Windows安全基线.doc

Microsoft Windows安全配置基线版本变更记录版本号主要修改内容制作人日期审核人日 期批准人日 期目录0目的41帐户管理、认证授权41.1帐户41.2口令51.3授权62日志配置操作82.1日志配置83IP协议安全配置123.1IP协议124设备其他配置操作134.1共享文件夹及访问权限134.2防病毒管理134.3Windows服务144.4启动项164.5屏幕保护174.6远程登录控制174.7补丁管理180 目的本文档规定了XX有限公司所维护管理的Windows操作系统的主机应当遵循的操作系统安全性设置标准，旨在指导系统管理人员或安全检查人员进行Windows 操作系统的安全合规性检查和配置。适用范围：适用于XX有限公司。1 帐户管理、认证授权1.1 帐户1.1.1 管理缺省帐户安全基线项目名称操作系统缺省帐户安全基线要求项安全基线编号SBL-Windows-01-01-01 安全基线项说明 对于管理员帐号，要求更改缺省帐户名称；禁用guest（来宾）帐号。检测操作步骤进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：缺省帐户Administrator属性Guest帐号-属性基线符合性判定依据缺省帐户Administrator名称已更改。Guest帐号已停用。备注1.1.2 按照用户分配帐户*安全基线项目名称操作系统用户帐户划分安全基线要求项安全基线编号SBL-Windows-01-01-02 安全基线项说明 按照用户分配帐户。根据系统的要求，设定不同的帐户和帐户组，管理员用户，数据库用户，审计用户，来宾用户等。检测操作步骤进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：根据系统的要求，设定不同的帐户和帐户组，管理员用户，数据库用户，审计用户，来宾用户。基线符合性判定依据结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的帐户和帐户组，管理员用户，数据库用户，审计用户，来宾用户。备注手工判断，需要根据实际情况判断帐户用途1.1.3 删除与设备无关帐户*安全基线项目名称操作系统与设备无关帐户安全基线要求项安全基线编号SBL-Windows-01-01-03 安全基线项说明 删除或锁定与设备运行、维护等与工作无关的帐户检测操作步骤进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：删除或锁定与设备运行、维护等与工作无关的帐户。基线符合性判定依据结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的帐户。进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：查看是否删除或锁定与设备运行、维护等与工作无关的帐户。备注手工判断，需要根据实际情况判断帐户是否为无关帐户1.2 口令1.2.1 密码复杂度安全基线项目名称操作系统密码复杂度安全基线要求项安全基线编号SBL-Windows-01-02-01安全基线项说明 最短密码长度 8个字符，启用本机组策略中密码必须符合复杂性要求的策略。即密码至少包含以下四种类别的字符中的3种：l 英语大写字母 A, B, C, Z l 英语小写字母 a, b, c, z l 西方阿拉伯数字 0, 1, 2, 9 非字母数字字符，如标点符号，, #, $, %, &, *等检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：查看是否“密码必须符合复杂性要求”选择“已启动”基线符合性判定依据“密码最小长度” 大于等于 8“密码必须符合复杂性要求”选择“已启动”备注1.2.2 密码最长留存期安全基线项目名称操作系统密码历史安全基线要求项安全基线编号SBL-Windows-01-02-02安全基线项说明 对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天。检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：查看“密码最长存留期”基线符合性判定依据“密码最长存留期”设置不大于“90天”备注1.2.3 帐户锁定策略安全基线项目名称操作系统帐户锁定策略安全基线要求项安全基线编号SBL-Windows-01-02-03安全基线项说明 对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次，锁定该用户使用的帐户。检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“帐户策略-帐户锁定策略”：查看“帐户锁定阀值”设置基线符合性判定依据“帐户锁定阀值”设置为小于或等于 6次备注1.3 授权1.3.1 远程关机安全基线项目名称操作系统远程关机策略安全基线要求项安全基线编号SBL-Windows-01-03-01安全基线项说明 在本地安全设置中从远端系统强制关机只指派给Administrators组。检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”:查看“从远端系统强制关机”设置基线符合性判定依据“从远端系统强制关机”设置为“只指派给Administrtors组”备注1.3.2 本地关机安全基线项目名称操作系统本地关机策略安全基线要求项安全基线编号SBL-Windows-01-03-02安全基线项说明 在本地安全设置中关闭系统仅指派给Administrators组。检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”:查看“关闭系统”设置基线符合性判定依据“关闭系统”设置为“只指派给Administrators组”备注1.3.3 用户权利指派*安全基线项目名称操作系统用户权力指派策略安全基线要求项安全基线编号SBL-Windows-01-03-03安全基线项说明 在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”：查看是否“取得文件或其它对象的所有权”设置基线符合性判定依据“取得文件或其它对象的所有权”设置为“只指派给Administrators组”备注手工检查1.3.4 授权帐户登陆*安全基线项目名称操作系统用户授权登陆安全基线要求项安全基线编号SBL-Windows-01-03-04安全基线项说明 在本地安全设置中配置指定授权用户允许本地登陆此计算机。检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”“从本地登陆此计算机”设置为“指定授权用户”基线符合性判定依据“从本地登陆此计算机”设置为“指定授权用户”，进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”查看是否“从本地登陆此计算机”设置为“指定授权用户”备注手工判断是否授权1.3.5 授权帐户从网络访问*安全基线项目名称操作系统用户授权从网络访问安全基线要求项安全基线编号SBL-Windows-01-03-05安全基线项说明 在组策略中只允许授权帐号从网络访问(包括网络共享等，但不包括终端服务)此计算机。检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”“从网络访问此计算机”设置为“指定授权用户”基线符合性判定依据“从网络访问此计算机”设置为“指定授权用户”，进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”查看是否“从网络访问此计算机”设置为“指定授权用户”备注手工判断是否授权2 日志配置操作2.1 日志配置2.1.1 审核登录安全基线项目名称操作系统审核登录策略安全基线要求项安全基线编号SBL-Windows-02-01-01安全基线项说明 设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的帐户，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。检测操作步骤开始-运行- 执行“ 控制面板-管理工具-本地安全策略-审核策略”审核登录事件。基线符合性判定依据审核登录事件，设置为成功和失败都审核。备注2.1.2 审核策略更改安全基线项目名称操作系统审核策略更改安全基线要求项安全基线编号SBL-Windows-02-01-02安全基线项说明 启用组策略中对Windows系统的审核策略更改，成功和失败都要审核。检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中查看“审核策略更改”设置。基线符合性判定依据“审核策略更改”设置为“成功” 和“失败”都要审核。备注2.1.3 审核对象访问安全基线项目名称操作系统审核对象访问安全基线要求项安全基线编号SBL-Windows-02-01-03安全基线项说明 启用组策略中对Windows系统的审核对象访问，成功和失败都要审核。检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中：查看“审核对象访问”设置。基线符合性判定依据“审核对象访问”设置为“成功”和“失败”都要审核。备注等保三级要求设置为“成功”和“失败”都要审核，但使用此设置日志文件很大，可考虑仅设置为 “失败”要审核2.1.4 审核事件目录服务器访问安全基线项目名称操作系统审核事件目录服务器访问策略安全基线要求项安全基线编号SBL-Windows-02-01-04安全基线项说明 启用组策略中对Windows系统的审核目录服务访问，失败。检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中：查看“审核目录服务器访问”设置。基线符合性判定依据“审核目录服务器访问”设置为“成功” 和“失败”都要审核。备注等保三级要求设置为“成功”和“失败”都要审核，但使用此设置日志文件很大，可考虑仅设置为 “失败”要审核2.1.5 审核特权使用安全基线项目名称操作系统审核特权使用策略安全基线要求项安全基线编号SBL-Windows-02-01-05安全基线项说明 启用组策略中对Windows系统的审核特权使用，成功和失败都要审核。检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中：查看“审核特权使用”设置。基线符合性判定依据“审核特权使用”设置为“成功” 和“失败”都要审核。备注等保三级要求设置为“成功”和“失败”都要审核，但使用此设置日志文件很大，可考虑仅设置为 “失败”要审核2.1.6 审核系统事件安全基线项目名称操作系统审核系统事件策略安全基线要求项安全基线编号SBL-Windows-02-01-06安全基线项说明 启用组策略中对Windows系统的审核系统事件，成功和失败都要审核。检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中：查看“审核系统事件”设置。基线符合性判定依据“审核系统事件”设置为“成功” 和“失败”都要审核。备注2.1.7 审核帐户管理安全基线项目名称操作系统审核帐户管理策略安全基线要求项安全基线编号SBL-Windows-02-01-07安全基线项说明 启用组策略中对Windows系统的审核帐户管理，成功和失败都要审核。检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中：查看“审核帐户管理” 设置。基线符合性判定依据“审核帐户管理”设置为“成功” 和“失败”都要审核。备注2.1.8 审核过程追踪安全基线项目名称操作系统审核过程追踪策略安全基线要求项安全基线编号SBL-Windows-02-01-08安全基线项说明 启用组策略中对Windows系统的审核过程追踪失败。检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中：查看“审核过程追踪”设置。基线符合性判定依据“审核过程追踪”设置为 “成功”和“失败”都要审核。备注2.1.9 日志文件大小安全基线项目名称操作系统日志容量安全基线要求项安全基线编号SBL-Windows-02-01-09安全基线项说明 设置应用日志文件大小至少为102400KB，设置当达到最大的日志尺寸时，按需要改写事件。检测操作步骤进入“控制面板-管理工具-事件查看器”，在“事件查看器（本地）”中：查看“应用日志” “系统日志” “安全日志”属性中的日志大小 ,以及设置当达到最大的日志尺寸时的相应策略。基线符合性判定依据“应用日志” “系统日志” “安全日志”属性中的日志大小设置不小于“102400KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”备注3 IP协议安全配置3.1 IP协议3.1.1 启用SYN攻击保护安全基线项目名称操作系统SYN攻击保护安全基线要求项安全基线编号SBL-Windows-03-01-01安全基线项说明 启用SYN攻击保护；指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阀值为5；指定处于 SYN_RCVD 状态的 TCP 连接数的阈值为500；指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值为400。检测操作步骤在“开始-运行-键入regedit”查看注册表项HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSynAttackProtect; HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpMaxPortsExhausted; HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpMaxHalfOpen;HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpMaxHalfOpenRetried。基线符合性判定依据HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSynAttackProtect; 推荐值：2。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpMaxPortsExhausted; 推荐值：5。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpMaxHalfOpen; 推荐值数据：500。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpMaxHalfOpenRetried。推荐值数据：400。备注4 设备其他配置操作4.1 共享文件夹及访问权限4.1.1 关闭默认共享安全基线项目名称操作系统默认共享安全基线要求项安全基线编号SBL-Windows-04-01-01安全基线项说明 非域环境中，关闭Windows硬盘默认共享，例如C$，D$。检测操作步骤进入“开始运行Regedit”，进入注册表编辑器，查看 HKLMSystemCurrentControlSetServicesLanmanServerParametersAutoShareServer；基线符合性判定依据HKLMSystemCurrentControlSetServicesLanmanServerParametersAutoShareServer 键，值为 0。备注4.1.2 共享文件夹授权访问*安全基线项目名称操作系统共享文件夹安全基线要求项安全基线编号SBL-Windows-04-01-02安全基线项说明 查看每个共享文件夹的共享权限，只允许授权的帐户拥有权限共享此文件夹。检测操作步骤进入“控制面板-管理工具-计算机管理”，进入“系统工具共享文件夹”：查看每个共享文件夹的共享权限，只将权限授权于指定帐户。基线符合性判定依据查看每个共享文件夹的共享权限仅限于业务需要，不设置成为“everyone”。进入“控制面板-管理工具-计算机管理”，进入“系统工具共享文件夹”：查看每个共享文件夹的共享权限。备注手工判断4.2 防病毒管理4.2.1 数据执行保护安全基线项目名称操作系统数据执行保护安全基线要求项安全基线编号SBL-Windows-04-02-01安全基线项说明 对于Windows XP SP2及Windows 2003对Windows操作系统程序和服务启用系统自带DEP功能(数据执行保护)，防止在受保护内存位置运行有害代码。检测操作步骤进入“控制面板系统”，在“高级”选项卡的 “性能”下的“设置”。进入 “数据执行保护”选项卡。查看“ 仅为基本 Windows 操作系统程序和服务启用DEP”。基线符合性判定依据“数据执行保护”选项卡已设置为“ 仅为基本 Windows 操作系统程序和服务启用DEP”。备注4.3 Windows服务4.3.1 SNMP服务管理安全基线项目名称操作系统SNMP服务管理安全基线要求项安全基线编号SBL-Windows-04-03-01安全基线项说明 如需启用SNMP服务，则修改默认的SNMP Community String设置。检测操作步骤打开“控制面板”，打开“管理工具”中的“服务”，找到“SNMP Service”，单击右键打开“属性”面板中的“安全”选项卡，在这个配置界面中，查看community strings，也就是微软所说的“团体名称”。基线符合性判定依据community strings已改，不是默认的“public”。备注4.3.2 系统必须服务列表管理*安全基线项目名称操作系统服务列表管理安全基线要求项安全基线编号SBL-Windows-04-03-02安全基线项说明 列出所需要服务的列表(包括所需的系统服务)，不在此列表的服务需关闭。检测操作步骤进入“控制面板-管理工具-计算机管理”，进入“服务和应用程序”：查看所有服务，不在此列表的服务需关闭。基线符合性判定依据系统管理员应出具系统所必要的服务列表。查看所有服务，不在此列表的服务需关闭。备注手工判断4.3.3 系统启动项列表管理*安全基线项目名称操作系统启动项列表管理安全基线要求项安全基线编号SBL-Windows-04-03-03安全基线项说明 列出系统启动时自动加载的进程和服务列表，不在此列表的需关闭。检测操作步骤“开始-运行-MSconfig”启动菜单中，取消不必要的启动项。基线符合性判定依据不需要的自动加载进程通过“开始-运行-MSconfig”启动菜单中取消。备注手工判断4.3.4 远程控制服务安全*安全基线项目名称操作系统远程控制服务管理安全基线要求项安全基线编号SBL-Windows-04-03-04安全基线项说明 如对互联网开放WindowsTerminial服务(Remote Desktop)，需修改默认服务端口。检测操作步骤运行 Regedt32 并转到此项: HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp 找到“PortNumber”子项，会看到默认值 00000D3D，它是 3389 的十六进制表示形式。使用十六进制数值修改此端口号，并保存新值。基线符合性判定依据找到“PortNumber”子项，设定值非00000D3D，即十进制3389备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。4.3.5 IIS安全补丁管理*安全基线项目名称操作系统IIS服务管理安全基线要求项安全基线编号SBL-Windows-04-03-05安全基线项说明 如需启用IIS服务，则将IIS升级到最新补丁。检测操作步骤下载IIS补丁包IIS4.0/Downloads/Release.asp?ReleaseID=23667IIS5.0/Downloads/Release.asp?ReleaseID=23665并安装，或升级到IIS6.0基线符合性判定依据已安装IIS 补丁包或升级到IIS6.0。备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。4.3.6 活动目录时间同步管理*安全基线项目名称操作系统IIS服务管理安全基线要求项安全基线编号SBL-Windows-04-03-06安全基线项说明 通过微软Active Directory管理的终端, 或者是独立终端, 要求配置时间同步源.终端定期执行时间同步操作(必要时)检测操作步骤a. 在具有PDC Emulator角色的DC上运行如下命令, 以和外部时间源同步w32tm /config /syncfromflags:manual /manualpeerlist:b. 在PC终端上运行如下命令行同步时间：w32tm /config /update基线符合性判定依据检查终端主机的时间是否与标准时间同步。备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。4.4 启动项4.4.1 关闭Windows自动播放功能安全基线项目名称操作系统Windows自动播放安全基线要求项安全基线编号SBL-Windows-04-04-01安全基线项说明 关闭Windows自动播放功能。检测操作步骤打开“开始运行”，在对话框中输入“gpedit.msc”命令，在出现“组策略”窗口中依次选择“在计算机配置管理模板系统”，双击“关闭自动播放”查看。基线符合性判定依据在“设置”选项卡中选“已启用”选项。备注4.5 屏幕保护4.5.1 设置屏幕保护密码和开启时间*安全基线项目名称操作系统屏幕保护安全基线要求项安全基线编号SBL-Windows-04-05-01安全基线项说明 设置带密码的屏幕保护，并将时间设定为10分钟。检测操作步骤进入“控制面板显示屏幕保护程序”：启用屏幕保护程序，设置等待时间为“10分钟”，启用“在恢复时使用密码保护”基线符合性判定依据启用屏幕保护程序，设置等待时间为“10分钟”，启用“在恢复时使用密码保护”。进入“控制面板显示屏幕保护程序”：查看是否启用屏幕保护