Windows系统安全配置基线.doc

Windows 系统安全配置基线 精品 感谢下载载 目 录 第 1 章概述 1 1 1目的 1 1 2适用范围 1 1 3适用版本 1 第 2 章安装前准备工作 1 2 1需准备的光盘 1 第 3 章操作系统的基本安装 1 3 1基本安装 1 第 4 章账号管理 认证授权 2 4 1账号 2 4 1 1 管理缺省账户 2 4 1 2 删除无用账户 2 4 1 3 用户权限分离 3 4 2口令 3 4 2 1 密码复杂度 3 4 2 2 密码最长生存期 4 4 2 3 密码历史 4 4 2 4 帐户锁定策略 5 精品 感谢下载载 4 3授权 5 4 3 1 远程关机 5 4 3 2 本地关机 6 4 3 3 隐藏上次登录名 6 4 3 4 关机清理内存页面 7 4 3 5 用户权利指派 7 第 5 章日志配置操作 8 5 1日志配置 8 5 1 1 审核登录 8 5 1 2 审核策略更改 8 5 1 3 审核对象访问 8 5 1 4 审核事件目录服务器访问 9 5 1 5 审核特权使用 9 5 1 6 审核系统事件 10 5 1 7 审核账户管理 10 5 1 8 审核过程追踪 10 5 1 9 日志文件大小 11 第 6 章其他配置操作 11 6 1共享文件夹及访问权限 11 6 1 1 关闭默认共享 11 6 2防病毒管理 12 精品 感谢下载载 6 2 1 防病毒软件保护 12 6 3WINDOWS服务 12 6 3 1 系统服务管理 12 6 4访问控制 13 6 4 1 限制 Radmin 管理地址 13 6 5启动项 13 6 4 1 关闭 Windows 自动播放功能 13 6 4 3 配置屏保功能 14 6 4 4 补丁更新 14 持续改进 15 精品 感谢下载载 第 1 章 概述 1 1 目的 本文规定了 WINDOWS 操作系统主机应当遵循的操作系统安全性设置标准 本文档旨在指导 系统管理人员或安全检查人员进行 WINDOWS 操作系统的安全合规性检查和配置 1 2 适用范围 本配置标准的使用者包括 服务器系统管理员 安全管理员和相关使用人员 本配置标准适用的范围包括 WINDOWS 服务器 1 3 适用版本 适用于 Windows XP Windows Server 服务器 第 2 章 安装前准备工作 2 1 需准备的光盘 1 正版的 Windows 服务器操作系统光盘 2 服务器用杀毒软件光盘 精品 感谢下载载 第 3 章 操作系统的基本安装 3 1 基本安装 1 使用 NTFS 文件系统来最小化安装操作系统 2 管理员账号须设置较复杂的口令 由数字 大小写字母和特殊字符组成 长度在 12 位以上 其中管理员口令应一机一密码 不同机器之间不应相同 3 断开网络安装完操作系统后 在业务网专用区域内连接网络进行系统升级 并打开 Windows 自动更新服务 4 升级完成后 安装前述光盘中的杀毒软件并进行更新 第 4 章 账号管理 认证授权 4 1 账号 4 1 1 管理缺省账户 安全基线项 目名称 操作系统缺省账户安全基线要求项 安全基线项 说明 对于管理员帐号 要求更改缺省帐户名称 禁用 guest 来宾 帐号 检测操作步 骤 进入 控制面板 管理工具 计算机管理 在 系统工具 本地用户和组 精品 感谢下载载 缺省帐户 Administrator 属性 Guest 帐号 属性 基线符合性 判定依据 缺省账户 Administrator 名称已更改 Guest 帐号已停用 备注 4 1 2 删除无用账户 安全基线项 目名称 操作系统缺省账户安全基线要求项 安全基线项 说明 删除或锁定与设备运行 维护等与工作无关的账号 检测操作步 骤 1 参考配置操作 进入 控制面板 管理工具 计算机管理 在 系统工具 本地用户和 组 删除或锁定与设备运行 维护等与工作无关的账号 基线符合性 判定依据 1 判定条件 结合要求和实际业务情况判断符合要求 删除或锁定与设备运行 维护等与 工作无关的账号 2 检测操作 进入 控制面板 管理工具 计算机管理 在 系统工具 本地用户和 组 查看是否删除或锁定与设备运行 维护等与工作无关的账号 精品 感谢下载载 备注 4 1 3 用户权限分离 安全基线项 目名称 操作系统缺省账户安全基线要求项 安全基线项 说明 按照用户分配账号 根据系统的要求 设定不同的账户和账户组 管理员用 户 操作员用户 operator 审计用户 auditor 等 检测操作步 骤 1 参考配置操作 进入 控制面板 管理工具 计算机管理 在 系统工具 本地用户和 组 根据系统的要求 设定不同的账户和账户组 管理员用户 操作员用户和审 计用户纳入 user 组 基线符合性 判定依据 1 判定条件 结合要求和实际业务情况判断符合要求 根据系统的要求 设定不同的账户 和账户组 管理员用户 操作员用户 审计用户 2 检测操作 进入 控制面板 管理工具 计算机管理 在 系统工具 本地用户和 组 查看根据系统的要求 设定不同的账户和账户组 管理员用户 数据库用户 审计用户 备注 精品 感谢下载载 4 2 口令 4 2 1 密码复杂度 安全基线项 目名称 操作系统密码复杂度安全基线要求项 安全基线项 说明 最短密码长度 12 个字符 启用本机组策略中密码必须符合复杂性要求的策 略 即密码需要包含以下四种类别的字符 英语大写字母 A B C Z 英语小写字母 a b c z 西方阿拉伯数字 0 1 2 9 非字母数字字符 如标点符号 等 检测操作步 骤 进入 控制面板 管理工具 本地安全策略 在 帐户策略 密码策略 查看是否 密码必须符合复杂性要求 选择 已启动 基线符合性 判定依据 密码必须符合复杂性要求 选择 已启动 备注 4 2 2 密码最长生存期 安全基线项 目名称 操作系统密码最长生存期要求项 安全基线项对于采用静态口令认证技术的系统 账户口令的生存期不长于 90 天 精品 感谢下载载 说明 检测操作步 骤 进入 控制面板 管理工具 本地安全策略 在 帐户策略 密码策略 查看 密码最长存留期 基线符合性 判定依据 密码最长存留期 设置不大于 90 天 备注 4 2 3 密码历史 安全基线项 目名称 操作系统密码历史安全基线要求项 安全基线项 说明 对于采用静态口令认证技术的设备 应配置设备 使用户不能重复使用最近 5 次 含 5 次 内已使用的口令 检测操作步 骤 1 参考配置操作 进入 控制面板 管理工具 本地安全策略 在 帐户策略 密码策略 强制密码历史 设置为 记住 5 个密码 基线符合性 判定依据 1 判定条件 强制密码历史 设置为 记住 5 个密码 2 检测操作 进入 控制面板 管理工具 本地安全策略 在 帐户策略 密码策略 精品 感谢下载载 查看是否 强制密码历史 设置为 记住 5 个密码 备注 4 2 4 帐户锁定策略 安全基线项 目名称 操作系统账户锁定策略安全基线要求项 安全基线项 说明 对于采用静态口令认证技术的设备 应配置当用户连续认证失败次数超过 4 次 不含 5 锁定该用户使用的账号 检测操作步 骤 进入 控制面板 管理工具 本地安全策略 在 帐户策略 帐户锁定策 略 查看 账户锁定阀值 设置 基线符合性 判定依据 账户锁定阀值 设置为小于或等于 3 次 锁定时间 1 分钟 备注 4 3 授权 4 3 1 远程关机 安全基线项 目名称 操作系统远程关机策略安全基线要求项 安全基线项 说明 在本地安全设置中从远端系统强制关机只指派给 Administrators 组 检测操作步进入 控制面板 管理工具 本地安全策略 在 本地策略 用户权利指 精品 感谢下载载 骤派 查看 从远端系统强制关机 设置 基线符合性 判定依据 从远端系统强制关机 设置为 只指派给 Administrtors 组 备注 4 3 2 本地关机 安全基线项 目名称 操作系统本地关机策略安全基线要求项 安全基线项 说明 在本地安全设置中关闭系统仅指派给 Administrators 组 检测操作步 骤 进入 控制面板 管理工具 本地安全策略 在 本地策略 用户权利指 派 查看 关闭系统 设置 基线符合性 判定依据 关闭系统 设置为 只指派给 Administrators 组 备注 4 3 3 隐藏上次登录名 安全基线项 目名称 操作系统本地登录名隐藏策略安全基线要求项 安全基线项交互式登录 不显示上次登录的用户名 精品 感谢下载载 说明 检测操作步 骤 运行输入 gpedit msc 本地计算机策略 windows 设置 安全设置 本地策略 安全选项下 启用 交互式登录 不显示最后的用户名 基线符合性 判定依据 交互式登录 不显示最后的用户名 设置为 已启用 备注 4 3 4 关机清理内存页面 安全基线项 目名称 操作系统关机清理内存策略安全基线要求项 安全基线项 说明 关机时清理虚拟内存页面文件 检测操作步 骤 运行输入 gpedit msc 本地计算机策略 windows 设置 安全设置 本地策略 安全选项下 启用 关机 清理虚拟内存页面文件 基线符合性 判定依据 关机 清理虚拟内存页面文件 设置为 已启用 备注 4 3 5 用户权利指派 安全基线项操作系统用户权力指派策略安全基线要求项 精品 感谢下载载 目名称 安全基线项 说明 在本地安全设置中取得文件或其它对象的所有权仅指派给 Administrators 检测操作步 骤 进入 控制面板 管理工具 本地安全策略 在 本地策略 用户权利指 派 查看是否 取得文件或其它对象的所有权 设置 基线符合性 判定依据 取得文件或其它对象的所有权 设置为 只指派给 Administrators 组 备注 第 5 章 日志配置操作 5 1 日志配置 5 1 1 审核登录 安全基线项 目名称 操作系统审核登录策略安全基线要求项 安全基线项 说明 设备应配置日志功能 对用户登录进行记录 记录内容包括用户登录使用的 账号 登录是否成功 登录时间 以及远程登录时 用户使用的 IP 地址 检测操作步 骤 开始 运行 执行 控制面板 管理工具 本地安全策略 审核策略 审核登录事件 基线符合性审核登录事件 设置为成功和失败都审核 精品 感谢下载载 判定依据 备注 5 1 2 审核策略更改 安全基线项 目名称 操作系统审核策略更改安全基线要求项 安全基线项 说明 启用组策略中对 Windows 系统的审核策略更改 成功和失败都要审核 检测操作步 骤 进入 控制面板 管理工具 本地安全策略 在 本地策略 审核策略 中 查看 审核策略更改 设置 基线符合性 判定依据 审核策略更改 设置为 成功 和 失败 都要审核 备注 5 1 3 审核对象访问 安全基线项 目名称 操作系统审核对象访问安全基线要求项 安全基线项 说明 启用组策略中对 Windows 系统的审核对象访问 成功和失败都要审核 检测操作步 骤 进入 控制面板 管理工具 本地安全策略 在 本地策略 审核策略 中 精品 感谢下载载 查看 审核对象访问 设置 基线符合性 判定依据 审核对象访问 设置为 成功 和 失败 都要审核 备注 5 1 4 审核事件目录服务器访问 安全基线项 目名称 操作系统审核事件目录服务器访问策略安全基线要求项 安全基线项 说明 启用组策略中对 Windows 系统的审核目录服务访问 失败 检测操作步 骤 进入 控制面板 管理工具 本地安全策略 在 本地策略 审核策略 中 查看 审核目录服务器访问 设置 基线符合性 判定依据 审核目录服务器访问 设置为 成功 和 失败 都要审核 备注 5 1 5 审核特权使用 安全基线项 目名称 操作系统审核特权使用策略安全基线要求项 安全基线项 说明 启用组策略中对 Windows 系统的审核特权使用 成功和失败都要审核 精品 感谢下载载 检测操作步 骤 进入 控制面板 管理工具 本地安全策略 在 本地策略 审核策略 中 查看 审核特权使用 设置 基线符合性 判定依据 审核特权使用 设置为 成功 和 失败 都要审核 备注 5 1 6 审核系统事件 安全基线项 目名称 操作系统审核系统事件策略安全基线要求项 安全基线项 说明 启用组策略中对 Windows 系统的审核系统事件 成功和失败都要审核 检测操作步 骤 进入 控制面板 管理工具 本地安全策略 在 本地策略 审核策略 中 查看 审核系统事件 设置 基线符合性 判定依据 审核系统事件 设置为 成功 和 失败 都要审核 备注 5 1 7 审核账户管理 安全基线项 目名称 操作系统审核账户管理策略安全基线要求项 精品 感谢下载载 安全基线项 说明 启用组策略中对 Windows 系统的审核帐户管理 成功和失败都要审核 检测操作步 骤 进入 控制面板 管理工具 本地安全策略 在 本地策略 审核策略 中 查看 审核账户管理 设置 基线符合性 判定依据 审核账户管理 设置为 成功 和 失败 都要审核 备注 5 1 8 审核过程追踪 安全基线项 目名称 操作系统审核过程追踪策略安全基线要求项 安全基线项 说明 启用组策略中对 Windows 系统的审核过程追踪失败 检测操作步 骤 进入 控制面板 管理工具 本地安全策略 在 本地策略 审核策略 中 查看 审核过程追踪 设置 基线符合性 判定依据 审核过程追踪 设置为 失败 需要审核 备注 精品 感谢下载载 5 1 9 日志文件大小 安全基线项 目名称 操作系统日志容量安全基线要求项 安全基线项 说明 设置应用日志文件大小至少为 8M 设置当达到最大的日志尺寸时 按需要 改写事件 检测操作步 骤 进入 控制面板 管理工具 事件查看器 在 事件查看器 本地 中 查看 应用日志 系统日志 安全日志 属性中的日志大小 以及设 置当达到最大的日志尺寸时的相应策略 基线符合性 判定依据 应用日志 系统日志 安全日志 属性中的日志大小设置不小于 8M 设置当达到最大的日志尺寸时 按需要改写事件 备注 第 6 章 其他配置操作 6 1 共享文件夹及访问权限 6 1 1 关闭默认共享 安全基线项 目名称 操作系统默认共享安全基线要求项 安全基线项非域环境中 关闭 Windows 硬盘默认共享 例如 C D 精品 感谢下载载 说明 检测操作步 骤 进入 开始 运行 Regedit 进入注册表编辑器 查看 HKLM System CurrentControlSet Services LanmanServer Parameter s AutoShareServer 基线符合性 判定依据 HKLM System CurrentControlSet Services LanmanServer Parameter s AutoShareServer 键 值为 0 备注 6 2 防病毒管理 6 2 1 防病毒软件保护 安全基线项 目名称 操作系统防病毒保护安全基线要求项 安全基线项 说明 对 Windows 2003 服务器主机应当安装部署服务器专版杀毒软件 并打开 自动升级病毒库选项 检测操作步 骤 查看是否存在符合条件的杀毒软件 点击进入杀毒软件的操作界面 检查是否开启自动更新 基线符合性 判定依据 如不存在杀毒软件或者没打开自动更新即为不合规 备注 精品 感谢下载载 6 3 Windows 服务 6 3 1 系统服务管理 安全基线项 目名称 操作系统系统服务管理安全基线要求项 安全基线项 说明 检查系统开机启动的服务 并根据实际情况开启 关闭服务 如 Messenger Task Scheduler Server Workstation Print Spooler Alerter Computer Browser DHCP Client Remote Registry Service SNMP TCP IP NetBIOS Helper IPSEC Policy Agent 等 检测操作步 骤 打开 控制面板 打开 管理工具 中的 服务 基线符合性 判定依据 关闭不需要的服务 并设置非开机自动启动项 询问管理员 在系统确实需 要的情况下可开启相应的服务 如 SNMP 等 备注系统管理员应出具系统所必要的服务列表 查看所有服务 不在此列表的服务需关闭 6 4 访问控制 6 4 1 限制 Radmin 管理地址 安全基线项 目名称 操作系统数据访问控制安全基线要求项 安全基线项通过限制 Radmin 管理地址 严格控制访问者来源 精品 感谢下载载 说明 检测操作步 骤 1 参考配置操作 开始菜单 Radmin operations for Remote Administrator server 选择 Operations 选择 Add 添加 168 8 44 0 255 255 255 0 168 8 43 0 255 255 255 0 基线符合性 判定依据 1 判定条件 在非管理网段尝试进行 radmin 连接 备注中心机房以外的服务器管理暂时不做源地址限制 6 5 启动项 6 4 1 关闭 Windows 自动播放功能 安全基线项 目名称 操作系统 Windows 自动播放安全基线要求项 安全基线项 说明 关闭 Windows 自动播放功能 检测操作步 骤 打开 开始 运行 在对话框中输入 gpedit msc 命令 在出现 组策略 窗 口中依次选择 在计算机配置 管理模板 系统 双击 关闭自动播放 查看 基线符合性在 设置 选项卡中选 已启用 选项 精品 感谢下载载 判定依据 备注 6 4 3 配置屏保功能