Windows安全基线.docx
《Windows安全基线.docx》由会员分享,可在线阅读,更多相关《Windows安全基线.docx(23页珍藏版)》请在冰豆网上搜索。
Windows安全基线
MicrosoftWindows安全配置基线
版本变更记录
版本号
主要修改内容
制作人
日期
审核人
日期
批准人
日期
1目的
本文档规定了XX有限公司所维护管理的Windows操作系统的主机应当遵循的操作系统安全性设置标准,旨在指导系统管理人员或安全检查人员进行Windows操作系统的安全合规性检查和配置。
适用范围:
适用于XX有限公司。
2帐户管理、认证授权
2.1帐户
2.1.1管理缺省帐户
安全基线项目名称
操作系统缺省帐户安全基线要求项
安全基线编号
SBL-Windows-01-01-01
安全基线项说明
对于管理员帐号,要求更改缺省帐户名称;禁用guest(来宾)帐号。
检测操作步骤
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:
缺省帐户Administrator->属性
Guest帐号->属性
基线符合性判定依据
缺省帐户Administrator名称已更改。
Guest帐号已停用。
备注
2.1.2按照用户分配帐户*
安全基线项目名称
操作系统用户帐户划分安全基线要求项
安全基线编号
SBL-Windows-01-01-02
安全基线项说明
按照用户分配帐户。
根据系统的要求,设定不同的帐户和帐户组,管理员用户,数据库用户,审计用户,来宾用户等。
检测操作步骤
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:
根据系统的要求,设定不同的帐户和帐户组,管理员用户,数据库用户,审计用户,来宾用户。
基线符合性判定依据
结合要求和实际业务情况判断符合要求,根据系统的要求,设定不同的帐户和帐户组,管理员用户,数据库用户,审计用户,来宾用户。
备注
手工判断,需要根据实际情况判断帐户用途
2.1.3删除与设备无关帐户*
安全基线项目名称
操作系统与设备无关帐户安全基线要求项
安全基线编号
SBL-Windows-01-01-03
安全基线项说明
删除或锁定与设备运行、维护等与工作无关的帐户
检测操作步骤
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:
删除或锁定与设备运行、维护等与工作无关的帐户。
基线符合性判定依据
结合要求和实际业务情况判断符合要求,删除或锁定与设备运行、维护等与工作无关的帐户。
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:
查看是否删除或锁定与设备运行、维护等与工作无关的帐户。
备注
手工判断,需要根据实际情况判断帐户是否为无关帐户
2.2口令
2.2.1密码复杂度
安全基线项目名称
操作系统密码复杂度安全基线要求项
安全基线编号
SBL-Windows-01-02-01
安全基线项说明
最短密码长度8个字符,启用本机组策略中密码必须符合复杂性要求的策略。
即密码至少包含以下四种类别的字符中的3种:
英语大写字母A,B,C,…Z
英语小写字母a,b,c,…z
西方阿拉伯数字0,1,2,…9
非字母数字字符,如标点符号,@,#,$,%,&,*等
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:
查看是否“密码必须符合复杂性要求”选择“已启动”
基线符合性判定依据
“密码最小长度”大于等于8
“密码必须符合复杂性要求”选择“已启动”
备注
2.2.2密码最长留存期
安全基线项目名称
操作系统密码历史安全基线要求项
安全基线编号
SBL-Windows-01-02-02
安全基线项说明
对于采用静态口令认证技术的设备,帐户口令的生存期不长于90天。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:
查看“密码最长存留期”
基线符合性判定依据
“密码最长存留期”设置不大于“90天”
备注
2.2.3帐户锁定策略
安全基线项目名称
操作系统帐户锁定策略安全基线要求项
安全基线编号
SBL-Windows-01-02-03
安全基线项说明
对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次,锁定该用户使用的帐户。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->帐户锁定策略”:
查看“帐户锁定阀值”设置
基线符合性判定依据
“帐户锁定阀值”设置为小于或等于6次
备注
2.3授权
2.3.1远程关机
安全基线项目名称
操作系统远程关机策略安全基线要求项
安全基线编号
SBL-Windows-01-03-01
安全基线项说明
在本地安全设置中从远端系统强制关机只指派给Administrators组。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:
查看“从远端系统强制关机”设置
基线符合性判定依据
“从远端系统强制关机”设置为“只指派给Administrtors组”
备注
2.3.2本地关机
安全基线项目名称
操作系统本地关机策略安全基线要求项
安全基线编号
SBL-Windows-01-03-02
安全基线项说明
在本地安全设置中关闭系统仅指派给Administrators组。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:
查看“关闭系统”设置
基线符合性判定依据
“关闭系统”设置为“只指派给Administrators组”
备注
2.3.3用户权利指派*
安全基线项目名称
操作系统用户权力指派策略安全基线要求项
安全基线编号
SBL-Windows-01-03-03
安全基线项说明
在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:
查看是否“取得文件或其它对象的所有权”设置
基线符合性判定依据
“取得文件或其它对象的所有权”设置为“只指派给Administrators组”
备注
手工检查
2.3.4授权帐户登陆*
安全基线项目名称
操作系统用户授权登陆安全基线要求项
安全基线编号
SBL-Windows-01-03-04
安全基线项说明
在本地安全设置中配置指定授权用户允许本地登陆此计算机。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”
“从本地登陆此计算机”设置为“指定授权用户”
基线符合性判定依据
“从本地登陆此计算机”设置为“指定授权用户”,进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”
查看是否“从本地登陆此计算机”设置为“指定授权用户”
备注
手工判断是否授权
2.3.5授权帐户从网络访问*
安全基线项目名称
操作系统用户授权从网络访问安全基线要求项
安全基线编号
SBL-Windows-01-03-05
安全基线项说明
在组策略中只允许授权帐号从网络访问(包括网络共享等,但不包括终端服务)此计算机。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”
“从网络访问此计算机”设置为“指定授权用户”
基线符合性判定依据
“从网络访问此计算机”设置为“指定授权用户”,进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”
查看是否“从网络访问此计算机”设置为“指定授权用户”
备注
手工判断是否授权
3日志配置操作
3.1日志配置
3.1.1审核登录
安全基线项目名称
操作系统审核登录策略安全基线要求项
安全基线编号
SBL-Windows-02-01-01
安全基线项说明
设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的帐户,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。
检测操作步骤
开始->运行->执行“控制面板->管理工具->本地安全策略->审核策略”
审核登录事件。
基线符合性判定依据
审核登录事件,设置为成功和失败都审核。
备注
3.1.2审核策略更改
安全基线项目名称
操作系统审核策略更改安全基线要求项
安全基线编号
SBL-Windows-02-01-02
安全基线项说明
启用组策略中对Windows系统的审核策略更改,成功和失败都要审核。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中
查看“审核策略更改”设置。
基线符合性判定依据
“审核策略更改”设置为“成功”和“失败”都要审核。
备注
3.1.3审核对象访问
安全基线项目名称
操作系统审核对象访问安全基线要求项
安全基线编号
SBL-Windows-02-01-03
安全基线项说明
启用组策略中对Windows系统的审核对象访问,成功和失败都要审核。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
查看“审核对象访问”设置。
基线符合性判定依据
“审核对象访问”设置为“成功”和“失败”都要审核。
备注
等保三级要求设置为“成功”和“失败”都要审核,但使用此设置日志文件很大,可考虑仅设置为“失败”要审核
3.1.4审核事件目录服务器访问
安全基线项目名称
操作系统审核事件目录服务器访问策略安全基线要求项
安全基线编号
SBL-Windows-02-01-04
安全基线项说明
启用组策略中对Windows系统的审核目录服务访问,失败。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
查看“审核目录服务器访问”设置。
基线符合性判定依据
“审核目录服务器访问”设置为“成功”和“失败”都要审核。
备注
等保三级要求设置为“成功”和“失败”都要审核,但使用此设置日志文件很大,可考虑仅设置为“失败”要审核
3.1.5审核特权使用
安全基线项目名称
操作系统审核特权使用策略安全基线要求项
安全基线编号
SBL-Windows-02-01-05
安全基线项说明
启用组策略中对Windows系统的审核特权使用,成功和失败都要审核。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
查看“审核特权使用”设置。
基线符合性判定依据
“审核特权使用”设置为“成功”和“失败”都要审核。
备注
等保三级要求设置为“成功”和“失败”都要审核,但使用此设置日志文件很大,可考虑仅设置为“失败”要审核
3.1.6审核系统事件
安全基线项目名称
操作系统审核系统事件策略安全基线要求项
安全基线编号
SBL-Windows-02-01-06
安全基线项说明
启用组策略中对Windows系统的审核系统事件,成功和失败都要审核。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
查看“审核系统事件”设置。
基线符合性判定依据
“审核系统事件”设置为“成功”和“失败”都要审核。
备注
3.1.7审核帐户管理
安全基线项目名称
操作系统审核帐户管理策略安全基线要求项
安全基线编号
SBL-Windows-02-01-07
安全基线项说明
启用组策略中对Windows系统的审核帐户管理,成功和失败都要审核。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
查看“审核帐户管理”设置。
基线符合性判定依据
“审核帐户管理”设置为“成功”和“失败”都要审核。
备注
3.1.8审核过程追踪
安全基线项目名称
操作系统审核过程追踪策略安全基线要求项
安全基线编号
SBL-Windows-02-01-08
安全基线项说明
启用组策略中对Windows系统的审核过程追踪失败。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
查看“审核过程追踪”设置。
基线符合性判定依据
“审核过程追踪”设置为“成功”和“失败”都要审核。
备注
3.1.9日志文件大小
安全基线项目名称
操作系统日志容量安全基线要求项
安全基线编号
SBL-Windows-02-01-09
安全基线项说明
设置应用日志文件大小至少为102400KB,设置当达到最大的日志尺寸时,按需要改写事件。
检测操作步骤
进入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中:
查看“应用日志”“系统日志”“安全日志”属性中的日志大小,以及设置当达到最大的日志尺寸时的相应策略。
基线符合性判定依据
“应用日志”“系统日志”“安全日志”属性中的日志大小设置不小于“102400KB”,设置当达到最大的日志尺寸时,“按需要改写事件”
备注
4IP协议安全配置
4.1IP协议
4.1.1启用SYN攻击保护
安全基线项目名称
操作系统SYN攻击保护安全基线要求项
安全基线编号
SBL-Windows-03-01-01
安全基线项说明
启用SYN攻击保护;指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阀值为5;指定处于SYN_RCVD状态的TCP连接数的阈值为500;指定处于至少已发送一次重传的SYN_RCVD状态中的TCP连接数的阈值为400。
检测操作步骤
在“开始->运行->键入regedit”
查看注册表项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect;
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted;
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen;
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried。
基线符合性判定依据
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect;推荐值:
2。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted;推荐值:
5。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen;推荐值数据:
500。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried。
推荐值数据:
400。
备注
5设备其他配置操作
5.1共享文件夹及访问权限
5.1.1关闭默认共享
安全基线项目名称
操作系统默认共享安全基线要求项
安全基线编号
SBL-Windows-04-01-01
安全基线项说明
非域环境中,关闭Windows硬盘默认共享,例如C$,D$。
检测操作步骤
进入“开始->运行->Regedit”,进入注册表编辑器,查看HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer;
基线符合性判定依据
HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer键,值为0。
备注
5.1.2共享文件夹授权访问*
安全基线项目名称
操作系统共享文件夹安全基线要求项
安全基线编号
SBL-Windows-04-01-02
安全基线项说明
查看每个共享文件夹的共享权限,只允许授权的帐户拥有权限共享此文件夹。
检测操作步骤
进入“控制面板->管理工具->计算机管理”,进入“系统工具->共享文件夹”:
查看每个共享文件夹的共享权限,只将权限授权于指定帐户。
基线符合性判定依据
查看每个共享文件夹的共享权限仅限于业务需要,不设置成为“everyone”。
进入“控制面板->管理工具->计算机管理”,进入“系统工具->共享文件夹”:
查看每个共享文件夹的共享权限。
备注
手工判断
5.2防病毒管理
5.2.1数据执行保护
安全基线项目名称
操作系统数据执行保护安全基线要求项
安全基线编号
SBL-Windows-04-02-01
安全基线项说明
对于WindowsXPSP2及Windows2003对Windows操作系统程序和服务启用系统自带DEP功能(数据执行保护),防止在受保护内存位置运行有害代码。
检测操作步骤
进入“控制面板->系统”,在“高级”选项卡的“性能”下的“设置”。
进入“数据执行保护”选项卡。
查看“仅为基本Windows操作系统程序和服务启用DEP”。
基线符合性判定依据
“数据执行保护”选项卡已设置为“仅为基本Windows操作系统程序和服务启用DEP”。
备注
5.3Windows服务
5.3.1SNMP服务管理
安全基线项目名称
操作系统SNMP服务管理安全基线要求项
安全基线编号
SBL-Windows-04-03-01
安全基线项说明
如需启用SNMP服务,则修改默认的SNMPCommunityString设置。
检测操作步骤
打开“控制面板”,打开“管理工具”中的“服务”,找到“SNMPService”,单击右键打开“属性”面板中的“安全”选项卡,在这个配置界面中,查看communitystrings,也就是微软所说的“团体名称”。
基线符合性判定依据
communitystrings已改,不是默认的“public”。
备注
5.3.2系统必须服务列表管理*
安全基线项目名称
操作系统服务列表管理安全基线要求项
安全基线编号
SBL-Windows-04-03-02
安全基线项说明
列出所需要服务的列表(包括所需的系统服务),不在此列表的服务需关闭。
检测操作步骤
进入“控制面板->管理工具->计算机管理”,进入“服务和应用程序”:
查看所有服务,不在此列表的服务需关闭。
基线符合性判定依据
系统管理员应出具系统所必要的服务列表。
查看所有服务,不在此列表的服务需关闭。
备注
手工判断
5.3.3系统启动项列表管理*
安全基线项目名称
操作系统启动项列表管理安全基线要求项
安全基线编号
SBL-Windows-04-03-03
安全基线项说明
列出系统启动时自动加载的进程和服务列表,不在此列表的需关闭。
检测操作步骤
“开始->运行->MSconfig”启动菜单中,取消不必要的启动项。
基线符合性判定依据
不需要的自动加载进程通过“开始->运行->MSconfig”启动菜单中取消。
备注
手工判断
5.3.4远程控制服务安全*
安全基线项目名称
操作系统远程控制服务管理安全基线要求项
安全基线编号
SBL-Windows-04-03-04
安全基线项说明
如对互联网开放WindowsTerminial服务(RemoteDesktop),需修改默认服务端口。
检测操作步骤
运行Regedt32并转到此项:
HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminalServerWinStationsRDP-Tcp
找到“PortNumber”子项,会看到默认值00000D3D,它是3389的十六进制表示形式。
使用十六进制数值修改此端口号,并保存新值。
基线符合性判定依据
找到“PortNumber”子项,设定值非00000D3D,即十进制3389
备注
根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。
5.3.5IIS安全补丁管理*
安全基线项目名称
操作系统IIS服务管理安全基线要求项
安全基线编号
SBL-Windows-04-03-05
安全基线项说明
如需启用IIS服务,则将IIS升级到最新补丁。
检测操作步骤
下载IIS补丁包
IIS4.0
IIS5.0
并安装,或升级到IIS6.0
基线符合性判定依据
已安装IIS补丁包或升级到IIS6.0。
备注
根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。
5.3.6活动目录时间同步管理*
安全基线项目名称
操作系统IIS服务管理安全基线要求项
安全基线编号
SBL-Windows-04-03-06
安全基线项说明
通过微软ActiveDirectory管理的终端,或者是独立终端,要求配置时间同步源.终端定期执行时间同步操作(必要时)
检测操作步骤
a.在具有PDCEmulator角色的DC上运行如下命令,以和外部时间源同步
w32tm/config/syncfromflags:
manual/manualpeerlist:
b.在PC终端上运行如下命令行同步时间:
w32tm/config/update
基线符合性判定依据
检查终端主机的时间是否与标准时间同步。
备注
根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。
5.4启动项
5.4.1关闭Windows自动播放功能
安全基线项目名称
操作系统Windows自动播放安全基线要求项
安全基线编号
SBL-Windows-04-04-01
安全基线项说明
关闭Windo
升级会员 