
启用”交互式登录:
不显示最后的用户名”
“交互式登录:
不显示最后的用户名”设置为“已启用”
4.3.4关机清理内存页面
操作系统关机清理内存策略安全基线要求项
关机时清理虚拟内存页面文件
启用”关机:
清理虚拟内存页面文件”
“关机:
清理虚拟内存页面文件”设置为“已启用”
4.3.5用户权利指派
操作系统用户权力指派策略安全基线要求项
在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。
用户权利指派”:
查看是否“取得文件或其它对象的所有权”设置
“取得文件或其它对象的所有权”设置为“只指派给Administrators组”
第5章日志配置操作
5.1日志配置
5.1.1审核登录
操作系统审核登录策略安全基线要求项
设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。
开始->
运行->
执行“控制面板->
本地安全策略->
审核策略”
审核登录事件。
审核登录事件,设置为成功和失败都审核。
5.1.2审核策略更改
操作系统审核策略更改安全基线要求项
启用组策略中对Windows系统的审核策略更改,成功和失败都要审核。
审核策略”中
查看“审核策略更改”设置。
“审核策略更改”设置为“成功”和“失败”都要审核。
5.1.3审核对象访问
操作系统审核对象访问安全基线要求项
启用组策略中对Windows系统的审核对象访问,成功和失败都要审核。
审核策略”中:
查看“审核对象访问”设置。
“审核对象访问”设置为“成功”和“失败”都要审核。
5.1.4审核事件目录服务器访问
操作系统审核事件目录服务器访问策略安全基线要求项
启用组策略中对Windows系统的审核目录服务访问,失败。
查看“审核目录服务器访问”设置。
“审核目录服务器访问”设置为“成功”和“失败”都要审核。
5.1.5审核特权使用
操作系统审核特权使用策略安全基线要求项
启用组策略中对Windows系统的审核特权使用,成功和失败都要审核。
查看“审核特权使用”设置。
“审核特权使用”设置为“成功”和“失败”都要审核。
5.1.6审核系统事件
操作系统审核系统事件策略安全基线要求项
启用组策略中对Windows系统的审核系统事件,成功和失败都要审核。
查看“审核系统事件”设置。
“审核系统事件”设置为“成功”和“失败”都要审核。
5.1.7审核账户管理
操作系统审核账户管理策略安全基线要求项
启用组策略中对Windows系统的审核帐户管理,成功和失败都要审核。
查看“审核账户管理”设置。
“审核账户管理”设置为“成功”
升级会员 