WINDOWS操作系统安全规范手册

1、WINDOWS操作系统安全规范手册 部门： 版本： 密级： 作者： 步骤 清单 说明 账号管理、认证授权 账号管理： 1. 按照用户分配账号。根据系统的要求，设定不冋的账户和账户 组，管理员用户，数据库用户，审计用户，来宾用户等。 2. 删除或锁定与设备运行、维护等与工作无关的账号。 3. 对于管理员帐号，要求更改缺省帐户名称；禁用guest （来宾） 帐号。 4. 最短密码长度8个字符，启用本机组策略中密码必须符合复杂 性要求的策略。例：DFKJo*#rDFK 5. 在下一次更改密码时不存储LAN管理器哈希值（已启用） 6. 对于米用静态口令认证技术的设备，账户口令的生存期不长于 90天。

2、7. 对于米用静态口令认证技术的设备，应配置设备，使用户不能 重复使用最近5次（含5次）内已使用的口令。 8. 对于米用静态口令认证技术的设备，应配置当用户连续认证失 败次数超过6次（不含6次），锁定该用户使用的账号。 9. 对于远程登陆的帐号，设置不活动断连时间15分钟。 认证授权： 10. 在本地安全设置中从远端系统强制关机只指派给Admi ni strators 组。 11. 在本地安全设置中关闭系统仅指派给Admi ni strators 组。 12. 在本地安全设置中取得文件或其它对象的所有权仅指派给 Admi nistrators 。 13. 在本地安全设置中配置指定授权用户允许本

3、地登陆此计算机。 14. 在组策略中只允许授权帐号从网络访问（包括网络共享等，但不 包括终端服务）此计算机。 日志配置操作 1. 设备应配置日志功能，对用户登录进行记录，记录内容包括用 户登录使用的账号，登录是否成功，登录时间，以及远程登录 时，用户使用的IP地址。 2. 审核登录事件，双击，设置为成功和失败都审核。 3. 设置应用日志文件大小至少为8192KB，设置当达到最大的日志 尺寸时，按需要改写事件。 IP协议安全配置操作 1. 对没有自带防火墙的 Windows系统，启用 Windows系统的IP 安全机制（IPSec）或网络连接上的TCP/IP筛选，只开放业务所 需要的TCP ,

4、UDP端口和IP协议。 2. 启用 Windows XP和Windows 2003自带防火墙。根据业务需要 限定允许访问网络的应用程序，和允许远程登陆该设备的IP地 址范围。 3.启用SYN攻击保护；指定触发 SYN洪水攻击保护所必须超过 的TCP连接请求数阀值为 5;指定处于SYN_RCVD状态的 TCP连接数的阈值为500;指定处于至少已发送一次重传的 SYN RCVD 状态中的 TCP连接数的阈值为 400。 共享文件夹及访冋权 限 1. 非域环境中，关闭 Windows硬盘默认共享，例如 C$，D$。 2. 查看每个共享文件夹的共享权限，只允许授权的账户拥有权限 共享此文件夹。 补丁管

5、理 1. 应安装最新的Service Pack补丁集。对服务器系统应先进行兼 容性测试。 2. 应安装最新的Hotfix补丁。对服务器系统应先进行兼容性测试。 IIS设置管理 1. 禁止下载Access数据库、删除其他扩展名。 2. 卸载不安全的IIS组件。 3. 修改脚本错误出现的错误信息。 4. 多站点设置最低权限独立IIS用户运行。 5. 取消网站目录不必要写入权限目录。 6. 禁止不需要运行脚本权限目录。 应用软件配置 1. 禁止安装Radmin，任何用户均可获得 HASH直接登陆系统。 2. 禁止安装Serv-U，任何版本均存在本地提权安全漏洞，必要时 修改Serv-U运行权限，修改

6、 Serv-U默认密码 3. Win RAR版本应为当前最新版本。 4. SQL SERVER 安装版本不得低于 SQL 2000 SP4/SQL 2005 SP2。 3.禁止在SQL Server中远程通过sa帐号连接数据库服务器。 附送，配置操作步骤，有经验的可以跳过。 1.1账号口令 要求内容 按照用户分配账号。根据系统的要求，设定不冋的账户和账户组， 管理员用户，数据库用户，审计用户，来宾用户等。 操作指南 1、参考配置操作 进入“控制面板-管理工具-计算机管理”，在“系统工具 -本地 用户和组”： 根据系统的要求，设定不冋的账户和账户组，管理员用户，数据 库用户，审计用户，来宾用户。

7、 检测方法 1、判定条件 结合要求和实际业务情况判断符合要求，根据系统的要求，设定 不冋的账户和账户组，管理员用户，数据库用户，审计用户，来 宾用户。 2、检测操作 进入“控制面板-管理工具-计算机管理”，在“系统工具 -本地 用户和组”： 查看根据系统的要求，设定不冋的账户和账户组，管理员用户， 数据库用户，审计用户，来宾用户。 编号：安全要求-设备-WINDOWS-配置-2-可选 要求内容 删除或锁定与设备运行、维护等与工作无关的账号。 操作指南 1、参考配置操作 进入“控制面板-管理工具-计算机管理”，在“系统工具 -本地 用户和组”： 删除或锁定与设备运行、维护等与工作无关的账号。 检

8、测方法 1、判定条件 结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、 维护等与工作无关的账号。 2、检测操作 进入“控制面板-管理工具-计算机管理”，在“系统工具 -本地 用户和组”： 查看是否删除或锁定与设备运行、维护等与工作无关的账号。 要求内容 对于管理员帐号，要求更改缺省帐户名称；禁用guest （来宾）帐 号。 操作指南 1参考配置操作 进入“控制面板-管理工具-计算机管理”，在“系统工具-本地 用户和组”： Administrator 属性一 更改名称 Guest帐号-属性 已停用 检测方法 1判定条件 缺省账户Administrator名称已更改。 Guest帐号已停

9、用。 2、检测操作 进入“控制面板-管理工具-计算机管理”，在“系统工具 -本地 用户和组”： 缺省帐户一 属性一 更改名称 Guest帐号-属性 已停用 要求内容 最短密码长度6个字符，启用本机组策略中密码必须符合复杂性 要求的策略。即密码至少包含以下四种类别的字符中的三种： 英语大写字母 A, B, C,Z 央语小与字母 a, b, c,z 西方阿拉伯数字 0, 1, 2,9 非字母数字字符，如标点符号，,#, $, %, 指定处于 SYN_RCVD 状态的 TCP 连接数的阈值为500;指疋处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP连接数的阈值为 400。 操作指南 1

10、、参考配置操作 在开始-运行-键入regedit” 启用SYN攻击保护的命名值位于注册表项 HKEY_LOCAL_MACHINESYSTEMCurre ntCon trolSetServices 之下。值名称： SynAttackProtect。推存值：2。 以下部分中的所有项和值均位于注册表项 HKEY_LOCAL_MACHINESYSTEMCurre ntCon trolSetServices 之下。 指定必须在触发 SYN flood保护之前超过的 TCP连接请求阈值。 值名称：TcpMaxPortsExhausted。推存值：5。 启用 SynAttackProtect后，该值指定 S

11、YN_RCVD 状态中的 TCP 连接阈值，超过 SynAttackProtect时，触发 SYN flood保护。值 名称：TcpMaxHalfOpen。推存值数据：500。 启用Sy nAttackProtect后，指疋至少发送了一次重传的 SYN_RCVD 状态中的 TCP连接阈值。超过SynAttackProtect时， 触发 SYN flood 保护。值名称：TcpMaxHalfOpenRetried。推存值 数据：400。 检测方法 1、判定条件 各注册表键值均按要求设置。 2、检测操作 在开始-运行-键入regedit” 启用SYN攻击保护的命名值位于注册表项 HKEY_LOCA

12、L_MACHINESYSTEMCurre ntCon trolSetServices 之下。值名称： SynAttackProtect。推存值：2。 以下部分中的所有项和值均位于注册表项 HKEY_LOCAL_MACHINESYSTEMCurre ntCon trolSetServices 之下。 指定必须在触发 SYN flood保护之前超过的 TCP连接请求阈值。 值名称：TcpMaxPortsExhausted。推存值：5。 启用 SynAttackProtect后，该值指定 SYN RCVD 状态中的 TCP 连接阈值，超过 SynAttackProtect时，触发 SYN flood

13、保护。值 名称：TcpMaxHalfOpen。推存值数据：500。 启用Sy nAttackProtect后，指疋至少发送了一次重传的 SYN_RCVD状态中的TCP连接阈值。超过 SynAttackProtect时， 触发 SYN flood 保护。值名称：TcpMaxHalfOpenRetried。推存值 数据：400。 1.4设备其他配置操作 1.4.1共享文件夹及访问权限 要求内容 非域环境中，关闭 Windows硬盘默认共享，例如 C$, D$。 操作指南 1、参考配置操作 进入“开始 运行Regedit ”，进入注册表编辑器， 更改注册表键值：在 下，增加 REG_DWORD类型的

14、 AutoShareServer 键，值为 0。 检测方法 1、判定条件 增加了 REG_DWORD类型的 AutoShareServer 键，值为 0。 2、检测操作 进入“开始 运行Regedit ”，进入注册表编辑器，更改注册 表键值：在 下，增加 REG_DWORD类型的 AutoShareServer 键，值为 0。 要求内容 查看每个共享文件夹的共享权限，只允许授权的账户拥有权限共 享此文件夹。 操作指南 1、参考配置操作 进入“控制面板-管理工具-计算机管理”，进入“系统工具 共享文件夹”： 查看每个共享文件夹的共享权限，只将权限授权于指定账户。 检测方法 1、判定条件 查看每个

15、共享文件夹的共享权限仅限于业务需要，不设置成为 a? every one 。 2、检测操作 进入“控制面板-管理工具-计算机管理”，进入“系统工具 共享文件夹”： 查看每个共享文件夹的共享权限。 1.4.2补丁管理 要求内容 应安装最新的Service Pack补丁集。对服务器系统应先进行兼容性 测试。 操作指南 1、参考配置操作 安装最新的 Service Pack补丁集，目前 Windows XP的Service Pack 为 SP2。 Windows2000 的 Service Pack 为 SP4,Windows 2003 的 Servoce Pack 为 SP1 检测方法 1、判定条

16、件 显示XP系统已安装SP2, Win2000系统已安装SP4 2、检测操作 控制面板-添加或删除程序-显示更新打钩，查看是否 XP系统已安装SP2, Win2000系统已安装SP4 r+4-t* d t-4-t宀-片一、口宀严 厶厶 , lA L-r-t L rtr? Q 口-口/亠 宀-4、丄U /一 亠“.Lzf、4tT j、 要求内容 应安装最新的HotfiX 补。对 服务器系统应丿先进行兼容性测试。 操作指南 1、参考配置操作 安装最新的Hotfix补丁。对服务器系统应先进行兼容性测试。 检测方法 1、判定条件 已安装最新的Hotfix补丁，并经过兼容性测试。 2、检测操作 控制面板

17、-添加或删除程序-显示更新打钩，查看最近安装的 Hotfix补丁是否为微软最新发布。 1.4.3IIS 设置 要求内容 禁止下载Access数据库、删除其他扩展名 操作指南 1、参考配置操作 In ternet信息服务(IIS)管理器宀网站宀属性宀主目录宀配置宀添加 可执行文件：C:WINDOWStwain_32.dll 扩展名：.mdb 禁止其他文件 可执行文件：C:WINDOWStwain_32.dll 扩展名：.(改成你要禁止的文件名) 删除扩展名： cdx idc cerasa 检测方法 1、判定条件 通过IE浏览MDB文件，判断是否还能下载.MDB文件 2、检测操作 通过IE浏览MD

18、B文件，判断是否还能下载.MDB文件 要求内容 卸载不安全的IIS组件 操作指南 1、参考配置操作 开始t运行t cmd t回车键 输入： regsvr32/u C:WINDOWSsystem32wshom.ocx 结果：成功 del C:WINDOWSsystem32wshom.ocx结果：成功 regsvr32/u C:WINDOWSsystem32shell32.dll结果：成功 del C:WINDOWSsystem32shell32.dll结果：成功 检测方法 1、判定条件 管理员查看相关文件是否还存在，ASP使用该组件判断是否还能 使用。 2、检测操作 查找 C:WINDOWSsystem32wshom.ocx 查找 C:WINDOWSsystem32shell32.dll 要求内容 修改脚本错误出现的错误信息 操