Windows系统安全系统配置基线.docx

1、Windows系统安全系统配置基线Windows系统安全配置基线第1章概述1.1目的本文规定了WINDOWS 操作系统主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进展WINDOWS 操作系统的安全合规性检查和配置。1.2适用X围本配置标准的使用者包括：服务器系统管理员、安全管理员和相关使用人员。本配置标准适用的X围包括： WINDOWS 服务器。1.3适用版本适用于Windows XP 、Windows Server服务器。第2章安装前准备工作2.1需准备的光盘1 正版的Windows服务器操作系统光盘。2 服务器用杀毒软件光盘。第3章操作系统的根本安装3.1

2、根本安装 1 使用NTFS文件系统来最小化安装操作系统。2 管理员账号须设置较复杂的口令由数字、大小写字母和特殊字符组成，长度在12位以上，其中管理员口令应一机一密码，不同机器之间不应一样。3 断开网络安装完操作系统后，在业务网专用区域内连接网络进展系统升级，并打开Windows自动更新服务。4 升级完成后，安装前述光盘中的杀毒软件并进展更新。第4章账号管理、认证授权4.1账号安全基线项目名称操作系统缺省账户安全基线要求项安全基线项说明 对于管理员某某，要求更改缺省某某名称；禁用guest来宾某某。检测操作步骤进入“控制面板-管理工具-计算机管理，在“系统工具-本地用户和组：缺省某某Admin

3、istrator属性Guest某某-属性基线符合性判定依据缺省账户Administrator名称已更改Guest某某已停用备注安全基线项目名称操作系统缺省账户安全基线要求项安全基线项说明 删除或锁定与设备运行、维护等与工作无关的账号。检测操作步骤1、参考配置操作进入“控制面板-管理工具-计算机管理，在“系统工具-本地用户和组：删除或锁定与设备运行、维护等与工作无关的账号。基线符合性判定依据1、判定条件结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的账号。2、检测操作进入“控制面板-管理工具-计算机管理，在“系统工具-本地用户和组：查看是否删除或锁定与设备运行、维护等

4、与工作无关的账号。备注安全基线项目名称操作系统缺省账户安全基线要求项安全基线项说明 按照用户分配账号。根据系统的要求，设定不同的账户和账户组，管理员用户，操作员用户operator，审计用户auditor等。检测操作步骤1、参考配置操作进入“控制面板-管理工具-计算机管理，在“系统工具-本地用户和组：根据系统的要求，设定不同的账户和账户组，管理员用户，操作员用户和审计用户纳入user组。基线符合性判定依据1、判定条件结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的账户和账户组，管理员用户，操作员用户，审计用户。2、检测操作进入“控制面板-管理工具-计算机管理，在“系统工具-本地用

5、户和组：查看根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户，审计用户。备注4.2口令安全基线项目名称操作系统密码复杂度安全基线要求项安全基线项说明 最短密码长度12个字符，启用本机组策略中密码必须符合复杂性要求的策略。即密码需要包含以下四种类别的字符： 英语大写字母 A, B, C, Z 英语小写字母 a, b, c, z 西方阿拉伯数字 0, 1, 2, 9 非字母数字字符，如标点符号，, #, $, %, &, *等检测操作步骤进入“控制面板-管理工具-本地安全策略，在“某某策略-密码策略：查看是否“密码必须符合复杂性要求选择“已启动基线符合性判定依据“密码必须符合复杂性要

6、求选择“已启动备注安全基线项目名称操作系统密码最长生存期要求项安全基线项说明 对于采用静态口令认证技术的系统，账户口令的生存期不长于90天。检测操作步骤进入“控制面板-管理工具-本地安全策略，在“某某策略-密码策略：查看“密码最长存留期基线符合性判定依据“密码最长存留期设置不大于“90天备注安全基线项目名称操作系统密码历史安全基线要求项安全基线项说明 对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次含5次内已使用的口令。检测操作步骤1、参考配置操作进入“控制面板-管理工具-本地安全策略，在“某某策略-密码策略：“强制密码历史设置为“记住5个密码基线符合性判定依据1、判定条

7、件“强制密码历史设置为“记住5个密码2、检测操作进入“控制面板-管理工具-本地安全策略，在“某某策略-密码策略：查看是否“强制密码历史设置为“记住5个密码备注安全基线项目名称操作系统账户锁定策略安全基线要求项安全基线项说明 对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过4次不含5，锁定该用户使用的账号。检测操作步骤进入“控制面板-管理工具-本地安全策略，在“某某策略-某某锁定策略：查看“账户锁定阀值设置基线符合性判定依据“账户锁定阀值设置为小于或等于 3次，锁定时间1分钟。备注4.3授权安全基线项目名称操作系统远程关机策略安全基线要求项安全基线项说明 在本地安全设置中从远端系

8、统强制关机只指派给Administrators组。检测操作步骤进入“控制面板-管理工具-本地安全策略，在“本地策略-用户权利指派:查看“从远端系统强制关机设置基线符合性判定依据“从远端系统强制关机设置为“只指派给Administrtors组备注安全基线项目名称操作系统本地关机策略安全基线要求项安全基线项说明 在本地安全设置中关闭系统仅指派给Administrators组。检测操作步骤进入“控制面板-管理工具-本地安全策略，在“本地策略-用户权利指派:查看“关闭系统设置基线符合性判定依据“关闭系统设置为“只指派给Administrators组备注4.3.3隐藏上次登录名安全基线项目名称操作系统本

9、地登录名隐藏策略安全基线要求项安全基线项说明 交互式登录，不显示上次登录的用户名检测操作步骤运行输入“gpedit.msc本地计算机策略windows设置安全设置本地策略安全选项下:启用交互式登录:不显示最后的用户名基线符合性判定依据“交互式登录:不显示最后的用户名设置为“已启用备注4.3.4关机清理内存页面安全基线项目名称操作系统关机清理内存策略安全基线要求项安全基线项说明 关机时清理虚拟内存页面文件检测操作步骤运行输入“gpedit.msc本地计算机策略windows设置安全设置本地策略安全选项下:启用关机:清理虚拟内存页面文件基线符合性判定依据“关机:清理虚拟内存页面文件设置为“已启用备

10、注4.3.5用户权利指派安全基线项目名称操作系统用户权力指派策略安全基线要求项安全基线项说明 在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。检测操作步骤进入“控制面板-管理工具-本地安全策略，在“本地策略-用户权利指派：查看是否“取得文件或其它对象的所有权设置基线符合性判定依据“取得文件或其它对象的所有权设置为“只指派给Administrators组备注第5章日志配置操作5.1日志配置登录安全基线项目名称操作系统审核登录策略安全基线要求项安全基线项说明 设备应配置日志功能，对用户登录进展记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以与远程登录

11、时，用户使用的IP地址。检测操作步骤开始-运行- 执行“ 控制面板-管理工具-本地安全策略-审核策略审核登录事件。基线符合性判定依据审核登录事件，设置为成功和失败都审核。备注更改安全基线项目名称操作系统审核策略更改安全基线要求项安全基线项说明 启用组策略中对Windows系统的审核策略更改，成功和失败都要审核。检测操作步骤进入“控制面板-管理工具-本地安全策略，在“本地策略-审核策略中查看“审核策略更改设置。基线符合性判定依据“审核策略更改设置为“成功 和“失败都要审核。备注对象访问安全基线项目名称操作系统审核对象访问安全基线要求项安全基线项说明 启用组策略中对Windows系统的审核对象访问

12、，成功和失败都要审核。检测操作步骤进入“控制面板-管理工具-本地安全策略，在“本地策略-审核策略中：查看“审核对象访问设置。基线符合性判定依据“审核对象访问设置为“成功和“失败都要审核。备注服务器访问安全基线项目名称操作系统审核事件服务器访问策略安全基线要求项安全基线项说明 启用组策略中对Windows系统的审核服务访问，失败。检测操作步骤进入“控制面板-管理工具-本地安全策略，在“本地策略-审核策略中：查看“审核服务器访问设置。基线符合性判定依据“审核服务器访问设置为“成功 和“失败都要审核。备注安全基线项目名称操作系统审核特权使用策略安全基线要求项安全基线项说明 启用组策略中对Window

13、s系统的审核特权使用，成功和失败都要审核。检测操作步骤进入“控制面板-管理工具-本地安全策略，在“本地策略-审核策略中：查看“审核特权使用设置。基线符合性判定依据“审核特权使用设置为“成功 和“失败都要审核。备注安全基线项目名称操作系统审核系统事件策略安全基线要求项安全基线项说明 启用组策略中对Windows系统的审核系统事件，成功和失败都要审核。检测操作步骤进入“控制面板-管理工具-本地安全策略，在“本地策略-审核策略中：查看“审核系统事件设置。基线符合性判定依据“审核系统事件设置为“成功 和“失败都要审核。备注安全基线项目名称操作系统审核账户管理策略安全基线要求项安全基线项说明 启用组策略

14、中对Windows系统的审核某某管理，成功和失败都要审核。检测操作步骤进入“控制面板-管理工具-本地安全策略，在“本地策略-审核策略中：查看“审核账户管理 设置。基线符合性判定依据“审核账户管理设置为“成功 和“失败都要审核。备注安全基线项目名称操作系统审核过程追踪策略安全基线要求项安全基线项说明 启用组策略中对Windows系统的审核过程追踪失败。检测操作步骤进入“控制面板-管理工具-本地安全策略，在“本地策略-审核策略中：查看“审核过程追踪设置。基线符合性判定依据“审核过程追踪设置为 “失败需要审核。备注安全基线项目名称操作系统日志容量安全基线要求项安全基线项说明 设置应用日志文件大小至少

15、为8M，设置当达到最大的日志尺寸时，按需要改写事件。检测操作步骤进入“控制面板-管理工具-事件查看器，在“事件查看器本地中：查看“应用日志“系统日志“安全日志属性中的日志大小 ,以与设置当达到最大的日志尺寸时的相应策略。基线符合性判定依据“应用日志“系统日志“安全日志属性中的日志大小设置不小于“8M ,设置当达到最大的日志尺寸时，“按需要改写事件。备注第6章其他配置操作6.1共享文件夹与访问权限安全基线项目名称操作系统默认共享安全基线要求项安全基线项说明 非域环境中，关闭Windows硬盘默认共享，例如C$，D$。检测操作步骤进入“开始运行Regedit，进入注册表编辑器，查看 HKLMSys

16、temCurrentControlSetServicesLanmanServerParametersAutoShareServer；基线符合性判定依据HKLMSystemCurrentControlSetServicesLanmanServerParametersAutoShareServer 键，值为 0。备注6.2防病毒管理安全基线项目名称操作系统防病毒保护安全基线要求项安全基线项说明 对Windows 2003服务器主机应当安装部署服务器专版杀毒软件，并打开自动升级病毒库选项。检测操作步骤查看是否存在符合条件的杀毒软件；点击进入杀毒软件的操作界面，检查是否开启自动更新。基线符合性判定依据

17、如不存在杀毒软件或者没打开自动更新即为不合规。备注6.3Windows服务安全基线项目名称操作系统系统服务管理安全基线要求项安全基线项说明 检查系统开机启动的服务，并根据实际情况开启/关闭服务，如：Messenger，Task Scheduler，Server，Workstation，Print Spooler，Alerter，puter Browser，DHCP Client，Remote Registry Service，SNMP，TCP/IP NetBIOS Helper，IPSEC Policy Agent等；检测操作步骤打开“控制面板，打开“管理工具中的“服务。基线符合性判定依据关闭

18、不需要的服务，并设置非开机自动启动项。询问管理员，在系统确实需要的情况下可开启相应的服务，如SNMP等。备注系统管理员应出具系统所必要的服务列表。查看所有服务，不在此列表的服务需关闭。6.4访问控制限制Radmin管理地址安全基线项目名称操作系统数据访问控制安全基线要求项安全基线项说明 通过限制Radmin管理地址，严格控制访问者来源检测操作步骤1、参考配置操作开始菜单Radminoperations for Remote Administrator server选择Operations选择Add添加168.8.44.0/255.255.255.0 168.8.43.0/255.255.255

19、.0基线符合性判定依据1、判定条件在非管理网段尝试进展radmin连接备注中心机房以外的服务器管理暂时不做源地址限制。6.5启动项安全基线项目名称操作系统Windows自动播放安全基线要求项安全基线项说明 关闭Windows自动播放功能。检测操作步骤打开“开始运行，在对话框中输入“gpedit.msc命令，在出现“组策略窗口中依次选择“在计算机配置管理模板系统，双击“关闭自动播放查看。基线符合性判定依据在“设置选项卡中选“已启用选项。备注安全基线项目名称操作系统Windows其他安全配置基线要求项安全基线项说明 配置Windows屏幕保护功能检测操作步骤1、参考配置操作打开控制面板显示，在“显

20、示属性中选择屏幕保护，选择任意屏幕保护程序后将等待时间修改为15分钟，并选择“在恢复时使用密码保护，确定即可。基线符合性判定依据1、判定条件计算机15分钟无操作时能自动启用屏幕保护，恢复时要求输入密码。2、检测操作打开控制面板显示，在“显示属性中选择屏幕保护，检查等待时间和“在恢复时使用密码保护设置。备注安全基线项目名称操作系统Windows其他安全配置基线要求项安全基线项说明 安装最新的Service Pack补丁集检测操作步骤1、参考配置操作安装最新的Service Pack补丁集，目前Windows XP的Service Pack为SP3。Windows2000要求重装到Windows2003，对于客观因素无法重装的Windows2000，建议Service Pack升级至SP4,Windows 2003的Service Pack为SP2，Windows 2008的Servoce Pack为SP2。基线符合性判定依据1、判定条件显示XP系统已安装SP3，Win2000系统已安装SP4，Win2003为SP2，Win2008为SP2。2、检测操作右击我的电脑-属性，查看是否XP系统已安装SP3，Win2000系统已安装SP4，Win2003系统已安装SP2，2008系统已安装SP2。备注持续改良本文件由XXX定期进展审查，根据审查结果修订标准，并重新颁发执行。