1、windows操作系统安全配置要求windows操作系统安全配置要求一、账户管理1、管理缺省账户安全基线要求:重命名管理员账户Administrator,禁用来宾账户Guest。检测操作参考:进入“控制面板-管理工具-计算机管理” ,进入“系统工具-本地用户和组-用户” 中: 1 )查看账户中是否包含Administrator ; 2 )选择Guest ,鼠标右键-属性。2、删除与工作无关的账户安全基线要求:删除或锁定与工作无关的账户,提高系统帐户安全。检测操作参考:进入“控制面板-管理工具-计算机管理”,在“系统工具-本地用户和组-用户”:1)删除无关账户:鼠标右键-删除; 2)禁用无关账户
2、:鼠标右键-属性-勾选“账户已禁用” 。二、口令管理1、密码复杂度安全基线要求:密码复杂度要求:至少包含以下四种类别的字符中的三种: 英文大写字母(A 到 Z) 英文小写字母( a 到 z ) 阿拉伯数字( 0 到 9 ) 非字母字符(例如!、$、#、%)。检测操作参考: 进入“控制面板-管理工具-本地安全策略”,在“帐户策略-密码策略-密码必须符合复杂性要求”,鼠标右键-属性-选择“已启用“。2、密码长度最小值安全基线要求:最短密码长度 8 位。检测操作参考:进入“控制面板-管理工具-本地安全策略”,在“帐户策略-密码策略-密码长度最小值”,鼠标右键-属性-8-确定。3、密码最长使用期限安全
3、基线要求:对于采用静态口令认证技术的设备,账户口令生存期不长于 90 天。检测操作参考:进入“控制面板-管理工具-本地安全策略”,在“帐户策略-密码策略-密码最长使用期限”,鼠标右键-属性- 90 -确定。4、强制密码历史安全基线要求:对于采用静态口令认证技术的设备,应配置设备使用户不能重复使用最近 5 次(含5 次)内已使用的口令。检测操作参考:进入“控制面板-管理工具-本地安全策略”,在“帐户策略-密码策略-强制密码历史”,鼠标右键-属性-5 -确定。5、账户锁定阈值安全基线要求:对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过 6 次(不含 6 次),锁定该用户使用的账户
4、。检测操作参考:进入“控制面板-管理工具-本地安全策略”,在“帐户策略-账户锁定策略-帐户锁定阈值”,鼠标右键-属性-6 -确定。三、认证授权1、远程强制关机授权安全基线要求:远程系统强制关机只指派给 Administrators 组。检测操作参考:进入“控制面板-管理工具-本地安全策略”,在“本地策略-用户权利指派-从远程系统强制关机”,鼠标右键-属性-设置为“只指派给 Administrtors 组”。2、关闭系统授权安全基线要求:本地系统强制关机只指派给 Administrators 组。检测操作参考:进入“控制面板-管理工具-本地安全策略”,在“本地策略-用户权利指派-关闭系统”,鼠标
5、右键-属性-设置为“只指派给 Administrtors 组”。3、文件所有权授权安全基线要求:“取得文件或其它对象的所有权“只指派给 Administrators 组检测操作参考:进入“控制面板-管理工具-本地安全策略”,在“本地策略-用户权利指派-取得文件或其它对象的所有权”,鼠标右键-属性-设置为“只指派给Administrtors 组”。四、日志审计1、审核登录安全基线要求: 应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账户,登录是否成功,登录时间,以及远程登录时使用的 IP 地址。检测操作参考: 进入“控制面板-管理工具-本地安全策略”,在“本地策略-审核策略-审核
6、登录事件”,鼠标右键-属性-勾选“成功”与“失败”两项。2、审核策略更改安全基线要求:启用对Windows 系统的审核策略更改,成功与失败都要审核。检测操作参考 进入“控制面板-管理工具-本地安全策略”,在“本地策略-审核策略-审核策略更改”,鼠标右键-属性-勾选“成功”与“失败”两项。3、审核对象访问安全基线要求:启用对Windows 系统的审核对象访问,成功与失败都要审核。检测操作参考:进入“控制面板-管理工具-本地安全策略”,在“本地策略-审核策略-审核对象访问”,鼠标右键-属性-勾选“成功”与“失败”两项。4、审核目录服务访问安全基线要求:启用对Windows 系统的审核目录服务访问,
7、成功与失败都要审核。检测操作参考:进入“控制面板-管理工具-本地安全策略”,在“本地策略-审核策略-审核目录服务访问”,鼠标右键-属性-勾选“成功”与“失败”两项。5、审核特权使用安全基线要求:启用对Windows 系统的审核特权使用,成功与失败都要审核。检测操作参考:进入“控制面板-管理工具-本地安全策略”,在“本地策略-审核策略-审核特权使用”,鼠标右键-属性-勾选“成功”与“失败”两项。6、审核系统事件安全基线要求:启用对Windows 系统的审核系统事件,成功与失败都要审核。检测操作参考:进入“控制面板-管理工具-本地安全策略”,在“本地策略-审核策略-审核系统事件”,鼠标右键-属性-
8、勾选“成功”与“失败”两项。7、审核帐户管理安全基线要求:启用对Windows 系统的审核帐户管理,成功与失败都要审核。检测操作参考:进入“控制面板-管理工具-本地安全策略”,在“本地策略-审核策略-审核帐户管理”,鼠标右键-属性-勾选“成功”与“失败”两项。8、审核过程追踪安全基线要求:启用对Windows 系统的审核过程追踪,失败需要审核。检测操作参考:进入“控制面板-管理工具-本地安全策略”,在“本地策略-审核策略-审核过程追踪”,鼠标右键-属性-勾选”失败”。9、日志文件大小安全基线要求:设置日志容量和覆盖规则,保证日志存储。检测操作参考:进入“控制面板-管理工具-事件查看器”,在事件
9、查看器(本地)中:1)在“应用程序”的属性中,“日志大小上限”设置为“40960KB”,“达到日志大小上限时“,选择“按需要覆盖事件”; 2)在“系统”属性中,“日志大小上限”设置为“40960KB”,“达到日志大小上限时“,选择“按需要覆盖事件”; 3)在“安全性”属性中,“日志大小上限”设置为“40960KB”,“达到日志大小上限时“,选择“按需要覆盖事件”。五、协议安全1、启用系统自带防火墙安全基线要求:启用系统自带防火墙安全判定依据:进入“控制面板-Windows 防火墙”,查看是否设置为“启用”。2、开启TCP/IP筛选安全基线要求:开启 TCP/IP 筛选,过滤不必要的端口,提高系
10、统安全性。检测操作参考: 1)系统管理员列出业务所需端口,根据列表只开放与业务相关端口; 2)进入“控制面板-网络连接-本地连接-鼠标右键-属性-Internet 协议-属性-高级-选项-TCP/IP 筛选-属性”,鼠标左键双击选择”启用 TCP/IP 筛选”,只开放业务所需要的 TCP,UDP 端口和 IP 协议。3、启用SYN攻击保护设置安全基线要求:启用 SYN 攻击保护,提高系统安全性。检测操作参考:开始-运行-regedit.exe, 进入注册表: HKEY_LOCAL_MACHINESystemCurrentControlSetServicesTcpipParameters 下,新
11、建”DWORD 值”,名称为”TcpMaxPortsExhausted”,推荐值为5;HKEY_LOCAL_MACHINESystemCurrentControlSet ServicesTcpipParameters 下,新建”DWORD 值”,值名称为”TcpMaxHalfOpen”,推荐值为 500; HKEY_LOCAL_MACHINESystem CurrentControlSetServicesTcpipParameters 下,新建”DWORD 值”,值名称为”TcpMaxHalfOpenRetried”,推荐值为 400。4、设置网络服务器挂起时间安全基线要求:设置网络服务器挂起
12、时间,防止用户忘记锁定机器被非法利用。检测操作参考: 进入“控制面板-管理工具-本地安全策略”,在“本地策略-安全选项-Microsoft 网络服务器: 在挂起会话前所需的空闲时间”,鼠标右键-属性-15-确定。六、系统服务1、修改SNMP服务密码安全基线要求:如需启用 SNMP 服务,则修改默认 SNMP Community String。检测操作参考:进入“控制面板-管理工具-服务”,找到“SNMP Service”,右键打开“属性”面板中的“安全”选项卡,在这个配置界面中修改 community strings。2、关闭自动播放功能安全基线要求:关闭 Windows 自动播放,防止从移动
13、设备(或光盘)感染恶意代码。检测操作参考:1)对于 Windows XP 与 Windows 2003,开始-运行-gpedit.msc,打开组策略编辑器,选择“计算机配置-管理模板-系统-关闭自动播放“,查看其状态。2)对于Windows 7 与 Windows 2008,开始-运行- gpedit.msc,打开组策略编辑器,在“计算机配置-管理模板-Windows 组件 -自动播放策略”中选择“关闭自动播放”,查看其状态。七、补丁与防护软件1、系统安全补丁管理安全基线要求:所有联网桌面计算机统一部署桌面安全管理软件,由该软件统一进行系统安全补丁更新。检测操作参考: 按照集团公司信息管理部要
14、求,地区公司自行组织,集中部署桌面安全管理系统,监督未部署的桌面计算机并进行整改,保证所有联网计算机全部安装统一的桌面安全管理系统软件。服务器安装补丁前应进行测试。2、防病毒管理安全基线要求: 所有联网终端计算机统一部署中国石油统一部署的防病毒软件,在中国石油网络内杜绝个人行为的安装第三方防病毒软件。八、共享文件夹及访问权限1、关闭默认共享安全基线要求:在非域环境下,关闭 windows 硬盘默认共享,例如 C$,D$。检测操作参考:开始-运行- regedit.exe,进入注册表编辑器,更改注册表键值: HKEY_LOCAL_MACHINESystemCurrentControlSetSer
15、vicesLanmanServerParameters下,增加REG_DWORD 类型的 AutoShareServer 键,值为0。2、设置共享文件夹访问权限安全基线要求:设置共享文件夹访问权限,只允许授权的账户拥有权限共享此文件夹。检测操作参考:进入“控制面板-管理工具-计算机管理”,在“系统工具-共享文件夹”下,查看每个共享文件夹的共享权限,只将权限授权于指定账户。九、远程维护1、远程协助安全管理安全基线要求:如果特别需要,建议关闭远程协助。检测操作参考:鼠标右键点击“我的电脑”,选择“属性”,选择“远程”标签,取消”允许从这台计算机发起远程协助邀请”的勾选。2、远程桌面安全管理安全基线要求:终端计算机如无特别需要,建议关闭远程桌面。检测操作参考:鼠标右键点击“我的电脑”,选择“属性”,选择“远程”标签,取消”允许用户远程连接到此计算机”的勾选。十、其它1、数据执行保护安全基线要求:配置系统核心的数据执行保护,提高系统抵抗非法修改文件的性能。检测操作参考 进入“控制面板-系统”,在“高级”选项卡的“性能”下点击设置,选择“数据执行保护”选项卡,选择“仅为基本Windows 操作系统程序和服务启用 DEP”。
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1