Windows安全配置指引

Windows系统安全配置指南Windows系统安全配置指南中国联通信息化事业部第1页共21页第1页共21页中国联通信息化事业部

第2页共第2页共21页版本版本控制信息更新日期更新人审批人V1.0创建2012年9月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。中国联通信息化事业部

Windows系统安全配置指南第1章概述 1目的 错误！未定义书签。适用范围 错误！未定义书签。适用版本 错误！未定义书签。实施 错误！未定义书签。例外条款 错误！未定义书签。TOC\o"1-5"\h\z\o"CurrentDocument"第2章账号管理、认证授权 2\o"CurrentDocument"账号 2\o"CurrentDocument"管理缺省账户 2口令 2密码复杂度 2\o"CurrentDocument"密码历史 3\o"CurrentDocument"帐户锁定策略 4\o"CurrentDocument"授权 4远程关机 4\o"CurrentDocument"本地关机 5\o"CurrentDocument"用户权利指派 5\o"CurrentDocument"第3章日志配置操作 7\o"CurrentDocument"日志配置 7\o"CurrentDocument"审核登录 7\o"CurrentDocument"审核策略更改 7\o"CurrentDocument"审核对象访问 8\o"CurrentDocument"审核事件目录服务器访问 8\o"CurrentDocument"审核特权使用 9\o"CurrentDocument"审核系统事件 9\o"CurrentDocument"审核账户管理 10\o"CurrentDocument"审核过程追踪 10\o"CurrentDocument"日志文件大小 11\o"CurrentDocument"第4章IP协议安全配置 12IP协议 12\o"CurrentDocument"启用SYN攻击保护. 12\o"CurrentDocument"第5章 设备其他配置操作 14\o"CurrentDocument"共享文件夹及访问权限 14\o"CurrentDocument"关闭默认共享 14\o"CurrentDocument"防病毒管理 14\o"CurrentDocument"数据执行保护 14WINDOW服务 15第3页共21页\o"CurrentDocument"SNMP服务管理 15第3页共21页中国联通信息化事业部

Windows系统安全配置指南TOC\o"1-5"\h\z\o"CurrentDocument"启动项 16\o"CurrentDocument"关闭Windows自动播放功能 16第4页共21页\o"CurrentDocument"第6章评审与修订 17第4页共21页中国联通信息化事业部

Windows系统安全配置指南第1章概述目的本文档规定了中国联通通信有限公司管信息化事业部所维护管理的WINDOWS操作系统的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行WINDOWS操作系统的安全合规性检查和配置。适用范本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。本配置标准适用的范围包括：中国联通总部和各省公司信息化部门维护管理WINDOWS服务器系统。适用版本WINDOWS系列服务器;实施本标准的解释权和修改权属于中国联通集团信息化事业部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准发布之日起生效。例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交第1第1页共21页中国联通信息化事业部

Windows系统安全配置指南第2章账号管理、认证授权账号管理缺省账户项目名称操作系统缺省账户要求项编号Windows-02-01-01项目说明对于管理员帐号，要求更改缺省帐户名称；禁用guest（来宾）帐号。检测操作步骤进入“控制面板-＞管理工具-＞计算机管理”，在“系统工具-＞本地用户和组”：缺省帐户Administrator—＞属性Guest帐号-＞属性符合性判定依据缺省账户Administrator名称已更改。Guest帐号已停用。配置方法进入“控制面板-＞管理工具-＞计算机管理”，在“系统工具-＞本地用户和组”。Administrator—＞属性一〉更改名称Guest帐号-＞属性一＞已停用实施风险业务系统直接利用Administrator账号管理需相应修改其账号。备注口令密码复杂度项目名称操作系统密码复杂度要求项编号Windows-02-02-01项目说明最短密码长度8个字符，启用本机组策略中密码必须符合复杂性要求的策略。即密码至少包含以下四种类别的字符中的三种：英语大写字母A,B,C,…Z中国联通信息化事业部第2页共21页

Windows系统安全配置指南英语小写字母a,b,c,…z西方阿拉伯数字0,1,2,…9非字母数字字符，如标点符号，@,#,$,%,&,*等检测操作步骤进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：查看是否“密码必须符合复杂性要求”选择“已启动”符合性判定依据“密码必须符合复杂性要求”选择“已启动”配置方法进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”。“密码必须符合复杂性要求”选择“已启动”设置如下策略策略默认设置推荐最低设置最短密码长度0个字符8个字符密码必须符合复杂性要求禁用启用为域中所有用户使用可还原的加密来储存密码禁用禁用实施风险风险较小备注密码历史项目名称操作系统密码历史要求项编号Windows-02-02-02项目说明对于采用静态口令认证技术的设备，账户口令的生存期不长于90天。检测操作步骤进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：查看“密码最长存留期”符合性判定依据“密码最长存留期”设置不大于“90天”配置方法进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”。设置如下策略：策略默认设置推荐最低设置强制执行密码历史记录记住1个密码记住5个码密码最长期限42天90天中国联通信息化事业部第3页共21页

Windows系统安全配置指南密码最短期限0天2天实施风险业务系统直接利用的账号不适用密码最长90天期限备注帐户锁定策略项目名称操作系统账户锁定策略要求项编号Windows-02-02-03项目说明对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。检测操作步骤进入“控制面板->管理工具->本地安全策略”，在“帐户策略->帐户锁定策略”：查看“账户锁定阀值”设置符合性判定依据“账户锁定阀值”设置为小于或等于6次配置方法参考配置操作：进入“控制面板->管理工具->本地安全策略”，在“帐户策略->账户锁定策略”。设置如下策略：策略默认设置推荐最低设置账户锁定时间未定义30分钟账户锁定阈值06次无效登录复位账户锁定计数器未定义30分钟实施风险安全扫描检测暴力破解口令将导致账号锁定。备注授权远程关机项目名称操作系统远程关机策略要求项编号Windows-02-03-01项目说明在本地安全设置中从远端系统强制关机只指派给Administrators组。检测操作步进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”：中国联通信息化事业部第4页共21页

Windows系统安全配置指南骤查看“从远端系统强制关机”设置符合性判定依据“从远端系统强制关机”设置为“只指派给Administrtors组”配置方法进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”。“从远端系统强制关机”设置为“只指派给Administrators组”。实施风险风险较小备注本地关机项目名称操作系统本地关机策略要求项编号Windows-02-03-02项目说明在本地安全设置中关闭系统仅指派给Administrators组。检测操作步骤进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”：查看“关闭系统”设置符合性判定依据“关闭系统”设置为“只指派给Administrators组”配置方法参考配置操作：进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”。“关闭系统”设置为“只指派给Administrators组”。实施风险风险较小备注用户权利指派项目名称操作系统用户权力指派策略要求项编号Windows-02-03-03项目说明在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。检测操作步骤进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”：查看是否“取得文件或其它对象的所有权”设置符合性判定依据“取得文件或其它对象的所有权”设置为“只指派给Administrators组”配置方法进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”。中国联通信息化事业部第5页共21页

Windows系统安全配置指南“取得文件或其它对象的所有权”设置为“只指派给Administrators组”。实施风险风险较小备注第6页共第6页共21页Windows系统安全配置指南第3章日志配置操作3.1日志配置3.1.1审核登录项目名称操作系统审核登录策略要求项编号Windows-03-01-01项目说明设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。检测操作步骤开始-＞运行-＞执行"控制面板-＞管理工具-＞本地安全策略-＞审核策略”审核登录事件。符合性判定依据审核登录事件，设置为成功和失败都审核。配置方法参考配置操作：开始-＞运行-＞执行"控制面板-＞管理工具-＞本地安全策略-＞审核策略”审核登录事件，双击，设置为成功和失败都审核。实施风险风险较小备注3.1.2审核策略更改项目名称操作系统审核策略更改要求项编号Windows-03-01-02项目说明启用组策略中对Windows系统的审核策略更改，成功和失败都要审核。检测操作步骤进入“控制面板-＞管理工具-＞本地安全策略”，在“本地策略-＞审核策略”中查看“审核策略更改”设置。符合性判定依据“审核策略更改”设置为“成功”和“失败”都要审核。配置方法参考配置操作：开始-＞运行-＞执行"控制面板-＞管理工具-＞本地安全策略-＞审核策略”中国联通信息化事业部第7页共21页

Windows系统安全配置指南审核策略更改，双击，设置为成功和失败都审核。实施风险风险较小备注3.1.3审核对象访问项目名称操作系统审核对象访问要求项编号Windows-03-01-03项目说明启用组策略中对Windows系统的审核对象访问，成功和失败都要审核。检测操作步骤进入“控制面板-＞管理工具-＞本地安全策略”，在“本地策略-＞审核策略”中：查看“审核对象访问”设置。符合性判定依据“审核对象访问”设置为“成功”和“失败”都要审核。配置方法参考配置操作：开始-＞运行-＞执行"控制面板-＞管理工具-＞本地安全策略-＞审核策略”审核对象访问，双击，设置为成功和失败都审核。实施风险风险较小备注审核事件目录服务器访问项目名称操作系统审核事件目录服务器访问策略要求项编号Windows-03-01-04项目说明启用组策略中对Windows系统的审核目录服务访问，失败。检测操作步骤进入“控制面板-＞管理工具-＞本地安全策略”，在“本地策略-＞审核策略”中：查看“审核目录服务器访问”设置。符合性判定依据“审核目录服务器访问”设置为“成功”和“失败”都要审核。配置方法参考配置操作：开始-＞运行-＞执行"控制面板-＞管理工具-＞本地安全策略-＞审核策略”审核目录服务器访问，双击，设置为成功和失败都审核。实施风险风险较小中国联通信息化事业部第8页共21页

Windows系统安全配置指南备注审核特权使用项目名称操作系统审核特权使用策略要求项编号Windows-03-01-05项目说明启用组策略中对Windows系统的审核特权使用，成功和失败都要审核。检测操作步骤进入“控制面板-＞管理工具-＞本地安全策略”，在“本地策略-＞审核策略”中：查看“审核特权使用”设置。符合性判定依据“审核特权使用”设置为“成功”和“失败”都要审核。配置方法参考配置操作：开始-＞运行-＞执行"控制面板-＞管理工具-＞本地安全策略-＞审核策略”审核特权使用，双击，设置为成功和失败都审核。实施风险风险较小备注第9页共21第9页共21页项目名称操作系统审核系统事件策略要求项编号Windows-03-01-06项目说明启用组策略中对Windows系统的审核系统事件，成功和失败都要审核。检测操作步骤进入“控制面板-＞管理工具-＞本地安全策略”，在“本地策略-＞审核策略”中：查看“审核系统事件”设置。符合性判定依据“审核系统事件”设置为“成功”和“失败”都要审核。配置方法参考配置操作：开始-＞运行-＞执行"控制面板-＞管理工具-＞本地安全策略-＞审核策略”审核系统事件，双击，设置为成功和失败都审核。实施风险风险较小备注中国联通信息化事业部

Windows系统安全配置指南审核账户管理项目名称操作系统审核账户管理策略要求项编号Windows-03-01-07项目说明启用组策略中对Windows系统的审核帐户管理，成功和失败都要审核。检测操作步骤进入“控制面板-＞管理工具-＞本地安全策略”，在“本地策略-＞审核策略”中：查看“审核账户管理”设置。符合性判定依据“审核账户管理”设置为“成功”和“失败”都要审核。配置方法参考配置操作：开始-＞运行-＞执行"控制面板-＞管理工具-＞本地安全策略-＞审核策略”审核账户管理，双击，设置为成功和失败都审核。实施风险风险较小备注第10页共21第10页共21页项目名称操作系统审核过程追踪策略要求项编号Windows-03-01-08项目说明启用组策略中对Windows系统的审核过程追踪失败。检测操作步骤进入“控制面板-＞管理工具-＞本地安全策略”，在“本地策略-＞审核策略”中：查看“审核过程追踪”设置。符合性判定依据“审核过程追踪”设置为“失败”需要审核。配置方法参考配置操作：开始-＞运行-＞执行"控制面板-＞管理工具-＞本地安全策略-＞审核策略”审核过程追踪，双击，设置为成功和失败都审核。实施风险风险较小备注中国联通信息化事业部

Windows系统安全配置指南第11页共21第11页共21页项目名称操作系统日志容量要求项编号Windows-03-01-09项目说明设置应用日志文件大小至少为8192KB，设置当达到最大的日志尺寸时，按需要改写事件。检测操作步骤进入“控制面板->管理工具->事件查看器”，在“事件查看器（本地）”中：查看“应用日志”“系统日志”“安全日志”属性中的日志大小，以及设置当达到最大的日志尺寸时的相应策略。符合性判定依据“应用日志”“系统日志” “安全日志”属性中的日志大小设置不小于“8192KB”，设置当达到最大的日志尺寸时，“按需要改写事件”配置方法参考配置操作：进入“控制面板->管理工具->事件查看器”，在“事件查看器（本地）”中：“应用日志”属性中的日志大小设置不小于“8192KB”，设置当达到最大的日志尺寸时，“按需要改写事件”“系统日志”属性中的日志大小设置不小于“8192KB”，设置当达到最大的日志尺寸时，“按需要改写事件”“安全日志”属性中的日志大小设置不小于“8192KB”，设置当达到最大的日志尺寸时，“按需要改写事件”实施风险需查看C盘剩余空间。备注中国联通信息化事业部

Windows系统安全配置指南第4章IP协议安全配置IP协议第12页共21页启用第12页共21页项目名称操作系统SYN攻击保护要求项编号Windows-04-01-01项目说明启用SYN攻击保护；指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阀值为5；指定处于SYN_RCVD状态的TCP连接数的阈值为500；指定处于至少已发送一次重传的SYN_RCVD状态中的TCP连接数的阈值为400。检测操作步骤在“开始-＞运行-＞键入regedit”查看注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetriedo符合性判定依据HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect;推荐值：2oHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted;推荐值：5。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen;推荐值数据：500oHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried。推荐值数据：400。中国联通信息化事业部

Windows系统安全配置指南配置方法参考配置操作：在“开始-＞运行-＞键入regedit”启用SYN攻击保护的命名值位于注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services之下。值名称：SynAttackProtect。推荐值：2。以下部分中的所有项和值均位于注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services之下。指定必须在触发SYNflood保护之前超过的TCP连接请求阈值。值名称：TcpMaxPortsExhausted。推荐值：5。启用SynAttackProtect后，该值指定SYN_RCVD状态中的TCP连接阈值，超过SynAttackProtect时，触发SYNflood保护。值名称：TcpMaxHalfOpen。推荐值数据：500。启用SynAttackProtect后，指定至少发送了一次重传的SYN_RCVD状态中的TCP连接阈值。超过SynAttackProtect时，触发SYNflood保护。值名称：TcpMaxHalfOpenRetried。推荐值数据：400。实施风险业务系统可针对自身特点相应调整具体数值，内网系统遇到SYNflood攻击概率较低。备注第13页共第13页共21页Windows系统安全配置指南第5章设备其他配置操作5.1共享文件夹及访问权限5.1.1关闭默认共享项目名称操作系统默认共享要求项编号Windows-05-01-01项目说明非域环境中，关闭Windows硬盘默认共享，例如C$，D$。检测操作步骤进入“开始一>运行—>Regedit”，进入注册表编辑器，查看HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer；符合性判定依据HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer键，值为0。配置方法进入“开始一＞运行一＞Regedit”，进入注册表编辑器，更改注册表键值：在HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\下，增加REG_DWORD类型的AutoShareServer键，值为0。实施风险利用共享访问的业务系统需仔细测试。备注5.2防病毒管理第14页共21页第14页共21页项目名称操作系统数据执行保护要求项编号Windows-05-02-01项目说明对于WindowsXPSP2及Windows2003对Windows操作系统程序和服务启用系统自带DEP功能（数据执行保护），防止在受保护内存位置运行有害代码。中国联通信息化事业部

Windows系统安全配置指南检测操作步骤进入“控制面板一＞系统”，在“高级”选项卡的“性能”下的“设置”。进入“数据执行保护”选项卡。查看“仅为基本Windows操作系统程序和服务启用DEP”。符合性判定依据“数据执行保护”选项卡已设置为“仅为基本Windows操作系统程序和服务启用DEP”。配置