WINDOWS操作系统安全配置手册

WINDOWS操作系统安全配置手册

目录

WINDOWS操作系统安全配置手册.............................................1

1概述....................................................................2

合用范围..................................................................2

2WINDOWS设备安全配置规定................................................2

2.1账号管理、认证授权..................................................2

2.2口令.................................................................3

2.3授权................................................................5

2.4bl志配置操作.........................................................8

2.5IP协议安全配置操作................................................13

2.6设备其他配置操作...................................................13

2.7共享文献夹及访问权限...............................................15

2.8补丁管理...........................................................16

2.9防病毒管理.........................................................16

2.10Windows服务.......................................................17

2.11启动项.............................................................17

1概述

合用范围

本规范所指日勺设备为Windows系统设备。本规范明确了运行Windows操作

系统的设备在安全配置方面日勺基本规定。在未尤其阐明的I状况下，均合用于所有

运行的IWindows操作系统。

2WINDOWS设备安全配置规定

本手册从Windows系统设备的认证授权功能、安全日志功能以及IP网络安

全功能，和其他自身安全配置功能四个方面提出安全规定。

2.1账号管理、认证授权

认证功能用于确认登录系统日勺顾客真实身份。认证功能日勺详细实现方式包括

静态口令、动态口令、指纹等生物鉴别技术等。授权功能赋予系统账号日勺操作权

限，并限制顾客进行超越其账号权限的操作。

规定内容按照顾客分派账号。根据系统的规定，设定不一样n勺账户和账户组，

管理员顾客，数据库顾客，审计顾客，来宾顾客等。

操作指南1、参照配置操作

进入“控制面板-＞管理工具-＞计算机管理”，在“系统工具。当地

顾客和组”：

根据系统的规定，设定不一样的账户和账户组，管理员顾客，数据库

顾客，审计顾客，来宾顾客。

检测措施］、鉴定条件

结合规定和实际业务状况判断符合规定，根据系统H勺规定，设定不一

样口勺账户和账户组，管理员顾客，数据库顾客，审计顾客，来宾顾客。

2、检测操作

进入“控制面板-＞管理工具。计算机管理”，在“系统工具-＞当地

顾客和组”：

查看根据系统的规定，设定不一样的账户和账户组，管理员顾客，数

据库顾客，审计顾客，来宾顾客,

规定内容对于管理员帐号，规定更改缺省帐户名称：禁用guesi（来宾）帐号。

操作指南1、参照配置操作

进入“控制面板,管理工具，计算机管理”，在“系统工具。当地

顾客和组”：

Administrator—＞属性一＞更更名称

Guest帐号，属性一＞已停用

检测措施1、鉴定条件

缺省账户Administrator名称已更改。

Gues1帐号已停用。

2、检测操作

进入“控制面板-＞管理工具-＞计算机管理”，在“系统工具-＞当地

顾客和组”：

然省帐户一＞属性一＞更更名称

Guest帐号-＞属性一＞已停用

2.2口令

规定内容最短密码长度8个字符，启用本机组方略中密码必须符合复杂性规定

内方略。即密码至少包括如下四种类别的字符中口勺三种：

•英语大写字母A,B,C,...Z

•英语小写字母a,b,c,…z

•西方阿拉伯数字0,1,2,…9

非字母数字字符，如标点符号，等

操作指南1、参照配置操作

进入“控制面板。管理工具，当地安全方略”，在“帐户方略-＞密

玛方略”：

“密码必须符合复杂性规定”选择“已启动”

检测措施1、鉴定条件

“密码必须符合复杂性规定”选择“已启动”

2、检测操作

进入“控制面板-＞管理工具-＞当地安全方略”，在“帐户方略-＞密

玛方略”：

查看与否“密码必须符合复杂性规定”选择“已启动”

规定内容对于采用静态口令认证技术的设备，账户口令的生存期不长于90天。

操作指南1、参照配置操作

进入“控制面板，管理工具）当地安全方略”，在“帐户方略，密

玛方略”：

“密码最长存留期”设置为“90天”

检测措施1、鉴定条件

“密码最长存留期”设置为“90天”

2、检测操作

进入“控制面板-＞管理工具，当地安全方略”，在“帐户方略-＞密

玛方略”：

查看与否“密码最长存留期”设置为“90天”

规定内容对于采用静态口令认证技术的设备，应配置设备，使顾客不能反复使

用近来5次（含5次）内已使用的口令。

操作指南1、参照配置操作

进入“控制面板。管理工具，当地安全方略”，在“帐户方略-＞密

玛方略”：

“强制密码历史”设置为“记住5个密码”

检测措施1、鉴定条件

“强制密码历史”设置为“记住5个密码”

2、检测操作

进入“控制面板-＞管理工具，当地安全方略”，在“帐户方略-＞密

玛方略”：

查看与否“强制密码历史”设置为“记住5个密码”

规定内容对于采用静态口令认证技术的设备，应配置当顾客持续认证失败次数

超过6次（不含6次），锁定该颐客使用日勺账号。

操作指南1、参照配置操作

进入“控制面板,管理工具，当地安全方略”，在“帐户方略，帐

户锁定方略”：

“账户锁定阀值”设置为6次

检测措施1、鉴定条件

“账户锁定阀值”设置为不大于或等于6次

2、检测操作

进入“控制面板，管理工具。当地安全方略”，在“帐户方略。帐

户锁定方略”：

查看与否”账户锁定阀值”设置为不大于等于6次

2.3授权

规定内容在当地安全设置中从远端系统强制关机只指派给Administrators组。

操作指南1、参照配置操作

进入“控制面板管理工具-）当地安全方略”，在“当地方略-〉顾客

权利指派”：

“从远端系统强制关机"设置为“只指派给Administrators组”

检测措施1、鉴定条件

“从远端系统强制关机”设置为“只指派给Administrtors组”

2、检测操作

进入“控制面板管理工具-）当地安全方略”，在“当地方略-〉顾客

权利指派”：

查看与否“从远端系统强制关机”设置为“只指派给Administrators

组”

规定内容在当地安全设置中关闭系统仅指派给Administrators组。

操作指南1、参照配置操作

进入“控制面板-〉管理工具-＞当地安全方略”，在“当地方略顾客

权利指派”：

“关闭系统”设置为“只指派给Administrators组”

检测措施1、鉴定条件

“关闭系统”设置为“只指派给Administrators组”

2、检测操作

进入“控制面板管理工具-＞当地安全方略”，在“当地方略-〉顾客

权利指派”：

查看“关闭系统”设置为“只指派给Adminisiralors组”

规定内容在当地安全设置中获得文献或其他对象的所有权仅指派给

AdministratorSo

操作指南1、参照配置操作

进入“控制面板管理工具-）当地安全方略”，在“当地方略-〉顾客

权利指派”：

“获得文献或其他对象的所有权”设置为“只指派给Administrators

组”

检测措施1、鉴定条件

“获得文献或其他对象的J所有权”设置为“只指派给Administrators

组”

2、检测操作

进入“控制面板管理工具-）当地安全方略”,在“当地方略-〉顾客

权利指派”：

查看与否“获得文献或其他对象的所有权”设置为“只指派给

Administrators组”

规定内容在当地安全设置中配置指定授权顾客容许当地登陆此计算机。

操作指南1、参照配置操作

进入“控制面板~＞管理工具-＞当地安全方略”，在“当地方略。顾客

权利指派”

“从当地登陆此计算机”设置为“指定授权顾客”

检测措施1、鉴定条件

“从当地登陆此计算机”设置为“指定授权顾客”

2、检测操作

进入“控制面板管理工具-）当地安全方略”，在“当地方略-〉顾客

权利指派”

查看与否“从当地登陆此计算机”设置为“指定授权顾客”

规定内容在组方略中只容许授权帐号从网格访问（包括网络共享等，但不包括终

端服务）此计算机。

操作指南1、参照配置操作

进入“控制面板管理工具-）当地安全方略”，在“当地方略-〉顾客

权利指派”

“从网络访问此计算机”设置为“指定授权顾客”

检测措施1、鉴定条件

“从网络访问此计算机”设置为“指定授权顾客”

2、检测操作

进入“控制面板-＞管理工具-＞当地安全方略”，在“当地方略-〉顾客

权利指派”

查看与否“从网络访问此计算机”设置为“指定授权顾客”

2.4日志配置操作

规定内容设备应配置日志功能，对顾客登录进行记录，记录内容包括顾客登录

使用的账号，登录与否成功，登录时间，以及远程登录时，顾客使用

内IP地址。

操作指南1、参照配置操作

开始，运行，执行“控制面板-＞管理工具-）当地安全方略-》审核方

咯”

审核登录事件，双击，设置为成功和失败都审核。

检测措施1、鉴定条件

审核登录事件，设置为成功和失败都审核。

2、检测操作

开始，运行-＞执行"控制面板管理工具-）当地安全方略-〉审核方

咯”

审核登录事件、双击，查看与否设置为成功和失败都审核。

规定内容启用组方略中对Windows系统的审核方略更改，成功和失败都要审核。

操作指南1、参照配置操作

进入“控制面板，管理工具，当地安全方略”，在“当地方略-＞审核

方略”中

“审核方略更改”设置为“成功”和“失败”都要审核

检测措施1、鉴定条件

“审核方略更改”设置为“成功”和“失败”都要审核

2、检测操作

进入“控制面板，管理工具，当地安全方略”，在“当地方略-＞审核

方略”中

查看与否“审核方略更改”设置为“成功”和“失败”都要审核

规定内容启用组方略中对Windows系统的审查对象访问，成功和失败都要审核。

操作指南1、参照配置操作

世入“控制面板，管理工具，当地安全方略”，在“当地方略-＞审核

方略”中：

“审查对象访问”设置为“成功”和“失败”都要审核

检测措施1、鉴定条件

“审查对象访问”设置为“成功”和“失败”都要审核

2、检测操作

进入“控制面板-＞管理工具-＞当地安全方略”，在“当地方略-〉审核

方略”中：

查看与否“审查对象访问”设置为“成功”和“失败”都要审核

规定内容启用组方略中对Windows系统的审核目录服务访问，失败。

操作指南1、参照配置操作

进入“控制面板-＞管理工具，当地安全方略”，在“当地方略，审核

方略”中：

“审核目录服务器访问”设置为“成功”和“失败”都要审核

检测措施1、鉴定条件

“审核目录服务器访问”设置为“成功”和“失败”都要审核

2、检测操作

进入“控制面板，管理工具，当地安全方略”，在“当地方略-＞审核

方略”中：

查看与否“审核目录服务器访问,设置为“成功”和“失败”都要审

核

规规定定内内容容启启用用组组方方略略中中对对WWiinnddoowwss系系统统口口勺勺审审核核特特权权使使用用，，成成功功和和失失败败都都要要审审核核。。

操作指南］、参照配置操作

进入“控制面板，管理工具，当地安全方略”，在“当地方略-＞审核

方略”中：

“审核特权使用”设置为“成功”和“失败”都要审核

检测措施1、鉴定条件

“审核目录服务器访问”设置为“成功”和“失败”都要审核

2、检测操作

进入“控制面板-＞管理工具，当地安全方略”，在“当地方略-＞审核

方略”中：

查看与否“审核目录服务器访问”设置为“成功”和“失败”都要审

核

规定内容启用组方略中对Windows系统的审核系统事件，成功和失败都要审核。

操作指南1、参照配置操作

进入“控制面板，管理工具，当地安全方略”，在“当地方略。审核

方略”中：

“审核系统事件”设置为“成功”和“失败”都要审核

检测措施1、鉴定条件

“审核系统事件”设置为“成功”和“失败”都要审核

2、检测操作

进入“控制面板，管理工具，当地安全方略”，在“当地方略-＞审核

方略”中：

查看与否“审核系统事件”设置为“成功”和“失败”都要审核

规定内容启用组方略中对Windows系统日勺审核帐户管理，成功和失败都要审核。

操作指南1、参照配置操作

进入“控制面板，管理工具，当地安全方略”，在“当地方略，审核

方略”中：

“审核账户管理”设置为“成功”和“失败”都要审核

检测措施1、鉴定条件

“审核账户管理”设置为“成功”和“失败”都要审核

2、检测操作

进入“控制面板，管理工具，当地安全方略”，在“当地方略，审核

方略”中：

查看与否“审核账户管理”设置为“成功”和“失败”都要审核

规定内容月用组方略中对Windows系统的审核过程追踪，失败。

操作指南1、参照配置操作

进入“控制面板，管理工具，当地安全方略”，在“当地方略，审核

方略”中：

“审核过程追踪”设置为“失败”需要审核

检测措施1、鉴定条件

“审核过程追踪”设置为“失败”需要审核

2、检测操作

进入“控制面板，管理工具，当地安全方略”，在“当地方略。审核

方略”中：

查看与否“审核过程追踪”设置为“失败”需要审核

规定内容设置应用日志文献大小至少为8192KB,设置当到达最大H勺日志尺寸

时，按需要改写事件。

操作指南1、参照配置操作

进入“控制面板，管理工具，事件杳看器”，在“事件查看器（当地）”

中：

“应用口志”属性中的日志大小设置不不大于“8192KB”，设置当到

达最大时H志尺寸时，“按需要改写事件”

检测措施1、鉴定条件

“应用日志”属性中的日志大小设置不不大于“8192KB”，设置当到

达最大的日志尺寸时，“按需要改写事件”

2、检测操作

进入“控制面板，管理工具，事件杳看器”，在“事件查看器（当地）”

中：

查看与否“应用日志”属性中的日志大小设置不不大于“8192KB”，

设置当到达最大的日志尺寸时，“按需要改写事件”

规定内容设置系统日志文献大小至少为8192KB,设置当到达最大口勺日志尺寸

时，按需要改写事件。

操作指南1、参照配置操作

进入“控制面板，管理工具，事件查看器”，在“事件查看器（当地）”

中：

“系统日志”属性中的日志大小设置不不大于“8192KB”，设置当到

达最大的日志尺寸时，“按需要改写事件”

检测措施1、鉴定条件

“系统日志”属性中H勺日志大小设置不不大于“8192KB”，设置当到

达最大的日志尺寸时，“按需要改写事件”

2、检测操作

进入“控制面板，管理工具-＞事件查看器”，在“事件查看器（当地）”

中：

查看与否“系统日志”属性中日勺日志大小设置不不大于“8192KB”，

设置当到达最大时日志尺寸时，“按需要改写事件”

规定内容设置安全日志文献大小至少为8192KB,设置当到达最大11勺日志尺寸

时，按需要改写事件。

操作指南1、参照配置操作

进入“控制面板，管理工具-＞事件查看器”，在“事件查看器（当地）”

中：

“安全日志”属性中的日志大小设置不不大于“8192KB”，设置当到

达最大的日志尺寸时，“按需要改写事件”

检测措施1、鉴定条件

“安全日志”属性中的日志大小设置不不大于“8I92KB”，设置当到

达最大的日志尺寸时，“按需要改写事件”

2、检测操作

进入''控制面板，管理工具-＞事件杳看器”，在“事件杳看器(当地)”

中：

查看与否“安全日志”属性中H勺日志大小设置不不大于“8192KB”,

设置当到达最大的日志尺寸时，”按需要改写事件”

2.5IP协议安全配置操作

规定内容对没有自带防火墙日勺Windows系统，启用Windows系统的IP安全机

制(IPSec)或网络连接上的TCP/IP筛选，只开放业务所需要的TCP,

UDP端口和IP协,议。

操作指南1、参照配置操作

进入“控制面板一〉网络连接一，当地连接"，进入“Internet协议

(TCP/IP)属性一〉高级TCP/IP设置”，在“选项”H勺属性中启用网

络连接上口勺TCP/IP筛选，只开放业务所需要口勺TCP,UDP端口和IP

协议。

检测措施1、鉴定条件

系统管理员出示业务所需端口列表。

根据列表只开放系统与业务所需端口。

2、检测操作

进入“控制面板一〉网络连接一〉当地连接"，进入“Internet协议

(TCP/IP)属性一＞高级TCP/IP设置”，在“选项"H勺属性中启用网

络连接上的TCP/IP筛选，查看与否只开放业务所需要住JTCP,UDP

端口和IP协议。

2.6设备其他配置操作

规定内容设置带密码日勺屏幕保护，并将时间设定为5分钟。

操作指南1、参照配置操作

进入“控制面板一＞显示一＞屏幕保护程序”：

启用屏幕保护程序，设置等待时间为“5分钟”，启用“在恢复时使

用密码保护”

检测措施1、鉴定条件

启用屏幕保护程序，设置等待时间为“5分钟”，启用“在恢复时使

用密码保护”。

2、检测操作

进入“控制面板一＞显示一,屏幕保护程序”：

查看与否启用屏幕保护程序，设置等待时间为“5分钟”，启用“在

恢复时使用密码保护”

规定内容对于远程登陆的帐号，设置不活动断连时间15分钟。

操作指南1、参照配置操作

进入“控制面板管理工具-）当地安全方略”，在“当地方略-〉安全

选项”：

"Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”

为15分钟

检测措施1、鉴定条件

"Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”

为15分钟。

2、检测操作

进入“控制面板管理工具-＞当地安全方略”,在“当地方略-〉安全

选项”：

查看与否“Microsoft网络服务器”设置为“在挂起会话之前田二需13勺

空闲时间”为15分钟

2.7共享文献夹及访问权限

规定内容非域环境中,关闭Windows硬盘默认共享,例如C$,D$o

操作指南1、参照配置操作

进入“开始一＞运行一＞Regedit”，进入注册表编辑器，

更改注册表键值：在HKLM\System\CurrentControlSet\

Services\LanmanServer\Parameters\T,增长REG_DWORD类型Fj

AutoSharcScrvcr键，值为0。

检测措施1、鉴定条件

HKLM\System\CurrentControlSel\Services\LanmanServer\Parame(ers\i^

长了REG_DWORD类型的AuioShareServer键，值为0。

2、检测操作

进入“开始一》运行一＞Regedit”，进入注册表编辑器，更改注世表键

值：在HKLM\System\CurrentControlSet\

Services\LanmanServer\Parameters\T»增长REG_DWORD类型的

AutoShareServer键，值为0。

规定内容查看每个共享文献夹的J共享权限，只容许授权的账户拥有权限共享此

文献夹。

操作指南1、参照配置操作

进入“控制面板，管理工具，计算机管理”,进入“系统工具一〉共享

文献夹