PC機(jī)及筆記本電腦Windows系統(tǒng)安全配置標(biāo)準(zhǔn)

1、XX公司PC機(jī)及筆記本電腦Windows系統(tǒng)安全配置標(biāo)準(zhǔn)1 目的為保證XX公司IT支撐系統(tǒng)的信息安全，規(guī)范個(gè)人桌面PC機(jī)及移動(dòng)筆記本的Windows操作系統(tǒng)安全配置，特制定此標(biāo)準(zhǔn)。2 范圍本標(biāo)準(zhǔn)適用于XX公司個(gè)人辦公PC機(jī)及筆記本電腦上所用的Windows 2000系統(tǒng)、Windows XP系統(tǒng)及Windows 7系統(tǒng)。3 Windows 2000 安全配置標(biāo)準(zhǔn)3.1 系統(tǒng)補(bǔ)丁安裝標(biāo)準(zhǔn)3.1.1 系統(tǒng)補(bǔ)丁分類Windows 2000系統(tǒng)與安全相關(guān)的補(bǔ)丁大致分三類：n Service Pack（補(bǔ)丁包）： Service Pack 是經(jīng)過測試的所有修復(fù)程序、安全更新程序、關(guān)鍵更新程序以及更新程序

2、的累積的集合。Service Pack 還可能包含自產(chǎn)品發(fā)布以來針對(duì)內(nèi)部發(fā)現(xiàn)問題的其他修復(fù)以及設(shè)計(jì)上的更改或功能上的增加。Service Pack補(bǔ)丁包涵蓋了自發(fā)布之前的所有補(bǔ)丁，是重要的補(bǔ)丁集合。n Security Patch（安全補(bǔ)?。篠ecurity Patch是針對(duì)特定問題廣泛發(fā)布的修復(fù)程序，用于修復(fù)特定產(chǎn)品的與安全相關(guān)的漏洞。Microsoft在發(fā)布的安全公告中將Security Patch分級(jí)為嚴(yán)重、重要、中等、低四個(gè)等級(jí)。嚴(yán)重的安全補(bǔ)丁缺失，會(huì)造成蠕蟲快速傳播(如振蕩波，沖擊波)，對(duì)系統(tǒng)本身和網(wǎng)絡(luò)造成重大影響，這類補(bǔ)丁需要及時(shí)應(yīng)用到操作系統(tǒng)。n Hotfix(修補(bǔ)程序)：Ho

3、tfix是針對(duì)某一個(gè)具體的系統(tǒng)漏洞或安全問題而發(fā)布的專門解決該漏洞或安全問題的小程序，通常稱為修補(bǔ)程序，如果在最近發(fā)布的Service Pack后面，出現(xiàn)安全方面的漏洞，通常對(duì)應(yīng)的補(bǔ)丁會(huì)以Hotfix修補(bǔ)程序的形式發(fā)布。3.1.2 補(bǔ)丁安裝原則1、新安裝或者重新安裝Windows 2000操作系統(tǒng)，必須安裝最新的Service Pack補(bǔ)丁集。2、必須安裝等級(jí)為嚴(yán)重和重要的Security Patch。3、有關(guān)安全方面的Hotfixes補(bǔ)丁應(yīng)當(dāng)及時(shí)安裝。4、最新的安全補(bǔ)丁發(fā)布與升級(jí)步驟，由數(shù)據(jù)中心定期在內(nèi)網(wǎng)上發(fā)布通知。注：補(bǔ)丁更新要慎重，可能出現(xiàn)硬件不兼容，或者影響當(dāng)前的應(yīng)用系統(tǒng)，安裝補(bǔ)丁之前

4、要經(jīng)過測試和驗(yàn)證。3.2 帳號(hào)和口令安全配置標(biāo)準(zhǔn)3.2.1 密碼策略配置要求通過“本地安全策略”調(diào)整默認(rèn)的“密碼策略”，提高系統(tǒng)的安全水平，“密碼策略”中各選項(xiàng)的具體要求如下表：策略默認(rèn)設(shè)置安全設(shè)置強(qiáng)制執(zhí)行密碼歷史記錄記住 1 個(gè)密碼記住 5個(gè)密碼密碼最長期限42 天90 天密碼最短期限0 天0天最短密碼長度0 個(gè)字符8個(gè)字符密碼必須符合復(fù)雜性要求禁用啟用為域中所有用戶使用可還原的加密來儲(chǔ)存密碼禁用禁用“密碼策略”的設(shè)置步驟如下：進(jìn)入“控制面板/管理工具/本地安全策略”，在“帳戶策略->密碼策略”。3.2.2 密碼復(fù)雜性配置要求在“密碼策略”中 “密碼必須符合復(fù)雜性要求”選項(xiàng)啟動(dòng)后，系統(tǒng)

5、將強(qiáng)制要求密碼的設(shè)置具備一定的強(qiáng)壯度，要求密碼至少包含以下四種類別的字符中的三種：n 英語大寫字母 A, B, C, Z n 英語小寫字母 a, b, c, z n 西方阿拉伯?dāng)?shù)字 0, 1, 2, 9 n 非字母數(shù)字字符，如標(biāo)點(diǎn)符號(hào)，, #, $, %, &, *等3.2.3 帳號(hào)安全控制要求1、“帳戶鎖定策略”配置要求有效的帳號(hào)鎖定策略有助于防止攻擊者猜出帳號(hào)對(duì)應(yīng)的密碼。要求按照下表要求調(diào)整“帳戶鎖定策略”：策略默認(rèn)設(shè)置安全設(shè)置帳戶鎖定時(shí)間未定義30 分鐘帳戶鎖定閾值05 次無效登錄復(fù)位帳戶鎖定計(jì)數(shù)器未定義30 分鐘之后帳號(hào)鎖定配置具體操作如下圖：進(jìn)入“控制面板/管理工具/本地安全

6、策略”，在“帳戶策略->帳戶鎖定策略”。2、系統(tǒng)內(nèi)置帳號(hào)管理要求Windows2000系統(tǒng)中存在不可刪除的內(nèi)置帳號(hào)，包括Administrator和guest。對(duì)于管理員帳號(hào)，要求更改缺省帳戶名稱，并對(duì)隸屬于Administrators組的帳號(hào)要嚴(yán)格監(jiān)控；要求禁用guest（來賓）帳號(hào)，以防止攻擊者通過利用已知的用戶名破壞遠(yuǎn)程服務(wù)器。3、其它帳號(hào)管理要求臨時(shí)的測試帳號(hào)和過期的無用帳號(hào)應(yīng)該在3個(gè)工作日內(nèi)及時(shí)刪除。（注：測試帳號(hào)和無用帳號(hào)不是系統(tǒng)默認(rèn)安裝時(shí)生成的，是系統(tǒng)操作過程中人為新增的帳號(hào)，應(yīng)該及時(shí)刪除。）3.3 服務(wù)和端口配置標(biāo)準(zhǔn)3.3.1 服務(wù)管理配置要求Windows 2000 缺

7、省安裝會(huì)創(chuàng)建很多默認(rèn)服務(wù)并配置為在系統(tǒng)啟動(dòng)時(shí)運(yùn)行。實(shí)際運(yùn)行環(huán)境中并不需要運(yùn)行所有服務(wù)，而任何多余的服務(wù)都是潛在的受攻擊點(diǎn)，因此要求禁用不必要的服務(wù)。下表列出的服務(wù)是Windows 2000系統(tǒng)提供基本管理功能所必需的，請(qǐng)根據(jù)系統(tǒng)的應(yīng)用的情況禁用下表中沒有提到的服務(wù)：服務(wù)啟動(dòng)類型服務(wù)功能實(shí)現(xiàn)Automatic Updates自動(dòng)允許下載并安裝Windows更新COM+ 事件服務(wù)手動(dòng)允許組件服務(wù)的管理DHCP 客戶端自動(dòng)通過注冊(cè)和更新IP地址和DNS域名來管理網(wǎng)絡(luò)配置分布式鏈接跟蹤客戶端自動(dòng)用來維護(hù) NTFS 卷上的鏈接DNS 客戶端自動(dòng)允許解析 DNS 名稱事件日志自動(dòng)允許在事件日志中查看事件日

8、志消息邏輯磁盤管理器自動(dòng)需要它來確保動(dòng)態(tài)磁盤信息保持最新邏輯磁盤管理器管理服務(wù)手動(dòng)需要它以執(zhí)行磁盤管理Netlogon自動(dòng)加入域時(shí)所需網(wǎng)絡(luò)連接手動(dòng)網(wǎng)絡(luò)通訊所需性能日志和警報(bào)手動(dòng)收集計(jì)算機(jī)的性能數(shù)據(jù)，向日志中寫入或觸發(fā)警報(bào)即插即用自動(dòng)Windows 2000 標(biāo)識(shí)和使用系統(tǒng)硬件時(shí)所需受保護(hù)的存儲(chǔ)區(qū)自動(dòng)需要用它保護(hù)敏感數(shù)據(jù)，如私鑰遠(yuǎn)程過程調(diào)用 (RPC)自動(dòng)Windows 2000 中的內(nèi)部過程所需安全帳戶管理器自動(dòng)存儲(chǔ)本地安全帳戶的帳戶信息系統(tǒng)事件通知自動(dòng)在事件日志中記錄條目所需TCP/IP NetBIOS Helper 服務(wù)自動(dòng)在組策略中進(jìn)行軟件分發(fā)所需（可分發(fā)修補(bǔ)程序）Windows 管理規(guī)

9、范驅(qū)動(dòng)程序手動(dòng)使用“性能日志和警報(bào)”實(shí)現(xiàn)性能警報(bào)時(shí)所需Windows 時(shí)間服務(wù)自動(dòng)需要它來保證 Kerberos 身份驗(yàn)證有一致的功能工作站自動(dòng)加入域時(shí)所需3.3.2 端口配置要求為防止攻擊者通過小端口瀏覽到指定網(wǎng)段內(nèi)的工作站中全部共享信息、對(duì)共享文件進(jìn)行編輯、刪除操作等，應(yīng)該關(guān)閉不需要的小端口，關(guān)閉方法如下：1、139端口139端口是NetBIOS Session端口，用來文件和打印共享。按照如下方法關(guān)閉：關(guān)閉139端口，在“網(wǎng)絡(luò)和撥號(hào)連接”中“本地連接”中選取“Internet協(xié)議(TCP/IP)”屬性，進(jìn)入“高級(jí)TCP/IP設(shè)置”“WINS設(shè)置”里選擇“禁用TCP/IP的NETBIOS”

10、 。2、445端口關(guān)閉445端口，修改注冊(cè)表，添加一個(gè)鍵值 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters"SMBDeviceEnabled"=dword:00000000。注：若打印機(jī)配置必須開啟以上端口，可暫不關(guān)閉。3.4 安全選項(xiàng)配置標(biāo)準(zhǔn)請(qǐng)按照下表中的要求設(shè)置Windows 2000系統(tǒng)中的安全選項(xiàng)：安全選項(xiàng)注釋安全設(shè)置LAN Manager身份驗(yàn)證級(jí)別確定網(wǎng)絡(luò)登錄時(shí)將使用哪個(gè)質(zhì)詢/響應(yīng)身份驗(yàn)證協(xié)議。該選項(xiàng)會(huì)影響客戶端使用的身份驗(yàn)證協(xié)議的級(jí)別、協(xié)商的會(huì)話安全級(jí)別，以及服務(wù)器所接受的身份驗(yàn)

11、證級(jí)別。發(fā)送LM& NTLM響應(yīng)，如果已協(xié)商，使用NTLMv2安全會(huì)話對(duì)匿名連接的額外限制確定匿名連接到計(jì)算機(jī)應(yīng)具有的其他權(quán)限。不允許枚舉sam賬號(hào)和共享在斷開會(huì)話之前所需的空閑時(shí)間確定“服務(wù)器消息塊 (SMB)”會(huì)話因?yàn)椴换顒?dòng)而被掛起之前，在該會(huì)話中必須經(jīng)過的連續(xù)空閑時(shí)間。15分鐘如果無法記錄安全審計(jì)則立即關(guān)閉系統(tǒng)確定當(dāng)系統(tǒng)無法記錄安全事件時(shí)是否關(guān)閉系統(tǒng)。停用登錄屏幕上不要顯示上次登錄的用戶名確定是否將上次登錄到計(jì)算機(jī)的用戶名顯示在 Windows 登錄畫面中。啟用在關(guān)機(jī)時(shí)清理虛擬內(nèi)存頁面交換文件確定在關(guān)閉系統(tǒng)時(shí)是否清除虛擬內(nèi)存頁面文件。啟用發(fā)送未加密的密碼到第三方 SMB 服務(wù)器如

12、果啟用該策略，將允許“服務(wù)器消息塊 (SMB)”重定向器向身份驗(yàn)證期間不支持密碼加密的非 Microsoft SMB 服務(wù)器發(fā)送明文密碼。停用在密碼到期前提示用戶更改密碼確定提前多長時(shí)間（單位為天）警告用戶其密碼將過期。通過這種提前警告，用戶可以有時(shí)間創(chuàng)建具有足夠安全性的密碼。14天具體設(shè)置方法為：進(jìn)入“控制面板/管理工具/本地安全策略“，在“本地策略->安全選項(xiàng)”中完成上表提及的各個(gè)“安全選項(xiàng)”的調(diào)整。3.5 安全審計(jì)配置標(biāo)準(zhǔn)3.5.1 審核策略配置要求Windows 2000系統(tǒng)的缺省配置是不開任何安全審核，要求通過開啟“審核策略”，記錄以下操作：審核策略默認(rèn)配置安全設(shè)置審核登陸事件

13、無審核成功，失敗審核帳戶登陸事件無審核成功，失敗審核帳戶管理無審核成功，失敗審核系統(tǒng)事件無審核成功，失敗配置方法：通過“控制面板/管理工具/本地安全策略“，在“本地策略->審核策略”中打開相應(yīng)的審核選項(xiàng)：3.5.2 日志屬性配置要求根據(jù)下表調(diào)整各種日志屬性： 日志類別安全設(shè)置應(yīng)用程序日志大小10240K當(dāng)達(dá)到最大日志大小時(shí)改寫久于15天的事件安全性日志大小10240K當(dāng)達(dá)到最大日志大小時(shí)改寫久于15天的事件系統(tǒng)日志大小10240K當(dāng)達(dá)到最大日志大小時(shí)改寫久于15天的事件配置方法：通過“控制面板/管理工具/事件查看器“，在“屬性”中進(jìn)行設(shè)置：3.6 其它安全配置參考3.6.1 使用NTFS

14、文件系統(tǒng)NTFS文件系統(tǒng)比FAT和FAT32強(qiáng)壯和穩(wěn)定，不易崩潰，Windows2000提供了基于NTFS文件系統(tǒng)的對(duì)文件和目錄的訪問控制列表(ACL)。建議所有的磁盤卷都使用NTFS文件系統(tǒng)。3.6.2 共享管理要求停用所有不必要的文件共享，特別注意系統(tǒng)默認(rèn)啟用的隱含系統(tǒng)共享，如C$、D$、IPC$、admin$等。因工作需要臨時(shí)開啟共享，使用完畢后應(yīng)及時(shí)關(guān)閉。1、關(guān)閉默認(rèn)共享的方法有兩種：2、在服務(wù)配置中禁用Server服務(wù)；更改注冊(cè)表鍵值：在HKLMSystemCurrentControlSet ServicesLanmanServerParameters下，增加REG_DWORD類型的

15、AutoShareServer 鍵，值為 0。3.6.3 禁用自動(dòng)播放功能在命令行運(yùn)行g(shù)pedit.msc，進(jìn)入組策略管理器，在計(jì)算機(jī)配置-管理模板-系統(tǒng)，找到右邊的“關(guān)閉自動(dòng)播放”，將此條目啟用。禁止自動(dòng)播放功能可以防止U盤病毒等通過自動(dòng)加載功能引入病毒。3.6.4 啟用屏幕保護(hù)設(shè)置帶密碼的屏幕保護(hù)，將時(shí)間設(shè)定為5-10分鐘，使得系統(tǒng)在無人操作5-10分鐘后自動(dòng)啟用屏幕保護(hù)，再次進(jìn)入系統(tǒng)需要認(rèn)證。 3.6.5 防病毒設(shè)置必須安裝公司統(tǒng)一的防病毒軟件，并設(shè)置定期升級(jí)。3.6.6 桌面管理軟件安裝公司統(tǒng)一的桌面管理軟件。4 Windows XP 安全配置標(biāo)準(zhǔn)4.1 系統(tǒng)補(bǔ)丁安裝標(biāo)準(zhǔn)4.1.1 系

16、統(tǒng)補(bǔ)丁分類Windows XP的與安全相關(guān)的補(bǔ)丁大致分三類：n Service Pack（補(bǔ)丁包）： Service Pack 是經(jīng)過測試的所有修復(fù)程序、安全更新程序、關(guān)鍵更新程序以及更新程序的累積的集合。Service Pack 還可能包含自產(chǎn)品發(fā)布以來針對(duì)內(nèi)部發(fā)現(xiàn)問題的其他修復(fù)以及設(shè)計(jì)上的更改或功能上的增加。Service Pack補(bǔ)丁包涵蓋了自發(fā)布之前的所有補(bǔ)丁，是重要的補(bǔ)丁集合。n Security Patch（安全補(bǔ)?。篠ecurity Patch是針對(duì)特定問題廣泛發(fā)布的修復(fù)程序，用于修復(fù)特定產(chǎn)品的與安全相關(guān)的漏洞。Microsoft在發(fā)布的安全公告中將Security Patch

17、分級(jí)為嚴(yán)重、重要、中等、低四個(gè)等級(jí)。嚴(yán)重的安全補(bǔ)丁缺失，會(huì)造成蠕蟲快速傳播(如振蕩波，沖擊波)，對(duì)系統(tǒng)本身和網(wǎng)絡(luò)造成重大影響，這類補(bǔ)丁需要及時(shí)應(yīng)用到操作系統(tǒng)。n Hotfix(修補(bǔ)程序)：Hotfix是針對(duì)某一個(gè)具體的系統(tǒng)漏洞或安全問題而發(fā)布的專門解決該漏洞或安全問題的小程序，通常稱為修補(bǔ)程序，如果在最近發(fā)布的Service Pack后面，出現(xiàn)安全方面的漏洞，通常對(duì)應(yīng)的補(bǔ)丁會(huì)以Hotfix修補(bǔ)程序的形式發(fā)布。4.1.2 補(bǔ)丁安裝原則1、新安裝或者重新安裝Windows XP操作系統(tǒng)，必須安裝最新的Service Pack補(bǔ)丁集。2、必須安裝等級(jí)為嚴(yán)重和重要的Security Patch。3、有

18、關(guān)安全方面的Hotfixes補(bǔ)丁應(yīng)當(dāng)及時(shí)安裝。4、最新的安全補(bǔ)丁發(fā)布與升級(jí)步驟，參照公司內(nèi)網(wǎng)和微軟網(wǎng)站的公告。注：補(bǔ)丁更新要慎重，可能出現(xiàn)硬件不兼容，或者影響當(dāng)前的應(yīng)用系統(tǒng)，安裝補(bǔ)丁之前要經(jīng)過測試和驗(yàn)證。4.2 安全中心配置標(biāo)準(zhǔn)4.2.1 防火墻啟用要求Windows XP安裝了SP2補(bǔ)丁會(huì)有安全中心，包括主機(jī)防火墻，自動(dòng)更新，病毒防護(hù)三個(gè)主要功能，其中，要求啟用Windows防火墻。防火墻啟用方式如下圖：4.2.2 自動(dòng)更新啟用要求安全中心還包括自動(dòng)更新功能，定期地檢查針對(duì)計(jì)算機(jī)的最新的重要更新，然后自動(dòng)安裝這些更新。重要更新（包括關(guān)鍵更新和安全更新）應(yīng)該在發(fā)行后盡快安裝到計(jì)算機(jī)上，保護(hù)您計(jì)

19、算機(jī)免受病毒攻擊和其他安全威脅。要求啟用自動(dòng)更新功能，方法如圖所示：注：內(nèi)外網(wǎng)物理分離管理的終端，可以根據(jù)實(shí)際情況選擇不開啟，但應(yīng)通過其他途徑及時(shí)獲取并安裝補(bǔ)丁。4.2.3 防病毒設(shè)置安裝公司統(tǒng)一的防病毒軟件，并設(shè)置定期升級(jí)。4.2.4 桌面管理軟件安裝公司統(tǒng)一的桌面管理軟件。4.3 帳號(hào)和口令安全配置標(biāo)準(zhǔn)4.3.1 密碼策略配置要求通過“本地安全策略”調(diào)整默認(rèn)的“密碼策略”，提高系統(tǒng)的安全水平，“密碼策略”中各選項(xiàng)的具體要求如下表：策略默認(rèn)設(shè)置安全設(shè)置強(qiáng)制密碼歷史記住 0 個(gè)密碼記住 5個(gè)密碼密碼最長存留期42 天90 天密碼最短存留期0 天0天最短密碼長度0 個(gè)字符8個(gè)字符密碼必須符合復(fù)雜

20、性要求禁用啟用為域中所有用戶使用可還原的加密來儲(chǔ)存密碼已停用已停用“密碼策略”的設(shè)置步驟如下：進(jìn)入“控制面板/性能和維護(hù)/管理工具/本地安全策略”，在“帳戶策略->密碼策略”。4.3.2 密碼復(fù)雜性配置要求在“密碼策略”中 “密碼必須符合復(fù)雜性要求”選項(xiàng)啟動(dòng)后，系統(tǒng)將強(qiáng)制要求密碼的設(shè)置具備一定的強(qiáng)壯度，要求密碼至少包含以下四種類別的字符中的三種：n 英語大寫字母 A, B, C, Z n 英語小寫字母 a, b, c, z n 西方阿拉伯?dāng)?shù)字 0, 1, 2, 9 n 非字母數(shù)字字符，如標(biāo)點(diǎn)符號(hào)，, #, $, %, &, *等4.3.3 帳號(hào)安全控制要求1、“帳戶鎖定策略”配置

21、要求有效的帳號(hào)鎖定策略有助于防止攻擊者猜出您帳號(hào)對(duì)應(yīng)的密碼。要求按照下表要求調(diào)整“帳戶鎖定策略”：策略默認(rèn)設(shè)置安全設(shè)置帳戶鎖定時(shí)間未定義30 分鐘帳戶鎖定閾值05 次無效登錄復(fù)位帳戶鎖定計(jì)數(shù)器未定義30 分鐘之后帳號(hào)鎖定配置具體操作如下圖：進(jìn)入“控制面板/性能和維護(hù)/管理工具/本地安全策略”，在“帳戶策略->帳戶鎖定策略”。2、系統(tǒng)內(nèi)置帳號(hào)管理要求Windows XP系統(tǒng)中存在不可刪除的內(nèi)置帳號(hào)，包括Administrator和guest。對(duì)于管理員帳號(hào)，要求更改缺省帳戶名稱，并對(duì)隸屬于Administrators組的帳號(hào)要嚴(yán)格監(jiān)控；要求禁用guest（來賓）帳號(hào)，以防止攻擊者通過利用已

22、知的用戶名破壞遠(yuǎn)程服務(wù)器。3、其它帳號(hào)管理要求臨時(shí)的測試帳號(hào)和過期的無用帳號(hào)應(yīng)該在3個(gè)工作日內(nèi)及時(shí)刪除。（注：測試帳號(hào)和無用帳號(hào)不是系統(tǒng)默認(rèn)安裝時(shí)生成的，是系統(tǒng)操作過程中人為新增的帳號(hào)，應(yīng)該及時(shí)刪除。）4.4 服務(wù)和端口配置標(biāo)準(zhǔn)4.4.1 服務(wù)管理配置要求Windows XP缺省安裝會(huì)創(chuàng)建很多默認(rèn)服務(wù)并配置為在系統(tǒng)啟動(dòng)時(shí)運(yùn)行。實(shí)際運(yùn)行環(huán)境中并不需要運(yùn)行所有服務(wù)，而任何多余的服務(wù)都是潛在的受攻擊點(diǎn)，因此要求禁用不必要的服務(wù)。下表列出的服務(wù)是Windows XP系統(tǒng)提供基本管理功能所必需的，請(qǐng)根據(jù)系統(tǒng)的應(yīng)用的情況禁用下表中沒有提到的服務(wù)：服務(wù)啟動(dòng)類型服務(wù)功能實(shí)現(xiàn)Automatic Updates自

23、動(dòng)允許下載并安裝Windows更新COM+ 事件服務(wù)手動(dòng)允許組件服務(wù)的管理DHCP 客戶端自動(dòng)通過注冊(cè)和更新IP地址和DNS域名來管理網(wǎng)絡(luò)配置Distributed Link Tracking Client分布式鏈接跟蹤客戶端自動(dòng)用來維護(hù) NTFS 卷上的鏈接DNS 客戶端自動(dòng)允許解析 DNS 名稱Event Log 事件日志自動(dòng)允許在事件日志中查看事件日志消息邏輯磁盤管理器自動(dòng)需要它來確保動(dòng)態(tài)磁盤信息保持最新邏輯磁盤管理器管理服務(wù)手動(dòng)需要它以執(zhí)行磁盤管理Netlogon自動(dòng)加入域時(shí)所需網(wǎng)絡(luò)連接手動(dòng)網(wǎng)絡(luò)通訊所需性能日志和警報(bào)手動(dòng)收集計(jì)算機(jī)的性能數(shù)據(jù)，向日志中寫入或觸發(fā)警報(bào)即插即用自動(dòng)Windo

24、ws XP 標(biāo)識(shí)和使用系統(tǒng)硬件時(shí)所需受保護(hù)的存儲(chǔ)區(qū)自動(dòng)需要用它保護(hù)敏感數(shù)據(jù)，如私鑰遠(yuǎn)程過程調(diào)用 (RPC)自動(dòng)Windows XP 中的內(nèi)部過程所需安全帳戶管理器自動(dòng)存儲(chǔ)本地安全帳戶的帳戶信息系統(tǒng)事件通知自動(dòng)在事件日志中記錄條目所需TCP/IP NetBIOS Helper 服務(wù)自動(dòng)在組策略中進(jìn)行軟件分發(fā)所需（可分發(fā)修補(bǔ)程序）Windows Audio自動(dòng)基于Windows的程序的音頻設(shè)備Windows Firewall自動(dòng)提供防火墻保護(hù)Windows 管理規(guī)范驅(qū)動(dòng)程序手動(dòng)使用“性能日志和警報(bào)”實(shí)現(xiàn)性能警報(bào)時(shí)所需Windows 時(shí)間服務(wù)自動(dòng)需要它來保證 Kerberos 身份驗(yàn)證有一致的功能工

25、作站自動(dòng)加入域時(shí)所需具體設(shè)置方法為：進(jìn)入“控制面板/管理工具/服務(wù)“完成上表提及的各個(gè)“安全選項(xiàng)”的調(diào)整。4.4.2 端口配置要求為防止攻擊者通過小端口瀏覽到指定網(wǎng)段內(nèi)的工作站中全部共享信息、對(duì)共享文件進(jìn)行編輯、刪除操作等，應(yīng)該關(guān)閉不需要的小端口，關(guān)閉方法如下：1、139端口139端口是NetBIOS Session端口，用來文件和打印共享。按照如下方法關(guān)閉：關(guān)閉139端口，在“網(wǎng)絡(luò)和撥號(hào)連接”中“本地連接”中選取“Internet協(xié)議(TCP/IP)”屬性，進(jìn)入“高級(jí)TCP/IP設(shè)置”“WINS設(shè)置”里選擇“禁用TCP/IP的NETBIOS” 。2、445端口關(guān)閉445端口，修改注冊(cè)表，添加

26、一個(gè)鍵值 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters"SMBDeviceEnabled"=dword:00000000。注：若打印機(jī)配置必須開啟以上端口，可暫不關(guān)閉。4.5 安全選項(xiàng)配置標(biāo)準(zhǔn)請(qǐng)按照下表中的要求設(shè)置Windows XP系統(tǒng)中的安全選項(xiàng)：安全選項(xiàng)安全設(shè)置帳戶: 使用空白密碼的本地帳戶只允許進(jìn)行控制臺(tái)登錄已啟用帳戶: 重命名系統(tǒng)管理員帳戶重命名帳戶: 重命名來賓帳戶重命名設(shè)備: 允許不登錄移除已禁用設(shè)備: 允許格式化和彈出可移動(dòng)媒體Administrators設(shè)備: 防止用戶安裝

27、打印機(jī)驅(qū)動(dòng)程序已禁用設(shè)備: 只有本地登錄的用戶才能訪問 CD-ROM已啟用設(shè)備: 只有本地登錄的用戶才能訪問軟盤已啟用設(shè)備: 未簽名驅(qū)動(dòng)程序的安裝操作允許安裝但發(fā)出警告交互式登錄: 不顯示上次的用戶名已啟用交互式登錄: 不需要按 CTRL+ALT+DEL已禁用交互式登錄: 用戶試圖登錄時(shí)消息文字此系統(tǒng)限制為僅授權(quán)用戶。嘗試進(jìn)行未經(jīng)授權(quán)訪問的個(gè)人將受到起訴。交互式登錄: 可被緩存的前次登錄個(gè)數(shù)（在域控制器不可用的情況下）1交互式登錄: 在密碼到期前提示用戶更改密碼14天Microsoft 網(wǎng)絡(luò)客戶: 發(fā)送未加密的密碼到第三方 SMB 服務(wù)器已禁用Microsoft 網(wǎng)絡(luò)服務(wù)器: 在掛起會(huì)話之前所

28、需的空閑時(shí)間15 分鐘Microsoft 網(wǎng)絡(luò)服務(wù)器: 數(shù)字簽名的通信（若客戶同意）已啟用Microsoft 網(wǎng)絡(luò)服務(wù)器: 當(dāng)?shù)卿洉r(shí)間用完時(shí)自動(dòng)注銷用戶已禁用網(wǎng)絡(luò)訪問: 允許匿名 SID/名稱 轉(zhuǎn)換已禁用網(wǎng)絡(luò)訪問: 不允許 SAM 帳戶和共享的匿名枚舉已啟用網(wǎng)絡(luò)訪問: 不允許為網(wǎng)絡(luò)身份驗(yàn)證儲(chǔ)存憑據(jù)或 .NET Passports已啟用網(wǎng)絡(luò)訪問: 限制匿名訪問命名管道和共享已啟用網(wǎng)絡(luò)訪問: 本地帳戶的共享和安全模式經(jīng)典 - 本地用戶以自己的身份驗(yàn)證網(wǎng)絡(luò)訪問: 可遠(yuǎn)程訪問的注冊(cè)表路徑空網(wǎng)絡(luò)安全: 不要在下次更改密碼時(shí)存儲(chǔ) LAN Manager 的哈希值已啟用網(wǎng)絡(luò)安全: 在超過登錄時(shí)間后強(qiáng)制注銷已

29、禁用網(wǎng)絡(luò)安全: 基于 NTLM SSP（包括安全 RPC）客戶的最小會(huì)話安全要求 NTLMv2 會(huì)話安全 要求 128-位加密關(guān)機(jī): 允許在未登錄前關(guān)機(jī)已禁用關(guān)機(jī): 清理虛擬內(nèi)存頁面文件已啟用具體設(shè)置方法為：進(jìn)入“控制面板/性能和維護(hù)/管理工具/本地安全策略“，在“本地策略->安全選項(xiàng)”中完成上表提及的各個(gè)“安全選項(xiàng)”的調(diào)整。4.6 安全審計(jì)配置標(biāo)準(zhǔn)4.6.1 審核策略配置要求Windows XP系統(tǒng)的缺省配置是不開任何安全審核，要求通過開啟“審核策略”，記錄以下操作：審核策略默認(rèn)配置安全設(shè)置審核登陸事件無審核成功，失敗審核帳戶登陸事件無審核成功，失敗審核帳戶管理無審核成功，失敗審核系統(tǒng)

30、事件無審核成功，失敗配置方法：通過“控制面板/管理工具/本地安全策略“，在“本地策略->審核策略”中打開相應(yīng)的審核選項(xiàng)：4.6.2 日志屬性配置要求根據(jù)下表調(diào)整各種日志屬性： 日志類別安全設(shè)置應(yīng)用程序日志大小10240K當(dāng)達(dá)到最大日志大小時(shí)改寫久于15天的事件安全性日志大小10240K當(dāng)達(dá)到最大日志大小時(shí)改寫久于15天的事件系統(tǒng)日志大小10240K當(dāng)達(dá)到最大日志大小時(shí)改寫久于15天的事件配置方法：通過“控制面板/管理工具/事件查看器“，在“屬性”中進(jìn)行設(shè)置：4.7 其它安全配置參考4.7.1 使用NTFS文件系統(tǒng)NTFS文件系統(tǒng)比FAT和FAT32強(qiáng)壯和穩(wěn)定，不易崩潰，Windows X

31、P提供了基于NTFS文件系統(tǒng)的對(duì)文件和目錄的訪問控制列表(ACL)。建議所有的磁盤卷都使用NTFS文件系統(tǒng)。4.7.2 共享管理要求停用所有不必要的文件共享，特別注意系統(tǒng)默認(rèn)啟用的隱含系統(tǒng)共享，如C$、D$、IPC$、admin$等。因工作需要臨時(shí)開啟共享，使用完畢后應(yīng)及時(shí)關(guān)閉。1、關(guān)閉默認(rèn)共享的方法有兩種：2、在服務(wù)配置中禁用Server服務(wù)；更改注冊(cè)表鍵值：在HKLMSystemCurrentControlSet ServicesLanmanServerParameters下，增加REG_DWORD類型的AutoShareServer 鍵，值為 0。4.7.3 禁用自動(dòng)播放功能在命令行運(yùn)行

32、gpedit.msc，進(jìn)入組策略管理器，在計(jì)算機(jī)配置-管理模板-系統(tǒng)，找到右邊的“關(guān)閉自動(dòng)播放”，將此條目啟用。禁止自動(dòng)播放功能可以防止U盤病毒等通過自動(dòng)加載功能引入病毒。4.7.4 啟用屏幕保護(hù)設(shè)置帶密碼的屏幕保護(hù)，將時(shí)間設(shè)定為5-10分鐘，使得系統(tǒng)在無人操作5-10分鐘后自動(dòng)啟用屏幕保護(hù)，再次進(jìn)入系統(tǒng)需要認(rèn)證。 4.7.5 系統(tǒng)啟動(dòng)自動(dòng)加載項(xiàng)在命令行運(yùn)行msconfig.exe，進(jìn)入系統(tǒng)配置使用程序，對(duì)系統(tǒng)啟動(dòng)加載項(xiàng)目進(jìn)行檢查，將不必要的加載項(xiàng)清除。建議：首先確定每個(gè)加載項(xiàng)內(nèi)容的用途，比如下列加載：輸入法、系統(tǒng)驅(qū)動(dòng)、業(yè)務(wù)軟件、殺毒軟件等；對(duì)于不需要自動(dòng)啟動(dòng)的應(yīng)用項(xiàng)目予以清除。5 Windo

33、ws 7 安全配置標(biāo)準(zhǔn)5.1 系統(tǒng)補(bǔ)丁安裝標(biāo)準(zhǔn)5.1.1 系統(tǒng)補(bǔ)丁分類Windows 7系統(tǒng)與安全相關(guān)的補(bǔ)丁大致分三類：n Service Pack（補(bǔ)丁包）： Service Pack 是經(jīng)過測試的所有修復(fù)程序、安全更新程序、關(guān)鍵更新程序以及更新程序的累積的集合。Service Pack 還可能包含自產(chǎn)品發(fā)布以來針對(duì)內(nèi)部發(fā)現(xiàn)問題的其他修復(fù)以及設(shè)計(jì)上的更改或功能上的增加。Service Pack補(bǔ)丁包涵蓋了自發(fā)布之前的所有補(bǔ)丁，是重要的補(bǔ)丁集合。n Security Patch（安全補(bǔ)丁）：Security Patch是針對(duì)特定問題廣泛發(fā)布的修復(fù)程序，用于修復(fù)特定產(chǎn)品的與安全相關(guān)的漏洞。Mic

34、rosoft在發(fā)布的安全公告中將Security Patch分級(jí)為嚴(yán)重、重要、中等、低四個(gè)等級(jí)。嚴(yán)重的安全補(bǔ)丁缺失，會(huì)造成蠕蟲快速傳播(如振蕩波，沖擊波)，對(duì)系統(tǒng)本身和網(wǎng)絡(luò)造成重大影響，這類補(bǔ)丁需要及時(shí)應(yīng)用到操作系統(tǒng)。n Hotfix(修補(bǔ)程序)：Hotfix是針對(duì)某一個(gè)具體的系統(tǒng)漏洞或安全問題而發(fā)布的專門解決該漏洞或安全問題的小程序，通常稱為修補(bǔ)程序，如果在最近發(fā)布的Service Pack后面，出現(xiàn)安全方面的漏洞，通常對(duì)應(yīng)的補(bǔ)丁會(huì)以Hotfix修補(bǔ)程序的形式發(fā)布。5.1.2 補(bǔ)丁安裝原則1、新安裝或者重新安裝Windows 7操作系統(tǒng)，必須安裝最新的Service Pack補(bǔ)丁集。2、必須

35、安裝等級(jí)為嚴(yán)重和重要的Security Patch。3、有關(guān)安全方面的Hotfixes補(bǔ)丁應(yīng)當(dāng)及時(shí)安裝。4、最新的安全補(bǔ)丁發(fā)布與升級(jí)步驟，參照公司內(nèi)網(wǎng)和微軟網(wǎng)站的公告。注：補(bǔ)丁更新要慎重，可能出現(xiàn)硬件不兼容，或者影響當(dāng)前的應(yīng)用系統(tǒng)，安裝補(bǔ)丁之前要經(jīng)過測試和驗(yàn)證。5.2 系統(tǒng)和安全配置標(biāo)準(zhǔn)5.2.1 防火墻啟用要求要求啟用Windows防火墻。防火墻啟用方式如下圖：5.2.2 自動(dòng)更新啟用要求系統(tǒng)和安全還包括自動(dòng)更新功能，定期地檢查針對(duì)計(jì)算機(jī)的最新的重要更新，然后自動(dòng)安裝這些更新。重要更新（包括關(guān)鍵更新和安全更新）應(yīng)該在發(fā)行后盡快安裝到計(jì)算機(jī)上，保護(hù)您計(jì)算機(jī)免受病毒攻擊和其他安全威脅。要求啟用自

36、動(dòng)更新功能，方法如圖所示：注：內(nèi)外網(wǎng)物理分離管理的終端，可以根據(jù)實(shí)際情況選擇不開啟，但應(yīng)通過其他途徑及時(shí)獲取并安裝補(bǔ)丁。5.2.3 防病毒設(shè)置必須安裝公司統(tǒng)一的防病毒軟件，并設(shè)置定期升級(jí)。5.2.4 桌面管理軟件安裝公司統(tǒng)一的桌面管理軟件。5.3 帳號(hào)和口令安全配置標(biāo)準(zhǔn)5.3.1 密碼策略配置要求通過“本地安全策略”調(diào)整默認(rèn)的“密碼策略”，提高系統(tǒng)的安全水平，“密碼策略”中各選項(xiàng)的具體要求如下表列舉：策略默認(rèn)設(shè)置安全設(shè)置密碼必須符合復(fù)雜性要求禁用啟用密碼長度最小值0 個(gè)字符8 個(gè)字符密碼最短使用期限0天1天密碼最長使用期限0天90天強(qiáng)制密碼歷史記住 0 個(gè)密碼記住 5個(gè)密碼用可還原的加密來儲(chǔ)存

37、密碼已禁用已禁用“密碼策略”的設(shè)置步驟如下圖：進(jìn)入“控制面板/系統(tǒng)和安全/管理工具/本地安全策略”，在“帳戶策略->密碼策略”。5.3.2 密碼復(fù)雜性配置要求在“密碼策略”中 “密碼必須符合復(fù)雜性要求”選項(xiàng)啟動(dòng)后，系統(tǒng)將強(qiáng)制要求密碼的設(shè)置具備一定的強(qiáng)壯度，要求密碼至少包含以下四種類別的字符中的三種：n 英語大寫字母 A, B, C, Z n 英語小寫字母 a, b, c, z n 西方阿拉伯?dāng)?shù)字 0, 1, 2, 9 n 非字母數(shù)字字符，如標(biāo)點(diǎn)符號(hào)，, #, $, %, &, *等5.3.3 帳號(hào)安全控制要求1、“帳戶鎖定策略”配置要求有效的帳號(hào)鎖定策略有助于防止攻擊者猜出您帳號(hào)

38、對(duì)應(yīng)的密碼。要求按照下表要求調(diào)整“帳戶鎖定策略”：策略默認(rèn)設(shè)置安全設(shè)置復(fù)位帳戶鎖定計(jì)數(shù)器未定義30 分鐘之后帳戶鎖定時(shí)間未定義30 分鐘帳戶鎖定閾值05 次無效登錄帳號(hào)鎖定配置具體操作如下圖：進(jìn)入“控制面板/系統(tǒng)和安全/管理工具/本地安全策略”，在“帳戶策略->帳戶鎖定策略”。2、系統(tǒng)內(nèi)置帳號(hào)管理要求Windows 7系統(tǒng)中存在不可刪除的內(nèi)置帳號(hào)，包括Administrator和guest。對(duì)于管理員帳號(hào)，要求更改缺省帳戶名稱，并對(duì)隸屬于Administrators組的帳號(hào)要嚴(yán)格監(jiān)控；要求禁用guest（來賓）帳號(hào)，以防止攻擊者通過利用已知的用戶名破壞遠(yuǎn)程服務(wù)器。3、其它帳號(hào)管理要求臨時(shí)

39、的測試帳號(hào)和過期的無用帳號(hào)應(yīng)該在3個(gè)工作日內(nèi)及時(shí)刪除。（注：測試帳號(hào)和無用帳號(hào)不是系統(tǒng)默認(rèn)安裝時(shí)生成的，是系統(tǒng)操作過程中人為新增的帳號(hào)，應(yīng)該及時(shí)刪除。）5.4 服務(wù)和端口配置標(biāo)準(zhǔn)5.4.1 服務(wù)管理配置要求Windows 7缺省安裝會(huì)創(chuàng)建很多默認(rèn)服務(wù)并配置為在系統(tǒng)啟動(dòng)時(shí)運(yùn)行。實(shí)際運(yùn)行環(huán)境中并不需要運(yùn)行所有服務(wù)，而任何多余的服務(wù)都是潛在的受攻擊點(diǎn)，因此要求禁用不必要的服務(wù)。下表列出的服務(wù)是Windows 7系統(tǒng)提供基本管理功能所必需的，請(qǐng)根據(jù)系統(tǒng)的應(yīng)用的情況禁用下表中沒有提到的服務(wù)：服務(wù)啟動(dòng)類型服務(wù)功能實(shí)現(xiàn)Automatic Updates自動(dòng)允許下載并安裝Windows更新Base Filte

40、ring Engine自動(dòng)一種管理防火墻和IPSEC策略的服務(wù)COM+ 事件服務(wù)手動(dòng)允許組件服務(wù)的管理DHCP 客戶端自動(dòng)通過注冊(cè)和更新IP地址和DNS域名來管理網(wǎng)絡(luò)配置Distributed Link Tracking Client分布式鏈接跟蹤客戶端自動(dòng)用來維護(hù) NTFS 卷上的鏈接DNS 客戶端自動(dòng)允許解析 DNS 名稱Event Log 事件日志自動(dòng)允許在事件日志中查看事件日志消息Group Policy Client自動(dòng)提供計(jì)算機(jī)組策略設(shè)置服務(wù)邏輯磁盤管理器自動(dòng)需要它來確保動(dòng)態(tài)磁盤信息保持最新邏輯磁盤管理器管理服務(wù)手動(dòng)需要它以執(zhí)行磁盤管理Netlogon自動(dòng)加入域時(shí)所需網(wǎng)絡(luò)連接手動(dòng)網(wǎng)

41、絡(luò)通訊所需Network Store Interface Service自動(dòng)向用戶模式客戶端發(fā)送網(wǎng)絡(luò)通知性能日志和警報(bào)手動(dòng)收集計(jì)算機(jī)的性能數(shù)據(jù)，向日志中寫入或觸發(fā)警報(bào)即插即用自動(dòng)Windows 7標(biāo)識(shí)和使用系統(tǒng)硬件時(shí)所需受保護(hù)的存儲(chǔ)區(qū)自動(dòng)需要用它保護(hù)敏感數(shù)據(jù)，如私鑰遠(yuǎn)程過程調(diào)用 (RPC)自動(dòng)Windows 7 中的內(nèi)部過程所需RPC Endpoint Mapper自動(dòng)解析RPC接口標(biāo)識(shí)符以傳輸端點(diǎn)安全帳戶管理器自動(dòng)存儲(chǔ)本地安全帳戶的帳戶信息系統(tǒng)事件通知自動(dòng)在事件日志中記錄條目所需TCP/IP NetBIOS Helper 服務(wù)自動(dòng)在組策略中進(jìn)行軟件分發(fā)所需（可分發(fā)修補(bǔ)程序）User Prof

42、ile Service自動(dòng)負(fù)責(zé)加載和卸載用戶配置文件Windows Audio自動(dòng)基于Windows的程序的音頻設(shè)備Windows Audio Endpoint Builder自動(dòng)管理Windows音頻服務(wù)的音頻設(shè)備Windows Firewall自動(dòng)提供防火墻保護(hù)Windows 管理規(guī)范驅(qū)動(dòng)程序手動(dòng)使用“性能日志和警報(bào)”實(shí)現(xiàn)性能警報(bào)時(shí)所需Windows 時(shí)間服務(wù)自動(dòng)需要它來保證 Kerberos 身份驗(yàn)證有一致的功能工作站自動(dòng)加入域時(shí)所需具體設(shè)置方法為：進(jìn)入“控制面板/系統(tǒng)和安全/管理工具/服務(wù)“完成上表提及的各個(gè)“安全選項(xiàng)”的調(diào)整。5.4.2 端口配置要求為防止攻擊者通過小端口瀏覽到指定網(wǎng)

43、段內(nèi)的工作站中全部共享信息、對(duì)共享文件進(jìn)行編輯、刪除操作等，應(yīng)該關(guān)閉不需要的小端口，關(guān)閉方法如下：1、139端口139端口是NetBIOS Session端口，用來文件和打印共享。按照如下方法關(guān)閉：關(guān)閉139端口，在“網(wǎng)絡(luò)和撥號(hào)連接”中“本地連接”中選取“Internet協(xié)議(TCP/IP)”屬性，進(jìn)入“高級(jí)TCP/IP設(shè)置”“WINS設(shè)置”里選擇“禁用TCP/IP的NETBIOS” 。2、445端口關(guān)閉445端口，修改注冊(cè)表，添加一個(gè)鍵值 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters"SMBDevi

44、ceEnabled"=dword:00000000。注：若打印機(jī)配置必須開啟以上端口，可暫不關(guān)閉。5.5 安全選項(xiàng)配置標(biāo)準(zhǔn)請(qǐng)按照下表中的要求設(shè)置Windows 7系統(tǒng)中的安全選項(xiàng)：安全選項(xiàng)安全設(shè)置帳戶: 使用空密碼的本地帳戶只允許進(jìn)行控制臺(tái)登錄已啟用帳戶: 重命名系統(tǒng)管理員帳戶重命名帳戶: 重命名來賓帳戶重命名設(shè)備: 允許在未登錄的情況下彈出已禁用設(shè)備: 允許對(duì)可移動(dòng)媒體進(jìn)行格式化并彈出Administrators設(shè)備: 防止用戶安裝打印機(jī)驅(qū)動(dòng)程序已禁用設(shè)備: 將CD-ROM的訪問權(quán)限僅限于本地登錄的用戶已啟用設(shè)備: 將軟盤驅(qū)動(dòng)器的訪問權(quán)限僅限于本地登錄的用戶已啟用交互式登錄: 不顯示最后的用戶名已啟用交互式登錄: 無需按 CTRL+ALT+DEL已禁用交互式登錄: 之前登錄到緩存的次數(shù) （域控制器不可用時(shí)）1交互式登錄: 提示用戶在過期之前更改密碼14天Microsoft 網(wǎng)絡(luò)客戶端: 將未加密的密碼發(fā)送到第三方 SMB 服務(wù)器。已禁用Microsoft 網(wǎng)絡(luò)服務(wù)器: 暫停會(huì)話前所需的空閑時(shí)間數(shù)量15 分鐘Microsoft 網(wǎng)絡(luò)服務(wù)器: 對(duì)通信進(jìn)行數(shù)字簽名（始終）已啟用Microsoft 網(wǎng)絡(luò)服務(wù)器: 登錄時(shí)間過期后斷開與客戶