MicrosoftWindows安全配置基线

-.z.Windows系统安全配置基线中国移动通信**管理信息系统部2012年04月版本版本控制信息更新日期更新人审批人V1.0创建2009年1月V2.0更新2012年4月备注：若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。目录第1章概述51.1目的51.2适用*围51.3适用版本51.4实施51.5例外条款5第2章**管理、认证授权62.1**62.1.1管理缺省**62.1.2按照用户分配***62.1.3删除与设备无关***72.2口令7密码复杂度7密码最长留存期8**锁定策略82.3授权8远程关机8本地关机9用户权利指派*9授权**登陆*10授权**从网络访问*10第3章日志配置操作113.1日志配置11审核登录11审核策略更改11审核对象访问11审核事件目录服务器访问12审核特权使用12审核系统事件13审核**管理13审核过程追踪13日志文件大小14第4章IP协议安全配置154.1IP协议15启用SYN攻击保护15第5章设备其他配置操作175.1共享文件夹及访问权限17关闭默认共享17共享文件夹授权访问*175.2防病毒管理18数据执行保护185.3Windows服务185.3.1SNMP服务管理18系统必须服务列表管理*19系统启动项列表管理*19远程控制服务安全*195.3.5IIS安全补丁管理*20活动目录时间同步管理*205.4启动项21关闭Windows自动播放功能215.5屏幕保护21设置屏幕保护密码和开启时间*215.6远程登录控制22限制远程登陆空闲断开时间225.7补丁管理23操作系统补丁管理*23操作系统最新补丁管理*23第6章评审与修订24概述目的本文档规定了中国移动通信**管理信息系统部门所维护管理的WINDOWS操作系统的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行WINDOWS操作系统的安全合规性检查和配置。适用*围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。本配置标准适用的*围包括：中国移动总部和各省公司信息化部门维护管理的WINDOWS服务器系统。适用版本WINDOWS系列服务器。实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准发布之日起生效。例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信**管理信息系统部进行审批备案。**管理、认证授权**2.1.1管理缺省**安全基线项目名称操作系统缺省**安全基线要求项安全基线编号SBL-Windows-02-01-01安全基线项说明对于管理员**，要求更改缺省**名称；禁用guest（来宾）**。检测操作步骤进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：缺省**Administrator－>属性Guest**->属性基线符合性判定依据缺省**Administrator名称已更改。Guest**已停用。备注2.1.2按照用户分配***安全基线项目名称操作系统用户**划分安全基线要求项安全基线编号SBL-Windows-02-01-02安全基线项说明按照用户分配**。根据系统的要求，设定不同的**和**组，管理员用户，数据库用户，审计用户，来宾用户等。检测操作步骤进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：根据系统的要求，设定不同的**和**组，管理员用户，数据库用户，审计用户，来宾用户。基线符合性判定依据结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的**和**组，管理员用户，数据库用户，审计用户，来宾用户。备注手工判断，需要根据实际情况判断**用途2.1.3删除与设备无关***安全基线项目名称操作系统与设备无关**安全基线要求项安全基线编号SBL-Windows-02-01-03安全基线项说明删除或锁定与设备运行、维护等与工作无关的**检测操作步骤进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：删除或锁定与设备运行、维护等与工作无关的**。基线符合性判定依据结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的**。进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：查看是否删除或锁定与设备运行、维护等与工作无关的**。备注手工判断，需要根据实际情况判断**是否为无关**口令2.2.1密码复杂度安全基线项目名称操作系统密码复杂度安全基线要求项安全基线编号SBL-Windows-02-02-01安全基线项说明最短密码长度8个字符，启用本机组策略中密码必须符合复杂性要求的策略。即密码至少包含以下四种类别的字符中的2种：英语大写字母A,B,C,…Z英语小写字母a,b,c,…z西方阿拉伯数字0,1,2,…9非字母数字字符，如标点符号，,*,$,%,&,*等检测操作步骤进入“控制面板->管理工具->本地安全策略”，在“**策略->密码策略”：查看是否“密码必须符合复杂性要求”选择“已启动”基线符合性判定依据“密码最小长度”大于等于8“密码必须符合复杂性要求”选择“已启动”备注2.2.2密码最长留存期安全基线项目名称操作系统密码历史安全基线要求项安全基线编号SBL-Windows-02-02-02安全基线项说明对于采用静态口令认证技术的设备，**口令的生存期不长于90天。检测操作步骤进入“控制面板->管理工具->本地安全策略”，在“**策略->密码策略”：查看“密码最长存留期”基线符合性判定依据“密码最长存留期”设置不大于“90天”备注**锁定策略安全基线项目名称操作系统**锁定策略安全基线要求项安全基线编号SBL-Windows-02-02-03安全基线项说明对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过10次，锁定该用户使用的**。检测操作步骤进入“控制面板->管理工具->本地安全策略”，在“**策略->**锁定策略”：查看“**锁定阀值”设置基线符合性判定依据“**锁定阀值”设置为小于或等于10次备注授权2.3.1远程关机安全基线项目名称操作系统远程关机策略安全基线要求项安全基线编号SBL-Windows-02-03-01安全基线项说明在本地安全设置中从远端系统强制关机只指派给Administrators组。检测操作步骤进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”:查看“从远端系统强制关机”设置基线符合性判定依据“从远端系统强制关机”设置为“只指派给Administrtors组”备注2.3.2本地关机安全基线项目名称操作系统本地关机策略安全基线要求项安全基线编号SBL-Windows-02-03-02安全基线项说明在本地安全设置中关闭系统仅指派给Administrators组。检测操作步骤进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”:查看“关闭系统”设置基线符合性判定依据“关闭系统”设置为“只指派给Administrators组”备注2.3.3用户权利指派*安全基线项目名称操作系统用户权力指派策略安全基线要求项安全基线编号SBL-Windows-02-03-03安全基线项说明在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。检测操作步骤进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”：查看是否“取得文件或其它对象的所有权”设置基线符合性判定依据“取得文件或其它对象的所有权”设置为“只指派给Administrators组”备注手工检查2.3.4授权**登陆*安全基线项目名称操作系统用户授权登陆安全基线要求项安全基线编号SBL-Windows-02-03-04安全基线项说明在本地安全设置中配置指定授权用户允许本地登陆此计算机。检测操作步骤进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”“从本地登陆此计算机”设置为“指定授权用户”基线符合性判定依据“从本地登陆此计算机”设置为“指定授权用户”，进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”查看是否“从本地登陆此计算机”设置为“指定授权用户”备注手工判断是否授权2.3.5授权**从网络访问*安全基线项目名称操作系统用户授权从网络访问安全基线要求项安全基线编号SBL-Windows-02-03-05安全基线项说明在组策略中只允许授权**从网络访问(包括网络共享等，但不包括终端服务)此计算机。检测操作步骤进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”“从网络访问此计算机”设置为“指定授权用户”基线符合性判定依据“从网络访问此计算机”设置为“指定授权用户”，进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”查看是否“从网络访问此计算机”设置为“指定授权用户”备注手工判断是否授权日志配置操作日志配置3.1.1审核登录安全基线项目名称操作系统审核登录策略安全基线要求项安全基线编号SBL-Windows-03-01-01安全基线项说明设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的**，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。检测操作步骤开始->运行->执行“控制面板->管理工具->本地安全策略->审核策略”审核登录事件。基线符合性判定依据审核登录事件，设置为成功和失败都审核。备注3.1.2审核策略更改安全基线项目名称操作系统审核策略更改安全基线要求项安全基线编号SBL-Windows-03-01-02安全基线项说明启用组策略中对Windows系统的审核策略更改，成功和失败都要审核。检测操作步骤进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中查看“审核策略更改”设置。基线符合性判定依据“审核策略更改”设置为“成功”和“失败”都要审核。备注3.1.3审核对象访问安全基线项目名称操作系统审核对象访问安全基线要求项安全基线编号SBL-Windows-03-01-03安全基线项说明启用组策略中对Windows系统的审核对象访问，成功和失败都要审核。检测操作步骤进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：查看“审核对象访问”设置。基线符合性判定依据“审核对象访问”设置为“成功”和“失败”都要审核。备注3.1.4审核事件目录服务器访问安全基线项目名称操作系统审核事件目录服务器访问策略安全基线要求项安全基线编号SBL-Windows-03-01-04安全基线项说明启用组策略中对Windows系统的审核目录服务访问，失败。检测操作步骤进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：查看“审核目录服务器访问”设置。基线符合性判定依据“审核目录服务器访问”设置为“成功”和“失败”都要审核。备注3.1.5审核特权使用安全基线项目名称操作系统审核特权使用策略安全基线要求项安全基线编号SBL-Windows-03-01-05安全基线项说明启用组策略中对Windows系统的审核特权使用，成功和失败都要审核。检测操作步骤进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：查看“审核特权使用”设置。基线符合性判定依据“审核特权使用”设置为“成功”和“失败”都要审核。备注3.1.6审核系统事件安全基线项目名称操作系统审核系统事件策略安全基线要求项安全基线编号SBL-Windows-03-01-06安全基线项说明启用组策略中对Windows系统的审核系统事件，成功和失败都要审核。检测操作步骤进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：查看“审核系统事件”设置。基线符合性判定依据“审核系统事件”设置为“成功”和“失败”都要审核。备注3.1.7审核**管理安全基线项目名称操作系统审核**管理策略安全基线要求项安全基线编号SBL-Windows-03-01-07安全基线项说明启用组策略中对Windows系统的审核**管理，成功和失败都要审核。检测操作步骤进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：查看“审核**管理”设置。基线符合性判定依据“审核**管理”设置为“成功”和“失败”都要审核。备注3.1.8审核过程追踪安全基线项目名称操作系统审核过程追踪策略安全基线要求项安全基线编号SBL-Windows-03-01-08安全基线项说明启用组策略中对Windows系统的审核过程追踪失败。检测操作步骤进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：查看“审核过程追踪”设置。基线符合性判定依据“审核过程追踪”设置为“失败”需要审核。备注3.1.9日志文件大小安全基线项目名称操作系统日志容量安全基线要求项安全基线编号SBL-Windows-03-01-09安全基线项说明设置应用日志文件大小至少为8192KB，设置当达到最大的日志尺寸时，按需要改写事件。检测操作步骤进入“控制面板->管理工具->事件查看器”，在“事件查看器（本地）”中：查看“应用日志”“系统日志”“安全日志”属性中的日志大小,以及设置当达到最大的日志尺寸时的相应策略。基线符合性判定依据“应用日志”“系统日志”“安全日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时，“按需要改写事件”备注IP协议安全配置IP协议4.1.1启用SYN攻击保护安全基线项目名称操作系统SYN攻击保护安全基线要求项安全基线编号SBL-Windows-04-01-01安全基线项说明启用SYN攻击保护；指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阀值为5；指定处于SYN_RCVD状态的TCP连接数的阈值为500；指定处于至少已发送一次重传的SYN_RCVD状态中的TCP连接数的阈值为400。检测操作步骤在“开始->运行->键入regedit”查看注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMa*PortsE*hausted;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMa*HalfOpen;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMa*HalfOpenRetried。基线符合性判定依据HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect;推荐值：2。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMa*PortsE*hausted;推荐值：5。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMa*HalfOpen;推荐值数据：500。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMa*HalfOpenRetried。推荐值数据：400。备注设备其他配置操作共享文件夹及访问权限5.1.1关闭默认共享安全基线项目名称操作系统默认共享安全基线要求项安全基线编号SBL-Windows-05-01-01安全基线项说明非域环境中，关闭Windows硬盘默认共享，例如C$，D$。检测操作步骤进入“开始－>运行－>Regedit”，进入注册表编辑器，查看HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer；基线符合性判定依据HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer键，值为0。备注5.1.2共享文件夹授权访问*安全基线项目名称操作系统共享文件夹安全基线要求项安全基线编号SBL-Windows-05-01-02安全基线项说明查看每个共享文件夹的共享权限，只允许授权的**拥有权限共享此文件夹。检测操作步骤进入“控制面板->管理工具->计算机管理”，进入“系统工具－>共享文件夹”：查看每个共享文件夹的共享权限，只将权限授权于指定**。基线符合性判定依据查看每个共享文件夹的共享权限仅限于业务需要，不设置成为“everyone”。进入“控制面板->管理工具->计算机管理”，进入“系统工具－>共享文件夹”：查看每个共享文件夹的共享权限。备注手工判断防病毒管理5.2.1数据执行保护安全基线项目名称操作系统数据执行保护安全基线要求项安全基线编号SBL-Windows-05-02-01安全基线项说明对于Windows*PSP2及Windows2003对Windows操作系统程序和服务启用系统自带DEP功能(数据执行保护)，防止在受保护内存位置运行有害代码。检测操作步骤进入“控制面板－>系统”，在“高级”选项卡的“性能”下的“设置”。进入“数据执行保护”选项卡。查看“仅为基本Windows操作系统程序和服务启用DEP”。基线符合性判定依据“数据执行保护”选项卡已设置为“仅为基本Windows操作系统程序和服务启用DEP”。备注Windows服务5.3.1SNMP服务管理安全基线项目名称操作系统SNMP服务管理安全基线要求项安全基线编号SBL-Windows-05-03-01安全基线项说明如需启用SNMP服务，则修改默认的SNMPmunityString设置。检测操作步骤打开“控制面板”，打开“管理工具”中的“服务”，找到“SNMPService”，单击右键打开“属性”面板中的“安全”选项卡，在这个配置界面中，查看munitystrings，也就是微软所说的“团体名称”。基线符合性判定依据munitystrings已改，不是默认的“public”。备注5.3.2系统必须服务列表管理*安全基线项目名称操作系统服务列表管理安全基线要求项安全基线编号SBL-Windows-05-03-02安全基线项说明列出所需要服务的列表(包括所需的系统服务)，不在此列表的服务需关闭。检测操作步骤进入“控制面板->管理工具->计算机管理”，进入“服务和应用程序”：查看所有服务，不在此列表的服务需关闭。基线符合性判定依据系统管理员应出具系统所必要的服务列表。查看所有服务，不在此列表的服务需关闭。备注手工判断5.3.3系统启动项列表管理*安全基线项目名称操作系统启动项列表管理安全基线要求项安全基线编号SBL-Windows-05-03-03安全基线项说明列出系统启动时自动加载的进程和服务列表，不在此列表的需关闭。检测操作步骤“开始->运行->MSconfig”启动菜单中，取消不必要的启动项。基线符合性判定依据不需要的自动加载进程通过“开始->运行->MSconfig”启动菜单中取消。备注手工判断5.3.4远程控制服务安全*安全基线项目名称操作系统远程控制服务管理安全基线要求项安全基线编号SBL-Windows-05-03-04安全基线项说明如对互联网开放WindowsTerminial服务(RemoteDesktop)，需修改默认服务端口。检测操作步骤运行Regedt32并转到此项:HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminalServerWinStationsRDP-Tcp找到“PortNumber”子项，会看到默认值00000D3D，它是3389的十六进制表示形式。使用十六进制数值修改此端口号，并保存新值。基线符合性判定依据找到“PortNumber”子项，设定值非00000D3D，即十进制3389备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。5.3.5IIS安全补丁管理*安全基线项目名称操作系统IIS服务管理安全基线要求项安全基线编号SBL-Windows-05-03-05安全基线项说明如需启用IIS服务，则将IIS升级到最新补丁。检测操作步骤下载IIS补丁包

IIS4.0.microsoft./Downloads/Release.asp"ReleaseID=23667

IIS5.0

.microsoft./Downloads/Release.asp"ReleaseID=23665并安装，或升级到IIS6.0基线符合性判定依据已安装IIS补丁包或升级到IIS6.0。备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。5.3.6活动目录时间同步管理*安全基线项目名称操作系统IIS服务管理安全基线要求项安全基线编号SBL-Windows-05-03-06安全基线项说明通过微软ActiveDirectory管理的终端,或者是独立终端,要求配置时间同步源.终端定期执行时间同步操作(必要时)检测操作步骤在具有PDCEmulator角色的DC上运行如下命令,以和外部时间源同步w32tm/config/syncfromflags:manual/manualpeerlist:<PeerList>在PC终端上运行如下命令行同步时间：w32tm/config/update基线符合性判定依据检查终端主机的时间是否与标准时间同步。备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。启动项5.4.1关闭Windows自动播放功能安全基线项目名称操作系统Windows自动播放安全基线要求项安全基线编号SBL-Windows-05-04-01安全基线项说明关闭Windows自动播放功能。检测操作步骤打开“开始→运行”，在对话框中输入“gpedit.msc”命令，在出现“组策略”窗口中依次选择“在计算机配置→管理模板→系统”，双击“关闭自动播放”查看。基线符合性判定依据在“设置”选项卡中选“已启用”选项。备注屏幕保护5.5.1设置屏幕保护密码和开启时间*安全基线项目名称操作系统屏幕保护安全基线要求项安全基线编号SBL-Windows-05-05-01安全基线项说明设置带密码的屏幕保护，并将时间设定为5分钟。检测操作步骤进入“控制面板－>显示－>屏幕保护程序”：启用屏幕保护程序，设置等待时间为“5分钟”，启用“在恢复时使用密码保护”基线符合性判定依据启用屏幕保护程序，设置等待时间为“5分钟”，启用“在恢复时使用密