MicrosoftWindows安全配置基線

-.z.Windows系統(tǒng)安全配置基線中國移動通信**管理信息系統(tǒng)部2012年04月版本版本控制信息更新日期更新人審批人V1.0創(chuàng)建2009年1月V2.0更新2012年4月備注：若此文檔需要日后更新，請創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。目錄第1章概述51.1目的51.2適用*圍51.3適用版本51.4實施51.5例外條款5第2章**管理、認證授權(quán)62.1**62.1.1管理缺省**62.1.2按照用戶分配***62.1.3刪除與設(shè)備無關(guān)***72.2口令7密碼復(fù)雜度7密碼最長留存期8**鎖定策略82.3授權(quán)8遠程關(guān)機8本地關(guān)機9用戶權(quán)利指派*9授權(quán)**登陸*10授權(quán)**從網(wǎng)絡(luò)訪問*10第3章日志配置操作113.1日志配置11審核登錄11審核策略更改11審核對象訪問11審核事件目錄服務(wù)器訪問12審核特權(quán)使用12審核系統(tǒng)事件13審核**管理13審核過程追蹤13日志文件大小14第4章IP協(xié)議安全配置154.1IP協(xié)議15啟用SYN攻擊保護15第5章設(shè)備其他配置操作175.1共享文件夾及訪問權(quán)限17關(guān)閉默認共享17共享文件夾授權(quán)訪問*175.2防病毒管理18數(shù)據(jù)執(zhí)行保護185.3Windows服務(wù)185.3.1SNMP服務(wù)管理18系統(tǒng)必須服務(wù)列表管理*19系統(tǒng)啟動項列表管理*19遠程控制服務(wù)安全*195.3.5IIS安全補丁管理*20活動目錄時間同步管理*205.4啟動項21關(guān)閉Windows自動播放功能215.5屏幕保護21設(shè)置屏幕保護密碼和開啟時間*215.6遠程登錄控制22限制遠程登陸空閑斷開時間225.7補丁管理23操作系統(tǒng)補丁管理*23操作系統(tǒng)最新補丁管理*23第6章評審與修訂24概述目的本文檔規(guī)定了中國移動通信**管理信息系統(tǒng)部門所維護管理的WINDOWS操作系統(tǒng)的主機應(yīng)當(dāng)遵循的操作系統(tǒng)安全性設(shè)置標(biāo)準(zhǔn)，本文檔旨在指導(dǎo)系統(tǒng)管理人員或安全檢查人員進行WINDOWS操作系統(tǒng)的安全合規(guī)性檢查和配置。適用*圍本配置標(biāo)準(zhǔn)的使用者包括：服務(wù)器系統(tǒng)管理員、應(yīng)用管理員、網(wǎng)絡(luò)安全管理員。本配置標(biāo)準(zhǔn)適用的*圍包括：中國移動總部和各省公司信息化部門維護管理的WINDOWS服務(wù)器系統(tǒng)。適用版本W(wǎng)INDOWS系列服務(wù)器。實施本標(biāo)準(zhǔn)的解釋權(quán)和修改權(quán)屬于中國移動集團管理信息系統(tǒng)部，在本標(biāo)準(zhǔn)的執(zhí)行過程中若有任何疑問或建議，應(yīng)及時反饋。本標(biāo)準(zhǔn)發(fā)布之日起生效。例外條款欲申請本標(biāo)準(zhǔn)的例外條款，申請人必須準(zhǔn)備書面申請文件，說明業(yè)務(wù)需求和原因，送交中國移動通信**管理信息系統(tǒng)部進行審批備案。**管理、認證授權(quán)**2.1.1管理缺省**安全基線項目名稱操作系統(tǒng)缺省**安全基線要求項安全基線編號SBL-Windows-02-01-01安全基線項說明對于管理員**，要求更改缺省**名稱；禁用guest（來賓）**。檢測操作步驟進入“控制面板->管理工具->計算機管理”，在“系統(tǒng)工具->本地用戶和組”：缺省**Administrator－>屬性Guest**->屬性基線符合性判定依據(jù)缺省**Administrator名稱已更改。Guest**已停用。備注2.1.2按照用戶分配***安全基線項目名稱操作系統(tǒng)用戶**劃分安全基線要求項安全基線編號SBL-Windows-02-01-02安全基線項說明按照用戶分配**。根據(jù)系統(tǒng)的要求，設(shè)定不同的**和**組，管理員用戶，數(shù)據(jù)庫用戶，審計用戶，來賓用戶等。檢測操作步驟進入“控制面板->管理工具->計算機管理”，在“系統(tǒng)工具->本地用戶和組”：根據(jù)系統(tǒng)的要求，設(shè)定不同的**和**組，管理員用戶，數(shù)據(jù)庫用戶，審計用戶，來賓用戶。基線符合性判定依據(jù)結(jié)合要求和實際業(yè)務(wù)情況判斷符合要求，根據(jù)系統(tǒng)的要求，設(shè)定不同的**和**組，管理員用戶，數(shù)據(jù)庫用戶，審計用戶，來賓用戶。備注手工判斷，需要根據(jù)實際情況判斷**用途2.1.3刪除與設(shè)備無關(guān)***安全基線項目名稱操作系統(tǒng)與設(shè)備無關(guān)**安全基線要求項安全基線編號SBL-Windows-02-01-03安全基線項說明刪除或鎖定與設(shè)備運行、維護等與工作無關(guān)的**檢測操作步驟進入“控制面板->管理工具->計算機管理”，在“系統(tǒng)工具->本地用戶和組”：刪除或鎖定與設(shè)備運行、維護等與工作無關(guān)的**?；€符合性判定依據(jù)結(jié)合要求和實際業(yè)務(wù)情況判斷符合要求，刪除或鎖定與設(shè)備運行、維護等與工作無關(guān)的**。進入“控制面板->管理工具->計算機管理”，在“系統(tǒng)工具->本地用戶和組”：查看是否刪除或鎖定與設(shè)備運行、維護等與工作無關(guān)的**。備注手工判斷，需要根據(jù)實際情況判斷**是否為無關(guān)**口令2.2.1密碼復(fù)雜度安全基線項目名稱操作系統(tǒng)密碼復(fù)雜度安全基線要求項安全基線編號SBL-Windows-02-02-01安全基線項說明最短密碼長度8個字符，啟用本機組策略中密碼必須符合復(fù)雜性要求的策略。即密碼至少包含以下四種類別的字符中的2種：英語大寫字母A,B,C,…Z英語小寫字母a,b,c,…z西方阿拉伯?dāng)?shù)字0,1,2,…9非字母數(shù)字字符，如標(biāo)點符號，,*,$,%,&,*等檢測操作步驟進入“控制面板->管理工具->本地安全策略”，在“**策略->密碼策略”：查看是否“密碼必須符合復(fù)雜性要求”選擇“已啟動”基線符合性判定依據(jù)“密碼最小長度”大于等于8“密碼必須符合復(fù)雜性要求”選擇“已啟動”備注2.2.2密碼最長留存期安全基線項目名稱操作系統(tǒng)密碼歷史安全基線要求項安全基線編號SBL-Windows-02-02-02安全基線項說明對于采用靜態(tài)口令認證技術(shù)的設(shè)備，**口令的生存期不長于90天。檢測操作步驟進入“控制面板->管理工具->本地安全策略”，在“**策略->密碼策略”：查看“密碼最長存留期”基線符合性判定依據(jù)“密碼最長存留期”設(shè)置不大于“90天”備注**鎖定策略安全基線項目名稱操作系統(tǒng)**鎖定策略安全基線要求項安全基線編號SBL-Windows-02-02-03安全基線項說明對于采用靜態(tài)口令認證技術(shù)的設(shè)備，應(yīng)配置當(dāng)用戶連續(xù)認證失敗次數(shù)超過10次，鎖定該用戶使用的**。檢測操作步驟進入“控制面板->管理工具->本地安全策略”，在“**策略->**鎖定策略”：查看“**鎖定閥值”設(shè)置基線符合性判定依據(jù)“**鎖定閥值”設(shè)置為小于或等于10次備注授權(quán)2.3.1遠程關(guān)機安全基線項目名稱操作系統(tǒng)遠程關(guān)機策略安全基線要求項安全基線編號SBL-Windows-02-03-01安全基線項說明在本地安全設(shè)置中從遠端系統(tǒng)強制關(guān)機只指派給Administrators組。檢測操作步驟進入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權(quán)利指派”:查看“從遠端系統(tǒng)強制關(guān)機”設(shè)置基線符合性判定依據(jù)“從遠端系統(tǒng)強制關(guān)機”設(shè)置為“只指派給Administrtors組”備注2.3.2本地關(guān)機安全基線項目名稱操作系統(tǒng)本地關(guān)機策略安全基線要求項安全基線編號SBL-Windows-02-03-02安全基線項說明在本地安全設(shè)置中關(guān)閉系統(tǒng)僅指派給Administrators組。檢測操作步驟進入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權(quán)利指派”:查看“關(guān)閉系統(tǒng)”設(shè)置基線符合性判定依據(jù)“關(guān)閉系統(tǒng)”設(shè)置為“只指派給Administrators組”備注2.3.3用戶權(quán)利指派*安全基線項目名稱操作系統(tǒng)用戶權(quán)力指派策略安全基線要求項安全基線編號SBL-Windows-02-03-03安全基線項說明在本地安全設(shè)置中取得文件或其它對象的所有權(quán)僅指派給Administrators。檢測操作步驟進入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權(quán)利指派”：查看是否“取得文件或其它對象的所有權(quán)”設(shè)置基線符合性判定依據(jù)“取得文件或其它對象的所有權(quán)”設(shè)置為“只指派給Administrators組”備注手工檢查2.3.4授權(quán)**登陸*安全基線項目名稱操作系統(tǒng)用戶授權(quán)登陸安全基線要求項安全基線編號SBL-Windows-02-03-04安全基線項說明在本地安全設(shè)置中配置指定授權(quán)用戶允許本地登陸此計算機。檢測操作步驟進入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權(quán)利指派”“從本地登陸此計算機”設(shè)置為“指定授權(quán)用戶”基線符合性判定依據(jù)“從本地登陸此計算機”設(shè)置為“指定授權(quán)用戶”，進入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權(quán)利指派”查看是否“從本地登陸此計算機”設(shè)置為“指定授權(quán)用戶”備注手工判斷是否授權(quán)2.3.5授權(quán)**從網(wǎng)絡(luò)訪問*安全基線項目名稱操作系統(tǒng)用戶授權(quán)從網(wǎng)絡(luò)訪問安全基線要求項安全基線編號SBL-Windows-02-03-05安全基線項說明在組策略中只允許授權(quán)**從網(wǎng)絡(luò)訪問(包括網(wǎng)絡(luò)共享等，但不包括終端服務(wù))此計算機。檢測操作步驟進入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權(quán)利指派”“從網(wǎng)絡(luò)訪問此計算機”設(shè)置為“指定授權(quán)用戶”基線符合性判定依據(jù)“從網(wǎng)絡(luò)訪問此計算機”設(shè)置為“指定授權(quán)用戶”，進入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權(quán)利指派”查看是否“從網(wǎng)絡(luò)訪問此計算機”設(shè)置為“指定授權(quán)用戶”備注手工判斷是否授權(quán)日志配置操作日志配置3.1.1審核登錄安全基線項目名稱操作系統(tǒng)審核登錄策略安全基線要求項安全基線編號SBL-Windows-03-01-01安全基線項說明設(shè)備應(yīng)配置日志功能，對用戶登錄進行記錄，記錄內(nèi)容包括用戶登錄使用的**，登錄是否成功，登錄時間，以及遠程登錄時，用戶使用的IP地址。檢測操作步驟開始->運行->執(zhí)行“控制面板->管理工具->本地安全策略->審核策略”審核登錄事件?；€符合性判定依據(jù)審核登錄事件，設(shè)置為成功和失敗都審核。備注3.1.2審核策略更改安全基線項目名稱操作系統(tǒng)審核策略更改安全基線要求項安全基線編號SBL-Windows-03-01-02安全基線項說明啟用組策略中對Windows系統(tǒng)的審核策略更改，成功和失敗都要審核。檢測操作步驟進入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中查看“審核策略更改”設(shè)置?；€符合性判定依據(jù)“審核策略更改”設(shè)置為“成功”和“失敗”都要審核。備注3.1.3審核對象訪問安全基線項目名稱操作系統(tǒng)審核對象訪問安全基線要求項安全基線編號SBL-Windows-03-01-03安全基線項說明啟用組策略中對Windows系統(tǒng)的審核對象訪問，成功和失敗都要審核。檢測操作步驟進入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：查看“審核對象訪問”設(shè)置?；€符合性判定依據(jù)“審核對象訪問”設(shè)置為“成功”和“失敗”都要審核。備注3.1.4審核事件目錄服務(wù)器訪問安全基線項目名稱操作系統(tǒng)審核事件目錄服務(wù)器訪問策略安全基線要求項安全基線編號SBL-Windows-03-01-04安全基線項說明啟用組策略中對Windows系統(tǒng)的審核目錄服務(wù)訪問，失敗。檢測操作步驟進入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：查看“審核目錄服務(wù)器訪問”設(shè)置?；€符合性判定依據(jù)“審核目錄服務(wù)器訪問”設(shè)置為“成功”和“失敗”都要審核。備注3.1.5審核特權(quán)使用安全基線項目名稱操作系統(tǒng)審核特權(quán)使用策略安全基線要求項安全基線編號SBL-Windows-03-01-05安全基線項說明啟用組策略中對Windows系統(tǒng)的審核特權(quán)使用，成功和失敗都要審核。檢測操作步驟進入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：查看“審核特權(quán)使用”設(shè)置?；€符合性判定依據(jù)“審核特權(quán)使用”設(shè)置為“成功”和“失敗”都要審核。備注3.1.6審核系統(tǒng)事件安全基線項目名稱操作系統(tǒng)審核系統(tǒng)事件策略安全基線要求項安全基線編號SBL-Windows-03-01-06安全基線項說明啟用組策略中對Windows系統(tǒng)的審核系統(tǒng)事件，成功和失敗都要審核。檢測操作步驟進入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：查看“審核系統(tǒng)事件”設(shè)置?；€符合性判定依據(jù)“審核系統(tǒng)事件”設(shè)置為“成功”和“失敗”都要審核。備注3.1.7審核**管理安全基線項目名稱操作系統(tǒng)審核**管理策略安全基線要求項安全基線編號SBL-Windows-03-01-07安全基線項說明啟用組策略中對Windows系統(tǒng)的審核**管理，成功和失敗都要審核。檢測操作步驟進入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：查看“審核**管理”設(shè)置?；€符合性判定依據(jù)“審核**管理”設(shè)置為“成功”和“失敗”都要審核。備注3.1.8審核過程追蹤安全基線項目名稱操作系統(tǒng)審核過程追蹤策略安全基線要求項安全基線編號SBL-Windows-03-01-08安全基線項說明啟用組策略中對Windows系統(tǒng)的審核過程追蹤失敗。檢測操作步驟進入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：查看“審核過程追蹤”設(shè)置?；€符合性判定依據(jù)“審核過程追蹤”設(shè)置為“失敗”需要審核。備注3.1.9日志文件大小安全基線項目名稱操作系統(tǒng)日志容量安全基線要求項安全基線編號SBL-Windows-03-01-09安全基線項說明設(shè)置應(yīng)用日志文件大小至少為8192KB，設(shè)置當(dāng)達到最大的日志尺寸時，按需要改寫事件。檢測操作步驟進入“控制面板->管理工具->事件查看器”，在“事件查看器（本地）”中：查看“應(yīng)用日志”“系統(tǒng)日志”“安全日志”屬性中的日志大小,以及設(shè)置當(dāng)達到最大的日志尺寸時的相應(yīng)策略。基線符合性判定依據(jù)“應(yīng)用日志”“系統(tǒng)日志”“安全日志”屬性中的日志大小設(shè)置不小于“8192KB”,設(shè)置當(dāng)達到最大的日志尺寸時，“按需要改寫事件”備注IP協(xié)議安全配置IP協(xié)議4.1.1啟用SYN攻擊保護安全基線項目名稱操作系統(tǒng)SYN攻擊保護安全基線要求項安全基線編號SBL-Windows-04-01-01安全基線項說明啟用SYN攻擊保護；指定觸發(fā)SYN洪水攻擊保護所必須超過的TCP連接請求數(shù)閥值為5；指定處于SYN_RCVD狀態(tài)的TCP連接數(shù)的閾值為500；指定處于至少已發(fā)送一次重傳的SYN_RCVD狀態(tài)中的TCP連接數(shù)的閾值為400。檢測操作步驟在“開始->運行->鍵入regedit”查看注冊表項HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMa*PortsE*hausted;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMa*HalfOpen;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMa*HalfOpenRetried?；€符合性判定依據(jù)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect;推薦值：2。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMa*PortsE*hausted;推薦值：5。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMa*HalfOpen;推薦值數(shù)據(jù)：500。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMa*HalfOpenRetried。推薦值數(shù)據(jù)：400。備注設(shè)備其他配置操作共享文件夾及訪問權(quán)限5.1.1關(guān)閉默認共享安全基線項目名稱操作系統(tǒng)默認共享安全基線要求項安全基線編號SBL-Windows-05-01-01安全基線項說明非域環(huán)境中，關(guān)閉Windows硬盤默認共享，例如C$，D$。檢測操作步驟進入“開始－>運行－>Regedit”，進入注冊表編輯器，查看HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer；基線符合性判定依據(jù)HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer鍵，值為0。備注5.1.2共享文件夾授權(quán)訪問*安全基線項目名稱操作系統(tǒng)共享文件夾安全基線要求項安全基線編號SBL-Windows-05-01-02安全基線項說明查看每個共享文件夾的共享權(quán)限，只允許授權(quán)的**擁有權(quán)限共享此文件夾。檢測操作步驟進入“控制面板->管理工具->計算機管理”，進入“系統(tǒng)工具－>共享文件夾”：查看每個共享文件夾的共享權(quán)限，只將權(quán)限授權(quán)于指定**?；€符合性判定依據(jù)查看每個共享文件夾的共享權(quán)限僅限于業(yè)務(wù)需要，不設(shè)置成為“everyone”。進入“控制面板->管理工具->計算機管理”，進入“系統(tǒng)工具－>共享文件夾”：查看每個共享文件夾的共享權(quán)限。備注手工判斷防病毒管理5.2.1數(shù)據(jù)執(zhí)行保護安全基線項目名稱操作系統(tǒng)數(shù)據(jù)執(zhí)行保護安全基線要求項安全基線編號SBL-Windows-05-02-01安全基線項說明對于Windows*PSP2及Windows2003對Windows操作系統(tǒng)程序和服務(wù)啟用系統(tǒng)自帶DEP功能(數(shù)據(jù)執(zhí)行保護)，防止在受保護內(nèi)存位置運行有害代碼。檢測操作步驟進入“控制面板－>系統(tǒng)”，在“高級”選項卡的“性能”下的“設(shè)置”。進入“數(shù)據(jù)執(zhí)行保護”選項卡。查看“僅為基本W(wǎng)indows操作系統(tǒng)程序和服務(wù)啟用DEP”?；€符合性判定依據(jù)“數(shù)據(jù)執(zhí)行保護”選項卡已設(shè)置為“僅為基本W(wǎng)indows操作系統(tǒng)程序和服務(wù)啟用DEP”。備注Windows服務(wù)5.3.1SNMP服務(wù)管理安全基線項目名稱操作系統(tǒng)SNMP服務(wù)管理安全基線要求項安全基線編號SBL-Windows-05-03-01安全基線項說明如需啟用SNMP服務(wù)，則修改默認的SNMPmunityString設(shè)置。檢測操作步驟打開“控制面板”，打開“管理工具”中的“服務(wù)”，找到“SNMPService”，單擊右鍵打開“屬性”面板中的“安全”選項卡，在這個配置界面中，查看munitystrings，也就是微軟所說的“團體名稱”?；€符合性判定依據(jù)munitystrings已改，不是默認的“public”。備注5.3.2系統(tǒng)必須服務(wù)列表管理*安全基線項目名稱操作系統(tǒng)服務(wù)列表管理安全基線要求項安全基線編號SBL-Windows-05-03-02安全基線項說明列出所需要服務(wù)的列表(包括所需的系統(tǒng)服務(wù))，不在此列表的服務(wù)需關(guān)閉。檢測操作步驟進入“控制面板->管理工具->計算機管理”，進入“服務(wù)和應(yīng)用程序”：查看所有服務(wù)，不在此列表的服務(wù)需關(guān)閉?；€符合性判定依據(jù)系統(tǒng)管理員應(yīng)出具系統(tǒng)所必要的服務(wù)列表。查看所有服務(wù)，不在此列表的服務(wù)需關(guān)閉。備注手工判斷5.3.3系統(tǒng)啟動項列表管理*安全基線項目名稱操作系統(tǒng)啟動項列表管理安全基線要求項安全基線編號SBL-Windows-05-03-03安全基線項說明列出系統(tǒng)啟動時自動加載的進程和服務(wù)列表，不在此列表的需關(guān)閉。檢測操作步驟“開始->運行->MSconfig”啟動菜單中，取消不必要的啟動項?；€符合性判定依據(jù)不需要的自動加載進程通過“開始->運行->MSconfig”啟動菜單中取消。備注手工判斷5.3.4遠程控制服務(wù)安全*安全基線項目名稱操作系統(tǒng)遠程控制服務(wù)管理安全基線要求項安全基線編號SBL-Windows-05-03-04安全基線項說明如對互聯(lián)網(wǎng)開放WindowsTerminial服務(wù)(RemoteDesktop)，需修改默認服務(wù)端口。檢測操作步驟運行Regedt32并轉(zhuǎn)到此項:HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminalServerWinStationsRDP-Tcp找到“PortNumber”子項，會看到默認值00000D3D，它是3389的十六進制表示形式。使用十六進制數(shù)值修改此端口號，并保存新值。基線符合性判定依據(jù)找到“PortNumber”子項，設(shè)定值非00000D3D，即十進制3389備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強制要求此項。5.3.5IIS安全補丁管理*安全基線項目名稱操作系統(tǒng)IIS服務(wù)管理安全基線要求項安全基線編號SBL-Windows-05-03-05安全基線項說明如需啟用IIS服務(wù)，則將IIS升級到最新補丁。檢測操作步驟下載IIS補丁包

IIS4.0.microsoft./Downloads/Release.asp"ReleaseID=23667

IIS5.0

.microsoft./Downloads/Release.asp"ReleaseID=23665并安裝，或升級到IIS6.0基線符合性判定依據(jù)已安裝IIS補丁包或升級到IIS6.0。備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強制要求此項。5.3.6活動目錄時間同步管理*安全基線項目名稱操作系統(tǒng)IIS服務(wù)管理安全基線要求項安全基線編號SBL-Windows-05-03-06安全基線項說明通過微軟ActiveDirectory管理的終端,或者是獨立終端,要求配置時間同步源.終端定期執(zhí)行時間同步操作(必要時)檢測操作步驟在具有PDCEmulator角色的DC上運行如下命令,以和外部時間源同步w32tm/config/syncfromflags:manual/manualpeerlist:<PeerList>在PC終端上運行如下命令行同步時間：w32tm/config/update基線符合性判定依據(jù)檢查終端主機的時間是否與標(biāo)準(zhǔn)時間同步。備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強制要求此項。啟動項5.4.1關(guān)閉Windows自動播放功能安全基線項目名稱操作系統(tǒng)Windows自動播放安全基線要求項安全基線編號SBL-Windows-05-04-01安全基線項說明關(guān)閉Windows自動播放功能。檢測操作步驟打開“開始→運行”，在對話框中輸入“gpedit.msc”命令，在出現(xiàn)“組策略”窗口中依次選擇“在計算機配置→管理模板→系統(tǒng)”，雙擊“關(guān)閉自動播放”查看。基線符合性判定依據(jù)在“設(shè)置”選項卡中選“已啟用”選項。備注屏幕保護5.5.1設(shè)置屏幕保護密碼和開啟時間*安全基線項目名稱操作系統(tǒng)屏幕保護安全基線要求項安全基線編號SBL-Windows-05-05-01安全基線項說明設(shè)置帶密碼的屏幕保護，并將時間設(shè)定為5分鐘。檢測操作步驟進入“控制面板－>顯示－>屏幕保護程序”：啟用屏幕保護程序，設(shè)置等待時間為“5分鐘”，啟用“在恢復(fù)時使用密碼保護”基線符合性判定依據(jù)啟用屏幕保護程序，設(shè)置等待時間為“5分鐘”，啟用“在恢復(fù)時使用密