Windows系统安全配置基线.docx
《Windows系统安全配置基线.docx》由会员分享,可在线阅读,更多相关《Windows系统安全配置基线.docx(16页珍藏版)》请在冰豆网上搜索。
Windows系统安全配置基线
Windows系统安全配置基线
第1章概述
1.1目的
本文规定了WINDOWS操作系统主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进行WINDOWS操作系统的安全合规性检查和配置。
1.2适用范围
本配置标准的使用者包括:
服务器系统管理员、安全管理员和相关使用人员。
本配置标准适用的范围包括:
WINDOWS服务器。
1.3适用版本
适用于WindowsXP、WindowsServer服务器。
第2章安装前准备工作
2.1需准备的光盘
(1)正版的Windows服务器操作系统光盘。
(2)服务器用杀毒软件光盘。
第3章操作系统的基本安装
3.1基本安装
(1)使用NTFS文件系统来最小化安装操作系统。
(2)管理员账号须设置较复杂的口令(由数字、大小写字母和特殊字符组成),长度在12位以上,其中管理员口令应一机一密码,不同机器之间不应相同。
(3)断开网络安装完操作系统后,在业务网专用区域内连接网络进行系统升级,并打开Windows自动更新服务。
(4)升级完成后,安装前述光盘中的杀毒软件并进行更新。
第4章账号管理、认证授权
4.1账号
4.1.1管理缺省账户
安全基线项目名称
操作系统缺省账户安全基线要求项
安全基线项说明
对于管理员帐号,要求更改缺省帐户名称;禁用guest(来宾)帐号。
检测操作步骤
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:
缺省帐户Administrator->属性
Guest帐号->属性
基线符合性判定依据
缺省账户Administrator名称已更改
Guest帐号已停用
备注
4.1.2删除无用账户
安全基线项目名称
操作系统缺省账户安全基线要求项
安全基线项说明
删除或锁定与设备运行、维护等与工作无关的账号。
检测操作步骤
1、参考配置操作
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:
删除或锁定与设备运行、维护等与工作无关的账号。
基线符合性判定依据
1、判定条件
结合要求和实际业务情况判断符合要求,删除或锁定与设备运行、维护等与工作无关的账号。
2、检测操作
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:
查看是否删除或锁定与设备运行、维护等与工作无关的账号。
备注
4.1.3用户权限分离
安全基线项目名称
操作系统缺省账户安全基线要求项
安全基线项说明
按照用户分配账号。
根据系统的要求,设定不同的账户和账户组,管理员用户,操作员用户operator,审计用户auditor等。
检测操作步骤
1、参考配置操作
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:
根据系统的要求,设定不同的账户和账户组,管理员用户,操作员用户和审计用户纳入user组。
基线符合性判定依据
1、判定条件
结合要求和实际业务情况判断符合要求,根据系统的要求,设定不同的账户和账户组,管理员用户,操作员用户,审计用户。
2、检测操作
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:
查看根据系统的要求,设定不同的账户和账户组,管理员用户,数据库用户,审计用户。
备注
4.2口令
4.2.1密码复杂度
安全基线项目名称
操作系统密码复杂度安全基线要求项
安全基线项说明
最短密码长度12个字符,启用本机组策略中密码必须符合复杂性要求的策略。
即密码需要包含以下四种类别的字符:
l英语大写字母A,B,C,…Z
l英语小写字母a,b,c,…z
l西方阿拉伯数字0,1,2,…9
非字母数字字符,如标点符号,@,#,$,%,&,*等
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:
查看是否“密码必须符合复杂性要求”选择“已启动”
基线符合性判定依据
“密码必须符合复杂性要求”选择“已启动”
备注
4.2.2密码最长生存期
安全基线项目名称
操作系统密码最长生存期要求项
安全基线项说明
对于采用静态口令认证技术的系统,账户口令的生存期不长于90天。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:
查看“密码最长存留期”
基线符合性判定依据
“密码最长存留期”设置不大于“90天”
备注
4.2.3密码历史
安全基线项目名称
操作系统密码历史安全基线要求项
安全基线项说明
对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令。
检测操作步骤
1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:
“强制密码历史”设置为“记住5个密码”
基线符合性判定依据
1、判定条件
“强制密码历史”设置为“记住5个密码”
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:
查看是否“强制密码历史”设置为“记住5个密码”
备注
4.2.4帐户锁定策略
安全基线项目名称
操作系统账户锁定策略安全基线要求项
安全基线项说明
对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过4次(不含5),锁定该用户使用的账号。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->帐户锁定策略”:
查看“账户锁定阀值”设置
基线符合性判定依据
“账户锁定阀值”设置为小于或等于3次,锁定时间1分钟。
备注
4.3授权
4.3.1远程关机
安全基线项目名称
操作系统远程关机策略安全基线要求项
安全基线项说明
在本地安全设置中从远端系统强制关机只指派给Administrators组。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:
查看“从远端系统强制关机”设置
基线符合性判定依据
“从远端系统强制关机”设置为“只指派给Administrtors组”
备注
4.3.2本地关机
安全基线项目名称
操作系统本地关机策略安全基线要求项
安全基线项说明
在本地安全设置中关闭系统仅指派给Administrators组。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:
查看“关闭系统”设置
基线符合性判定依据
“关闭系统”设置为“只指派给Administrators组”
备注
4.3.3隐藏上次登录名
安全基线项目名称
操作系统本地登录名隐藏策略安全基线要求项
安全基线项说明
交互式登录,不显示上次登录的用户名
检测操作步骤
运行输入“gpedit.msc”à本地计算机策略àwindows设置à安全设置à本地策略à安全选项下:
启用”交互式登录:
不显示最后的用户名”
基线符合性判定依据
“交互式登录:
不显示最后的用户名”设置为“已启用”
备注
4.3.4关机清理内存页面
安全基线项目名称
操作系统关机清理内存策略安全基线要求项
安全基线项说明
关机时清理虚拟内存页面文件
检测操作步骤
运行输入“gpedit.msc”à本地计算机策略àwindows设置à安全设置à本地策略à安全选项下:
启用”关机:
清理虚拟内存页面文件”
基线符合性判定依据
“关机:
清理虚拟内存页面文件”设置为“已启用”
备注
4.3.5用户权利指派
安全基线项目名称
操作系统用户权力指派策略安全基线要求项
安全基线项说明
在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:
查看是否“取得文件或其它对象的所有权”设置
基线符合性判定依据
“取得文件或其它对象的所有权”设置为“只指派给Administrators组”
备注
第5章日志配置操作
5.1日志配置
5.1.1审核登录
安全基线项目名称
操作系统审核登录策略安全基线要求项
安全基线项说明
设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。
检测操作步骤
开始->运行->执行“控制面板->管理工具->本地安全策略->审核策略”
审核登录事件。
基线符合性判定依据
审核登录事件,设置为成功和失败都审核。
备注
5.1.2审核策略更改
安全基线项目名称
操作系统审核策略更改安全基线要求项
安全基线项说明
启用组策略中对Windows系统的审核策略更改,成功和失败都要审核。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中
查看“审核策略更改”设置。
基线符合性判定依据
“审核策略更改”设置为“成功”和“失败”都要审核。
备注
5.1.3审核对象访问
安全基线项目名称
操作系统审核对象访问安全基线要求项
安全基线项说明
启用组策略中对Windows系统的审核对象访问,成功和失败都要审核。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
查看“审核对象访问”设置。
基线符合性判定依据
“审核对象访问”设置为“成功”和“失败”都要审核。
备注
5.1.4审核事件目录服务器访问
安全基线项目名称
操作系统审核事件目录服务器访问策略安全基线要求项
安全基线项说明
启用组策略中对Windows系统的审核目录服务访问,失败。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
查看“审核目录服务器访问”设置。
基线符合性判定依据
“审核目录服务器访问”设置为“成功”和“失败”都要审核。
备注
5.1.5审核特权使用
安全基线项目名称
操作系统审核特权使用策略安全基线要求项
安全基线项说明
启用组策略中对Windows系统的审核特权使用,成功和失败都要审核。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
查看“审核特权使用”设置。
基线符合性判定依据
“审核特权使用”设置为“成功”和“失败”都要审核。
备注
5.1.6审核系统事件
安全基线项目名称
操作系统审核系统事件策略安全基线要求项
安全基线项说明
启用组策略中对Windows系统的审核系统事件,成功和失败都要审核。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
查看“审核系统事件”设置。
基线符合性判定依据
“审核系统事件”设置为“成功”和“失败”都要审核。
备注
5.1.7审核账户管理
安全基线项目名称
操作系统审核账户管理策略安全基线要求项
安全基线项说明
启用组策略中对Windows系统的审核帐户管理,成功和失败都要审核。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
查看“审核账户管理”设置。
基线符合性判定依据
“审核账户管理”设置为“成功”和“失败”都要审核。
备注
5.1.8审核过程追踪
安全基线项目名称
操作系统审核过程追踪策略安全基线要求项
安全基线项说明
启用组策略中对Windows系统的审核过程追踪失败。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
查看“审核过程追踪”设置。
基线符合性判定依据
“审核过程追踪”设置为“失败”需要审核。
备注
5.1.9日志文件大小
安全基线项目名称
操作系统日志容量安全基线要求项
安全基线项说明
设置应用日志文件大小至少为8M,设置当达到最大的日志尺寸时,按需要改写事件。
检测操作步骤
进入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中:
查看“应用日志”“系统日志”“安全日志”属性中的日志大小,以及设置当达到最大的日志尺寸时的相应策略。
基线符合性判定依据
“应用日志”“系统日志”“安全日志”属性中的日志大小设置不小于“8M”,设置当达到最大的日志尺寸时,“按需要改写事件”。
备注
第6章其他配置操作
6.1共享文件夹及访问权限
6.1.1关闭默认共享
安全基线项目名称
操作系统默认共享安全基线要求项
安全基线项说明
非域环境中,关闭Windows硬盘默认共享,例如C$,D$。
检测操作步骤
进入“开始->运行->Regedit”,进入注册表编辑器,查看HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer;
基线符合性判定依据
HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer键,值为0。
备注
6.2防病毒管理
6.2.1防病毒软件保护
安全基线项目名称
操作系统防病毒保护安全基线要求项
安全基线项说明
对Windows2003服务器主机应当安装部署服务器专版杀毒软件,并打开自动升级病毒库选项。
检测操作步骤
查看是否存在符合条件的杀毒软件;
点击进入杀毒软件的操作界面,检查是否开启自动更新。
基线符合性判定依据
如不存在杀毒软件或者没打开自动更新即为不合规。
备注
6.3Windows服务
6.3.1系统服务管理
安全基线项目名称
操作系统系统服务管理安全基线要求项
安全基线项说明
检查系统开机启动的服务,并根据实际情况开启/关闭服务,如:
Messenger,TaskScheduler,Server,Workstation,PrintSpooler,Alerter,ComputerBrowser,DHCPClient,RemoteRegistryService,SNMP,TCP/IPNetBIOSHelper,IPSECPolicyAgent等;
检测操作步骤
打开“控制面板”,打开“管理工具”中的“服务”。
基线符合性判定依据
关闭不需要的服务,并设置非开机自动启动项。
询问管理员,在系统确实需要的情况下可开启相应的服务,如SNMP等。
备注
系统管理员应出具系统所必要的服务列表。
查看所有服务,不在此列表的服务需关闭。
6.4访问控制
6.4.1限制Radmin管理地址
安全基线项目名称
操作系统数据访问控制安全基线要求项
安全基线项说明
通过限制Radmin管理地址,严格控制访问者来源
检测操作步骤
1、参考配置操作
开始菜单RadminoperationsforRemoteAdministratorserver
选择Operations
选择Add
添加168.8.44.0/255.255.255.0
168.8.43.0/255.255.255.0
基线符合性判定依据
1、判定条件
在非管理网段尝试进行radmin连接
备注
中心机房以外的服务器管理暂时不做源地址限制。
6.5启动项
6.4.1关闭Windows自动播放功能
安全基线项目名称
操作系统Windows自动播放安全基线要求项
安全基线项说明
关闭Windows自动播放功能。
检测操作步骤
打开“开始→运行”,在对话框中输入“gpedit.msc”命令,在出现“组策略”窗口中依次选择“在计算机配置→管理模板→系统”,双击“关闭自动播放”查看。
基线符合性判定依据
在“设置”选项卡中选“已启用”选项。
备注
6.4.3配置屏保功能
安全基线项目名称
操作系统Windows其他安全配置基线要求项
安全基线项说明
配置Windows屏幕保护功能
检测操作步骤
1、参考配置操作
打开控制面板→显示,在“显示”属性中选择屏幕保护,选择任意屏幕保护程序后将等待时间修改为15分钟,并选择“在恢复时使用密码保护”,确定即可。
基线符合性判定依据
1、判定条件
计算机15分钟无操作时能自动启用屏幕保护,恢复时要求输入密码。
2、检测操作
打开控制面板→显示,在“显示”属性中选择屏幕保护,检查等待时间和“在恢复时使用密码保护”设置。
备注
6.4.4补丁更新
安全基线项目名称
操作系统Windows其他安全配置基线要求项
安全基线项说明
安装最新的ServicePack补丁集
检测操作步骤
1、参考配置操作
安装最新的ServicePack补丁集,目前WindowsXP的ServicePack为SP3。
Windows2000要求重装到Windows2003,对于客观因素无法重装的Windows2000,建议ServicePack升级至SP4,Windows2003的ServicePack为SP2,Windows2008的ServocePack为SP2。
基线符合性判定依据
1、判定条件
显示XP系统已安装SP3,Win2000系统已安装SP4,Win2003为SP2,Win2008为SP2。
2、检测操作
右击我的电脑->属性,查看是否XP系统已安装SP3,Win2000系统已安装SP4,Win2003系统已安装SP2,2008系统已安装SP2。
备注
持续改进
本文件由XXX定期进行审查,根据审查结果修订标准,并重新颁发执行。
升级会员 