安全生产_移动通信和ｉｔ设备通用安全基线规范课程

中国移动通信和设备通用安全基线规范 中 国 移 动中 国 移 动W I N D O W S 操 作 系 统 安 全 配 置 规 范 操 作 系 统 安 全 配 置 规 范 S p e c i f i c a t i o n f o r W i n d o w s O S C o n f i g u r a t i o n U s e d i n C h i n a M o b i l e S p e c i f i c a t i o n f o r W i n d o w s O S C o n f i g u r a t i o n U s e d i n C h i n a M o b i l e 版 本 号 ： 版 本 号 ： .0.0 2007-12-18 发 布 2008-01-01 实 施 中国中国移移动通信集团公司发布动通信集团公司发布 中国移动 windows 操作系统安全配置规范 目录 1 概述概述 1 1.1 适用范围 1 1.2 内部适用性说明 1 1.3 外部引用说明 2 1.4 术语和定义 2 1.5 符号和缩略语 2 2 WINDOWS 设备安全配置要求设备安全配置要求 3 2.1 账号管理、认证授权 3 2.1.1 账号 . 3 2.1.2 口令 . 5 2.1.3 授权 . 7 2.2 日志配置操作 10 2.3 IP 协议安全配置操作 . 15 2.4 设备其他配置操作 18 2.4.1 屏幕保护 . 18 2.4.2 共享文件夹及访问权限 . 19 2.4.3 补丁管理 . 20 2.4.4 防病毒管理 . 21 2.4.5 Windows服务 22 2.4.6 启动项 . 24 中国移动 windows 操作系统安全配置规范 前言 本标准由中国移动通信有限公司网络部提出并归口。 本标准由标准提出并归口部门负责解释。 本标准起草单位：中国移动通信有限公司网络部。 本标准解释单位：同提出单位。 本标准主要起草人：中国移动通信集团浙江公司 朱国萃中国移动集团公司 陈敏时中国移动 Windows 操作系统安全配置规范 中国移动通信集团公司 第 1 页 共 28 页 1 1 概述概述 1.1 适用范围适用范围 本规范所指的设备为 Windows 系统设备。本规范明确了运行 Windows 操作 系统的设备在安全配置方面的基本要求。在未特别说明的情况下，均适用于所有 运行的 Windows 操作系统，包括 Windows 2000、Windows XP、Windows2003 以 及各版本中的 Sever、Professional 版本。 1.2 内部适用性说明内部适用性说明 配置要求说明 编号 采纳意见 补充说明 安全要求安全要求-设备设备-通用通用-配置配置-1-可选可选 增强 安全要求-设备-WINDOWS-配置-1 安全要求安全要求-设备设备-通用通用-配置配置-2-可选可选 增强 安全要求-设备-WINDOWS-配置-2-可选 安全要求安全要求-设备设备-通用通用-配置配置-3-可选可选 不采纳 Windows无法在远程登陆时通过切换用户 提升权限 安全要求安全要求-设备设备-通用通用-配置配置-4 增强 安全要求-设备-WINDOWS-配置-4 安全要求安全要求-设备设备-通用通用-配置配置-5 完全采纳 安全要求安全要求-设备设备-通用通用-配置配置-6-可选可选 完全采纳 安全要求安全要求-设备设备-通用通用-配置配置-7-可选可选 完全采纳 安全要求安全要求-设备设备-通用通用-配置配置-9 增强 安全要求-设备-WINDOWS-配置-5 安全要求-设备-WINDOWS-配置-6 安全要求-设备-WINDOWS-配置-7 安全要求-设备-WINDOWS-配置-8 安全要求-设备-WINDOWS-配置-9 安全要求安全要求-设备设备-通用通用-配置配置-12 完全采纳 安全要求安全要求-设备设备-通用通用-配置配置-13-可选可选 增强 安全要求-设备-WINDOWS-配置-11 安全要求安全要求-设备设备-通用通用-配置配置-24-可选可选 增强 安全要求-设备-WINDOWS-配置-10 中国移动 Windows 操作系统安全配置规范 中国移动通信集团公司 第 2 页 共 28 页 2 安全要求-设备-WINDOWS-配置-12 安全要求-设备-WINDOWS-配置-13 安全要求-设备-WINDOWS-配置-14 安全要求-设备-WINDOWS-配置-15 安全要求-设备-WINDOWS-配置-16 安全要求-设备-WINDOWS-配置-17 安全要求-设备-WINDOWS-配置-18 安全要求-设备-WINDOWS-配置-19 安全要求安全要求-设备设备-通用通用-配置配置-14-可选可选 不采纳 Windows 日志储存在本地 安全要求安全要求-设备设备-通用通用-配置配置-16-可选可选 增强 安全要求-设备-WINDOWS-配置-20-可选 安全要求-设备-WINDOWS-配置-21-可选 安全要求安全要求-设备设备-通用通用-配置配置-17-可选可选 不采纳 Windosw 远程管理采用了自有协议，不支 持 SSH 安全要求安全要求-设备设备-通用通用-配置配置-19-可选可选 不采纳 WIN 系统不具备字符交互界面 安全要求安全要求-设备设备-通用通用-配置配置-20-可选可选 增强 安全要求-设备-WINDOWS-配置-22 安全要求安全要求-设备设备-通用通用-配置配置-27-可选可选 不采纳 Windows 不支持 CONSOLE 访问 1.3 外部引用说明外部引用说明 中国移动通用安全功能和配置规范 1.4 术语和定义术语和定义 1.5 符号和缩略语符号和缩略语 缩写 英文描述 中文描述 中国移动 Windows 操作系统安全配置规范 中国移动通信集团公司 第 3 页 共 28 页 3 缩写 英文描述 中文描述 2 WINDOWS 设备安全配置要求设备安全配置要求 本规范从 Windows 系统设备的认证授权功能、安全日志功能以及 IP 网络安 全功能，和其他自身安全配置功能四个方面提出安全要求。 2.1 账号管理、认证授权 账号管理、认证授权 认证功能用于确认登录系统的用户真实身份。认证功能的具体实现方式包括 静态口令、动态口令、指纹等生物鉴别技术等。授权功能赋予系统账号的操作权 限，并限制用户进行超越其账号权限的操作。 2.1.1 账号 账号 编号：编号：安全要求-设备-通用-配置-1 要求内容要求内容 按照用户分配账号。根据系统的要求，设定不同的账户和账户组， 管理员用户，数据库用户，审计用户，来宾用户等。 操作指南操作指南 1、参考配置操作、参考配置操作 进入“控制面板-管理工具-计算机管理” ，在“系统工具-本地用 户和组” ： 根据系统的要求，设定不同的账户和账户组，管理员用户，数据库 用户，审计用户，来宾用户。 检测方法检测方法 1、 判定条件判定条件 结合要求和实际业务情况判断符合要求，根据系统的要求，设定不 同的账户和账户组，管理员用户，数据库用户，审计用户，来宾用 户。 中国移动 Windows 操作系统安全配置规范 中国移动通信集团公司 第 4 页 共 28 页 4 2、检测操作、检测操作 进入“控制面板-管理工具-计算机管理” ，在“系统工具-本地用 户和组” ： 查看根据系统的要求，设定不同的账户和账户组，管理员用户，数 据库用户，审计用户，来宾用户。 编号：编号：安全要求-设备-WINDOWS-配置-2-可选 要求内容要求内容 删除或锁定与设备运行、维护等与工作无关的账号。 操作指南操作指南 1、参考配置操作、参考配置操作 进入“控制面板-管理工具-计算机管理” ，在“系统工具-本地用 户和组” ： 删除或锁定与设备运行、维护等与工作无关的账号。 检测方法检测方法 1、判定条件、判定条件 结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、 维护等与工作无关的账号。 2、检测操作、检测操作 进入“控制面板-管理工具-计算机管理” ，在“系统工具-本地用 户和组” ： 查看是否删除或锁定与设备运行、维护等与工作无关的账号。 编号：编号：安全要求-设备-WINDOWS-配置-3-可选 要求内容要求内容 对于管理员帐号，要求更改缺省帐户名称；禁用 guest（来宾）帐 号。 操作指南操作指南 1、参考配置操作、参考配置操作 进入“控制面板-管理工具-计算机管理” ，在“系统工具-本地用 户和组” ： Administrator属性 更改名称 Guest 帐号-属性 已停用 检测方法检测方法 1、判定条件、判定条件 中国移动 Windows 操作系统安全配置规范 中国移动通信集团公司 第 5 页 共 28 页 5 缺省账户 Administrator 名称已更改。 Guest 帐号已停用。 2、检测操作、检测操作 进入“控制面板-管理工具-计算机管理” ，在“系统工具-本地用 户和组” ： 缺省帐户属性 更改名称 Guest 帐号-属性 已停用 2.1.2 口令 口令 编号：编号：安全要求-设备-WINDOWS-配置-4 要求内容要求内容 最短密码长度 6 个字符， 启用本机组策略中密码必须符合复杂性要 求的策略。即密码至少包含以下四种类别的字符中的三种： ? 英语大写字母 A, B, C, Z ? 英语小写字母 a, b, c, z ? 西方阿拉伯数字 0, 1, 2, 9 非字母数字字符，如标点符号，, #, $, %, &, *等 操作指南操作指南 1、参考配置操作、参考配置操作 进入“控制面板-管理工具-本地安全策略” ，在“帐户策略-密码 策略” ： “密码必须符合复杂性要求”选择“已启动” 检测方法检测方法 1、判定条件、判定条件 “密码必须符合复杂性要求”选择“已启动” 2、检测操作检测操作 进入“控制面板-管理工具-本地安全策略” ，在“帐户策略-密码 策略” ： 查看是否“密码必须符合复杂性要求”选择“已启动” 编号：编号：安全要求-设备-WINDOWS-配置-35 中国移动 Windows 操作系统安全配置规范 中国移动通信集团公司 第 6 页 共 28 页 6 要求内容要求内容 对于采用静态口令认证技术的设备，账户口令的生存期不长于 90 天。 操作指南操作指南 1、参考配置操作、参考配置操作 进入“控制面板-管理工具-本地安全策略” ，在“帐户策略-密码 策略” ： “密码最长存留期”设置为“90 天” 检测方法检测方法 1、判定条件、判定条件 “密码最长存留期”设置为“90 天” 2、检测操作、检测操作 进入“控制面板-管理工具-本地安全策略” ，在“帐户策略-密码 策略” ： 查看是否“密码最长存留期”设置为“90 天” 编号：编号：安全要求-设备-WINDOWS-配置-36-可选 要求内容要求内容 对于采用静态口令认证技术的设备，应配置设备，使用户不能重复 使用最近 5 次（含 5 次）内已使用的口令。 操作指南操作指南 1、参考配置操作、参考配置操作 进入“控制面板-管理工具-本地安全策略” ，在“帐户策略-密码 策略” ： “强制密码历史”设置为“记住 5 个密码” 检测方法检测方法 1、判定条件、判定条件 “强制密码历史”设置为“记住 5 个密码” 2、检测操作、检测操作 进入“控制面板-管理工具-本地安全策略” ，在“帐户策略-密码 策略” ： 查看是否“强制密码历史”设置为“记住 5 个密码” 编号：编号：安全要求-设备-WINDOWS-配置-37 要求内容要求内容 对于采用静态口令认证技术的设备， 应配置当用户连续认证失败次 中国移动 Windows 操作系统安全配置规范 中国移动通信集团公司 第 7 页 共 28 页 7 数超过 6 次（不含 6 次） ，锁定该用户使用的账号。 操作指南操作指南 1、参考配置操作、参考配置操作 进入“控制面板-管理工具-本地安全策略” ，在“帐户策略-帐户 锁定策略” ： “账户锁定阀值”设置为 6 次 检测方法检测方法 1、判定条件、判定条件 “账户锁定阀值”设置为小于或等于 6 次 2、检测操作、检测操作 进入“控制面板-管理工具-本地安全策略” ，在“帐户策略-帐户 锁定策略” ： 查看是否“账户锁定阀值”设置为小于等于 6 次 2.1.3 授权 授权 编号：编号：安全要求-设备-WINDOWS-配置-5 要求内容要求内容 在本地安全设置中从远端系统强制关机只指派给 Administrators 组。 操作指南操作指南 1、参考配置操作、参考配置操作 进入“控制面板-管理工具-本地安全策略” ，在“本地策略-用 户权利指派”: “从远端系统强制关机”设置为“只指派给 Administrators 组” 检测方法检测方法 1、判定条件、判定条件 “从远端系统强制关机”设置为“只指派给 Administrtors 组” 2、检测操作、检测操作 进入“控制面板-管理工具-本地安全策略” ，在“本地策略-用 户权利指派”: 查 看 是 否 “ 从 远 端 系 统 强 制 关 机 ” 设 置 为 “ 只 指 派 给 Administrators 组” 中国移动 Windows 操作系统安全配置规范 中国移动通信集团公司 第 8 页 共 28 页 8 编号：编号：安全要求-设备-WINDOWS-配置-6 要求内容要求内容 在本地安全设置中关闭系统仅指派给 Administrators 组。 操作指南操作指南 1、参考配置操作、参考配置操作 进入“控制面板-管理工具-本地安全策略” ，在“本地策略-用 户权利指派”: “关闭系统”设置为“只指派给 Administrators 组” 检测方法检测方法 1、判定条件、判定条件 “关闭系统”设置为“只指派给 Administrators 组” 2、检测操作、检测操作 进入“控制面板-管理工具-本地安全策略” ，在“本地策略-用 户权利指派”: 查看“关闭系统”设置为“只指派给 Administrators 组” 编号：编号：安全要求-设备-WINDOWS-配置-7 要求内容要求内容 在本地安全设置中取得文件或其它对象的所有权仅指派给 Administrators。 操作指南操作指南 1、参考配置操作、参考配置操作 进入“控制面板-管理工具-本地安全策略” ，在“本地策略-用 户权利指派” ： “ 取 得 文 件 或 其 它 对 象 的 所 有 权 ” 设 置 为 “ 只 指 派 给 Administrators 组” 检测方法检测方法 1、判定条件、判定条件 “ 取 得 文 件 或 其 它 对 象 的 所 有 权 ” 设 置 为 “ 只 指 派 给 Administrators 组” 2、检测操作、检测操作 进入“控制面板-管理工具-本地安全策略” ，在“本地策略-用 户权利指派” ： 查看是否“取得文件或其它对象的所有权”设置为“只指派给 Administrators 组” 中国移动 Windows 操作系统安全配置规范 中国移动通信集团公司 第 9 页 共 28 页 9 编号：编号：安全要求-设备-WINDOWS-配置-8 要求内容要求内容 在本地安全设置中配置指定授权用户允许本地登陆此计算机。 操作指南操作指南 1、参考配置操作、参考配置操作 进入“控制面板-管理工具-本地安全策略” ，在“本地策略-用 户权利指派” “从本地登陆此计算机”设置为“指定授权用户” 检测方法检测方法 1、判定条件、判定条件 “从本地登陆此计算机”设置为“指定授权用户” 2、检测操作、检测操作 进入“控制面板-管理工具-本地安全策略” ，在“本地策略-用 户权利指派” 查看是否“从本地登陆此计算机”设置为“指定授权用户” 编号：编号：安全要求-设备-WINDOWS-配置-9 要求内容要求内容 在组策略中只允许授权帐号从网络访问(包括网络共享等，但不包 括终端服务)此计算机。 操作指南操作指南 1、参考配置操作、参考配置操作 进入“控制面板-管理工具-本地安全策略” ，在“本地策略-用 户权利指派” “从网络访问此计算机”设置为“指定授权用户” 检测方法检测方法 1、判定条件、判定条件 “从网络访问此计算机”设置为“指定授权用户” 2、检测操作、检测操作 进入“控制面板-管理工具-本地安全策略” ，在“本地策略-用 户权利指派” 查看是否“从网络访问此计算机”设置为“指定授权用户” 中国移动 Windows 操作系统安全配置规范 中国移动通信集团公司 第 10 页 共 28 页 10 2.2 日志配置操作 日志配置操作 编号：编号：安全要求-设备-WINDOWS-配置-38 要求内容要求内容 设备应配置日志功能，对用户登录进行记录，记录内容包括用户登 录使用的账号，登录是否成功，登录时间，以及远程登录时，用户 使用的 IP 地址。 操作指南操作指南 1、参考配置操作、参考配置操作 开始-运行- 执行“ 控制面板-管理工具-本地安全策略-审核 策略” 审核登录事件，双击，设置为成功和失败都审核。 检测方法检测方法 1、判定条件、判定条件 审核登录事件，设置为成功和失败都审核。 2、检测操作、检测操作 开始-运行- 执行“ 控制面板-管理工具-本地安全策略-审核 策略” 审核登录事件，双击，查看是否设置为成功和失败都审核。 编号：编号：安全要求-设备-WINDOWS-配置-10 要求内容要求内容 启用组策略中对 Windows 系统的审核策略更改，成功和失败都要 审核。 操作指南操作指南 1、参考配置操作、参考配置操作 进入“控制面板-管理工具-本地安全策略” ，在“本地策略-审核 策略”中 “审核策略更改”设置为“成功” 和“失败”都要审核 检测方法检测方法 1、判定条件、判定条件 “审核策略更改”设置为“成功” 和“失败”都要审核 2、检测操作、检测操作 进入“控制面板-管理工具-本地安全策略” ，在“本地策略-审核 策略”中 中国移动 Windows 操作系统安全配置规范 中国移动通信集团公司 第 11 页 共 28 页 11 查看是否“审核策略更改”设置为“成功” 和“失败”都要审核 编号：编号：安全要求-设备-WINDOWS-配置-11 要求内容要求内容 启用组策略中对 Windows 系统的审核对象访问，成功和失败都要 审核。 操作指南操作指南 1、参考配置操作、参考配置操作 进入“控制面板-管理工具-本地安全策略” ，在“本地策略-审核 策略”中： “审核对象访问”设置为“成功”和“失败”都要审核 检测方法检测方法 1、判定条件、判定条件 “审核对象访问”设置为“成功”和“失败”都要审核 2、检测操作、检测操作 进入“控制面板-管理工具-本地安全策略” ，在“本地策略-审 核策略”中： 查看是否“审核对象访问”设置为“成功”和“失败”都要审核 编号：编号：安全要求-设备-WINDOWS-配置-12 要求内容要求内容 启用组策略中对 Windows 系统的审核目录服务访问，失败。 操作指南操作指南 1、参考配置操作、参考配置操作 进入“控制面板-管理工具-本地安全策略” ，在“本地策略-审核 策略”中： “审核目录服务器访问”设置为“成功” 和“失败”都要审核 检测方法检测方法 1、判定条件、判定条件 “审核目录服务器访问”设置为“成功” 和“失败”都要审核 2、检测操作、检测操作 进入“控制面板-管理工具-本地安全策略” ，在“本地策略-审核 策略”中： 查看是否“审核目录服务器访问”设置为“成功” 和“失败”都 要审核 中国移动 Windows 操作系统安全配置规范 中国移动通信集团公司 第 12 页 共 28 页 12 编号：编号：安全要求-设备-WINDOWS-配置-13 要求内容要求内容 启用组策略中对 Windows 系统的审核特权使用，成功和失败都要 审核。 操作指南操作指南 1、参考配置操作、参考配置操作 进入“控制面板-管理工具-本地安全策略” ，在“本地策略-审核 策略”中： “审核特权使用”设置为“成功” 和“失败”都要审核 检测方法检测方法 1、判定条件、判定条件 “审核目录服务器访问”设置为“成功” 和“失败”都要审核 2、检测操作、检测操作 进入“控制面板-管理工具-本地安全策略” ，在“本地策略-审核 策略”中： 查看是否“审核目录服务器访问”设置为“成功” 和“失败”都 要审核 编号：编号：安全要求-设备-WINDOWS-配置-14 要求内容要求内容 启用组策略中对 Windows 系统的审核系统事件，成功和失败都要 审核。 操作指南操作指南 1、参考配置操作、参考配置操作 进入“控制面板-管理工具-本地安全策略” ，在“本地策略-审核 策略”中： “审核系统事件”设置为“成功” 和“失败”都要审核 检测方法检测方法 1、判定条件、判定条件 “审核系统事件”设置为“成功” 和“失败”都要审核 2、检测操作、检测操作 进入“控制面板-管理工具-本地安全策略” ，在“本地策略-审核 策略”中： 查看是否“审核系统事件”设置为“成功” 和“失败”都要审核 中国移动 Windows 操作系统安全配置规范 中国移动通信集团公司 第 13 页 共 28 页 13 编号：编号：安全要求-设备-WINDOWS-配置-15 要求内容要求内容 启用组策略中对 Windows 系统的审核帐户管理，成功和失败都要 审核。 操作指南操作指南 1、参考配置操作、参考配置操作 进入“控制面板-管理工具-本地安全策略” ，在“本地策略-审核 策略”中： “审核账户管理”设置为“成功” 和“失败”都要审核 检测方法检测方法 1、判定条件、判定条件 “审核账户管理”设置为“成功” 和“失败”都要审核 2、检测操作、检测操作 进入“控制面板-管理工具-本地安全策略” ，在“本地策略-审核 策略”中： 查看是否“审核账户管理”设置为“成功” 和“失败”都要审核 编号：编号：安全要求-设备-WINDOWS-配置-16 要求内容要求内容 启用组策略中对 Windows 系统的审核过程追踪，失败。 操作指南操作指南 1、参考配置操作、参考配置操作 进入“控制面板-管理工具-本地安全策略” ，在“本地策略-审核 策略”中： “审核过程追踪”设置为 “失败”需要审核 检测方法检测方法 1、判定条件、判定条件 “审核过程追踪”设置为 “失败”需要审核 2、检测操作、检测操作 进入“控制面板-管理工具-本地安全策略” ，在“本地策略-审核 策略”中： 查看是否“审核过程追踪”设置为 “失败”需要审核 编号：编号：安全要求-设备-WINDOWS-配置-17-可选 中国移动 Windows 操作系统安全配置规范 中国移动通信集团公司 第 14 页 共 28 页 14 要求内容要求内容 设置应用日志文件大小至少为 8192KB，设置当达到最大的日志尺 寸时，按需要改写事件。 操作指南操作指南 1、参考配置操作、参考配置操作 进入“控制面板-管理工具-事件查看器” ，在“事件查看器（本 地） ”中： “应用日志”属性中的日志大小设置不小于“8192KB” ,设置当达 到最大的日志尺寸时， “按需要改写事件” 检测方法检测方法 1、判定条件、判定条件 “应用日志”属性中的日志大小设置不小于“8192KB” ,设置当达 到最大的日志尺寸时， “按需要改写事件” 2、检测操作、检测操作 进入“控制面板-管理工具-事件查看器” ，在“事件查看器（本 地） ”中： 查看是否“应用日志”属性中的日志大小设置不小于“8192KB” , 设置当达到最大的日志尺寸时， “按需要改写事件” 编号：编号：安全要求-设备-WINDOWS-配置-18-可选 要求内容要求内容 设置系统日志文件大小至少为 8192KB，设置当达到最大的日志尺 寸时，按需要改写事件。 操作指南操作指南 1、参考配置操作、参考配置操作 进入“控制面板-管理工具-事件查看器” ，在“事件查看器（本 地） ”中： “系统日志”属性中的日志大小设置不小于“8192KB” ,设置当达 到最大的日志尺寸时， “按需要改写事件” 检测方法检测方法 1、判定条件、判定条件 “系统日志”属性中的日志大小设置不小于“8192KB” , 设置当 达到最大的日志尺寸时， “按需要改写事件” 2、检测操作、检测操作 进入“控制面板-管理工具-事件查看器” ，在“事件查看器（本 中国移动 Windows 操作系统安全配置规范 中国移动通信集团公司 第 15 页 共 28 页 15 地） ”中： 查看是否“系统日志”属性中的日志大小设置不小于“8192KB” , 设置当达到最大的日志尺寸时， “按需要改写事件” 编号：编号：安全要求-设备-WINDOWS-配置-19-可选 要求内容要求内容 设置安全日志文件大小至少为 8192KB，设置当达到最大的日志尺 寸时，按需要改写事件。 操作指南操作指南 1、参考配置操作、参考配置操作 进入“控制面板-管理工具-事件查看器” ，在“事件查看器（本 地） ”中： “安全日志”属性中的日志大小设置不小于“8192KB” ,设置当达 到最大的日志尺寸时， “按需要改写事件” 检测方法检测方法 1、判定条件、判定条件 “安全日志”属性中的日志大小设置不小于“8192KB” ,设置当达 到最大的日志尺寸时， “按需要改写事件” 2、检测操作、检测操作 进入“控制面板-管理工具-事件查看器” ，在“事件查看器（本 地） ”中： 查看是否“安全日志”属性中的日志大小设置不小于“8192KB” , 设置当达到最大的日志尺寸时， “按需要改写事件” 2.3 IP 协议安全配置操作 IP 协议安全配置操作 编号：编号：安全要求-设备-WINDOWS-配置-20-可选 要求内容要求内容 对没有自带防火墙的 Windows 系统， 启用 Windows 系统的 IP 安全 机制(IPSec)或网络连接上的 TCP/IP 筛选，只开放业务所需要的 TCP，UDP 端口和 IP 协议。 操作指南操作指南 1、参考配置操作、参考配置操作 进入“控制面板网络连接本地连接” ，进入“Internet 协议 中国移动 Windows 操作系统安全配置规范 中国移动通信集团公司 第 16 页 共 28 页 16 （TCP/IP）属性高级 TCP/IP 设置” ，在“选项”的属性中启用 网络连接上的 TCP/IP 筛选，只开放业务所需要的 TCP，UDP 端口 和 IP 协议。 检测方法检测方法 1、判定条件、判定条件 系统管理员出示业务所需端口列表。 根据列表只开放系统与业务所需端口。 2、检测操作、检测操作 进入“控制面板网络连接本地连接” ，进入“Internet 协议 （TCP/IP）属性高级 TCP/IP 设置” ，在“选项”的属性中启用 网络连接上的 TCP/IP 筛选，查看是否只开放业务所需要的 TCP， UDP 端口和 IP 协议。 编号：编号：安全要求-设备-WINDOWS-配置-21-可选 要求内容要求内容 启用 Windows XP 和 Windows 2003 自带防火墙。根据业务需要限 定允许访问网络的应用程序，和允许远程登陆该设备的 IP 地址范 围。 操作指南操作指南 1、参考配置操作、参考配置操作 进入“控制面板网络连接本地连接” ，在高级选项的设置中 启用 Windows 防火墙。 在“例外”中配置允许业务所需的程序接入网络。 在“例外-编辑-更改范围”编辑允许接入的网络地址范围。 检测方法检测方法 1、判定条件、判定条件 启用 Windows 防火墙。 “例外”中允许接入网络的程序均为业务所需。 2、检测操作、检测操作 进入 “控制面板网络连接本地连接” ， 在高级选项的设置中， 查看是否启用 Windows 防火墙。 查看是否在“例外”中配置允许业务所需的程序接入网络。 查看是否在“例外-编辑-更改范围”编辑允许接入的网络地址范 中国移动 Windows 操作系统安全配置规范 中国移动通信集团公司 第 17 页 共 28 页 17 围。 编号：编号：安全要求-设备-WINDOWS-配置-22-可选 要求内容要求内容 启用 SYN 攻击保护；指定触发 SYN 洪水攻击保护所必须超过的 TCP 连接请求数阀值为 5；指定处于 SYN_RCVD 状态的 TCP 连 接数的阈值为 500；指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值为 400。 操作指南操作指南 1、参考配置操作、参考配置操作 在“开始-运行-键入 regedit” 启用 SYN 攻击保护的命名值位于注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。值名称：SynAttackProtect。推荐值：2。 以下部分中的所有项和值均位于注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。 指定必须在触发 SYN flood 保护之前超过的 TCP 连接请求阈值。 值名称：TcpMaxPortsExhausted。推荐值：5。 启用 SynAttackProtect 后，该值指定 SYN_RCVD 状态中的 TCP 连接阈值，超过 SynAttackProtect 时，触发 SYN flood 保护。值 名称：TcpMaxHalfOpen。推荐值数据：500。 启 用 SynAttackProtect 后 ， 指 定 至 少 发 送 了 一 次 重 传 的 SYN_RCVD 状态中的 TCP 连接阈值。 超过 SynAttackProtect 时， 触发 SYN flood 保护。值名称：TcpMaxHalfOpenRetried。推荐值 数据：400。 检测方法检测方法 1、判定条件、判定条件 各注册表键值均按要求设置。 2、检测操作、检测操作 在“开始-运行-键入 regedit” 启用 SYN 攻击保护的命名值位于注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 中国移动 Windows 操作系统安全配置规范 中国移动通信集团公司 第 18 页 共 28 页 18 之下。值名称：SynAttackProtect。推荐值：2。 以下部分中的所有项和值均位于注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。 指定必须在触发 SYN flood 保护之前超过的 TCP 连接请求阈值。 值名称：TcpMaxPortsExhausted。推荐值：5。 启用 SynAttackProtect 后，该值指定 SYN_RCVD 状态中的 TCP 连接阈值，超过 SynAttackProtect 时，触发 SYN flood 保护。值 名称：TcpMaxHalfOpen。推荐值数据：500。 启 用 SynAttackProtect 后 ， 指 定 至 少 发 送 了 一 次 重 传 的 SYN_RCVD 状态中的 TCP 连接阈值。 超过 SynAttackProtect 时， 触发 SYN flood 保护。值名称：TcpMaxHalfOpenRetried。推荐值 数据：400。 2.4 设备其他配置操作 设备其他配置操作 2.4.1 屏幕保护屏幕保护 编号：编号：安全要求-设备-WINDOWS-配置-23 要求内容要求内容 设置带密码的屏幕保护，并将时间设定为 5 分钟。 操作指南操作指南 1、参考配置操作、参考配置操作 进入“控制面板显示屏幕保护程序” ： 启用屏幕保护程序，设置等待时间为“5 分钟” ，启用“在恢复时使 用密码保护” 检测方法检测方法 1、判定条件、判定条件 启用屏幕保护程序，设置等待时间为“5 分钟” ，启用“在恢复时使 用密码保护” 。 2、检测操作、检测操作 进入“控制面板显示屏幕保护程序” ： 中国移动 Windows 操作系统安全配置规范 中国移动通信集团公司 第 19 页 共 28 页 19 查看是否启用屏幕保护程序，设置等待时间为“5 分钟” ，启用“在 恢复时使用密码保护” 编号：编号：安全要求-设备-WINDOWS-配置-24 要求内容要求内容 对于远程登陆的帐号，设置不活动断连时间 15 分钟。 操作指南操作指南 1、参考配置操作、参考配置操作 进入“控制面板-管理工具-本地安全策略” ，在“本地策略-安 全选项” ： “Microsoft 网络服务器”设置为“在挂起会话之前所需的空闲时 间”为 15 分钟 检测方法检测方法 1、判定条件、判定条件 “Microsoft 网络服务器”设置为“在挂起会话之前所需的空闲时 间”为 15 分钟。 2、检测操作、检测操作 进入“控制面板-管理工具-本地安全策略” ，在“本地策略-安 全选项” ： 查看是否“Microsoft 网络服务器”设置为“在挂起会话之前所需 的空闲时间”为 15 分钟 2.4.2 共享文件夹及访问权限共享文件夹及访问权限 编号：编号：安全要求-设备-WINDOWS-配置-25-可选 要求内容要求内容 非域环境中，关闭 Windows 硬盘默认共享，例如 C$，D$。 操作指南操作指南 1、参考配置操作、参考配置操作 进入“开始运行Regedit” ，进入注册表编辑器， 更 改 注 册 表 键 值 ： 在HKLMSystemCurrentControlSet ServicesLanmanServerParameters下，增加 REG_DWORD 类型的 AutoShareServer 键，值为 0。 中国移动 Windows 操作系统安全配置规范 中国移动通信集团公司 第 20 页 共 28 页 20 检测方法检测方法 1、判定条件、判定条件 HKLMSystemCurrentControlSet ServicesLanmanServerParameters增加了 REG_DWORD 类型的 AutoShareServer 键，值为 0。 2、检测操作、检测操作 进入“开始运行Regedit” ，进入注册表编辑器，更改注册表 键值：在HKLMSystemCurrentControlSet ServicesLanmanServerParameters下，增加 REG_DWORD 类型的 AutoShareServer 键，值为 0。 编号：编号：安全要求-设备-WINDOWS-配置-26 要求内容要求内容 查看每个共享文件夹的共享权限， 只允许授权的账户拥有权限共享 此文件夹。 操作指南操作指南 1、参考配置操作、参考配置操作 进入“控制面板-管理工具-计算机管理” ，进入“系统工具共 享文件夹” ： 查看每个共享文件夹的共享权限，只将权限授权于指定账户。 检测方法检测方法 1、判定条件、判定条件 查看每个共享文件夹的共享权限仅限于业务需要，不设置成为 “everyone” 。 2、检测操作、检测操作 进入“控制面板-管理工具-计算机管理” ，进入“系统工具共 享文件夹” ： 查看每个共享文件夹的共享权限。 2.4.3 补丁管理补丁管理 编号：编号：安全要求-设备-WINDOWS-配置-27 要求内容要求内容 应安装最新的 Service Pack 补丁集。对服务器系统应先进行兼容性 中国移动 Windows 操作系统安全配置规范 中国移动通信集团公司 第 21 页 共 28 页 21 测试。 操作指南操作指南 1、参考配置操作、参考配置操作 安装最新的 Service Pack 补丁集， 目前 Windows XP 的 Service Pack 为 SP2。 Windows2000 的 Service Pack 为 SP4,Windows 2003 的 Servoce Pack 为 SP1 检测方法检测方法 1、判定条件、判定条件 显示 XP 系统已安装 SP2，Win2000 系统已安装 SP4。 2、检测操作、检测操作 控制面板-添加或删除程序-显示更新打钩，查看是否 XP 系统已安装 SP2，Win2000 系统已安装 SP4。 编号：编号：安全要求-设备-WINDOWS-配置-28-可选 要求内容要求内容 应安装最新的 Hotfix 补丁。对服务器系统应先进行兼容性测试。 操作指南操作指南 1、参考配置操作、参考配置操作 安装最新的 Hotfix 补丁。对服务器系统应先进行兼容性测试。 检测方法检测方法 1、判定条件、判定条件 已安装最新的 Hotfix 补丁，并经过兼容性测试。 2、检测操作、检测操作 控制面板-添加或删除程序-显示更新打钩，查看最近安装的 Hotfix 补丁是否为微软最新发布。 2.4.4 防病毒管理防病毒管理 编号：编号：安全要求-设备-WINDOWS-配置-29 要求内容要求内容 安装防病毒软件，并及时更新。 操作指南操作指南 1、参考配置操作、参考配置操作 安装防病毒软件，并及时更新。 检测方法检测方法 1、判定条件、判定条件 中国移动 Windows 操作系统安全配置规范 中国移动通信集团公司 第 22 页 共 28 页 22 已安装放病毒软件，病毒码更新时间不早于 1 个月，各系统病毒码 升级时间要求参见各系统相关规定。 2、检测操作 控制面板-添加或删除程序，是否安装有防病毒软件。打开防病 毒软件控制面板，查看病毒码更新日期。 编号：编号：安全要求-设备-WINDOWS-配置-30-可选 要求内容要求内容 对于 Windows XP SP2 及 Windows 2003 对 Windows 操作系统程序 和服务启用系统自带 DEP 功能(数据执行保护)， 防止在受保护内存 位置运行有害代码。 操作指南操作指南 1、参考配置操作、参考配置操作 进入“控制面板系统” ，在“高级”选项卡的 “性能”下的“设 置” 。 进入 “数据执行保护”选项卡。 设置为 “ 仅为基本 Windows 操作系统程序和服务启用 DEP” 。 检测方法检测方法 1、判定条件、判定条件 “数据执行保护”选项卡已设置为“ 仅为基本 Windows 操作系统 程序和服务启用 DEP” 。 2、检测操作、检测操作 进入“控制面板系统” ，在“高级”选项卡的 “性能