Windows安全配置规范.docx
《Windows安全配置规范.docx》由会员分享,可在线阅读,更多相关《Windows安全配置规范.docx(26页珍藏版)》请在冰豆网上搜索。
Windows安全配置规范
Windows安全配置规范
2010年11月
第1章概述
1.1适用范围
本规范明确了Windows操作系统在安全配置方面的基本要求,可作为编制
设备入网测试、安全验收、安全检查规范等文档的参考。
适用于中国电信所有运行的Windows操作系统,包括Windows2000、
WindowsXP、Windows2003.Windows7,Windows2008以及各版本中的Sever、
Professional版本。
第2章安全配置要求
2.1账号
要求内容
编号:
1
应按照不同的用户分配不同的账号,避免不同用户间共享账号,避
免用户账号和设备间通信使用的账号共享。
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:
检测方法
1、判定条件
根据系统的要求,设定不同的账户和账户组。
结合要求和实际业务情况判断符合要求,根据系统的要求,设定不同的账户和账户组2、检测操作进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:
查看根据系统的要求,设定不同的账户和账户组
编号:
2
要求内容
应删除与运行、维护等工作无关的账号。
操作指南
1.参考配置操作
A)可使用用户管理工具:
开始-运行-compmgmt.msc-本地用户和组-用户
B)也可以通过net命令:
删除账号:
netuseraccount/de1
停用账号:
netuseraccount/active:
no
检测方法
1.判定条件
结合要求和实际业务情况判断符合要求,删除或锁定与设备运行、维护等与工作无关的账号。
注:
主要指测试帐户、共享帐号、已经不用账号等
2.检测操作
开始-运行-compmgmt.msc-本地用户和组-用户
重命名Administrator;禁用guest(来宾)帐号。
编号:
3
要求内容
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:
Administrator—>属性一>更改名称
检测方法
1、判定条件
Guest帐号->属性—>已停用
缺省账户Administrator名称已更改。
Guest帐号已停用。
2、检测操作进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:
缺省帐户一>属性一>更改名称
Guest帐号->属性—>已停用
2.2口令
编号:
1
要求内容
密码长度要求:
最少8位
密码复杂度要求:
至少包含以下四种类别的字符中的二种:
英语大写字母A,B,C,…Z
英语小写字母a,b,c,…z
阿拉伯数字0,1,2,…9
非字母数字字符,如标点符号,@,#,$,%,&,*等
操作指南
1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码
策略”:
“密码必须符合复杂性要求”选择“已启动”
检测方法
1、判定条件
“密码必须符合复杂性要求”选择“已启动”
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码
策略”:
查看是否“密码必须符合复杂性要求”选择“已启动”
编号:
2
要求内容
对于米用静态口令认证技术的设备,账户口令的生存期不长于90
天。
操作指南
1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码
策略”:
“密码最长存留期”设置为“90天”
检测方法
1、判定条件
“密码最长存留期”设置为“90天”
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:
查看是否“密码最长存留期”设置为“90天”
编号:
3
要求内容
对于米用静态口令认证技术的设备,应配置设备,使用户不能重复
使用最近5次(含5次)内已使用的口令。
操作指南
1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码
策略”:
“强制密码历史”设置为“记住5个密码”
检测方法
1、判定条件
“强制密码历史”设置为“记住5个密码”
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码
策略”:
查看是否“强制密码历史”设置为“记住5个密码”
编号:
4
要求内容
对于米用静态口令认证技术的设备,应配置当用户连续认证失败次
数超过6次(不含6次),锁定该用户使用的账号。
操作指南
1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->帐户
锁定策略”:
“账户锁定阀值”设置为6次
检测方法
1、判定条件
“账户锁定阀值”设置为小于或等于6次
2、检测操作进入“控制面板->管理工具->本地安全策略”,在“帐户策略->帐户锁定策略”:
查看是否“账户锁定阀值”设置为小于等于补充说明:
设置不当可能导致账号大面积锁定,在域环境中应小心设置,
Administrator账号本身不会被锁定。
2.3授权
编号:
1
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”
组”
“关闭系统”设置为“只指派给Administrators
组”
“从远程系统强制关机”设置为“只指派给Administrators
组”
"关闭系统”设置为“只指派给Administrators
"从远端系统强制关机”设置为“只指派给Administrtors组”
2、检测操作进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”
组”
查看“关闭系统”设置为“只指派给Administrators
Administrators
组”
查看是否“从远端系统强制关机”设置为“只指派给
编号:
2
要求内容
在本地安全设置中取得文件或其它对象的所有权仅指派给
Administrators。
操作指南
1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:
“取得文件或其它对象的所有权”设置为“只指派给
Administrators组”
检测方法
1、判定条件
“取得文件或其它对象的所有权”设置为“只指派给
Administrators组”
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用
查看是否“取得文件或其它对象的所有权”设置为“只指派给
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”
“从本地登陆此计算机”设置为“指定授权用户”
检测方法
1、判定条件
“从网络访问此计算机”设置为“指定授权用户”
“从本地登陆此计算机”设置为“指定授权用户”“从网络访问此计算机”设置为“指定授权用户”
2、检测操作进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”查看是否“从本地登陆此计算机”设置为“指定授权用户”查看是否“从网络访问此计算机”设置为“指定授权用户”
2.4补丁
编号:
1
要求内容
在不影响业务的情况下,应安装最新的ServicePack补丁集。
对
服务器系统应先进行兼容性测试。
操作指南
1、参考配置操作
安装最新的ServicePack补丁集,以及最新的Hotfix补丁。
目前WindowsXP的ServicePack为SP3。
Windows2000的ServicePack为SP4,Windows2003的Service
Pack为SP2
检测方法
1、判定条件
2、检测操作
进入控制面板->添加或删除程序->显示更新打钩,查看是否XP系统已安装SP3,Win2000系统已安装SP4,Win2003系统已安装SP2。
冋时检查所有的hotfix,并查看系统安装的最后一个补丁的
发布日期是否与最近最新发布的补丁日期一致。
2.5防护软件
编号:
1(可选)
进入“控制面板—>网络连接—>本地连接”,在高级选项的设置中启用Windows防火墙。
在“例外”中配置允许业务所需的程序接入网络。
检测方法
1、判定条件
在“例外->编辑->更改范围”编辑允许接入的网络地址范围。
启用Windows防火墙。
“例外”中允许接入网络的程序均为业务所需。
2、检测操作进入“控制面板—>网络连接—>本地连接”,在高级选项的设置中,查看是否启用Windows防火墙。
查看是否在“例外”中配置允许业务所需的程序接入网络。
查看是否在“例外->编辑->更改范围”编辑允许接入的网络地址范围。
2.6防病毒软件
编号:
1
要求内容
安装防病毒软件,并及时更新。
操作指南
1、参考配置操作
安装防病毒软件,并及时更新。
检测方法
1、判定条件
已安装放病毒软件,病毒码更新时间不早于1个月,各系统病毒码升级时间要求参见各系统相关规定。
2、检测操作
控制面板->添加或删除程序,是否安装有防病毒软件。
打开防病
毒软件控制面板,查看病毒码更新日期。
2.8日志安全要求
编号:
1
要求内容
设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。
操作指南
1、参考配置操作
开始->运行->执行“控制面板->管理工具->本地安全策略->审核
策略”
审核登录事件,双击,设置为成功和失败都审核。
检测方法
1、判定条件
审核登录事件,设置为成功和失败都审核。
2、检测操作
开始->运行->执行“控制面板->管理工具->本地安全策略->审核
策略”
审核登录事件,双击,查看是否设置为成功和失败都审核。
编号:
2
要求内容
开启审核策略,以便出现安全问题后进行追查
操作指南
1、参考配置操作
对审核策略进行检查:
开始-运行-gpedit.msc计算机配置-Windows设置-安全设置-本地策略-审核策略以下审核是必须开启的,其他的可以根据需要增加:
审核系统登陆事件
成功,
审核帐户管理
成功,
失败
审核登陆事件
成功,
失败
审核对象访冋
成功
审核策略更改
成功,
失败
审核特权使用
成功,
失败
审核系统事件
成功,
失败
失败
2、补充说明
可能会使日志量猛增
尝试对被添加了访问审核的对象进行访问,然后查看安全日志中是
否会有相关记录,或通过其他手段激化以配置的审核策略,并观察日志中的记录情况,如果存在记录条目,则配置成功。
2、检测操作
编号:
3
开始-运行-eventvwr
右键选择日志,属性,根据实际需求设置:
日志文件大小
检测方法
1、判定条件
2、补充说明
建议对每个日志均进行如上操作,同时应保证磁盘空间
2、检测操作
过上线时的处理方式
开始-运行-eventvwr,右键选择日志,属性,查看日志上线及超
2.7Windows服务
编号:
1
要求内容
关闭不必要的服务
操作指南
1、参考配置操作
进入“控制面板->管理工具->计算机管理”,进入“服务和应用程序”:
查看所有服务,不在此列表的服务需关闭。
检测方法
1、判定条件
可禁用的服务及其相关说明如附表所示
系统管理员应出具系统所必要的服务列表。
查看所有服务,不在此列表的服务需关闭。
2、检测操作进入“控制面板->管理工具->计算机管理”,进入“服务和应用程序”:
查看所有服务,不在此列表的服务是否已关闭。
编号:
2
要求内容
如需启用SNMP服务,则修改默认的SNMPCommunityString设置。
操作指南
1、参考配置操作
打开控制面板”,打开管理工具”中的’服务”,找到“SNMPService,”单击右键打开属性”面板中的安全”选项卡,在这个配置界面中,可以修改communitystrings,也就是微软所说的团体名
称”。
检测方法
1、判定条件
communitystrings已改,不是默认的“public”
2、检测操作
打开控制面板”,打开管理工具”中的服务”,找到“SNMP
Service,”单击右键打开属性”面板中的安全”选项卡,在这个配置
默认服务端口。
界面中,查看communitystrings,也就是微软所说的团体名称”。
运行Regedt32并转到此项:
HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal
ServerWinStationsRDP-Tcp
找到“PortNumber”子项,会看到默认值00000D3D,它是3389
并保存新
的十六进制表示形式。
使用十六进制数值修改此端口号,
检测方法
1、判定条件
值。
找到“PortNumber”子项,设定值非00000D3D,即十进制3389
2、检测操作
运行Regedt32找到此项并判断。
2.8启动项
要求内容
关闭无效启动项
操作指南
1、参考配置操作
“开始->运行->MSconfig”启动菜单中,取消不必要的启动项。
检测方法
1、判定条件
2、检测操作
系统管理员提供业务必须的自动加载进程和服务列表文档。
查看“开始->运行->MSconfig”启动菜单:
不需要的自动加载进程是否已禁用和取消。
2.9关闭自动播放功能
编号:
1
要求内容
关闭Windows自动播放功能
操作指南
1、参考配置操作
点击开始7运行7输入gpedit.msc,打开组策略编辑器,浏览到计算机配置7管理模板7系统,在右边窗格中双击关闭自动播放”,
对话框中选择所有驱动器,确定即可。
检测方法
1、判定条件
所有驱动器均关闭自动播放”
2、检测操作
关闭自动播放”配置已启用,启用范围:
所有驱动器。
2.10共享文件夹
编号:
1
关闭Windows硬盘默认共享,例如C$,D$。
进入"开始—>运行—>Regedit”,进入注册表编辑器,
更改注册表键值:
在HKLM\System\CurrentControlSet\
下,增力PREG_DWORD类型的
检测方法
1、判定条件
AutoShareServer键,值为0。
HKLM\System\CurrentControlSet\增加了REG_DWORD类型的AutoShareServer键,值为0。
2、检测操作
进入
“开始—>运行—>Regedit”,进入注册表编辑器,更改注册表键
值:
增加
REG_DWORD类型的AutoShareServer键,值为0。
编号:
2
件夹。
进入“控制面板->管理工具->计算机管理”,进入“系统工具—>共享文件夹”:
查看每个共享文件夹的共享权限,只将权限授权于指定账户。
查看每个共享文件夹的共享权限仅限于业务需要,不设置成为
"everyone”。
2、检测操作进入“控制面板->管理工具->计算机管理”,进入“系统工具—>共享文件夹”:
查看每个共享文件夹的共享权限。
2.11使用NTFS文件系统
要求内容
在不毁坏数据的情况下,将FAT分区改为NTFS格式
将FAT卷转换成NTFS分区
操作指南
1、参考配置操作
CONVERTvolume/FS:
NTFS[/V][/CVArea:
filename][/NoSecurity][/X]
Volume指定驱动器号(后面加一个冒号)、装载点或卷名/FS:
NTFS指定要被转换成NTFS的卷/V指定CONVERT应该用详述模式运行
/CvtArea:
filename将根目录中的一个接续文件指定为NTFS系统文件的占位符/NoSecurity指定每个人都可以访问转换的文件和目录的安全设置/X如果必要,先强行卸载卷,有打开的句柄则无效例如:
CovertC:
/FS:
NTFS
备注:
在有其他非WIN系统访问、存在数据共享的情况下,不建
议将FAT分区改为NTFS格式
检测方法
1、判定条件
2、检测操作
2.12会话超时设置(可选)
编号:
1
要求内容
对于远程登录的账户,设置不活动所连接时间15分钟
操作指南
1、参考配置操作
进入“控制面板一管理工具一本地安全策略”,在“安全策略一安
全选项”:
“Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟
检测方法
1、判定条件
“Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟
2、检测操作
进入“控制面板一管理工具一本地安全策略”,在“安全策略一安
全选项”:
查看“Microsoft网络服务器”设置
2.13注册表:
(可选)
编号:
1
操作指南
1、参考配置操作
要求内容
在不影响系统稳定运行的前提下,对注册表信息进行更新。
自动登录:
HKLM\Software\Microsof\WindowsNT\
CurrentVersion'Winlogon\AutoAdminLogon(REG_DWORD)0
源路由欺骗保护:
HKLM\System\CurrentControlSet\
Services\Tcpip\Parameters'DisablelPSourceRouting(REG_DWORD)2
删除匿名用户空链接
HKEYLOCALMACHINE
SYSTEM'Current\Control\Set\Control'Lsa
将restrictanonymous的值设置为1,若该值不存在,可以
自己创建,类型为REG_DWORD
修改完成后重新启动系统生效
碎片攻击保护:
HKLM\System\CurrentControlSet\
Services'Tcpip\Parameters\EnablePMTUDiscovery
(REG_DWORD)1
Synflood攻击保护:
HKLM\System\CurrentControlSet\
Services\Tcpip\Parameters\SynAttackProtect
(REG_DWORD)2
SYN攻击保护-管理TCP半开sockets的最大数目:
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\
TcpMaxHalfOpen(REG_DWORD)100或500
检测方法
1、判定条件
2、检测操作
点击开始->运行,然后在打开行里输入regedit,然后单击确定,查看相关注册表项进行查看;
使用空连接扫描工具无法远程枚举用户名和用户组
附表:
端口及服务
服务名称
端口
服务说明
关闭方法
处置建议]
系统服务部分
echo
7/TCP
RFC862_回声协议
关闭"Simple
TCP/IPServices"月服务。
建议关闭
echo
7/UDP
RFC862_回声协议
discard
9/UDP
RFC863废除协议
discard
9/TCP
RFC863废除协议
daytime
13/UDP
RFC867白天协议
daytime
13/TCP
RFC867白天协议
qotd
17/TCP
RFC865白天协议的
引用
qotd
17/UDP
RFC865白天协议的
引用
chargen
19/TCP
RFC864字符产生协
议
chargen
19/UDP
RFC864字符产生协
议
ftp
21/TCP
文件传输协议(控制)
关闭"FTP
PublishingService"服务。
根据情况选择
开放
smtp
25/TCP
简单邮件发送协议
关闭"SimpleMail
TransportProtocol"服务。
建议关闭
nameserver
42/TCP
WINS主机名服务
关闭"Windows
InternetName
Service"服务。
建议关闭
42/UDP
domain
53/UDP
域名服务器
关闭"DNSServer"
服务。
根据情况选择
开放
53/TCP
根据情况选择
开放
dhcps
67/UDP
DHCP服务器/Internet连接共享
关闭"Simple
TCP/IPServices"月服务。
建议关闭
dhcpc
68/UDP
DHCP协议客户端
关闭"DHCPClient"
服务。
建议关闭
http
80/TCP
HTTP万维网发布服务
关闭"WorldWide
WebPublishing
Service"服务。
根据情况选择
开放
epmap
135/TCP
RPC服务
系统基本服务
无法关闭
135/UDP
无法关闭
netbios-ns
137/UDP
NetBIOS名称解析
在网卡的TCP/IP选项中"WINS"页勾选"禁用TCP/IP上的
NETBIOS"
根据情况选择
开放
netbios-dgm
138/UDP
NetBIOS数据报服务
根据情况选择
开放
netbios-ssn
139/TCP
NetBIOS会话服务
系统基本服务
无法关闭
snmp
161/UDP
SNMP服务
关闭"SNMP“服务
根据情况选择
开放
https
443/TCP
安全超文本传输协议
关闭"WorldWide
WebPublishing
Service"服务
根据情况选择
开放
microsoft-ds
445/UDP
SMB服务器
运行regedit,打开
HKEY_LOCAL_MACHINE\System\CurrentControlSet'Services\NetBT\Parameters添加名为"SMBDeviceEnabled"的子键,类型dword,值为0重新启动计算机
根据情况选择
开放
445/TCP
isakmp
500/UDP
IPSecISAKMP本地
安全机构