Windows系统安全配置基线Word格式.docx

1、（2） 服务器用杀毒软件光盘。第3章操作系统的基本安装3.1基本安装 （1） 使用NTFS文件系统来最小化安装操作系统。（2） 管理员账号须设置较复杂的口令（由数字、大小写字母和特殊字符组成），长度在12位以上，其中管理员口令应一机一密码，不同机器之间不应相同。（3） 断开网络安装完操作系统后，在业务网专用区域内连接网络进行系统升级，并打开Windows自动更新服务。（4） 升级完成后，安装前述光盘中的杀毒软件并进行更新。第4章账号管理、认证授权4.1账号4.1.1管理缺省账户安全基线项目名称操作系统缺省账户安全基线要求项安全基线项说明 对于管理员帐号，要求更改缺省帐户名称；禁用guest（来

2、宾）帐号。检测操作步骤进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：缺省帐户Administrator属性Guest帐号-基线符合性判定依据缺省账户Administrator名称已更改Guest帐号已停用备注4.1.2删除无用账户删除或锁定与设备运行、维护等与工作无关的账号。1、参考配置操作1、判定条件结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的账号。2、检测操作查看是否删除或锁定与设备运行、维护等与工作无关的账号。4.1.3用户权限分离按照用户分配账号。根据系统的要求，设定不同的账户和账户组，管理员用户，操作员用户operator，审计

3、用户auditor等。根据系统的要求，设定不同的账户和账户组，管理员用户，操作员用户和审计用户纳入user组。结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的账户和账户组，管理员用户，操作员用户，审计用户。查看根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户，审计用户。4.2口令4.2.1密码复杂度操作系统密码复杂度安全基线要求项最短密码长度12个字符，启用本机组策略中密码必须符合复杂性要求的策略。即密码需要包含以下四种类别的字符： 英语大写字母 A, B, C, Z 英语小写字母 a, b, c, z 西方阿拉伯数字 0, 1, 2, 9 非字母数字字符，如标点符

4、号，, #, $, %, &, *等本地安全策略”，在“帐户策略-密码策略”：查看是否“密码必须符合复杂性要求”选择“已启动”“密码必须符合复杂性要求”选择“已启动”4.2.2密码最长生存期操作系统密码最长生存期要求项对于采用静态口令认证技术的系统，账户口令的生存期不长于90天。查看“密码最长存留期”“密码最长存留期”设置不大于“90天”4.2.3密码历史操作系统密码历史安全基线要求项对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。“强制密码历史”设置为“记住5个密码”查看是否“强制密码历史”设置为“记住5个密码”4.2.4帐户锁定策略操作系统账

5、户锁定策略安全基线要求项对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过4次（不含5），锁定该用户使用的账号。帐户锁定策略”：查看“账户锁定阀值”设置“账户锁定阀值”设置为小于或等于 3次，锁定时间1分钟。4.3授权4.3.1远程关机操作系统远程关机策略安全基线要求项在本地安全设置中从远端系统强制关机只指派给Administrators组。本地安全策略”，在“本地策略-用户权利指派”:查看“从远端系统强制关机”设置“从远端系统强制关机”设置为“只指派给Administrtors组”4.3.2本地关机操作系统本地关机策略安全基线要求项在本地安全设置中关闭系统仅指派给Adminis

6、trators组。查看“关闭系统”设置“关闭系统”设置为“只指派给Administrators组”4.3.3隐藏上次登录名操作系统本地登录名隐藏策略安全基线要求项交互式登录，不显示上次登录的用户名运行输入“gpedit.msc” 本地计算机策略 windows设置 安全设置 本地策略 安全选项下:启用”交互式登录:不显示最后的用户名”“交互式登录:不显示最后的用户名”设置为“已启用”4.3.4关机清理内存页面操作系统关机清理内存策略安全基线要求项关机时清理虚拟内存页面文件启用”关机:清理虚拟内存页面文件”“关机:清理虚拟内存页面文件”设置为“已启用”4.3.5用户权利指派操作系统用户权力指派策

7、略安全基线要求项在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。用户权利指派”：查看是否“取得文件或其它对象的所有权”设置“取得文件或其它对象的所有权”设置为“只指派给Administrators组”第5章日志配置操作5.1日志配置5.1.1审核登录操作系统审核登录策略安全基线要求项设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。开始-运行- 执行“ 控制面板-本地安全策略-审核策略”审核登录事件。审核登录事件，设置为成功和失败都审核。5.1.2审核策略更改操作系统审核策略更改安

8、全基线要求项启用组策略中对Windows系统的审核策略更改，成功和失败都要审核。审核策略”中查看“审核策略更改”设置。“审核策略更改”设置为“成功” 和“失败”都要审核。5.1.3审核对象访问操作系统审核对象访问安全基线要求项启用组策略中对Windows系统的审核对象访问，成功和失败都要审核。审核策略”中：查看“审核对象访问”设置。“审核对象访问”设置为“成功”和“失败”都要审核。5.1.4审核事件目录服务器访问操作系统审核事件目录服务器访问策略安全基线要求项启用组策略中对Windows系统的审核目录服务访问，失败。查看“审核目录服务器访问”设置。“审核目录服务器访问”设置为“成功” 和“失败

9、”都要审核。5.1.5审核特权使用操作系统审核特权使用策略安全基线要求项启用组策略中对Windows系统的审核特权使用，成功和失败都要审核。查看“审核特权使用”设置。“审核特权使用”设置为“成功” 和“失败”都要审核。5.1.6审核系统事件操作系统审核系统事件策略安全基线要求项启用组策略中对Windows系统的审核系统事件，成功和失败都要审核。查看“审核系统事件”设置。“审核系统事件”设置为“成功” 和“失败”都要审核。5.1.7审核账户管理操作系统审核账户管理策略安全基线要求项启用组策略中对Windows系统的审核帐户管理，成功和失败都要审核。查看“审核账户管理” 设置。“审核账户管理”设置为“成功”