终端安全配置指南v14.doc

终端安全配置指南一、基线配置下表为基线配置的必选项，根据配置方法修改配置项配置项描述配置方法安全要求-设备-WINDOWS-配置-1按照用户分配账号。根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户，审计用户，来宾用户等。进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户，审计用户，来宾用户。安全要求-设备-WINDOWS-配置-37对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。进入“控制面板-管理工具-本地安全策略”，在“帐户策略-帐户锁定策略”：“账户锁定阀值”设置为 6次安全要求-设备-WINDOWS-配置-4最短密码长度 6个字符，启用本机组策略中密码必须符合复杂性要求的策略。进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：“密码必须符合复杂性要求”选择“已启动”安全要求-设备-WINDOWS-配置-35对于采用静态口令认证技术的设备，账户口令的生存期不长于90天。进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：“密码最长存留期”设置为“90天”安全要求-设备-WINDOWS-配置-36对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：“强制密码历史”设置为“记住5个密码”安全要求-设备-WINDOWS-配置-5在本地安全设置中从远端系统强制关机只指派给Administrators组。进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”:“从远端系统强制关机”设置为“只指派给Administrators组”安全要求-设备-WINDOWS-配置-6在本地安全设置中关闭系统仅指派给Administrators组。进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”:“关闭系统”设置为“只指派给Administrators组”安全要求-设备-WINDOWS-配置-7在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”：“取得文件或其它对象的所有权”设置为“只指派给Administrators组”安全要求-设备-WINDOWS-配置-8在本地安全设置中配置指定授权用户允许本地登陆此计算机。进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”“从本地登陆此计算机”设置为“指定授权用户”安全要求-设备-WINDOWS-配置-9在组策略中只允许授权帐号从网络访问(包括网络共享等，但不包括终端服务)此计算机。进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”“从网络访问此计算机”设置为“指定授权用户”安全要求-设备-WINDOWS-配置-38设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。开始-运行- 执行“ 控制面板-管理工具-本地安全策略-审核策略”审核登录事件，双击，设置为成功和失败都审核。安全要求-设备-WINDOWS-配置-10启用组策略中对Windows系统的审核策略更改，成功和失败都要审核。进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中“审核策略更改”设置为“成功” 和“失败”都要审核安全要求-设备-WINDOWS-配置-11启用组策略中对Windows系统的审核对象访问，成功和失败都要审核。进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中： “审核对象访问”设置为“成功”和“失败”都要审核安全要求-设备-WINDOWS-配置-12启用组策略中对Windows系统的审核目录服务访问，失败。进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中：“审核目录服务器访问”设置为“成功” 和“失败”都要审核安全要求-设备-WINDOWS-配置-13启用组策略中对Windows系统的审核特权使用，成功和失败都要审核。进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中：“审核特权使用”设置为“成功” 和“失败”都要审核安全要求-设备-WINDOWS-配置-14启用组策略中对Windows系统的审核系统事件，成功和失败都要审核。进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中：“审核系统事件”设置为“成功” 和“失败”都要审核安全要求-设备-WINDOWS-配置-15启用组策略中对Windows系统的审核帐户管理，成功和失败都要审核。进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中：“审核账户管理”设置为“成功” 和“失败”都要审核安全要求-设备-WINDOWS-配置-16启用组策略中对Windows系统的审核过程追踪，失败。进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中：“审核过程追踪”设置为 “失败”需要审核安全要求-设备-WINDOWS-配置-17设置应用日志文件大小至少为51200KB，设置当达到最大的日志尺寸时，按需要改写事件。进入“控制面板-管理工具-事件查看器”，在“事件查看器（本地）”中：“应用日志”属性中的日志大小设置不小于“51200KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”安全要求-设备-WINDOWS-配置-18设置系统日志文件大小至少为51200KB，设置当达到最大的日志尺寸时，按需要改写事件。进入“控制面板-管理工具-事件查看器”，在“事件查看器（本地）”中：“系统日志”属性中的日志大小设置不小于“51200KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”安全要求-设备-WINDOWS-配置-19设置安全日志文件大小至少为51200KB，设置当达到最大的日志尺寸时，按需要改写事件。进入“控制面板-管理工具-事件查看器”，在“事件查看器（本地）”中：“安全日志”属性中的日志大小设置不小于“51200KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”安全要求-设备-WINDOWS-配置-23设置带密码的屏幕保护，并将时间设定为5分钟。进入“控制面板显示屏幕保护程序”：启用屏幕保护程序，设置等待时间为“5分钟”，启用“在恢复时使用密码保护”安全要求-设备-WINDOWS-配置-24对于远程登陆的帐号，设置不活动断连时间15分钟。进入“控制面板-管理工具-本地安全策略”，在“本地策略-安全选项”：“Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟安全要求-设备-WINDOWS-配置-26查看每个共享文件夹的共享权限，只允许授权的账户拥有权限共享此文件夹。进入“控制面板-管理工具-计算机管理”，进入“系统工具共享文件夹”：查看每个共享文件夹的共享权限，只将权限授权于指定账户。安全要求-设备-WINDOWS-配置-27应安装最新的Service Pack补丁集。对服务器系统应先进行兼容性测试。安装最新的Service Pack补丁集，目前Windows XP的Service Pack为SP3。Windows2000的Service Pack为SP4,Windows 2003的Servoce Pack为SP2联上补丁服务器就会自动更新，详见下文终端补丁更新安全要求-设备-WINDOWS-配置-29安装防病毒软件，并及时更新。安装防病毒软件，并及时更新。 详见下文防毒软件安装安全要求-设备-WINDOWS-配置-31根据需要列出所需要服务的列表(包括所需的系统服务)，不在此列表的服务需关闭。进入“控制面板-管理工具-计算机管理”，进入“服务和应用程序”：查看所有服务，不在此列表的服务需关闭。安全要求-设备-WINDOWS-配置-34列出系统启动时自动加载的进程和服务列表，不在此列表的需关闭。“开始-运行-MSconfig”启动菜单中，取消不必要的启动项。安全要求-设备-WINDOWS-配置-39关闭Windows自动播放功能点击开始运行输入gpedit.msc，打开组策略编辑器，浏览到计算机配置管理模板系统，在右边窗格中双击“关闭自动播放”，对话框中选择所有驱动器，确定即可。二、防毒软件安装（先到第三步安装天珣，再安装趋势防毒）通过终端IE浏览器登陆25/download下载趋势防毒软件，如图，根据相应的系统下载安装。安装完后右下角出现如下图标右键点击图标选择 组件版本 可以查看是否更新为最新看看发布日期，如果为最近几天便为最新版本。三、天珣安装通过终端IE浏览器登陆32:8833/download下载趋势防毒软件，如图，根据相应的系统下载安装。下载安装完毕后，需要确定软件联网。四、终端补丁更新从 开始运行 输入gpedit.msc打开组策略管理器，如图： 确定就打开了组策略窗口再从 计算机配置管理模板Windows组件Windows Update 展开设置条目，用红线框着的是需要设置的项目，具体设置后面详细说明。双击 配置自动更新 打开属性并按下图设置好。3 自动下载并通知