等級保護(hù)信息安全培訓(xùn)材料windows安全配置基線

1、Windows系統(tǒng)安全配置基線備注：1. 若此文檔需要日后更新，請創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。第 1 頁 共 24 頁版本版本控制信息更新日期更新人審批人V1.0創(chuàng)建2009 年 1 月V2.0更新2012 年 4 月第 2 頁 共 24 頁目錄第 1 章概述1.41.5目的5適用范圍5適用版本5實(shí)施5例外條款5第 2 章帳戶管理、認(rèn)證. .2.2.2帳戶6管理缺省帳戶6按照用戶分配帳戶*6刪除與設(shè)備無關(guān)帳戶*7口令7復(fù)雜度7最長留存期82.2.3 帳戶鎖定策略. 8關(guān)機(jī)8本地關(guān)機(jī)9用戶

2、權(quán)利指派*.5帳戶登陸*10帳戶從網(wǎng)絡(luò)* . 10第 3 章 日志配置操作113.1日志配置11審核登錄11審核策略更改113.1.3 審核對象. 113.1.4 審核事件目錄服務(wù)器. 123.1.5 審核使用12審核系統(tǒng)事件13審核帳戶管理13審核過程追蹤13日志文件大小14第 4 章IP 協(xié)議安全配置154.1IP 協(xié)議154.1.1 啟用 SYN保護(hù)15第 5 章 設(shè)備其他配置操作175.1共享文件夾及權(quán)限17第 3 頁 共 24 頁5.1.1 關(guān)閉默認(rèn)共享175.1.2 共享文件夾* . 175.2防管理185.2.1 數(shù)據(jù)執(zhí)行保護(hù)185.3WINDOWS 服務(wù)18S

3、NMP 服務(wù)管理18系統(tǒng)必須服務(wù)列表管理*19系統(tǒng)啟動項(xiàng)列表管理*195.3.4控務(wù)安全*19IIS 安全補(bǔ)丁管理*20活動目錄時間同步管理*205.4啟動項(xiàng)215.4.1 關(guān)閉 Windows 自動功能215.5屏幕保護(hù)215.5.1 設(shè)置屏幕保護(hù)和開啟時間*215.6登錄控制225.6.1 限制登陸空閑斷開時間225.7補(bǔ)丁管理23操作系統(tǒng)補(bǔ)丁管理*23操作系統(tǒng)最新補(bǔ)丁管理*23第 6 章評審與修訂24第 4 頁 共 24 頁第1章 概述1.1 目的管理的 WINDOWS 操本文檔規(guī)定了中國移動通信管理信息系統(tǒng)部門所作系統(tǒng)的主機(jī)應(yīng)當(dāng)遵循的操作系統(tǒng)安全性設(shè)置標(biāo)準(zhǔn)，本文檔旨在指導(dǎo)系統(tǒng)管理或安全

4、檢查進(jìn)行 WINDOWS 操作系統(tǒng)的安全合規(guī)性檢查和配置。1.2 適用范圍本配置標(biāo)準(zhǔn)的使用者包括：服務(wù)器系統(tǒng)管理員、應(yīng)用管理員、管理員。本配置標(biāo)準(zhǔn)適用的范圍包括： 中國移動總部和公司信息化部門管理的WINDOWS 服務(wù)器系統(tǒng)。1.3 適用版本W(wǎng)INDOWS 系列服務(wù)器。1.4 實(shí)施本標(biāo)準(zhǔn)的解釋權(quán)和修改權(quán)屬于中國移動管理信息系統(tǒng)部，在本標(biāo)準(zhǔn)的執(zhí)行過程中若有任何疑問或建議，應(yīng)及時反饋。本標(biāo)準(zhǔn)發(fā)布之日起生效。1.5 例外條款欲申請本標(biāo)準(zhǔn)的例外條款，申請人必須準(zhǔn)備申請文件，說明業(yè)務(wù)需求和原因，送交中國移動通信管理信息系統(tǒng)部進(jìn)行審批備案。第 5 頁 共 24 頁第2章 帳戶管理、認(rèn)證2.1 帳戶2.1.

5、1管理缺省帳戶2.1.2按照用戶分配帳戶*第 6 頁 共 24 頁安全基線項(xiàng)目名稱操作系統(tǒng)用戶帳戶劃分安全基線要求項(xiàng)安全基線編號SBL-Windows-02-01-02安全基線項(xiàng)說明按照用戶分配帳戶。根據(jù)系統(tǒng)的要求，設(shè)定不同的帳戶和帳戶組，管理員用戶，數(shù)據(jù)庫用戶，審計用戶，用戶等。檢測操作步驟進(jìn)入“控制面板-管理工具-計算機(jī)管理”，在“系統(tǒng)工具-本地用戶和組”：根據(jù)系統(tǒng)的要求，設(shè)定不同的帳戶和帳戶組，管理員用戶，數(shù)據(jù)庫用戶，審計用戶，用戶。基線符合性判定依據(jù)結(jié)合要求和實(shí)際業(yè)務(wù)情況判斷符合要求，根據(jù)系統(tǒng)的要求，設(shè)定不同的帳戶和帳戶組，管理員用戶，數(shù)據(jù)庫用戶，審計用戶，用戶。備注手工判斷，需要根據(jù)

6、實(shí)際情況判斷帳戶用途安全基線項(xiàng)目名稱操作系統(tǒng)缺省帳戶安全基線要求項(xiàng)安全基線編號SBL-Windows-02-01-01安全基線項(xiàng)說明對于管理員帳號，要求更改缺省帳戶名稱；禁用 guest（）帳號。檢測操作步驟進(jìn)入“控制面板-管理工具-計算機(jī)管理”，在“系統(tǒng)工具-本地用戶和組”：缺省帳戶Administrator屬性Guest 帳號-屬性基線符合性判定依據(jù)缺省帳戶 Administrator 名稱已更改。Guest 帳號已停用。備注2.1.3刪除與設(shè)備無關(guān)帳戶*2.2 口令2.2.1復(fù)雜度第 7 頁 共 24 頁安全基線項(xiàng)目名稱操作系統(tǒng)復(fù)雜度安全基線要求項(xiàng)安全基線編號SBL-Windows-02

7、-02-01安全基線項(xiàng)說明最短長度 8 個字符，啟用本機(jī)組策略中必須符合復(fù)雜性要求的策略。即至少包含以下四種類別的字符中的 2 種：英語大寫字母 A, B, C, Z英語小寫字母 a, b, c, z 西方數(shù)字 0, 1, 2, 9非字母數(shù)字字符，如標(biāo)點(diǎn)符號，, #, $, %, &, *等檢測操作步驟進(jìn)入“控制面板-管理工具-本地安全策略”，在“帳戶策略-策略”：查看是否“必須符合復(fù)雜性要求”選擇“已啟動”基線符合性判定依據(jù)“最小長度” 大于等于 8“必須符合復(fù)雜性要求”選擇“已啟動”安全基線項(xiàng)目名稱操作系統(tǒng)與設(shè)備無關(guān)帳戶安全基線要求項(xiàng)安全基線編號SBL-Windows-02-01-03安全

8、基線項(xiàng)說明刪除或鎖定與設(shè)備運(yùn)行、等與工作無關(guān)的帳戶檢測操作步驟進(jìn)入“控制面板-管理工具-計算機(jī)管理”，在“系統(tǒng)工具-本地用戶和組”：刪除或鎖定與設(shè)備運(yùn)行、等與工作無關(guān)的帳戶?；€符合性判定依據(jù)結(jié)合要求和實(shí)際業(yè)務(wù)情況判斷符合要求，刪除或鎖定與設(shè)備運(yùn)行、等與工作無關(guān)的帳戶。進(jìn)入“控制面板-管理工具-計算機(jī)管理”，在“系統(tǒng)工具-本地用戶和組”：查看是否刪除或鎖定與設(shè)備運(yùn)行、等與工作無關(guān)的帳戶。備注手工判斷，需要根據(jù)實(shí)際情況判斷帳戶是否為無關(guān)帳戶2.2.2最長留存期2.2.3 帳戶鎖定策略關(guān)機(jī)第 8 頁 共 24 頁安全基線項(xiàng)目名稱操作系統(tǒng)關(guān)機(jī)策略安全基線要求項(xiàng)安全基線項(xiàng)目名稱操作系統(tǒng)

9、帳戶鎖定策略安全基線要求項(xiàng)安全基線編號SBL-Windows-02-02-03安全基線項(xiàng)說明對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過 10次，鎖定該用戶使用的帳戶。檢測操作步驟進(jìn)入“控制面板-管理工具-本地安全策略”，在“帳戶策略-帳戶鎖定策略”：查看“帳戶鎖定閥值”設(shè)置基線符合性判定依據(jù)“帳戶鎖定閥值”設(shè)置為小于或等于 10 次備注安全基線項(xiàng)目名稱操作系統(tǒng)歷史安全基線要求項(xiàng)安全基線編號SBL-Windows-02-02-02安全基線項(xiàng)說明對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，帳戶口令的生存期不長于 90 天。檢測操作步驟進(jìn)入“控制面板-管理工具-本地安全策略”，在“帳戶策略

10、-策略”：查看“最長存留期”基線符合性判定依據(jù)“最長存留期”設(shè)置不大于“90 天”備注備注2.3.2 本地關(guān)機(jī)2.3.3 用戶權(quán)利指派*第 9 頁 共 24 頁安全基線項(xiàng)目名稱操作系統(tǒng)用戶權(quán)力指派策略安全基線要求項(xiàng)安全基線編號SBL-Windows-02-03-03安全基線項(xiàng)說明在本地安全設(shè)置中取得文件或其它對象的所僅指派給Administrators。檢測操作步驟進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權(quán)利指派”：查看是否“取得文件或其它對象的所”設(shè)置基線符合性判定依據(jù)“取得文件或其它對象的所”設(shè)置為“只指派給 Administrators 組”備注手工檢查安全基線項(xiàng)目名

11、稱操作系統(tǒng)本地關(guān)機(jī)策略安全基線要求項(xiàng)安全基線編號SBL-Windows-02-03-02安全基線項(xiàng)說明在本地安全設(shè)置中關(guān)閉系統(tǒng)僅指派給 Administrators 組。檢測操作步驟進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權(quán)利指派”:查看“關(guān)閉系統(tǒng)”設(shè)置基線符合性判定依據(jù)“關(guān)閉系統(tǒng)”設(shè)置為“只指派給 Administrators 組”備注安全基線編號SBL-Windows-02-03-01安全基線項(xiàng)說明在本地安全設(shè)置中從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)只指派給Administrators 組。檢測操作步驟進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權(quán)利指派”:查看“從遠(yuǎn)端系

12、統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置基線符合性判定依據(jù)“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置為“只指派給Administrtors 組”備注2.3.4帳戶登陸*2.3.5*帳戶從網(wǎng)絡(luò)第 10 頁 共 24 頁安全基線項(xiàng)目名稱操作系統(tǒng)用戶從網(wǎng)絡(luò)安全基線要求項(xiàng)安全基線編號SBL-Windows-02-03-05安全基線項(xiàng)說明在組策略中只允許帳號從網(wǎng)絡(luò)(包括網(wǎng)絡(luò)共享等，但不包括終端服務(wù))此計算機(jī)。檢測操作步驟進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權(quán)利指派”“從網(wǎng)絡(luò)此計算機(jī)”設(shè)置為“指定用戶”基線符合性判定依據(jù)“從網(wǎng)絡(luò)此計算機(jī)”設(shè)置為“指定用戶”，進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權(quán)利

13、指派”查看是否“從網(wǎng)絡(luò)此計算機(jī)”設(shè)置為“指定用戶”備注手工判斷是否安全基線項(xiàng)目名稱操作系統(tǒng)用戶登陸安全基線要求項(xiàng)安全基線編號SBL-Windows-02-03-04安全基線項(xiàng)說明在本地安全設(shè)置中配置指定用戶允許本地登陸此計算機(jī)。檢測操作步驟進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權(quán)利指派”“從本地登陸此計算機(jī)”設(shè)置為“指定用戶”基線符合性判定依據(jù)“從本地登陸此計算機(jī)”設(shè)置為“指定用戶”，進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權(quán)利指派”查看是否“從本地登陸此計算機(jī)”設(shè)置為“指定用戶”備注手工判斷是否第3章 日志配置操作3.1 日志配置3.1.1 審核登錄

14、3.1.2 審核策略更改3.1.3 審核對象第 11 頁 共 24 頁安全基線項(xiàng)目名稱操作系統(tǒng)審核對象安全基線要求項(xiàng)安全基線項(xiàng)目名稱操作系統(tǒng)審核策略更改安全基線要求項(xiàng)安全基線編號SBL-Windows-03-01-02安全基線項(xiàng)說明啟用組策略中對 Windows 系統(tǒng)的審核策略更改，成功和失敗都要審核。檢測操作步驟進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-審核策略”中查看“審核策略更改”設(shè)置?；€符合性判定依據(jù)“審核策略更改”設(shè)置為“成功” 和“失敗”都要審核。備注安全基線項(xiàng)目名稱操作系統(tǒng)審核登錄策略安全基線要求項(xiàng)安全基線編號SBL-Windows-03-01-01安全基線項(xiàng)說明

15、設(shè)備應(yīng)配置日志功能，對用戶登錄進(jìn)行，內(nèi)容包括用戶登錄使用的帳戶，登錄是否成功，登錄時間，以及登錄時，用戶使用的 IP 地址。檢測操作步驟開始-運(yùn)行- 執(zhí)行“ 控制面板-管理工具-本地安全策略-審核策略”審核登錄事件。基線符合性判定依據(jù)審核登錄事件，設(shè)置為成功和失敗都審核。備注3.1.4 審核事件目錄服務(wù)器3.1.5 審核使用第 12 頁 共 24 頁安全基線項(xiàng)目名稱操作系統(tǒng)審核使用策略安全基線要求項(xiàng)安全基線編號SBL-Windows-03-01-05安全基線項(xiàng)說明啟用組策略中對 Windows 系統(tǒng)的審核使用，成功和失敗都要審核。檢測操作步驟進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策

16、略-審核策略”中：查看“審核使用”設(shè)置?；€符合性判定依據(jù)“審核使用”設(shè)置為“成功” 和“失敗”都要審核。備注安全基線項(xiàng)目名稱操作系統(tǒng)審核事件目錄服務(wù)器策略安全基線要求項(xiàng)安全基線編號SBL-Windows-03-01-04安全基線項(xiàng)說明啟用組策略中對 Windows 系統(tǒng)的審核目錄服務(wù)，失敗。檢測操作步驟進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-審核策略”中：查看“審核目錄服務(wù)器”設(shè)置?；€符合性判定依據(jù)“審核目錄服務(wù)器”設(shè)置為“成功” 和“失敗”都要審核。備注安全基線編號SBL-Windows-03-01-03安全基線項(xiàng)說明啟用組策略中對 Windows 系統(tǒng)的審核對象，成功和

17、失敗都要審核。檢測操作步驟進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-審核策略”中：查看“審核對象”設(shè)置。基線符合性判定依據(jù)“審核對象”設(shè)置為“成功”和“失敗”都要審核。備注3.1.6 審核系統(tǒng)事件3.1.7 審核帳戶管理3.1.8 審核過程追蹤第 13 頁 共 24 頁安全基線項(xiàng)目名稱操作系統(tǒng)審核過程追蹤策略安全基線要求項(xiàng)安全基線編號SBL-Windows-03-01-08安全基線項(xiàng)說明啟用組策略中對 Windows 系統(tǒng)的審核過程追蹤失敗。檢測操作步驟進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-審核策略”中：查看“審核過程追蹤”設(shè)置。安全基線項(xiàng)目名稱操作系統(tǒng)審核帳戶

18、管理策略安全基線要求項(xiàng)安全基線編號SBL-Windows-03-01-07安全基線項(xiàng)說明啟用組策略中對 Windows 系統(tǒng)的審核帳戶管理，成功和失敗都要審核。檢測操作步驟進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-審核策略”中：查看“審核帳戶管理” 設(shè)置?；€符合性判定依據(jù)“審核帳戶管理”設(shè)置為“成功” 和“失敗”都要審核。備注安全基線項(xiàng)目名稱操作系統(tǒng)審核系統(tǒng)事件策略安全基線要求項(xiàng)安全基線編號SBL-Windows-03-01-06安全基線項(xiàng)說明啟用組策略中對 Windows 系統(tǒng)的審核系統(tǒng)事件，成功和失敗都要審核。檢測操作步驟進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策

19、略-審核策略”中：查看“審核系統(tǒng)事件”設(shè)置。基線符合性判定依據(jù)“審核系統(tǒng)事件”設(shè)置為“成功” 和“失敗”都要審核。備注3.1.9 日志文件大小第 14 頁 共 24 頁安全基線項(xiàng)目名稱操作系統(tǒng)日志容量安全基線要求項(xiàng)安全基線編號SBL-Windows-03-01-09安全基線項(xiàng)說明設(shè)置應(yīng)用日志文件大小至少為 8192KB，設(shè)置當(dāng)達(dá)到最大的日志尺寸時，按需要改寫事件。檢測操作步驟進(jìn)入“控制面板-管理工具-事件查看器”，在“事件查看器（本地）”中：查看“應(yīng)用日志” “系統(tǒng)日志” “安全日志”屬性中的日志大小 ,以及設(shè)置當(dāng)達(dá)到最大的日志尺寸時的相應(yīng)策略?；€符合性判定依據(jù)“應(yīng)用日志” “系統(tǒng)日志” “

20、安全日志”屬性中的日志大小設(shè)置不小于 “8192KB” ,設(shè)置當(dāng)達(dá)到最大的日志尺寸時，“按需要改寫事件”備注基線符合性判定依據(jù)“審核過程追蹤”設(shè)置為 “失敗”需要審核。備注第4章 IP 協(xié)議安全配置4.1 IP 協(xié)議4.1.1 啟用 SYN保護(hù)第 15 頁 共 24 頁安全基線項(xiàng)目名稱操作系統(tǒng) SYN保護(hù)安全基線要求項(xiàng)安全基線編號SBL-Windows-04-01-01安全基線項(xiàng)說明啟用 SYN 保護(hù)；指定觸發(fā) SYN 洪水 保護(hù)所必須超過的 TCP 連接請求數(shù)閥值為 5；指定處于 SYN_RCVD 狀態(tài)的 TCP 連接數(shù)的閾值為 500；指定處于至少已發(fā)送一次重傳的 SYN_RCVD 狀態(tài)中

21、的 TCP 連接數(shù)的閾值為 400。檢測操作步驟在“開始-運(yùn)行-鍵入 regedit”查看表項(xiàng)HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiSynAttackPr otect;HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiTcpMaxPorts Exhausted;HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiTcpMaxHalf Open;HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiTcpMaxHalfOpe

22、nRetried?；€符合性判定依據(jù)HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiSynAttackPr otect;值：2。 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiTcpMaxPorts Exhausted;值：5。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiTcpMaxHalf第 16 頁 共 24 頁Open;值數(shù)據(jù)：500。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiTcpMaxHalf Op

23、enRetried。值數(shù)據(jù)：400。備注第5章 設(shè)備其他配置操作5.1 共享文件夾及權(quán)限5.1.1 關(guān)閉默認(rèn)共享5.1.2 共享文件夾*第 17 頁 共 24 頁安全基線項(xiàng)目名稱操作系統(tǒng)共享文件夾安全基線要求項(xiàng)安全基線編號SBL-Windows-05-01-02安全基線項(xiàng)說明查看每個共享文件夾的共享權(quán)限，只允許的帳戶擁限共享此文件夾。檢測操作步驟進(jìn)入“控制面板-管理工具-計算機(jī)管理”，進(jìn)入“系統(tǒng)工具共享文件夾”：查看每個共享文件夾的共享權(quán)限，只將權(quán)限于指定帳戶?；€符合性判定依據(jù)查看每個共享文件夾的共享權(quán)限僅限于業(yè)務(wù)需要，不設(shè)置成為“everyone”。進(jìn)入“控制面板-管理工具-計算機(jī)管理”，

24、進(jìn)入“系統(tǒng)工具共享文件夾”：查看每個共享文件夾的共享權(quán)限。備注手工判斷安全基線項(xiàng)目名稱操作系統(tǒng)默認(rèn)共享安全基線要求項(xiàng)安全基線編號SBL-Windows-05-01-01安全基線項(xiàng)說明非域環(huán)境中，關(guān)閉 Windows 硬盤默認(rèn)共享，例如 C$，D$。檢測操作步驟進(jìn)入“開始運(yùn)行Regedit”，進(jìn)入表編輯器，查看HKystemCurrentControlSetServiLanmanServarametersAutoShare Server；基線符合性判定依據(jù)HKystemCurrentControlSetServiLanmanServarametersAutoShareServer 鍵，值為 0。

25、備注5.2 防管理5.2.1 數(shù)據(jù)執(zhí)行保護(hù)5.3 Windows 服務(wù)5.3.1 SNMP 服務(wù)管理第 18 頁 共 24 頁安全基線項(xiàng)目名稱操作系統(tǒng) SNMP 服務(wù)管理安全基線要求項(xiàng)安全基線編號SBL-Windows-05-03-01安全基線項(xiàng)說明如需啟用 SNMP 服務(wù)，則修改默認(rèn)的 SNMP Community String 設(shè)置。檢測操作步驟打開“控制面板”，打開“管理工具”中的“服務(wù)”，找到“SNMP Service”，單擊右鍵打開“屬性”面板中的“安全”選項(xiàng)卡，在這個配置界面中，查看community strings，也就是微軟所說的“團(tuán)體名稱”?；€符合性community st

26、rings 已改，不是默認(rèn)的“public”。安全基線項(xiàng)目名稱操作系統(tǒng)數(shù)據(jù)執(zhí)行保護(hù)安全基線要求項(xiàng)安全基線編號SBL-Windows-05-02-01安全基線項(xiàng)說明對于Windows XP SP2 及Windows 2003 對Windows 操作系統(tǒng)程序和服務(wù)啟用系統(tǒng)自帶DEP 功能(數(shù)據(jù)執(zhí)行保護(hù))，防止在受保護(hù)內(nèi)存位置運(yùn)行有害代碼。檢測操作步驟進(jìn)入“控制面板系統(tǒng)”，在“高級”選項(xiàng)卡的 “性能”下的“設(shè)置”。進(jìn)入 “數(shù)據(jù)執(zhí)行保護(hù)”選項(xiàng)卡。查看“ 僅為基本 Windows 操作系統(tǒng)程序和服務(wù)啟用DEP”?；€符合性判定依據(jù)“數(shù)據(jù)執(zhí)行保護(hù)”選項(xiàng)卡已設(shè)置為“ 僅為基本 Windows 操作系統(tǒng)程序和

27、服務(wù)啟用 DEP”。備注5.3.2 系統(tǒng)必須服務(wù)列表管理*5.3.3 系統(tǒng)啟動項(xiàng)列表管理*5.3.4控務(wù)安全*第 19 頁 共 24 頁安全基線項(xiàng)目名稱操作系統(tǒng)控務(wù)管理安全基線要求項(xiàng)安全基線編SBL-Windows-05-03-04安全基線項(xiàng)目名稱操作系統(tǒng)啟動項(xiàng)列表管理安全基線要求項(xiàng)安全基線編號SBL-Windows-05-03-03安全基線項(xiàng)說明列出系統(tǒng)啟動時自動加載的進(jìn)程和服務(wù)列表，不在此列表的需關(guān)閉。檢測操作步驟“開始-運(yùn)行-MSconfig”啟動菜單中，取消不必要的啟動項(xiàng)。基線符合性判定依據(jù)不需要的自動加載進(jìn)程通過“開始-運(yùn)行-MSconfig”啟動菜單中取消。備注手工判斷安全基線項(xiàng)目

28、名稱操作系統(tǒng)服務(wù)列表管理安全基線要求項(xiàng)安全基線編號SBL-Windows-05-03-02安全基線項(xiàng)說明列出所需要服務(wù)的列表(包括所需的系統(tǒng)服務(wù))，不在此列表的服務(wù)需關(guān)閉。檢測操作步驟進(jìn)入“控制面板-管理工具-計算機(jī)管理”，進(jìn)入“服務(wù)和應(yīng)用程序”：查看所有服務(wù)，不在此列表的服務(wù)需關(guān)閉?；€符合性判定依據(jù)系統(tǒng)管理員應(yīng)出具系統(tǒng)所必要的服務(wù)列表。查看所有服務(wù)，不在此列表的服務(wù)需關(guān)閉。備注手工判斷判定依據(jù)備注5.3.5 IIS 安全補(bǔ)丁管理*5.3.6 活動目錄時間同步管理*第 20 頁 共 24 頁安全基線項(xiàng)目名稱操作系統(tǒng) IIS 服務(wù)管理安全基線要求項(xiàng)安全基線編號SBL-Windows-05-03

29、-06安全基線項(xiàng)目名稱操作系統(tǒng) IIS 服務(wù)管理安全基線要求項(xiàng)安全基線編號SBL-Windows-05-03-05安全基線項(xiàng)說明如需啟用 IIS 服務(wù)，則將 IIS 升級到最新補(bǔ)丁。檢測操作步驟IIS 補(bǔ)丁包IIS4.0http:/Downloads/Release.asp?ReleaseID=23667 IIS5.0http:/Downloads/Release.asp?ReleaseID=23665并安裝，或升級到 IIS6.0基線符合性判定依據(jù)已安裝 IIS 補(bǔ)丁包或升級到IIS6.0。備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強(qiáng)制要求此項(xiàng)。號安全基線項(xiàng)說明如對互聯(lián)網(wǎng)開放 Win

30、dowsTerminial 服務(wù)(Remote Desktop)，需修改默認(rèn)服務(wù)端口。檢測操作步驟運(yùn)行 Regedt32 并轉(zhuǎn)到此項(xiàng):HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinSionsRDP-Tcp找到“PortNumber”子項(xiàng)，會看到默認(rèn)值 00000D3D，它是 3389 的十六進(jìn)制表示形式。使用進(jìn)制數(shù)值修改此端，并保存新值?；€符合性判定依據(jù)找到“PortNumber”子項(xiàng)，設(shè)定值非 00000D3D，即十進(jìn)制 3389備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強(qiáng)制要求此項(xiàng)。5.4 啟動

31、項(xiàng)5.4.1 關(guān)閉 Windows 自動功能5.5 屏幕保護(hù)5.5.1 設(shè)置屏幕保護(hù)和開啟時間*第 21 頁 共 24 頁安全基線項(xiàng)目名稱操作系統(tǒng)屏幕保護(hù)安全基線要求項(xiàng)安全基線編號SBL-Windows-05-05-01安全基線項(xiàng)目名稱操作系統(tǒng) Windows 自動安全基線要求項(xiàng)安全基線編號SBL-Windows-05-04-01安全基線項(xiàng)說明關(guān)閉 Windows 自動功能。檢測操作步驟打開“開始運(yùn)行”，在框中輸入“gpedit.msc”命令，在出現(xiàn)“組策略”窗口中依次選擇“在計算機(jī)配置管理模板系統(tǒng)”，雙擊“關(guān)閉自動”查看?；€符合性判定依據(jù)在“設(shè)置”選項(xiàng)卡中選“已啟用”選項(xiàng)。備注安全基線項(xiàng)說

32、明通過微軟 Active Directory 管理的終端, 或者是獨(dú)立終端, 要求配置時間同步源.終端定期執(zhí)行時間同步操作(必要時)檢測操作步驟在具有 PDC Emulator 角色的 DC 上運(yùn)行如下命令, 以和外部時間源同步w32tm /config /syncfromflags:manual/manualpeerlist:在 PC 終端上運(yùn)行如下命令行同步時間：w32tm /config /update基線符合性判定依據(jù)檢查終端主機(jī)的時間是否與標(biāo)準(zhǔn)時間同步。備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強(qiáng)制要求此項(xiàng)。5.6登錄控制5.6.1 限制登陸空閑斷開時間第 22 頁 共 24 頁安全基線項(xiàng)目名稱操作系統(tǒng)登錄空閑斷開時間安全基線要求項(xiàng)安全基線編號SBL-Windows-05-06-01安全基線項(xiàng)說明對于登陸的帳號，設(shè)置不活動斷連時間 15 分鐘。檢測操作步驟進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-安全選項(xiàng)”：“網(wǎng)絡(luò)