Windows系統(tǒng)安全配置基線要點(diǎn)

1、Windows系統(tǒng)安全配置基線 Windows 系統(tǒng)安全配置基線 目錄 第 1 章 概述 1 1.1 目的 1 1.2 適用范圍 1 1.3 適用版本 1 第 2 章 安裝前準(zhǔn)備工作 1 2.1 需準(zhǔn)備的光盤 1 第 3 章 操作系統(tǒng)的基本安裝 1 3.1 基本安裝 1 第 4 章 賬號(hào)管理、認(rèn)證授權(quán) 2 4.1 賬號(hào) 2 4.1.1 管理缺省賬戶 2 4.1.2 刪除無(wú)用賬戶 2 4.1.3 用戶權(quán)限分離 3 4.2 口令 3 4.2.1 密碼復(fù)雜度 3 4.2.2 密碼最長(zhǎng)生存期 4 4.2.3 密碼歷史 4 4.2.4 帳戶鎖定策略 5 4.3 授權(quán) 5 4.3.1 遠(yuǎn)程關(guān)機(jī) 5 4.3

2、.2 本地關(guān)機(jī) 6 4.3.3 隱藏上次登錄名 6 4.3.4 關(guān)機(jī)清理內(nèi)存頁(yè)面 7 4.3.5 用戶權(quán)利指派 7 第 5 章 日志配置操作 8 5.1 日志配置 8 5.1.1 審核登錄 8 5.1.2 審核策略更改 8 5.1.3 審核對(duì)象訪問(wèn) 8 5.1.4 審核事件目錄服務(wù)器訪問(wèn) 9 5.1.5 審核特權(quán)使用 9 5.1.6 審核系統(tǒng)事件 10 5.1.7 審核賬戶管理 10 5.1.8 審核過(guò)程追蹤 10 5.1.9 日志文件大小 11 第 6 章 其他配置操作 11 6.1 共享文件夾及訪問(wèn)權(quán)限 11 6.1.1 關(guān)閉默認(rèn)共享 11 6.2 防病毒管理 12 6.2.1 防病毒軟件

3、保護(hù) 12 6.3 W INDOWS 服務(wù) 12 6.3.1 系統(tǒng)服務(wù)管理 12 6.4 訪問(wèn)控制 13 6.4.1 限制 Radmin 管理地址 13 6.5 啟動(dòng)項(xiàng) 13 6.4.1 關(guān)閉 Windows 自動(dòng)播放功能 13 6.4.3 配置屏保功能 14 6.4.4 補(bǔ)丁更新 14 持續(xù)改進(jìn) 15 ii Windows系統(tǒng)安全配置基線 第1章概述 1.1目的 本文規(guī)定了 WINDOWS操作系統(tǒng)主機(jī)應(yīng)當(dāng)遵循的操作系統(tǒng)安全性設(shè)置標(biāo)準(zhǔn)，本文檔旨在指導(dǎo) 系統(tǒng)管理人員或安全檢查人員進(jìn)行WINDOWS操作系統(tǒng)的安全合規(guī)性檢查和配置。 1.2適用范圍 本配置標(biāo)準(zhǔn)的使用者包括：服務(wù)器系統(tǒng)管理員、安全管理

4、員和相關(guān)使用人員。 本配置標(biāo)準(zhǔn)適用的范圍包括：WINDOWS服務(wù)器。 1.3適用版本 適用于 Windows XP、Windows Server 服務(wù)器。 第2章安裝前準(zhǔn)備工作 2.1需準(zhǔn)備的光盤 （1）正版的Windows服務(wù)器操作系統(tǒng)光盤。 （2）服務(wù)器用殺毒軟件光盤。 第3章操作系統(tǒng)的基本安裝 3.1基本安裝 （1）使用NTFS文件系統(tǒng)來(lái)最小化安裝操作系統(tǒng)。 （2） 管理員賬號(hào)須設(shè)置較復(fù)雜的口令（由數(shù)字、大小寫字母和特殊字符組成），長(zhǎng)度在12位 以上，其中管理員口令應(yīng)一機(jī)一密碼，不同機(jī)器之間不應(yīng)相同。 （3） 斷開網(wǎng)絡(luò)安裝完操作系統(tǒng)后，在業(yè)務(wù)網(wǎng)專用區(qū)域內(nèi)連接網(wǎng)絡(luò)進(jìn)行系統(tǒng)升級(jí)，并打開Win

5、dows 自動(dòng)更新服務(wù)。 （4）升級(jí)完成后，安裝前述光盤中的殺毒軟件并進(jìn)行更新。 第4章賬號(hào)管理、認(rèn)證授權(quán) 4.1賬號(hào) 4.1.1管理缺省賬戶 安全基線項(xiàng) 目名稱 操作系統(tǒng)缺省賬戶安全基線要求項(xiàng) 安全基線項(xiàng) 說(shuō)明 對(duì)于管理員帳號(hào)，要求更改缺省帳戶名稱；禁用guest （來(lái)賓）帳號(hào)。 檢測(cè)操作步 驟 進(jìn)入“控制面板-管理工具-計(jì)算機(jī)管理”，在“系統(tǒng)工具-本地用戶和組”： 缺省帳戶Administrator 屬性 Guest帳號(hào)-屬性 基線符合性 判定依據(jù) 缺省賬戶Administrator名稱已更改 Guest帳號(hào)已停用 備注 4.1.2刪除無(wú)用賬戶 安全基線項(xiàng) 目名稱 操作系統(tǒng)缺省賬戶安全基線

6、要求項(xiàng) 安全基線項(xiàng) 刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等與工作無(wú)關(guān)的賬號(hào)。 說(shuō)明 檢測(cè)操作步 1、參考配置操作 進(jìn)入“控制面板-管理工具- 計(jì)算機(jī)管理”，在“系統(tǒng)工具-本地用戶和組”： 驟 刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等與工作無(wú)關(guān)的賬號(hào)。 基線符合性 判定依據(jù) 1、判定條件 結(jié)合要求和實(shí)際業(yè)務(wù)情況判斷符合要求，刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等與 工作無(wú)關(guān)的賬號(hào)。 2、檢測(cè)操作 進(jìn)入“控制面板-管理工具- 計(jì)算機(jī)管理”，在“系統(tǒng)工具-本地用戶和組”： 查看是否刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等與工作無(wú)關(guān)的賬號(hào)。 備注 4.1.3用戶權(quán)限分離 安全基線項(xiàng) 目名稱 操作系統(tǒng)缺省賬戶安全基線要求項(xiàng) 安全基線項(xiàng) 說(shuō)明 按照

7、用戶分配賬號(hào)。根據(jù)系統(tǒng)的要求，設(shè)定不冋的賬戶和賬戶組，管理員用 戶，操作員用戶 operator，審計(jì)用戶auditor等。 檢測(cè)操作步 驟 1、參考配置操作 進(jìn)入“控制面板-管理工具- 計(jì)算機(jī)管理”，在“系統(tǒng)工具-本地用戶和組”： 根據(jù)系統(tǒng)的要求，設(shè)定不冋的賬戶和賬戶組，管理員用戶，操作員用戶和審 計(jì)用戶納入user組。 基線符合性 判定依據(jù) 1、判定條件 結(jié)合要求和實(shí)際業(yè)務(wù)情況判斷符合要求，根據(jù)系統(tǒng)的要求，設(shè)定不冋的賬戶 和賬戶組，管理員用戶，操作員用戶，審計(jì)用戶。 2、檢測(cè)操作 進(jìn)入“控制面板-管理工具- 計(jì)算機(jī)管理”，在“系統(tǒng)工具-本地用戶和組”： 查看根據(jù)系統(tǒng)的要求， 設(shè)定不冋的賬戶

8、和賬戶組，管理員用戶，數(shù)據(jù)庫(kù)用戶， 審計(jì)用戶。 備注 4.2 口令 4.2.1密碼復(fù)雜度 安全基線項(xiàng) 操作系統(tǒng)密碼復(fù)雜度安全基線要求項(xiàng) 目名稱 安全基線項(xiàng) 說(shuō)明 最短密碼長(zhǎng)度12個(gè)字符，啟用本機(jī)組策略中密碼必須符合復(fù)雜性要求的策 略。即密碼需要包含以下四種類別的字符： 英語(yǔ)大寫字母 A, B, C,Z 央語(yǔ)小與字母 a, b, c,z 西方阿拉伯?dāng)?shù)字 0, 1,2,9 非字母數(shù)字字符，如標(biāo)點(diǎn)符號(hào)，, #, $, %, 基線符合性 HKLMSystemCurre ntCon trolSetServicesLa nma nServerParametersAutoShare 判定依據(jù) Server鍵

9、，值為 0。 備注 6.2防病毒管理 6.2.1防病毒軟件保護(hù) 安全基線項(xiàng) 目名稱 操作系統(tǒng)防病毒保護(hù)安全基線要求項(xiàng) 安全基線項(xiàng) 說(shuō)明 對(duì)Windows 2003服務(wù)器主機(jī)應(yīng)當(dāng)安裝部署服務(wù)器專版殺毒軟件，并打開自 動(dòng)升級(jí)病毒庫(kù)選項(xiàng)。 檢測(cè)操作步 驟 查看是否存在符合條件的殺毒軟件； 點(diǎn)擊進(jìn)入殺毒軟件的操作界面，檢查是否開啟自動(dòng)更新。 基線符合性 判定依據(jù) 如不存在殺毒軟件或者沒(méi)打開自動(dòng)更新即為不合規(guī)。 備注 6.3 Windows 服務(wù) 6.3.1系統(tǒng)服務(wù)管理 安全基線項(xiàng) 目名稱 操作系統(tǒng)系統(tǒng)服務(wù)管理安全基線要求項(xiàng) 安全基線項(xiàng) 檢查系統(tǒng)開機(jī)啟動(dòng)的服務(wù)，并根據(jù)實(shí)際情況開啟/關(guān)閉服務(wù)，女口： Me

10、ssenger , 說(shuō)明 Task Scheduler , Server, Workstation , Print Spooler , Alerter , Computer Browser , DHCP Client , Remote Registry Service , SNMP, TCP/IP NetBIOS Helper， IPSEC Policy Age nt 等； 檢測(cè)操作步 驟 打開“控制面板”，打開“管理工具”中的“服務(wù)”。 基線符合性 判定依據(jù) 關(guān)閉不需要的服務(wù)，并設(shè)置非開機(jī)自動(dòng)啟動(dòng)項(xiàng)。詢問(wèn)管理員，在系統(tǒng)確實(shí)需 要的情況下可開啟相應(yīng)的服務(wù)，如SNMP等。 備注 系統(tǒng)管理員應(yīng)出具

11、系統(tǒng)所必要的服務(wù)列表。 查看所有服務(wù)，不在此列表的服務(wù)需關(guān)閉。 6.4訪問(wèn)控制 6.4.1限制Radmin管理地址 安全基線項(xiàng) 目名稱 操作系統(tǒng)數(shù)據(jù)訪問(wèn)控制安全基線要求項(xiàng) 安全基線項(xiàng) 說(shuō)明 通過(guò)限制Radmin管理地址，嚴(yán)格控制訪問(wèn)者來(lái)源 檢測(cè)操作步 驟 1、參考配置操作 開始菜單Radminoperati ons for Remote Admi nistrator server 選擇 Operations 選擇Add 添加 168.8.44.0/255.255.255.0 168.8.43.0/255.255.255.0 基線符合性 判定依據(jù) 1、判定條件 在非管理網(wǎng)段嘗試進(jìn)行radmin連

12、接 備注 中心機(jī)房以外的服務(wù)器管理暫時(shí)不做源地址限制。 6.5啟動(dòng)項(xiàng) 6.4.1關(guān)閉 Windows自動(dòng)播放功能 安全基線項(xiàng) 操作系統(tǒng)Windows自動(dòng)播放安全基線要求項(xiàng) 目名稱 安全基線項(xiàng) 說(shuō)明 關(guān)閉Windows自動(dòng)播放功能。 檢測(cè)操作步 驟 打開 開始t運(yùn)行”在對(duì)話框中輸入“gpedit.msc命令，在出現(xiàn) 組策略”窗口 中依次選擇 在計(jì)算機(jī)配置t管理模板t系統(tǒng)”雙擊 關(guān)閉自動(dòng)播放”查看。 基線符合性 判定依據(jù) 在設(shè)置”選項(xiàng)卡中選 已啟用”選項(xiàng)。 備注 6.4.3配置屏保功能 安全基線項(xiàng) 目名稱 操作系統(tǒng)Windows其他安全配置基線要求項(xiàng) 安全基線項(xiàng) 配置Windows屏幕保護(hù)功能 說(shuō)

13、明 檢測(cè)操作步 驟 1、參考配置操作 打開控制面板t顯示，在“顯示”屬性中選擇屏幕保護(hù)，選擇任意屏幕保護(hù) 程序后將等待時(shí)間修改為 15分鐘，并選擇“在恢復(fù)時(shí)使用密碼保護(hù)”，確 定即可。 基線符合性 判定依據(jù) 1、判定條件 計(jì)算機(jī)15分鐘無(wú)操作時(shí)能自動(dòng)啟用屏幕保護(hù)，恢復(fù)時(shí)要求輸入密碼。 2、檢測(cè)操作 打開控制面板T顯示，在“顯示”屬性中選擇屏幕保護(hù)， 檢查等待時(shí)間和“在 恢復(fù)時(shí)使用密碼保護(hù)”設(shè)置。 備注 6.4.4補(bǔ)丁更新 安全基線項(xiàng) 目名稱 操作系統(tǒng)Windows其他安全配置基線要求項(xiàng) 安全基線項(xiàng) 說(shuō)明 安裝最新的 Service Pack 補(bǔ)丁集 檢測(cè)操作步 驟 1、參考配置操作 安裝最新的 Service Pack 補(bǔ)丁集，目前 Windows XP 的 Service Pack 為 SP3。 Windows2000要求重裝到Windows2003，對(duì)于客觀因素?zé)o法重裝的 Windows2000，建議 Service Pack 升級(jí)至 SP4,Windows 2003的 Service Pack 為 SP2，Windows 2008 的 Servoce Pa