各类操作系统安全基线配置及操作指南Word格式文档下载.docx
《各类操作系统安全基线配置及操作指南Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《各类操作系统安全基线配置及操作指南Word格式文档下载.docx(261页珍藏版)》请在冰豆网上搜索。
4.5防护软件.................................................................8
4.6防病毒软件...............................................................8
4.7日志安全要求.............................................................9
4.8不必要的服务............................................................11
4.9启动项..................................................................12
4.10关闭自动播放功能.......................................................13
4.11共享文件夹.............................................................13
4.12使用NTFS文件系统.....................................................14
4.13网络访问...............................................................15
4.14会话超时设置...........................................................16
4.15注册表设置.............................................................17
附录A:
端口及服务..........................................................18
II
前言
为了在工程验收、运行维护、安全检查等环节,规范并落实安全配置要求,
编制了一系列的安全配置要求及操作指南,明确了操作系统、数据库、应用中间件在内的通
用安全配置要求及参考操作。
该系列安全配置要求及操作指南的结构及名称预计如下:
(1)《Windows操作系统安全配置要求及操作指南》(本规范)
(2)《AIX操作系统安全配置要求及操作指南》
(3)《HP-UX操作系统安全配置要求及操作指南》
(4)《Linux操作系统安全配置要求及操作指南》
(5)《Solaris操作系统安全配置要求及操作指南》
(6)《MSSQLserver数据库安全配置要求及操作指南》
(7)《MySQL数据库安全配置要求及操作指南》
(8)《Oracle数据库安全配置要求及操作指南》
(9)《Apache安全配置要求及操作指南》
(10)《IIS安全配置要求及操作指南》
(11)《Tomcat安全配置要求及操作指南》
(12)《WebLogic安全配置要求及操作指南》
1
1范围
适用于使用Windows操作系统的设备。
在未特别说明的情况下,均适用于所
有运行的Windows操作系统,包括Windows2000、WindowsXP、Windows2003,Windows7,
Windows2008以及各版本中的Sever、Professional版本。
本规范明确了Windows操作系统在安全配置方面的基本要求,适用于所有的安全等级,
可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。
由于版本不同,配置操作有所不同,本规范以Windows2003为例,给出参考配置操作。
2规范性引用文件
GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》
YD/T1732-2008《固定通信网安全防护要求》
YD/T1734-2008《移动通信网安全防护要求》
YD/T1736-2008《互联网安全防护要求》
YD/T1738-2008《增值业务网—消息网安全防护要求》
YD/T1740-2008《增值业务网—智能网安全防护要求》
YD/T1758-2008《非核心生产单元安全防护要求》
YD/T1742-2008《接入网安全防护要求》
YD/T1744-2008《传送网安全防护要求》
YD/T1746-2008《IP承载网安全防护要求》
YD/T1748-2008《信令网安全防护要求》
YD/T1750-2008《同步网安全防护要求》
YD/T1752-2008《支撑网安全防护要求》
YD/T1756-2008《电信网和互联网管理安全等级保护要求》
3缩略语
UDPUserDatagramProtocol用户数据包协议
TCPTransmissionControlProtocol传输控制协议
2
NTFSNewTechnologyFileSystem新技术文件系统
4安全配置要求
4.1账号
编号:
1
要求内容应按照不同的用户分配不同的账号,避免不同用户间共享账号。
避
免用户账号和设备间通信使用的账号共享。
操作指南1、参考配置操作
进入“控制面板->
管理工具->
计算机管理”,在“系统工具->
本地用
户和组”:
根据系统的要求,设定不同的账户和账户组。
检测方法1、判定条件
结合要求和实际业务情况判断符合要求,根据系统的要求,设定不
同的账户和账户组
2、检测操作
查看根据系统的要求,设定不同的账户和账户组
2
要求内容
应删除与运行、维护等工作无关的账号。
操作指南
1.参考配置操作
A)可使用用户管理工具:
开始-运行-compmgmt.msc-本地用户和组-用户
B)也可以通过net命令:
删除账号:
netuseraccount/de1
停用账号:
netuseraccount/active:
no
检测方法
1.判定条件
结合要求和实际业务情况判断符合要求,删除或锁定与设备运行、维护
等与工作无关的账号。
3
注:
无关的账号主要指测试帐户、共享帐号、长期不用账号(半年以上
不用)等
2.检测操作
3
要求内容重命名Administrator;
禁用guest(来宾)帐号。
Administrator->
属性->
更改名称
Guest帐号->
已停用
检测方法1、判定条件
缺省账户Administrator名称已更改。
Guest帐号已停用。
缺省帐户->
4.2口令
要求内容密码长度要求:
最少8位
密码复杂度要求:
至少包含以下四种类别的字符中的三种:
z英语大写字母A,B,C,…Z
z英语小写字母a,b,c,…z
z阿拉伯数字0,1,2,…9
z非字母数字字符,如标点符号,@,#,$,%,&
*等
4
本地安全策略”,在“帐户策略->
密码
策略”:
“密码必须符合复杂性要求”选择“已启动”
查看是否“密码必须符合复杂性要求”选择“已启动”
要求内容对于采用静态口令认证技术的设备,账户口令的生存期不长于90
天。
“密码最长存留期”设置为“90天”
查看是否“密码最长存留期”设置为“90天”
要求内容对于采用静态口令认证技术的设备,应配置设备,使用户不能重复
使用最近5次(含5次)内已使用的口令。
5
“强制密码历史”设置为“记住5个密码”
查看是否“强制密码历史”设置为“记住5个密码”
4
要求内容对于采用静态口令认证技术的设备,应配置当用户连续认证失败次
数超过6次(不含6次),锁定该用户使用的账号。
帐户
锁定策略”:
“账户锁定阀值”设置为6次
设置解锁阀值:
30分钟
“账户锁定阀值”设置为小于或等于6次
查看是否“账户锁定阀值”设置为小于等于6次
补充说明:
设置不当可能导致账号大面积锁定,在域环境中应小心设置,
Administrator账号本身不会被锁定。
4.3授权
6
要求内容本地、远端系统强制关机只指派给Administrators组。
本地安全策略”,在“本地策略->
用
户权利指派”:
“关闭系统”设置为“只指派给Administrators组”
“从远端系统强制关机”设置为“只指派给Administrators组”
“从远端系统强制关机”设置为“只指派给Administrtors组”
查看“关闭系统”设置为“只指派给Administrators组”
查看是否“从远端系统强制关机”设置为“只指派给
Administrators组”
要求内容在本地安全设置中取得文件或其它对象的所有权仅指派给
Administrators。
户权利指派”:
“取得文件或其它对象的所有权”设置为“只指派给
用
7
查看是否“取得文件或其它对象的所有权”设置为“只指派给
要求内容在本地安全设置中只允许授权帐号本地、远程访问登陆此计算机。
户权利指派”
“从本地登陆此计算机”设置为“指定授权用户”
“从网络访问此计算机”设置为“指定授权用户”
查看是否“从本地登陆此计算机”设置为“指定授权用户”
查看是否“从网络访问此计算机”设置为“指定授权用户”
4.4补丁
要求内容在不影响业务的情况下,应安装最新的ServicePack补丁集。
对
服务器系统应先进行兼容性测试。
安装最新的ServicePack补丁集。
例如截止到2010年最新版本:
WindowsXP的ServicePack为SP3。
Windows2000的ServicePack为SP4,Windows2003的Service
Pack为SP2
8
进入控制面板->
添加或删除程序->
显示更新打钩,查看是否XP系
统已安装SP3,Win2000系统已安装SP4,Win2003系统已安装SP2。
4.5防护软件
要求内容启用自带防火墙或安装第三方威胁防护软件。
根据业务需要限定允
许访问网络的应用程序,和允许远程登陆该设备的IP地址范围。
操作指南1、参考配置操作(以启动自带防火墙为例)
进入“控制面板->
网络连接->
本地连接”,在高级选项的设置中
启用Windows防火墙。
在“例外”中配置允许业务所需的程序接入网络。
在“例外->
编辑->
更改范围”编辑允许接入的网络地址范围。
说明:
分为服务器和操作终端两种情况:
服务器该项为可选,操作终端该项为必选
“例外”中允许接入网络的程序均为业务所需。
本地连接”,在高级选项的设置中,
查看是否启用Windows防火墙。
查看是否在“例外”中配置允许业务所需的程序接入网络。
查看是否在“例外->
更改范围”编辑允许接入的网络地址范
围。
4.6防病毒软件
要求内容安装防病毒软件,并及时更新。
9
安装防病毒软件,并及时更新。
已安装防病毒软件,病毒码更新时间不早于1个月,各系统病毒码
升级时间要求参见各系统相关规定。
对于操作终端该项为必选项,对于服务器该项为可选项
控制面板->
添加或删除程序,是否安装有防病毒软件。
打开防病
毒软件控制面板,查看病毒码更新日期。
4.7日志安全要求
要求内容设备应配置日志功能,对用户登录进行记录,记录内容包括用户登
录使用的账号,登录是否成功,登录时间,以及远程登录时,用户
使用的IP地址。
开始->
运行->
执行“控制面板->
本地安全策略->
审核
策略”
审核登录事件,双击,设置为成功和失败都审核。
审核登录事件,设置为成功和失败都审核。
审核登录事件,双击,查看是否设置为成功和失败都审核。
要求内容开启审核策略,以便出现安全问题后进行追查
对审核策略进行检查:
10
开始-运行-gpedit.msc
计算机配置-Windows设置-安全设置-本地策略-审核策略
以下审核是必须开启的,其他的可以根据需要增加:
y审核系统登陆事件成功,失败
y审核帐户管理成功,失败
y审核登陆事件成功,失败
y审核对象访问成功
y审核策略更改成功,失败
y审核特权使用成功,失败
y审核系统事件成功,失败
2、补充说明
可能会使日志量猛增
尝试对被添加了访问审核的对象进行访问,然后查看安全日志中是
否会有相关记录,或通过其他手段激化以配置的审核策略,并观察
日志中的记录情况,如果存在记录条目,则配置成功。
设置日志容量和覆盖规则,保证日志存储
开始-运行-eventvwr
右键选择日志,属性,根据实际需求设置:
日志文件大小:
可根据需要制定
超过上限时的处理方式(建议日志记录天数不小于90天)
2、补充说明
建议对每个日志均进行如上操作,同时应保证磁盘空间
11
开始-运行-eventvwr,右键选择日志,属性,查看日志上限及超
过上线时的处理方式
4.8不必要的服务、端口
要求内容关闭不必要的服务
计算机管理”,进入“服务和应用程
序”:
可根据具体应用情况参考附录A,筛选不必要的服务。
系统管理员应出具系统所必要的服务列表。
查看所有服务,不在此列表的服务需关闭。
查看所有服务,不在此列表的服务是否已关闭。
要求内容如需启用SNMP服务,则修改默认的SNMPCommunityString设置。
打开“控制面板”,打开“管理工具”中的“服务”,找到“SNMP
Service”,单击右键打开“属性”面板中的“安全”选项卡,在这个配置
界面中,可以修改communitystrings,也就是微软所说的“团体名
称”。
communitystrings已改,不是默认的“public”
12
界面中,查看communitystrings,也就是微软所说的“团体名称”。
要求内容如对互联网开放WindowsTerminial服务(RemoteDesktop),需修改
默认服务端口。
运行Regedt32
并转到此项:
HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal
ServerWinStationsRDP-Tcp
找到“PortNumber”子项,会看到默认值00000D3D,它是3389
的十六进制表示形式。
使用十六进制数值修改此端口号,并保存新
值。
找到“PortNumber”子项,设定值非00000D3D,即十进制3389
2、检测操作
运行Regedt32,找到此项并判断。
4.9启动项
要求内容关闭无效启动项
“开始->
MSconfig”启动菜单中,取消不必要的启动项。