系统安全配置技术规范WindowsWord下载.docx

1、职位签名1.适用范围如无特殊说明，本规范所有配置项适用于Windows操作系统 2003、2008系列版本。其中标示为“基本”字样的配置项，均为本公司对此类系统的基本安全配置要求；未标示“基本”字样的配置项，请各系统管理员视实际需求酌情遵从。2.帐号管理与授权122.1【基本】删除或锁定可能无用的帐户配置项描述删除或锁定无用的帐户，定期清理无用账户，防止过期用户非法登入操作系统检查方法进入“控制面板-管理工具-计算机管理-系统工具-本地用户和组”：审核不必要的用户和组，审核帐户隶属的组权限，审核组用户。操作步骤根据系统的要求和实际业务情况，设定不同的帐户和帐户组，如管理员用户、数据库用户、审计

2、用户、来宾用户等。删除或锁定与设备运行、维护等与工作无关的帐户回退操作回退到原有的配置设置操作风险需要确认帐户用途2.2【基本】按照用户角色分配不同权限的帐号按照用户角色分配不同权限的帐号，保证用户权限最小化审核用户和组，审核帐户隶属的组权限，审核组用户。需要确认帐户用途，确认用户所需权限2.3【基本】口令策略设置不符合复杂度要求口令策略设置不符合复杂度要求，口令过于简单，易被黑客破译本地安全策略”，在“帐户策略-密码策略”中：检查“密码必须符合复杂度要求”设置设置“密码必须符合复杂度要求”已开启低风险2.4【基本】设定不能重复使用口令设定不能重复使用最近5次（含5次）内已使用的口令检查“强制

3、密码历史”设置设置“强制密码历史”大于等于52.5不使用系统默认用户名administrator、guest等默认帐户使用默认用户名，当攻击者发起穷举攻击时，使用默认用户名，会大大降低攻击者的攻击难度检查administrator、guest是否存在。administrator、guest重命名可能导致某些自动登录的服务异常2.6口令生存期不得长于90天口令生存期不得长于90天，应定期更改用户口令检查“密码最长存留期”设置设置“密码最长存留期”小于等于902.7设定连续认证失败次数设定连续认证失败次数超过6次（不含6次）锁定该账号帐户锁定策略”中：检查“帐户锁定阀值”设置设置“帐户锁定阀值”小

4、于等于6可能导致恶意尝试锁定帐户2.8远端系统强制关机的权限设置将从远端系统强制关机仅指派给Administrators组，避免普通用户拥有额外的系统控制权限本地安全策略”，在“本地策略-用户权利指派”中：检查“从远端系统强制关机”设置设置“从远端系统强制关机”删除除Administrators以外其他项可能导致某些系统功能异常或应用非正常运行2.9关闭系统的权限设置将关闭系统仅指派给Administrators组，避免普通用户拥有额外的系统控制权限检查“关闭系统”设置设置“关闭系统”删除除Administrators以外其他项2.10取得文件或其它对象的所有权设置将取得文件或其它对象的所有权

5、设置仅指派给Administrators组，避免普通用户拥有额外的系统控制权限检查“取得文件或其它对象的所有权”设置设置“取得文件或其它对象的所有权”删除除Administrators以外其他项回 退2.11将从本地登录设置为指定授权用户将从本地登录设置为指定授权用户，将登陆权限赋予指定用户本地安全策略”，在“本地安全策略-检查“允许在本地登录”设置设置“允许在本地登录”只保留授权用户，删除其他项2.12将从网络访问设置为指定授权用户将从网络访问设置为指定授权用户检查“从网络访问”设置设置“从网络访问”只保留授权用户，删除其他项3.日志配置要求33.1【基本】审核策略设置中成功失败都要审核记录

6、系统的所有审核信息，审核策略设置中成功失败都要审核审核策略”中：查看是否符合操作中提到的各标准将不符合评估内容项进行加固，安全标准设置如下：审核策略更改：成功和失败审核登录事件：审核系统事件：审核帐户登录事件：审核帐户管理：审核对象访问：审核特权使用：审核目录服务访问：审核过程跟踪：失败其他设置无要求。开启无用的审核可能降低系统性能并占用一定磁盘空间3.2【基本】设置日志查看器大小将应用、系统、安全日志查看器大小设置为至少8192KB事件查看器”，在“事件查看器（本地）”中：（在应用程序日志、安全日志和系统日志上点右键，看属性中的日志大小上限设置，单位为KB。）将不符合评估内容项进行加固，应用

7、日志的容量为8192KB，安全日志的容量为8192KB，系统日志的容量为8192KB，设置当达到最大的日志大小时，“按需要覆盖事件”。并且用户有流程定期转存日志4.IP协议安全要求44.1开启TCP/IP筛选对于不自带windows防火墙的系统，需开启TCP/IP筛选，切只能开放业务所需要的TCP、UDP端口和IP协议先请系统管理员出示业务所需端口列表。进入“控制面板网络连接本地连接Internet协议（TCP/IP）属性高级TCP/IP设置”，在“选项”的属性中启用网络连接上的TCP/IP筛选，根据列表查看是否只开放业务所需要的TCP、UDP端口和IP协议。注意异常端口，与管理员追查异常端口

8、相关项。对没有自带防火墙的Windows系统，启用Windows系统的IP安全机制（IPSec）或网络连接上的TCP/IP筛选，只开放业务所需要的TCP、UDP端口和IP协议。必须正确设置网络访问控制策略，否则可能导致某些应用无法正常访问网络4.2启用防火墙启用Windows自带防火墙，且根据业务需要限定允许访问网络的应用程序，和允许远程登陆该设备的IP地址范围本地连接”，在高级选项的设置中，查看是否启用Windows防火墙。查看是否在“例外”中配置允许业务所需的程序接入网络。查看是否在“例外-编辑-更改范围”编辑允许接入的网络地址范围。将不符合评估内容项进行加固，启用Windows自带防火墙

9、。根据业务需要限定允许访问网络的应用程序，和允许远程登陆该设备的IP地址范围。4.3启用SYN攻击保护启用SYN攻击保护，当攻击者发起SYN攻击时，避免CPU和内存资源被过度消耗在“开始-运行-键入regedit”。启用 SYN 攻击保护的命名值位于注册表项 HKEY_LOCAL_MACHINE SYSTEMCurrentControlSetServices 之下：值名称：SynAttackProtectWindows2000推荐值：Windows2003推荐值：以下部分中的所有项和值均位于注册表项 HKEY_LOCAL_MACHINE SYSTEMCurrentControlSetServi

10、ces 之下：指定必须在触发 SYN flood 保护之前超过的 TCP 连接请求阈值：TcpMaxPortsExhausted推荐值：5启用 SynAttackProtect 后，该值指定 SYN_RCVD 状态中的 TCP 连接阈值，超过 SynAttackProtect 时，触发 SYN flood 保护：TcpMaxHalfOpen推荐值数据：500启用 SynAttackProtect 后，指定至少发送了一次重传的 SYN_RCVD 状态中的 TCP 连接阈值，超过 SynAttackProtect 时，触发 SYN flood 保护：TcpMaxHalfOpenRetried4001、备份注册表原有的配置设置2、将不符合评估内容项进行加固，启用SYN攻击保护：指定触发SYN洪水攻击