Windows操作系统安全配置规范.docx

1、Windows操作系统安全配置规范 安全配置规范WINDOWS操作系统2009.12南宁目录1 概述 21.1 适用范围 21.2 术语和定义 21.3 符号和缩略语 22 WINDOWS设备安全配置要求 22.1 账号管理、认证授权 32.1.1 账号 32.1.2 口令 52.1.3 授权 72.2 日志配置操作 92.3 IP协议安全配置操作 152.4 设备其他配置操作 182.4.1 屏幕保护 182.4.2 共享文件夹及访问权限 192.4.3 补丁管理 202.4.4 防病毒管理 212.4.5 Windows服务 222.4.6 启动项 24概述适用范围本规范所指的设备为Win

2、dows系统设备。本规范提出的安全功能要求要求和安全配置要求要求，在未特别说明的情况下，均适用于所有运行的Windows操作系统，包括Windows 2000、Windows XP、Windows2003以及各版本中的Sever、Professional版本。术语和定义设备配置要求：描述在规范适用范围内设备必须和推荐采用的配置要求。在工程验收和运行维护时采用。符号和缩略语。符号和缩略语缩写英文描述中文描述JX基线WINDOWSWindows Windows系统，包括Windows XP，Windows 2000，Windows 2003GN功能PZ配置WINDOWS设备安全配置要求本规范所指的

3、设备为Windows系统设备。本规范提出的安全功能要求要求和安全配置要求要求，在未特别说明的情况下，均适用于所有运行的Windows操作系统，包括Windows 2000、Windows XP、Windows2003以及各版本中的Sever、Professional版本。本规范从Windows系统设备的认证授权功能、安全日志功能以及IP网络安全功能，和其他自身安全配置功能四个方面提出安全要求。账号管理、认证授权认证功能用于确认登录系统的用户真实身份。认证功能的具体实现方式包括静态口令、动态口令、指纹等生物鉴别技术等。授权功能赋予系统账号的操作权限，并限制用户进行超越其账号权限的操作。账号编号：

4、JX-TY-PZ-1要求内容按照用户分配账号。根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户，审计用户，来宾用户等。操作指南1、参考配置操作进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户，审计用户，来宾用户。检测方法1、 判定条件结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户，审计用户，来宾用户。2、检测操作进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：查看根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户

5、，审计用户，来宾用户。编号：JX-WIN-PZ-2-opt要求内容删除或锁定与设备运行、维护等与工作无关的账号。操作指南1、参考配置操作进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：删除或锁定与设备运行、维护等与工作无关的账号。检测方法1、判定条件结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的账号。2、检测操作进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：查看是否删除或锁定与设备运行、维护等与工作无关的账号。编号：JX-WIN-PZ-3-opt要求内容对于管理员帐号，要求更改缺省帐户名称；禁用guest（来宾）帐号。

6、操作指南1、参考配置操作进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：Administrator属性 更改名称Guest帐号-属性 已停用检测方法1、判定条件缺省账户Administrator名称已更改。Guest帐号已停用。2、检测操作进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：缺省帐户属性 更改名称Guest帐号-属性 已停用口令编号：JX-WIN-PZ-4要求内容最短密码长度 6个字符，启用本机组策略中密码必须符合复杂性要求的策略。即密码至少包含以下四种类别的字符中的三种： 英语大写字母 A, B, C, Z 英语小写字母 a, b, c

7、, z 西方阿拉伯数字 0, 1, 2, 9 非字母数字字符，如标点符号，, #, $, %, &, *等操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：“密码必须符合复杂性要求”选择“已启动”检测方法1、判定条件“密码必须符合复杂性要求”选择“已启动”2、检测操作进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：查看是否“密码必须符合复杂性要求”选择“已启动”编号：JX-WIN-PZ-35要求内容对于采用静态口令认证技术的设备，账户口令的生存期不长于90天。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“帐户

8、策略-密码策略”：“密码最长存留期”设置为“90天”检测方法1、判定条件“密码最长存留期”设置为“90天”2、检测操作进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：查看是否“密码最长存留期”设置为“90天”编号：JX-WIN-PZ-36-opt要求内容对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：“强制密码历史”设置为“记住5个密码”检测方法1、判定条件“强制密码历史”设置为“记住5个密码”2、检测操作进入“控制面板-管理工具-本地

9、安全策略”，在“帐户策略-密码策略”：查看是否“强制密码历史”设置为“记住5个密码”编号：JX-WIN-PZ-37要求内容对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“帐户策略-帐户锁定策略”：“账户锁定阀值”设置为 6次检测方法1、判定条件“账户锁定阀值”设置为小于或等于 6次2、检测操作进入“控制面板-管理工具-本地安全策略”，在“帐户策略-帐户锁定策略”：查看是否“账户锁定阀值”设置为小于等于 6次授权编号：JX-WIN-PZ-5要求内容在本地安全设置中从远端系

10、统强制关机只指派给Administrators组。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”:“从远端系统强制关机”设置为“只指派给Administrators组”检测方法1、判定条件“从远端系统强制关机”设置为“只指派给Administrtors组”2、检测操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”:查看是否“从远端系统强制关机”设置为“只指派给Administrators组”编号：JX-WIN-PZ-6要求内容在本地安全设置中关闭系统仅指派给Administrators组。操作指南1、参考配置操作进入“控制

11、面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”:“关闭系统”设置为“只指派给Administrators组”检测方法1、判定条件“关闭系统”设置为“只指派给Administrators组”2、检测操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”:查看“关闭系统”设置为“只指派给Administrators组”编号：JX-WIN-PZ-7要求内容在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”：“取得文件或其它对象的所有权”设置为“

12、只指派给Administrators组”检测方法1、判定条件“取得文件或其它对象的所有权”设置为“只指派给Administrators组”2、检测操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”：查看是否“取得文件或其它对象的所有权”设置为“只指派给Administrators组”编号：JX-WIN-PZ-8要求内容在本地安全设置中配置指定授权用户允许本地登陆此计算机。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”“从本地登陆此计算机”设置为“指定授权用户”检测方法1、判定条件“从本地登陆此计算机”设置为“指定授权用户”

13、2、检测操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”查看是否“从本地登陆此计算机”设置为“指定授权用户”编号：JX-WIN-PZ-9要求内容在组策略中只允许授权帐号从网络访问(包括网络共享等，但不包括终端服务)此计算机。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”“从网络访问此计算机”设置为“指定授权用户”检测方法1、判定条件“从网络访问此计算机”设置为“指定授权用户”2、检测操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”查看是否“从网络访问此计算机”设置为“指定授权用户”日志配置操作编

14、号：JX-WIN-PZ-38要求内容设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。操作指南1、参考配置操作开始-运行- 执行“ 控制面板-管理工具-本地安全策略-审核策略”审核登录事件，双击，设置为成功和失败都审核。检测方法1、判定条件审核登录事件，设置为成功和失败都审核。2、检测操作开始-运行- 执行“ 控制面板-管理工具-本地安全策略-审核策略”审核登录事件，双击，查看是否设置为成功和失败都审核。编号：JX-WIN-PZ-10要求内容启用组策略中对Windows系统的审核策略更改，成功和失败都要审核。操作

15、指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中“审核策略更改”设置为“成功” 和“失败”都要审核检测方法1、判定条件“审核策略更改”设置为“成功” 和“失败”都要审核2、检测操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中查看是否“审核策略更改”设置为“成功” 和“失败”都要审核编号：JX-WIN-PZ-11要求内容启用组策略中对Windows系统的审核对象访问，成功和失败都要审核。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中： “审核对象访问”设置为“成功”和“失败”都要审核检测

16、方法1、判定条件“审核对象访问”设置为“成功”和“失败”都要审核2、检测操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中：查看是否“审核对象访问”设置为“成功”和“失败”都要审核编号：JX-WIN-PZ-12要求内容启用组策略中对Windows系统的审核目录服务访问，失败。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中：“审核目录服务器访问”设置为“成功” 和“失败”都要审核检测方法1、判定条件“审核目录服务器访问”设置为“成功” 和“失败”都要审核2、检测操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略

17、”中：查看是否“审核目录服务器访问”设置为“成功” 和“失败”都要审核编号：JX-WIN-PZ-13要求内容启用组策略中对Windows系统的审核特权使用，成功和失败都要审核。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中：“审核特权使用”设置为“成功” 和“失败”都要审核检测方法1、判定条件“审核目录服务器访问”设置为“成功” 和“失败”都要审核2、检测操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中：查看是否“审核目录服务器访问”设置为“成功” 和“失败”都要审核编号：JX-WIN-PZ-14要求内容启用组策略中对Win

18、dows系统的审核系统事件，成功和失败都要审核。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中：“审核系统事件”设置为“成功” 和“失败”都要审核检测方法1、判定条件“审核系统事件”设置为“成功” 和“失败”都要审核2、检测操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中：查看是否“审核系统事件”设置为“成功” 和“失败”都要审核编号：JX-WIN-PZ-15要求内容启用组策略中对Windows系统的审核帐户管理，成功和失败都要审核。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中

19、：“审核账户管理”设置为“成功” 和“失败”都要审核检测方法1、判定条件“审核账户管理”设置为“成功” 和“失败”都要审核2、检测操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中：查看是否“审核账户管理”设置为“成功” 和“失败”都要审核编号：JX-WIN-PZ-16要求内容启用组策略中对Windows系统的审核过程追踪，失败。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中：“审核过程追踪”设置为 “失败”需要审核检测方法1、判定条件“审核过程追踪”设置为 “失败”需要审核2、检测操作进入“控制面板-管理工具-本地安全策略”

20、，在“本地策略-审核策略”中：查看是否“审核过程追踪”设置为 “失败”需要审核编号：JX-WIN-PZ-17-opt要求内容设置应用日志文件大小至少为8192KB，设置当达到最大的日志尺寸时，按需要改写事件。操作指南1、参考配置操作进入“控制面板-管理工具-事件查看器”，在“事件查看器（本地）”中：“应用日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”检测方法1、判定条件“应用日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”2、检测操作进入“控制面板-管理工具-事件查看器”，在“事件查看器（本地

21、）”中：查看是否“应用日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”编号：JX-WIN-PZ-18-opt要求内容设置系统日志文件大小至少为8192KB，设置当达到最大的日志尺寸时，按需要改写事件。操作指南1、参考配置操作进入“控制面板-管理工具-事件查看器”，在“事件查看器（本地）”中：“系统日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”检测方法1、判定条件“系统日志”属性中的日志大小设置不小于“8192KB” , 设置当达到最大的日志尺寸时，“按需要改写事件”2、检测操作进入“控制面板-

22、管理工具-事件查看器”，在“事件查看器（本地）”中：查看是否“系统日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”编号：JX-WIN-PZ-19-opt要求内容设置安全日志文件大小至少为8192KB，设置当达到最大的日志尺寸时，按需要改写事件。操作指南1、参考配置操作进入“控制面板-管理工具-事件查看器”，在“事件查看器（本地）”中：“安全日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”检测方法1、判定条件“安全日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按

23、需要改写事件”2、检测操作进入“控制面板-管理工具-事件查看器”，在“事件查看器（本地）”中：查看是否“安全日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”1.1 IP协议安全配置操作编号：JX-WIN-PZ-20-opt要求内容对没有自带防火墙的Windows系统，启用Windows系统的IP安全机制(IPSec)或网络连接上的TCP/IP筛选，只开放业务所需要的TCP，UDP端口和IP协议。操作指南1、参考配置操作进入“控制面板网络连接本地连接”，进入“Internet协议（TCP/IP）属性高级TCP/IP设置”，在“选项”的属性中启用网

24、络连接上的TCP/IP筛选，只开放业务所需要的TCP，UDP端口和IP协议。检测方法1、判定条件系统管理员出示业务所需端口列表。根据列表只开放系统与业务所需端口。2、检测操作进入“控制面板网络连接本地连接”，进入“Internet协议（TCP/IP）属性高级TCP/IP设置”，在“选项”的属性中启用网络连接上的TCP/IP筛选，查看是否只开放业务所需要的TCP，UDP端口和IP协议。编号：JX-WIN-PZ-21-opt要求内容启用Windows XP和Windows 2003 自带防火墙。根据业务需要限定允许访问网络的应用程序，和允许远程登陆该设备的IP地址范围。操作指南1、参考配置操作进入

25、“控制面板网络连接本地连接”，在高级选项的设置中启用Windows防火墙。在“例外”中配置允许业务所需的程序接入网络。在“例外-编辑-更改范围”编辑允许接入的网络地址范围。检测方法1、判定条件启用Windows防火墙。“例外”中允许接入网络的程序均为业务所需。2、检测操作进入“控制面板网络连接本地连接”，在高级选项的设置中，查看是否启用Windows防火墙。查看是否在“例外”中配置允许业务所需的程序接入网络。查看是否在“例外-编辑-更改范围”编辑允许接入的网络地址范围。编号：JX-WIN-PZ-22-opt要求内容启用SYN攻击保护；指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阀值为

26、5；指定处于 SYN_RCVD 状态的 TCP 连接数的阈值为500；指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值为400。操作指南1、参考配置操作在“开始-运行-键入regedit”启用 SYN 攻击保护的命名值位于注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。值名称：SynAttackProtect。推荐值：2。以下部分中的所有项和值均位于注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。指定必须在触发 SYN flood

27、 保护之前超过的 TCP 连接请求阈值。值名称：TcpMaxPortsExhausted。推荐值：5。启用 SynAttackProtect 后，该值指定 SYN_RCVD 状态中的 TCP 连接阈值，超过 SynAttackProtect 时，触发 SYN flood 保护。值名称：TcpMaxHalfOpen。推荐值数据：500。启用 SynAttackProtect 后，指定至少发送了一次重传的 SYN_RCVD 状态中的 TCP 连接阈值。超过 SynAttackProtect 时，触发 SYN flood 保护。值名称：TcpMaxHalfOpenRetried。推荐值数据：400。

28、检测方法1、判定条件各注册表键值均按要求设置。2、检测操作在“开始-运行-键入regedit”启用 SYN 攻击保护的命名值位于注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。值名称：SynAttackProtect。推荐值：2。以下部分中的所有项和值均位于注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。指定必须在触发 SYN flood 保护之前超过的 TCP 连接请求阈值。值名称：TcpMaxPortsExhausted。推荐值：5。启用 SynAttac

29、kProtect 后，该值指定 SYN_RCVD 状态中的 TCP 连接阈值，超过 SynAttackProtect 时，触发 SYN flood 保护。值名称：TcpMaxHalfOpen。推荐值数据：500。启用 SynAttackProtect 后，指定至少发送了一次重传的 SYN_RCVD 状态中的 TCP 连接阈值。超过 SynAttackProtect 时，触发 SYN flood 保护。值名称：TcpMaxHalfOpenRetried。推荐值数据：400。1.2 设备其他配置操作屏幕保护编号：JX-WIN-PZ-23要求内容设置带密码的屏幕保护，并将时间设定为5分钟。操作指南1、参考配置操作进入“控制面板显示屏幕保护程序”：启用屏幕保护程序，设置等待时间为“5分钟”，启用“在恢复时使用密码保护”检测方法1、判定条件启用屏幕保护程序，设置等待时间为“5分钟”，启用“在恢复时使用密码保护”。2、检测操作进入“控制