WINDOWS操作系统安全规范手册.docx
《WINDOWS操作系统安全规范手册.docx》由会员分享,可在线阅读,更多相关《WINDOWS操作系统安全规范手册.docx(28页珍藏版)》请在冰豆网上搜索。
WINDOWS操作系统安全规范手册
WINDOWS操作系统安全规范手册
部门:
版本:
密级:
作者:
步骤
清单
说明
账号管理、认证授权
账号管理:
1.
按照用户分配账号。
根据系统的要求,设定不冋的账户和账户组,管理员用户,数据库用户,审计用户,来宾用户等。
2.
删除或锁定与设备运行、维护等与工作无关的账号。
3.
对于管理员帐号,要求更改缺省帐户名称;禁用guest(来宾)帐
号。
4.
最短密码长度8个字符,启用本机组策略中密码必须符合复杂性要求的策略。
例:
DFKJo*#rDFK
5.
在下一次更改密码时不存储LAN管理器哈希值(已启用)
6.
对于米用静态口令认证技术的设备,账户口令的生存期不长于90
天。
7.
对于米用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令。
8.
对于米用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。
9.
对于远程登陆的帐号,设置不活动断连时间15分钟。
认证授权:
10.
在本地安全设置中从远端系统强制关机只指派给Administrators
组。
11.
在本地安全设置中关闭系统仅指派给Administrators组。
12.
在本地安全设置中取得文件或其它对象的所有权仅指派给
Administrators。
13.
在本地安全设置中配置指定授权用户允许本地登陆此计算机。
14.
在组策略中只允许授权帐号从网络访问(包括网络共享等,但不
包括终端服务)此计算机。
日志配置操作
1.
设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。
2.
审核登录事件,双击,设置为成功和失败都审核。
3.
设置应用日志文件大小至少为8192KB,设置当达到最大的日志
尺寸时,按需要改写事件。
IP协议安全配置操作
1.
对没有自带防火墙的Windows系统,启用Windows系统的IP
安全机制(IPSec)或网络连接上的TCP/IP筛选,只开放业务所需要的TCP,UDP端口和IP协议。
2.
启用WindowsXP和Windows2003自带防火墙。
根据业务需要限定允许访问网络的应用程序,和允许远程登陆该设备的IP地址
范围。
3.启用SYN攻击保护;指定触发SYN洪水攻击保护所必须超过的
TCP连接请求数阀值为5;指定处于SYN_RCVD状态的TCP连接数的阈值为500;指定处于至少已发送一次重传的
SYN_RCVD状态中的TCP连接数的阈值为400。
共享文件夹及访冋权限
1.非域环境中,关闭Windows硬盘默认共享,例如C$,D$。
2.查看每个共享文件夹的共享权限,只允许授权的账户拥有权限共享此文件夹。
补丁管理
1.应安装最新的ServicePack补丁集。
对服务器系统应先进行兼容性测试。
2.应安装最新的Hotfix补丁。
对服务器系统应先进行兼容性测试。
IIS设置管理
1.禁止下载Access数据库、删除其他扩展名。
2.卸载不安全的IIS组件。
3.修改脚本错误出现的错误信息。
4.多站点设置最低权限独立IIS用户运行。
5.取消网站目录不必要写入权限目录。
6.禁止不需要运行脚本权限目录。
应用软件配置
1.禁止安装Radmin,任何用户均可获得HASH直接登陆系统。
2.禁止安装Serv-U,任何版本均存在本地提权安全漏洞,必要时修
改Serv-U运行权限,修改Serv-U默认密码
3.WinRAR版本应为当前最新版本。
4.SQLSERVER安装版本不得低于SQL2000SP4/SQL2005SP2。
3.禁止在SQLServer中远程通过sa帐号连接数据库服务器。
附送,配置操作步骤,有经验的可以跳过。
1.1账号口令
要求内容
按照用户分配账号。
根据系统的要求,设定不冋的账户和账户组,
管理员用户,数据库用户,审计用户,来宾用户等。
操作指南
1、参考配置操作
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:
根据系统的要求,设定不冋的账户和账户组,管理员用户,数据库用户,审计用户,来宾用户。
检测方法
1、判定条件
结合要求和实际业务情况判断符合要求,根据系统的要求,设定不
同的账户和账户组,管理员用户,数据库用户,审计用户,来宾用户。
2、检测操作
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:
查看根据系统的要求,设定不冋的账户和账户组,管理员用户,数据库用户,审计用户,来宾用户。
编号:
安全要求-设备-WINDOWS-配置-2-可选
要求内容
删除或锁定与设备运行、维护等与工作无关的账号。
操作指南
1、参考配置操作
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用
户和组”:
删除或锁定与设备运行、维护等与工作无关的账号。
检测方法
1、判定条件
结合要求和实际业务情况判断符合要求,删除或锁定与设备运行、
维护等与工作无关的账号。
2、检测操作
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用
户和组”:
查看是否删除或锁定与设备运行、维护等与工作无关的账号。
要求内容
对于管理员帐号,要求更改缺省帐户名称;禁用guest(来宾)帐
号。
操作指南
1、参考配置操作
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:
Administrator—>属性一>更改名称
Guest帐号->属性—>已停用
检测方法
1、判定条件
缺省账户Administrator名称已更改。
Guest帐号已停用。
2、检测操作
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:
缺省帐户一>属性一>更改名称
Guest帐号->属性—>已停用
要求内容
最短密码长度6个字符,启用本机组策略中密码必须符合复杂性要求的策略。
即密码至少包含以下四种类别的字符中的三种:
英语大写字母A,B,C,
央语小与字母a,b,c,
西方阿拉伯数字0,1,2,
非字母数字字符,如标点符号,
…Z
...z
…9
@,#,$,%,&,*等
操作指南
1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码
策略”:
“密码必须符合复杂性要求”选择“已启动”
检测方法
1、判定条件
“密码必须符合复杂性要求”选择“已启动”
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码
策略”:
查看是否“密码必须符合复杂性要求”选择“已启动”
要求内容
在下一次更改密码时不存储LAN管理器哈希值
操作指南
1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项”:
“网络安全:
在下一次更改密码时不存储LAN管理器哈希值”选
择“已启用”
选择后操作修改本地用户密码
检测方法
1、判定条件
“网络安全:
在下一次更改密码时不存储LAN管理器哈希值”选
择“已启用”,
要求内容
对于米用静态口令认证技术的设备,账户口令的生存期不长于90
天。
操作指南
1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码
策略”:
“密码最长存留期”设置为“90天”
检测方法
1、判定条件
“密码最长存留期”设置为“90天”
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码
策略”:
查看是否“密码最长存留期”设置为“90天”
要求内容
对于米用静态口令认证技术的设备,应配置设备,使用户不能重复
使用最近5次(含5次)内已使用的口令。
操作指南
1、参考配置操作
进入“控制面板->管理工具->本地安全策略'
',在“帐户策略->密码
策略”:
“强制密码历史”设置为“记住5个密码”
检测方法
1、判定条件
“强制密码历史”设置为“记住5个密码”
2、检测操作
进入“控制面板->管理工具->本地安全策略'
',在“帐户策略->密码
策略”:
查看是否“强制密码历史”设置为“记住
5个密码”
要求内容
对于米用静态口令认证技术的设备,应配置当用户连续认证失败次
数超过6次(不含6次),锁定该用户使用的账号。
操作指南
1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->帐户
锁定策略”:
“账户锁定阀值”设置为6次
检测方法
1、判定条件
“账户锁定阀值”设置为小于或等于6次
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->帐户锁定策略”:
查看是否“账户锁定阀值”设置为小于等于
1.1.1授权
要求内容
在本地安全设置中从远端系统强制关机只指派给组。
Administrators
操作指南
1、参考配置操作
进入“控制面板->管理工具->本地安全策略”
,在“本地策略->用
户权利指派”:
“从远端系统强制关机”设置为“只指派给
Administrators组”
检测方法
1、判定条件
“从远端系统强制关机”设置为“只指派给
Administrtors组”
2、检测操作
进入“控制面板->管理工具->本地安全策略”
,在“本地策略->用
户权利指派”:
查看是否“从远端系统强制关机”
设置为“只指派给
Administrators组”
要求内容
在本地安全设置中关闭系统仅指派给Administrators组。
操作指南
1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用
户权利指派”:
关闭系统设置为只指派给Administrators组
检测方法
1、判定条件
关闭系统设置为只指派给Administrators组
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用
户权利指派”:
查看关闭系统设置为只指派给Administrators组
要求内容
在本地安全设置中取得文件或其它对象的所有权仅指派给
Administrators。
操作指南
1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用
户权利指派”:
“取得文件或其它对象的所有权”设置为“只指派给
Administrators组”
检测方法
1、判定条件
“取得文件或其它对象的所有权”设置为“只指派给
Administrators组”
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用
户权利指派”:
查看是否“取得文件或其它对象的所有权”设置为“只指派给
Administrators组”
要求内容
在本地安全设置中配置指定授权用户允许本地登陆此计算机。
操作指南
1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用
户权利指派”
“从本地登陆此计算机”设置为“指定授权用户”
检测方法
1、判定条件
“从本地登陆此计算机”设置为“指定授权用户”
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用
户权利指派”
查看是否“从本地登陆此计算机”设置为“指定授权用户”
要求内容
在组策略中只允许授权帐号从网络访问(包括网络共享等,但不包
括终端服务)此计算机。
操作指南
1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用
户权利指派”
“从网络访问此计算机”设置为“指定授权用户”
检测方法
1、判定条件
“从网络访问此计算机”设置为“指定授权用户”
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用
户权利指派”
查看是否“从网络访问此计算机”设置为“指定授权用户”
要求内容
设置应用日志文件大小至少为8192KB,设置当达到最大的日志尺
1.2日志配置操作
要求内容
设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。
操作指南
1、参考配置操作
开始->运行->执行“控制面板->管理工具->本地安全策略->审核
策略”
审核登录事件,双击,设置为成功和失败都审核。
检测方法
1、判定条件
审核登录事件,设置为成功和失败都审核。
2、检测操作
开始->运行->执行“控制面板->管理工具->本地安全策略->审核
策略”
审核登录事件,双击,查看是否设置为成功和失败都审核。
要求内容设置应用日志文件大小至少为8192KB,设置当达到最大的日志尺
寸时,按需要改写事件。
操作指南
1、参考配置操作
进入“控制面板->管理工具->事件查看器”
地)”中:
,在“事件查看器(本
“应用日志”属性中的日志大小设置不小于到最大的日志尺寸时,“按需要改写事件”
“8192KB”,设置当达
检测方法
1、判定条件
“应用日志”属性中的日志大小设置不小于到最大的日志尺寸时,“按需要改写事件”2、检测操作
“8192KB”,设置当达
进入“控制面板->管理工具->事件查看器”
地)”中:
,在“事件查看器(本
查看是否“应用日志”属性中的日志大小设置不小于“8192KB”,
设置当达到最大的日志尺寸时,“按需要改写事件”
要求内容
设置系统日志文件大小至少为8192KB,设置当达到最大的日志尺
寸时,按需要改写事件。
操作指南
1、参考配置操作
进入“控制面板->管理工具->事件查看器”,在“事件查看器(本
地)”中:
系统日志属性中的日志大小设置不小于8192KB,设置当达
到最大的日志尺寸时,“按需要改写事件”
检测方法
1、判定条件
“系统日志”属性中的日志大小设置不小于“8192KB”,设置当
达到最大的日志尺寸时,“按需要改写事件”
2、检测操作
进入“控制面板->管理工具->事件查看器”,在“事件查看器(本
地)”中:
查看是否“系统日志”属性中的日志大小设置不小于“8192KB”,
要求内容
设置安全日志文件大小至少为8192KB,设置当达到最大的日志尺
寸时,按需要改写事件。
操作指南
1、参考配置操作
进入“控制面板->管理工具->事件查看器”,在“事件查看器(本
地)”中:
安全日志属性中的日志大小设置不小于8192KB,设置当达
到最大的日志尺寸时,“按需要改写事件”
检测方法
1、判定条件
安全日志属性中的日志大小设置不小于8192KB,设置当达
到最大的日志尺寸时,“按需要改写事件”
2、检测操作
进入“控制面板->管理工具->事件查看器”,在“事件查看器(本
地)”中:
查看是否“安全日志”属性中的日志大小设置不小于“8192KB”,
设置当达到最大的日志尺寸时,“按需要改写事件”
1.3IP协议安全配置操作
要求内容
对没有自带防火墙的Windows系统,启用Windows系统的IP安全机制(IPSec)或网络连接上的TCP/IP筛选,只开放业务所需要的
TCP,UDP端口和IP协议。
操作指南
1、参考配置操作
进入“控制面板—>网络连接—>本地连接”,进入“Internet协议(TCP/IP)属性—>高级TCP/IP设置”,在“选项”的属性中启用网络连接上的TCP/IP筛选,只开放业务所需要的TCP,UDP端口
和IP协议。
检测方法
1、判定条件
系统管理员出示业务所需端口列表。
根据列表只开放系统与业务所需端口。
2、检测操作
进入"控制面板—>网络连接—>本地连接”,进入“Internet协议(TCP/IP)属性—>高级TCP/IP设置”,在“选项”的属性中启用网络连接上的TCP/IP筛选,查看是否只开放业务所需要的TCP,
UDP端口和IP协议。
要求内容
启用WindowsXP和Windows2003自带防火墙。
根据业务需要限
定允许访问网络的应用程序,和允许远程登陆该设备的IP地址范
围。
操作指南
1、参考配置操作
进入“控制面板—>网络连接—>本地连接”,在高级选项的设置中
启用Windows防火墙。
在“例外”中配置允许业务所需的程序接入网络。
在“例外->编辑->更改范围”编辑允许接入的网络地址范围。
检测方法
1、判定条件
启用Windows防火墙。
“例外”中允许接入网络的程序均为业务所需。
2、检测操作
进入“控制面板—>网络连接—>本地连接”,在高级选项的设置中,查看是否启用Windows防火墙。
查看是否在“例外”中配置允许业务所需的程序接入网络。
查看是否在“例外->编辑->更改范围”编辑允许接入的网络地址范围。
要求内容
启用SYN攻击保护;指定触发SYN洪水攻击保护所必须超过的
TCP连接请求数阀值为5;指定处于SYN_RCVD状态的TCP连
接数的阈值为500;指定处于至少已发送一次重传的SYN_RCVD
状态中的TCP连接数的阈值为400。
操作指南
1、参考配置操作
在"开始->运行->键入regedit”
启用SYN攻击保护的命名值位于注册表项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet'Services
之下。
值名称:
SynAttackProtect。
推存值:
2。
以下部分中的所有项和值均位于注册表项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet'Services
之下。
指定必须在触发SYNflood保护之前超过的TCP连接请求阈值。
值名称:
TcpMaxPortsExhausted。
推存值:
5。
启用SynAttackProtect后,该值指定SYN_RCVD状态中的TCP连接阈值,超过SynAttackProtect时,触发SYNflood保护。
值名称:
TcpMaxHalfOpen。
推存值数据:
500。
启用SynAttackProtect后,指定至少发送了一次重传的SYN_RCVD状态中的TCP连接阈值。
超过SynAttackProtect时,触发SYNflood保护。
值名称:
TcpMaxHalfOpenRetried。
推存值数据:
400。
检测方法
1、判定条件
各注册表键值均按要求设置。
2、检测操作
在"开始->运行->键入regedit”
启用SYN攻击保护的命名值位于注册表项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services之下。
值名称:
SynAttackProtect。
推存值:
2。
以下部分中的所有项和值均位于注册表项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services之下。
指定必须在触发SYNflood保护之前超过的TCP连接请求阈值。
值名称:
TcpMaxPortsExhausted。
推存值:
5。
启用SynAttackProtect后,该值指定SYNRCVD状态中的TCP
连接阈值,超过SynAttackProtect时,触发SYNflood保护。
值名称:
TcpMaxHalfOpen。
推存值数据:
500。
启用SynAttackProtect后,指定至少发送了一次重传的SYN_RCVD状态中的TCP连接阈值。
超过SynAttackProtect时,触发SYNflood保护。
值名称:
TcpMaxHalfOpenRetried。
推存值数据:
400。
1.4设备其他配置操作
1.4.1共享文件夹及访问权限
要求内容
非域环境中,关闭Windows硬盘默认共享,例如C$,D$。
操作指南
1、参考配置操作
进入“开始—>运行—>Regedit”进入注册表编辑器,
更改注册表键值:
在HKLM\System\CurrentControlSet\下,增加REG_DWORD类型的
AutoShareServer键,值为0。
检测方法
1、判定条件
HKLM\System\CurrentControlSet\
增加了REG_DWORD类型的AutoShareServer键,值为0。
2、检测操作
进入“开始—>运行—>Regedit”进入注册表编辑器,更改注册表
键值:
在HKLM\System\CurrentControlSet\
下,增加REG_DWORD类型的
AutoShareServer键,值为0。
要求内容
查看每个共享文件夹的共享权限,只允许授权的账户拥有权限共享
此文件夹。
操作指南
1、参考配置操作
进入“控制面板->管理工具->计算机管理”,进入“系统工具—>共
享文件夹”:
查看每个共享文件夹的共享权限,只将权限授权于指定账户。
检测方法
1、判定条件
查看每个共享文件夹的共享权限仅限于业务需要,不设置成为
a?
?
everyone。
2、检测操作
进入“控制面板->管理工具->计算机管理”,进入“系统工具—>共
享文件夹”:
查看每个共享文件夹的共享权限。
1.4.2补丁管理
要求内容
应安装最新的Ser
升级会员 