window-操作系統(tǒng)安全配置手冊

1、精選優(yōu)質(zhì)文檔-傾情為你奉上WINDOWS 操作系統(tǒng)安全配置手冊目錄1 概述適用范圍本規(guī)范所指的設(shè)備為Windows系統(tǒng)設(shè)備。本規(guī)范明確了運行Windows操作系統(tǒng)的設(shè)備在安全配置方面的基本要求。在未特別說明的情況下，均適用于所有運行的Windows操作系統(tǒng)。2 WINDOWS設(shè)備安全配置要求本手冊從Windows系統(tǒng)設(shè)備的認(rèn)證授權(quán)功能、安全日志功能以及IP網(wǎng)絡(luò)安全功能，和其他自身安全配置功能四個方面提出安全要求。122.1 賬號管理、認(rèn)證授權(quán)認(rèn)證功能用于確認(rèn)登錄系統(tǒng)的用戶真實身份。認(rèn)證功能的具體實現(xiàn)方式包括靜態(tài)口令、動態(tài)口令、指紋等生物鑒別技術(shù)等。授權(quán)功能賦予系統(tǒng)賬號的操作權(quán)限，并限制用戶進行

2、超越其賬號權(quán)限的操作。要求內(nèi)容按照用戶分配賬號。根據(jù)系統(tǒng)的要求，設(shè)定不同的賬戶和賬戶組，管理員用戶，數(shù)據(jù)庫用戶，審計用戶，來賓用戶等。操作指南1、參考配置操作進入“控制面板->管理工具->計算機管理”，在“系統(tǒng)工具->本地用戶和組”：根據(jù)系統(tǒng)的要求，設(shè)定不同的賬戶和賬戶組，管理員用戶，數(shù)據(jù)庫用戶，審計用戶，來賓用戶。檢測方法1、 判定條件結(jié)合要求和實際業(yè)務(wù)情況判斷符合要求，根據(jù)系統(tǒng)的要求，設(shè)定不同的賬戶和賬戶組，管理員用戶，數(shù)據(jù)庫用戶，審計用戶，來賓用戶。2、檢測操作進入“控制面板->管理工具->計算機管理”，在“系統(tǒng)工具->本地用戶和組”：查看根據(jù)系統(tǒng)的要

3、求，設(shè)定不同的賬戶和賬戶組，管理員用戶，數(shù)據(jù)庫用戶，審計用戶，來賓用戶。要求內(nèi)容對于管理員帳號，要求更改缺省帳戶名稱；禁用guest（來賓）帳號。操作指南1、參考配置操作進入“控制面板->管理工具->計算機管理”，在“系統(tǒng)工具->本地用戶和組”：Administrator>屬性> 更改名稱Guest帳號->屬性> 已停用檢測方法1、判定條件缺省賬戶Administrator名稱已更改。Guest帳號已停用。2、檢測操作進入“控制面板->管理工具->計算機管理”，在“系統(tǒng)工具->本地用戶和組”：缺省帳戶>屬性> 更改名稱Gu

4、est帳號->屬性> 已停用2.2 口令要求內(nèi)容最短密碼長度 8個字符，啟用本機組策略中密碼必須符合復(fù)雜性要求的策略。即密碼至少包含以下四種類別的字符中的三種：l 英語大寫字母 A, B, C, Z l 英語小寫字母 a, b, c, z l 西方阿拉伯?dāng)?shù)字 0, 1, 2, 9 非字母數(shù)字字符，如標(biāo)點符號，, #, $, %, &, *等操作指南1、參考配置操作進入“控制面板->管理工具->本地安全策略”，在“帳戶策略->密碼策略”：“密碼必須符合復(fù)雜性要求”選擇“已啟動”檢測方法1、判定條件“密碼必須符合復(fù)雜性要求”選擇“已啟動”2、檢測操作進入“控制

5、面板->管理工具->本地安全策略”，在“帳戶策略->密碼策略”：查看是否“密碼必須符合復(fù)雜性要求”選擇“已啟動”要求內(nèi)容對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，賬戶口令的生存期不長于90天。操作指南1、參考配置操作進入“控制面板->管理工具->本地安全策略”，在“帳戶策略->密碼策略”：“密碼最長存留期”設(shè)置為“90天”檢測方法1、判定條件“密碼最長存留期”設(shè)置為“90天”2、檢測操作進入“控制面板->管理工具->本地安全策略”，在“帳戶策略->密碼策略”：查看是否“密碼最長存留期”設(shè)置為“90天”要求內(nèi)容對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置設(shè)備

6、，使用戶不能重復(fù)使用最近5次（含5次）內(nèi)已使用的口令。操作指南1、參考配置操作進入“控制面板->管理工具->本地安全策略”，在“帳戶策略->密碼策略”：“強制密碼歷史”設(shè)置為“記住5個密碼”檢測方法1、判定條件“強制密碼歷史”設(shè)置為“記住5個密碼”2、檢測操作進入“控制面板->管理工具->本地安全策略”，在“帳戶策略->密碼策略”：查看是否“強制密碼歷史”設(shè)置為“記住5個密碼”要求內(nèi)容對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過6次（不含6次），鎖定該用戶使用的賬號。操作指南1、參考配置操作進入“控制面板->管理工具->本地安

7、全策略”，在“帳戶策略->帳戶鎖定策略”：“賬戶鎖定閥值”設(shè)置為 6次檢測方法1、判定條件“賬戶鎖定閥值”設(shè)置為小于或等于 6次2、檢測操作進入“控制面板->管理工具->本地安全策略”，在“帳戶策略->帳戶鎖定策略”：查看是否“賬戶鎖定閥值”設(shè)置為小于等于 6次22.12.22.3 授權(quán)要求內(nèi)容在本地安全設(shè)置中從遠(yuǎn)端系統(tǒng)強制關(guān)機只指派給Administrators組。操作指南1、參考配置操作進入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權(quán)利指派”:“從遠(yuǎn)端系統(tǒng)強制關(guān)機”設(shè)置為“只指派給Administrators組”檢測方法1、判定

8、條件“從遠(yuǎn)端系統(tǒng)強制關(guān)機”設(shè)置為“只指派給Administrtors組”2、檢測操作進入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權(quán)利指派”:查看是否“從遠(yuǎn)端系統(tǒng)強制關(guān)機”設(shè)置為“只指派給Administrators組”要求內(nèi)容在本地安全設(shè)置中關(guān)閉系統(tǒng)僅指派給Administrators組。操作指南1、參考配置操作進入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權(quán)利指派”:“關(guān)閉系統(tǒng)”設(shè)置為“只指派給Administrators組”檢測方法1、判定條件“關(guān)閉系統(tǒng)”設(shè)置為“只指派給Administrators組”2、檢測操

9、作進入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權(quán)利指派”:查看“關(guān)閉系統(tǒng)”設(shè)置為“只指派給Administrators組”要求內(nèi)容在本地安全設(shè)置中取得文件或其它對象的所有權(quán)僅指派給Administrators。操作指南1、參考配置操作進入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權(quán)利指派”：“取得文件或其它對象的所有權(quán)”設(shè)置為“只指派給Administrators組”檢測方法1、判定條件“取得文件或其它對象的所有權(quán)”設(shè)置為“只指派給Administrators組”2、檢測操作進入“控制面板->管理工具->

10、本地安全策略”，在“本地策略->用戶權(quán)利指派”：查看是否“取得文件或其它對象的所有權(quán)”設(shè)置為“只指派給Administrators組”要求內(nèi)容在本地安全設(shè)置中配置指定授權(quán)用戶允許本地登陸此計算機。操作指南1、參考配置操作進入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權(quán)利指派”“從本地登陸此計算機”設(shè)置為“指定授權(quán)用戶”檢測方法1、判定條件“從本地登陸此計算機”設(shè)置為“指定授權(quán)用戶”2、檢測操作進入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權(quán)利指派”查看是否“從本地登陸此計算機”設(shè)置為“指定授權(quán)用戶”要求內(nèi)容在組策

11、略中只允許授權(quán)帳號從網(wǎng)絡(luò)訪問(包括網(wǎng)絡(luò)共享等，但不包括終端服務(wù))此計算機。操作指南1、參考配置操作進入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權(quán)利指派”“從網(wǎng)絡(luò)訪問此計算機”設(shè)置為“指定授權(quán)用戶”檢測方法1、判定條件“從網(wǎng)絡(luò)訪問此計算機”設(shè)置為“指定授權(quán)用戶”2、檢測操作進入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權(quán)利指派”查看是否“從網(wǎng)絡(luò)訪問此計算機”設(shè)置為“指定授權(quán)用戶”122.12.22.32.4 日志配置操作要求內(nèi)容設(shè)備應(yīng)配置日志功能，對用戶登錄進行記錄，記錄內(nèi)容包括用戶登錄使用的賬號，登錄是否成功，登錄時

12、間，以及遠(yuǎn)程登錄時，用戶使用的IP地址。操作指南1、參考配置操作開始->運行-> 執(zhí)行“ 控制面板->管理工具->本地安全策略->審核策略”審核登錄事件，雙擊，設(shè)置為成功和失敗都審核。檢測方法1、判定條件審核登錄事件，設(shè)置為成功和失敗都審核。2、檢測操作開始->運行-> 執(zhí)行“ 控制面板->管理工具->本地安全策略->審核策略”審核登錄事件，雙擊，查看是否設(shè)置為成功和失敗都審核。要求內(nèi)容啟用組策略中對Windows系統(tǒng)的審核策略更改，成功和失敗都要審核。操作指南1、參考配置操作進入“控制面板->管理工具->本地安全策略”，

13、在“本地策略->審核策略”中“審核策略更改”設(shè)置為“成功” 和“失敗”都要審核檢測方法1、判定條件“審核策略更改”設(shè)置為“成功” 和“失敗”都要審核2、檢測操作進入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中查看是否“審核策略更改”設(shè)置為“成功” 和“失敗”都要審核要求內(nèi)容啟用組策略中對Windows系統(tǒng)的審核對象訪問，成功和失敗都要審核。操作指南1、參考配置操作進入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中： “審核對象訪問”設(shè)置為“成功”和“失敗”都要審核檢測方法1、判定條件“審核對象訪問”設(shè)置

14、為“成功”和“失敗”都要審核2、檢測操作進入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：查看是否“審核對象訪問”設(shè)置為“成功”和“失敗”都要審核要求內(nèi)容啟用組策略中對Windows系統(tǒng)的審核目錄服務(wù)訪問，失敗。操作指南1、參考配置操作進入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：“審核目錄服務(wù)器訪問”設(shè)置為“成功” 和“失敗”都要審核檢測方法1、判定條件“審核目錄服務(wù)器訪問”設(shè)置為“成功” 和“失敗”都要審核2、檢測操作進入“控制面板->管理工具->本地安全策略”，在“本地策略->審

15、核策略”中：查看是否“審核目錄服務(wù)器訪問”設(shè)置為“成功” 和“失敗”都要審核要求內(nèi)容啟用組策略中對Windows系統(tǒng)的審核特權(quán)使用，成功和失敗都要審核。操作指南1、參考配置操作進入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：“審核特權(quán)使用”設(shè)置為“成功” 和“失敗”都要審核檢測方法1、判定條件“審核目錄服務(wù)器訪問”設(shè)置為“成功” 和“失敗”都要審核2、檢測操作進入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：查看是否“審核目錄服務(wù)器訪問”設(shè)置為“成功” 和“失敗”都要審核要求內(nèi)容啟用組策略中對Window

16、s系統(tǒng)的審核系統(tǒng)事件，成功和失敗都要審核。操作指南1、參考配置操作進入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：“審核系統(tǒng)事件”設(shè)置為“成功” 和“失敗”都要審核檢測方法1、判定條件“審核系統(tǒng)事件”設(shè)置為“成功” 和“失敗”都要審核2、檢測操作進入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：查看是否“審核系統(tǒng)事件”設(shè)置為“成功” 和“失敗”都要審核要求內(nèi)容啟用組策略中對Windows系統(tǒng)的審核帳戶管理，成功和失敗都要審核。操作指南1、參考配置操作進入“控制面板->管理工具->本地安全策略”

17、，在“本地策略->審核策略”中：“審核賬戶管理”設(shè)置為“成功” 和“失敗”都要審核檢測方法1、判定條件“審核賬戶管理”設(shè)置為“成功” 和“失敗”都要審核2、檢測操作進入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：查看是否“審核賬戶管理”設(shè)置為“成功” 和“失敗”都要審核要求內(nèi)容啟用組策略中對Windows系統(tǒng)的審核過程追蹤，失敗。操作指南1、參考配置操作進入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：“審核過程追蹤”設(shè)置為 “失敗”需要審核檢測方法1、判定條件“審核過程追蹤”設(shè)置為 “失敗”需要審

18、核2、檢測操作進入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：查看是否“審核過程追蹤”設(shè)置為 “失敗”需要審核要求內(nèi)容設(shè)置應(yīng)用日志文件大小至少為8192KB，設(shè)置當(dāng)達到最大的日志尺寸時，按需要改寫事件。操作指南1、參考配置操作進入“控制面板->管理工具->事件查看器”，在“事件查看器（本地）”中：“應(yīng)用日志”屬性中的日志大小設(shè)置不小于“8192KB” ,設(shè)置當(dāng)達到最大的日志尺寸時，“按需要改寫事件”檢測方法1、判定條件“應(yīng)用日志”屬性中的日志大小設(shè)置不小于“8192KB” ,設(shè)置當(dāng)達到最大的日志尺寸時，“按需要改寫事件”2、檢測操作進入

19、“控制面板->管理工具->事件查看器”，在“事件查看器（本地）”中：查看是否“應(yīng)用日志”屬性中的日志大小設(shè)置不小于“8192KB” ,設(shè)置當(dāng)達到最大的日志尺寸時，“按需要改寫事件”要求內(nèi)容設(shè)置系統(tǒng)日志文件大小至少為8192KB，設(shè)置當(dāng)達到最大的日志尺寸時，按需要改寫事件。操作指南1、參考配置操作進入“控制面板->管理工具->事件查看器”，在“事件查看器（本地）”中：“系統(tǒng)日志”屬性中的日志大小設(shè)置不小于“8192KB” ,設(shè)置當(dāng)達到最大的日志尺寸時，“按需要改寫事件”檢測方法1、判定條件“系統(tǒng)日志”屬性中的日志大小設(shè)置不小于“8192KB” , 設(shè)置當(dāng)達到最大的日志尺寸

20、時，“按需要改寫事件”2、檢測操作進入“控制面板->管理工具->事件查看器”，在“事件查看器（本地）”中：查看是否“系統(tǒng)日志”屬性中的日志大小設(shè)置不小于“8192KB” ,設(shè)置當(dāng)達到最大的日志尺寸時，“按需要改寫事件”要求內(nèi)容設(shè)置安全日志文件大小至少為8192KB，設(shè)置當(dāng)達到最大的日志尺寸時，按需要改寫事件。操作指南1、參考配置操作進入“控制面板->管理工具->事件查看器”，在“事件查看器（本地）”中：“安全日志”屬性中的日志大小設(shè)置不小于“8192KB” ,設(shè)置當(dāng)達到最大的日志尺寸時，“按需要改寫事件”檢測方法1、判定條件“安全日志”屬性中的日志大小設(shè)置不小于“819

21、2KB” ,設(shè)置當(dāng)達到最大的日志尺寸時，“按需要改寫事件”2、檢測操作進入“控制面板->管理工具->事件查看器”，在“事件查看器（本地）”中：查看是否“安全日志”屬性中的日志大小設(shè)置不小于“8192KB” ,設(shè)置當(dāng)達到最大的日志尺寸時，“按需要改寫事件”2.5 IP協(xié)議安全配置操作要求內(nèi)容對沒有自帶防火墻的Windows系統(tǒng)，啟用Windows系統(tǒng)的IP安全機制(IPSec)或網(wǎng)絡(luò)連接上的TCP/IP篩選，只開放業(yè)務(wù)所需要的TCP，UDP端口和IP協(xié)議。操作指南1、參考配置操作進入“控制面板>網(wǎng)絡(luò)連接>本地連接”，進入“Internet協(xié)議（TCP/IP）屬性>高

22、級TCP/IP設(shè)置”，在“選項”的屬性中啟用網(wǎng)絡(luò)連接上的TCP/IP篩選，只開放業(yè)務(wù)所需要的TCP，UDP端口和IP協(xié)議。檢測方法1、判定條件系統(tǒng)管理員出示業(yè)務(wù)所需端口列表。根據(jù)列表只開放系統(tǒng)與業(yè)務(wù)所需端口。2、檢測操作進入“控制面板>網(wǎng)絡(luò)連接>本地連接”，進入“Internet協(xié)議（TCP/IP）屬性>高級TCP/IP設(shè)置”，在“選項”的屬性中啟用網(wǎng)絡(luò)連接上的TCP/IP篩選，查看是否只開放業(yè)務(wù)所需要的TCP，UDP端口和IP協(xié)議。 2.6 設(shè)備其他配置操作要求內(nèi)容設(shè)置帶密碼的屏幕保護，并將時間設(shè)定為5分鐘。操作指南1、參考配置操作進入“控制面板>顯示>屏幕保護

23、程序”：啟用屏幕保護程序，設(shè)置等待時間為“5分鐘”，啟用“在恢復(fù)時使用密碼保護”檢測方法1、判定條件啟用屏幕保護程序，設(shè)置等待時間為“5分鐘”，啟用“在恢復(fù)時使用密碼保護”。2、檢測操作進入“控制面板>顯示>屏幕保護程序”：查看是否啟用屏幕保護程序，設(shè)置等待時間為“5分鐘”，啟用“在恢復(fù)時使用密碼保護”要求內(nèi)容對于遠(yuǎn)程登陸的帳號，設(shè)置不活動斷連時間15分鐘。操作指南1、參考配置操作進入“控制面板->管理工具->本地安全策略”，在“本地策略->安全選項”：“Microsoft服務(wù)器”設(shè)置為“在掛起會話之前所需的空閑時間”為15分鐘檢測方法1、判定條件“Microso

24、ft服務(wù)器”設(shè)置為“在掛起會話之前所需的空閑時間”為15分鐘。2、檢測操作進入“控制面板->管理工具->本地安全策略”，在“本地策略->安全選項”：查看是否“Microsoft服務(wù)器”設(shè)置為“在掛起會話之前所需的空閑時間”為15分鐘2.32.42.52.62.7 共享文件夾及訪問權(quán)限要求內(nèi)容非域環(huán)境中，關(guān)閉Windows硬盤默認(rèn)共享，例如C$，D$。操作指南1、參考配置操作進入“開始>運行>Regedit”，進入注冊表編輯器，更改注冊表鍵值：在HKLMSystemCurrentControlSet ServicesLanmanServerParameters下，增

25、加REG_DWORD類型的AutoShareServer 鍵，值為 0。檢測方法1、判定條件HKLMSystemCurrentControlSet ServicesLanmanServerParameters增加了REG_DWORD類型的AutoShareServer 鍵，值為 0。2、檢測操作進入“開始>運行>Regedit”，進入注冊表編輯器，更改注冊表鍵值：在HKLMSystemCurrentControlSet ServicesLanmanServerParameters下，增加REG_DWORD類型的AutoShareServer 鍵，值為 0。要求內(nèi)容查看每個共享文件夾的共享權(quán)限，只允許授權(quán)的賬戶擁有權(quán)限共享此文件夾。操作指南1、參考配置操作進入“控制面板->管理工具->計算機管理”，進入“系統(tǒng)工具>共享文件夾”：查看每個共享文件夾的共享權(quán)限，只將權(quán)限授權(quán)于指定賬戶。檢測方法1、判定條件查看每個共享文件夾的共享權(quán)限僅限