Windows操作系统安全防护基线配置要求.docx

1、Windows操作系统安全防护基线配置要求Windows操作系统安全防护基线配置要求一、 账号编号：OS-Windows-账号-01要求内容：应按照不同的用户分配不同的账号，避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享操作指南： 进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”，根据系统的要求，设定不同的账户和账户组。检测方法：进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：查看根据系统的要求，设定不同的账户和账户组。判定条件：结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的账户和账户组。编号：OS-Windows-账号

2、-02要求内容：应删除与运行、维护等工作无关的账号，删除过期账号操作指南： 1）可使用用户管理工具：开始-运行-compmgmt.msc-本地用户和组-用户；2）也可以通过net命令：删除账号： net user account/de1停用账号：net user account/active:no检测方法：开始-运行-compmgmt.msc-本地用户和组-用户。判定条件：结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的账号。注：无关的账号主要指测试帐户、共享帐号、长期不用账号（半年以上不用）等.编号：OS-Windows-账号-03要求内容：重命名Administ

3、rator，禁用guest（来宾）帐号操作指南： 进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：Administrator属性 更改名称Guest帐号-属性 已停用检测方法：进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：缺省帐户属性 更改名称Guest帐号-属性 已停用判定条件：缺省账户Administrator名称已更改。Guest帐号已停用。二、 授权编号：OS-Windows-授权-01要求内容：本地、远端系统强制关机只指派给Administrators组操作指南： 进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”:“

4、关闭系统”设置为“只指派给Administrators组”；“从远端系统强制关机”设置为“只指派给Administrators组”。检测方法：进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”:查看“关闭系统”设置为“只指派给Administrators组”；查看是否“从远端系统强制关机”设置为“只指派给Administrators组”。判定条件： “关闭系统”设置为“只指派给Administrators组”；“从远端系统强制关机”设置为“只指派给Administrtors组”。编号：OS-Windows-授权-02要求内容：在本地安全设置中取得文件或其它对象的所有权仅指派

5、给Administrators操作指南： 进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”：“取得文件或其它对象的所有权”设置为“只指派给Administrators组”。检测方法：进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”：查看是否“取得文件或其它对象的所有权”设置为“只指派给Administrators组”。判定条件：“取得文件或其它对象的所有权”设置为“只指派给Administrators组”。编号：OS-Windows-授权-03要求内容：在本地安全设置中只允许授权的帐号进行本地、远程访问登陆此计算机操作指南： 进入“控制面板-管理工具

6、-本地安全策略”，在“本地策略-用户权利指派”：“从本地登陆此计算机”设置为“指定授权用户”“从网络访问此计算机”设置为“指定授权用户”检测方法：进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”：查看是否“从本地登陆此计算机”设置为“指定授权用户”查看是否“从网络访问此计算机”设置为“指定授权用户”判定条件：“从本地登陆此计算机”设置为“指定授权用户”“从网络访问此计算机”设置为“指定授权用户”三、 口令编号：OS-Windows-口令-01要求内容：密码长度最少8位，密码复杂度至少包含以下四种类别的字符中的三种：英语大写字母 A, B, C, Z英语小写字母 a, b,

7、 c, z 阿拉伯数字 0, 1, 2, 9 非字母数字字符，如标点符号，, #, $, %, &, *等操作指南： 进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：“密码必须符合复杂性要求”选择“已启动”。检测方法：进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：查看是否“密码必须符合复杂性要求”选择“已启动。”判定条件：“密码必须符合复杂性要求”选择“已启动”。编号：OS-Windows-口令-02要求内容：对于采用静态口令认证技术的设备，账户口令的生存期一般不超过90天，最长不超过180天操作指南： 进入“控制面板-管理工具-本地安全策略”，在“帐

8、户策略-密码策略”：“密码最长存留期”设置为“90天”。检测方法：进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：查看是否“密码最长存留期”设置为“90天”。判定条件：“密码最长存留期”设置为“90天”。编号：OS-Windows-口令-03要求内容：对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令操作指南： 进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：“强制密码历史”设置为“记住5个密码”。检测方法：进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：查看是否“强制密码历史”设置为“记住

9、5个密码”。判定条件：“强制密码历史”设置为“记住5个密码”。编号：OS-Windows-口令-04要求内容：对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号操作指南： 进入“控制面板-管理工具-本地安全策略”，在“帐户策略-帐户锁定策略”：“账户锁定阀值”设置为 6次，设置解锁阀值：30分钟。检测方法：进入“控制面板-管理工具-本地安全策略”，在“帐户策略-帐户锁定策略”：查看是否“账户锁定阀值”设置为小于等于6次。判定条件：“账户锁定阀值”设置为小于或等于6次。补充说明：设置不当可能导致账号大面积锁定，在域环境中应小心设置，Admini

10、strator 账号本身不会被锁定。四、 安全补丁编号：OS-Windows-安全补丁-01要求内容：在保证业务可用性的前提下，经过分析测试后，可以选择更新使用最新版本的补丁； 操作指南： 例如截止到2010年最新版本：Windows XP的Service Pack为SP3。 Windows2000的Service Pack为SP4,Windows 2003的Service Pack为SP2。检测方法：进入控制面板-添加或删除程序-显示更新打钩，查看是否XP系统已安装SP3，Win2000系统已安装SP4，Win2003系统已安装SP2。五、 防护软件编号：OS-Windows-防护软件-01

11、要求内容：启用自带防火墙或安装第三方威胁防护软件。根据业务需要限定允许访问网络的应用程序，和允许远程登陆该设备的IP地址范围操作指南： 进入“控制面板网络连接本地连接”，在高级选项的设置中启用Windows防火墙。在“例外”中配置允许业务所需的程序接入网络；在“例外-编辑-更改范围”编辑允许接入的网络地址范围。检测方法：进入“控制面板网络连接本地连接”，在高级选项的设置中，查看是否启用Windows防火墙。查看是否在“例外”中配置允许业务所需的程序接入网络；查看是否在“例外-编辑-更改范围”编辑允许接入的网络地址范围。判定条件：启用Windows防火墙。“例外”中允许接入网络的程序均为业务所需

12、。补充说明：分为服务器和操作终端两种情况：服务器该项为可选，操作终端该项为必选六、 防病毒软件编号：OS-Windows-防病毒软件-01要求内容：安装防病毒软件，并及时更新操作指南：安装防病毒软件，并及时更新检测方法：控制面板-添加或删除程序，是否安装有防病毒软件。打开防病毒软件控制面板，查看病毒码更新日期。判定条件：已安装防病毒软件，病毒码更新时间不早于1个月，各系统病毒码升级时间要求参见各系统相关规定。注：对于操作终端该项为必选项，对于服务器该项为可选项七、 日志编号：OS-Windows-日志-01要求内容：设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是

13、否成功，登录时间，以及远程登录时，用户使用的IP地址操作指南：开始-运行- 执行“ 控制面板-管理工具-本地安全策略-审核策略”；审核登录事件，双击，设置为成功和失败都审核。检测方法：开始-运行- 执行“ 控制面板-管理工具-本地安全策略-审核策略”；审核登录事件，双击，查看是否设置为成功和失败都审核。判定条件：审核登录事件，设置为成功和失败都审核。编号：OS-Windows-日志-02要求内容：开启审核策略，以便出现安全问题后进行追查操作指南：对审核策略进行检查：开始-运行-gpedit.msc计算机配置-Windows设置-安全设置-本地策略-审核策略以下审核是必须开启的，其他的可以根据需

14、要增加：审核系统登陆事件 成功，失败审核帐户管理 成功，失败审核登陆事件 成功，失败审核对象访问 成功审核策略更改 成功，失败审核特权使用 成功，失败审核系统事件 成功，失败判定条件：尝试对被添加了访问审核的对象进行访问，然后查看安全日志中是否会有相关记录，或通过其他手段激化以配置的审核策略，并观察日志中的记录情况，如果存在记录条目，则配置成功。补充说明：可能会使日志量猛增。编号：OS-Windows-日志-03要求内容：设置日志容量和覆盖规则，保证日志存储操作指南：开始-运行-eventvwr右键选择日志，属性，根据实际需求设置；日志文件大小：可根据需要制定。超过上限时的处理方式（建议日志记

15、录天数不小于90天）检测方法：开始-运行-eventvwr，右键选择日志，属性，查看日志上限及超过上线时的处理方式。补充说明：建议对每个日志均进行如上操作，同时应保证磁盘空间。八、 Windows服务编号：OS-Windows-Windows服务-01要求内容：关闭不必要的服务操作指南：进入“控制面板-管理工具-计算机管理”，进入“服务和应用程序”：可根据具体应用情况参考附表1，筛选不必要的服务。检测方法：进入“控制面板-管理工具-计算机管理”，进入“服务和应用程序”；查看所有服务，不在此列表的服务是否已关闭。判定条件：系统管理员应出具系统所必要的服务列表；查看所有服务，不在此列表的服务需关闭

16、。编号：OS-Windows-Windows服务-02要求内容：如需启用SNMP服务，则修改默认的SNMP Community String设置。操作指南：打开“控制面板”，打开“管理工具”中的“服务”，找到“SNMP Service”，单击右键打开“属性”面板中的“安全”选项卡，在这个配置界面中，可以修改community strings，也就是微软所说的“团体名称”。检测方法：打开“控制面板”，打开“管理工具”中的“服务”，找到“SNMP Service”，单击右键打开“属性”面板中的“安全”选项卡，在这个配置界面中，查看community strings，也就是微软所说的“团体名称”。判

17、定条件：community strings已改，不是默认的“public”。编号：OS-Windows-Windows服务-03要求内容：如对互联网开放WindowsTerminial服务(Remote Desktop)，需修改默认服务端口操作指南：开始-运行 Regedt32 并转到此项: HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp 找到“PortNumber”子项，会看到默认值 00000D3D，它是 3389 的十六进制表示形式。使用十六进制数值修改此端口号，并保存新值

18、。检测方法：运行 Regedt32 ,找到此项并判断。判定条件：找到“PortNumber”子项，设定值非00000D3D，即十进制3389。九、 启动项编号：OS-Windows-启动项-01要求内容：关闭无效启动项操作指南：“开始-运行-MSconfig”启动菜单中，取消不必要的启动项。检测方法：系统管理员提供业务必须的自动加载进程和服务列表文档。 查看“开始-运行-MSconfig”启动菜单： 不需要的自动加载进程是否已禁用和取消。一十、 关闭自动播放功能编号：OS-Windows-关闭自动播放功能-01要求内容：关闭Windows自动播放功能操作指南：开始运行gpedit.msc，打开

19、组策略编辑器，浏览到计算机配置管理模板系统，在右边窗格中双击“关闭自动播放”，对话框中选择所有驱动器，确定即可。检测方法：“关闭自动播放”配置已启用，启用范围：所有驱动器。判定条件：所有驱动器均“关闭自动播放”。一十一、 共享文件夹编号：OS-Windows-共享文件夹-01要求内容：在非域环境下，关闭Windows硬盘默认共享，例如C$，D$操作指南：进入“开始运行Regedit”，进入注册表编辑器，更改注册表键值：HKLMSystemCurrentControlSetServicesLanmanServerParameters下，增加REG_DWORD类型的AutoShareServer

20、键，值为 0。检测方法：进入“开始运行Regedit”，进入注册表编辑器，更改注册表键值：HKLMSystemCurrentControlSetServicesLanmanServerParameters，增加REG_DWORD类型的AutoShareServer 键，值为 0。判定条件：HKLMSystemCurrentControlSet ServicesLanmanServerParameters增加了REG_DWORD类型的AutoShareServer 键，值为0。编号：OS-Windows-共享文件夹-02要求内容：设置共享文件夹的访问权限，只允许授权的账户拥有权限共享此文件夹操作

21、指南：进入“控制面板-管理工具-计算机管理”，进入“系统工具共享文件夹”：查看每个共享文件夹的共享权限，只将权限授权于指定账户。检测方法：进入“控制面板-管理工具-计算机管理”，进入“系统工具共享文件夹”：查看每个共享文件夹的共享权限。判定条件：查看每个共享文件夹的共享权限仅限于业务需要，不设置成为“everyone”。一十二、 使用NTFS文件系统编号：OS-Windows-使用NTFS文件系统-01要求内容：在不毁坏数据的情况下，将FAT分区改为NTFS格式操作指南：将FAT卷转换成NTFS分区：CONVERT volume /FS:NTFS/V /CvtArea:filename/NoS

22、ecurity /XVolume 指定驱动器号（后面加一个冒号）、装载点或卷名/FS:NTFS 指定要被转换成NTFS的卷/V 指定CONVERT 应该用详述模式运行/CvtArea:filename 将根目录中的一个接续文件指定为NTFS系统文件的占位符/NoSecurity 指定每个人都可以访问转换的文件和目录的安全设置/X 如果必要，先强行卸载卷，有打开的句柄则无效例如：Covert C：/FS:NTFS检测方法：补充说明：1)、新上线系统必须要求NTFS分区，已上线系统在不损坏数据的情况下应用2)、在有其他非WIN系统访问、存在数据共享的情况下，不建议将FAT分区改为NTFS格式一十三

23、、 网络访问编号：OS-Windows-网络访问-01要求内容：禁用匿名访问命名管道和共享操作指南：“控制面板-管理工具-本地安全策略”，在“本地策略-安全选项”:网络访问：可匿名访问的共享设置为全部删除。“控制面板-管理工具-本地安全策略”，在“本地策略-安全选项”:网络访问：可匿名访问的命名管道设置为全部删除。检测方法：查看“控制面板-管理工具-本地安全策略”，在“本地策略-安全选项”:网络访问：可匿名访问的共享、可匿名访问的命名管道是否设置为全部删除。判定条件：全部删除匿名访问命名管道和共享。编号：OS-Windows-网络访问-02要求内容：禁用可远程访问的注册表路径和子路径操作指南：

24、“控制面板-管理工具-本地安全策略”，在“本地策略-安全选项”:网络访问：可远程访问的注册表路径设置为全部删除。“控制面板-管理工具-本地安全策略”，在“本地策略-安全选项”:网络访问：可远程访问的注册表路径和子路径 设置为全部删除。检测方法：查看“控制面板-管理工具-本地安全策略”，在“本地策略-安全选项”:网络访问中，查看，可远程访问的注册表路径、可远程访问的注册表路径和子路径是否设置为全部删除。判定条件：全部删除可远程访问的注册表路径和子路径。一十四、 会话超时设置编号：OS-Windows-会话超时设置-01要求内容：对于远程登录的账户，设置不活动所连接时间15分钟操作指南：进入“控制

25、面板管理工具本地安全策略”，在“安全策略安全选项”：“Microsoft 网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟。检测方法：进入“控制面板管理工具本地安全策略”，在“安全策略安全选项”：查看“Microsoft 网络服务器”设置。判定条件：“Microsoft 网络服务器”设置为“在挂起会话之前所需的空闲时间”一十五、 注册表设置编号：OS-Windows-注册表设置-01要求内容：在不影响系统稳定运行的前提下，对注册表信息进行更新操作指南：自动登录：HKLMSoftwareMicrosoftWindowsNT CurrentVersionWinlogonAutoAdmi

26、nLogon (REG_DWORD) 0源路由欺骗保护：HKLMSystemCurrentControlSet ServicesTcpipParametersDisableIPSourceRouting (REG_DWORD) 2删除匿名用户空链接HKEY_LOCAL_MACHINE SYSTEMCurrentControlSetControlLsa将restrictanonymous 的值设置为1，若该值不存在，可以自己创建，类型为REG_DWORD修改完成后重新启动系统生效碎片攻击保护：HKLMSystemCurrentControlSet ServicesTcpipParametersEnablePMTUDiscovery (REG_DWORD) 1Syn flood 攻击保护：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下，可设置：TcpMaxPortsExhausted。推荐值：5。 TcpMaxHalfOpen。推荐值数据：500。 TcpMaxHalfOpenRetried。推荐值数据：400检测方法：点击开始-运行，然后在打开行里输入regedit，然后单击确定，查看相关注册表项进行查看；使用空连接扫描工具无法远程枚举用户名和用户组。