各类操作系统安全基线配置及操作指南Word格式文档下载.docx

1、4.5 防护软件 . 8 4.6 防病毒软件 . 8 4.7 日志安全要求 . 9 4.8 不必要的服务 . 11 4.9 启动项 . 12 4.10 关闭自动播放功能 . 13 4.11 共享文件夹 . 13 4.12 使用 NTFS 文件系统 . 14 4.13 网络访问 . 15 4.14 会话超时设置 . 16 4.15 注册表设置 . 17 附录 A：端口及服务 . 18 II 前 言 为了在工程验收、运行维护、安全检查等环节，规范并落实安全配置要求，编制了一系列的安全配置要求及操作指南，明确了操作系统、数据库、应用中间件在内的通用安全配置要求及参考操作。该系列安全配置要求及操作指南

2、的结构及名称预计如下：（1） Windows 操作系统安全配置要求及操作指南 （本规范） （2） AIX操作系统安全配置要求及操作指南 （3） HP-UX 操作系统安全配置要求及操作指南 （4） Linux操作系统安全配置要求及操作指南 （5） Solaris操作系统安全配置要求及操作指南 （6） MS SQL server数据库安全配置要求及操作指南 （7） MySQL 数据库安全配置要求及操作指南 （8） Oracle数据库安全配置要求及操作指南 （9） Apache安全配置要求及操作指南 （10） IIS安全配置要求及操作指南 （11） Tomcat 安全配置要求及操作指南 （12） W

3、ebLogic 安全配置要求及操作指南 1 1 范围 适用于使用 Windows 操作系统的设备。在未特别说明的情况下，均适用于所有运行的 Windows 操作系统，包括 Windows 2000、Windows XP、Windows2003, Windows7 , Windows 2008 以及各版本中的 Sever、Professional版本。本规范明确了 Windows操作系统在安全配置方面的基本要求， 适用于所有的安全等级，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。由于版本不同，配置操作有所不同，本规范以 Windows 2003 为例，给出参考配置操作。2 规范性

4、引用文件 GB/T22239-2008信息安全技术 信息系统安全等级保护基本要求 YD/T 1732-2008固定通信网安全防护要求 YD/T 1734-2008移动通信网安全防护要求 YD/T 1736-2008互联网安全防护要求 YD/T 1738-2008增值业务网消息网安全防护要求 YD/T 1740-2008增值业务网智能网安全防护要求 YD/T 1758-2008非核心生产单元安全防护要求 YD/T 1742-2008接入网安全防护要求 YD/T 1744-2008传送网安全防护要求 YD/T 1746-2008IP 承载网安全防护要求 YD/T 1748-2008信令网安全防护要

5、求 YD/T 1750-2008同步网安全防护要求 YD/T 1752-2008支撑网安全防护要求 YD/T 1756-2008电信网和互联网管理安全等级保护要求 3 缩略语 UDP User Datagram Protocol 用户数据包协议 TCP Transmission Control Protocol 传输控制协议 2 NTFS New Technology File System 新技术文件系统 4 安全配置要求 4.1 账号 编号：1 要求内容 应按照不同的用户分配不同的账号，避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。操作指南 1、参考配置操作 进入“控制面

6、板-管理工具-计算机管理” ，在“系统工具-本地用户和组” ：根据系统的要求，设定不同的账户和账户组。检测方法 1、 判定条件 结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的账户和账户组 2、检测操作 查看根据系统的要求，设定不同的账户和账户组 2 要求内容 应删除与运行、维护等工作无关的账号。操作指南 1参考配置操作 A）可使用用户管理工具：开始-运行-compmgmt.msc-本地用户和组-用户 B）也可以通过 net 命令：删除账号： net user account/de1 停用账号：net user account/active:no 检测方法 1.判定条件 结合要求

7、和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的账号。 3 注：无关的账号主要指测试帐户、共享帐号、长期不用账号（半年以上不用）等 2.检测操作 3 要求内容 重命名 Administrator；禁用 guest（来宾）帐号。Administrator属性 更改名称 Guest 帐号- 已停用 检测方法 1、判定条件 缺省账户 Administrator名称已更改。Guest 帐号已停用。缺省帐户4.2 口令 要求内容 密码长度要求：最少 8位 密码复杂度要求：至少包含以下四种类别的字符中的三种：z 英语大写字母 A, B, C, Z z 英语小写字母 a, b, c, z

8、 z 阿拉伯数字 0, 1, 2, 9 z 非字母数字字符，如标点符号，, #, $, %, &, *等 4 本地安全策略” ，在“帐户策略-密码策略” ：“密码必须符合复杂性要求”选择“已启动” 查看是否“密码必须符合复杂性要求”选择“已启动” 要求内容 对于采用静态口令认证技术的设备，账户口令的生存期不长于 90天。“密码最长存留期”设置为“90 天” 查看是否“密码最长存留期”设置为“90 天” 要求内容 对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近 5次（含 5 次）内已使用的口令。 5 “强制密码历史”设置为“记住 5个密码” 查看是否“强制密码历史”设置为“记

9、住 5 个密码” 4 要求内容 对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过 6 次（不含 6 次） ，锁定该用户使用的账号。帐户锁定策略” ：“账户锁定阀值”设置为 6 次 设置解锁阀值：30 分钟 “账户锁定阀值”设置为小于或等于 6 次 查看是否“账户锁定阀值”设置为小于等于 6次 补充说明：设置不当可能导致账号大面积锁定，在域环境中应小心设置，Administrator 账号本身不会被锁定。4.3 授权 6 要求内容 本地、远端系统强制关机只指派给 Administrators 组。本地安全策略” ，在“本地策略-用户权利指派”:“关闭系统”设置为“只指派给 Adm

10、inistrators组” “从远端系统强制关机”设置为“只指派给 Administrators组”“从远端系统强制关机”设置为“只指派给 Administrtors组” 查看“关闭系统”设置为“只指派给 Administrators 组” 查看是否“从远端系统强制关机”设置为“只指派给Administrators 组” 要求内容 在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。户权利指派” ：“取得文件或其它对象的所有权”设置为“只指派给用 7 查看是否“取得文件或其它对象的所有权”设置为“只指派给要求内容 在本地安全设置中只允许授权帐号本地、远程访问登陆此计

11、算机。户权利指派” “从本地登陆此计算机”设置为“指定授权用户” “从网络访问此计算机”设置为“指定授权用户” 查看是否“从本地登陆此计算机”设置为“指定授权用户” 查看是否“从网络访问此计算机”设置为“指定授权用户” 4.4 补丁 要求内容 在不影响业务的情况下，应安装最新的 Service Pack 补丁集。对服务器系统应先进行兼容性测试。安装最新的 Service Pack补丁集。例如截止到 2010 年最新版本： Windows XP 的 Service Pack 为 SP3。Windows2000 的 Service Pack为 SP4,Windows 2003的 Service P

12、ack 为 SP2 8 进入控制面板-添加或删除程序-显示更新打钩，查看是否 XP 系统已安装SP3， Win2000系统已安装SP4， Win2003系统已安装SP2。4.5 防护软件 要求内容 启用自带防火墙或安装第三方威胁防护软件。根据业务需要限定允许访问网络的应用程序，和允许远程登陆该设备的 IP地址范围。操作指南 1、参考配置操作（以启动自带防火墙为例） 进入“控制面板网络连接本地连接” ，在高级选项的设置中启用 Windows 防火墙。在“例外”中配置允许业务所需的程序接入网络。在“例外-编辑-更改范围”编辑允许接入的网络地址范围。说明：分为服务器和操作终端两种情况：服务器该项为可

13、选，操作终端该项为必选 “例外”中允许接入网络的程序均为业务所需。本地连接” ，在高级选项的设置中，查看是否启用 Windows 防火墙。查看是否在“例外”中配置允许业务所需的程序接入网络。查看是否在“例外-更改范围”编辑允许接入的网络地址范围。4.6 防病毒软件 要求内容 安装防病毒软件，并及时更新。 9 安装防病毒软件，并及时更新。已安装防病毒软件，病毒码更新时间不早于 1个月，各系统病毒码升级时间要求参见各系统相关规定。对于操作终端该项为必选项，对于服务器该项为可选项 控制面板-添加或删除程序，是否安装有防病毒软件。打开防病毒软件控制面板，查看病毒码更新日期。4.7 日志安全要求 要求内

14、容 设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的 IP地址。开始-运行- 执行“ 控制面板-本地安全策略-审核策略” 审核登录事件，双击，设置为成功和失败都审核。审核登录事件，设置为成功和失败都审核。审核登录事件，双击，查看是否设置为成功和失败都审核。要求内容 开启审核策略，以便出现安全问题后进行追查 对审核策略进行检查： 10 开始-运行-gpedit.msc 计算机配置-Windows 设置-安全设置-本地策略-审核策略 以下审核是必须开启的，其他的可以根据需要增加：y 审核系统登陆事件 成功，失败 y 审核帐户

15、管理 成功，失败 y 审核登陆事件 成功，失败 y 审核对象访问 成功 y 审核策略更改 成功，失败 y 审核特权使用 成功，失败 y 审核系统事件 成功，失败 2、补充说明 可能会使日志量猛增 尝试对被添加了访问审核的对象进行访问，然后查看安全日志中是否会有相关记录，或通过其他手段激化以配置的审核策略，并观察日志中的记录情况，如果存在记录条目，则配置成功。设置日志容量和覆盖规则，保证日志存储 开始-运行-eventvwr 右键选择日志，属性，根据实际需求设置：日志文件大小：可根据需要制定 超过上限时的处理方式（建议日志记录天数不小于 90天） 2、 补充说明 建议对每个日志均进行如上操作，同

16、时应保证磁盘空间 11 开始-运行-eventvwr，右键选择日志，属性，查看日志上限及超过上线时的处理方式 4.8 不必要的服务、端口 要求内容 关闭不必要的服务 计算机管理” ，进入“服务和应用程序” ：可根据具体应用情况参考附录 A，筛选不必要的服务。系统管理员应出具系统所必要的服务列表。查看所有服务，不在此列表的服务需关闭。查看所有服务，不在此列表的服务是否已关闭。要求内容 如需启用SNMP服务， 则修改默认的SNMP Community String设置。打开“控制面板”，打开“管理工具”中的“服务”，找到“SNMP Service”，单击右键打开“属性”面板中的“安全”选项卡，在这

17、个配置界面中，可以修改 community strings，也就是微软所说的“团体名称”。community strings已改，不是默认的“public” 12 界面中，查看 community strings，也就是微软所说的“团体名称”。要求内容 如对互联网开放 WindowsTerminial 服务（Remote Desktop），需修改默认服务端口。运行 Regedt32 并转到此项:HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp 找到 “PortNumber” 子项， 会看到默认值 00000D3D， 它是 3389 的十六进制表示形式。使用十六进制数值修改此端口号，并保存新值。找到“PortNumber”子项，设定值非 00000D3D，即十进制 3389 2、检测操作 运行 Regedt32 ,找到此项并判断。4.9 启动项 要求内容 关闭无效启动项 “开始-MSconfig”启动菜单中，取消不必要的启动项。