中国移动浙江公司网络与信息安全管理办法

中中 国国 移移 动动 通通 信信 企企 业业 标标 准准 中国移动浙江公司中国移动浙江公司 信息与安全管理办法（附则信息与安全管理办法（附则 3 3） 版本号：版本号：2.0.0 中国移动通信有限公司浙江公司中国移动通信有限公司浙江公司 发布发布 -发布-实施 QB-QB- I QB-QB- 目 录 1 1范围范围 1 2 2术语和定义术语和定义 1 3 3管理制度正文管理制度正文 1 浙江移动通信网络生产维护终端管理办法浙江移动通信网络生产维护终端管理办法.2 WINDOWS 2000 生产维护终端安全配置标准生产维护终端安全配置标准11 1.1说明11 1.2系统安装11 1.3补丁安装11 1.4用户和组12 1.5注册表修改13 1.6日志和审计14 1.7服务安全16 1.8应用软件安全16 WINDOWS 2000 生产维护终端安全配置检查生产维护终端安全配置检查 CHECKLIST.17 WINDOWS XP 生产维护终端安全配置标准生产维护终端安全配置标准.25 1.1说明25 1.2系统安装25 1.3补丁安装25 1.4用户和组27 1.5注册表修改28 1.6日志和审计29 1.7服务安全30 1.8应用软件安全30 WINDOWS XP 生产维护终端安全配置检查生产维护终端安全配置检查 CHECKLIST31 II QB-QB- 前 言 本规范由中国移动通信集团浙江公司网络部提出并归口。 本规范起草单位：中国移动通信集团浙江公司网络部 本规范主要起草人： 许光磊 本标准解释单位：中国移动通信集团浙江公司网络部。 III QB-QB- 编制历史 版本更新日期修改更新说明 文档 状态 V1.0.02006-4-27网管中心原有的管理办法正式 稿 V2.0.02007-2-25 许光磊 根据公司新的网络部门职责分工情况， 在汇总整理网管中心原有管理办法基 础上，完成本管理办法。 征求 意见 稿 1 QB-QB- 1 1范围范围 目前我省运行维护的网络有通信网络系统、BOSS 系统和信息化系统等三大网络， 本办法主要针对通信网络系统，即包括交换、智能网、短信、CMNET、GPRS、传输等各 业务网络及网管支撑系统的网络与信息安全生产和管理工作。具体内容包括网络运行维护 过程中所涉及到的非法攻击防范、病毒防范、网络接入和访问控制以及数据安全保证等内 容，不包括信息源和信息内容的合法性问题、通信安全（如网络容灾备份）与应用层面的 网络安全问题。 本附则描述浙江公司通信网生产维护终端管理的相关规定。 2 2术语和定义术语和定义 无 3 3管理制度正文管理制度正文 2 QB-QB- 浙江移动通信网络生产维护终端管理办法浙江移动通信网络生产维护终端管理办法 1 1适用范围适用范围 本办法适用于浙江移动通信网所属生产用超级终端和一类生产维护终端的管理， 该部分终端由省网管中心统一归口管理。 2 2职责职责 1 1省网管中心互联网室职责省网管中心互联网室职责 组织生产维护终端管理办法的制定和实施 生产维护终端接入网管DCN申请的审核、开通 生产维护终端安全审计 2 2省网管中心各专业室及地市分公司网络部职责省网管中心各专业室及地市分公司网络部职责 提出生产维护终端接入网管DCN的申请 负责生产维护终端的本地管理 3 3终端分类终端分类 网管 DCN 网络安全分域情况如下所示： 风险域风险域 固定终端移动终端 外部人员外部人员 安全域安全域 枢纽楼公共外部接口 区 枢纽楼公共安全服务区 萧山公共外部接口区 BOSSBOSS DCNDCN PSTNPSTN InternetInternet 集团公司集团公司 萧山公共安全服务区 关键业务服务器 风险域风险域风险域风险域 安全域 风险域 三级风险域 二级风险域 一级风险域 BOSSBOSS DCNDCN PSTNPSTN InternetInternet 集团公司集团公司 .1超级终端：超级终端：特指位于各个机房中，属于安全域，与业务服务器同处的操作维护 3 QB-QB- 终端，此类终端可以认为与业务服务器安全等级相同。同时，这部分终端也可 以作为“应急终端” ，在安全网关万一失效的情况下，保证操作维护。 .2一类终端（风险域）一类终端（风险域）：此类维护终端位于维护机房内、日常维护管理区中各个 业务系统的固定的、专用的维护终端，属于一级风险域，这类终端中采用特定 的维护终端只能维护特定业务服务器，其进入安全域无需显式的认证过程，只 是开机动态获取 IP 地址后，通过 IP、MAC、VLAN 匹配检查即可。维护终端 配备特定的安全技术手段，终端的申请和开通必须通过省网管中心，日常管理 由地市网络安全员负责。 .3二类终端（风险域）二类终端（风险域）：即移动终端和非专用终端接入区，固定终端若需维护多 个业务系统也必须通过该区域接入。该类终端无需进行捆绑检测，终端可以在 所有二级风险域内漫游，其登录系统分为两个步骤，首先开机后获取 IP 地址， 此时终端进入的是预认证域预认证域，该域可以访问的 portal server、公共安全服务区， 以接收病毒扫描代码更新、AD 域登录、AD 域策略下发、补丁更新等公共安全 服务，但不能够访问安全域。其次，如果用户需要访问安全域以进行业务系统 的操作维护等工作，这需要通过 portal 认证，在 web 界面输入账号和密码，密 码由口令令牌提供，账号为二维的形式，如 ，认证 通过后，终端进入了后认证域，终端将拥有访问安全域的权限，即该账号可以 访问温州的 ISMC 系统，同时保留接收公共安全区提供的公共的安全服务，例 如病毒更新、系统扫描等。 .4三类终端（风险域）：三类终端（风险域）：泛指在管理范畴上不属于网管 DCN 管辖的终端，其细 分为：外部人员接入、Internet 接入、PSTN 接入、集团公司接入、BOSS DCN 接入，这些终端统一通过公共外部接口区，以不同的物理连接方式进入网管 DCN 网络系统，其进入网管 DCN 的流程是相同的。首先，终端与防火墙建立 L2TP 安全隧道，分配到隧道地址，此时，终端进入 MA5200F-2000 的预认证域， 该域下的终端能够访问公共安全服务区内，接收各种安全检查，但不能够访问 网管 DCN 内其他系统。其次，终端进行 portal 认证通过后，进入 MA5200F- 2000 的后认证域，将可以访问网管 DCN 内相关的子业务系统。 4 4超级和一类终端接入管理超级和一类终端接入管理 1.由于网络的特定位置，超级和一类终端终端存在较高的安全风险，对于这两类终端的 4 QB-QB- MAC 地址施行严格统一管理 2.超级和一类终端在接入网管 DCN 网络之前，必须将终端的 MAC 地址上报到省网管中 心，详见超级、一类终端接入网管 DCN 流程 3.超级、一类终端在使用过程中，不得通过任何工具修改 MAC 地址，由此造成的后果 将由终端管理员承担 4.超级、一类终端在更换硬件系统，或者网卡出现故障的时候，需要重新申报 MAC 地 址，详见超级、一类终端 MAC 地址变更、终止使用流程 5.对于报废的终端或者网卡，终端管理员应该按照超级、一类终端 MAC 地址变更、 终止使用流程对 MAC 地址进行终止使用申请，以节省 IT 资源 5 5终端主机管理终端主机管理 1. 终端操作员应该对自己负责的终端根据操作系统类型严格按照Windows 2000 生产维护终端安全配置标准和Windows xp生产维护终端安全配置标准进 行安全配置，在安全标准没有配置完成之前，不允许私自将终端接入网管DCN网 络 2所有的终端操作员在使用终端计算机时，应该设置开机、屏幕保护口令；屏幕保 护程序启动等待时间为10分钟，并且屏幕保护程序必须为操作系统自带的；在 设置目录共享时，应该设置共享口令 3. 应该严格按照标准配置使用计算机配件，未经许可不得安装和使用非标配的计 算机部件，如自购的声卡、音箱、MODEM、光驱、光盘、话筒、硬盘等 4. 严格禁止计算机连接到内部网络的同时，通过Modem、ISDN等连接到外部网 络 5. 终端统一命名规则为：地区名-系统名-位置，如 杭州-ISMC-朝晖4F 6终端存储设备管理终端存储设备管理 1.为了防止防毒和其他黑客软件的感染，生产维护终端原则上不允许使用软盘、USB 等移动存储介质 2. 如确因工作需要，经审批后可以使用移动存储介质，但使用之前应该对存储介 质中的软件进行病毒扫描处理，或先对介质进行格式化处理。 7终端软件管理终端软件管理 5 QB-QB- 1. 所有的终端操作员必须安装、运行规定的防病毒软件并及时升级 2. 不得在生产维护终端上安装与生产维护无关的软件。 3. 员工不得在生产终端上私自编制与其工作职责不相符的软件 4. 员工不得在公司配置的生产维护终端上安装自己购买的软件 8 8终端文件管理终端文件管理 1. 终端计算机上不能存放与工作无关的内容，如：不健康内容、VCD、歌曲、小说、 杂志、图片、BBS、娱乐站点、游戏、留言本等 2. 严禁使用生产维护终端玩游戏、听音乐 3. 终端操作员不应下载、使用、传播与工作无关的文件，也不应下载的来历不明 的文件， 如：屏幕保护文件、图片文件、小说、音乐文件等 9 9终端网络管理终端网络管理 1.超级终端的IP地址必须设置为固定IP地址，操作员未经省网管中心允许，不能更 改分配给终端的IP地址 2. 一级和二级终端计算机IP地址必须设定为自动获取，为了避免和其他计算机冲 突，禁止在一级和二级终端上设置固定IP 3. 终端计算机网络设置中严禁隐含和伪造上网终端基本信息；例如伪造IP地址， 修改MAC地址等信息 4. 网管DCN的网络标准协议为TCP/IP。未经省网管中心许可，不得启动标准协议外 的任何其他网络协议，如SPX/IPX，NETBIOS等 5. 操作员不得私自增加、拆离或更换网络设备（HUB、路由器、交换机等），如果 有工作需要，首先必须向省网管中心提出申请 6. 严禁在生产维护终端上安装和启动 动态路由（RIP、OSPF、EIGRP等）服务 7. 严禁在生产维护终端上安装启动DNS、Wins、DHCP等网络服务 8. 生产维护终端原则上禁止与internet连接 1010终端补丁管理终端补丁管理 1.新配置的终端必须按照终端安全配置标准进行补丁安装 2.对于新出现的一些漏洞，由网管中心互联网室采用补丁管理软件统一进行分发和 安装。对于部分可能与应用程序有冲突的补丁，由终端使用人员自行安装 6 QB-QB- 3.在网管中心没有明确公布的情况下，终端操作员禁止私自下载安装任何补丁 1111 终端安全审计终端安全审计 1新入网的终端，操作员必须首先根据Windows 2000生产维护终端安全配置标准或者 Windows xp生产维护终端安全配置标准进行配置，然后根据Windows 2000 生产维护终端安全配置检查checklist或者Windows XP生产维护终端安全配置 检查checklist进行检查，将检查结果发送到网管中心作为入网申请的附件 2省网管中心互联网室会不定期按照本规定和Windows 2000 生产维护终端安全配置检 查checklist或者Windows XP生产维护终端安全配置检查checklist对终端进 行安全配置抽查，记录抽查结果 1212 其他规定其他规定 1严禁私自设立WWW、FTP、BBS、NEWS等应用服务 2严禁私自设立网上游戏服务 3严禁私自设立拨号接入服务 7 QB-QB- 附附1 1：浙江移动超级、一类终端接入网管：浙江移动超级、一类终端接入网管DCNDCN申请流程申请流程 申请人 直接主管 省公司 安全责任人 通过否 省网管中心网 络设备管理员 交换机开通 MAC 使用 审批 通过否 审批 通知申请人 Y Y N N 提出申请 结束 终端 MAC 申请人 直接主管 网管 DCN 系统管理员 通过否 网管 DCN 系统管理员 交换机开通 MAC 使用 审批 通过否 审批 通知申请人 Y Y N N 提出申请 结束 超级一类终端接 入网管 DCN 申请表 8 QB-QB- 附附2 2：浙江移动超级、一类终端接入网管：浙江移动超级、一类终端接入网管DCNDCN申请表申请表 1.申请人填写栏： 2.申明：申明：我已经认真阅读了浙江移动生产维护终端管理办法 ，并将遵照办法的要求。 姓名： 所在公司和部门： 联系电话： 终端类型（超级或者一类）： 终端维护的系统： 终端所在机房： 终端的 MAC 地址： （为了避免重复工作请认真核对） 终端的通讯需求： （填写终端需要维护的服务器 IP） 签名： 日期： 5.网管DCN系统管理员填写： 已处理，终端名为 签名： 日期： 3.申请人直接主管填写栏： 同意 不同意，请注明理由 签名： 日期： 4.网管DCN系统管理员填写栏： 同意 不同意，请注明理由 签名： 日期： 9 QB-QB- 附附3 3：浙江移动超级、一类终端：浙江移动超级、一类终端MACMAC地址变更、终止使用流程地址变更、终止使用流程 申请人 省公司 安全责任人 通过否 省网管中心网 络设备管理员 交换机开通新 MAC 使用或者终止 MAC 地址使用 审批 通知申请人 Y N 提出申请 结束 DCN 网络超级一类 终端 MAC 地址 变更、终止申请 申申请请人人 网网管管 D DC CN N 系系统统管管理理员员 通过否 网网管管 D DC CN N 系系统统管管理理员员 交换机开通新 MAC 使用或者终止 MAC 地址使用 审批 通知申请人 Y N 提出申请 结束 超超级级、一一类类终终端端 M MA AC C 地地址址变变更更、终终止止使使 用用申申请请表表 10 QB-QB- 附附4 4：浙江移动超级、一类终端：浙江移动超级、一类终端MACMAC地址更改、终止使用申请表地址更改、终止使用申请表 6.申请人填写栏： 7.申明：申明：我已经认真阅读了浙江移动生产维护终端管理办法 ，并将遵照办法的要求。 姓名： 所在公司和部门： 联系电话： 业务类型：MAC 地址更改 MAC 地址终止使用 终端名： 原申请 MAC 地址： （为了避免重复工作请认真核对） 变更后的 MAC 地址： （终止使用申请不填） 签名： 日期： 9.网管DCN系统管理员填写： 已处理 签名： 日期： 8.网管DCN系统管理员填写栏： 同意 不同意，请注明理由 签名： 日期： 11 QB-QB- windows 2000生产维护终端安全配置标准 1.1 说明说明 1所有接入网管 DCN 网络的超级终端、一类终端必须按照标准进行安全配置， 二、三类终端可以根据实际情况考虑是否按照本标准配置 2省网管中心互联网络室会根据本标准，对 win 2000 生产维护终端的配置进行 定期抽查 3如果在配置实施的过程中，有任何疑问，请和省网管中心互联网室联系 1.2 系统安装系统安装 1 安装的时候至少划分 2 个分区（分区必须采用 NTFS 格式） 2 选择定制安装，多余的组建不要安装，禁止安装 IIS 组件，对于已经安 装好系统的机器应该卸装掉多余的组件 3 禁止安装 IIS、DHCP、DNS、WINS 等网络服务，特殊情况需要申请备 案 4 终端统一命名规则为：地区名-系统名-位置，如 杭州-ISMC-朝晖 4F 5 windows 2000 server 在安装和配置好后（在安装和设置、打补丁之后） ， 再接入到网络中 说明：本部分需要在终端安装的时候手动配置，检查的时候可以通过说明：本部分需要在终端安装的时候手动配置，检查的时候可以通过 SMS 的远程控制检查或者手动检查。的远程控制检查或者手动检查。 1.3 补丁安装补丁安装 1 安装最新的补丁包 SP4，补丁包的位置为： 2 将 IE 升级到 IE6 SP1，补丁包的位置为： 3 安装安全漏洞热补丁包，截至到现在需要安装的补丁包如下，补丁包存放的位置 为： 12 QB-QB- Windows2000-KB823182-x86-CHS.exe Windows2000-KB823559-x86-CHS.exe Windows2000-KB823980-x86-CHS.exe Windows2000-KB824105-x86-CHS.exe Windows2000-KB824146-x86-CHS.exe Windows2000-KB825119-x86-CHS.exe Windows2000-KB826232-x86-CHS.exe Windows2000-KB828035-x86-CHS.exe Windows2000-KB828741-x86-CHS.EXE Windows2000-KB828749-x86-CHS.exe Windows2000-KB830352-x86-CHS.EXE Windows2000-KB835732-x86-CHS.EXE Windows2000-KB837001-x86-CHS.EXE Windows2000-KB839643-x86-CHS.EXE Windows2000-KB839645-x86-CHS.EXE Windows2000-KB841872-x86-CHS.EXE Windows2000-KB841873-x86-CHS.EXE Windows2000-KB842526-x86-CHS.EXE Windows-KB833330-CHS.exe Windows-KB870669-x86-ENU.exe WindowsMedia41-KB822343-ENU.exe WindowsMedia-KB832353-CHS.exe Q329115_W2K_SP4_X86_CN.exe q329414_mdacall_x86.exe Q816093_W2K_SP4_X86_CN.exe Q831167.exe Q832894.exe IE6.0sp1-KB823353-x86-CHS.exe OE6.0sp1-KB837009-x86-CHS.exe CNq828750ie6sp1.exe js55nchs.exe js56nchs.exe 说明：本部分设置已经通过说明：本部分设置已经通过 SMS 2003 实现统一分发，可以通过报表集中审实现统一分发，可以通过报表集中审 查。查。 1.4 用户和组用户和组 1 给 Guest 设置复杂口令并禁止 Guest 帐号（缺省是禁止的） ，如果确实 有工作需要，打开 guest 前需要申请备案； 2 限制匿名登录和限制查询用户名，组和共享 13 QB-QB- 关键字关键字值名值名类型类型值值 HKEY_LOCAL_MACHINE SYSTEM CurrentControlSetContro lLsa RestrictAnonymous （已有） REG_DWORD1 3 超级用户口令和应用系统帐户的口令必须定期修改，原则上，应用系统 帐户的口令每 90 天修改一次，超级用户 Administor 帐号 60 天修改一次。 修改方法：开始运行 secpol.msc“本地安全设置” “帐户策略密码策略”（ 用 户密码系统设置标准见下表） 用户密码标准用户密码标准 密码最长存留期60天 密码最短存留期允许一天后更改 密码长度最小值6位以上（包含6位） 强制密码历史记录5个密码 账号是否锁定锁定： 登录失败5次后锁定，锁定10分钟之后重启动统计10 分钟数（开放guest，密码公开的服务器除外） 密码必须符合复杂性要求启用 帐户锁定阀值5次（开放guest，密码公开的服务器除外） 帐户锁定时间10分钟 复位帐户锁定计数器10分钟 用户必须登录方能更改密码否 提示修改密码提前14天 说明：由于通过 AD 禁用了本地用户和组，所以不再需要在终端做设置。 1.5 注册表修改注册表修改 目的目的使用策略编辑器使用策略编辑器修改注册表修改注册表 14 QB-QB- 隐藏上次登录用户名计算机策略Windows NT系统 登录不显示上次登录的用户 名：选中 HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindows NTCurrenVersion Winlogon 中的 DontDisplayLastUserName 改为1 禁止允许未认证的用户进入， 禁止网络列举域内用户 HKEY_LOCAL_MACHINESYSTEMCurr entControlSetControlLSA 中的 RestrictAnonymous ，将它的值改为1 消除隐含驱动器共享计算机Windows NT网络共 享创建隐含驱动器共享（工作 站、服务器）： 空白 HKEY_LOCAL_MACHINESYSTEM CurrentControlSetServicesLanManServ erParameters 增加或改变DWord 类型的值 AutoShareServer(Server) 0 AutoShareWks(Workstation) 0 禁止匿名连接Local_MachineSystemCurrentControlSet Control 中RestrictAnonymous： 1 从登录对话框删除shudown 按纽 HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindows NTCurrent VersionWinlogonShutdownWithoutLogo n(REG_SZ)0 禁止使用8.3文件格式HKLMSystemCurrentControlSetControl FileSystemNtfsDisable8dot3NameCreati on（DWORD）1 说明：注册表的键值可以通过说明：注册表的键值可以通过 AD 脚本实现，暂时没有实现，审查的时候脚本实现，暂时没有实现，审查的时候 需要手工施行。需要手工施行。 1.6 日志和审计日志和审计 1 事件查看器设置 15 QB-QB- a)应用程序、系统和空间都设为 100MB，安全的日志设置为 200M b)事件日志覆盖方式为：覆盖 60 天以前的日志 c)禁止匿名用户查看日志 应用日志： Key: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlog Application Name: RestrictGuestAccess Type: DWORD Value: 1 系统日志： Key: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlog System Name: RestrictGuestAccess Type: DWORD Value: 1 安全日志： Key: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlog Security Name: RestrictGuestAccess Type: DWORD Value: 1 2 增加审计日志 方法：开始运行 secpol.msc“本地安全设置” “审核策略” 项目项目成功成功失败失败 审核策略更改 审核登录事件 审核特权使用 审核系统事件 审核帐户登录事件 审核帐户管理 16 QB-QB- 说明：本部分设置已经通过说明：本部分设置已经通过 AD 的统一策略强制实施，不需要进行审计。的统一策略强制实施，不需要进行审计。 1.7 服务安全服务安全 在终端上应该禁止以下服务的运行：Alerter、Remote Registry Service、Messenger、Task Scheduler、Computer Browser、Distributed File System (DFS) 方法：开始运行 services.msc，然后将以上的服务的启动类型修改为禁止 说明：本部分设置已经通过说明：本部分设置已经通过 AD 的统一策略强制实施，不需要进行审计。的统一策略强制实施，不需要进行审计。 1.8 应用软件安全应用软件安全 1 对于在开放环境的服务器，设置系统启动口令，BIOS 中设置禁用软盘、光盘引导 系统 2 必须启动 windows 20000 自带屏幕保护程序，屏保的启动时间应该少于 10 分钟， 启动屏保的时候要求密码保护 3 必须安装公司规定病毒保护程序，设置集中管理 4 只安装 TCP/IP 协议（删除其他协议） 说明：对于说明：对于 BIOS 的修改需要手工设置，其他部分已经通过的修改需要手工设置，其他部分已经通过 AD 安全策略集安全策略集 中强制实施。中强制实施。 17 QB-QB- windows 2000生产维护终端安全配置检查checklist 表表 1：基本信息检查：基本信息检查 网络成员：工作组名称：_ 域名：_ IP 地址：_ _ _ _ 系统 Service Pack 级别：要求为 SP4其他 Service Pack 级别：_ IE 版本以及 SP 级别要求为 IE 6 SP1IE 版本为：_ IE 版本的补丁为：_ 文件系统格式要求为 NTFS文件系统格式为：_ 硬盘分区结构要求为 2 个以上分区 硬盘共有_个分区 Windows 组件检查不安装非必需的组件安装的组件有：_ _ 网络服务安装检查不安装 IIS、DHCP、DNS、WIN S 检查结果： 表表 2：热补丁安装检查：热补丁安装检查 Windows2000-KB823182-x86-CHS.exe Windows2000-KB823559-x86-CHS.exe Windows2000-KB823980-x86-CHS.exe Windows2000-KB824105-x86-CHS.exe Windows2000-KB824146-x86-CHS.exe Windows2000-KB825119-x86-CHS.exe Windows2000-KB826232-x86-CHS.exe Windows2000-KB828035-x86-CHS.exe Windows2000-KB828741-x86-CHS.EXE Windows2000-KB828749-x86-CHS.exe Windows2000-KB830352-x86-CHS.EXE Windows2000-KB835732-x86-CHS.EXE Windows2000-KB837001-x86-CHS.EXE Windows2000-KB841873-x86-CHS.EXE Windows2000-KB842526-x86-CHS.EXE Windows-KB833330-CHS.exe Windows-KB870669-x86-ENU.exe WindowsMedia41-KB822343-ENU.exe WindowsMedia-KB832353-CHS.exe Q329115_W2K_SP4_X86_CN.exe q329414_mdacall_x86.exe Q816093_W2K_SP4_X86_CN.exe Q831167.exe Q832894.exe IE6.0sp1-KB823353-x86-CHS.exe OE6.0sp1-KB837009-x86-CHS.exe 18 QB-QB- Windows2000-KB839643-x86-CHS.EXE Windows2000-KB839645-x86-CHS.EXE Windows2000-KB841872-x86-CHS.EXE CNq828750ie6sp1.exe js55nchs.exe js56nchs.exe 表表 3：Windows 2000 安全配置检查表安全配置检查表 Guest 帐号是否含有口令，是否已经被禁用 有口令 无口令 已经禁用 未禁用 帐 户 策 略 密码策略 强制密码历史 安全目标：5 个强制密码记录。 计算机设置：_ 记忆密码 密码最长使用期限 安全目标：60 天。 计算机设置：_ 天 密码最短使用期限 安全目标：1 天。 计算机设置：_ 天 密码长度最小值 安全目标：6 位以上（含 6 位）。 计算机设置：_ 字符 密码必须满足复杂性要求 安全目标：要求使用复杂（强）密码。 计算机设置： 启用 禁用 19 QB-QB- 帐户锁定策略 帐户锁定时间 安全目标：如果密码无效，将帐户锁定一段时间，要求为 10 分钟。 计算机设置：_ 分钟 帐户锁定阈值 安全目标：设置锁定帐户前允许的无效登录次数，要求为 5 次。 计算机设置：_ 次无效登录 重置帐户锁定计数器 安全目标：设置重置前保持锁定阈值的时间长度，要求为 10 分钟。 计算机设置：_ 分钟 提示修改密码 安全目标：密码到期之前修改密码的提前提示时间，要求为 14 天。 计算机设置：_ 天 本 地 策 略 审核策略 审核帐户登录事件 安全目标：审核来自其他计算机（帐户需要进行验证）的帐户登录事件。“帐户登录事件”在帐户所在地生成， 要求对成功和失败事件进行审计。 计算机设置： 成功 失败 审核帐户管理 安全目标：审核帐户管理活动，要求对成功和失败事件进行审计。 计算机设置： 成功 失败 审核策略更改 安全目标：审核用户权限分配策略、审核策略或信任策略的变化情况，要求至少设置失败。 计算机设置： 成功 失败 20 QB-QB- 审核登录事件 安全目标：审核本计算机的本地或网络登录/注销事件。“登录事件”在登录发生地生成，要求对成功和失败事 件进行审计。 计算机设置： 成功 失败 审核系统事件 安全目标：审核用户开关计算机的时间，或发生影响系统安全或安全日志的事件的时间，要求至少对失败事 件进行审计。 计算机设置： 成功 失败 审核特权使用 安全目标：审核用户行使权限的所有实例，要求至少对失败事件进行审计。 计算机设置： 成功 失败 用户权限分配 事 件 日 志 事件日志的设置 应用程序日志大小最大值 安全目标：指定应用程序事件日志大小的最大值，要求设置为 102400K。 计算机设置：_ KB 安全日志最大值 安全目标：指定安全事件日志大小的最大值，要求设置为 102400K。 计算机设置：_ KB 系统日志大小最大值，要求设置为 204800K 安全目标：指定安全事件日志大小的最大值。 计算机设置：_ KB 限制来宾访问应用程序日志 安全目标：如果启用，系统将禁止匿名用户访问应用程序事件日志。要求启用设置。 21 QB-QB- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogApplication Name: RestrictGuestAccess Type: DWORD Value: 1 计算机设置： 启用 禁用 限制来宾访问安全日志 安全目标：如果启用，系统将禁止匿名用户访问安全事件日志。要求启用设置。 Key: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogSecurity Name: RestrictGuestAccess Type: DWORD Value: 1 计算机设置： 启用 禁用 限制来宾访问系统日志 安全目标：如果启用，系统将禁止匿名用户访问系统事件日志。要求启用设置。 Key: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogSystem Name: RestrictGuestAccess Type: DWORD Value: 1 计算机设置： 启用 禁用 保留应用程序日志 安全目标：确定应用程序日志保留事件的天数（如果应用程序日志的保留方法是“按天数”），要求设置为 60 天。 计算机设置：_ 天 安全日志保留天数 安全目标：确定安全日志保留事件的天数（如果安全日志的保留方法是“按天数”） ，要求设置为 60 天。 计算机设置：_ 天 保留系统日志 安全目标：确定系统日志保留事件的天数（如果系统日志的保留方法是“按天数”） ，要求设置为 60 天。 计算机设置：_ 天 22 QB-QB- 系 统 服 务 启用的服务 安全目标：需要明确禁止的服务有：Alerter、Remote Registry Service、Messenger、Task Scheduler、Computer Browser、Distributed File System (DFS)。检查以上服务是否已经停止运行， 而且启动类型为禁止或者手动状态。 Alerter Remote Registry Service Messenger Task Scheduler Computer Browser Distributed File System (DFS) 其 他 注 册 表 设 置 限制匿名登陆和限制查询用户名 HKLMSYSTEMCurrentControlSetControlLsa格式格式值值 值名称： RestrictAnonymousREG_DWORD 1 安全目标：限制匿名登陆和限制查询用户名，组和共享。 计算机设置：_ 隐藏上次登陆用户名 HKLMSOFTWARE MicrosoftWindows NTCurrenVersion Winlogon 格式格式值值 值名称： DontDisplayLastUserNameREG_DWORD 1 安全目标：隐藏上次登陆用户名。 计算机设置：_ 23 QB-QB- 取消默认驱动器共享 HKLM SYSTEMCurrentControlSetServicesLanManServerParamete rs 格式格式值值 值名称： Autoshareserver 和和 AutoShareWksREG_DWORD 0 安全目标：取消默认驱动器共享 计算机设置：_ 禁止匿名连接 HKLMSYSTEMCurrentControlSetControl格式格式值值 值名称： RestrictAnonymousREG_DWORD 1 安全目标：禁止匿名连接。 计算机设置：_ 从登陆对话框输出 shutdown 按钮 HKLM HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrent VersionWinlogonShutdownWithoutLogon 格式格式值值 值名称： ShutdownWithoutLogonREG_MULTI_ SZ 0 安全目标：从登陆对话框输出 shutdown 按钮 计算机设置：_ 禁止使用 8.3 文件格式 HKLM SystemCurrentControlSetControlFileSystem格式格式值值 值名称： NtfsDisable8dot3NameCreationREG_DWORD 1 安全目标：禁止使用 8.3 文件格式 计算机设置：_ 表表 4：其他应用检查：其他应用检查 Windows 组件检查不安装非必需的组件安装的组件有：_ _ 网络服务安装检查不安装检查结果： 24 QB-QB- IIS、DHCP、DNS、WIN S 防病毒软件检查是否安装了规定的防病毒软 件，设置了集中管理 检查结果： 屏保设置检查是否设定了在 10 分钟内启 用屏保，而且启用密码保护 检查结果： 网络协议检查是否安装了除 TCP/IP 以外 的网络协议 检查结果： 表表 5：检查结果：检查结果 检查结果鉴定： 检查人： 检查时间： 25 QB-QB- windows XP生产维护终端安全配置标准 1.1 说明说明 1.所有接入网管 DCN 网络的超级终端、一类终端都必须按照标准进行安全配 置，二、三类终端可以根据实际情况考虑是否按照本标准配置 2.省网管中心会根据本标准，对 win XP 终端的配置进行定期抽查 3.如果在配置实施的过程中，有任何疑问，请和省网管中心互联网室联系 1.2 系统安装系统安装 1.安装的时候至少划分 2 个分区（分区必须采用 NTFS 格式） 2.选择定制安装，多余的组建不要安装，禁止安装 IIS 组件，对于已经安装好 系统的机器应该卸装掉多余的组件 3.禁止安装 IIS、DHCP、DNS、WINS 等网络服务，特殊情况需要申请备案 4.终端统一命名规则为：地名缩写（如 HZ）（）（） 5.windows XP 在安装和配置好后（在安装和设置、打补丁之后） ，再接入到网 络中 说明：本部分需要在终端安装的时候手动配置，检查的时候可以通过说明：本部分需要在终端安装的时候手动配置，检查的时候可以通过 SMS 的远程控制检查或者手动检查。的远程控制检查或者手动检查。 1.3 补丁安装补丁安装 1 安装最新的补丁包 SP4，补丁包的位置为： 2 将 IE 升级到 IE6 SP1，补丁包的位置为： 3 安装安全漏洞热补丁包，截至到现在需要安装的补丁包如下，补丁包存放的位置 为： WindowsXP-KB823182-x86-CHS.exe WindowsXP- KB824146-x86-CHS.exe WindowsXP- KB825119 -x86-CHS.exe 26 QB-QB- WindowsXP- KB826939 -x86-CHS.exe WindowsXP- KB828035 -x86-CHS.exe WindowsXP- KB828741 -x86-CHS.exe WindowsXP- KB833330 -x86-CHS.exe WindowsXP- KB835732 -x86-CHS.exe WindowsXP- KB837001 -x86-CHS.exe WindowsXP- KB839643 -x86-CHS.exe WindowsXP- KB839645 -x86-CHS.exe WindowsXP- KB840315 -x86-CHS.exe WindowsXP- KB840374 -x86-CHS.exe WindowsXP- KB841873 -x86-CHS.exe WindowsXP- KB842773 -x86-CHS.exe WindowsXP -KB824105-x86-CHS.exe WindowsXP - KB824141-x86-CHS.exe WindowsXP - KB825119-x86-CHS.exe WindowsXP - KB835732-x86-CHS.exe WindowsXP - KB837001-x86-CHS.exe WindowsXP- Q327979 -x86-CHS.exe WindowsXP- Q329048 -x86-CHS.exe WindowsXP- Q329909 -x86-CHS.exe WindowsXP- Q331953 -x86-CHS.exe WindowsXP- Q811789 -x86-CHS.exe WindowsXP- Q813862 -x86-CHS.exe WindowsXP- Q815485 -x86-CHS.exe WindowsXP- Q816979 -x86-CHS.exe WindowsXP- Q816981 -x86-CHS.e