系统安全配置技术规范Windows.docx
《系统安全配置技术规范Windows.docx》由会员分享,可在线阅读,更多相关《系统安全配置技术规范Windows.docx(20页珍藏版)》请在冰豆网上搜索。
系统安全配置技术规范Windows
系统安全配置技术规范—Windows
版本
日期
2013-06-03
文档编号
文档发布
212211文档说明
(一)变更信息
版本号
变更日期
变更者
变更理由/变更内容
备注
(二)文档审核人
姓名
职位
签名
日期
1.适用范围
如无特殊说明,本规范所有配置项适用于Windows操作系统2003、2008系列版本。
其中标示为“基本”字样的配置项,均为本公司对此类系统的基本安全配置要求;未标示“基本”字样的配置项,请各系统管理员视实际需求酌情遵从。
2.帐号管理与授权
1
2
2.1【基本】删除或锁定可能无用的帐户
配置项描述
删除或锁定无用的帐户,定期清理无用账户,防止过期用户非法登入操作系统
检查方法
进入“控制面板->管理工具->计算机管理->系统工具->本地用户和组”:
审核不必要的用户和组,审核帐户隶属的组权限,审核组用户。
操作步骤
根据系统的要求和实际业务情况,设定不同的帐户和帐户组,如管理员用户、数据库用户、审计用户、来宾用户等。
删除或锁定与设备运行、维护等与工作无关的帐户
回退操作
回退到原有的配置设置
操作风险
需要确认帐户用途
2.2【基本】按照用户角色分配不同权限的帐号
配置项描述
按照用户角色分配不同权限的帐号,保证用户权限最小化
检查方法
进入“控制面板->管理工具->计算机管理->系统工具->本地用户和组”:
审核用户和组,审核帐户隶属的组权限,审核组用户。
操作步骤
根据系统的要求和实际业务情况,设定不同的帐户和帐户组,如管理员用户、数据库用户、审计用户、来宾用户等。
回退操作
回退到原有的配置设置
操作风险
需要确认帐户用途,确认用户所需权限
2.3【基本】口令策略设置不符合复杂度要求
配置项描述
口令策略设置不符合复杂度要求,口令过于简单,易被黑客破译
检查方法
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”中:
检查“密码必须符合复杂度要求”设置
操作步骤
设置“密码必须符合复杂度要求”已开启
回退操作
回退到原有的配置设置
操作风险
低风险
2.4【基本】设定不能重复使用口令
配置项描述
设定不能重复使用最近5次(含5次)内已使用的口令
检查方法
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”中:
检查“强制密码历史”设置
操作步骤
设置“强制密码历史”大于等于5
回退操作
回退到原有的配置设置
操作风险
低风险
2.5不使用系统默认用户名
配置项描述
administrator、guest等默认帐户使用默认用户名,当攻击者发起穷举攻击时,使用默认用户名,会大大降低攻击者的攻击难度
检查方法
进入“控制面板->管理工具->计算机管理->系统工具->本地用户和组”:
检查administrator、guest是否存在。
操作步骤
administrator、guest重命名
回退操作
回退到原有的配置设置
操作风险
可能导致某些自动登录的服务异常
2.6口令生存期不得长于90天
配置项描述
口令生存期不得长于90天,应定期更改用户口令
检查方法
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”中:
检查“密码最长存留期”设置
操作步骤
设置“密码最长存留期”小于等于90
回退操作
回退到原有的配置设置
操作风险
低风险
2.7设定连续认证失败次数
配置项描述
设定连续认证失败次数超过6次(不含6次)锁定该账号
检查方法
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->帐户锁定策略”中:
检查“帐户锁定阀值”设置
操作步骤
设置“帐户锁定阀值”小于等于6
回退操作
回退到原有的配置设置
操作风险
可能导致恶意尝试锁定帐户
2.8远端系统强制关机的权限设置
配置项描述
将从远端系统强制关机仅指派给Administrators组,避免普通用户拥有额外的系统控制权限
检查方法
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”中:
检查“从远端系统强制关机”设置
操作步骤
设置“从远端系统强制关机”删除除Administrators以外其他项
回退操作
回退到原有的配置设置
操作风险
可能导致某些系统功能异常或应用非正常运行
2.9关闭系统的权限设置
配置项描述
将关闭系统仅指派给Administrators组,避免普通用户拥有额外的系统控制权限
检查方法
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”中:
检查“关闭系统”设置
操作步骤
设置“关闭系统”删除除Administrators以外其他项
回退操作
回退到原有的配置设置
操作风险
可能导致某些系统功能异常或应用非正常运行
2.10取得文件或其它对象的所有权设置
配置项描述
将取得文件或其它对象的所有权设置仅指派给Administrators组,避免普通用户拥有额外的系统控制权限
检查方法
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”中:
检查“取得文件或其它对象的所有权”设置
操作步骤
设置“取得文件或其它对象的所有权”删除除Administrators以外其他项
回退
回退到原有的配置设置
操作风险
可能导致某些系统功能异常或应用非正常运行
2.11将从本地登录设置为指定授权用户
配置项描述
将从本地登录设置为指定授权用户,将登陆权限赋予指定用户
检查方法
进入“控制面板->管理工具->本地安全策略”,在“本地安全策略->用户权利指派”中:
检查“允许在本地登录”设置
操作步骤
设置“允许在本地登录”只保留授权用户,删除其他项
回退操作
回退到原有的配置设置
操作风险
可能导致某些系统功能异常或应用非正常运行
2.12将从网络访问设置为指定授权用户
配置项描述
将从网络访问设置为指定授权用户
检查方法
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”中:
检查“从网络访问”设置
操作步骤
设置“从网络访问”只保留授权用户,删除其他项
回退操作
回退到原有的配置设置
操作风险
可能导致某些系统功能异常或应用非正常运行
3.日志配置要求
3
3.1【基本】审核策略设置中成功失败都要审核
配置项描述
记录系统的所有审核信息,审核策略设置中成功失败都要审核
检查方法
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
查看是否符合操作中提到的各标准
操作步骤
将不符合评估内容项进行加固,安全标准设置如下:
审核策略更改:
成功和失败
审核登录事件:
成功和失败
审核系统事件:
成功和失败
审核帐户登录事件:
成功和失败
审核帐户管理:
成功和失败
审核对象访问:
成功和失败
审核特权使用:
成功和失败
审核目录服务访问:
成功和失败
审核过程跟踪:
失败
其他设置无要求。
回退操作
回退到原有的配置设置
操作风险
开启无用的审核可能降低系统性能并占用一定磁盘空间
3.2【基本】设置日志查看器大小
配置项描述
将应用、系统、安全日志查看器大小设置为至少8192KB
检查方法
进入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中:
(在应用程序日志、安全日志和系统日志上点右键,看属性中的日志大小上限设置,单位为KB。
)
查看是否符合操作中提到的各标准
操作步骤
将不符合评估内容项进行加固,应用日志的容量为8192KB,安全日志的容量为8192KB,系统日志的容量为8192KB,设置当达到最大的日志大小时,“按需要覆盖事件”。
并且用户有流程定期转存日志
回退操作
回退到原有的配置设置
操作风险
低风险
4.IP协议安全要求
4
4.1开启TCP/IP筛选
配置项描述
对于不自带windows防火墙的系统,需开启TCP/IP筛选,切只能开放业务所需要的TCP、UDP端口和IP协议
检查方法
先请系统管理员出示业务所需端口列表。
进入“控制面板->网络连接->本地连接->Internet协议(TCP/IP)属性->高级TCP/IP设置”,在“选项”的属性中启用网络连接上的TCP/IP筛选,根据列表查看是否只开放业务所需要的TCP、UDP端口和IP协议。
操作步骤
注意异常端口,与管理员追查异常端口相关项。
对没有自带防火墙的Windows系统,启用Windows系统的IP安全机制(IPSec)或网络连接上的TCP/IP筛选,只开放业务所需要的TCP、UDP端口和IP协议。
回退操作
回退到原有的配置设置
操作风险
必须正确设置网络访问控制策略,否则可能导致某些应用无法正常访问网络
4.2启用防火墙
配置项描述
启用Windows自带防火墙,且根据业务需要限定允许访问网络的应用程序,和允许远程登陆该设备的IP地址范围
检查方法
进入“控制面板->网络连接->本地连接”,在高级选项的设置中,查看是否启用Windows防火墙。
查看是否在“例外”中配置允许业务所需的程序接入网络。
查看是否在“例外->编辑->更改范围”编辑允许接入的网络地址范围。
操作步骤
将不符合评估内容项进行加固,启用Windows自带防火墙。
根据业务需要限定允许访问网络的应用程序,和允许远程登陆该设备的IP地址范围。
回退操作
回退到原有的配置设置
操作风险
必须正确设置网络访问控制策略,否则可能导致某些应用无法正常访问网络
4.3启用SYN攻击保护
配置项描述
启用SYN攻击保护,当攻击者发起SYN攻击时,避免CPU和内存资源被过度消耗
检查方法
在“开始->运行->键入regedit”。
启用SYN攻击保护的命名值位于注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services之下:
值名称:
SynAttackProtect
Windows2000推荐值:
2
Windows2003推荐值:
1
以下部分中的所有项和值均位于注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services之下:
指定必须在触发SYNflood保护之前超过的TCP连接请求阈值:
值名称:
TcpMaxPortsExhausted
推荐值:
5
启用SynAttackProtect后,该值指定SYN_RCVD状态中的TCP连接阈值,超过SynAttackProtect时,触发SYNflood保护:
值名称:
TcpMaxHalfOpen
推荐值数据:
500
启用SynAttackProtect后,指定至少发送了一次重传的SYN_RCVD状态中的TCP连接阈值,超过SynAttackProtect时,触发SYNflood保护:
值名称:
TcpMaxHalfOpenRetried
推荐值数据:
400
操作步骤
1、备份注册表原有的配置设置
2、将不符合评估内容项进行加固,启用SYN攻击保护:
指定触发SYN洪水攻击
升级会员 