WINDOWS操作系统安全规范手册.docx

1、WINDOWS操作系统安全规范手册WINDOWS 操作系统安全规范手册部门：版本：密级：作者：步骤清单说明账号管理、认证授权账号管理：1.按照用户分配账号。 根据系统的要求， 设定不同的账户和账户组， 管理员用户，数据库用户，审计用户，来宾用户等。2.删除或锁定与设备运行、维护等与工作无关的账号。3.对于管理员帐号，要求更改缺省帐户名称；禁用 guest（来宾） 帐号。4.最短密码长度 8个字符， 启用本机组策略中密码必须符合复杂性 要求的策略。例： DFKJo*#rDFK5.在下一次更改密码时不存储 LAN 管理器哈希值 （已启用 ）6.对于采用静态口令认证技术的设备， 账户口令的生存期不长

2、于 90 天。7.对于采用静态口令认证技术的设备，应配置设备，使用户不能重 复使用最近 5 次（含 5 次）内已使用的口令。8.对于采用静态口令认证技术的设备，应配置当用户连续认证失败 次数超过 6 次（不含 6 次），锁定该用户使用的账号。9.对于远程登陆的帐号，设置不活动断连时间 15 分钟。认证授权：10.在本地安全设置中从远端系统强制关机只指派给 Administrators 组。11.在本地安全设置中关闭系统仅指派给 Administrators 组。12.在本地 安全设置中取得文件或 其它对象的所有权仅指 派给 Administrators 。13.在本地安全设置中配置指定授权用户

3、允许本地登陆此计算机。14.在组策略中只允许授权帐号从网络访问 （ 包括网络共享等，但不 包括终端服务 ） 此计算机。日志配置操作1.设备应配置日志功能，对用户登录进行记录，记录内容包括用户 登录使用的账号，登录是否成功，登录时间，以及远程登录时， 用户使用的 IP 地址。2.审核登录事件，双击，设置为成功和失败都审核。3.设置应用日志文件大小至少为 8192KB ，设置当达到最大的日志尺寸时，按需要改写事件。IP 协议安全配置操作1.对没有自带防火墙的 Windows 系统，启用 Windows 系统的 IP 安全机制 （IPSec） 或网络连接上的 TCP/IP 筛选， 只开放业务所需 要

4、的 TCP ，UDP 端口和 IP 协议。2.启用 Windows XP 和 Windows 2003 自带防火墙。根据业务需要 限定允许访问网络的应用程序， 和允许远程登陆该设备的 IP 地址 范围。3. 启用 SYN 攻击保护；指定触发 SYN 洪水攻击保护所必须超过的 TCP 连接请求数阀值为 5；指定处于 SYN_RCVD 状态的 TCP 连接数的阈 值为 500；指定处于至少已 发送 一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值为 400。共享文件夹及访问权限1. 非域环境中，关闭 Windows 硬盘默认共享，例如 C$ ，D$。2. 查看每个共享文件夹的共享权限，

5、只允许授权的账户拥有权限共 享此文件夹。补丁管理1. 应安装最新的 Service Pack 补丁集。对服务器系统应先进行兼容 性测试。2. 应安装最新的 Hotfix 补丁。对服务器系统应先进行兼容性测试。IIS 设置管理1. 禁止下载 Access 数据库、删除其他扩展名。2. 卸载不安全的 IIS 组件。3. 修改脚本错误出现的错误信息。4. 多站点设置最低权限独立 IIS 用户运行。5. 取消网站目录不必要写入权限目录。6. 禁止不需要运行脚本权限目录。应用软件配置1. 禁止安装 Radmin ，任何用户均可获得 HASH 直接登陆系统。2. 禁止安装 Serv-U ，任何版本均存在本

6、地提权安全漏洞， 必要时修 改 Serv-U 运行权限，修改 Serv-U 默认密码3. WinRAR 版本应为当前最新版本。4. SQL SERVER 安装版本不得低于 SQL 2000 SP4/SQL 2005 SP2 。3. 禁止在 SQL Server 中远程通过 sa 帐号连接数据库服务器。附送，配置操作步骤，有经验的可以跳过。1.1 账号口令要求内容按照用户分配账号。根据系统的要求，设定不同的账户和账户组， 管理员用户，数据库用户，审计用户，来宾用户等。操作指南1、参考配置操作进入“控制面板 -管理工具 -计算机管理” ，在“系统工具 -本地用 户和组”： 根据系统的要求，设定不同

7、的账户和账户组，管理员用户，数据库 用户，审计用户，来宾用户。检测方法1、 判定条件 结合要求和实际业务情况判断符合要求， 根据系统的要求， 设定不 同的账户和账户组，管理员用户，数据库用户，审计用户，来宾用 户。2、检测操作进入“控制面板 -管理工具 -计算机管理” ，在“系统工具 -本地用 户和组”： 查看根据系统的要求，设定不同的账户和账户组，管理员用户，数 据库用户，审计用户，来宾用户。编号：安全要求 -设备-WINDOWS-配置-2-可选要求内容删除或锁定与设备运行、维护等与工作无关的账号。操作指南1、参考配置操作进入“控制面板 -管理工具 -计算机管理” ，在“系统工具 -本地用

8、户和组”：删除或锁定与设备运行、维护等与工作无关的账号。检测方法1、判定条件结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的账号。2、检测操作进入“控制面板 -管理工具 -计算机管理” ，在“系统工具 -本地用 户和组”： 查看是否删除或锁定与设备运行、维护等与工作无关的账号。要求内容对于管理员帐号，要求更改缺省帐户名称；禁用 guest（来宾）帐号。操作指南1、参考配置操作进入“控制面板 -管理工具 -计算机管理” ，在“系统工具 -本地用 户和组”：Administrator 属性 更改名称 Guest帐号-属性 已停用检测方法1、判定条件缺省账户 Admini

9、strator 名称已更改。Guest 帐号已停用。2、检测操作进入“控制面板 -管理工具 -计算机管理” ，在“系统工具 -本地用 户和组”：缺省帐户 属性 更改名称 Guest帐号-属性 已停用要求内容最短密码长度 6 个字符，启用本机组策略中密码必须符合复杂性要求的策略。即密码至少包含以下四种类别的字符中的三种：英语大写字母 A, B, C, 英语小写字母 a, b, c, 西方阿拉伯数字 0, 1, 2, 非字母数字字符，如标点符号， Z z 9, #, $, %, &, * 等操作指南1、参考配置操作进入“控制面板 -管理工具 -本地安全策略” ，在“帐户策略 - 密码 策略”：“密

10、码必须符合复杂性要求”选择“已启动”检测方法1、判定条件“密码必须符合复杂性要求”选择“已启动”2、检测操作进入“控制面板 -管理工具 -本地安全策略” ，在“帐户策略 - 密码 策略”：查看是否“密码必须符合复杂性要求”选择“已启动”要求内容在下一次更改密码时不存储 LAN 管理器哈希值操作指南1、参考配置操作进入“控制面板 -管理工具 -本地安全策略” ，在“本地策略 - 安全 选项”：“网络安全 : 在下一次更改密码时不存储 LAN 管理器哈希值”选 择“已启用”选择后操作修改本地用户密码检测方法1、判定条件“网络安全 : 在下一次更改密码时不存储 LAN 管理器哈希值”选择“已启用”，

11、要求内容对于采用静态口令认证技术的设备，账户口令的生存期不长于 90 天。操作指南1、参考配置操作进入“控制面板 -管理工具 -本地安全策略” ，在“帐户策略 - 密码策略”：“密码最长存留期”设置为“ 90 天”检测方法1、判定条件“密码最长存留期”设置为“ 90 天”2、检测操作进入“控制面板 -管理工具 -本地安全策略” ，在“帐户策略 - 密码策略”：查看是否“密码最长存留期”设置为“ 90 天”要求内容对于采用静态口令认证技术的设备， 应配置设备， 使用户不能重复 使用最近 5 次（含 5 次）内已使用的口令。操作指南1、参考配置操作进入“控制面板 -管理工具 -本地安全策略” ，在

12、“帐户策略 - 密码策略”：“强制密码历史”设置为“记住 5 个密码”检测方法1、判定条件“强制密码历史”设置为“记住 5 个密码”2、检测操作进入“控制面板 -管理工具 -本地安全策略” ，在“帐户策略 - 密码策略”：查看是否“强制密码历史”设置为“记住5 个密码”要求内容对于采用静态口令认证技术的设备， 应配置当用户连续认证失败次 数超过 6 次（不含 6 次），锁定该用户使用的账号。操作指南1、参考配置操作进入“控制面板 -管理工具 -本地安全策略” ，在“帐户策略 - 帐户锁定策略”：“账户锁定阀值”设置为 6 次检测方法1、判定条件 “账户锁定阀值”设置为小于或等于 6 次2、检测

13、操作进入“控制面板 -管理工具 -本地安全策略” ，在“帐户策略 - 帐户 锁定策略”：1.1.1 授权要求内容在本地安全设置中从远端系统强制关机只指派给 组。Administrators操作指南1、参考配置操作进入“控制面板 - 管理工具 -本地安全策略”，在“本地策略 - 用户权利指派” :“从远端系统强制关机”设置为“只指派给Administrators 组”检测方法1、判定条件“从远端系统强制关机”设置为“只指派给Administrtors 组”2、检测操作进入“控制面板 - 管理工具 -本地安全策略”，在“本地策略 - 用户权利指派” :查看是否“从远端系统强制关机”设置为“只指派给

14、Administrators 组”要求内容在本地安全设置中关闭系统仅指派给 Administrators 组。操作指南1、参考配置操作进入“控制面板 -管理工具 -本地安全策略” ，在“本地策略 -用户权利指派” :“关闭系统”设置为“只指派给 Administrators 组”检测方法1、判定条件“关闭系统”设置为“只指派给 Administrators 组”2、检测操作进入“控制面板 -管理工具 -本地安全策略” ，在“本地策略 -用户权利指派” :查看“关闭系统”设置为“只指派给 Administrators 组”要求内容在本地安全设置中取得文件或其它对象的所有权仅指派给 Adminis

15、trators 。操作指南1、参考配置操作进入“控制面板 -管理工具 -本地安全策略” ，在“本地策略 -用户权利指派”：“取得文件或其它对象的所有权”设置为“只指派给Administrators 组”检测方法1、判定条件“取得文件或其它对象的所有权”设置为“只指派给Administrators 组”2、检测操作进入“控制面板 -管理工具 -本地安全策略” ，在“本地策略 -用户权利指派”：查看是否“取得文件或其它对象的所有权”设置为“只指派给Administrators 组”要求内容在本地安全设置中配置指定授权用户允许本地登陆此计算机。操作指南1、参考配置操作进入“控制面板 -管理工具 -本

16、地安全策略” ，在“本地策略 -用户权利指派”“从本地登陆此计算机”设置为“指定授权用户”检测方法1、判定条件 “从本地登陆此计算机”设置为“指定授权用户”2、检测操作进入“控制面板 -管理工具 -本地安全策略” ，在“本地策略 -用 户权利指派”查看是否“从本地登陆此计算机”设置为“指定授权用户”要求内容在组策略中只允许授权帐号从网络访问 （ 包括网络共享等，但不包 括终端服务 ） 此计算机。操作指南1、参考配置操作进入“控制面板 -管理工具 -本地安全策略” ，在“本地策略 -用户权利指派”“从网络访问此计算机”设置为“指定授权用户”检测方法1、判定条件 “从网络访问此计算机”设置为“指定

17、授权用户”2、检测操作进入“控制面板 -管理工具 -本地安全策略” ，在“本地策略 -用 户权利指派”查看是否“从网络访问此计算机”设置为“指定授权用户”要求内容设置应用日志文件大小至少为 8192KB ，设置当达到最大的日志尺1.2 日志配置操作要求内容设备应配置日志功能， 对用户登录进行记录， 记录内容包括用户登 录使用的账号，登录是否成功，登录时间，以及远程登录时，用户 使用的 IP 地址。操作指南1、参考配置操作开始-运行- 执行“ 控制面板 -管理工具 -本地安全策略 -审核 策略”审核登录事件，双击，设置为成功和失败都审核。检测方法1、判定条件 审核登录事件，设置为成功和失败都审核

18、。2、检测操作开始-运行- 执行“ 控制面板 -管理工具 -本地安全策略 -审核 策略” 审核登录事件，双击，查看是否设置为成功和失败都审核。要求内容 设置应用日志文件大小至少为 8192KB ，设置当达到最大的日志尺寸时，按需要改写事件。操作指南1、参考配置操作进入“控制面板 -管理工具 - 事件查看器” 地）”中：，在“事件查看器（本“应用日志” 属性中的日志大小设置不小于 到最大的日志尺寸时， “按需要改写事件”“8192KB ” ,设置当达检测方法1、判定条件“应用日志” 属性中的日志大小设置不小于 到最大的日志尺寸时， “按需要改写事件” 2、检测操作“8192KB ” ,设置当达进

19、入“控制面板 -管理工具 - 事件查看器” 地）”中：，在“事件查看器（本查看是否“应用日志”属性中的日志大小设置不小于“ 8192KB ” ,设置当达到最大的日志尺寸时， “按需要改写事件”要求内容设置系统日志文件大小至少为 8192KB ，设置当达到最大的日志尺 寸时，按需要改写事件。操作指南1、参考配置操作进入“控制面板 -管理工具 -事件查看器” ，在“事件查看器（本地）”中：“系统日志” 属性中的日志大小设置不小于 “ 8192KB ” ,设置当达到最大的日志尺寸时， “按需要改写事件”检测方法1、判定条件“系统日志”属性中的日志大小设置不小于“ 8192KB ” , 设置当达到最大

20、的日志尺寸时， “按需要改写事件”2、检测操作进入“控制面板 -管理工具 -事件查看器” ，在“事件查看器（本地）”中：查看是否“系统日志”属性中的日志大小设置不小于“ 8192KB ” ,要求内容设置安全日志文件大小至少为 8192KB ，设置当达到最大的日志尺 寸时，按需要改写事件。操作指南1、参考配置操作进入“控制面板 -管理工具 -事件查看器” ，在“事件查看器（本地）”中：“安全日志” 属性中的日志大小设置不小于 “ 8192KB ” ,设置当达到最大的日志尺寸时， “按需要改写事件”检测方法1、判定条件“安全日志” 属性中的日志大小设置不小于 “ 8192KB ” ,设置当达到最大

21、的日志尺寸时， “按需要改写事件”2、检测操作进入“控制面板 -管理工具 -事件查看器” ，在“事件查看器（本地）”中：查看是否“安全日志”属性中的日志大小设置不小于“ 8192KB ” ,设置当达到最大的日志尺寸时， “按需要改写事件”1.3 IP 协议安全配置操作要求内容对没有自带防火墙的 Windows 系统， 启用 Windows 系统的 IP 安全 机制 （IPSec）或网络连接上的 TCP/IP 筛选，只开放业务所需要的 TCP，UDP 端口和 IP 协议。操作指南1、参考配置操作进入“控制面板 网络连接 本地连接”，进入“ Internet 协议 （ TCP/IP ）属性 高级

22、TCP/IP 设置”，在“选项”的属性中启用 网络连接上的 TCP/IP 筛选，只开放业务所需要的 TCP，UDP 端口 和 IP 协议。检测方法1、判定条件系统管理员出示业务所需端口列表。 根据列表只开放系统与业务所需端口。2、检测操作 进入“控制面板 网络连接 本地连接”，进入“ Internet 协议 （ TCP/IP ）属性 高级 TCP/IP 设置”，在“选项”的属性中启用 网络连接上的 TCP/IP 筛选，查看是否只开放业务所需要的 TCP ， UDP 端口和 IP 协议。要求内容启用 Windows XP 和 Windows 2003 自带防火墙。根据业务需要限 定允许访问网络的

23、应用程序，和允许远程登陆该设备的 IP 地址范 围。操作指南1、参考配置操作进入“控制面板 网络连接 本地连接”，在高级选项的设置中 启用 Windows 防火墙。在“例外”中配置允许业务所需的程序接入网络。在“例外 -编辑 -更改范围”编辑允许接入的网络地址范围。检测方法1、判定条件 启用 Windows 防火墙。 “例外”中允许接入网络的程序均为业务所需。2、检测操作进入“控制面板 网络连接 本地连接”，在高级选项的设置中， 查看是否启用 Windows 防火墙。查看是否在“例外”中配置允许业务所需的程序接入网络。 查看是否在“例外 -编辑 -更改范围”编辑允许接入的网络地址范 围。要求内

24、容启用 SYN 攻击保护；指定触发 SYN 洪水攻击保护所必须超过的TCP 连接请求数阀值为 5；指定处于 SYN_RCVD 状态的 TCP 连 接数的阈值为 500；指定处于至少已发送一次重传的 SYN RCVD状态中的 TCP 连接数的阈值为 400。操作指南1、参考配置操作在“开始 -运行 - 键入 regedit”启用 SYN 攻击保护的命名值位于注册表项HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。值名称： SynAttackProtect 。推荐值： 2。以下部分中的所有项和值均位于注册表项 HKEY_LOCAL_MACH

25、INESYSTEMCurrentControlSetServices 之下。指定必须在触发 SYN flood 保护之前超过的 TCP 连接请求阈值。 值名称： TcpMaxPortsExhausted 。推荐值： 5。启用 SynAttackProtect 后，该值指定 SYN_RCVD 状态中的 TCP 连接阈值，超过 SynAttackProtect 时，触发 SYN flood 保护。值 名称： TcpMaxHalfOpen 。推荐值数据： 500。启 用 SynAttackProtect 后 ， 指 定 至 少 发 送 了 一 次 重 传 的 SYN_RCVD 状态中的 TCP 连接

26、阈值。 超过 SynAttackProtect 时， 触发 SYN flood 保护。值名称： TcpMaxHalfOpenRetried 。推荐值 数据： 400。检测方法1、判定条件各注册表键值均按要求设置。2、检测操作在“开始 -运行 - 键入 regedit”启用 SYN 攻击保护的命名值位于注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。值名称： SynAttackProtect 。推荐值： 2。以下部分中的所有项和值均位于注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetS

27、ervices 之下。指定必须在触发 SYN flood 保护之前超过的 TCP 连接请求阈值。 值名称： TcpMaxPortsExhausted 。推荐值： 5。启用 SynAttackProtect 后，该值指定 SYN RCVD 状态中的 TCP连接阈值，超过 SynAttackProtect 时，触发 SYN flood 保护。值 名称： TcpMaxHalfOpen 。推荐值数据： 500。启 用 SynAttackProtect 后 ， 指 定 至 少 发 送 了 一 次 重 传 的 SYN_RCVD 状态中的 TCP 连接阈值。 超过 SynAttackProtect 时， 触

28、发 SYN flood 保护。值名称： TcpMaxHalfOpenRetried 。推荐值 数据： 400。1.4 设备其他配置操作1.4.1 共享文件夹及访问权限要求内容非域环境中，关闭 Windows 硬盘默认共享，例如 C$， D$ 。操作指南1、参考配置操作 进入“开始 运行 Regedit ”，进入注册表编辑器，更 改 注 册 表 键 值 ： 在 HKLMSystemCurrentControlSet 下，增加 REG_DWORD 类型的AutoShareServer 键，值为 0。检测方法1、判定条件HKLMSystemCurrentControlSet增 加 了 REG_DWORD 类 型 的AutoShareServer 键，值为 0。2、检测操作进入“开始 运行 Regedit ”，进入注册表编辑器，更改注册表 键 值 ： 在 HKLMSystemCurrentControlSet下，增加 REG_DWORD 类型的AutoShareServer 键，值为 0。要求内容查看每个共享文件夹的共享权限， 只允许授权的账户拥