Windows-安全配置规范

1、Windows 安全配置规范2010 年 11 月第1章概述1.1适用范围本规范明确了 Windows操作系统在安全配置方面的基本要求，可作为编制设 备入网测试、安全验收、安全检查规范等文档的参考。适用于中国电信所有运行的 Windows操作系统，包括Windows2000、Windows XP、Windows2003, Windows7 , Windows 2008 以及各版本中的 SeVer、 PrOfeSSi Onal 版本。第2章安全配置要求2.1账号编号：1要求内容应按照不冋的用户分配不冋的账号，避免不冋用户间共享账号，避免用户账号和设备间通信使用的账号共享。操作指南1、参考配置操作

2、进入“控制面板- 管理工具- 计算机管理”，在“系统工具- 本地用户和组”：根据系统的要求，设定不冋的账户和账户组。检测方法1、判定条件结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的账户和账户组2、检测操作进入“控制面板- 管理工具- 计算机管理”，在“系统工具- 本地 用户和组”：查看根据系统的要求，设定不冋的账户和账户组编号：2要求内容应删除与运行、维护等工作无关的账号。操作指南1参考配置操作A）可使用用户管理工具：开始-运行-ComPmgmt.msc-本地用户和组-用户B）也可以通过net命令：删除账号： net USer accou nt/del 停用账号： net U

3、Ser acco Un t/active:no1.判定条件结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护检测方法等与工作无关的账号。注：主要指测试帐户、共享帐号、已经不用账号等2.检测操作开始-运行-ComPmgmt.msc-本地用户和组-用户编号：3要求内容重命名 Administrator ;禁用guest （来兵）帐号。操作指南1、参考配置操作进入“控制面板- 管理工具- 计算机管理”，在“系统工具- 本地 用户和组”：Administrator 属性一 更改名称GUeSt帐号- 属性 已停用检测方法1、判定条件缺省账户Administrator 名称已更改。GUeSt帐

4、号已停用。2、检测操作进入“控制面板- 管理工具- 计算机管理”，在“系统工具- 本地用户和组”：缺省帐户一 属性一 更改名称GUeSt帐号- 属性 已停用2.2 口令编号：1要求内容密码长度要求：最少 8位密码复杂度要求：至少包含以下四种类别的字符中的三种：英语大写字母A, B, C,Z英语小写字母a, b, c,Z阿拉伯数字0, 1,2,9非字母数字字符，如标点符号，, #, $, %, &, *等操作指南1、参考配置操作进入“控制面板- 管理工具- 本地安全策略”，在“帐户策略- 密码策略”：“密码必须符合复杂性要求”选择“已启动”检测方法1、判定条件“密码必须符合复杂性要求”选择“已启

5、动”2、检测操作进入“控制面板- 管理工具- 本地安全策略”，在“帐户策略- 密码策略”：查看是否“密码必须符合复杂性要求”选择“已启动”编号：2要求内容对于米用静态口令认证技术的设备，账户口令的生存期不长于90天。操作指南1、参考配置操作进入“控制面板- 管理工具- 本地安全策略”，在“帐户策略- 密码策略”：“密码最长存留期”设置为“90天”检测方法1、判定条件“密码最长存留期”设置为“ 90天”2、检测操作进入“控制面板- 管理工具- 本地安全策略”，在“帐户策略- 密 码策略”：查看是否“密码最长存留期”设置为“90天”编号：3要求内容对于米用静态口令认证技术的设备，应配置设备，使用户

6、不能重复使用最近5次（含5次）内已使用的口令。操作指南1、参考配置操作进入“控制面板- 管理工具- 本地安全策略”，在“帐户策略- 密码策略”：“强制密码历史”设置为“记住5个密码”检测方法1、判定条件“强制密码历史”设置为“记住5个密码”2、检测操作进入“控制面板- 管理工具- 本地安全策略”，在“帐户策略- 密码策略”：查看是否“强制密码历史”设置为“记住5个密码”编号：4要求内容对于米用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。操作指南1、参考配置操作进入“控制面板- 管理工具- 本地安全策略”，在“帐户策略- 帐户锁定策略”：“账户

7、锁定阀值”设置为 6次检测方法1、判定条件“账户锁定阀值”设置为小于或等于6次2、检测操作进入“控制面板- 管理工具- 本地安全策略”，在“帐户策略- 帐 户锁定策略”：查看是否“账户锁定阀值”设置为小于等于6次补充说明：设置不当可能导致账号大面积锁定，在域环境中应小心设置，Admi ni Strator账号本身不会被锁疋。2.3授权编号：1要求内容本地、远端系统强制关机只指派给Admi ni StratOrS组。操作指南1、参考配置操作进入“控制面板- 管理工具- 本地安全策略”，在“本地策略- 用户权利指派”：关闭系统设置为只指派给AdminiStratOrS组从远程系统强制关机设置为只指

8、派给AdminiStratOrS组检测方法1、判定条件关闭系统设置为只指派给AdminiStratOrS组从远端系统强制关机 设置为 只指派给AdminiStrtOrS组2、检测操作进入“控制面板- 管理工具- 本地安全策略”，在“本地策略- 用户权利指派”：查看关闭系统设置为只指派给AdminiStratOrS组查看是否“从远端系统强制关机”设置为“只指派给Admi nistrators组”要求内容在本地安全设置中取得文件或其它对象的所有权仅指派给编号：2要求内容在本地安全设置中取得文件或其它对象的所有权仅指派给Admi nistrators 。操作指南1、参考配置操作进入“控制面板- 管理

9、工具- 本地安全策略”，在“本地策略- 用户权利指派”：“取得文件或其它对象的所有权”设置为“只指派给Admi nistrators组”检测方法1、判定条件“取得文件或其它对象的所有权”设置为“只指派给Admi nistrators组”2、检测操作进入“控制面板- 管理工具- 本地安全策略”，在“本地策略- 用户权利指派”：查看是否“取得文件或其它对象的所有权”设置为“只指派给Admi nistrators组”编号：3要求内容在本地安全设置中只允许授权帐号本地、远程访问登陆此计算机。操作指南1、参考配置操作进入“控制面板- 管理工具- 本地安全策略”，在“本地策略- 用 户权利指派”“从本地登

10、陆此计算机”设置为“指定授权用户”“从网络访问此计算机”设置为“指定授权用户”检测方法1、判定条件“从本地登陆此计算机”设置为“指定授权用户”“从网络访问此计算机”设置为“指定授权用户”2、检测操作进入“控制面板- 管理工具- 本地安全策略”，在“本地策略- 用 户权利指派”查看是否“从本地登陆此计算机”设置为“指定授权用户” 查看是否“从网络访问此计算机”设置为“指定授权用户”2.4 补丁编号：1要求内容在不影响业务的情况下，应安装最新的SerViCe PaCk补丁集。对 服务器系统应先进行兼容性测试。操作指南1、参考配置操作安装最新的SerViCe PaCk 补丁集，以及最新的 Hotfi

11、X 补丁。目前 Windows XP 的 SerViCe PaCk 为 SP3。Windows2000 的 SerViCe PaCk 为 SP4,Windows 2003 的 SerViCe PaCk 为 SP2检测方法1、判定条件2、检测操作进入控制面板- 添加或删除程序- 显示更新打钩，查看是否 XP系 统已安装SP3 Win2000系统已安装SP4, Win2003系统已安装SP2。冋时检查所有的hotfix ,并查看系统安装的最后一个补丁的发布日期是否与最近最新发布的补丁日期一致。2.5防护软件编号：1 （可选）要求内容启用自带防火墙或安装第三方威胁防护软件。 根据业务需要限定允 许访

12、问网络的应用程序，和允许远程登陆该设备的IP地址范围。操作指南1、参考配置操作（以启动自带防火墙为例）进入“控制面板 网络连接 本地连接”，在高级选项的设置中启用Windows防火墙。在“例外”中配置允许业务所需的程序接入网络。在“例外- 编辑- 更改范围”编辑允许接入的网络地址范围。检测方法1、判定条件启用Windows防火墙。“例外”中允许接入网络的程序均为业务所需。2、检测操作进入“控制面板 网络连接 本地连接”，在高级选项的设置中， 查看是否启用Win dows防火墙。查看是否在“例外”中配置允许业务所需的程序接入网络。查看是否在“例外-编辑- 更改范围”编辑允许接入的网络地址范 围。

13、2.6防病毒软件编号：1要求内容安装防病毒软件，并及时更新。操作指南1、参考配置操作安装防病毒软件，并及时更新。检测方法1、判定条件已安装放病毒软件，病毒码更新时间不早于 1个月，各系统病毒码 升级时间要求参见各系统相关规定。2、检测操作控制面板-添加或删除程序，是否安装有防病毒软件。 打开防病毒 软件控制面板，查看病毒码更新日期。2.8日志安全要求编号：1要求内容设备应配置日志功能，对用户登录进行记录，记录内容包括用户登 录使用的账号，登录是否成功，登录时间，以及远程登录时，用户 使用的IP地址。操作指南1、参考配置操作开始- 运行- 执行“控制面板- 管理工具- 本地安全策略- 审核策略”

14、审核登录事件，双击，设置为成功和失败都审核。检测方法1、判定条件审核登录事件，设置为成功和失败都审核。2、检测操作开始- 运行- 执行“控制面板- 管理工具- 本地安全策略- 审核策略”审核登录事件，双击，查看是否设置为成功和失败都审核。编号：2要求内容开启审核策略，以便出现安全问题后进行追查操作指南1、参考配置操作对审核策略进行检查：开始-运行 -gpedit.msc计算机配置-Windows设置-安全设置-本地策略-审核策略 以下审核是必须开启的，其他的可以根据需要增加：审核系统登陆事件成功，失败审核帐户管理成功，失败审核登陆事件成功，失败审核对象访问成功审核策略更改成功，失败审核特权使用

15、成功，失败审核系统事件成功，失败2、补充说明可能会使日志量猛增检测方法1、判定条件尝试对被添加了访冋审核的对象进行访冋，然后查看安全日志中是否会有相关记录， 或通过其他手段激化以配置的审核策略，并观察日志中的记录情况，如果存在记录条目，则配置成功。2、检测操作编号：3要求内容设置日志容量和覆盖规则，保证日志存储操作指南1、参考配置操作开始-运行-eventvwr右键选择日志，属性，根据实际需求设置：日志文件大小超过上线时的处理方式（建议日志记录天数不小于60天）2、补充说明建议对每个日志均进行如上操作，同时应保证磁盘空间检测方法1、判定条件2、检测操作开始-运行-eventvwr，右键选择日志

16、，属性，查看日志上线及超过上线时的处理方式2.7 Windows服务编号：1要求内容关闭不必要的服务操作指南1、参考配置操作进入“控制面板- 管理工具- 计算机管理”，进入“服务和应用程 序”：查看所有服务，不在此列表的服务需关闭。可禁用的服务及其相关说明如附表所示检测方法1、判定条件系统管理员应出具系统所必要的服务列表。 查看所有服务，不在此列表的服务需关闭。2、检测操作进入“控制面板- 管理工具- 计算机管理”，进入“服务和应用程序”：查看所有服务，不在此列表的服务是否已关闭。编号：2要求内容如需启用SNM服务，则修改默认的 SNMPCommUnity String设置。操作指南1、参考配

17、置操作打开控制面板”，打开 管理工具”中的 服务”，找到SNMP SerViCe ”，单击右键打开 属性”面板中的 安全”选项卡，在这个配 置界面中，可以修改 CommUnity Strings ,也就是微软所说的团体名称”。检测方法1、判定条件community Strings已改，不是默认的“ PUbIiC ”2、检测操作打开控制面板”，打开 管理工具”中的 服务”，找到SNMP SerViCe ”，单击右键打开属性”面板中的 安全”选项卡，在这个配置界面中，查看 CommU nity Stri ngs,也就是微软所说的团体名称”。编号：3要求内容如对互联网开放 Win dowsTermi

18、 nial 服务(RemOte DeSktOP),需修改默认服务端口。操作指南1、参考配置操作运行Regedt32并转到此项：HKEY_LOCAL_MACHINESyStemCUrre ntCo ntrolSetCo ntrolTermi nalSerVerWi nStatio nsRDP-Tcp找到“POrtNUmber ”子项，会看到默认值 OooooD3D,它是3389的十六进制表示形式。使用十六进制数值修改此端口号，并保存新值。检测方法1、判定条件找到“ PortNUmber ”子项，设定值非 OooooD3D,即十进制33892、检测操作运行Regedt32 ,找到此项并判断。2.8

19、启动项要求内容关闭无效启动项操作指南1、参考配置操作开始- 运行-MSconfig ”启动菜单中，取消不必要的启动项。检测方法1、判定条件2、检测操作系统管理员提供业务必须的自动加载进程和服务列表文档。查看 开始- 运行-MSconfig 启动菜单：不需要的自动加载进程是否已禁用和取消。2.9关闭自动播放功能编号：1要求内容关闭Windows自动播放功能操作指南1、参考配置操作点击开始运行输入gpedit.msc ，打开组策略编辑器，浏览到计 算机配置管理模板系统，在右边窗格中双击 关闭自动播放”， 对话框中选择所有驱动器，确定即可。检测方法1、判定条件所有驱动器均 关闭自动播放”2、检测操作

20、关闭自动播放”配置已启用，启用范围：所有驱动器。2.10共享文件夹编号：1要求内容关闭 Windows硬盘默认共享，例如C$, D&操作指南1、参考配置操作进入“开始 运行Regedit ”，进入注册表编辑器，更改注册表键值：在HKLMSystemCurre ntCo ntrolSet下，增加 REG_DWORDl型的AUtOShareSerVer 键，值为 0。检测方法1、判定条件HKLMSystemCurre ntCo ntrolSet增加了 REG_DWORD型的 AUtOShareSerVer 键，值为 0。2、检测操作进入“开始 运行Regedit ”，进入注册表编辑器，更改注册表键

21、值：增加 REG_DWORD型的 AUtOShareSerVer 键，值为 0。编号：2要求内容设置共享文件夹的访问权限， 只允许授权的账户拥有权限共享此文 件夹。操作指南1、参考配置操作进入“控制面板- 管理工具- 计算机管理”，进入“系统工具 共 享文件夹”：查看每个共享文件夹的共享权限，只将权限授权于指定账户。检测方法1、判定条件查看每个共享文件夹的共享权限仅限于业务需要，不设置成为a”every One 。2、检测操作进入“控制面板- 管理工具- 计算机管理”，进入“系统工具 共 享文件夹”：查看每个共享文件夹的共享权限。2.11 使用NTFS文件系统要求内容在不毁坏数据的情况下，将F

22、AT分区改为NTFS格式操作指南1、参考配置操作将FAT卷转换成NTFS分区CoNVERTvolume/FS:NTFS/V/CvtAreafiIe nameNoSeCUrity XVolume指定驱动器号（后面加一个冒号）、装载点或卷名/FS:NTFS 指定要被转换成 NTFS的卷/V指定CONVERT应该用详述模式运行/CvtArea:file name将根目录中的一个接续文件指定为NTFS系统文件的占位符/NoSecurity指疋每个人都可以访冋转换的文件和目录的女全设置/X如果必要，先强行卸载卷，有打开的句柄则无效例如：COVert C : /FS:NTFS备注：在有其他非 WlN系统访

23、问、存在数据共享的情况下，不建议将FAT分区改为NTFS格式检测方法1、判定条件2、检测操作精品资料SySteB 运行，然后在打开行里输入 regedit ，然后单击确疋，查看相关注册表项进行查看；使用空连接扫描工具无法远程枚举用户名和用户组附表：端口及服务服务名称端口服务说明关闭方法处置建议系统服务部分echo7/TCPRFC862声协议关闭Simple TCP/IP Services服务。建议关闭echo7/UDPRFC862声协议discard9/UDPRFC863废除协议discard9/TCPRFC863废除协议daytime13/UDPRFC867白天协议daytime13/TCP

24、RFC867白天协议qotd17/TCPRFC865白天协议的引用qotd17/UDPRFC865白天协议的引用Charge n19/TCPRFC864字符产生协议Charge n19/UDPRFC864字符产生协议ftp21/TCP文件传输协议（控制）关闭FTPPUbIiShi ngService服务。根据情况选择开放SmtP25/TCP简单邮件发送协议关闭Simple MailTra nsport Protocol服务。建议关闭n ameserver42/TCPWlNS主机名服务关闭WindowsInternet NameService服务。建议关闭42/UDPdomai n53/UDP域

25、名服务器关闭DNS Server服务。根据情况选择开放53/TCP根据情况选择开放dhcps67/UDPDHCP服务器/In ter net连接共享关闭Simple TCP/IP Services服务。建议关闭dhcpc68/UDPDHCF协议客户端关闭DHCP Client服务。建议关闭http80/TCPHTTP万维网发布服务关闭World WideWeb PUbIiShi ngService服务。根据情况选择开放epmap135/TCPRPC服务系统基本服务无法关闭135/UDP无法关闭n etbios-ns137/UDPNetBIOS名称解析在网卡的TCP/IP选 项中WINS页勾选 禁用TCP/IP上的 NETBIOS根据情况选择开放n etbios-dgm138/UDPNetBIOS数据报服务根据情况选择开放n etbios-ss n139/TCPNetBIOS会话服务系统基本服务无法关闭SnmP161/UDPSNMP服务关闭SNMP 服务根据情况选择开放https443/TCP安全超文本传输协议关闭World WideWeb PUbIiShi ngService服务根据情况选择开放microsoft-ds445/UDPSMB服务器运行 regedit ,打开 HKEY_LOCAL_MACHIr ESystemCurre ntC on tr