Windows系统的安全系统的配置基线.docx

1、Windows系统的安全系统的配置基线Windows系统安全配置基线第1章概述1.1目的本文规定了WINDOWS操作系统主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进展WINDOWS操作系统的安全合规性检查和配置.1.2适用X围本配置标准的使用者包括：服务器系统管理员、安全管理员和相关使用人员.本配置标准适用的X围包括：WINDOWS服务器.1.3适用版本适用于Windows XP 、Windows Server服务器.第2章安装前准备工作2.1需准备的光盘1正版的Windows服务器操作系统光盘.2服务器用杀毒软件光盘.第3章操作系统的根本安装3.1根本安装

2、1使用NTFS文件系统来最小化安装操作系统.2管理员账号须设置较复杂的口令由数字、大小写字母和特殊字符组成,长度在12位以上,其中管理员口令应一机一密码,不同机器之间不应一样.3断开网络安装完操作系统后,在业务网专用区域内连接网络进展系统升级,并打开Windows自动更新服务.4升级完成后,安装前述光盘中的杀毒软件并进展更新.第4章账号管理、认证授权4.1账号安全基线项目名称操作系统缺省账户安全基线要求项安全基线项说明对于管理员某某,要求更改缺省某某名称；禁用guest来宾某某.检测操作步骤进入控制面板-管理工具-计算机管理,在系统工具-本地用户和组：缺省某某Administrator属性Gu

3、est某某-属性基线符合性判定依据缺省账户Administrator名称已更改Guest某某已停用备注安全基线项目名称操作系统缺省账户安全基线要求项安全基线项说明删除或锁定与设备运行、维护等与工作无关的账号.检测操作步骤1、参考配置操作进入控制面板-管理工具-计算机管理,在系统工具-本地用户和组：删除或锁定与设备运行、维护等与工作无关的账号.基线符合性判定依据1、判定条件结合要求和实际业务情况判断符合要求,删除或锁定与设备运行、维护等与工作无关的账号.2、检测操作进入控制面板-管理工具-计算机管理,在系统工具-本地用户和组：查看是否删除或锁定与设备运行、维护等与工作无关的账号.备注4.1.3用

4、户权限别离安全基线项目名称操作系统缺省账户安全基线要求项安全基线项说明按照用户分配账号.根据系统的要求,设定不同的账户和账户组,管理员用户,操作员用户operator,审计用户auditor等.检测操作步骤1、参考配置操作进入控制面板-管理工具-计算机管理,在系统工具-本地用户和组：根据系统的要求,设定不同的账户和账户组,管理员用户,操作员用户和审计用户纳入user组.基线符合性判定依据1、判定条件结合要求和实际业务情况判断符合要求,根据系统的要求,设定不同的账户和账户组,管理员用户,操作员用户,审计用户.2、检测操作进入控制面板-管理工具-计算机管理,在系统工具-本地用户和组：查看根据系统的

5、要求,设定不同的账户和账户组,管理员用户,数据库用户,审计用户.备注4.2口令4.2.1密码复杂度安全基线项目名称操作系统密码复杂度安全基线要求项安全基线项说明最短密码长度12个字符,启用本机组策略中密码必须符合复杂性要求的策略.即密码需要包含以下四种类别的字符：l英语大写字母 A, B, C, Z l英语小写字母 a, b, c, z l西方阿拉伯数字 0, 1, 2, 9 非字母数字字符,如标点符号, #, $, %, &, *等检测操作步骤进入控制面板-管理工具-本地安全策略,在某某策略-密码策略：查看是否密码必须符合复杂性要求选择已启动基线符合性判定依据密码必须符合复杂性要求选择已启动

6、备注密码最长生存期安全基线项目名称操作系统密码最长生存期要求项安全基线项说明对于采用静态口令认证技术的系统,账户口令的生存期不长于90天.检测操作步骤进入控制面板-管理工具-本地安全策略,在某某策略-密码策略：查看密码最长存留期基线符合性判定依据密码最长存留期设置不大于90天备注密码历史安全基线项目名称操作系统密码历史安全基线要求项安全基线项说明对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次含5次内已使用的口令.检测操作步骤1、参考配置操作进入控制面板-管理工具-本地安全策略,在某某策略-密码策略：强制密码历史设置为记住5个密码基线符合性判定依据1、判定条件强制密码历史

7、设置为记住5个密码2、检测操作进入控制面板-管理工具-本地安全策略,在某某策略-密码策略：查看是否强制密码历史设置为记住5个密码备注4.2.4某某锁定策略安全基线项目名称操作系统账户锁定策略安全基线要求项安全基线项说明对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过4次不含5,锁定该用户使用的账号.检测操作步骤进入控制面板-管理工具-本地安全策略,在某某策略-某某锁定策略：查看账户锁定阀值设置基线符合性判定依据账户锁定阀值设置为小于或等于 3次,锁定时间1分钟.备注4.3授权远程关机安全基线项目名称操作系统远程关机策略安全基线要求项安全基线项说明在本地安全设置中从远端系统强制关

8、机只指派给Administrators组.检测操作步骤进入控制面板-管理工具-本地安全策略,在本地策略-用户权利指派:查看从远端系统强制关机设置基线符合性判定依据从远端系统强制关机设置为只指派给Administrtors组备注本地关机安全基线项目名称操作系统本地关机策略安全基线要求项安全基线项说明在本地安全设置中关闭系统仅指派给Administrators组.检测操作步骤进入控制面板-管理工具-本地安全策略,在本地策略-用户权利指派:查看关闭系统设置基线符合性判定依据关闭系统设置为只指派给Administrators组备注4.3.3隐藏上次登录名安全基线项目名称操作系统本地登录名隐藏策略安全基

9、线要求项安全基线项说明交互式登录,不显示上次登录的用户名检测操作步骤运行输入gpedit.msc本地计算机策略windows设置安全设置本地策略安全选项下:启用交互式登录:不显示最后的用户名基线符合性判定依据交互式登录:不显示最后的用户名设置为已启用备注4.3.4关机清理内存页面安全基线项目名称操作系统关机清理内存策略安全基线要求项安全基线项说明关机时清理虚拟内存页面文件检测操作步骤运行输入gpedit.msc本地计算机策略windows设置安全设置本地策略安全选项下:启用关机:清理虚拟内存页面文件基线符合性判定依据关机:清理虚拟内存页面文件设置为已启用备注4.3.5用户权利指派安全基线项目名

10、称操作系统用户权力指派策略安全基线要求项安全基线项说明在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators.检测操作步骤进入控制面板-管理工具-本地安全策略,在本地策略-用户权利指派：查看是否取得文件或其它对象的所有权设置基线符合性判定依据取得文件或其它对象的所有权设置为只指派给Administrators组备注第5章日志配置操作5.1日志配置5.1.1审核登录安全基线项目名称操作系统审核登录策略安全基线要求项安全基线项说明设备应配置日志功能,对用户登录进展记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以与远程登录时,用户使用的IP地址.检测操作步骤开

11、始-运行- 执行 控制面板-管理工具-本地安全策略-审核策略审核登录事件.基线符合性判定依据审核登录事件,设置为成功和失败都审核.备注5.1.2审核策略更改安全基线项目名称操作系统审核策略更改安全基线要求项安全基线项说明启用组策略中对Windows系统的审核策略更改,成功和失败都要审核.检测操作步骤进入控制面板-管理工具-本地安全策略,在本地策略-审核策略中查看审核策略更改设置.基线符合性判定依据审核策略更改设置为成功 和失败都要审核.备注5.1.3审核对象访问安全基线项目名称操作系统审核对象访问安全基线要求项安全基线项说明启用组策略中对Windows系统的审核对象访问,成功和失败都要审核.检

12、测操作步骤进入控制面板-管理工具-本地安全策略,在本地策略-审核策略中：查看审核对象访问设置.基线符合性判定依据审核对象访问设置为成功和失败都要审核.备注5.1.4审核事件服务器访问安全基线项目名称操作系统审核事件服务器访问策略安全基线要求项安全基线项说明启用组策略中对Windows系统的审核服务访问,失败.检测操作步骤进入控制面板-管理工具-本地安全策略,在本地策略-审核策略中：查看审核服务器访问设置.基线符合性判定依据审核服务器访问设置为成功 和失败都要审核.备注5.1.5审核特权使用安全基线项目名称操作系统审核特权使用策略安全基线要求项安全基线项说明启用组策略中对Windows系统的审核

13、特权使用,成功和失败都要审核.检测操作步骤进入控制面板-管理工具-本地安全策略,在本地策略-审核策略中：查看审核特权使用设置.基线符合性判定依据审核特权使用设置为成功 和失败都要审核.备注5.1.6审核系统事件安全基线项目名称操作系统审核系统事件策略安全基线要求项安全基线项说明启用组策略中对Windows系统的审核系统事件,成功和失败都要审核.检测操作步骤进入控制面板-管理工具-本地安全策略,在本地策略-审核策略中：查看审核系统事件设置.基线符合性判定依据审核系统事件设置为成功 和失败都要审核.备注5.1.7审核账户管理安全基线项目名称操作系统审核账户管理策略安全基线要求项安全基线项说明启用组

14、策略中对Windows系统的审核某某管理,成功和失败都要审核.检测操作步骤进入控制面板-管理工具-本地安全策略,在本地策略-审核策略中：查看审核账户管理 设置.基线符合性判定依据审核账户管理设置为成功 和失败都要审核.备注5.1.8审核过程追踪安全基线项目名称操作系统审核过程追踪策略安全基线要求项安全基线项说明启用组策略中对Windows系统的审核过程追踪失败.检测操作步骤进入控制面板-管理工具-本地安全策略,在本地策略-审核策略中：查看审核过程追踪设置.基线符合性判定依据审核过程追踪设置为 失败需要审核.备注5.1.9日志文件大小安全基线项目名称操作系统日志容量安全基线要求项安全基线项说明设

15、置应用日志文件大小至少为8M,设置当达到最大的日志尺寸时,按需要改写事件.检测操作步骤进入控制面板-管理工具-事件查看器,在事件查看器本地中：查看应用日志系统日志安全日志属性中的日志大小 ,以与设置当达到最大的日志尺寸时的相应策略.基线符合性判定依据应用日志系统日志安全日志属性中的日志大小设置不小于8M ,设置当达到最大的日志尺寸时,按需要改写事件.备注第6章其他配置操作6.1共享文件夹与访问权限6.1.1关闭默认共享安全基线项目名称操作系统默认共享安全基线要求项安全基线项说明非域环境中,关闭Windows硬盘默认共享,例如C$,D$.检测操作步骤进入开始运行Regedit,进入注册表编辑器,

16、查看 HKLMSystemCurrentControlSetServicesLanmanServerParametersAutoShareServer；基线符合性判定依据HKLMSystemCurrentControlSetServicesLanmanServerParametersAutoShareServer 键,值为 0.备注6.2防病毒管理6.2.1防病毒软件保护安全基线项目名称操作系统防病毒保护安全基线要求项安全基线项说明对Windows 2003服务器主机应当安装部署服务器专版杀毒软件,并打开自动升级病毒库选项.检测操作步骤查看是否存在符合条件的杀毒软件；点击进入杀毒软件的操作界面

17、,检查是否开启自动更新.基线符合性判定依据如不存在杀毒软件或者没打开自动更新即为不合规.备注6.3Windows服务6.3.1 系统服务管理安全基线项目名称操作系统系统服务管理安全基线要求项安全基线项说明检查系统开机启动的服务,并根据实际情况开启/关闭服务,如：Messenger,Task Scheduler,Server,Workstation,Print Spooler,Alerter,puter Browser,DHCP Client,Remote Registry Service,SNMP,TCP/IP NetBIOS Helper,IPSEC Policy Agent等；检测操作步骤

18、打开控制面板,打开管理工具中的服务.基线符合性判定依据关闭不需要的服务,并设置非开机自动启动项.询问管理员,在系统确实需要的情况下可开启相应的服务,如SNMP等.备注系统管理员应出具系统所必要的服务列表.查看所有服务,不在此列表的服务需关闭.6.4访问控制限制Radmin管理地址安全基线项目名称操作系统数据访问控制安全基线要求项安全基线项说明通过限制Radmin管理地址,严格控制访问者来源检测操作步骤1、参考配置操作开始菜单Radminoperations for Remote Administrator server选择Operations选择Add添加168.8.44.0/255.255.

19、255.0 168.8.43.0/255.255.255.0基线符合性判定依据1、判定条件在非管理网段尝试进展radmin连接备注中心机房以外的服务器管理暂时不做源地址限制.6.5启动项关闭Windows自动播放功能安全基线项目名称操作系统Windows自动播放安全基线要求项安全基线项说明关闭Windows自动播放功能.检测操作步骤打开开始运行,在对话框中输入gpedit.msc命令,在出现组策略窗口中依次选择在计算机配置管理模板系统,双击关闭自动播放查看.基线符合性判定依据在设置选项卡中选已启用选项.备注6.4.3配置屏保功能安全基线项目名称操作系统Windows其他安全配置基线要求项安全基

20、线项说明配置Windows屏幕保护功能检测操作步骤1、参考配置操作打开控制面板显示,在显示属性中选择屏幕保护,选择任意屏幕保护程序后将等待时间修改为15分钟,并选择在恢复时使用密码保护,确定即可.基线符合性判定依据1、判定条件计算机15分钟无操作时能自动启用屏幕保护,恢复时要求输入密码.2、检测操作打开控制面板显示,在显示属性中选择屏幕保护,检查等待时间和在恢复时使用密码保护设置.备注6.4.4补丁更新安全基线项目名称操作系统Windows其他安全配置基线要求项安全基线项说明安装最新的Service Pack补丁集检测操作步骤1、参考配置操作安装最新的Service Pack补丁集,目前Win

21、dows XP的Service Pack为SP3.Windows2000要求重装到Windows2003,对于客观因素无法重装的Windows2000,建议Service Pack升级至SP4,Windows 2003的Service Pack为SP2,Windows 2008的Servoce Pack为SP2.基线符合性判定依据1、判定条件显示XP系统已安装SP3,Win2000系统已安装SP4,Win2003为SP2,Win2008为SP2.2、检测操作右击我的电脑-属性,查看是否XP系统已安装SP3,Win2000系统已安装SP4,Win2003系统已安装SP2,2008系统已安装SP2.备注持续改良本文件由XX定期进展审查,根据审查结果修订标准,并重新颁发执行.