MicrosoftWindows安全配置基线Word文件下载.docx

1、中国移动总部和各省公司信息化部门维护管理的WINDOWS 服务器系统。1.3适用版本WINDOWS系列服务器；1.4实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准发布之日起生效。1.5例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。第2章账号管理、认证授权2.1账号2.1.1管理缺省账户安全基线项目名称操作系统缺省账户安全基线要求项安全基线编号SBL-Windows-02-01-01 安全基线项说明 对于管理员帐号，要求更改缺省帐户名称；禁用

2、guest（来宾）帐号。检测操作步骤进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：缺省帐户Administrator属性Guest帐号-基线符合性判定依据缺省账户Administrator名称已更改。Guest帐号已停用。备注2.2口令2.2.1密码复杂度操作系统密码复杂度安全基线要求项SBL-Windows-02-02-01最短密码长度 6个字符，启用本机组策略中密码必须符合复杂性要求的策略。即密码至少包含以下四种类别的字符中的三种：l 英语大写字母 A, B, C, Z l 英语小写字母 a, b, c, z l 西方阿拉伯数字 0, 1, 2, 9 非字母数字字符

3、，如标点符号，, #, $, %, &, *等本地安全策略”，在“帐户策略-密码策略”：查看是否“密码必须符合复杂性要求”选择“已启动”“密码必须符合复杂性要求”选择“已启动”2.2.2密码历史操作系统密码历史安全基线要求项SBL-Windows-02-02-02对于采用静态口令认证技术的设备，账户口令的生存期不长于90天。查看“密码最长存留期”“密码最长存留期”设置不大于“90天”2.2.3帐户锁定策略操作系统账户锁定策略安全基线要求项SBL-Windows-02-02-03对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。帐户锁定策略”

4、：查看“账户锁定阀值”设置“账户锁定阀值”设置为小于或等于 6次2.3授权2.3.1远程关机操作系统远程关机策略安全基线要求项SBL-Windows-02-03-01在本地安全设置中从远端系统强制关机只指派给Administrators组。本地安全策略”，在“本地策略-用户权利指派”:查看“从远端系统强制关机”设置“从远端系统强制关机”设置为“只指派给Administrtors组”2.3.2本地关机操作系统本地关机策略安全基线要求项SBL-Windows-02-03-02在本地安全设置中关闭系统仅指派给Administrators组。查看“关闭系统”设置“关闭系统”设置为“只指派给Admini

5、strators组”2.3.3用户权利指派操作系统用户权力指派策略安全基线要求项SBL-Windows-02-03-03在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。用户权利指派”：查看是否“取得文件或其它对象的所有权”设置“取得文件或其它对象的所有权”设置为“只指派给Administrators组”第3章日志配置操作3.1日志配置3.1.1审核登录操作系统审核登录策略安全基线要求项SBL-Windows-03-01-01设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。开始-运

6、行- 执行“ 控制面板-本地安全策略-审核策略”审核登录事件。审核登录事件，设置为成功和失败都审核。3.1.2审核策略更改操作系统审核策略更改安全基线要求项SBL-Windows-03-01-02启用组策略中对Windows系统的审核策略更改，成功和失败都要审核。审核策略”中查看“审核策略更改”设置。“审核策略更改”设置为“成功” 和“失败”都要审核。3.1.3审核对象访问操作系统审核对象访问安全基线要求项SBL-Windows-03-01-03启用组策略中对Windows系统的审核对象访问，成功和失败都要审核。审核策略”中：查看“审核对象访问”设置。“审核对象访问”设置为“成功”和“失败”都

7、要审核。3.1.4审核事件目录服务器访问操作系统审核事件目录服务器访问策略安全基线要求项SBL-Windows-03-01-04启用组策略中对Windows系统的审核目录服务访问，失败。查看“审核目录服务器访问”设置。“审核目录服务器访问”设置为“成功” 和“失败”都要审核。3.1.5审核特权使用操作系统审核特权使用策略安全基线要求项SBL-Windows-03-01-05启用组策略中对Windows系统的审核特权使用，成功和失败都要审核。查看“审核特权使用”设置。“审核特权使用”设置为“成功” 和“失败”都要审核。3.1.6审核系统事件操作系统审核系统事件策略安全基线要求项SBL-Windo

8、ws-03-01-06启用组策略中对Windows系统的审核系统事件，成功和失败都要审核。查看“审核系统事件”设置。“审核系统事件”设置为“成功” 和“失败”都要审核。3.1.7审核账户管理操作系统审核账户管理策略安全基线要求项SBL-Windows-03-01-07启用组策略中对Windows系统的审核帐户管理，成功和失败都要审核。查看“审核账户管理” 设置。“审核账户管理”设置为“成功” 和“失败”都要审核。3.1.8审核过程追踪操作系统审核过程追踪策略安全基线要求项SBL-Windows-03-01-08启用组策略中对Windows系统的审核过程追踪失败。查看“审核过程追踪”设置。“审核

9、过程追踪”设置为 “失败”需要审核。3.1.9日志文件大小操作系统日志容量安全基线要求项SBL-Windows-03-01-09设置应用日志文件大小至少为8192KB，设置当达到最大的日志尺寸时，按需要改写事件。事件查看器”，在“事件查看器（本地）”中：查看“应用日志” “系统日志” “安全日志”属性中的日志大小 ,以及设置当达到最大的日志尺寸时的相应策略。“应用日志” “系统日志” “安全日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”第4章IP协议安全配置4.1IP协议4.1.1启用SYN攻击保护操作系统SYN攻击保护安全基线要求项SBL-

10、Windows-04-01-01启用SYN攻击保护；指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阀值为5；指定处于 SYN_RCVD 状态的 TCP 连接数的阈值为500；指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值为400。在“开始-键入regedit”查看注册表项HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSynAttackProtect; HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpMaxPortsExhausted;HKEY_LO

11、CAL_MACHINESYSTEMCurrentControlSetServicesTcpMaxHalfOpen;HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpMaxHalfOpenRetried。 推荐值：2。5。 推荐值数据：500。推荐值数据：400。第5章设备其他配置操作5.1共享文件夹及访问权限5.1.1关闭默认共享操作系统默认共享安全基线要求项SBL-Windows-05-01-01非域环境中，关闭Windows硬盘默认共享，例如C$，D$。进入“开始运行Regedit”，进入注册表编辑器，查看 HKLMSystemCurr

12、entControlSetServicesLanmanServerParametersAutoShareServer；HKLMSystemCurrentControlSetServicesLanmanServerParametersAutoShareServer 键，值为 0。5.2防病毒管理5.2.1数据执行保护操作系统数据执行保护安全基线要求项SBL-Windows-05-02-01对于Windows XP SP2及Windows 2003对Windows操作系统程序和服务启用系统自带DEP功能（数据执行保护），防止在受保护内存位置运行有害代码。进入“控制面板系统”，在“高级”选项卡的 “

13、性能”下的“设置”。进入 “数据执行保护”选项卡。查看“ 仅为基本 Windows 操作系统程序和服务启用DEP”。“数据执行保护”选项卡已设置为“ 仅为基本 Windows 操作系统程序和服务启用DEP”。5.3Windows服务5.3.1 SNMP服务管理操作系统SNMP服务管理安全基线要求项SBL-Windows-05-03-01如需启用SNMP服务，则修改默认的SNMP Community String设置。打开“控制面板”，打开“管理工具”中的“服务”，找到“SNMP Service”，单击右键打开“属性”面板中的“安全”选项卡，在这个配置界面中，查看community strings，也就是微软所说的“团体名称”。community strings已改，不是默认的“public”。5.4启动项5.4.1关闭Windows自动播放功能操作系统Windows自动播放安全基线要求项SBL-Windows-05-04-01关闭Windows自动播放功能。打开“开始运行”，在对话框中输入“gpedit.msc”命令，在出现“组策略”窗口中依次选择“在计算机配置管理模板系统”，双击“关闭自动播放”查看。在“设置”选项卡中选“已启用”选项。第6章评审与修订本标准由中国移动通信有限公司管理信息系统部定期进行审查，根据审视结果修订标准，并颁发执行。