Windows系统安全配置基线.docx

1、Windows系统安全配置基线Windows系统安全配置基线 第1章概述1.1目的本文规定了WINDOWS 操作系统主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行WINDOWS 操作系统的安全合规性检查和配置。1.2适用范围本配置标准的使用者包括：服务器系统管理员、安全管理员和相关使用人员。本配置标准适用的范围包括： WINDOWS 服务器。1.3适用版本适用于Windows XP 、Windows Server服务器。第2章安装前准备工作2.1需准备的光盘（1） 正版的Windows服务器操作系统光盘。（2） 服务器用杀毒软件光盘。第3章操作系统的基本安装

2、3.1基本安装 （1） 使用NTFS文件系统来最小化安装操作系统。（2） 管理员账号须设置较复杂的口令（由数字、大小写字母和特殊字符组成），长度在12位以上，其中管理员口令应一机一密码，不同机器之间不应相同。（3） 断开网络安装完操作系统后，在业务网专用区域内连接网络进行系统升级，并打开Windows自动更新服务。（4） 升级完成后，安装前述光盘中的杀毒软件并进行更新。第4章账号管理、认证授权4.1账号4.1.1管理缺省账户安全基线项目名称操作系统缺省账户安全基线要求项安全基线项说明 对于管理员帐号，要求更改缺省帐户名称；禁用guest（来宾）帐号。检测操作步骤进入“控制面板-管理工具-计算机

3、管理”，在“系统工具-本地用户和组”：缺省帐户Administrator属性Guest帐号-属性基线符合性判定依据缺省账户Administrator名称已更改Guest帐号已停用备注4.1.2删除无用账户安全基线项目名称操作系统缺省账户安全基线要求项安全基线项说明 删除或锁定与设备运行、维护等与工作无关的账号。检测操作步骤1、参考配置操作进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：删除或锁定与设备运行、维护等与工作无关的账号。基线符合性判定依据1、判定条件结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的账号。2、检测操作进入“控制面板-管理

4、工具-计算机管理”，在“系统工具-本地用户和组”：查看是否删除或锁定与设备运行、维护等与工作无关的账号。备注4.1.3用户权限分离安全基线项目名称操作系统缺省账户安全基线要求项安全基线项说明 按照用户分配账号。根据系统的要求，设定不同的账户和账户组，管理员用户，操作员用户operator，审计用户auditor等。检测操作步骤1、参考配置操作进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：根据系统的要求，设定不同的账户和账户组，管理员用户，操作员用户和审计用户纳入user组。基线符合性判定依据1、判定条件结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的账户和

5、账户组，管理员用户，操作员用户，审计用户。2、检测操作进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：查看根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户，审计用户。备注4.2口令4.2.1密码复杂度安全基线项目名称操作系统密码复杂度安全基线要求项安全基线项说明 最短密码长度12个字符，启用本机组策略中密码必须符合复杂性要求的策略。即密码需要包含以下四种类别的字符：l 英语大写字母 A, B, C, Z l 英语小写字母 a, b, c, z l 西方阿拉伯数字 0, 1, 2, 9 非字母数字字符，如标点符号，, #, $, %, &, *等检测操作步骤进

6、入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：查看是否“密码必须符合复杂性要求”选择“已启动”基线符合性判定依据“密码必须符合复杂性要求”选择“已启动”备注4.2.2密码最长生存期安全基线项目名称操作系统密码最长生存期要求项安全基线项说明 对于采用静态口令认证技术的系统，账户口令的生存期不长于90天。检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：查看“密码最长存留期”基线符合性判定依据“密码最长存留期”设置不大于“90天”备注4.2.3密码历史安全基线项目名称操作系统密码历史安全基线要求项安全基线项说明 对于采用静态口令认证技术的设备，应配

7、置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。检测操作步骤1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：“强制密码历史”设置为“记住5个密码”基线符合性判定依据1、判定条件“强制密码历史”设置为“记住5个密码”2、检测操作进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：查看是否“强制密码历史”设置为“记住5个密码”备注4.2.4帐户锁定策略安全基线项目名称操作系统账户锁定策略安全基线要求项安全基线项说明 对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过4次（不含5），锁定该用户使用的账号。检测操作步骤进入“

8、控制面板-管理工具-本地安全策略”，在“帐户策略-帐户锁定策略”：查看“账户锁定阀值”设置基线符合性判定依据“账户锁定阀值”设置为小于或等于 3次，锁定时间1分钟。备注4.3授权4.3.1远程关机安全基线项目名称操作系统远程关机策略安全基线要求项安全基线项说明 在本地安全设置中从远端系统强制关机只指派给Administrators组。检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”:查看“从远端系统强制关机”设置基线符合性判定依据“从远端系统强制关机”设置为“只指派给Administrtors组”备注4.3.2本地关机安全基线项目名称操作系统本地关机策略安全基

9、线要求项安全基线项说明 在本地安全设置中关闭系统仅指派给Administrators组。检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”:查看“关闭系统”设置基线符合性判定依据“关闭系统”设置为“只指派给Administrators组”备注4.3.3隐藏上次登录名安全基线项目名称操作系统本地登录名隐藏策略安全基线要求项安全基线项说明 交互式登录，不显示上次登录的用户名检测操作步骤运行输入“gpedit.msc”本地计算机策略windows设置安全设置本地策略安全选项下:启用”交互式登录:不显示最后的用户名”基线符合性判定依据“交互式登录:不显示最后的用户名”设

10、置为“已启用”备注4.3.4关机清理内存页面安全基线项目名称操作系统关机清理内存策略安全基线要求项安全基线项说明 关机时清理虚拟内存页面文件检测操作步骤运行输入“gpedit.msc”本地计算机策略windows设置安全设置本地策略安全选项下:启用”关机:清理虚拟内存页面文件”基线符合性判定依据“关机:清理虚拟内存页面文件”设置为“已启用”备注4.3.5用户权利指派安全基线项目名称操作系统用户权力指派策略安全基线要求项安全基线项说明 在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”

11、：查看是否“取得文件或其它对象的所有权”设置基线符合性判定依据“取得文件或其它对象的所有权”设置为“只指派给Administrators组”备注第5章日志配置操作5.1日志配置5.1.1审核登录安全基线项目名称操作系统审核登录策略安全基线要求项安全基线项说明 设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。检测操作步骤开始-运行- 执行“ 控制面板-管理工具-本地安全策略-审核策略”审核登录事件。基线符合性判定依据审核登录事件，设置为成功和失败都审核。备注5.1.2审核策略更改安全基线项目名称操作系统审核策略更

12、改安全基线要求项安全基线项说明 启用组策略中对Windows系统的审核策略更改，成功和失败都要审核。检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中查看“审核策略更改”设置。基线符合性判定依据“审核策略更改”设置为“成功” 和“失败”都要审核。备注5.1.3审核对象访问安全基线项目名称操作系统审核对象访问安全基线要求项安全基线项说明 启用组策略中对Windows系统的审核对象访问，成功和失败都要审核。检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中：查看“审核对象访问”设置。基线符合性判定依据“审核对象访问”设置为“成功”和“失败

13、”都要审核。备注5.1.4审核事件目录服务器访问安全基线项目名称操作系统审核事件目录服务器访问策略安全基线要求项安全基线项说明 启用组策略中对Windows系统的审核目录服务访问，失败。检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中：查看“审核目录服务器访问”设置。基线符合性判定依据“审核目录服务器访问”设置为“成功” 和“失败”都要审核。备注5.1.5审核特权使用安全基线项目名称操作系统审核特权使用策略安全基线要求项安全基线项说明 启用组策略中对Windows系统的审核特权使用，成功和失败都要审核。检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“本

14、地策略-审核策略”中：查看“审核特权使用”设置。基线符合性判定依据“审核特权使用”设置为“成功” 和“失败”都要审核。备注5.1.6审核系统事件安全基线项目名称操作系统审核系统事件策略安全基线要求项安全基线项说明 启用组策略中对Windows系统的审核系统事件，成功和失败都要审核。检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中：查看“审核系统事件”设置。基线符合性判定依据“审核系统事件”设置为“成功” 和“失败”都要审核。备注5.1.7审核账户管理安全基线项目名称操作系统审核账户管理策略安全基线要求项安全基线项说明 启用组策略中对Windows系统的审核帐户管理，成功和失败都要审核。检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中：查看“审核账户管理” 设置。基线符合性判定依据“审核账户管理”设置为“成功” 和“失败”都