操作系统安全基线检查表

Windows操作系统基线安全检查,,,,

序号,安全检查项,描述,检查方法及步骤,检查结果

一、账号与口令,,,,

1,删除或锁定可能无用的帐户,删除或锁定无用的帐户，定期清理无用账户，防止过期用户非法登入操作系统。,"开始->运行->compmgmt.msc->系统工具->本地用户和组->用户

审核不必要的用户和组，审核账户隶属的组权限，审核组用户。记录开启用户并与配合人员核实用户的用途",

2,禁用GUEST账号,guest账号默认系统开启,netuserguest查看用户属性或开始->运行->compmgmt.msc（计算机管理）->本地用户和组，查看guest账号是否停用,

3,检查隐藏账号,隐藏账号一般为非法建立，会导致系统的完整性破坏,帐号(管理员)检测(netuser与注册表HKLM\SAM\Domains\Account\Users\Names下帐号名比较),

4,按照用户角色分配不同权限的帐号,按照用户角色分配不同权限的帐号，保证用户权限最小化。,"开始->运行->compmgmt.msc->系统工具->本地用户和组

审核用户和组，审核账户隶属的组权限，审核组用户。记录开启用户用户权限并与配合人员合核实户权限的正确性",

5,将用户账号分配到相应的帐户组,建立多帐户组，将用户账号分配到相应的帐户组，不同的账户组拥有不同的系统访问和管理权限。,"开始->运行->compmgmt.msc->系统工具->本地用户和组->组

查看开启用户属于组的情况并与配合人员核实组权限的正确性",

6,不使用系统默认用户名,administrator、guest等默认帐户使用默认用户名，当攻击者发起穷举攻击时，使用默认用户名，会大大降低攻击者的攻击难度。,"开始->运行->compmgmt.msc->系统工具->本地用户和组->用户

检查administrator、guest是否存在。",

7,口令策略设置不符合复杂度要求,口令策略设置不符合复杂度要求，口令过于简单，易被黑客破译。,"开始->运行->secpol.msc->账户策略->密码策略

检查“密码必须符合复杂度要求”设置。",

8,设定不能重复使用口令,设定不能重复使用最近5次（含5次）内已使用的口令。,"开始->运行->secpol.msc->账户策略->密码策略

检查“强制密码历史”设置。",

9,口令生存期不得长于90天,口令生存期不得长于90天，应定期更改用户口令。,"开始->运行->secpol.msc->账户策略->密码策略

检查“密码最长使用期限”设置。",

二、登录与授权,,,,

10,查看登录方式类型,远程登录可能造成信息泄露,"1、查看是否允许telnet登录

开始->运行->services.msc->telnet关闭

2、查看是否允许3389登录

我的电脑->属性->远程->启用这台计算机上的远程桌面或使用命令netstat-an|find""3389""",

11,远程登录的IP地址范围设定,远程登录的IP地址范围设定，对登陆系统的远程用户IP进行限定，只有符合IP范围限制的用户可登陆系统。,开始->运行->secpol.msc->IP安全策略，查看已配置的策略列表,

12,将从本地登录设置为指定授权用户,将从本地登录设置为指定授权用户，将登陆权限赋予指定用户。,"开始->运行->secpol.msc->本地策略->用户权限分配

检查“允许在本地登录”设置",

13,将从网络访问设置为指定授权用户,将从网络访问设置为指定授权用户。,"开始->运行->secpol.msc->本地策略->用户权限分配

检查“从网络访问此计算机”设置。",

14,设定连续认证失败次数,设定连续认证失败次数超过6次（不含6次）锁定该账号。,"开始->运行->secpol.msc->帐户策略->帐户锁定策略

检查“帐户锁定阀值”设置。",

15,设置带密码的屏幕保护,设置带密码的屏幕保护，并将时间设定为5分钟，防止合法用户未及时退出登录，造成数据泄露。,"进入“桌面－>右击空白处－>屏幕保护程序”

查看设置等待时间与恢复时使用密码保护设置",

16,对于远程登陆的帐号，设置不活动断开时间为15分钟,对于远程登陆的帐号，设置不活动断开时间为1小时，长时间空闲账户将自动退出。,"开始->运行->secpol.msc->本地策略->安全选项

检查“Microsoft网络服务器：在挂起会话前所需的空闲时间”设置。",

17,交互式登录不显示上次登录用户名,交互式登录未设置不显示上次登录的用户名，攻击者可以此获取系统用户信息，降低攻击难度。,"开始->运行->secpol.msc->本地策略->安全选项

检查“交互式登录:不显示上次的用户名”设置。",

18,远端系统强制关机的权限设置,将从远端系统强制关机仅指派给Administrators组，避免普通用户拥有额外的系统控制权限。,"开始->运行->secpol.msc->本地策略->用户权限分配”

检查“从远程系统强制关机”设置。",

19,关闭系统的权限设置,将关闭系统仅指派给Administrators组，避免普通用户拥有额外的系统控制权限。,"开始->运行->secpol.msc->本地策略->用户权限分配”

检查“关闭系统”设置。",

20,取得文件或其它对象的所有权设置,将取得文件或其它对象的所有权设置仅指派给Administrators组，避免普通用户拥有额外的系统控制权限。,"开始->运行->secpol.msc->本地策略->用户权限分配”

检查“取得文件或其它对象的所有权”设置。",

21,删除可匿名访问共享,删除可匿名访问共享，共享文件应明确共享对象，且不允许匿名访问。,"开始->运行->secpol.msc->本地策略->安全选项

检查“网络访问:可匿名访问的共享”设置。",

22,关闭远程注册表,关闭远程注册表，防止用户远程修改或查看系统注册表。,"进入“控制面板->管理工具->计算机管理”->“服务和应用程序”->“服务”，

检查“RemoteRegistry”。",

三、文件权限,,,,

23,关闭默认共享,关闭默认共享，未经确认的共享操作，尤其是对everyone的共享，会对信息安全造成严重威胁。,"开始->运行->netshare

或我的电脑右击->管理->共享文件夹->共享",

24,非everyone的授权共享,共享文件夹中，设置只允许授权的账户拥有权限共享此文件夹。,检查共享文件夹中的授权用户。,

四、服务与配置,,,,

25,关闭不必要的服务,列出所需关闭服务的列表,"开始->运行->services.msc

telnet关闭

AutomaticUpdates关闭

BackgroundIntelligentTransferService关闭

DHCPClient关闭

Messenger关闭

RemoteRegistry关闭

PrintSpooler关闭

Server关闭

SNMPService关闭

TaskSchedule关闭

TCP/IPNetBIOSHelper关闭",

26,启用NTP服务,启用NTP服务，配置统一服务器时钟，应开启NTP服务向网络内指定的NTPserver同步时钟。,"对于已加入域的服务器，系统将自动与域控服务器同步时钟；

对于未加入域的服务器，需按以下步骤

点击桌面右下角时钟栏，开启“更改日期和时钟设置”-“internet时间”

开启“自动与internet时间服务器同步”选型，在服务器栏中填写NTPserver的IP地址，然后点击“立即更新”。",

27,SNMPCommunityString设置,如需启用SNMP服务，修改默认的SNMPCommunityString设置。,进入“控制面板->管理工具->计算机管理”，进入“服务和应用程序”，检查“SNMPService”，“属性”面板中的“安全”选项卡的communitystrings设置。修改默认“public”,

28,关闭不必要的启动项,关闭不必要的启动项，优化系统资源，同时减少引入不必要的系统漏洞。,“开始->运行->MSconfig”启动菜单中检查启动项。,

五、日志配置,,,,

29,审核策略设置中成功失败都要审核,记录系统的所有审核信息，审核策略设置中成功失败都要审核。,"开始->运行->secpol.msc->本地策略->审核策略

参考下列审核操作标准：

审核策略更改：成功和失败

审核登录事件：成功和失败

审核系统事件：成功和失败

审核帐户登录事件：成功和失败

审核帐户管理：成功和失败

审核对象访问：成功和失败

审核特权使用：成功和失败

审核目录服务访问：成功和失败

审核过程跟踪：失败

其他设置无要求。",

30,设置日志查看器大小,将应用、系统、安全日志查看器大小设置为至少8192KB。,"进入“控制面板->管理工具->事件查看器”，在“事件查看器（本地）”中：（在应用程序日志、安全日志和系统日志上点右键，看属性中的日志大小上限设置，单位为KB。）

查看是否符合操作中提到的标准。",

六、其他配置,,,,

31,安装防病毒软件,安装防病毒软件和防病毒软件并及时升级。,检查杀毒软件的安装和升级情况。,

32,配置WSUS补丁更新服务器,指定系统获取补丁的位置，将更新源指向WSUS服务器。,"1.执行regedit调出注册表编辑器

2.查看参数

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]

""WUServer""和""WUStatusServer""，确认其是否为""""。",

33,ServicePack补丁更新,ServicePack补丁未及时更新，将为攻击者提供入侵漏洞。,检查ServicePack补丁版本。,

34,IIS服务补丁更新,如需启用IIS服务，IIS服务补丁需及时更新。,检查IIS版本。,

35,存在未知或无用的应用程序,存在未知或无用的应用程序，应定期清理应用程序列表中无用或未知的程序，防止系统被植入木马或病毒。,检查“添加或删除程序”面板中的列表。,

36,关闭自动播放功能,关闭自动播放功能，避免执行未经扫描或确认的文件，从而引入木马或病毒。,点击开始→运行→输入gpedit.msc，打开组策略编辑器，计算机配置→管理模板→系统，在右边窗格中双击“关闭自动播放”，检查“关闭自动播放”项设置。,

37,启用防火墙,启用Windows自带防火墙，且根据业务需要限定允许访问网