MicrosoftWindows安全配置基线Word文件下载.docx

MicrosoftWindows安全配置基线Word文件下载.docx

《MicrosoftWindows安全配置基线Word文件下载.docx》由会员分享，可在线阅读，更多相关《MicrosoftWindows安全配置基线Word文件下载.docx（14页珍藏版）》请在冰豆网上搜索。

中国移动总部和各省公司信息化部门维护管理的WINDOWS服务器系统。

1.3适用版本

WINDOWS系列服务器；

1.4实施

本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。

本标准发布之日起生效。

1.5例外条款

欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

第2章账号管理、认证授权

2.1账号

2.1.1管理缺省账户

安全基线项目名称

操作系统缺省账户安全基线要求项

安全基线编号

SBL-Windows-02-01-01

安全基线项说明

对于管理员帐号，要求更改缺省帐户名称；

禁用guest（来宾）帐号。

检测操作步骤

进入“控制面板->

管理工具->

计算机管理”，在“系统工具->

本地用户和组”：

缺省帐户Administrator－>

属性

Guest帐号->

基线符合性判定依据

缺省账户Administrator名称已更改。

Guest帐号已停用。

备注

2.2口令

2.2.1密码复杂度

操作系统密码复杂度安全基线要求项

SBL-Windows-02-02-01

最短密码长度6个字符，启用本机组策略中密码必须符合复杂性要求的策略。

即密码至少包含以下四种类别的字符中的三种：

l英语大写字母A,B,C,…Z

l英语小写字母a,b,c,…z

l西方阿拉伯数字0,1,2,…9

非字母数字字符，如标点符号，@,#,$,%,&

*等

本地安全策略”，在“帐户策略->

密码策略”：

查看是否“密码必须符合复杂性要求”选择“已启动”

“密码必须符合复杂性要求”选择“已启动”

2.2.2密码历史

操作系统密码历史安全基线要求项

SBL-Windows-02-02-02

对于采用静态口令认证技术的设备，账户口令的生存期不长于90天。

查看“密码最长存留期”

“密码最长存留期”设置不大于“90天”

2.2.3帐户锁定策略

操作系统账户锁定策略安全基线要求项

SBL-Windows-02-02-03

对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。

帐户锁定策略”：

查看“账户锁定阀值”设置

“账户锁定阀值”设置为小于或等于6次

2.3授权

2.3.1远程关机

操作系统远程关机策略安全基线要求项

SBL-Windows-02-03-01

在本地安全设置中从远端系统强制关机只指派给Administrators组。

本地安全策略”，在“本地策略->

用户权利指派”:

查看“从远端系统强制关机”设置

“从远端系统强制关机”设置为“只指派给Administrtors组”

2.3.2本地关机

操作系统本地关机策略安全基线要求项

SBL-Windows-02-03-02

在本地安全设置中关闭系统仅指派给Administrators组。

查看“关闭系统”设置

“关闭系统”设置为“只指派给Administrators组”

2.3.3用户权利指派

操作系统用户权力指派策略安全基线要求项

SBL-Windows-02-03-03

在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。

用户权利指派”：

查看是否“取得文件或其它对象的所有权”设置

“取得文件或其它对象的所有权”设置为“只指派给Administrators组”

第3章

日志配置操作

3.1日志配置

3.1.1审核登录

操作系统审核登录策略安全基线要求项

SBL-Windows-03-01-01

设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。

开始->

运行->

执行“控制面板->

本地安全策略->

审核策略”

审核登录事件。

审核登录事件，设置为成功和失败都审核。

3.1.2审核策略更改

操作系统审核策略更改安全基线要求项

SBL-Windows-03-01-02

启用组策略中对Windows系统的审核策略更改，成功和失败都要审核。

审核策略”中

查看“审核策略更改”设置。

“审核策略更改”设置为“成功”和“失败”都要审核。

3.1.3审核对象访问

操作系统审核对象访问安全基线要求项

SBL-Windows-03-01-03

启用组策略中对Windows系统的审核对象访问，成功和失败都要审核。

审核策略”中：

查看“审核对象访问”设置。

“审核对象访问”设置为“成功”和“失败”都要审核。

3.1.4审核事件目录服务器访问

操作系统审核事件目录服务器访问策略安全基线要求项

SBL-Windows-03-01-04

启用组策略中对Windows系统的审核目录服务访问，失败。

查看“审核目录服务器访问”设置。

“审核目录服务器访问”设置为“成功”和“失败”都要审核。

3.1.5审核特权使用

操作系统审核特权使用策略安全基线要求项

SBL-Windows-03-01-05

启用组策略中对Windows系统的审核特权使用，成功和失败都要审核。

查看“审核特权使用”设置。

“审核特权使用”设置为“成功”和“失败”都要审核。

3.1.6审核系统事件

操作系统审核系统事件策略安全基线要求项

SBL-Windows-03-01-06

启用组策略中对Windows系统的审核系统事件，成功和失败都要审核。

查看“审核系统事件”设置。

“审核系统事件”设置为“成功”和“失败”都要审核。

3.1.7审核账户管理

操作系统审核账户管理策略安全基线要求项

SBL-Windows-03-01-07

启用组策略中对Windows系统的审核帐户管理，成功和失败都要审核。

查看“审核账户管理”设置。

“审核账户管理”设置为“成功”和“失败”都要审核。

3.1.8审核过程追踪

操作系统审核过程追踪策略安全基线要求项

SBL-Windows-03-01-08

启用组策略中对Windows系统的审核过程追踪失败。

查看“审核过程追踪”设置。

“审核过程追踪”设置为“失败”需要审核。

3.1.9日志文件大小

操作系统日志容量安全基线要求项

SBL-Windows-03-01-09

设置应用日志文件大小至少为8192KB，设置当达到最大的日志尺寸时，按需要改写事件。

事件查看器”，在“事件查看器（本地）”中：

查看“应用日志”“系统日志”“安全日志”属性中的日志大小,以及设置当达到最大的日志尺寸时的相应策略。

“应用日志”“系统日志”“安全日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时，“按需要改写事件”

第4章

IP协议安全配置

4.1IP协议

4.1.1启用SYN攻击保护

操作系统SYN攻击保护安全基线要求项

SBL-Windows-04-01-01

启用SYN攻击保护；

指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阀值为5；

指定处于SYN_RCVD状态的TCP连接数的阈值为500；

指定处于至少已发送一次重传的SYN_RCVD状态中的TCP连接数的阈值为400。

在“开始->

键入regedit”

查看注册表项

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect;

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted;

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen;

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried。

推荐值：

2。

5。

推荐值数据：

500。

推荐值数据：

400。

第5章

设备其他配置操作

5.1共享文件夹及访问权限

5.1.1关闭默认共享

操作系统默认共享安全基线要求项

SBL-Windows-05-01-01

非域环境中，关闭Windows硬盘默认共享，例如C$，D$。

进入“开始－>

运行－>

Regedit”，进入注册表编辑器，查看HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer；

HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer键，值为0。

5.2防病毒管理

5.2.1数据执行保护

操作系统数据执行保护安全基线要求项

SBL-Windows-05-02-01

对于WindowsXPSP2及Windows2003对Windows操作系统程序和服务启用系统自带DEP功能（数据执行保护），防止在受保护内存位置运行有害代码。

进入“控制面板－>

系统”，在“高级”选项卡的“性能”下的“设置”。

进入“数据执行保护”选项卡。

查看“仅为基本Windows操作系统程序和服务启用DEP”。

“数据执行保护”选项卡已设置为“仅为基本Windows操作系统程序和服务启用DEP”。

5.3Windows服务

5.3.1SNMP服务管理

操作系统SNMP服务管理安全基线要求项

SBL-Windows-05-03-01

如需启用SNMP服务，则修改默认的SNMPCommunityString设置。

打开“控制面板”，打开“管理工具”中的“服务”，找到“SNMPService”，单击右键打开“属性”面板中的“安全”选项卡，在这个配置界面中，查看communitystrings，也就是微软所说的“团体名称”。

communitystrings已改，不是默认的“public”。

5.4启动项

5.4.1关闭Windows自动播放功能

操作系统Windows自动播放安全基线要求项

SBL-Windows-05-04-01

关闭Windows自动播放功能。

打开“开始→运行”，在对话框中输入“gpedit.msc”命令，在出现“组策略”窗口中依次选择“在计算机配置→管理模板→系统”，双击“关闭自动播放”查看。

在“设置”选项卡中选“已启用”选项。

第6章

评审与修订

本标准由中国移动通信有限公司管理信息系统部定期进行审查，根据审视结果修订标准，并颁发执行。