中国移动Windows操作系统安全配置规范正式下发版.docx
《中国移动Windows操作系统安全配置规范正式下发版.docx》由会员分享,可在线阅读,更多相关《中国移动Windows操作系统安全配置规范正式下发版.docx(33页珍藏版)》请在冰豆网上搜索。
中国移动Windows操作系统安全配置规范正式下发版
2008-01-01实施
2007-12-18发布
中国移动WINDOWS操作系统
安全配置规范
SpecificationforWindowsOS
ConfigurationUsedinChinaMobile
版本号:
1.0.0
中国移动通信集团公司发布
1 概述 1
1.1 适用范围 1
1.2 内部适用性说明 1
1.3 外部引用说明 2
1.4 术语和定义 3
1.5 符号和缩略语 3
2 WINDOWS设备安全配置要求 3
2.1 账号管理、认证授权 3
2.1.1 账号 4
2.1.2 口令 5
2.1.3 授权 7
2.2 日志配置操作 11
2.3 IP协议安全配置操作 17
2.4 设备其他配置操作 20
2.4.1 屏幕保护 20
2.4.2 共享文件夹及访问权限 21
2.4.3 补丁管理 22
2.4.4 防病毒管理 23
2.4.5 Windows服务 24
2.4.6 启动项 25
前言
本标准由中国移动通信有限公司网络部提出并归口。
本标准由标准提出并归口部门负责解释。
本标准起草单位:
中国移动通信有限公司网络部。
本标准解释单位:
同提出单位。
本标准主要起草人:
中国移动通信集团浙江公司朱国萃139********
中国移动集团公司 陈敏时139********
概述
适用范围
本规范所指的设备为Windows系统设备。
本规范明确了运行Windows操作系统的设备在安全配置方面的基本要求。
在未特别说明的情况下,均适用于所有运行的Windows操作系统,包括Windows2000、WindowsXP、Windows2003以及各版本中的Sever、Professional版本。
内部适用性说明
配置要求说明
编号
采纳意见
补充说明
安全要求-设备-通用-配置--1-可选
增强
安全要求-设备-WINDOWS-配置-1
安全要求-设备-通用-配置--2-可选
增强
安全要求-设备-WINDOWS-配置-2-可选
安全要求-设备-通用-配置--3-可选
不采纳
Windows无法在远程登陆时通过切换用户提升权限
安全要求-设备-通用-配置--4
增强
安全要求-设备-WINDOWS-配置-4
安全要求-设备-通用-配置--5
完全采纳
安全要求-设备-通用-配置--6-可选
完全采纳
安全要求-设备-通用-配置--7-可选
完全采纳
安全要求-设备-通用-配置--9
增强
安全要求-设备-WINDOWS-配置-5
安全要求-设备-WINDOWS-配置-6
安全要求-设备-WINDOWS-配置-7
安全要求-设备-WINDOWS-配置-8
安全要求-设备-WINDOWS-配置-9
安全要求-设备-通用-配置--12
完全采纳
安全要求-设备-通用-配置--13-可选
增强
安全要求-设备-WINDOWS-配置-11
安全要求-设备-通用-配置--24-可选
增强
安全要求-设备-WINDOWS-配置-10
安全要求-设备-WINDOWS-配置-12
安全要求-设备-WINDOWS-配置-13
安全要求-设备-WINDOWS-配置-14
安全要求-设备-WINDOWS-配置-15
安全要求-设备-WINDOWS-配置-16
安全要求-设备-WINDOWS-配置-17
安全要求-设备-WINDOWS-配置-18
安全要求-设备-WINDOWS-配置-19
安全要求-设备-通用-配置--14-可选
不采纳
Windows日志储存在本地
安全要求-设备-通用-配置--16-可选
增强
安全要求-设备-WINDOWS-配置-20-可选
安全要求-设备-WINDOWS-配置-21-可选
安全要求-设备-通用-配置--17-可选
不采纳
Windosw远程管理采用了自有协议,不支持SSH
安全要求-设备-通用-配置--19-可选
不采纳
WIN系统不具备字符交互界面
安全要求-设备-通用-配置--20-可选
增强
安全要求-设备-WINDOWS-配置-22
安全要求-设备-通用-配置--27-可选
不采纳
Windows不支持CONSOLE访问
外部引用说明
《中国移动通用安全功能和配置规范》
术语和定义
符号和缩略语
缩写
英文描述
中文描述
WINDOWS设备安全配置要求
本规范从Windows系统设备的认证授权功能、安全日志功能以及IP网络安全功能,和其他自身安全配置功能四个方面提出安全要求。
账号管理、认证授权
认证功能用于确认登录系统的用户真实身份。
认证功能的具体实现方式包括静态口令、动态口令、指纹等生物鉴别技术等。
授权功能赋予系统账号的操作权限,并限制用户进行超越其账号权限的操作。
账号
编号:
安全要求-设备-通用-配置--1
要求内容
按照用户分配账号。
根据系统的要求,设定不同的账户和账户组,管理员用户,数据库用户,审计用户,来宾用户等。
操作指南
1、参考配置操作
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:
根据系统的要求,设定不同的账户和账户组,管理员用户,数据库用户,审计用户,来宾用户。
检测方法
1、判定条件
结合要求和实际业务情况判断符合要求,根据系统的要求,设定不同的账户和账户组,管理员用户,数据库用户,审计用户,来宾用户。
2、检测操作
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:
查看根据系统的要求,设定不同的账户和账户组,管理员用户,数据库用户,审计用户,来宾用户。
编号:
安全要求-设备-WINDOWS-配置-2-可选
要求内容
删除或锁定与设备运行、维护等与工作无关的账号。
操作指南
1、参考配置操作
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:
删除或锁定与设备运行、维护等与工作无关的账号。
检测方法
1、判定条件
结合要求和实际业务情况判断符合要求,删除或锁定与设备运行、维护等与工作无关的账号。
2、检测操作
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:
查看是否删除或锁定与设备运行、维护等与工作无关的账号。
编号:
安全要求-设备-WINDOWS-配置-3-可选
要求内容
对于管理员帐号,要求更改缺省帐户名称;禁用guest(来宾)帐号。
操作指南
1、参考配置操作
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:
Administrator->属性->更改名称
Guest帐号->属性->已停用
检测方法
1、判定条件
缺省账户Administrator名称已更改。
Guest帐号已停用。
2、检测操作
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:
缺省帐户->属性->更改名称
Guest帐号->属性->已停用
口令
编号:
安全要求-设备-WINDOWS-配置-4
要求内容
最短密码长度6个字符,启用本机组策略中密码必须符合复杂性要求的策略。
即密码至少包含以下四种类别的字符中的三种:
●英语大写字母A,B,C,…Z
●英语小写字母a,b,c,…z
●西方阿拉伯数字0,1,2,…9
非字母数字字符,如标点符号,@,#,$,%,&,*等
操作指南
1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:
“密码必须符合复杂性要求”选择“已启动”
检测方法
1、判定条件
“密码必须符合复杂性要求”选择“已启动”
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:
查看是否“密码必须符合复杂性要求”选择“已启动”
编号:
安全要求-设备-WINDOWS-配置-35
要求内容
对于采用静态口令认证技术的设备,账户口令的生存期不长于90天。
操作指南
1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:
“密码最长存留期”设置为“90天”
检测方法
1、判定条件
“密码最长存留期”设置为“90天”
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:
查看是否“密码最长存留期”设置为“90天”
编号:
安全要求-设备-WINDOWS-配置-36-可选
要求内容
对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令。
操作指南
1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:
“强制密码历史”设置为“记住5个密码”
检测方法
1、判定条件
“强制密码历史”设置为“记住5个密码”
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:
查看是否“强制密码历史”设置为“记住5个密码”
编号:
安全要求-设备-WINDOWS-配置-37
要求内容
对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。
操作指南
1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->帐户锁定策略”:
“账户锁定阀值”设置为6次
检测方法
1、判定条件
“账户锁定阀值”设置为小于或等于6次
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->帐户锁定策略”:
查看是否“账户锁定阀值”设置为小于等于6次
授权
编号:
安全要求-设备-WINDOWS-配置-5
要求内容
在本地安全设置中从远端系统强制关机只指派给Administrators组。
操作指南
1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:
“从远端系统强制关机”设置为“只指派给Administrators组”
检测方法
1、判定条件
“从远端系统强制关机”设置为“只指派给Administrtors组”
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:
查看是否“从远端系统强制关机”设置为“只指派给Administrators组”
编号:
安全要求-设备-WINDOWS-配置-6
要求内容
在本地安全设置中关闭系统仅指派给Administrators组。
操作指南
1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:
“关闭系统”设置为“只指派给Administrators组”
检测方法
1、判定条件
“关闭系统”设置为“只指派给Administrators组”
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:
查看“关闭系统”设置为“只指派给Administrators组”
编号:
安全要求-设备-WINDOWS-配置-7
要求内容
在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。
操作指南
1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:
“取得文件或其它对象的所有权”设置为“只指派给Administrators组”
检测方法
1、判定条件
“取得文件或其它对象的所有权”设置为“只指派给Administrators组”
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:
查看是否“取得文件或其它对象的所有权”设置为“只指派给Administrators组”
编号:
安全要求-设备-WINDOWS-配置-8
要求内容
在本地安全设置中配置指定授权用户允许本地登陆此计算机。
操作指南
1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”
“从本地登陆此计算机”设置为“指定授权用户”
检测方法
1、判定条件
“从本地登陆此计算机”设置为“指定授权用户”
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”
查看是否“从本地登陆此计算机”设置为“指定授权用户”
编号:
安全要求-设备-WINDOWS-配置-9
要求内容
在组策略中只允许授权帐号从网络访问(包括网络共享等,但不包括终端服务)此计算机。
操作指南
1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”
“从网络访问此计算机”设置为“指定授权用户”
检测方法
1、判定条件
“从网络访问此计算机”设置为“指定授权用户”
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”
查看是否“从网络访问此计算机”设置为“指定授权用户”
日志配置操作
编号:
安全要求-设备-WINDOWS-配置-38
要求内容
设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。
操作指南
1、参考配置操作
开始->运行->执行“控制面板->管理工具->本地安全策略->审核策略”
审核登录事件,双击,设置为成功和失败都审核。
检测方法
1、判定条件
审核登录事件,设置为成功和失败都审核。
2、检测操作
开始->运行->执行“控制面板->管理工具->本地安全策略->审核策略”
审核登录事件,双击,查看是否设置为成功和失败都审核。
编号:
安全要求-设备-WINDOWS-配置-10
要求内容
启用组策略中对Windows系统的审核策略更改,成功和失败都要审核。
操作指南
1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中
“审核策略更改”设置为“成功”和“失败”都要审核
检测方法
1、判定条件
“审核策略更改”设置为“成功”和“失败”都要审核
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中
查看是否“审核策略更改”设置为“成功”和“失败”都要审核
编号:
安全要求-设备-WINDOWS-配置-11
要求内容
启用组策略中对Windows系统的审核对象访问,成功和失败都要审核。
操作指南
1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
“审核对象访问”设置为“成功”和“失败”都要审核
检测方法
1、判定条件
“审核对象访问”设置为“成功”和“失败”都要审核
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
查看是否“审核对象访问”设置为“成功”和“失败”都要审核
编号:
安全要求-设备-WINDOWS-配置-12
要求内容
启用组策略中对Windows系统的审核目录服务访问,失败。
操作指南
1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
“审核目录服务器访问”设置为“成功”和“失败”都要审核
检测方法
1、判定条件
“审核目录服务器访问”设置为“成功”和“失败”都要审核
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
查看是否“审核目录服务器访问”设置为“成功”和“失败”都要审核
编号:
安全要求-设备-WINDOWS-配置-13
要求内容
启用组策略中对Windows系统的审核特权使用,成功和失败都要审核。
操作指南
1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
“审核特权使用”设置为“成功”和“失败”都要审核
检测方法
1、判定条件
“审核目录服务器访问”设置为“成功”和“失败”都要审核
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
查看是否“审核目录服务器访问”设置为“成功”和“失败”都要审核
编号:
安全要求-设备-WINDOWS-配置-14
要求内容
启用组策略中对Windows系统的审核系统事件,成功和失败都要审核。
操作指南
1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
“审核系统事件”设置为“成功”和“失败”都要审核
检测方法
1、判定条件
“审核系统事件”设置为“成功”和“失败”都要审核
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
查看是否“审核系统事件”设置为“成功”和“失败”都要审核
编号:
安全要求-设备-WINDOWS-配置-15
要求内容
启用组策略中对Windows系统的审核帐户管理,成功和失败都要审核。
操作指南
1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
“审核账户管理”设置为“成功”和“失败”都要审核
检测方法
1、判定条件
“审核账户管理”设置为“成功”和“失败”都要审核
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
查看是否“审核账户管理”设置为“成功”和“失败”都要审核
编号:
安全要求-设备-WINDOWS-配置-16
要求内容
启用组策略中对Windows系统的审核过程追踪,失败。
操作指南
1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
“审核过程追踪”设置为“失败”需要审核
检测方法
1、判定条件
“审核过程追踪”设置为“失败”需要审核
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
查看是否“审核过程追踪”设置为“失败”需要审核
编号:
安全要求-设备-WINDOWS-配置-17-可选
要求内容
设置应用日志文件大小至少为8192KB,设置当达到最大的日志尺寸时,按需要改写事件。
操作指南
1、参考配置操作
进入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中:
“应用日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时,“按需要改写事件”
检测方法
1、判定条件
“应用日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时,“按需要改写事件”
2、检测操作
进入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中:
查看是否“应用日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时,“按需要改写事件”
编号:
安全要求-设备-WINDOWS-配置-18-可选
要求内容
设置系统日志文件大小至少为8192KB,设置当达到最大的日志尺寸时,按需要改写事件。
操作指南
1、参考配置操作
进入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中:
“系统日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时,“按需要改写事件”
检测方法
1、判定条件
“系统日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时,“按需要改写事件”
2、检测操作
进入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中:
查看是否“系统日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时,“按需要改写事件”
编号:
安全要求-设备-WINDOWS-配置-19-可选
要求内容
设置安全日志文件大小至少为8192KB,设置当达到最大的日志尺寸时,按需要改写事件。
操作指南
1、参考配置操作
进入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中:
“安全日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时,“按需要改写事件”
检测方法
1、判定条件
“安全日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时,“按需要改写事件”
2、检测操作
进入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中:
查看是否“安全日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时,“按需要改写事件”
1.1IP协议安全配置操作
编号:
安全要求-设备-WINDOWS-配置-20-可选
要求内容
对没有自带防火墙的Windows系统,启用Windows系统的IP安全机制(IPSec)或网络连接上的TCP/IP筛选,只开放业务所需要的TCP,UDP端口和IP协议。
操作指南
1、参考配置操作
进入“控制面板->网络连接->本地连接”,进入“Internet协议(TCP/IP)属性->高级TCP/IP设置”,在“选项”的属性中启用网络连接上的TCP/IP筛选,只开放业务所需要的TCP,UDP端口和IP协议。
检测方法
1、判定条件
系统管理员出示业务所需端口列表。
根据列表只开放系统与业务所需端口。
2、检测操作
进入“控制面板->网络连接->本地连接”,进入“Internet协议(TCP/IP)属性->高级TCP/IP设置”,在“选项”的属性中启用网络连接上的TCP/IP筛选,查看是否只开放业务所需要的TCP,UDP端口和IP协议。
编号:
安全要求-设备-WINDOWS-配置-21-可选
要求内容
启用WindowsXP和Windows2003自带防火墙。
根据业务需要限定允许访问网络的应用程序,和允许远程登陆该设备的IP地址范围。
操作指南
1、参考配置操作
进入“控制面板->网络连接->本地连接”,在高级选项的设置中
启用Windows防火墙。
在“例外”中配置允许业务所需的程序接入网络。
在“例外->编辑->更改范围”编辑允许接入的网络地址范围。
升级会员 