Windows系統(tǒng)安全配置基線

1、Win dows系統(tǒng)安全配置基線 目錄 第1章概述 目的 適用范圍 適用版本 第2章安裝前準(zhǔn)備工作 需準(zhǔn)備的光盤(pán) 第3章操作系統(tǒng)的基本安裝 基本安裝 第4章賬號(hào)管理、認(rèn)證授權(quán) 賬號(hào) 管理缺省賬戶 刪除無(wú)用賬戶 用戶權(quán)限分離 口令 密碼復(fù)雜度 密碼最長(zhǎng)生存期 密碼歷史 帳戶鎖定策略 授權(quán) 遠(yuǎn)程關(guān)機(jī) 本地關(guān)機(jī) 隱藏上次登錄名 關(guān)機(jī)清理內(nèi)存頁(yè)面 用戶權(quán)利指派 第5章 日志配置操作 日志配置 審核登錄 審核策略更改 審核對(duì)象訪問(wèn) 審核事件目錄服務(wù)器訪問(wèn) 審核特權(quán)使用 審核系統(tǒng)事件 審核賬戶管理 審核過(guò)程追蹤 日志文件大小 第6章其他配置操作 共享文件夾及訪問(wèn)權(quán)限 關(guān)閉默認(rèn)共享 防病毒管理 防病毒軟件保

2、護(hù) WNDOW服艮務(wù) 系統(tǒng)服務(wù)管理 訪問(wèn)控制 限制 Radmin管理地址 啟動(dòng)項(xiàng) 關(guān)閉 Windows自動(dòng)播放功能 配置屏保功能 補(bǔ)丁更新 持續(xù)改進(jìn) 第1章概述 1.1目的 本文規(guī)定了 WINDOW操作系統(tǒng)主機(jī)應(yīng)當(dāng)遵循的操作系統(tǒng)安全性設(shè)置標(biāo)準(zhǔn)，本 文檔旨在指導(dǎo)系統(tǒng)管理人員或安全檢查人員進(jìn)行WINDOW操作系統(tǒng)的安全合規(guī) 性檢查和配置。 1.2適用范圍 本配置標(biāo)準(zhǔn)的使用者包括：服務(wù)器系統(tǒng)管理員、安全管理員和相關(guān)使用人員。 本配置標(biāo)準(zhǔn)適用的范圍包括：WINDOWS艮務(wù)器。 1.3適用版本 適用于 Windows XP、Windows Server 服務(wù)器。 第2章安裝前準(zhǔn)備工作 2.1需準(zhǔn)備的光盤(pán)

3、 (1)正版的Windows服務(wù)器操作系統(tǒng)光盤(pán)。 (2) 服務(wù)器用殺毒軟件光盤(pán) 第3章操作系統(tǒng)的基本安裝 3.1基本安裝 （1）使用NTFS文件系統(tǒng)來(lái)最小化安裝操作系統(tǒng)。 （2）管理員賬號(hào)須設(shè)置較復(fù)雜的口令（由數(shù)字、大小寫(xiě)字母和特殊字符組 成），長(zhǎng)度在12位以上，其中管理員口令應(yīng)一機(jī)一密碼，不同機(jī)器之間不應(yīng)相同 （3）斷幵網(wǎng)絡(luò)安裝完操作系統(tǒng)后，在業(yè)務(wù)網(wǎng)專用區(qū)域內(nèi)連接網(wǎng)絡(luò)進(jìn)行系統(tǒng) 升級(jí)，并打幵 Windows自動(dòng)更新服務(wù)。 （4）升級(jí)完成后，安裝前述光盤(pán)中的殺毒軟件并進(jìn)行更新。 第4章賬號(hào)管理、認(rèn)證授權(quán) 4.1賬號(hào) 安全基線 操作系統(tǒng)缺省賬戶安全基線要求項(xiàng) 項(xiàng)目名稱 安全基線 對(duì)于管理員帳號(hào)，要

4、求更改缺省帳戶名稱；禁用guest （來(lái)賓） 項(xiàng)說(shuō)明 帳號(hào)。 檢測(cè)操作 進(jìn)入“控制面板- 管理工具- 計(jì)算機(jī)管理”，在“系統(tǒng)工具- 步驟 本地用戶和組”： 缺省帳戶Administrator 屬性 Guest帳號(hào)- 屬性 基線符合 缺省賬戶 Administrator 名稱已更改 性判定依 據(jù) Guest帳號(hào)已停用 備注 安全基線 操作系統(tǒng)缺省賬戶安全基線要求項(xiàng) 項(xiàng)目名稱 安全基線 刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等與工作無(wú)關(guān)的賬號(hào)。 項(xiàng)說(shuō)明 檢測(cè)操作 1、參考配置操作 步驟 進(jìn)入“控制面板- 管理工具- 計(jì)算機(jī)管理”，在“系統(tǒng)工具- 本地用戶和組”： 刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等與工作無(wú)關(guān)的賬號(hào)。

5、 基線符合 1、判定條件 性判定依 結(jié)合要求和實(shí)際業(yè)務(wù)情況判斷符合要求，刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等與 工作無(wú)關(guān)的賬號(hào)。 據(jù) 2、檢測(cè)操作 進(jìn)入“控制面板- 管理工具- 計(jì)算機(jī)管理”，在“系統(tǒng)工具- 本地用戶和組”： 查看是否刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等與工作無(wú)關(guān)的賬號(hào)。 備注 用戶權(quán)限分離 安全基線 項(xiàng)目名稱 操作系統(tǒng)缺省賬戶安全基線要求項(xiàng) 安全基線 按照用戶分配賬號(hào)。根據(jù)系統(tǒng)的要求，設(shè)定不冋的賬戶和賬戶 項(xiàng)說(shuō)明 組，管理員用戶，操作員用戶operator，審計(jì)用戶 auditor 等。 檢測(cè)操作 1、參考配置操作 進(jìn)入“控制面板- 管理工具- 計(jì)算機(jī)管理”，在“系統(tǒng)工具- 本地用戶和組”：

6、 步驟 根據(jù)系統(tǒng)的要求，設(shè)定不同的賬戶和賬戶組，管理員用戶，操 作員用戶和審計(jì)用戶納入 user組。 基線符合 1、判定條件 結(jié)合要求和實(shí)際業(yè)務(wù)情況判斷符合要求，根據(jù)系統(tǒng)的要求，設(shè)定不冋的賬戶 性判定依 和賬戶組，管理員用戶，操作員用戶，審計(jì)用戶。 據(jù) 2、檢測(cè)操作 進(jìn)入“控制面板- 管理工具- 計(jì)算機(jī)管理”，在“系統(tǒng)工具- 本地用戶和組”： 查看根據(jù)系統(tǒng)的要求，設(shè)定不同的賬戶和賬戶組，管理員用戶， 數(shù)據(jù)庫(kù)用戶，審計(jì)用戶。 備注 4.2 口令 密碼復(fù)雜度 安全基線 項(xiàng)目名稱 操作系統(tǒng)密碼復(fù)雜度安全基線要求項(xiàng) 安全基線 最短密碼長(zhǎng)度12個(gè)字符，啟用本機(jī)組策略中密碼必須符合復(fù) 項(xiàng)說(shuō)明 雜性要求的策

7、略。即密碼需要包含以下四種類別的字符： ?英語(yǔ)大寫(xiě)字母A, B, C,Z ?英語(yǔ)小寫(xiě)字母 a, b, c,z ?西方阿拉伯?dāng)?shù)字 0,1,2,9 非字母數(shù)字字符，如標(biāo)點(diǎn)符號(hào)，, #, $, %, 基線符合 HKLMSystemCurre ntCo ntrolSetServicesLa nman ServerP 性判定依 arametersAutoShareServer鍵，值為 0。 據(jù) 備注 6.2防病毒管理 防病毒軟件保護(hù) 安全基線 項(xiàng)目名稱 操作系統(tǒng)防病毒保護(hù)安全基線要求項(xiàng) 安全基線 對(duì)Windows 2003服務(wù)器主機(jī)應(yīng)當(dāng)安裝部署服務(wù)器專版殺毒軟 項(xiàng)說(shuō)明 件，并打開(kāi)自動(dòng)升級(jí)病毒庫(kù)選項(xiàng)。 檢

8、測(cè)操作 查看是否存在符合條件的殺毒軟件； 步驟 點(diǎn)擊進(jìn)入殺毒軟件的操作界面，檢查是否幵啟自動(dòng)更新。 基線符合 如不存在殺毒軟件或者沒(méi)打幵自動(dòng)更新即為不合規(guī)。 性判定依 據(jù) 備注 6.3 Windows 服務(wù) 系統(tǒng)服務(wù)管理 安全基線 項(xiàng)目名稱 操作系統(tǒng)系統(tǒng)服務(wù)管理安全基線要求項(xiàng) 安全基線 項(xiàng)說(shuō)明 檢查系統(tǒng)幵機(jī)啟動(dòng)的服務(wù)，并根據(jù)實(shí)際情況幵啟/關(guān)閉服務(wù)， 如:Messenger，Task Scheduler，Server，Workstation ，Print Spooler，Alerter ，Computer Browser，DHCRClient ，Remote Registry Service ，

9、SNMP TCP/IP NetBIOS Helper ，IPSEC Policy Agent 等； 檢測(cè)操作 步驟 打幵“控制面板”，打幵“管理工具”中的“服務(wù)”。 基線符合 性判定依 據(jù) 關(guān)閉不需要的服務(wù)，并設(shè)置非幵機(jī)自動(dòng)啟動(dòng)項(xiàng)。詢問(wèn)管理員， 在系統(tǒng)確實(shí)需要的情況下可幵啟相應(yīng)的服務(wù)，如SNMP等o 備注 系統(tǒng)管理員應(yīng)出具系統(tǒng)所必要的服務(wù)列表。 查看所有服務(wù)，不在此列表的服務(wù)需關(guān)閉。 6.4訪問(wèn)控制 限制Radmin管理地址 安全基線 項(xiàng)目名稱 操作系統(tǒng)數(shù)據(jù)訪問(wèn)控制安全基線要求項(xiàng) 安全基線 通過(guò)限制Radmin管理地址，嚴(yán)格控制訪問(wèn)者來(lái)源 項(xiàng)說(shuō)明 檢測(cè)操作 步驟 1、參考配置操作 開(kāi)始菜單？R

10、adm in? operati ons for Remote Adm ini strator server 選擇 Operations 選擇Add 基線符合 1、判定條件 性判定依 在非管理網(wǎng)段嘗試進(jìn)行radmin連接 據(jù) 備注 中心機(jī)房以外的服務(wù)器管理暫時(shí)不做源地址限制。 6.5啟動(dòng)項(xiàng) 關(guān)閉Windows自動(dòng)播放功能 安全基線 項(xiàng)目名稱 操作系統(tǒng) Windows自動(dòng)播放安全基線要求項(xiàng) 安全基線 項(xiàng)說(shuō)明 關(guān)閉Windows自動(dòng)播放功能。 檢測(cè)操作 步驟 打開(kāi)“開(kāi)始t運(yùn)行”，在對(duì)話框中輸入“”命令， 在出現(xiàn)“組 策略”窗口中依次選擇“在計(jì)算機(jī)配置-管理模板-系統(tǒng)”， 雙擊“關(guān)閉自動(dòng)播放”查看。

11、基線符合 性判定依 據(jù) 在“設(shè)置”選項(xiàng)卡中選“已啟用”選項(xiàng)。 備注 配置屏保功能 安全基線 項(xiàng)目名稱 操作系統(tǒng)Windows其他安全配置基線要求項(xiàng) 安全基線 項(xiàng)說(shuō)明 配置Windows屏幕保護(hù)功能 檢測(cè)操作 步驟 1、參考配置操作 打開(kāi)控制面板t顯示，在“顯示”屬性中選擇屏幕保護(hù)，選擇任意屏幕保護(hù) 程序后將等待時(shí)間修改為 15分鐘，并選擇“在恢復(fù)時(shí)使用密碼保護(hù)”，確定 即可。 基線符合 性判定依 據(jù) 1、判定條件 計(jì)算機(jī)15分鐘無(wú)操作時(shí)能自動(dòng)啟用屏幕保護(hù)，恢復(fù)時(shí)要求輸入密碼。 2、檢測(cè)操作 打開(kāi)控制面板t顯示， 在“顯示”屬性中選擇屏幕保護(hù)， 檢查等待時(shí)間和“在 恢復(fù)時(shí)使用密碼保護(hù)”設(shè)置。 備

12、注 補(bǔ)丁更新 安全基線 項(xiàng)目名稱 操作系統(tǒng)Windows其他安全配置基線要求項(xiàng) 安全基線 項(xiàng)說(shuō)明 安裝最新的Service Pack 補(bǔ)丁集 檢測(cè)操作 步驟 1、參考配置操作 安裝最新的 Service Pack 補(bǔ)丁集，目前 Windows XP 的 Service Pack 為 SP3。 Windows2000要求重裝到Windows2003,對(duì)于客觀因素?zé)o法重裝的 Windows2000,建議 Service Pack 升級(jí)至 SP4,Windows 2003 的 Service Pack 為 SP2, Windows 2008 的 Servoce Pack 為 SP2 基線符合 1、判定條