主机安全基线检查windows系统操作手册

1、主机安全基线检查示范文档4 Windows 操作系统账号管理、认证授权认证功能用于确认登录系统的用户真实身份。 认证功能的具体实现方式包括 静态口令、 动态口令、指纹等生物鉴别技术等。 授权功能赋予系统账号的操作权 限，并限制用户进行超越其账号权限的操作。账号要求内容按照用户分配账号。根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户，审计用户，来宾用户等。操作指南1、参考配置操作进入“控制面板 -管理工具 -有计算机管理” ，在“系统工具 -本地 用户和组”： 根据系统的要求，设定不同的账户和账户组，管理员用户，数据库 用户，审计用户，来宾用户。检测方法判定条件 结合要求和实际业

2、务情况判断符合要求， 根据系统的要求， 设定不 同的账户和账户组，管理员用户，数据库用户，审计用户，来宾用 户。2、检测操作进入“控制面板 -管理工具 -计算机管理” ，在“系统工具 -本地用 户和组”：查看根据系统的要求，设定不同的账户和账户组，管理员用户，数 据库用户，审计用户，来宾用户。要求内容删除或锁定与设备运行、维护等与工作无关的账号。操作指南1、参考配置操作进入“控制面板 -管理工具 -计算机管理” ，在“系统工具 -本地用 户和组”： 删除或锁定与设备运行、维护等与工作无关的账号。检测方法1、判定条件 结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、 维护等与工作无关的

3、账号。2、检测操作进入“控制面板 -管理工具 -计算机管理” ，在“系统工具 -本地用 户和组”： 查看是否删除或锁定与设备运行、维护等与工作无关的账号。口令要求内容最短密码长度 8 个字符，启用本机组策略中密码必须符合复杂性 要求的策略。即密码至少包含以下四种类别的字符中的三种： 英语大写字母，英语小写字母，西方阿拉伯数字，非字母数字字符操作指南1、参考配置操作进入“控制面板 -管理工具 -本地安全策略” ，在“帐户策略 -密码 策略”：“密码必须符合复杂性要求 ”选择“已启动 ”检测方法1、判定条件“密码必须符合复杂性要求 ”选择“已启动 ”2、检测操作进入“控制面板 -管理工具 -本地安

4、全策略” ，在“帐户策略 -密码 策略”：查看是否 “密码必须符合复杂性要求 ”选择“已启动 ”要求内容对于采用静态口令认证技术的设备，账户口令的生存期不长于 180 天，历史使用次数 10 次操作指南1、参考配置操作进入“控制面板 -管理工具 -本地安全策略” ，在“帐户策略 -密码 策略”：“密码最长存留期”设置为“ 180 天”检测方法1、判定条件 “密码最长存留期”设置为“ 180 天”2、检测操作进入“控制面板 -管理工具 -本地安全策略” ，在“帐户策略 -密码 策略”：查看是否“密码最长存留期”设置为“ 180 天”要求内容对于采用静态口令认证技术的设备， 应配置当用户连续认证失

5、败次 数超过 6 次（不含 6 次），锁定该用户使用的账号。操作指南1、参考配置操作进入“控制面板 -管理工具 -本地安全策略” ，在“帐户策略 -帐户 锁定策略”：“账户锁定阀值”设置为6 次检测方法1、判定条件 “账户锁定阀值”设置为小于或等于 6 次2、检测操作进入“控制面板 -管理工具 -本地安全策略” ，在“帐户策略 -帐户 锁定策略”：查看是否“账户锁定阀值”设置为小于等于 6 次授权要求内容在本地安全设置中从远端系统强制关机只指派给Administrators 组。操作指南1、参考配置操作进入“控制面板 -管理工具 -本地安全策略” ，在“本地策略 -用户 权利指派” :“从远端

6、系统强制关机 ”设置为“只指派给 Administrators 组”检测方法1、判定条件“从远端系统强制关机 ”设置为“只指派给 Administrtors 组” 2、检测操作进入“控制面板 -管理工具 -本地安全策略” ，在“本地策略 -用户 权利指派” :查看是否 “从远端系统强制关机 ”设置为“只指派给 Administrators 组”要求内容在本地安全设置中关闭系统仅指派给 Administrators 组。操作指南1、参考配置操作进入“控制面板 -管理工具 -本地安全策略” ，在“本地策略 -用户 权利指派” :“关闭系统 ”设置为“只指派给 Administrators 组”检测

7、方法1、判定条件“关闭系统 ”设置为“只指派给 Administrators 组”2、检测操作进入“控制面板 -管理工具 -本地安全策略” ，在“本地策略 -用户 权利指派” :查看 “关闭系统 ”设置为“只指派给 Administrators 组”要求内容在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators 。操作指南1、参考配置操作进入“控制面板 -管理工具 -本地安全策略” ，在“本地策略 -用户 权利指派”：“取得文件或其它对象的所有权” 设置为 “只指派给 Administrators 组”检测方法1、判定条件“取得文件或其它对象的所有权” 设置为 “只指派

8、给 Administrators 组”2、检测操作进入“控制面板 -管理工具 -本地安全策略” ，在“本地策略 -用户 权利指派”：查看是否“取得文件或其它对象的所有权”设置为“只指派给 Administrators 组”日志配置操作要求内容设备应配置日志功能， 对用户登录进行记录， 记录内容包括用户登 录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的 IP 地址。操作指南1、参考配置操作开始-运行 - 执行“ 控制面板 -管理工具 -本地安全策略 -审核策 略”审核登录事件，双击，设置为成功和失败都审核。检测方法1、判定条件 审核登录事件，设置为成功和失败都审核。2、检测操作

9、开始-运行 - 执行“ 控制面板 -管理工具 -本地安全策略 -审核策 略” 审核登录事件，双击，查看是否设置为成功和失败都审核。要求内容设置应用日志文件大小至少为 8192KB，设置当达到最大的日志尺 寸时，按需要改写事件。操作指南1、参考配置操作进入“控制面板 -管理工具 -事件查看器” ，在“事件查看器 （本地）” 中：“应用日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时， “按需要改写事件”检测方法1、判定条件“应用日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时， “按需要改写事件”2、检测操作进入“控制面板 -管理工具

10、-事件查看器” ，在“事件查看器 （本地）” 中：查看是否“应用日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时， “按需要改写事件”IP协议安全配置操作要求内容对没有自带防火墙的 Windows 系统，启用 Windows 系统的 IP 安全 机制 （IPSec）或网络连接上的 TCP/IP筛选，只开放业务所需要的 TCP， UDP端口和 IP 协议。操作指南1、参考配置操作 进入“控制面板 网络连接 本地连接” ，进入“ Internet 协议 （ TCP/IP）属性 高级 TCP/IP设置”，在“选项”的属性中启用网 络连接上的 TCP/IP筛选，只开放业务

11、所需要的 TCP，UDP 端口和 IP 协议。检测方法1、判定条件 系统管理员出示业务所需端口列表。 根据列表只开放系统与业务所需端口。2、检测操作 进入“控制面板 网络连接 本地连接” ，进入“ Internet 协议 （ TCP/IP）属性 高级 TCP/IP设置”，在“选项”的属性中启用网 络连接上的 TCP/IP筛选，查看是否只开放业务所需要的TCP， UDP端口和 IP 协议。要求内容启用 Windows sever2008 和 Windows 2003 自带防火墙。根据业务 需要限定允许访问网络的应用程序，和允许远程登陆该设备的 IP 地址范围。操作指南1、参考配置操作进入“控制面

12、板 网络连接 本地连接”，在高级选项的设置中 启用 Windows 防火墙。在“例外”中配置允许业务所需的程序接入网络。 在“例外 -编辑 -更改范围”编辑允许接入的网络地址范围。检测方法1、判定条件 启用 Windows 防火墙。 “例外”中允许接入网络的程序均为业务所需。2、检测操作进入“控制面板 网络连接 本地连接”，在高级选项的设置中， 查看是否启用 Windows 防火墙。查看是否在“例外”中配置允许业务所需的程序接入网络。 查看是否在“例外 -编辑 -更改范围”编辑允许接入的网络地址范 围。设备其他配置操作屏幕保护要求内容对于远程登陆的帐号，设置不活动断连时间15 分钟。操作指南1

13、、参考配置操作进入“控制面板 -管理工具 -本地安全策略” ，在“本地策略 -安全 选项”：“Microsoft 网络服务器” 设置为“在挂起会话之前所需的空闲时间” 为 15 分钟检测方法1、判定条件“Microsoft 网络服务器” 设置为“在挂起会话之前所需的空闲时间” 为 15 分钟。2、检测操作进入“控制面板 -管理工具 -本地安全策略” ，在“本地策略 -安全 选项”：查看是否 “Microsoft 网络服务器” 设置为“在挂起会话之前所需的 空闲时间”为 15 分钟共享文件夹及访问权限要求内容非域环境中，关闭 Windows 硬盘默认共享，例如 C$， D$。操作指南1、参考配置

14、操作进入“开始 运行 Regedit”，进入注册表编辑器， SYSTEMCurrentControlSetServiceslanmanserverparameter 更改注册表键值：在 HKLMSystemCurrentControlSet下，增加 REG_DWORD类型的 AutoShareServer 键，值为 0。检测方法1、判定条件 HKLMSystemCurrentControlSet增加了 REG_DWORD类型的AutoShareServer 键，值为 0。2、检测操作进入“开始 运行 Regedit”，进入注册表编辑器，更改注册表 键值：在 HKLMSystemCurrentC

15、ontrolSet下，增加 REG_DWORD类型的 AutoShareServer 键，值为 0。要求内容查看每个共享文件夹的共享权限， 只允许授权的账户拥有权限共享 此文件夹。操作指南1、参考配置操作进入“控制面板 -管理工具 -计算机管理” ，进入“系统工具 共 享文件夹”： 查看每个共享文件夹的共享权限，只将权限授权于指定账户。检测方法1、判定条件 查看每个共享文件夹的共享权限仅限于业务需要，不设置成为 “ everyone ”。2、检测操作进入“控制面板 -管理工具 -计算机管理” ，进入“系统工具 共 享文件夹”： 查看每个共享文件夹的共享权限。补丁管理要求内容应安装最新的 Ser

16、vice Pack 补丁集。对服务器系统应先进行兼容性 测试。操作指南1、参考配置操作安装最新的 Service Pack 补丁集，目前 Windows XP 的 Service Pack 为 SP2。Windows2000 的 Service Pack 为 SP4,Windows 2003 的 Servoce Pack 为 SP1检测方法1、判定条件显示 XP系统已安装 SP2，Win2000 系统已安装 SP4。2、检测操作控制面板 -添加或删除程序 -显示更新打钩，查看是否 XP 系统已安装 SP2，Win2000 系统已安装 SP4。要求内容应安装最新的 Hotfix 补丁。对服务器系

17、统应先进行兼容性测试。操作指南1、参考配置操作安装最新的 Hotfix 补丁。对服务器系统应先进行兼容性测试。检测方法1、判定条件已安装最新的 Hotfix 补丁，并经过兼容性测试。2、检测操作控制面板 -添加或删除程序 -显示更新打钩， 查看最近安装的 Hotfix 补丁是否为微软最新发布。防病毒管理要求内容安装防病毒软件，并及时更新。操作指南1、参考配置操作 安装防病毒软件，并及时更新。检测方法1、判定条件已安装放病毒软件， 病毒码更新时间不早于 1个月， 各系统病毒码 升级时间要求参见各系统相关规定。2、检测操作 控制面板 -添加或删除程序，是否安装有防病毒软件。打开防病毒 软件控制面板

18、，查看病毒码更新日期。服务要求内容列出所需要服务的列表 （包括所需的系统服务 ），不在此列表的服务 需关闭。操作指南1、参考配置操作进入“控制面板 -管理工具 -计算机管理” ，进入“服务和应用程序” ： 查看所有服务，不在此列表的服务需关闭。检测方法1、判定条件 系统管理员应出具系统所必要的服务列表。 查看所有服务，不在此列表的服务需关闭。2、检测操作进入“控制面板 -管理工具 -计算机管理” ，进入“服务和应用程序” ： 查看所有服务，不在此列表的服务是否已关闭。要求内容如需启用 SNMP服务，则修改默认的 SNMP Community String 设置。操作指南1、参考配置操作打开“控制面板 ”，打开“管理工具 ”中的“服务”，找到 “SNMP Service，” 单击右键打开 “属性 ”面板中的 “安全 ”选项卡，在这个配置界面中， 可以修改 community strings ，也就是微软所说的 “团体名称 ”。检测方法1、判定条件community strings 已改，不是默认的“ public ”2、