Windows安全配置基线.docx

Windows 系统安全配置基线1.账户管理安全基线项目名称操作系统缺省账户安全基线要求项安全基线项说明 对于管理员帐号，要求更改缺省帐户名称；禁用guest（来宾）帐号。检测操作步骤进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：缺省帐户Administrator属性Guest帐号-属性基线符合性判定依据缺省账户Administrator名称已更改。Guest帐号已停用。2.密码策略2.1 密码复杂度安全基线项目名称操作系统密码复杂度安全基线要求项安全基线项说明 最短密码长度 6个字符，启用本机组策略中密码必须符合复杂性要求的策略。即密码至少包含以下四种类别的字符中的三种：l 英语大写字母 A, B, C, Z l 英语小写字母 a, b, c, z l 西方阿拉伯数字 0, 1, 2, 9 非字母数字字符，如标点符号，, #, $, %, &, *等检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：密码必须符合复杂性要求，选择“已启动”查看密码长度最小值，设置为6查看密码最短使用期限，设置为0天查看密码最长使用期限，设置为90天查看强制密码历史，设置为5个用可还原的加密来存储密码，设置为以禁用2.2 账户锁定策略安全基线项目名称操作系统账户锁定策略安全基线要求项安全基线项说明 对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过5次（含5次），锁定该用户使用的账号。检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“帐户策略-帐户锁定策略”：账户锁定时间，设置为30分钟账户锁定阀值，设置为5次重置账户锁定计数器，设置为30分后3.授权3.1 远程关机安全基线项目名称操作系统远程关机策略安全基线要求项安全基线项说明 在本地安全设置中从远端系统强制关机只指派给Administrators组。检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”:查看“从远端系统强制关机”设置基线符合性判定依据“从远端系统强制关机”设置为“只指派给Administrtors组”3.2 本地关机安全基线项目名称操作系统本地关机策略安全基线要求项安全基线项说明 在本地安全设置中关闭系统仅指派给Administrators组。检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”:查看“关闭系统”设置基线符合性判定依据“关闭系统”设置为“只指派给Administrators组”3.3 用户权利指派安全基线项目名称操作系统用户权利指派策略安全基线要求项安全基线项说明 在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”：查看是否“取得文件或其它对象的所有权”设置基线符合性判定依据“取得文件或其它对象的所有权”设置为“只指派给Administrators组”4.日志4.1 日志设置安全基线项目名称操作系统审核策略安全基线要求项安全基线项说明 设备应配置日志功能，对审核策略更改、审核登录事件、审核对象访问、审核进程跟踪、审核目录服务访问、审核特权使用、审核系统事件、审核账户登录事件、审核账户管理检测操作步骤开始-运行- 执行“ 控制面板-管理工具-本地安全策略所有策略均设置为“成功，失败”。基线符合性判定依据所有策略，设置为成功和失败都审核。4.2 日志大小安全基线项目名称操作系统日志容量安全基线要求项安全基线项说明 设置应用日志文件大小至少为20480KB，设置当达到最大的日志尺寸时，按需要覆盖事件。检测操作步骤进入“控制面板-管理工具-事件查看器”，在“事件查看器（本地）”中：查看“应用日志” “系统日志” “安全日志”属性中的日志大小 ,以及设置当达到最大的日志尺寸时的相应策略。基线符合性判定依据“应用日志” “系统日志” “安全日志”属性中的日志大小设置不小于“20480KB” ,设置当达到最大的日志尺寸时，“按需要覆盖事件”4.3 日志传输安全基线项目名称操作系统日志传输到日志服务器安全基线项说明 检查日志是否传输到日志服务器检测操作步骤evtsys.exe -I 日志服务器IP基线符合性判定依据进入“控制面板-管理工具-服务”，查看Eventlog to Syslog服务是否启动5.其他安全设置5.1.安全选项安全基线项目名称不显示最后的用户名安全基线项说明 登录系统的时候不显示上次使用的用户名检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“本地策略-安全选项”：查看“交互式登录: 不显示最后的用户名”基线符合性判定依据设置为已启用5.2.共享安全基线项目名称操作系统默认共享安全基线要求项安全基线项说明 关闭Windows硬盘默认共享，例如C$，D$。检测操作步骤进入“开始运行Regedit”，进入注册表编辑器，查看 HKLMSystemCurrentControlSetServicesLanmanServerParametersAutoShareServer；基线符合性判定依据HKLMSystemCurrentControlSetServicesLanmanServerParametersAutoShareServer 键，值为 0。5.3.杀毒软件安全基线项目名称操作系统数据执行保护安全基线要求项安全基线项说明 查看是否安装杀毒软件检测操作步骤进入控制面板-程序和功能.基线符合性判定依据进入操作系统看右下角是否有杀毒软件图标5.4 SNMP服务设置安全基线项目名称操作系统SNMP服务管理安全基线要求项安全基线项说明如需启用SNMP服务，则修改默认的SNMP Community String设置。检测操作步骤打开“控制面板”，打开“管理工具”中的“服务”，找到“SNMP Service”，单击右键打开“属性”面板中的“安全”选项卡，在这个配置界面中，查看community strings，也就是微软所说的“团体名称”。基线符合性判定依据community strings已改，不是默认的“public”。5.5.自动播放功能安全基线项目名称操作系统Windows自动播放安全基线要求项安全基线项说明 关闭Windows自动播放功能检测操作步骤打开“开始运行”，在对话框中输入“gpedit.msc”命令，在出现“组策略”窗口中依次选择“在计算机配置管理模板Windows组件-自动播放策略”，双击“关闭自动播放”查看。基线符合性判定依据在“设置”