办公终端桌面安全管理办法.docx
《办公终端桌面安全管理办法.docx》由会员分享,可在线阅读,更多相关《办公终端桌面安全管理办法.docx(11页珍藏版)》请在冰豆网上搜索。
办公终端桌面安全管理办法
《学院办公终端桌面安全管理办法》
(1)总则
第一条本文档的编写是为了明确学院的办公终端桌面系统的安全配置,避免由于终端的配置不当而引发安全事故,从而保障学院的教务系统业务的安全进行。
第二条本文件主要针对学院的终端桌面命名管理,终端桌面系统的系统配置、系统使用安全管理等内容。
第三条本文档适用于学院下属院系的办公终端管理。
(2)系统安装配置
第四条系统安装和更新。
当前学院终端使用Windows操作系统,该系统由学院的终端管理部门统一负责安装,遵循如下安全要求:
第五条系统安装和更新
第六条安全设置
第七条系统安装情况
第八条设置成NTFS磁盘格式
第十条依据最小原则安装组件
第十二条在不影响正常工作的前提下,安装时确保系统处于当前稳定的、最新的补丁状态
第十三条
第十四条账户及密码控制。
对终端桌面系统的账户,须采取如下安全策略:
第十五条
操作系统账户
第十六条
管理模式
第十七条
设置要求
第十八条
Guest
第十九条
统一终端管理/用户自行管理
第二十条
禁用Guest账户
第二十一条
管理员账户
第二十二条
统一终端管理
第二十三条
重命名,不使用
第二十五条
用户自行管理
第二十六条
不建议使用原账户,建议用户自建管理员账户
第二十七条
用户(User)账户
第二十八条
统一终端管理
第二十九条
建立账户,供用户使用
第三十一条
用户自行管理
第三十二条
不建议设置任何用户账户
第三十三条终端操作系统密码策略中设置密码要求如下:
第三十四条
密码策略
第三十五条
默认设置
第三十六条
最低设置
第三十七条
强制执行密码历史记录
第三十八条
记住1个密码
第三十九条
记住24个密码
第四十条
密码最长期限
第四十一条
42天
第四十二条
42天
第四十三条
密码最短期限
第四十四条
0天
第四十五条
1天
第四十六条
最短密码长度
第四十七条
0个字符
第四十八条
8个字符
第四十九条
密码必须符合复杂性要求
第五十条
禁用
第五十一条
启用且设置为8个字符
第五十二条
为域中所有用户使用可还原的加密来储存密码
第五十三条
禁用
第五十四条
禁用
第五十五条软件安装管理。
在终端系统安装时,须同时为终端用户安装好学院教育信息化推进处认可的办公所必须的软件。
第五十六条开启服务设置。
在终端系统安装时,须关闭终端用户所不需要的服务,依据需要,进行如下设置:
第五十七条
系统服务
第五十八条
说明
第五十九条
默认值
第六十条
缺省设置要求
第六十一条
ApplicationManagement
第六十二条
提供指派、发行、以及移除的软件安装服务
第六十三条
手动
第六十四条
禁用
第六十五条ApplicationLayerGatewayService
第六十六条提供因特网联机共享和因特网联机防火墙的第三方通讯协议插件的支持
第六十七条
手动
第六十八条
禁用
第六十九条
ClipBook
第七十条
启用剪贴簿检视器以储存信息并与远程计算机共享。
如果这个服务被停止,剪贴簿检视器将无法与远程计算机共享信息
第七十一条
禁用
第七十二条
禁用
第七十三条
DistributedLinkTrackingClient
第七十四条
维护计算机中或网络网域不同计算机中NTFS档案间的连结
第七十五条
自动/已启动
第七十六条
禁用
第七十七条
Messenger
第七十八条
在客户端服务器之间传输网络传送及Alerter服务讯息,与WindowsMessenger无关
第七十九条
禁用
第八十条
禁用
第八十一条
RemoteRegistryService
第八十二条
使远程用户能修改此计算机上的注册表设置
第八十三条
自动/已启动
第八十四条
禁用
第八十五条
Telephony
第八十六条
提供TAPI的支持,以便程序控制本地计算机,服务器以及LAN上的电话设备和基于IP的语音连接
第八十七条
手动
第八十八条
禁用
第八十九条
TerminalServices
第九十条
允许多位用户连接并控制一台机器,并且在远程计算机上显示桌面和应用程序
第九十一条
禁用
第九十二条
禁用
第九十三条
Telnet
第九十四条
允许远程用户登录到此计算机并运行程序,并支持多种TCP/IPTelnet客户,包括基于UNIX和Windows的计算机
第九十五条
禁用
第九十六条
禁用
第九十七条终端系统默认共享和关闭管理共享,如C$,D$,IPC$等。
通过注册表进行关闭共享的设置方式如下:
第九十八条HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters项中:
第九十九条将AutoShareServer值改为0,以关闭硬盘各分区的共享;
第一百条将AutoShareWks值改为0,以关闭admin$共享。
第一百零一条HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa项中,将restrictanonymous改为1,以关闭IPC$共享。
第一百零二条系统日志配置。
终端系统的系统日志策略,须设置安全要求如下:
第一百零三条日志记录
第一百零四条设置
第一百零五条安全日志的保存天数
第一百零六条>=90天
第一百零七条安全日志的最大值
第一百零八条80M
第一百零九条系统日志的保存天数
第一百一十条>=90天
第一百一十一条系统日志的最大值
第一百一十二条80M
第一百一十三条应用日志保存天数
第一百一十四条>=90天
第一百一十五条应用日志的最大值
第一百一十六条80M
第一百一十七条安全选项设置。
对终端操作系统设置其安全选项,具体设置如下:
第一百一十八条安全选项
第一百一十九条说明
第一百二十条默认设置
第一百二十一条设置要求
第一百二十二条
账户:
来宾账户状态
第一百二十三条
该账户允许未经身份验证的网络用户以没有密码的“Guest”身份登录,从而获得访问系统的权限
第一百二十四条
启用
第一百二十五条
禁用
第一百二十六条
账户:
重命名管理员账户
第一百二十七条
重命名该账户会使那些XX的人更难猜测这个具有特权的用户名和密码组合
第一百二十八条
Administrator
第一百二十九条
指定新名称来重命名
第一百三十条
Administrator账户
第一百三十一条设备:
允许不登录移除
第一百三十二条如果启用此设置,则意味着任何人只要能够物理访问放置在其扩展坞中的计算机,就都可以移除该计算机并有可能损害它
第一百三十三条启动
第一百三十四条禁用
第一百三十五条设备:
允许格式化和弹出可移动媒体
第一百三十六条用户可以将可移动磁盘移到他们具有管理特权的另一台计算机上,然后,可以获取任何文件的所有权,授予自己完全控制权限,查看或修改任何文件
第一百三十七条默认:
第一百三十八条Administrators
第一百三十九条设置为
第一百四十条“Administrators”
第一百四十一条设备:
只有本地登录的用户才能访问CD–ROM
第一百四十二条在某人登录到系统的本地控制台时,禁止网络用户同时访问驱动器
第一百四十三条禁用
第一百四十四条启用
第一百四十五条交互式登录:
不显示上次的用户名
第一百四十六条能够访问控制台的攻击者(例如,能够物理访问的人或者能够通过终端服务连接到服务器的人)可以查看上次登录到服务器的用户的名称
第一百四十七条禁用
第一百四十八条启用
第一百四十九条交互式登录:
不需要按Ctrl+Alt+Del
第一百五十条不必按Ctrl+Alt+Del组合键会使用户很容易受到尝试截获其密码的攻击
第一百五十一条启用
第一百五十二条禁用
第一百五十三条交互式登录:
可被缓存的前次登录个数(在域控制器不可用的情况下)
第一百五十四条能够访问服务器文件系统的攻击者可以查找这个缓存信息,并使用暴力攻击确定用户密码
第一百五十五条10
第一百五十六条设置为“0”
第一百五十七条交互式登录:
在密码到期前提示用户更改密码
第一百五十八条用户将需要关于其密码即将过期的警告,否则他们会无意中因系统锁定而无法登录
第一百五十九条14天
第一百六十条设置为“14天”
第一百六十一条Microsoft网络服务器:
在挂起会话之前所需的空闲时间
第一百六十二条每个SMB会话都消耗服务器资源。
如果建立大量空会话,将减慢服务器或者有可能使服务器崩溃。
攻击者可以重复建立SMB会话,直到服务器停止响应。
SMB服务将变得非常慢或不响应
第一百六十三条15分钟
第一百六十四条设置为值
第一百六十五条“15分钟”
第一百六十六条网络访问:
限制匿名访问命名管道和共享
第一百六十七条空会话是一种缺陷,通过环境中计算机上的各种共享可以利用这种缺陷
第一百六十八条启用
第一百六十九条启用
第一百七十条关机:
允许系统在未登录前关机
第一百七十一条攻击者或被误导的用户可能通过终端服务连接到服务器,并在未验证自己身份前关闭服务器或重新启动它
第一百七十二条禁用
第一百七十三条禁用
第一百七十四条关机:
清除虚拟内存页面文件
第一百七十五条攻击者会将系统卷移到另一台计算机,然后分析页面文件的内容
第一百七十六条禁用
第一百七十七条启用
第一百七十八条审核策略设置。
终端操作系统的审核策略进行配置,如下所示:
第一百七十九条审核策略
第一百八十条说明
第一百八十一条默认设置
第一百八十二条设置要求
第一百八十三条审核策略:
审核策略更改
第一百八十四条跟踪用户权限分配、审核策略以及信任策略等安全策略的更改。
第一百八十五条无审核
第一百八十六条成功和失败
第一百八十七条审核策略:
审核登录事件
第一百八十八条跟踪用户的登录和注销以及打开的网络连接,同时记录登录请求的类型(交互式登录、网络登录或者服务)。
第一百八十九条无审核
第一百九十条成功和失败
第一百九十一条审核策略:
审核对象访问
第一百九十二条追踪对对象(例如目录、文件、打印机)的失败访问,其中个别对象的审核不是自动的,需要在对象的属性中打开。
第一百九十三条无审核
第一百九十四条失败
第一百九十五条审核策略:
审核过程跟踪
第一百九十六条审核例如程序激活和退出等事件。
第一百九十七条无审核
第一百九十八条成功和失败
第一百九十九条审核策略:
审核目录服务访问
第二百条审核用户访问那些指定自己的SACL(systemaccesscontrollist,系统访问控制列表)的活动目录对象的事件。
第二百零一条没有定义
第二百零二条成功和失败
第二百零三条审核策略:
审核特权使用
第二百零四条审核使用特权失败的事件以及给用户指派特权的事件。
本策略会审核用户的所有权限,除了跳过遍历检查、调试程序、创建标记对象、替换进程级别标记、生成安全审核、备份文件和目录、还原文件和目录。
第二百零五条无审核
第二百零六条失败
第二百零七条审核策略:
审核系统事件
第二百零八条跟踪所有影响到整个系统或者审核日志的事件,记录例如冲启动或者关机之类的事件。
第二百零九条无审核
第二百一十条成功和失败
第二百一十一条审核策略:
审核账户登录事件
第二百一十二条用来审核每一个登录和注销本机的用户实例。
第二百一十三条无审核
第二百一十四条成功和失败
第二百一十五条审核策略:
审核账户管理
第二百一十六条审核安全账户数据库的变动(例如账户的创建、改变和删除)。
第二百一十七条无审核
第二百一十八条成功和失败
(3)系统使用配置
第十一条网络配置管理。
所有要接入局办公局域网的计算机,必须经信息科审批后办理登记手续,再由信息科进行安全检查、安装桌面管理系统、病毒防范系统及IP地址的分配并进行标注(标注内容:
科室、使用人、内外网IP地址、MAC地址)方可接入使用。
第十二条软件安全配置和管理。
●防病毒软件更新,终端桌面系统必须安装防病毒软件,该软件须设置为自动更新的模式。
●终端桌面系统必须安装第三方防火墙软件,该软件须设置为自动更新的模式。
●终端桌面使用Internet浏览器须安装最新版本,并及时更新补丁,使浏览器能够抵抗最新的攻击和破坏。
第十三条日常安全配置。
(1)设置屏保及屏保密码。
终端桌面须设置屏幕保护,并达到如下安全要求:
●屏幕保护必须开启;
●屏幕保护开启时间小于15分钟;
●屏幕恢复时启用屏保密码,使得必须输入密码才可重新登录系统。
(2)共享开放设置。
用户可依据自身需要,开启安全共享,共享开启须设置如下安全要求:
●有条件开启共享文件夹,仅当需要时才开启;
●文件夹共享时应设置相应权限,例如仅提供文件共享,则只开启读的权限;如有必要,隐藏共享文件夹,避免网上邻居列出;
●文件夹共享后,应及时关闭共享。
(4)附则
第十四条本文件适用于学院安装了Windows操作系统的终端电脑。
第十五条本文件的解释权归学院教育信息化推进处,自通过之日起实行。
升级会员 