系统安全配置技术规范Windows.docx

1、系统安全配置技术规范Windows系统安全配置技术规范Windows版本日期2013-06-03文档编号文档发布212211文档说明（一）变更信息版本号变更日期变更者变更理由/变更内容备注（二）文档审核人姓名职位签名日期1.适用范围如无特殊说明，本规范所有配置项适用于Windows操作系统 2003、2008系列版本。其中标示为“基本”字样的配置项，均为本公司对此类系统的基本安全配置要求；未标示“基本”字样的配置项，请各系统管理员视实际需求酌情遵从。2.帐号管理与授权122.1【基本】删除或锁定可能无用的帐户配置项描述删除或锁定无用的帐户，定期清理无用账户，防止过期用户非法登入操作系统检查方法

2、进入“控制面板-管理工具-计算机管理-系统工具-本地用户和组”：审核不必要的用户和组，审核帐户隶属的组权限，审核组用户。操作步骤根据系统的要求和实际业务情况，设定不同的帐户和帐户组，如管理员用户、数据库用户、审计用户、来宾用户等。删除或锁定与设备运行、维护等与工作无关的帐户回退操作回退到原有的配置设置操作风险需要确认帐户用途2.2【基本】按照用户角色分配不同权限的帐号配置项描述按照用户角色分配不同权限的帐号，保证用户权限最小化检查方法进入“控制面板-管理工具-计算机管理-系统工具-本地用户和组”：审核用户和组，审核帐户隶属的组权限，审核组用户。操作步骤根据系统的要求和实际业务情况，设定不同的帐

3、户和帐户组，如管理员用户、数据库用户、审计用户、来宾用户等。回退操作回退到原有的配置设置操作风险需要确认帐户用途，确认用户所需权限2.3【基本】口令策略设置不符合复杂度要求配置项描述口令策略设置不符合复杂度要求，口令过于简单，易被黑客破译检查方法进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”中：检查“密码必须符合复杂度要求”设置操作步骤设置“密码必须符合复杂度要求”已开启回退操作回退到原有的配置设置操作风险低风险2.4【基本】设定不能重复使用口令配置项描述设定不能重复使用最近5次（含5次）内已使用的口令检查方法进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略

4、”中：检查“强制密码历史”设置操作步骤设置“强制密码历史”大于等于5回退操作回退到原有的配置设置操作风险低风险2.5不使用系统默认用户名配置项描述administrator、guest等默认帐户使用默认用户名，当攻击者发起穷举攻击时，使用默认用户名，会大大降低攻击者的攻击难度检查方法进入“控制面板-管理工具-计算机管理-系统工具-本地用户和组”：检查administrator、guest是否存在。操作步骤administrator、guest重命名回退操作回退到原有的配置设置操作风险可能导致某些自动登录的服务异常2.6口令生存期不得长于90天配置项描述口令生存期不得长于90天，应定期更改用户口

5、令检查方法进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”中：检查“密码最长存留期”设置操作步骤设置“密码最长存留期”小于等于90回退操作回退到原有的配置设置操作风险低风险2.7设定连续认证失败次数配置项描述设定连续认证失败次数超过6次（不含6次）锁定该账号检查方法进入“控制面板-管理工具-本地安全策略”，在“帐户策略-帐户锁定策略”中：检查“帐户锁定阀值”设置操作步骤设置“帐户锁定阀值”小于等于6回退操作回退到原有的配置设置操作风险可能导致恶意尝试锁定帐户2.8远端系统强制关机的权限设置配置项描述将从远端系统强制关机仅指派给Administrators组，避免普通用户拥有额

6、外的系统控制权限检查方法进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”中：检查“从远端系统强制关机”设置操作步骤设置“从远端系统强制关机”删除除Administrators以外其他项回退操作回退到原有的配置设置操作风险可能导致某些系统功能异常或应用非正常运行2.9关闭系统的权限设置配置项描述将关闭系统仅指派给Administrators组，避免普通用户拥有额外的系统控制权限检查方法进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”中：检查“关闭系统”设置操作步骤设置“关闭系统”删除除Administrators以外其他项回退操作回退到原有的配置设置操

7、作风险可能导致某些系统功能异常或应用非正常运行2.10取得文件或其它对象的所有权设置配置项描述将取得文件或其它对象的所有权设置仅指派给Administrators组，避免普通用户拥有额外的系统控制权限检查方法进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”中：检查“取得文件或其它对象的所有权”设置操作步骤设置“取得文件或其它对象的所有权”删除除Administrators以外其他项回 退回退到原有的配置设置操作风险可能导致某些系统功能异常或应用非正常运行2.11将从本地登录设置为指定授权用户配置项描述将从本地登录设置为指定授权用户，将登陆权限赋予指定用户检查方法进入“控制

8、面板-管理工具-本地安全策略”，在“本地安全策略-用户权利指派”中：检查“允许在本地登录”设置操作步骤设置“允许在本地登录”只保留授权用户，删除其他项回退操作回退到原有的配置设置操作风险可能导致某些系统功能异常或应用非正常运行2.12将从网络访问设置为指定授权用户配置项描述将从网络访问设置为指定授权用户检查方法进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”中：检查“从网络访问”设置操作步骤设置“从网络访问”只保留授权用户，删除其他项回退操作回退到原有的配置设置操作风险可能导致某些系统功能异常或应用非正常运行3.日志配置要求33.1【基本】审核策略设置中成功失败都要审核配

9、置项描述记录系统的所有审核信息，审核策略设置中成功失败都要审核检查方法进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中：查看是否符合操作中提到的各标准操作步骤将不符合评估内容项进行加固，安全标准设置如下：审核策略更改：成功和失败审核登录事件：成功和失败审核系统事件：成功和失败审核帐户登录事件：成功和失败审核帐户管理：成功和失败审核对象访问：成功和失败审核特权使用：成功和失败审核目录服务访问：成功和失败审核过程跟踪：失败其他设置无要求。回退操作回退到原有的配置设置操作风险开启无用的审核可能降低系统性能并占用一定磁盘空间3.2【基本】设置日志查看器大小配置项描述将应用、系统、安

10、全日志查看器大小设置为至少8192KB检查方法进入“控制面板-管理工具-事件查看器”，在“事件查看器（本地）”中：（在应用程序日志、安全日志和系统日志上点右键，看属性中的日志大小上限设置，单位为KB。）查看是否符合操作中提到的各标准操作步骤将不符合评估内容项进行加固，应用日志的容量为8192KB，安全日志的容量为8192KB，系统日志的容量为8192KB，设置当达到最大的日志大小时，“按需要覆盖事件”。并且用户有流程定期转存日志回退操作回退到原有的配置设置操作风险低风险4.IP协议安全要求44.1开启TCP/IP筛选配置项描述对于不自带windows防火墙的系统，需开启TCP/IP筛选，切只能

11、开放业务所需要的TCP、UDP端口和IP协议检查方法先请系统管理员出示业务所需端口列表。进入“控制面板网络连接本地连接Internet协议（TCP/IP）属性高级TCP/IP设置”，在“选项”的属性中启用网络连接上的TCP/IP筛选，根据列表查看是否只开放业务所需要的TCP、UDP端口和IP协议。操作步骤注意异常端口，与管理员追查异常端口相关项。对没有自带防火墙的Windows系统，启用Windows系统的IP安全机制(IPSec)或网络连接上的TCP/IP筛选，只开放业务所需要的TCP、UDP端口和IP协议。回退操作回退到原有的配置设置操作风险必须正确设置网络访问控制策略，否则可能导致某些应

12、用无法正常访问网络4.2启用防火墙配置项描述启用Windows自带防火墙，且根据业务需要限定允许访问网络的应用程序，和允许远程登陆该设备的IP地址范围检查方法进入“控制面板网络连接本地连接”，在高级选项的设置中，查看是否启用Windows防火墙。查看是否在“例外”中配置允许业务所需的程序接入网络。查看是否在“例外-编辑-更改范围”编辑允许接入的网络地址范围。操作步骤将不符合评估内容项进行加固，启用Windows自带防火墙。根据业务需要限定允许访问网络的应用程序，和允许远程登陆该设备的IP地址范围。回退操作回退到原有的配置设置操作风险必须正确设置网络访问控制策略，否则可能导致某些应用无法正常访问

13、网络4.3启用SYN攻击保护配置项描述启用SYN攻击保护，当攻击者发起SYN攻击时，避免CPU和内存资源被过度消耗检查方法在“开始-运行-键入regedit”。启用 SYN 攻击保护的命名值位于注册表项 HKEY_LOCAL_MACHINE SYSTEMCurrentControlSetServices 之下：值名称：SynAttackProtectWindows2000推荐值：2Windows2003推荐值：1以下部分中的所有项和值均位于注册表项 HKEY_LOCAL_MACHINE SYSTEMCurrentControlSetServices 之下：指定必须在触发 SYN flood 保

14、护之前超过的 TCP 连接请求阈值：值名称：TcpMaxPortsExhausted推荐值：5启用 SynAttackProtect 后，该值指定 SYN_RCVD 状态中的 TCP 连接阈值，超过 SynAttackProtect 时，触发 SYN flood 保护：值名称：TcpMaxHalfOpen推荐值数据：500启用 SynAttackProtect 后，指定至少发送了一次重传的 SYN_RCVD 状态中的 TCP 连接阈值，超过 SynAttackProtect 时，触发 SYN flood 保护：值名称：TcpMaxHalfOpenRetried推荐值数据：400操作步骤1、备份注册表原有的配置设置2、将不符合评估内容项进行加固，启用SYN攻击保护：指定触发SYN洪水攻击