办公终端桌面安全管理办法.docx

1、办公终端桌面安全管理办法学院办公终端桌面安全管理办法（1）总 则第一条本文档的编写是为了明确学院的办公终端桌面系统的安全配置，避免由于终端的配置不当而引发安全事故，从而保障学院的教务系统业务的安全进行。第二条本文件主要针对学院的终端桌面命名管理，终端桌面系统的系统配置、系统使用安全管理等内容。第三条本文档适用于学院下属院系的办公终端管理。（2）系统安装配置第四条系统安装和更新。当前学院终端使用Windows操作系统，该系统由学院的终端管理部门统一负责安装，遵循如下安全要求：第五条系统安装和更新第六条安全设置第七条系统安装情况第八条设置成NTFS磁盘格式第十条依据最小原则安装组件第十二条在不影响

2、正常工作的前提下，安装时确保系统处于当前稳定的、最新的补丁状态第十三条第十四条账户及密码控制。对终端桌面系统的账户，须采取如下安全策略：第十五条操作系统账户第十六条管理模式第十七条设置要求第十八条Guest第十九条统一终端管理/用户自行管理第二十条禁用Guest账户第二十一条管理员账户第二十二条统一终端管理第二十三条重命名，不使用第二十五条用户自行管理第二十六条不建议使用原账户，建议用户自建管理员账户第二十七条用户（User）账户第二十八条统一终端管理第二十九条建立账户，供用户使用第三十一条用户自行管理第三十二条不建议设置任何用户账户第三十三条终端操作系统密码策略中设置密码要求如下：第三十四条

3、密码策略第三十五条默认设置第三十六条最低设置第三十七条强制执行密码历史记录第三十八条记住 1 个密码第三十九条记住 24 个密码第四十条密码最长期限第四十一条42 天第四十二条42 天第四十三条密码最短期限第四十四条0 天第四十五条1 天第四十六条最短密码长度第四十七条0 个字符第四十八条8 个字符第四十九条密码必须符合复杂性要求第五十条禁用第五十一条启用且设置为8个字符第五十二条为域中所有用户使用可还原的加密来储存密码第五十三条禁用第五十四条禁用第五十五条软件安装管理。在终端系统安装时，须同时为终端用户安装好学院教育信息化推进处认可的办公所必须的软件。第五十六条开启服务设置。在终端系统安装时

4、，须关闭终端用户所不需要的服务，依据需要，进行如下设置：第五十七条系统服务第五十八条说明第五十九条默认值第六十条缺省设置要求第六十一条Application Management第六十二条提供指派、发行、以及移除的软件安装服务第六十三条手动第六十四条禁用第六十五条Application Layer Gateway Service第六十六条提供因特网联机共享和因特网联机防火墙的第三方通讯协议插件的支持第六十七条手动第六十八条禁用第六十九条ClipBook第七十条启用剪贴簿检视器以储存信息并与远程计算机共享。如果这个服务被停止，剪贴簿检视器将无法与远程计算机共享信息第七十一条禁用第七十二条禁用第七

5、十三条Distributed Link Tracking Client第七十四条维护计算机中或网络网域不同计算机中 NTFS 档案间的连结第七十五条自动/已启动第七十六条禁用第七十七条Messenger第七十八条在客户端服务器之间传输网络传送及Alerter服务讯息，与Windows Messenger 无关第七十九条禁用第八十条禁用第八十一条Remote Registry Service第八十二条使远程用户能修改此计算机上的注册表设置第八十三条自动/已启动第八十四条禁用第八十五条Telephony第八十六条提供 TAPI 的支持，以便程序控制本地计算机，服务器以及 LAN 上的电话设备和基于

6、 IP 的语音连接第八十七条手动第八十八条禁用第八十九条Terminal Services第九十条允许多位用户连接并控制一台机器，并且在远程计算机上显示桌面和应用程序第九十一条禁用第九十二条禁用第九十三条Telnet第九十四条允许远程用户登录到此计算机并运行程序，并支持多种 TCP/IP Telnet 客户，包括基于 UNIX 和 Windows 的计算机第九十五条禁用第九十六条禁用第九十七条终端系统默认共享和关闭管理共享，如C$，D$，IPC$等。通过注册表进行关闭共享的设置方式如下：第九十八条HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices

7、lanmanserverparameters项中：第九十九条将AutoShareServer值改为0，以关闭硬盘各分区的共享；第一百条将AutoShareWks值改为0，以关闭admin$共享。第一百零一条HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa项中，将restrictanonymous改为1，以关闭IPC$共享。第一百零二条系统日志配置。终端系统的系统日志策略，须设置安全要求如下：第一百零三条日志记录第一百零四条设置第一百零五条安全日志的保存天数第一百零六条=90天第一百零七条安全日志的最大值第一百零八条80M第一百零九条系统日志

8、的保存天数第一百一十条=90天第一百一十一条系统日志的最大值第一百一十二条80M第一百一十三条应用日志保存天数第一百一十四条=90天第一百一十五条应用日志的最大值第一百一十六条80M第一百一十七条安全选项设置。对终端操作系统设置其安全选项，具体设置如下：第一百一十八条安全选项第一百一十九条说明第一百二十条默认设置第一百二十一条设置要求第一百二十二条账户：来宾账户状态第一百二十三条该账户允许未经身份验证的网络用户以没有密码的“Guest”身份登录，从而获得访问系统的权限第一百二十四条启用第一百二十五条禁用第一百二十六条账户：重命名管理员账户第一百二十七条重命名该账户会使那些XX的人更难猜测这个具

9、有特权的用户名和密码组合第一百二十八条Administrator第一百二十九条指定新名称来重命名第一百三十条Administrator 账户第一百三十一条设备：允许不登录移除第一百三十二条如果启用此设置，则意味着任何人只要能够物理访问放置在其扩展坞中的计算机，就都可以移除该计算机并有可能损害它第一百三十三条启动第一百三十四条禁用第一百三十五条设备：允许格式化和弹出可移动媒体第一百三十六条用户可以将可移动磁盘移到他们具有管理特权的另一台计算机上，然后，可以获取任何文件的所有权，授予自己完全控制权限，查看或修改任何文件第一百三十七条默认:第一百三十八条Administrators第一百三十九条设置

10、为第一百四十条“Administrators”第一百四十一条设备：只有本地登录的用户才能访问 CDROM第一百四十二条在某人登录到系统的本地控制台时，禁止网络用户同时访问驱动器第一百四十三条禁用第一百四十四条启用第一百四十五条交互式登录：不显示上次的用户名第一百四十六条能够访问控制台的攻击者（例如，能够物理访问的人或者能够通过终端服务连接到服务器的人）可以查看上次登录到服务器的用户的名称第一百四十七条禁用第一百四十八条启用第一百四十九条交互式登录：不需要按 Ctrl+Alt+Del第一百五十条不必按 Ctrl+Alt+Del 组合键会使用户很容易受到尝试截获其密码的攻击第一百五十一条启用第一百

11、五十二条禁用第一百五十三条交互式登录：可被缓存的前次登录个数（在域控制器不可用的情况下）第一百五十四条能够访问服务器文件系统的攻击者可以查找这个缓存信息，并使用暴力攻击确定用户密码第一百五十五条10第一百五十六条设置为“0”第一百五十七条交互式登录：在密码到期前提示用户更改密码第一百五十八条用户将需要关于其密码即将过期的警告，否则他们会无意中因系统锁定而无法登录第一百五十九条14天第一百六十条设置为“14 天”第一百六十一条Microsoft 网络服务器：在挂起会话之前所需的空闲时间第一百六十二条每个 SMB 会话都消耗服务器资源。如果建立大量空会话，将减慢服务器或者有可能使服务器崩溃。攻击者

12、可以重复建立 SMB 会话，直到服务器停止响应。SMB 服务将变得非常慢或不响应第一百六十三条15分钟第一百六十四条设置为值第一百六十五条“15 分钟”第一百六十六条网络访问：限制匿名访问命名管道和共享第一百六十七条空会话是一种缺陷，通过环境中计算机上的各种共享可以利用这种缺陷第一百六十八条启用第一百六十九条启用第一百七十条关机：允许系统在未登录前关机第一百七十一条攻击者或被误导的用户可能通过终端服务连接到服务器，并在未验证自己身份前关闭服务器或重新启动它第一百七十二条禁用第一百七十三条禁用第一百七十四条关机：清除虚拟内存页面文件第一百七十五条攻击者会将系统卷移到另一台计算机，然后分析页面文件

13、的内容第一百七十六条禁用第一百七十七条启用第一百七十八条审核策略设置。终端操作系统的审核策略进行配置，如下所示：第一百七十九条审核策略第一百八十条说明第一百八十一条默认设置第一百八十二条设置要求第一百八十三条审核策略：审核策略更改第一百八十四条跟踪用户权限分配、审核策略以及信任策略等安全策略的更改。第一百八十五条无审核第一百八十六条成功和失败第一百八十七条审核策略：审核登录事件第一百八十八条跟踪用户的登录和注销以及打开的网络连接，同时记录登录请求的类型（交互式登录、网络登录或者服务）。第一百八十九条无审核第一百九十条成功和失败第一百九十一条审核策略：审核对象访问第一百九十二条追踪对对象（例如目

14、录、文件、打印机）的失败访问，其中个别对象的审核不是自动的，需要在对象的属性中打开。第一百九十三条无审核第一百九十四条失败第一百九十五条审核策略：审核过程跟踪第一百九十六条审核例如程序激活和退出等事件。第一百九十七条无审核第一百九十八条成功和失败第一百九十九条审核策略：审核目录服务访问第二百条审核用户访问那些指定自己的SACL （system access control list，系统访问控制列表）的活动目录对象的事件。第二百零一条没有定义第二百零二条成功和失败第二百零三条审核策略：审核特权使用第二百零四条审核使用特权失败的事件以及给用户指派特权的事件。本策略会审核用户的所有权限，除了跳过遍

15、历检查、调试程序、创建标记对象、替换进程级别标记、生成安全审核、备份文件和目录、还原文件和目录。第二百零五条无审核第二百零六条失败第二百零七条审核策略：审核系统事件第二百零八条跟踪所有影响到整个系统或者审核日志的事件，记录例如冲启动或者关机之类的事件。第二百零九条无审核第二百一十条成功和失败第二百一十一条审核策略：审核账户登录事件第二百一十二条用来审核每一个登录和注销本机的用户实例。第二百一十三条无审核第二百一十四条成功和失败第二百一十五条审核策略：审核账户管理第二百一十六条审核安全账户数据库的变动（例如账户的创建、改变和删除）。第二百一十七条无审核第二百一十八条成功和失败（3）系统使用配置第

16、十一条 网络配置管理。所有要接入局办公局域网的计算机，必须经信息科审批后办理登记手续，再由信息科进行安全检查、安装桌面管理系统、病毒防范系统及IP地址的分配并进行标注（标注内容：科室、使用人、内外网IP地址、MAC地址）方可接入使用。第十二条 软件安全配置和管理。防病毒软件更新，终端桌面系统必须安装防病毒软件，该软件须设置为自动更新的模式。终端桌面系统必须安装第三方防火墙软件，该软件须设置为自动更新的模式。终端桌面使用Internet浏览器须安装最新版本，并及时更新补丁，使浏览器能够抵抗最新的攻击和破坏。第十三条 日常安全配置。（1）设置屏保及屏保密码。终端桌面须设置屏幕保护，并达到如下安全要求：屏幕保护必须开启；屏幕保护开启时间小于15分钟；屏幕恢复时启用屏保密码，使得必须输入密码才可重新登录系统。（2）共享开放设置。用户可依据自身需要，开启安全共享，共享开启须设置如下安全要求：有条件开启共享文件夹，仅当需要时才开启；文件夹共享时应设置相应权限，例如仅提供文件共享，则只开启读的权限；如有必要，隐藏共享文件夹，避免网上邻居列出；文件夹共享后，应及时关闭共享。（4）附 则 第十四条 本文件适用于学院安装了Windows操作系统的终端电脑。 第十五条 本文件的解释权归学院教育信息化推进处，自通过之日起实行。