windows操作系统安全配置要求.docx
《windows操作系统安全配置要求.docx》由会员分享,可在线阅读,更多相关《windows操作系统安全配置要求.docx(6页珍藏版)》请在冰豆网上搜索。
![windows操作系统安全配置要求.docx](https://file1.bdocx.com/fileroot1/2022-12/31/a4a35687-1085-4b85-8bad-01ee7b0a762f/a4a35687-1085-4b85-8bad-01ee7b0a762f1.gif)
windows操作系统安全配置要求
windows操作系统安全配置要求
一、账户管理
1、管理缺省账户
安全基线要求:
重命名管理员账户Administrator,禁用来宾账户Guest。
检测操作参考:
进入“控制面板->管理工具->计算机管理”,进入“系统工具->本地用户和组->用户”中:
1)查看账户中是否包含Administrator;2)选择Guest,鼠标右键->属性。
2、删除与工作无关的账户
安全基线要求:
删除或锁定与工作无关的账户,提高系统帐户安全。
检测操作参考:
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组->用户”:
1)删除无关账户:
鼠标右键->删除;2)禁用无关账户:
鼠标右键->属性->勾选“账户已禁用”。
二、口令管理
1、密码复杂度
安全基线要求:
密码复杂度要求:
至少包含以下四种类别的字符中的三种:
英文大写字母(A到Z)英文小写字母(a到z)阿拉伯数字(0到9)非字母字符(例如!
、$、#、%)。
检测操作参考:
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略->密码必须符合复杂性要求”,鼠标右键->属性->选择“已启用“。
2、密码长度最小值
安全基线要求:
最短密码长度8位。
检测操作参考:
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略->密码长度最小值”,鼠标右键->属性->8->确定。
3、密码最长使用期限
安全基线要求:
对于采用静态口令认证技术的设备,账户口令生存期不长于90天。
检测操作参考:
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略->密码最长使用期限”,鼠标右键->属性->90->确定。
4、强制密码历史
安全基线要求:
对于采用静态口令认证技术的设备,应配置设备使用户不能重复使用最近5次(含5次)内已使用的口令。
检测操作参考:
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略->强制密码历史”,鼠标右键->属性->5->确定。
5、账户锁定阈值
安全基线要求:
对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账户。
检测操作参考:
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->账户锁定策略->帐户锁定阈值”,鼠标右键->属性->6->确定。
三、认证授权
1、远程强制关机授权
安全基线要求:
远程系统强制关机只指派给Administrators组。
检测操作参考:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派->从远程
系统强制关机”,鼠标右键->属性->设置为“只指派给Administrtors组”。
2、关闭系统授权
安全基线要求:
本地系统强制关机只指派给Administrators组。
检测操作参考:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派->关闭系统”,鼠标右键->属性->设置为“只指派给Administrtors组”。
3、文件所有权授权
安全基线要求:
“取得文件或其它对象的所有权“只指派给Administrators组
检测操作参考:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派->取得文件或其它对象的所有权”,鼠标右键->属性->设置为“只指派给Administrtors组”。
四、日志审计
1、审核登录
安全基线要求:
应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账户,登录是否成功,登录时间,以及远程登录时使用的IP地址。
检测操作参考:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略->审核登录事件”,鼠标右键->属性->勾选“成功”与“失败”两项。
2、审核策略更改
安全基线要求:
启用对Windows系统的审核策略更改,成功与失败都要审核。
检测操作参考
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略->审核策略更改”,鼠标右键->属性->勾选“成功”与“失败”两项。
3、审核对象访问
安全基线要求:
启用对Windows系统的审核对象访问,成功与失败都要审核。
检测操作参考:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略->审核对象访问”,鼠标右键->属性->勾选“成功”与“失败”两项。
4、审核目录服务访问
安全基线要求:
启用对Windows系统的审核目录服务访问,成功与失败都要审核。
检测操作参考:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略->审核目录服务访问”,鼠标右键->属性->勾选“成功”与“失败”两项。
5、审核特权使用
安全基线要求:
启用对Windows系统的审核特权使用,成功与失败都要审核。
检测操作参考:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略->审核特权使用”,鼠标右键->属性->勾选“成功”与“失败”两项。
6、审核系统事件
安全基线要求:
启用对Windows系统的审核系统事件,成功与失败都要审核。
检测操作参考:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略->审核系统事件”,鼠标右键->属性->勾选“成功”与“失败”两项。
7、审核帐户管理
安全基线要求:
启用对Windows系统的审核帐户管理,成功与失败都要审核。
检测操作参考:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略->审核帐户管理”,鼠标右键->属性->勾选“成功”与“失败”两项。
8、审核过程追踪
安全基线要求:
启用对Windows系统的审核过程追踪,失败需要审核。
检测操作参考:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略->审核过程追踪”,鼠标右键->属性->勾选”失败”。
9、日志文件大小
安全基线要求:
设置日志容量和覆盖规则,保证日志存储。
检测操作参考:
进入“控制面板->管理工具->事件查看器”,在事件查看器(本地)中:
1)在“应用程序”的属性中,“日志大小上限”设置为“40960KB”,“达到日志大小上限时“,选择“按需要覆盖事件”;2)在“系统”属性中,“日志大小上限”设置为“40960KB”,“达到日志大小上限时“,选择“按需要覆盖事件”;3)在“安全性”属性中,“日志大小上限”设置为“40960KB”,“达到日志大小上限时“,选择“按需要覆盖事件”。
五、协议安全
1、启用系统自带防火墙
安全基线要求:
启用系统自带防火墙
安全判定依据:
进入“控制面板->Windows防火墙”,查看是否设置为“启用”。
2、开启TCP/IP筛选
安全基线要求:
开启TCP/IP筛选,过滤不必要的端口,提高系统安全性。
检测操作参考:
1)系统管理员列出业务所需端口,根据列表只开放与业务相关端口;2)进入“控制面板->网络连接->本地连接->鼠标右键->属性->Internet协议->属性->高级->选项->TCP/IP筛选->属性”,鼠标左键双击选择”启用TCP/IP筛选”,只开放业务所需要的TCP,UDP端口和IP协议。
3、启用SYN攻击保护设置
安全基线要求:
启用SYN攻击保护,提高系统安全性。
检测操作参考:
开始->运行->regedit.exe,进入注册表:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters下,新建”DWORD值”,名称为”TcpMaxPortsExhausted”,推荐值为5;HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters下,新建”DWORD值”,值名称为”TcpMaxHalfOpen”,推荐值为500;HKEY_LOCAL_MACHINE\System\
CurrentControlSet\Services\Tcpip\Parameters下,新建”DWORD值”,值名称为”TcpMaxHalfOpenRetried”,推荐值为400。
4、设置网络服务器挂起时间
安全基线要求:
设置网络服务器挂起时间,防止用户忘记锁定机器被非法利用。
检测操作参考:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项->Microsoft网络服务器:
在挂起会话前所需的空闲时间”,鼠标右键->属性->15->确定。
六、系统服务
1、修改SNMP服务密码
安全基线要求:
如需启用SNMP服务,则修改默认SNMPCommunityString。
检测操作参考:
进入“控制面板->管理工具->服务”,找到“SNMPService”,右键打开“属性”面板中的“安全”选项卡,在这个配置界面中修改communitystrings。
2、关闭自动播放功能
安全基线要求:
关闭Windows自动播放,防止从移动设备(或光盘)感染恶意代码。
检测操作参考:
1)对于WindowsXP与Windows2003,开始->运行->gpedit.msc,打开组策略编辑器,选择“计算机配置->管理模板->系统->关闭自动播放“,查看其状态。
2)对于Windows7与Windows2008,开始->运行->gpedit.msc,打开组策略编辑器,在“计算机配置->管理模板->Windows组件->自动播放策略”中选择“关闭自动播放”,查看其状态。
七、补丁与防护软件
1、系统安全补丁管理
安全基线要求:
所有联网桌面计算机统一部署桌面安全管理软件,由该软件统一进行系统安全补丁更新。
检测操作参考:
按照集团公司信息管理部要求,地区公司自行组织,集中部署桌面安全管理系统,监督未部署的桌面计算机并进行整改,保证所有联网计算机全部安装统一的桌面安全管理系统软件。
服务器安装补丁前应进行测试。
2、防病毒管理
安全基线要求:
所有联网终端计算机统一部署中国石油统一部署的防病毒软件,在中国石油网络内杜绝个人行为的安装第三方防病毒软件。
八、共享文件夹及访问权限
1、关闭默认共享
安全基线要求:
在非域环境下,关闭windows硬盘默认共享,例如C$,D$。
检测操作参考:
开始->运行->regedit.exe,进入注册表编辑器,更改注册表键值:
HKEY_LOCAL_MACHINE\System\CurrentControlSet
\Services\LanmanServer\Parameters\下,增加REG_DWORD类型的AutoShareServer键,值为0。
2、设置共享文件夹访问权限
安全基线要求:
设置共享文件夹访问权限,只允许授权的账户拥有权限共享此文件夹。
检测操作参考:
进入“控制面板->管理工具->计算机管理”,在“系统工具->共享文件夹”下,查看每个共享文件夹的共享权限,只将权限授权于指定账户。
九、远程维护
1、远程协助安全管理
安全基线要求:
如果特别需要,建议关闭远程协助。
检测操作参考:
鼠标右键点击“我的电脑”,选择“属性”,选择“远程”标签,取消”允许从这台计算机发起远程协助邀请”的勾选。
2、远程桌面安全管理
安全基线要求:
终端计算机如无特别需要,建议关闭远程桌面。
检测操作参考:
鼠标右键点击“我的电脑”,选择“属性”,选择“远程”标签,取消”允许用户远程连接到此计算机”的勾选。
十、其它
1、数据执行保护
安全基线要求:
配置系统核心的数据执行保护,提高系统抵抗非法修改文件的性能。
检测操作参考
进入“控制面板->系统”,在“高级”选项卡的“性能”下点击设置,选择“数据执行保护”选项卡,选择“仅为基本Windows操作系统程序和服务启用DEP”。