各類操作系統(tǒng)安全基線配置及操作指南

1、1 / 174各類操作系統(tǒng)安全配置要求及操作指南檢查模塊 支持系統(tǒng)版本號(hào) Windows Windows 2000 以上 SolarisSolaris 8 以上AIX AIX 5.X 以上HP-UNIX HP-UNIX 11 以上Linux 內(nèi)核版本 2.6 以上Oracle Oracle &以上SQLServerMicrosoft SQL Server 2000 以上MySQL MySQL 5.x 以上IIS IIS 5.x 以上Apache Apache 2.x 以上Tomcat Tomcat 5.x 以上WebLogic WebLogic 8.X 以上2 / 174Windows

2、 操作系統(tǒng) 安全配置要求及操作指南I. 目錄 目 錄I前 言 . II1范圍 . 12規(guī)范性引用文件 . 13縮略語(yǔ) . 14安全配置要求 . 24.1賬號(hào) . 24.2口令 . 34.3授權(quán) . 54.4補(bǔ)丁 . 74.5防護(hù)軟件 . 84.6防病毒軟件 . 84.7日志安全要求 . 94.8不必要的服務(wù) . 114.9啟動(dòng)項(xiàng) . 124.10關(guān)閉自動(dòng)播放功能 . 134.11共享文件夾 . 134.12使用 NTFS 文件系統(tǒng) . 144.13網(wǎng)絡(luò)訪問(wèn) . 154.14會(huì)話超時(shí)設(shè)置 . 164.15注冊(cè)表設(shè)置 . 17附錄 A:端口及服務(wù) .183 / 174II、八前言 為了在工程驗(yàn)收、

3、運(yùn)行維護(hù)、安全檢查等環(huán)節(jié)，規(guī)范并落實(shí)安全配置要求， 編制了一系列的安全配置要求及操作指南， 明確了操作系統(tǒng)、 數(shù)據(jù)庫(kù)、 應(yīng)用中間 件在內(nèi)的通用安全配置要求及參考操作。該系列安全配置要求及操作指南的結(jié)構(gòu)及名稱預(yù)計(jì)如下:（ 1 ） Windows 操作系統(tǒng)安全配置要求及操作指南 （本規(guī)范）（2） AIX 操作系統(tǒng)安全配置要求及操作指南（3） HP-UX 操作系統(tǒng)安全配置要求及操作指南（4） Linux 操作系統(tǒng)安全配置要求及操作指南（5）Solaris 操作系統(tǒng)安全配置要求及操作指南（6） MS SQL serve 數(shù)據(jù)庫(kù)安全配置要求及操作指南（ 7） MySQL 數(shù)據(jù)庫(kù)安全配置要求及操作指南（8

4、）Oracle 數(shù)據(jù)庫(kù)安全配置要求及操作指南（ 9） Apache 安全配置要求及操作指南（10）IIS 安全配置要求及操作指南（ 11 ） Tomcat 安全配置要求及操作指南（ 12） WebLogic 安全配置要求及操作指南11 范圍適用于使用 Windows 操作系統(tǒng)的設(shè)備。在未特別說(shuō)明的情況下，均適用于所 有運(yùn)行的 Windows 操作系統(tǒng)， 包括 Windows 2000、 Windows XP、 Windows2003, Windows7 ,Windows 2008 以及各版本中的 Sever、Professional 版本。本規(guī)范明確了 Windows 操作系統(tǒng)在安全配置方面的

5、基本要求， 適用于所有的安 全等級(jí)，可作為編制設(shè)備入網(wǎng)測(cè)試、 安全驗(yàn)收、 安全檢查規(guī)范等文檔的參考。由于版本不同，配置操作有所不同， 本規(guī)范以 Windows 2003 為例，給出參考配 置操作。2 規(guī)范性引用文件GB/T22239-2008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求YD/T 1732-2008固定通信網(wǎng)安全防護(hù)要求YD/T 1734-2008移動(dòng)通信網(wǎng)安全防護(hù)要求YD/T 1736-2008互聯(lián)網(wǎng)安全防護(hù)要求YD/T 1738-2008增值業(yè)務(wù)網(wǎng) 消息網(wǎng)安全防護(hù)要求YD/T 1740-2008增值業(yè)務(wù)網(wǎng) 智能網(wǎng)安全防護(hù)要求YD/T 1758-2008非核心生產(chǎn)單元安全防護(hù)要求Y

6、D/T 1742-2008接入網(wǎng)安全防護(hù)要求YD/T 1744-2008傳送網(wǎng)安全防護(hù)要求4 / 174YD/T 1746-2008IP 承載網(wǎng)安全防護(hù)要求YD/T 1748-2008信令網(wǎng)安全防護(hù)要求YD/T 1750-2008同步網(wǎng)安全防護(hù)要求YD/T 1752-2008支撐網(wǎng)安全防護(hù)要求YD/T 1756-2008電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級(jí)保護(hù)要求3 縮略語(yǔ)UDP User Datagram Protocol 用戶數(shù)據(jù)包協(xié)議TCP Tran smissio n Control Protocol輸控制協(xié)議2NTFS New Technology File System 新技術(shù)文件系統(tǒng)4 安

7、全配置要求4.1 賬號(hào)編號(hào)：1要求內(nèi)容 應(yīng)按照不同的用戶分配不同的賬號(hào)，避免不同用戶間共享賬號(hào)。避 免用戶賬號(hào)和設(shè)備間通信使用的賬號(hào)共享。操作指南 1、參考配置操作 進(jìn)入“控制面板 -管理工具 -計(jì)算機(jī)管理” ，在“系統(tǒng)工具 -本地用 戶和組” ：根據(jù)系統(tǒng)的要求，設(shè)定不同的賬戶和賬戶組。 檢測(cè)方法 1、 判定條件 結(jié)合要求和實(shí)際業(yè)務(wù)情況判斷符合要求，根據(jù)系統(tǒng)的要求，設(shè)定不 同的賬戶和賬戶組2、檢測(cè)操作進(jìn)入“控制面板 -管理工具 -計(jì)算機(jī)管理” ，在“系統(tǒng)工具 -本地用 戶和組” ：查看根據(jù)系統(tǒng)的要求，設(shè)定不同的賬戶和賬戶組編號(hào)：2要求內(nèi)容 應(yīng)刪除與運(yùn)行、維護(hù)等工作無(wú)關(guān)的賬號(hào)。操作指南 1參考配

8、置操作A） 可使用用戶管理工具：開始-運(yùn)行-compmgmt.msc-本地用戶和組-用戶B） 也可以通過(guò) net 命令：刪除賬號(hào)： net user account/de1停用賬號(hào)： net user account/active:no檢測(cè)方法1.判定條件結(jié)合要求和實(shí)際業(yè)務(wù)情況判斷符合要求，刪除或鎖定與設(shè)備運(yùn)行、維護(hù) 等與工作無(wú)關(guān)的賬號(hào)。3 注：無(wú)關(guān)的賬號(hào)主要指測(cè)試帳戶、共享帳號(hào)、長(zhǎng)期不用賬號(hào)（半年以上 不用）等2.檢測(cè)操作開始-運(yùn)行-compmgmt.msc-本地用戶和組-用戶 編號(hào)： 3要求內(nèi)容 重命名 Administrator;禁用 guest （來(lái)賓）帳號(hào)。操作指南 1、參考配置操作

9、5 / 174進(jìn)入“控制面板 -管理工具 -計(jì)算機(jī)管理” ，在“系統(tǒng)工具 -本地用 戶和組” ：Administrator 屬性一 更改名稱Guest 帳號(hào)-屬性 已停用檢測(cè)方法 1、判定條件缺省賬戶 Administrator 名稱已更改。Guest 帳號(hào)已停用。2、檢測(cè)操作進(jìn)入“控制面板 -管理工具 -計(jì)算機(jī)管理” ，在“系統(tǒng)工具 -本地用 戶和組” ：缺省帳戶 屬性 更改名稱 Guest 帳號(hào)-屬性 已停用4.2 口令編號(hào)： 1 要求內(nèi)容 密碼長(zhǎng)度要求：最少 8 位 密碼復(fù)雜度要求：至少包含以下四種類別的字符中的三種：z 英語(yǔ)大寫字母 A, B, C,Zz 英語(yǔ)小寫字母 a, b, c,

10、zz 阿拉伯?dāng)?shù)字 0, 1, 2, 9z 非字母數(shù)字字符，如標(biāo)點(diǎn)符號(hào)， , #, $, %, &, *等4操作指南1、參考配置操作進(jìn)入“控制面板 -管理工具 -本地安全策略” ，在“帳戶策略 -密碼 策略” ：“密碼必須符合復(fù)雜性要求”選擇“已啟動(dòng)” 檢測(cè)方法1、判定條件“密碼必須符合復(fù)雜性要求”選擇“已啟動(dòng)”906 / 1742、檢測(cè)操作進(jìn)入“控制面板 -管理工具 -本地安全策略” ，在“帳戶策略 -密碼 策略” ：查看是否“密碼必須符合復(fù)雜性要求”選擇“已啟動(dòng)”編號(hào)：2要求內(nèi)容 對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，賬戶口令的生存期不長(zhǎng)于 天。操作指南 1、參考配置操作 進(jìn)入“控制面板

11、-管理工具 -本地安全策略” ，在“帳戶策略 -密碼 策略” ：“密碼最長(zhǎng)存留期”設(shè)置為“ 90 天” 檢測(cè)方法 1、判定條件“密碼最長(zhǎng)存留期”設(shè)置為“ 90 天”2、檢測(cè)操作 進(jìn)入“控制面板 -管理工具 -本地安全策略” ，在“帳戶策略 -密碼 策略” ：查看是否“密碼最長(zhǎng)存留期”設(shè)置為“ 90 天”編號(hào)：3要求內(nèi)容 對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置設(shè)備，使用戶不能重復(fù) 使用最近5 次（含 5 次）內(nèi)已使用的口令。操作指南 1、參考配置操作5進(jìn)入“控制面板 -管理工具 -本地安全策略” ，在“帳戶策略 -密碼 策略” ：“強(qiáng)制密碼歷史”設(shè)置為“記住 5 個(gè)密碼” 檢測(cè)方法 1、判定條件“強(qiáng)制密碼歷史”設(shè)置為“記住 5 個(gè)密碼”2、檢測(cè)操作進(jìn)入“控制面板 -管理工具 -本地安全策略” ，在“帳戶策略 -密碼 策略” ：查看是否“強(qiáng)制密碼歷史”設(shè)置為“記住 5 個(gè)密碼”編號(hào)：4要