windows操作系统安全配置要求.docx

1、windows操作系统安全配置要求windows操作系统安全配置要求一、账户管理1、管理缺省账户安全基线要求：重命名管理员账户Administrator,禁用来宾账户Guest。检测操作参考：进入“控制面板-管理工具-计算机管理” ，进入“系统工具-本地用户和组-用户” 中： 1 ）查看账户中是否包含Administrator ； 2 ）选择Guest ，鼠标右键-属性。2、删除与工作无关的账户安全基线要求：删除或锁定与工作无关的账户，提高系统帐户安全。检测操作参考：进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组-用户”：1）删除无关账户：鼠标右键-删除； 2）禁用无关账户

2、：鼠标右键-属性-勾选“账户已禁用” 。二、口令管理1、密码复杂度安全基线要求：密码复杂度要求：至少包含以下四种类别的字符中的三种： 英文大写字母（A 到 Z） 英文小写字母( a 到 z ) 阿拉伯数字( 0 到 9 ) 非字母字符（例如!、$、#、%）。检测操作参考： 进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略-密码必须符合复杂性要求”，鼠标右键-属性-选择“已启用“。2、密码长度最小值安全基线要求：最短密码长度 8 位。检测操作参考：进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略-密码长度最小值”，鼠标右键-属性-8-确定。3、密码最长使用期限安全

3、基线要求：对于采用静态口令认证技术的设备，账户口令生存期不长于 90 天。检测操作参考：进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略-密码最长使用期限”，鼠标右键-属性- 90 -确定。4、强制密码历史安全基线要求：对于采用静态口令认证技术的设备，应配置设备使用户不能重复使用最近 5 次（含5 次）内已使用的口令。检测操作参考：进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略-强制密码历史”，鼠标右键-属性-5 -确定。5、账户锁定阈值安全基线要求：对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过 6 次（不含 6 次），锁定该用户使用的账户

4、。检测操作参考：进入“控制面板-管理工具-本地安全策略”，在“帐户策略-账户锁定策略-帐户锁定阈值”，鼠标右键-属性-6 -确定。三、认证授权1、远程强制关机授权安全基线要求：远程系统强制关机只指派给 Administrators 组。检测操作参考：进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派-从远程系统强制关机”，鼠标右键-属性-设置为“只指派给 Administrtors 组”。2、关闭系统授权安全基线要求：本地系统强制关机只指派给 Administrators 组。检测操作参考：进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派-关闭系统”，鼠标

5、右键-属性-设置为“只指派给 Administrtors 组”。3、文件所有权授权安全基线要求：“取得文件或其它对象的所有权“只指派给 Administrators 组检测操作参考：进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派-取得文件或其它对象的所有权”，鼠标右键-属性-设置为“只指派给Administrtors 组”。四、日志审计1、审核登录安全基线要求： 应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账户，登录是否成功，登录时间，以及远程登录时使用的 IP 地址。检测操作参考： 进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略-审核

6、登录事件”，鼠标右键-属性-勾选“成功”与“失败”两项。2、审核策略更改安全基线要求：启用对Windows 系统的审核策略更改，成功与失败都要审核。检测操作参考 进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略-审核策略更改”，鼠标右键-属性-勾选“成功”与“失败”两项。3、审核对象访问安全基线要求：启用对Windows 系统的审核对象访问，成功与失败都要审核。检测操作参考：进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略-审核对象访问”，鼠标右键-属性-勾选“成功”与“失败”两项。4、审核目录服务访问安全基线要求：启用对Windows 系统的审核目录服务访问，

7、成功与失败都要审核。检测操作参考：进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略-审核目录服务访问”，鼠标右键-属性-勾选“成功”与“失败”两项。5、审核特权使用安全基线要求：启用对Windows 系统的审核特权使用，成功与失败都要审核。检测操作参考：进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略-审核特权使用”，鼠标右键-属性-勾选“成功”与“失败”两项。6、审核系统事件安全基线要求：启用对Windows 系统的审核系统事件，成功与失败都要审核。检测操作参考：进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略-审核系统事件”，鼠标右键-属性-

8、勾选“成功”与“失败”两项。7、审核帐户管理安全基线要求：启用对Windows 系统的审核帐户管理，成功与失败都要审核。检测操作参考：进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略-审核帐户管理”，鼠标右键-属性-勾选“成功”与“失败”两项。8、审核过程追踪安全基线要求：启用对Windows 系统的审核过程追踪，失败需要审核。检测操作参考：进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略-审核过程追踪”，鼠标右键-属性-勾选”失败”。9、日志文件大小安全基线要求：设置日志容量和覆盖规则，保证日志存储。检测操作参考：进入“控制面板-管理工具-事件查看器”，在事件

9、查看器（本地）中：1）在“应用程序”的属性中，“日志大小上限”设置为“40960KB”，“达到日志大小上限时“，选择“按需要覆盖事件”； 2）在“系统”属性中，“日志大小上限”设置为“40960KB”，“达到日志大小上限时“，选择“按需要覆盖事件”； 3）在“安全性”属性中，“日志大小上限”设置为“40960KB”，“达到日志大小上限时“，选择“按需要覆盖事件”。五、协议安全1、启用系统自带防火墙安全基线要求：启用系统自带防火墙安全判定依据：进入“控制面板-Windows 防火墙”，查看是否设置为“启用”。2、开启TCP/IP筛选安全基线要求：开启 TCP/IP 筛选，过滤不必要的端口，提高系

10、统安全性。检测操作参考： 1）系统管理员列出业务所需端口，根据列表只开放与业务相关端口； 2）进入“控制面板-网络连接-本地连接-鼠标右键-属性-Internet 协议-属性-高级-选项-TCP/IP 筛选-属性”，鼠标左键双击选择”启用 TCP/IP 筛选”，只开放业务所需要的 TCP，UDP 端口和 IP 协议。3、启用SYN攻击保护设置安全基线要求：启用 SYN 攻击保护，提高系统安全性。检测操作参考：开始-运行-regedit.exe, 进入注册表： HKEY_LOCAL_MACHINESystemCurrentControlSetServicesTcpipParameters 下，新

11、建”DWORD 值”，名称为”TcpMaxPortsExhausted”，推荐值为5；HKEY_LOCAL_MACHINESystemCurrentControlSet ServicesTcpipParameters 下，新建”DWORD 值”，值名称为”TcpMaxHalfOpen”，推荐值为 500； HKEY_LOCAL_MACHINESystem CurrentControlSetServicesTcpipParameters 下，新建”DWORD 值”，值名称为”TcpMaxHalfOpenRetried”，推荐值为 400。4、设置网络服务器挂起时间安全基线要求：设置网络服务器挂起

12、时间，防止用户忘记锁定机器被非法利用。检测操作参考： 进入“控制面板-管理工具-本地安全策略”，在“本地策略-安全选项-Microsoft 网络服务器: 在挂起会话前所需的空闲时间”，鼠标右键-属性-15-确定。六、系统服务1、修改SNMP服务密码安全基线要求：如需启用 SNMP 服务，则修改默认 SNMP Community String。检测操作参考：进入“控制面板-管理工具-服务”，找到“SNMP Service”，右键打开“属性”面板中的“安全”选项卡，在这个配置界面中修改 community strings。2、关闭自动播放功能安全基线要求：关闭 Windows 自动播放，防止从移动

13、设备（或光盘）感染恶意代码。检测操作参考：1）对于 Windows XP 与 Windows 2003，开始-运行-gpedit.msc，打开组策略编辑器，选择“计算机配置-管理模板-系统-关闭自动播放“，查看其状态。2）对于Windows 7 与 Windows 2008，开始-运行- gpedit.msc，打开组策略编辑器，在“计算机配置-管理模板-Windows 组件 -自动播放策略”中选择“关闭自动播放”，查看其状态。七、补丁与防护软件1、系统安全补丁管理安全基线要求：所有联网桌面计算机统一部署桌面安全管理软件，由该软件统一进行系统安全补丁更新。检测操作参考： 按照集团公司信息管理部要

14、求，地区公司自行组织，集中部署桌面安全管理系统，监督未部署的桌面计算机并进行整改，保证所有联网计算机全部安装统一的桌面安全管理系统软件。服务器安装补丁前应进行测试。2、防病毒管理安全基线要求： 所有联网终端计算机统一部署中国石油统一部署的防病毒软件，在中国石油网络内杜绝个人行为的安装第三方防病毒软件。八、共享文件夹及访问权限1、关闭默认共享安全基线要求：在非域环境下，关闭 windows 硬盘默认共享，例如 C$,D$。检测操作参考：开始-运行- regedit.exe，进入注册表编辑器，更改注册表键值： HKEY_LOCAL_MACHINESystemCurrentControlSetSer

15、vicesLanmanServerParameters下，增加REG_DWORD 类型的 AutoShareServer 键，值为0。2、设置共享文件夹访问权限安全基线要求：设置共享文件夹访问权限，只允许授权的账户拥有权限共享此文件夹。检测操作参考：进入“控制面板-管理工具-计算机管理”，在“系统工具-共享文件夹”下，查看每个共享文件夹的共享权限，只将权限授权于指定账户。九、远程维护1、远程协助安全管理安全基线要求：如果特别需要，建议关闭远程协助。检测操作参考：鼠标右键点击“我的电脑”，选择“属性”，选择“远程”标签，取消”允许从这台计算机发起远程协助邀请”的勾选。2、远程桌面安全管理安全基线要求：终端计算机如无特别需要，建议关闭远程桌面。检测操作参考：鼠标右键点击“我的电脑”，选择“属性”，选择“远程”标签，取消”允许用户远程连接到此计算机”的勾选。十、其它1、数据执行保护安全基线要求：配置系统核心的数据执行保护，提高系统抵抗非法修改文件的性能。检测操作参考 进入“控制面板-系统”，在“高级”选项卡的“性能”下点击设置，选择“数据执行保护”选项卡，选择“仅为基本Windows 操作系统程序和服务启用 DEP”。