Windows安全配置规范

1、精选文库Windows安全配置规范2010 年 11 月精选文库第1章 概述1.1 适用范围本规范明确了Windows 操作系统在安全配置方面的基本要求，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。适用于中国电信所有运行的Windows 操作系统，包括Windows 2000、Windows XP 、 Windows2003, Windows7 , Windows 2008 以及各版本中的 Sever、 Professional 版本。第 2章 安全配置要求2.1 账号编号： 1要求内容操作指南检测方法应按照不同的用户分配不同的账号，避免不同用户间共享账号，避免用户账号和设备间

2、通信使用的账号共享。1、参考配置操作进入 “控制面板 ->管理工具 ->计算机管理” ，在“系统工具 ->本地用户和组”：根据系统的要求，设定不同的账户和账户组。1、 判定条件结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的账户和账户组2、检测操作进入 “控制面板 ->管理工具 ->计算机管理” ，在“系统工具 ->本地用户和组”：精选文库查看根据系统的要求，设定不同的账户和账户组编号： 2要求内容操作指南检测方法编号： 3要求内容操作指南应删除与运行、维护等工作无关的账号。1参考配置操作A ）可使用用户管理工具：开始 -运行 -compmgm

3、t.msc- 本地用户和组-用户B ）也可以通过net 命令：删除账号：net user account/de1停用账号： net user account/active:no1.判定条件结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的账号。注：主要指测试帐户、共享帐号、已经不用账号等2.检测操作开始 -运行 -compmgmt.msc- 本地用户和组-用户重命名 Administrator ；禁用 guest（来宾）帐号。1、参考配置操作进入 “控制面板 ->管理工具 ->计算机管理” ，在“系统工具 ->本地用户和组”：Administrato

4、r >属性 > 更改名称Guest 帐号 ->属性 > 已停用检测方法1、判定条件缺省账户Administrator 名称已更改。Guest 帐号已停用。2、检测操作进入 “控制面板 ->管理工具 ->计算机管理” ，在“系统工具 ->本地用户和组”：缺省帐户 >属性 > 更改名称2.2 口令编号： 1要求内容操作指南检测方法编号： 2要求内容操作指南检测方法精选文库Guest 帐号 ->属性 > 已停用密码长度要求：最少8 位密码复杂度要求：至少包含以下四种类别的字符中的三种：英语大写字母A,B,C, Z英语小写字母a, b,

5、 c, z阿拉伯数字0,1,2, 9非字母数字字符，如标点符号，,#,$,%,&,* 等1、参考配置操作进入 “控制面板 ->管理工具 ->本地安全策略” ，在“帐户策略 ->密码策略”：“密码必须符合复杂性要求”选择“已启动”1、判定条件“密码必须符合复杂性要求”选择“已启动”2、检测操作进入 “控制面板 ->管理工具 ->本地安全策略” ，在“帐户策略 ->密码策略”：查看是否“密码必须符合复杂性要求”选择“已启动”对于采用静态口令认证技术的设备，账户口令的生存期不长于90天。1、参考配置操作进入 “控制面板 ->管理工具 ->本地安

6、全策略” ，在“帐户策略 ->密码策略”：“密码最长存留期”设置为“90 天”1、判定条件编号： 3要求内容操作指南检测方法编号： 4要求内容操作指南检测方法精选文库“密码最长存留期”设置为“90 天”2、检测操作进入 “控制面板 ->管理工具 ->本地安全策略” ，在“帐户策略 ->密码策略”：查看是否“密码最长存留期”设置为“90 天”对于采用静态口令认证技术的设备，应配置设备， 使用户不能重复使用最近5 次（含 5 次）内已使用的口令。1、参考配置操作进入 “控制面板 ->管理工具 ->本地安全策略” ，在“帐户策略 ->密码策略”：“强制密码历

7、史”设置为“记住5 个密码”1、判定条件“强制密码历史”设置为“记住5 个密码”2、检测操作进入 “控制面板 ->管理工具 ->本地安全策略” ，在“帐户策略 ->密码策略”：查看是否“强制密码历史”设置为“记住5 个密码”对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过 6 次（不含6 次），锁定该用户使用的账号。1、参考配置操作进入 “控制面板 ->管理工具 ->本地安全策略” ，在“帐户策略 ->帐户锁定策略”：“账户锁定阀值”设置为6 次1、判定条件“账户锁定阀值”设置为小于或等于6 次2.3 授权编号： 1要求内容操作指南检测方法编

8、号： 2要求内容精选文库2、检测操作进入 “控制面板 ->管理工具 ->本地安全策略” ，在“帐户策略 ->帐户锁定策略”：查看是否“账户锁定阀值”设置为小于等于6 次补充说明：设置不当可能导致账号大面积锁定，在域环境中应小心设置，Administrator账号本身不会被锁定。本地、远端系统强制关机只指派给Administrators组。1、参考配置操作进入“控制面板-> 管理工具 -> 本地安全策略” ，在“本地策略-> 用户权利指派”:“关闭系统”设置为“只指派给Administrators组”“从远程系统强制关机”设置为“只指派给Administrat

9、ors组”1、判定条件“关闭系统”设置为“只指派给Administrators组”“从远端系统强制关机”设置为“只指派给Administrtors组”2、检测操作进入“控制面板 -> 管理工具 -> 本地安全策略” ，在“本地策略 -> 用户权利指派” :查看“关闭系统”设置为“只指派给Administrators组”查看是否“从远端系统强制关机”设置为“只指派给 Administrators 组”在本地安全设置中取得文件或其它对象的所有权仅指派给操作指南检测方法编号： 3要求内容操作指南检测方法精选文库Administrators。1、参考配置操作进入“控制面板 ->

10、 管理工具 -> 本地安全策略” ，在“本地策略 -> 用户权利指派” ：“取得文件或其它对象的所有权”设置为“只指派给Administrators组”1、判定条件“取得文件或其它对象的所有权”设置为“只指派给Administrators组”2、检测操作进入“控制面板-> 管理工具 -> 本地安全策略” ，在“本地策略-> 用户权利指派” ：查看是否“取得文件或其它对象的所有权”设置为“只指派给Administrators组”在本地安全设置中只允许授权帐号本地、远程访问登陆此计算机。1、参考配置操作进入“控制面板-> 管理工具 -> 本地安全策略” ，

11、在“本地策略-> 用户权利指派”“从本地登陆此计算机”设置为“指定授权用户”“从网络访问此计算机”设置为“指定授权用户”1、判定条件“从本地登陆此计算机”设置为“指定授权用户”“从网络访问此计算机”设置为“指定授权用户”2、检测操作进入“控制面板-> 管理工具 -> 本地安全策略” ，在“本地策略-> 用户权利指派”查看是否“从本地登陆此计算机”设置为“指定授权用户”查看是否“从网络访问此计算机”设置为“指定授权用户”2.4 补丁编号： 1要求内容操作指南检测方法精选文库在不影响业务的情况下，应安装最新的Service Pack补丁集。对服务器系统应先进行兼容性测试。1

12、、参考配置操作安装最新的Service Pack 补丁集，以及最新的Hotfix 补丁。目前 Windows XP 的 Service Pack 为 SP3。Windows2000 的 Service Pack 为 SP4,Windows 2003 的 ServicePack 为 SP21、判定条件2、检测操作进入控制面板 ->添加或删除程序 ->显示更新打钩，查看是否 XP 系统已安装 SP3，Win2000 系统已安装 SP4，Win2003 系统已安装 SP2。同时检查所有的 hotfix ，并查看系统安装的最后一个补丁的发布日期是否与最近最新发布的补丁日期一致。2.5 防护

13、软件编号： 1（可选）要求内容启用自带防火墙或安装第三方威胁防护软件。根据业务需要限定允许访问网络的应用程序，和允许远程登陆该设备的IP 地址范围。操作指南1、参考配置操作（以启动自带防火墙为例）进入“控制面板 >网络连接 >本地连接”，在高级选项的设置中启用 Windows 防火墙。在“例外”中配置允许业务所需的程序接入网络。在“例外 ->编辑 ->更改范围”编辑允许接入的网络地址范围。精选文库检测方法1、判定条件启用 Windows防火墙。“例外”中允许接入网络的程序均为业务所需。2、检测操作进入“控制面板 >网络连接 >本地连接”，在高级选项的设置中，

14、查看是否启用 Windows 防火墙。查看是否在“例外”中配置允许业务所需的程序接入网络。查看是否在“例外 ->编辑 ->更改范围”编辑允许接入的网络地址范围。2.6 防病毒软件编号： 1要求内容操作指南检测方法2.8 日志安全要求编号： 1要求内容操作指南安装防病毒软件，并及时更新。1 、参考配置操作安装防病毒软件，并及时更新。1 、判定条件已安装放病毒软件，病毒码更新时间不早于1 个月，各系统病毒码升级时间要求参见各系统相关规定。2 、检测操作控制面板 -> 添加或删除程序，是否安装有防病毒软件。打开防病毒软件控制面板，查看病毒码更新日期。设备应配置日志功能，对用户登录进

15、行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的 IP 地址。1、参考配置操作检测方法编号： 2要求内容操作指南检测方法精选文库开始 ->运行 -> 执行“控制面板 -> 管理工具 -> 本地安全策略 -> 审核策略”审核登录事件，双击，设置为成功和失败都审核。1、判定条件审核登录事件，设置为成功和失败都审核。2、检测操作开始 ->运行 -> 执行“ 控制面板 -> 管理工具 -> 本地安全策略 -> 审核策略”审核登录事件，双击，查看是否设置为成功和失败都审核。开启审核策略，以便出现安全问题

16、后进行追查1 、参考配置操作对审核策略进行检查：开始 - 运行 -gpedit.msc计算机配置 -Windows设置 - 安全设置 - 本地策略 - 审核策略以下审核是必须开启的，其他的可以根据需要增加：审核系统登陆事件成功，失败审核帐户管理成功，失败审核登陆事件成功，失败审核对象访问成功审核策略更改成功，失败审核特权使用成功，失败审核系统事件成功，失败2 、补充说明可能会使日志量猛增1 、判定条件尝试对被添加了访问审核的对象进行访问，然后查看安全日志中是否会有相关记录，或通过其他手段激化以配置的审核策略，并观察日志中的记录情况，如果存在记录条目，则配置成功。编号： 3要求内容操作指南检测方

17、法精选文库2 、检测操作设置日志容量和覆盖规则，保证日志存储1 、参考配置操作开始 - 运行 -eventvwr右键选择日志，属性，根据实际需求设置：日志文件大小超过上线时的处理方式（建议日志记录天数不小于60 天）2 、 补充说明建议对每个日志均进行如上操作，同时应保证磁盘空间1 、判定条件2 、检测操作开始 - 运行 -eventvwr ，右键选择日志，属性，查看日志上线及超过上线时的处理方式2.7 Windows 服务编号： 1要求内容操作指南关闭不必要的服务1、参考配置操作进入“控制面板->管理工具 ->计算机管理” ，进入“服务和应用程序”：查看所有服务，不在此列表的服务

18、需关闭。可禁用的服务及其相关说明如附表 所示检测方法1、判定条件系统管理员应出具系统所必要的服务列表。查看所有服务，不在此列表的服务需关闭。2、检测操作编号：2要求内容操作指南检测方法编号：3要求内容操作指南检测方法精选文库进入“控制面板 ->管理工具 ->计算机管理” ，进入“服务和应用程序”：查看所有服务，不在此列表的服务是否已关闭。如需启用 SNMP 服务，则修改默认的SNMP Community String 设置。1、参考配置操作打开 “控制面板”，打开 “管理工具”中的 “服务 ”，找到 “SNMPService ，”单击右键打开 “属性 ”面板中的 “安全 ”选项卡，

19、 在这个配置界面中，可以修改 community strings，也就是微软所说的 “团体名称 ”。1、判定条件community strings 已改，不是默认的“ public ” 2、检测操作打开 “控制面板”，打开 “管理工具”中的 “服务 ”，找到 “SNMPService ，”单击右键打开 “属性 ”面板中的 “安全 ”选项卡， 在这个配置界面中，查看 community strings ，也就是微软所说的 “团体名称 ”。如对互联网开放WindowsTerminial 服务 (Remote Desktop)，需修改默认服务端口。1、参考配置操作运行 Regedt32并转到此项 :

20、HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp找到“ PortNumber ”子项，会看到默认值00000D3D ，它是 3389的十六进制表示形式。使用十六进制数值修改此端口号，并保存新值。1、判定条件2.8 启动项要求内容操作指南检测方法精选文库找到“ PortNumber ”子项，设定值非00000D3D ，即十进制33892、检测操作运行Regedt32 ,找到此项并判断。关闭无效启动项1、参考配置操作“开始 ->运行 ->MSconfig ”启动菜单中，取消

21、不必要的启动项。1、判定条件2、检测操作系统管理员提供业务必须的自动加载进程和服务列表文档。查看“开始 ->运行 ->MSconfig ”启动菜单：不需要的自动加载进程是否已禁用和取消。2.9 关闭自动播放功能编号： 1要求内容操作指南关闭 Windows 自动播放功能1、参考配置操作点击开始 运行 输入 gpedit.msc，打开组策略编辑器，浏览到计算机配置 管理模板 系统，在右边窗格中双击“关闭自动播放”，对话框中选择所有驱动器，确定即可。检测方法1、判定条件所有驱动器均“关闭自动播放”2、检测操作“关闭自动播放 ”配置已启用，启用范围：所有驱动器。精选文库2.10 共享文件

22、夹编号： 1要求内容操作指南检测方法编号： 2要求内容操作指南检测方法关闭 Windows 硬盘默认共享，例如C$ ， D$。1、参考配置操作进入“开始 >运行 >Regedit ”，进入注册表编辑器，更改注册表键值：在HKLMSystemCurrentControlSet下，增加REG_DWORD类型的AutoShareServer 键，值为0。1、判定条件HKLMSystemCurrentControlSet增加了 REG_DWORD类型的 AutoShareServer 键，值为0。2、检测操作进入“开始 >运行 >Regedit ”，进入注册表编辑器，更改注册表

23、键值：，增加 REG_DWORD类型的 AutoShareServer 键，值为0。设置共享文件夹的访问权限，只允许授权的账户拥有权限共享此文件夹。1、参考配置操作进入“控制面板->管理工具 ->计算机管理” ，进入“系统工具>共享文件夹”：查看每个共享文件夹的共享权限，只将权限授权于指定账户。1、判定条件查看每个共享文件夹的共享权限仅限于业务需要，不设置成为“ everyone”。2、检测操作进入“控制面板->管理工具 ->计算机管理” ，进入“系统工具>共精选文库享文件夹”：查看每个共享文件夹的共享权限。2.11 使用 NTFS 文件系统要求内容在不毁坏

24、数据的情况下，将分区改为格式操作指南1、参考配置操作将 FAT 卷转换成NTFS 分区CONVERTvolume/FS:NTFS/V/CvtArea:filename/NoSecurity/XVolume 指定驱动器号（后面加一个冒号）、装载点或卷名/FS:NTFS指定要被转换成NTFS 的卷/V 指定 CONVERT应该用详述模式运行/CvtArea:filename将根目录中的一个接续文件指定为NTFS 系统文件的占位符/NoSecurity指定每个人都可以访问转换的文件和目录的安全设置/X 如果必要，先强行卸载卷，有打开的句柄则无效例如：Covert C ： /FS:NTFS备注：在有其

25、他非WIN 系统访问、存在数据共享的情况下，不建议将分区改为格式检测方法1、判定条件2、检测操作精选文库2.12 会话超时设置（可选）编号： 1要求内容对于远程登录的账户，设置不活动所连接时间15 分钟操作指南1、参考配置操作进入“控制面板管理工具本地安全策略” ，在“安全策略安全选项”：“ Microsoft 网络服务器”设置为“在挂起会话之前所需的空闲时间”为 15 分钟检测方法1、判定条件“ Microsoft 网络服务器”设置为“在挂起会话之前所需的空闲时间”为 15 分钟2、检测操作进入“控制面板管理工具本地安全策略”，在“安全策略安全选项”：查看“ Microsoft网络服务器”设

26、置精选文库2.13 注册表：（可选）编号： 1要求内容在不影响系统稳定运行的前提下，对注册表信息进行更新。操作指南1、参考配置操作自动登录：HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinlogonAutoAdminLogon(REG_DWORD) 0源路由欺骗保护：HKLMSystemCurrentControlSetServicesTcpipParametersDisableIPSourceRouting(REG_DWORD) 2删除匿名用户空链接HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlL

27、sa将 restrictanonymous 的值设置为 1，若该值不存在， 可以自己创建，类型为 REG_DWORD修改完成后重新启动系统生效碎片攻击保护：HKLMSystemCurrentControlSetServicesTcpipParametersEnablePMTUDiscovery(REG_DWORD) 1Syn flood攻击保护：HKLMSystemCurrentControlSetServicesTcpipParametersSynAttackProtect(REG_DWORD) 2SYN攻 击 保护 - 管 理TCP半开sockets 的 最大数目 :精选文库HKLMSys

28、temCurrentControlSetServicesTcpipParametersTcpMaxHalfOpen (REG_DWORD) 100或 500检测方法1、判定条件2、检测操作点击开始 -> 运行，然后在打开行里输入regedit ，然后单击确定，查看相关注册表项进行查看；使用空连接扫描工具无法远程枚举用户名和用户组附表：端口及服务服务名称端口服务说明关闭方法系统服务部分echo7/TCPRFC862_ 回声协议echo7/UDPRFC862_ 回声协议discard9/UDPRFC863废除协议discard9/TCPRFC863废除协议daytime13/UDPRFC86

29、7白天协议关闭 "Simpledaytime13/TCPRFC867白天协议TCP/IP Services" 服务。qotd17/TCPRFC865白天协议的引用qotd17/UDPRFC865白天协议的引用chargen19/TCPRFC864字符产生协议chargen19/UDPRFC864字符产生协议关闭 "FTPftp21/TCP文件传输协议 (控制 )Publishing Service"服务。关闭 "Simple Mailsmtp25/TCP简单邮件发送协议Transport Protocol"服务。处置建议建议关闭根据情

30、况选择开放建议关闭精选文库42/TCPnameserverWINS主机名服务42/UDP53/UDPdomain域名服务器53/TCPdhcps67/UDPDHCP服务器/Internet连接共享dhcpc68/UDPDHCP协议客户端http80/TCPHTTP万维网发布服务epmap135/TCPRPC 服务135/UDPnetbios-ns137/UDPNetBIOS名称解析netbios-dgm138/UDPNetBIOS数据报服务netbios-ssn139/TCPNetBIOS会话服务snmp161/UDPSNMP服务安全超文本传输协议https443/TCP445/UDPmicr

31、osoft-dsSMB服务器445/TCP关闭 "WindowsInternet Name建议关闭Service" 服务。根据情况选择关闭 "DNS Server"开放服务。根据情况选择开放关闭 "SimpleTCP/IP Services"服建议关闭务。关闭 "DHCP Client"建议关闭服务。关闭 "World Wide根据情况选择Web Publishing开放Service" 服务。系统基本服务无法关闭无法关闭在网卡的 TCP/IP选根据情况选择项中 "WINS" 页勾选 "开放禁用 TCP/IP 上的根据情况选择NETBIOS"开放系统基本服务无法关闭关闭 "SNMP " 服务根据情况选择开放关闭 "World Wide根据情况选择Web Publishing开放Service" 服