系统安全配置技术规范

1、系统安全配置技术规范 -Windows版本日期2013-06-03文档编号文档发布212211文档说明（一）变更信息版本号变更日期变更者变更理由/变更内容备注（二）文档审核人姓名职位签名日期错误!未定义书签。错误!未定义书签。错误!未定义书签。错误!未定义书签。错误!未定义书签。错误!未定义书签。错误!未定义书签。错误!未定义书签。错误!未定义书签。错误!未定义书签。错误!未定义书签。错误!未定义书签。错误!未定义书签。错误!未定义书签。错误!未定义书签。错误!未定义书签。错误!未定义书签。错误!未定义书签。错误!未定义书签。错误!未定义书签。错误!未定义书签。错误!未定义书签。错误!未定义书

2、签。错误!未定义书签。错误!未定义书签。错误!未定义书签。错误!未定义书签。错误!未定义书签。错误!未定义书签。错误!未定义书签。错误!未定义书签。错误!未定义书签。错误!未定义书签。错误!未定义书签。错误!未定义书签。错误!未定义书签。错误!未定义书签。错误!未定义书签。错误!未定义书签。错误!未定义书签。错误!未定义书签。1. 适用范围2. 帐号管理与授权【基本】删除或锁定可能无用的帐户【基本】按照用户角色分配不同权限的帐号【基本】口令策略设置不符合复杂度要求【基本】设定不能重复使用口令不使用系统默认用户名口令生存期不得长于90 天 设定连续认证失败次数远端系统强制关机的权限设置关闭系统的

3、权限设置取得文件或其它对象的所有权设置将从本地登录设置为指定授权用户将从网络访问设置为指定授权用户3. 日志配置要求【基本】审核策略设置中成功失败都要审核【基本】设置日志查看器大小4. IP 协议安全要求开启 TCP/IP 筛选 启用防火墙启用SYNC击保护5. 服务配置要求【基本】启用NTP服务【基本】关闭不必要的服务【基本】关闭不必要的启动项【基本】关闭自动播放功能【基本】审核HOSTC件的可疑条目 【基本】存在未知或无用的应用程序【基本】关闭默认共享. 【基本】非EVERYON的授权共享【基本】SNMPCommunitYTring设置【基本】删除可匿名访问共享关闭远程注册表对于远程登陆的

4、帐号，设置不活动断开时间为1 小时 .IIS 服务补丁更新6. 其它配置要求【基本】安装防病毒软件. 【基本】配置 WSUS卜丁更新服务器 【基本】SERVICE PACK#丁更新【基本】HOTFIX补丁更新设置带密码的屏幕保护交互式登录不显示上次登录用户名错误 !未定义书签。1 .适用范围如无特殊说明，本规范所有配置项适用于Windows操作系统2003、2008系列版本。其中标示为“基本”字样的配置项，均为本公司对此类系统的基本安全配置要求；未标示“基本”字样的配置项，请各系统管理员视实际需求酌情遵从。2 .帐号管理与授权2.1 【基本】删除或锁定可能无用的帐户配置项描述删除或锁定无用的帐

5、户，定期清理无用账户，防止过期用户非法登入操作系统检查方法进入“控制面板-> 管理工具，计算机管理，系统工具-> 本地用户和组”： 审核不必要的用户和组，审核帐户隶属的组权限，审核组用户。操作步骤根据系统的要求和实际业务情况，设定不同的帐户和帐户组，如管理员用户、数 据库用户、审计用户、来宾用户等。删除或锁定与设备运行、维护等与工作无关 的帐户回退操作回退到原有的配置设置操作风险需要确认帐户用途2.2 【基本】按照用户角色分配不同权限的帐号配置项描述按照用户角色分配不向权限的帐号，保证用户权限最小化检查方法进入“控制面板-> 管理工具，计算机管理，系统工具-> 本地用户

6、和组”： 审核用户和组，审核帐户隶属的组权限，审核组用户。操作步骤根据系统的要求和实际业务情况，设定不同的帐户和帐户组，如管理员用户、数 据库用户、审计用户、来宾用户等。回退操作回退到原有的配置设置操作风险需要确认帐户用途，确认用户所需权限2.3 【基本】口令策略设置不符合复杂度要求配置项描述口令策略设置不符合复杂度要求，口令过于简单，易被黑客破译检查方法进入“控制面板-> 管理工具，本地安全策略”，在“帐户策略 ，密码策略”中： 检查“密码必须符合复杂度要求”设置操作步骤设置“密码必须符合复杂度要求”已开启回退操作回退到原有的配置设置操作风险低风险2.4 【基本】设定不能重复使用口令配

7、置项描述设定/、能重复使用最近 5次（含5次）内已使用的口令检查方法进入“控制面板-> 管理工具，本地安全策略”，在“帐户策略 ，密码策略”中： 检查“强制密码历史”设置操作步骤设置“强制密码历史”大于等于5回退操作回退到原有的配置设置操作风险低风险2.5 不使用系统默认用户名配置项描述administrator 、guest等默认帐户使用默认用户名，当攻击者发起否举攻击时， 使用默认用户名，会大大降低攻击者的攻击难度检查方法进入“控制面板-> 管理工具，计算机管理，系统工具-> 本地用户和组”： 检查 administrator 、guest 是否存在。操作步骤admini

8、strator 、guest 重命名回退操作回退到原有的配置设置操作风险可能导致某些自动登录的服务异常2.6 口令生存期不得长于90天配置项描述口令生存期不得长于 90天，应定期更改用户口令进入“控制面板 ，管理工具，本地安全策略”，在“帐户策略，密码策略”检查方法中：检查“密码最长存留期”设置操作步骤设置“密码最长存留期”小于等于90回退操作回退到原有的配置设置操作风险低风险2.7 设定连续认证失败次数配置项描述设定连续认证失败次数超过 6次（不含6次）锁定该账号检查方法进入“控制面板-> 管理工具，本地安全策略”，在“帐户策略 ，帐户锁定策略” 中：检查“帐户锁定阀值”设置操作步骤设

9、置“帐户锁定阀值”小于等于 6回退操作回退到原有的配置设置操作风险可能导致恶意尝试锁定帐户2.8 远端系统强制关机的权限设置配置项描述将从远端系统强制关机仅指派给Administrators 组，避免普通用户拥启额外的系统控制权限检查方法进入“控制面板-> 管理工具，本地安全策略”，在“本地策略 ，用户权利指派” 中：检查“从远端系统强制关机”设置操作步骤设置“从远端系统强制关机"删除除 Administrators 以外其他项回退操作回退到原有的配置设置操作风险可能导致某些系统功能异常或应用非正常运行2.9 关闭系统的权限设置配置项描述将关闭系统仅指派给Administrat

10、ors 组，避免普通用户拥启额外的系统控制权限检查方法进入“控制面板-> 管理工具，本地安全策略”，在“本地策略 ，用户权利指派” 中：检查“关闭系统”设置操作步骤设置“关闭系统”删除除 Administrators以外其他项回退操作回退到原有的配置设置操作风险可能导致某些系统功能异常或应用非正常运行2.10 取得文件或其它对象的所有权设置配置项描述将取得文件或其它对象的所有权设置仅指派给 户拥启额外的系统控制权限Administrators组，避免普通用检查方法进入“控制面板-> 管理工具-> 本地安全策略” 中：检查“取得文件或其它对象的所有权”设置,在“本地策略->

11、;用户权利指派”操作步骤设置“取得文件或其它对象的所有权”删除除Administrators以外其他项回退回退到原有的配置设置操作风险可能导致某些系统功能异常或应用非正常运行2.11 将从本地登录设置为指定授权用户配置项描述将从本地登录设置为指定授权用户，将登陆权限赋予指定用户检查方法进入“控制面板-> 管理工具，本地安全策略”，在“本地安全策略，用户权利指派”中：检查“允许在本地登录”设置操作步骤设置“允许在本地登录”只保留授权用户，删除其他项回退操作回退到原有的配置设置操作风险可能导致某些系统功能异常或应用非正常运行2.12 将从网络访问设置为指定授权用户配置项描述将从网络访问设置为

12、指定授权用户检查方法进入“控制面板-> 管理工具，本地安全策略”，在“本地策略 ，用户权利指派” 中：检查“从网络访问”设置操作步骤设置“从网络访问”只保留授权用户，删除其他项回退操作回退到原有的配置设置操作风险可能导致某些系统功能异常或应用非正常运行3 .日志配置要求3.1 【基本】审核策略设置中成功失败都要审核配置项描述记录系统的所有审核信息，审核策略设置中成功失败都要审核检查方法进入“控制面板-> 管理工具-> 本地安全策略”，在“本地策略 -> 审核策略”中： 查看是否符合操作中提到的各标准操作步骤将不符合评估内容项进行加固，安全标准设置如下：审核策略更改：成功

13、和失败审核登录事件：成功和失败审核系统事件：成功和失败审核帐户登录事件：成功和失败审核帐户管理：成功和失败审核对象访问：成功和失败审核特权使用：成功和失败审核目录服务访问：成功和失败审核过程跟踪：失败其他设置无要求。回退操作回退到原有的配置设置操作风险开启无用的审核可能降低系统性能并占用一定磁盘空间3.2 【基本】设置日志查看器大小配置项描述将应用、系统、安全日志查看器大小设置为至少8192KB检查方法进入“控制面板-> 管理工具-> 事件查看器”，在“事件查看器（本地）”中：（在 应用程序日志、安全日志和系统日志上点右键，看属性中的日志大小上限设置， 单位为KR）查看是否符合操作

14、中提到的各标准操作步骤将不符合评估内容项进行加固，应用日志的容量为8192KB,安全日志的容量为8192KB,系统日志的容量为 8192KB,设置当达到最大的日志大小时，“按需要覆 盖事件”。并且用户后流程定期转存日志回退操作回退到原有的配置设置操作风险低风险4 . IP协议安全要求4.1 开启TCP/IP筛选配置项描述对于不自带 windows防火墙的系统，需开启 TCP/IP筛选，切只能开放业务所需 要白T TCR UD阂口和IP协议检查方法先请系统管理员出示业务所需端口列表。进入“控制面板 >网络连接 >本地连接>Internet 协议（TCP/IP）属性> 高级

15、TCP/IP设置”，在“选项”的属性中启用网络连接上的TCP/IP筛选，根据列表查看是否只开放业务所需要的TCP UD窗口和IP协议。操作步骤注意异常端口，与管理员追查异常端口相关项。对没有自带防火墙的Windows系统，启用 Windows系统的IP安全机制（IPSec）或网络连接上的 TCP/IP筛选，只 开放业务所需要的 TCP UD端口和IP协议。回退操作回退到原有的配置设置操作风险必须正确设置网络访问控制策略，否则可能导致某些应用无法正常访问网络4.2 启用防火墙配置项描述启用Windows自带防火墙，且根据业务需要限定允许访问网络的应用程序，和允 许远程登陆该设备的IP地址范围检查

16、方法进入“控制面板 > 网络连接 >本地连接"，在高级选项的设置中，查看是否启 用Windows防火墙。查看是否在“例外”中配置允许业务所需的程序接入网络。查看是否在“例外-> 编辑-> 更改范围”编辑允许接入的网络地址范围。操作步骤将不符合评估内容项进行加固，启用Windows自带防火墙。根据业务需要限定允许访问网络的应用程序，和允许远程登陆该设备的IP地址范围。回退操作回退到原有的配置设置操作风险必须正确设置网络访问控制策略，否则可能导致某些应用无法正常访问网络4.3 启用SYN攻击保护配置项描述启用SYN攻击保护，当攻击者发起 SYNC击时，避免 CPU

17、内存资源被过度消耗在“开始-> 运行-> 键入regedit ”。检查方法启用 SYN攻击保护的命名值位于注SYSTEMCurrentControlSetServices之下：值名称：SynAttackProtect册表项 HKEY_LOCAL_MACHINWindows2000 而值：2Windows2003 推荐值：1以下部分中的所有项和值均位于注册表项 HKEY_LOCAL_MACHINSYSTEMCurrentControlSetServices之下：指定必须在触发SYN flood保护之前超过的TCP连接请求阈值：值名称：TcpMaxPortsExhausted推荐值：5

18、启用SynAttackProtect 后，该值指定 SYN_RCVD状态中的TCP连接阈值，超过 SynAttackProtect 时,触发 SYN flood 保护：值名称：TcpMaxHalfOpen推荐值数据：500启用SynAttackProtect 后，指定至少发送了一次重传的SYN_RCVD状态中的TCP连接阈值，超过 SynAttackProtect 时，触发 SYN flood 保护：值名称：TcpMaxHalfOpenRetried推荐值数据：400操作步骤1、备份注册表原有的配置设置2、将不符合评估内容项进行加固，启用SYNC击保护：指定触发SYN共水攻击保护所必须超过的

19、TCP连接请求数阀值为 5;指定处于SYN_RCVD犬态的TCP连接数的阈值为 500;指定处于至少已发人次重传的SYN_RCVD状态中的TCP连接数的阈值为400。回退操作回退到原有的配置设置操作风险必须正确设置网络访问控制策略，否则可能导致某些应用无法正常访问网络5 .服务配置要求5.1 【基本】启用NTP服务配置项描述启用NTP服务，配置统一服务器时钟，应开启NTP服务向网络内指定的NTPserver同步时钟。检查方法对于已加入域的服务器，系统将自动与域控服务器同步时钟； 对于未加入域的服务器，需按以下步骤配置。操作步骤点击桌面右吓角时钟栏，开启“更改日期和时钟设置”-"int

20、ernet 时间”开启“自动与internet 时间服务器同步”选型，在服务器栏中填写NTP server的IP地址，然后点击“立即更新”回退操作恢复系统原后NTP配置操作风险需要时间源，中风险，系统时间更改5.2 【基本】关闭不必要的服务配置项描述列出所需要服务的列表（包括所需的系统服务），不在此列表的服务需关闭检查方法进入“控制面板-> 管理工具-> 计算机管理”，进入“服务和应用程序”： 查看所有服务，不在此列表的服务需关闭。操作步骤关闭不需要的服务回退操作回退到原有的配置设置操作风险关闭或停止某些服务可能导致应用运行异常5.3 【基本】关闭不必要的启动项配置项描述关闭不必要

21、的启动项，优化系统资源，同时减少引入不必要的系统漏洞检查方法“开始-> 运行->MScon巾g”启动菜单中检查启动项操作步骤关闭不必要的启动项回退操作回退到原有的配置设置操作风险需要确认启动项是否必须5.4 【基本】关闭自动播放功能配置项描述关闭自动播放功能，避免执行未经扫描或确认的文件，从而引入木马或病毒检查方法点击开始一运行一输入，打开组策略编辑器，计算机配置一管理模板一系统，在 右边窗格中双击“关闭自动播放”，检查 “关闭自动播放”项设置操作步骤在“关闭自动播放”对话框中，选择“已启用”，并选择“所有驱动器”，确定即可回退操作回退到原有的配置设置操作风险低风险5.5 【基本】

22、审核 HOSTC件的可疑条目配置项描述删除HOSTC件下的可疑条目检查方法查有是否符合操作中提到的标准，检查C:windowssystem32driversetc目录下的用于静态 DNS解析的HOST故件内容是否止常操作步骤1、备份HOSTSC件2、将不符合评估内容项进行加固，确保C:windowssystem32driversetc目录下的用于静态 DNS解析的HOSTSC件内容正常，对于未知条目可以与管理员追查回退操作将备份的HOST故件替换更改的文件操作风险与系统管理员确认后可执行加固5.6 【基本】存在未知或无用的应用程序配置项描述存在未知或无用的应用程序，应定期清理应用程序列表中无用

23、或未知的程序，防 止系统被植入木马或病毒检查方法检查“添加或删除程序”面板中的列表操作步骤备份需要协助的应用程序的配置文件不要安装不必要的应用程序，向管理员确认可卸载的应用软件项回退重新安装卸载的应用重新，恢复配置文件操作风险需要确认应用是否必须，可能需要重启系统5.7 【基本】关闭默认共享配置项描述关闭默认共享，未经确认的共享操作，尤箕是对everyone的共享，会对信息安全造成严重威胁检查方法net share 或计算机管理-共享操作步骤关闭 Windows硬盘默认共享，例如 ADMIN$ C$, D$进入“开始 >运行>Regedit”，进入注册表编辑器，更改注册表键值：在下

24、，增力口 REG_DWORD1 的 AutoShareServer 键，值为 0。回退操作回退到原有的配置设置操作风险可能导致某些必须使用共享的应用非正常运行5.8 【基本】非everyone的授权共享配置项描述共享文件夹中，设置只允许授权的账户拥有权限共享此文件夹检查方法检查共享文件夹中的授权用户操作步骤设置共享文件夹中的授权用户为指定用户，而非everyone回退操作回退到原有的配置设置操作风险须经测试，可能导致某些使用共享的应用异常5.9 【基本】SNMP Community String 设置配置项描述如需启用 SNM用艮务，修改默认的 SNMP Community String 设置

25、检查方法进入“控制面板-> 管理工具-> 计算机管理”，进入“服务和应用程序”：检查 SNMP Service ,属性面板中的女全选项卡的communitystrings 设置操作步骤community strings改为其他，不是默认的“public ”回退操作回退到原有的配置设置操作风险可能导致服务不止常5.10 【基本】删除可匿名访问共享配置项描述删除可匿名访问共享，共享文件应明确共享对象，且不允许匿名访问检查方法进入“控制面板-> 管理工具-> 本地安全策略”，在“本地策略 -> 安全选项”中： 检查“网络访问：可匿名访问的共享”设置操作步骤删除“网络访问

26、：可匿名访问的共享”中的所有项回退操作回退到原有的配置设置操作风险可能导致某些系统功能异常或应用非正常运行5.11 关闭远程注册表配置项描述关闭远程注册表，防止用户远程修改或查看系统注册表检查方法进入“控制面板-> 管理工具-> 计算机管理”，进入“服务和应用程序”：检查 "Remote Registry ”操作步骤设置“Remote Registry ”已停用回退操作回退到原有的配置设置操作风险某些应用可能需要此功能5.12 对于远程登陆的帐号，设置不活动断开时间为1小时配置项描述对于远程登陆的帐号，设置小活动断开时间为1小时，长时间空闲账户将自动退出检查方法进入“控制

27、面板-> 管理工具-> 本地安全策略”，在“本地策略-> 安全选项”中：检查“Microsoft网络服务器：在挂起会话前所需的空闲时间”设置操作步骤设置“Microsoft网络服务器：在挂起会话前所需的空闲时间”小于等于1小时回退操作回退到原有的配置设置操作风险可能导致某些应用运行异常5.13 IIS服务补丁更新配置项描述如需启用IIS服务，IIS服务补丁需及时更新检查方法检查IIS版本操作步骤安装IIS补丁包或升级到回退操作卸载IIS补丁包操作风险可能导致服务不止常6 .其它配置要求6.1 【基本】安装防病毒软件配置项描述安装防病毒软件和防病毒软件并及时升级检查方法检查杀毒软件的安装和升级情况操作步骤安装杀毒软件并升级到最新版本回退操作卸载杀毒软件或回退到以前版本操作风险需要重启并可能误删正常的系统或应用文件6.2 【基本】配置WSUS卜丁更新服务器配置项描述指定系统获取补丁的位置，将更新源指向WSU跳务器检查方法1 .执行regedit调出注册表编辑器2 .查看参数HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate