主機安全基線檢查windows系統(tǒng)操作手冊

1、主機安全基線檢查示范文檔4 Windows操作系統(tǒng)4.1賬號管理、認(rèn)證授權(quán)認(rèn)證功能用于確認(rèn)登錄系統(tǒng)的用戶真實身份。認(rèn)證功能的具體實現(xiàn)方式包括靜態(tài)口令、動態(tài)口令、指紋等生物鑒別技術(shù)等。授權(quán)功能賦予系統(tǒng)賬號的操作權(quán)限，并限制用戶進行超越其賬號權(quán)限的操作。4.1.1賬號要求內(nèi)容按照用戶分配賬號。根據(jù)系統(tǒng)的要求，設(shè)定不同的賬戶和賬戶組，管理員用戶，數(shù)據(jù)庫用戶，審計用戶，來賓用戶等。操作指南1、參考配置操作進入“控制面板-管理工具-有計算機管理”，在“系統(tǒng)工具-本地用戶和組”：根據(jù)系統(tǒng)的要求，設(shè)定不同的賬戶和賬戶組，管理員用戶，數(shù)據(jù)庫用戶，審計用戶，來賓用戶。檢測方法1、 判定條件結(jié)合要求和實際業(yè)務(wù)情況

2、判斷符合要求，根據(jù)系統(tǒng)的要求，設(shè)定不同的賬戶和賬戶組，管理員用戶，數(shù)據(jù)庫用戶，審計用戶，來賓用戶。2、檢測操作進入“控制面板-管理工具-計算機管理”，在“系統(tǒng)工具-本地用戶和組”：查看根據(jù)系統(tǒng)的要求，設(shè)定不同的賬戶和賬戶組，管理員用戶，數(shù)據(jù)庫用戶，審計用戶，來賓用戶。要求內(nèi)容刪除或鎖定與設(shè)備運行、維護等與工作無關(guān)的賬號。操作指南1、參考配置操作進入“控制面板-管理工具-計算機管理”，在“系統(tǒng)工具-本地用戶和組”：刪除或鎖定與設(shè)備運行、維護等與工作無關(guān)的賬號。檢測方法1、判定條件結(jié)合要求和實際業(yè)務(wù)情況判斷符合要求，刪除或鎖定與設(shè)備運行、維護等與工作無關(guān)的賬號。2、檢測操作進入“控制面板-管理工具

3、-計算機管理”，在“系統(tǒng)工具-本地用戶和組”：查看是否刪除或鎖定與設(shè)備運行、維護等與工作無關(guān)的賬號。4.1.2口令要求內(nèi)容最短密碼長度 8個字符，啟用本機組策略中密碼必須符合復(fù)雜性要求的策略。即密碼至少包含以下四種類別的字符中的三種：英語大寫字母，英語小寫字母，西方阿拉伯?dāng)?shù)字，非字母數(shù)字字符 操作指南1、參考配置操作進入“控制面板-管理工具-本地安全策略”，在“帳戶策略-密碼策略”：“密碼必須符合復(fù)雜性要求”選擇“已啟動”檢測方法1、判定條件“密碼必須符合復(fù)雜性要求”選擇“已啟動”2、檢測操作進入“控制面板-管理工具-本地安全策略”，在“帳戶策略-密碼策略”：查看是否“密碼必須符合復(fù)雜性要求”

4、選擇“已啟動”要求內(nèi)容對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，賬戶口令的生存期不長于180天，歷史使用次數(shù)10次操作指南1、參考配置操作進入“控制面板-管理工具-本地安全策略”，在“帳戶策略-密碼策略”：“密碼最長存留期”設(shè)置為“180天”檢測方法1、判定條件“密碼最長存留期”設(shè)置為“180天”2、檢測操作進入“控制面板-管理工具-本地安全策略”，在“帳戶策略-密碼策略”：查看是否“密碼最長存留期”設(shè)置為“180天”要求內(nèi)容對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過6次（不含6次），鎖定該用戶使用的賬號。操作指南1、參考配置操作進入“控制面板-管理工具-本地安全策略”，在“帳戶策

5、略-帳戶鎖定策略”：“賬戶鎖定閥值”設(shè)置為 6次檢測方法1、判定條件“賬戶鎖定閥值”設(shè)置為小于或等于 6次2、檢測操作進入“控制面板-管理工具-本地安全策略”，在“帳戶策略-帳戶鎖定策略”：查看是否“賬戶鎖定閥值”設(shè)置為小于等于 6次4.1.3授權(quán)要求內(nèi)容在本地安全設(shè)置中從遠(yuǎn)端系統(tǒng)強制關(guān)機只指派給Administrators組。操作指南1、參考配置操作進入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權(quán)利指派”:“從遠(yuǎn)端系統(tǒng)強制關(guān)機”設(shè)置為“只指派給Administrators組”檢測方法1、判定條件“從遠(yuǎn)端系統(tǒng)強制關(guān)機”設(shè)置為“只指派給Administrtors組”2、檢測操作進入

6、“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權(quán)利指派”:查看是否“從遠(yuǎn)端系統(tǒng)強制關(guān)機”設(shè)置為“只指派給Administrators組”要求內(nèi)容在本地安全設(shè)置中關(guān)閉系統(tǒng)僅指派給Administrators組。操作指南1、參考配置操作進入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權(quán)利指派”:“關(guān)閉系統(tǒng)”設(shè)置為“只指派給Administrators組”檢測方法1、判定條件“關(guān)閉系統(tǒng)”設(shè)置為“只指派給Administrators組”2、檢測操作進入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權(quán)利指派”:查看“關(guān)閉系統(tǒng)”設(shè)置為“只指派給Administrators組

7、”要求內(nèi)容在本地安全設(shè)置中取得文件或其它對象的所有權(quán)僅指派給Administrators。操作指南1、參考配置操作進入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權(quán)利指派”：“取得文件或其它對象的所有權(quán)”設(shè)置為“只指派給Administrators組”檢測方法1、判定條件“取得文件或其它對象的所有權(quán)”設(shè)置為“只指派給Administrators組”2、檢測操作進入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權(quán)利指派”：查看是否“取得文件或其它對象的所有權(quán)”設(shè)置為“只指派給Administrators組”4.2日志配置操作要求內(nèi)容設(shè)備應(yīng)配置日志功能，對用戶登錄進行記錄，記

8、錄內(nèi)容包括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠(yuǎn)程登錄時，用戶使用的IP地址。操作指南1、參考配置操作開始-運行- 執(zhí)行“ 控制面板-管理工具-本地安全策略-審核策略”審核登錄事件，雙擊，設(shè)置為成功和失敗都審核。檢測方法1、判定條件審核登錄事件，設(shè)置為成功和失敗都審核。2、檢測操作開始-運行- 執(zhí)行“ 控制面板-管理工具-本地安全策略-審核策略”審核登錄事件，雙擊，查看是否設(shè)置為成功和失敗都審核。要求內(nèi)容設(shè)置應(yīng)用日志文件大小至少為8192KB，設(shè)置當(dāng)達(dá)到最大的日志尺寸時，按需要改寫事件。操作指南1、參考配置操作進入“控制面板-管理工具-事件查看器”，在“事件查看器（本地）”中：“應(yīng)

9、用日志”屬性中的日志大小設(shè)置不小于“8192KB” ,設(shè)置當(dāng)達(dá)到最大的日志尺寸時，“按需要改寫事件”檢測方法1、判定條件“應(yīng)用日志”屬性中的日志大小設(shè)置不小于“8192KB” ,設(shè)置當(dāng)達(dá)到最大的日志尺寸時，“按需要改寫事件”2、檢測操作進入“控制面板-管理工具-事件查看器”，在“事件查看器（本地）”中：查看是否“應(yīng)用日志”屬性中的日志大小設(shè)置不小于“8192KB” ,設(shè)置當(dāng)達(dá)到最大的日志尺寸時，“按需要改寫事件”4.3 IP協(xié)議安全配置操作要求內(nèi)容對沒有自帶防火墻的Windows系統(tǒng)，啟用Windows系統(tǒng)的IP安全機制(IPSec)或網(wǎng)絡(luò)連接上的TCP/IP篩選，只開放業(yè)務(wù)所需要的TCP，U

10、DP端口和IP協(xié)議。操作指南1、參考配置操作進入“控制面板網(wǎng)絡(luò)連接本地連接”，進入“Internet協(xié)議（TCP/IP）屬性高級TCP/IP設(shè)置”，在“選項”的屬性中啟用網(wǎng)絡(luò)連接上的TCP/IP篩選，只開放業(yè)務(wù)所需要的TCP，UDP端口和IP協(xié)議。檢測方法1、判定條件系統(tǒng)管理員出示業(yè)務(wù)所需端口列表。根據(jù)列表只開放系統(tǒng)與業(yè)務(wù)所需端口。2、檢測操作進入“控制面板網(wǎng)絡(luò)連接本地連接”，進入“Internet協(xié)議（TCP/IP）屬性高級TCP/IP設(shè)置”，在“選項”的屬性中啟用網(wǎng)絡(luò)連接上的TCP/IP篩選，查看是否只開放業(yè)務(wù)所需要的TCP，UDP端口和IP協(xié)議。 要求內(nèi)容啟用Windows sever2

11、008和Windows 2003 自帶防火墻。根據(jù)業(yè)務(wù)需要限定允許訪問網(wǎng)絡(luò)的應(yīng)用程序，和允許遠(yuǎn)程登陸該設(shè)備的IP地址范圍。操作指南1、參考配置操作進入“控制面板網(wǎng)絡(luò)連接本地連接”，在高級選項的設(shè)置中啟用Windows防火墻。在“例外”中配置允許業(yè)務(wù)所需的程序接入網(wǎng)絡(luò)。在“例外-編輯-更改范圍”編輯允許接入的網(wǎng)絡(luò)地址范圍。檢測方法1、判定條件啟用Windows防火墻?！袄狻敝性试S接入網(wǎng)絡(luò)的程序均為業(yè)務(wù)所需。2、檢測操作進入“控制面板網(wǎng)絡(luò)連接本地連接”，在高級選項的設(shè)置中，查看是否啟用Windows防火墻。查看是否在“例外”中配置允許業(yè)務(wù)所需的程序接入網(wǎng)絡(luò)。查看是否在“例外-編輯-更改范圍”編輯

12、允許接入的網(wǎng)絡(luò)地址范圍。4.4設(shè)備其他配置操作4.4.1屏幕保護要求內(nèi)容對于遠(yuǎn)程登陸的帳號，設(shè)置不活動斷連時間15分鐘。操作指南1、參考配置操作進入“控制面板-管理工具-本地安全策略”，在“本地策略-安全選項”：“Microsoft網(wǎng)絡(luò)服務(wù)器”設(shè)置為“在掛起會話之前所需的空閑時間”為15分鐘檢測方法1、判定條件“Microsoft網(wǎng)絡(luò)服務(wù)器”設(shè)置為“在掛起會話之前所需的空閑時間”為15分鐘。2、檢測操作進入“控制面板-管理工具-本地安全策略”，在“本地策略-安全選項”：查看是否“Microsoft網(wǎng)絡(luò)服務(wù)器”設(shè)置為“在掛起會話之前所需的空閑時間”為15分鐘4.4.2共享文件夾及訪問權(quán)限要求內(nèi)容

13、非域環(huán)境中，關(guān)閉Windows硬盤默認(rèn)共享，例如C$，D$。操作指南1、參考配置操作進入“開始運行Regedit”，進入注冊表編輯器，SYSTEMCurrentControlSetServiceslanmanserverparameter更改注冊表鍵值：在HKLMSystemCurrentControlSet ServicesLanmanServerParameters下，增加REG_DWORD類型的AutoShareServer 鍵，值為 0。檢測方法1、判定條件HKLMSystemCurrentControlSet ServicesLanmanServerParameters增加了REG_

14、DWORD類型的AutoShareServer 鍵，值為 0。2、檢測操作進入“開始運行Regedit”，進入注冊表編輯器，更改注冊表鍵值：在HKLMSystemCurrentControlSet ServicesLanmanServerParameters下，增加REG_DWORD類型的AutoShareServer 鍵，值為 0。要求內(nèi)容查看每個共享文件夾的共享權(quán)限，只允許授權(quán)的賬戶擁有權(quán)限共享此文件夾。操作指南1、參考配置操作進入“控制面板-管理工具-計算機管理”，進入“系統(tǒng)工具共享文件夾”：查看每個共享文件夾的共享權(quán)限，只將權(quán)限授權(quán)于指定賬戶。檢測方法1、判定條件查看每個共享文件夾的共

15、享權(quán)限僅限于業(yè)務(wù)需要，不設(shè)置成為“everyone”。2、檢測操作進入“控制面板-管理工具-計算機管理”，進入“系統(tǒng)工具共享文件夾”：查看每個共享文件夾的共享權(quán)限。4.4.3補丁管理要求內(nèi)容應(yīng)安裝最新的Service Pack補丁集。對服務(wù)器系統(tǒng)應(yīng)先進行兼容性測試。操作指南1、參考配置操作安裝最新的Service Pack補丁集，目前Windows XP的Service Pack為SP2。Windows2000的Service Pack為SP4,Windows 2003的Servoce Pack為SP1檢測方法1、判定條件顯示XP系統(tǒng)已安裝SP2，Win2000系統(tǒng)已安裝SP4。2、檢測操作控

16、制面板-添加或刪除程序-顯示更新打鉤，查看是否XP系統(tǒng)已安裝SP2，Win2000系統(tǒng)已安裝SP4。 要求內(nèi)容應(yīng)安裝最新的Hotfix補丁。對服務(wù)器系統(tǒng)應(yīng)先進行兼容性測試。操作指南1、參考配置操作安裝最新的Hotfix補丁。對服務(wù)器系統(tǒng)應(yīng)先進行兼容性測試。檢測方法1、判定條件已安裝最新的Hotfix補丁，并經(jīng)過兼容性測試。2、檢測操作控制面板-添加或刪除程序-顯示更新打鉤，查看最近安裝的Hotfix補丁是否為微軟最新發(fā)布。4.4.4防病毒管理要求內(nèi)容安裝防病毒軟件，并及時更新。操作指南1、參考配置操作安裝防病毒軟件，并及時更新。檢測方法1、判定條件已安裝放病毒軟件，病毒碼更新時間不早于1個月，

17、各系統(tǒng)病毒碼升級時間要求參見各系統(tǒng)相關(guān)規(guī)定。2、檢測操作控制面板-添加或刪除程序，是否安裝有防病毒軟件。打開防病毒軟件控制面板，查看病毒碼更新日期。4.4.5Windows服務(wù)要求內(nèi)容列出所需要服務(wù)的列表(包括所需的系統(tǒng)服務(wù))，不在此列表的服務(wù)需關(guān)閉。操作指南1、參考配置操作進入“控制面板-管理工具-計算機管理”，進入“服務(wù)和應(yīng)用程序”：查看所有服務(wù)，不在此列表的服務(wù)需關(guān)閉。檢測方法1、判定條件系統(tǒng)管理員應(yīng)出具系統(tǒng)所必要的服務(wù)列表。查看所有服務(wù)，不在此列表的服務(wù)需關(guān)閉。2、檢測操作進入“控制面板-管理工具-計算機管理”，進入“服務(wù)和應(yīng)用程序”：查看所有服務(wù)，不在此列表的服務(wù)是否已關(guān)閉。要求內(nèi)容

18、如需啟用SNMP服務(wù)，則修改默認(rèn)的SNMP Community String設(shè)置。操作指南1、參考配置操作打開“控制面板”，打開“管理工具”中的“服務(wù)”，找到“SNMP Service”，單擊右鍵打開“屬性”面板中的“安全”選項卡，在這個配置界面中，可以修改community strings，也就是微軟所說的“團體名稱”。檢測方法1、判定條件community strings已改，不是默認(rèn)的“public”2、檢測操作打開“控制面板”，打開“管理工具”中的“服務(wù)”，找到“SNMP Service”，單擊右鍵打開“屬性”面板中的“安全”選項卡，在這個配置界面中，查看community strings，也就是微軟所說的“團體名稱”。要求內(nèi)容如需啟用IIS服務(wù)，則將IIS升級到最新補丁。操作指南1、參考配置操作下載IIS補丁包IIS4.0IIS5.0并安裝，或升級到IIS6.0檢測方法1、判定條件已安裝IIS 補丁包或升級到IIS6.0。2、檢測操作控制面板-添加或刪除程序-顯示更新打鉤，查看是否安裝IIS補丁包。4.4.6啟動項要求內(nèi)容列出系統(tǒng)啟動時自動加載的進程和服務(wù)列表，不在此列表的需關(guān)閉。操作指南1、參考配置操作“開