ISMS-C-10 主機(jī)系統(tǒng)安全配置規(guī)范

1、主機(jī)系統(tǒng)安全配置規(guī)范文件編號：ISMS-C-10版 本：A/0頁 碼：第24頁 共24頁版本更改履歷制訂/修訂審批生效日期A/0編制審核批準(zhǔn)日期日期日期分發(fā)欄：r 市場中心r 項(xiàng)目中心r 模具中心r 采購部r 品質(zhì)中心r 貨倉課r 財(cái)務(wù)部r 總經(jīng)辦r 人力資源中心r 設(shè)備課r 計(jì)劃部r 生產(chǎn)中心1. 目的為規(guī)范和明確主機(jī)系統(tǒng)在安全配置方面的基本要求，特制定本規(guī)范。2. 范圍本規(guī)范適用于公司的服務(wù)器系統(tǒng)的安全配置管理，本規(guī)范所指的設(shè)備為Windows系統(tǒng)設(shè)備，在未特別說明的情況下，均適用于所有運(yùn)行的Windows操作系統(tǒng)，包括Windows 2012、Windows 7、Windows2003、

2、Windows 10以及各版本中的Sever、Professional版本。3. 職責(zé)與權(quán)限人事行政部負(fù)責(zé)組織公司相關(guān)人員編制及修訂主機(jī)系統(tǒng)安全配置規(guī)范。人事行政部人員應(yīng)根據(jù)本規(guī)范組織相關(guān)人員對服務(wù)器、重要主機(jī)系統(tǒng)進(jìn)行適當(dāng)?shù)陌踩渲谩?. 相關(guān)文件無5. 術(shù)語定義無 6. 管理規(guī)定6.1 內(nèi)部適用性說明配置要求說明編號采納意見補(bǔ)充說明安全要求-設(shè)備-通用-配置-1-可選增強(qiáng)安全要求-設(shè)備-WINDOWS-配置-1安全要求-設(shè)備-通用-配置-2-可選增強(qiáng)安全要求-設(shè)備-WINDOWS-配置-2-可選安全要求-設(shè)備-通用-配置-3-可選不采納Windows無法在遠(yuǎn)程登陸時(shí)通過切換用戶提升權(quán)限安全要

3、求-設(shè)備-通用-配置-4增強(qiáng)安全要求-設(shè)備-WINDOWS-配置-4安全要求-設(shè)備-通用-配置-5完全采納安全要求-設(shè)備-通用-配置-6-可選完全采納安全要求-設(shè)備-通用-配置-7-可選完全采納安全要求-設(shè)備-通用-配置-9增強(qiáng)安全要求-設(shè)備-WINDOWS-配置-5安全要求-設(shè)備-WINDOWS-配置-6安全要求-設(shè)備-WINDOWS-配置-7安全要求-設(shè)備-WINDOWS-配置-8安全要求-設(shè)備-WINDOWS-配置-9安全要求-設(shè)備-通用-配置-12完全采納安全要求-設(shè)備-通用-配置-13-可選增強(qiáng)安全要求-設(shè)備-WINDOWS-配置-11安全要求-設(shè)備-通用-配置-24-可選增強(qiáng)安全要

4、求-設(shè)備-WINDOWS-配置-10安全要求-設(shè)備-WINDOWS-配置-12安全要求-設(shè)備-WINDOWS-配置-13安全要求-設(shè)備-WINDOWS-配置-14安全要求-設(shè)備-WINDOWS-配置-15安全要求-設(shè)備-WINDOWS-配置-16安全要求-設(shè)備-WINDOWS-配置-17安全要求-設(shè)備-WINDOWS-配置-18安全要求-設(shè)備-WINDOWS-配置-19安全要求-設(shè)備-通用-配置-14-可選不采納Windows日志儲(chǔ)存在本地安全要求-設(shè)備-通用-配置-16-可選增強(qiáng)安全要求-設(shè)備-WINDOWS-配置-20-可選安全要求-設(shè)備-WINDOWS-配置-21-可選安全要求-設(shè)備-通

5、用-配置-17-可選不采納Windosw遠(yuǎn)程管理采用了自有協(xié)議，不支持SSH 安全要求-設(shè)備-通用-配置-19-可選不采納WIN系統(tǒng)不具備字符交互界面安全要求-設(shè)備-通用-配置-20-可選增強(qiáng)安全要求-設(shè)備-WINDOWS-配置-22安全要求-設(shè)備-通用-配置-27-可選不采納Windows不支持CONSOLE訪問6.2 安全配置要求本規(guī)范從Windows系統(tǒng)設(shè)備的認(rèn)證授權(quán)功能、安全日志功能以及IP網(wǎng)絡(luò)安全功能，和其他自身安全配置功能四個(gè)方面提出安全要求。6.2.1 賬號管理、認(rèn)證授權(quán)認(rèn)證功能用于確認(rèn)登錄系統(tǒng)的用戶真實(shí)身份。認(rèn)證功能的具體實(shí)現(xiàn)方式包括靜態(tài)口令、動(dòng)態(tài)口令、指紋等生物鑒別技術(shù)等。授

6、權(quán)功能賦予系統(tǒng)賬號的操作權(quán)限，并限制用戶進(jìn)行超越其賬號權(quán)限的操作。賬號編號：安全要求-設(shè)備-通用-配置-1要求內(nèi)容按照用戶分配賬號。根據(jù)系統(tǒng)的要求，設(shè)定不同的賬戶和賬戶組，管理員用戶，數(shù)據(jù)庫用戶，審計(jì)用戶，來賓用戶等。操作指南1、參考配置操作進(jìn)入“控制面板-管理工具-計(jì)算機(jī)管理”，在“系統(tǒng)工具-本地用戶和組”：根據(jù)系統(tǒng)的要求，設(shè)定不同的賬戶和賬戶組，管理員用戶，數(shù)據(jù)庫用戶，審計(jì)用戶，來賓用戶。檢測方法1、 判定條件結(jié)合要求和實(shí)際業(yè)務(wù)情況判斷符合要求，根據(jù)系統(tǒng)的要求，設(shè)定不同的賬戶和賬戶組，管理員用戶，數(shù)據(jù)庫用戶，審計(jì)用戶，來賓用戶。2、檢測操作進(jìn)入“控制面板-管理工具-計(jì)算機(jī)管理”，在“系統(tǒng)工

7、具-本地用戶和組”：查看根據(jù)系統(tǒng)的要求，設(shè)定不同的賬戶和賬戶組，管理員用戶，數(shù)據(jù)庫用戶，審計(jì)用戶，來賓用戶。編號：安全要求-設(shè)備-WINDOWS-配置-2-可選要求內(nèi)容刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等與工作無關(guān)的賬號。操作指南1、參考配置操作進(jìn)入“控制面板-管理工具-計(jì)算機(jī)管理”，在“系統(tǒng)工具-本地用戶和組”：刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等與工作無關(guān)的賬號。檢測方法1、判定條件結(jié)合要求和實(shí)際業(yè)務(wù)情況判斷符合要求，刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等與工作無關(guān)的賬號。2、檢測操作進(jìn)入“控制面板-管理工具-計(jì)算機(jī)管理”，在“系統(tǒng)工具-本地用戶和組”：查看是否刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等與工作無關(guān)的賬號。編號：安

8、全要求-設(shè)備-WINDOWS-配置-3-可選要求內(nèi)容對于管理員帳號，要求更改缺省帳戶名稱；禁用guest（來賓）帳號。操作指南1、參考配置操作進(jìn)入“控制面板-管理工具-計(jì)算機(jī)管理”，在“系統(tǒng)工具-本地用戶和組”：Administrator屬性 更改名稱Guest帳號-屬性 已停用檢測方法1、判定條件缺省賬戶Administrator名稱已更改。Guest帳號已停用。2、檢測操作進(jìn)入“控制面板-管理工具-計(jì)算機(jī)管理”，在“系統(tǒng)工具-本地用戶和組”：缺省帳戶屬性 更改名稱Guest帳號-屬性 已停用口令編號：安全要求-設(shè)備-WINDOWS-配置-4要求內(nèi)容最短密碼長度 6個(gè)字符，啟用本機(jī)組策略中密

9、碼必須符合復(fù)雜性要求的策略。即密碼至少包含以下四種類別的字符中的兩種：l 英語大寫字母 A, B, C, Z l 英語小寫字母 a, b, c, z l 西方阿拉伯?dāng)?shù)字 0, 1, 2, 9 l 非字母數(shù)字字符，如標(biāo)點(diǎn)符號，, #, $, %, &, *等操作指南1、參考配置操作進(jìn)入“控制面板-管理工具-本地安全策略”，在“帳戶策略-密碼策略”：“密碼必須符合復(fù)雜性要求”選擇“已啟動(dòng)”檢測方法1、判定條件“密碼必須符合復(fù)雜性要求”選擇“已啟動(dòng)”2、檢測操作進(jìn)入“控制面板-管理工具-本地安全策略”，在“帳戶策略-密碼策略”：查看是否“密碼必須符合復(fù)雜性要求”選擇“已啟動(dòng)”編號：安全要求-設(shè)備-W

10、INDOWS-配置-35要求內(nèi)容對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，賬戶口令的生存期不長于90天。操作指南1、參考配置操作進(jìn)入“控制面板-管理工具-本地安全策略”，在“帳戶策略-密碼策略”：“密碼最長存留期”設(shè)置為“90天”檢測方法1、判定條件“密碼最長存留期”設(shè)置為“90天”2、檢測操作進(jìn)入“控制面板-管理工具-本地安全策略”，在“帳戶策略-密碼策略”：查看是否“密碼最長存留期”設(shè)置為“90天”編號：安全要求-設(shè)備-WINDOWS-配置-36-可選要求內(nèi)容對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置設(shè)備，使用戶不能重復(fù)使用最近5次（含5次）內(nèi)已使用的口令。操作指南1、參考配置操作進(jìn)入“控制面板-管理工

11、具-本地安全策略”，在“帳戶策略-密碼策略”：“強(qiáng)制密碼歷史”設(shè)置為“記住5個(gè)密碼”檢測方法1、判定條件“強(qiáng)制密碼歷史”設(shè)置為“記住5個(gè)密碼”2、檢測操作進(jìn)入“控制面板-管理工具-本地安全策略”，在“帳戶策略-密碼策略”：查看是否“強(qiáng)制密碼歷史”設(shè)置為“記住5個(gè)密碼”編號：安全要求-設(shè)備-WINDOWS-配置-37要求內(nèi)容對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過6次（不含6次），鎖定該用戶使用的賬號。操作指南1、參考配置操作進(jìn)入“控制面板-管理工具-本地安全策略”，在“帳戶策略-帳戶鎖定策略”：“賬戶鎖定閥值”設(shè)置為 6次檢測方法1、判定條件“賬戶鎖定閥值”設(shè)置為小于或

12、等于 6次2、檢測操作進(jìn)入“控制面板-管理工具-本地安全策略”，在“帳戶策略-帳戶鎖定策略”：查看是否“賬戶鎖定閥值”設(shè)置為小于等于 6次授權(quán)編號：安全要求-設(shè)備-WINDOWS-配置-5要求內(nèi)容在本地安全設(shè)置中從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)只指派給Administrators組。操作指南1、參考配置操作進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權(quán)利指派”:“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置為“只指派給Administrators組”檢測方法1、判定條件“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置為“只指派給Administrtors組”2、檢測操作進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權(quán)利

13、指派”:查看是否“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置為“只指派給Administrators組”編號：安全要求-設(shè)備-WINDOWS-配置-6要求內(nèi)容在本地安全設(shè)置中關(guān)閉系統(tǒng)僅指派給Administrators組。操作指南1、參考配置操作進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權(quán)利指派”:“關(guān)閉系統(tǒng)”設(shè)置為“只指派給Administrators組”檢測方法1、判定條件“關(guān)閉系統(tǒng)”設(shè)置為“只指派給Administrators組”2、檢測操作進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權(quán)利指派”:查看“關(guān)閉系統(tǒng)”設(shè)置為“只指派給Administrators組”編號：安全要

14、求-設(shè)備-WINDOWS-配置-7要求內(nèi)容在本地安全設(shè)置中取得文件或其它對象的所有權(quán)僅指派給Administrators。操作指南1、參考配置操作進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權(quán)利指派”：“取得文件或其它對象的所有權(quán)”設(shè)置為“只指派給Administrators組”檢測方法1、判定條件“取得文件或其它對象的所有權(quán)”設(shè)置為“只指派給Administrators組”2、檢測操作進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權(quán)利指派”：查看是否“取得文件或其它對象的所有權(quán)”設(shè)置為“只指派給Administrators組”編號：安全要求-設(shè)備-WINDOWS

15、-配置-8要求內(nèi)容在本地安全設(shè)置中配置指定授權(quán)用戶允許本地登陸此計(jì)算機(jī)。操作指南1、參考配置操作進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權(quán)利指派”“從本地登陸此計(jì)算機(jī)”設(shè)置為“指定授權(quán)用戶”檢測方法1、判定條件“從本地登陸此計(jì)算機(jī)”設(shè)置為“指定授權(quán)用戶”2、檢測操作進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權(quán)利指派”查看是否“從本地登陸此計(jì)算機(jī)”設(shè)置為“指定授權(quán)用戶”編號：安全要求-設(shè)備-WINDOWS-配置-9要求內(nèi)容在組策略中只允許授權(quán)帳號從網(wǎng)絡(luò)訪問(包括網(wǎng)絡(luò)共享等，但不包括終端服務(wù))此計(jì)算機(jī)。操作指南1、參考配置操作進(jìn)入“控制面板-管理工具-本地安全

16、策略”，在“本地策略-用戶權(quán)利指派”“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”設(shè)置為“指定授權(quán)用戶”檢測方法1、判定條件“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”設(shè)置為“指定授權(quán)用戶”2、檢測操作進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權(quán)利指派”查看是否“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”設(shè)置為“指定授權(quán)用戶”6.2.2 日志配置操作編號：安全要求-設(shè)備-WINDOWS-配置-38要求內(nèi)容設(shè)備應(yīng)配置日志功能，對用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的賬號，登錄是否成功，登錄時(shí)間，以及遠(yuǎn)程登錄時(shí)，用戶使用的IP地址。操作指南1、參考配置操作開始-運(yùn)行- 執(zhí)行“ 控制面板-管理工具-本地安全策略-審核策略”審核登錄事件，雙擊，

17、設(shè)置為成功和失敗都審核。檢測方法1、判定條件審核登錄事件，設(shè)置為成功和失敗都審核。2、檢測操作開始-運(yùn)行- 執(zhí)行“ 控制面板-管理工具-本地安全策略-審核策略”審核登錄事件，雙擊，查看是否設(shè)置為成功和失敗都審核。編號：安全要求-設(shè)備-WINDOWS-配置-10要求內(nèi)容啟用組策略中對Windows系統(tǒng)的審核策略更改，成功和失敗都要審核。操作指南1、參考配置操作進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-審核策略”中“審核策略更改”設(shè)置為“成功” 和“失敗”都要審核檢測方法1、判定條件“審核策略更改”設(shè)置為“成功” 和“失敗”都要審核2、檢測操作進(jìn)入“控制面板-管理工具-本地安全策略”

18、，在“本地策略-審核策略”中查看是否“審核策略更改”設(shè)置為“成功” 和“失敗”都要審核編號：安全要求-設(shè)備-WINDOWS-配置-11要求內(nèi)容啟用組策略中對Windows系統(tǒng)的審核對象訪問，成功和失敗都要審核。操作指南1、參考配置操作進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-審核策略”中： “審核對象訪問”設(shè)置為“成功”和“失敗”都要審核檢測方法1、判定條件“審核對象訪問”設(shè)置為“成功”和“失敗”都要審核2、檢測操作進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-審核策略”中：查看是否“審核對象訪問”設(shè)置為“成功”和“失敗”都要審核編號：安全要求-設(shè)備-WINDOWS-配

19、置-12要求內(nèi)容啟用組策略中對Windows系統(tǒng)的審核目錄服務(wù)訪問，失敗。操作指南1、參考配置操作進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-審核策略”中：“審核目錄服務(wù)器訪問”設(shè)置為“成功” 和“失敗”都要審核檢測方法1、判定條件“審核目錄服務(wù)器訪問”設(shè)置為“成功” 和“失敗”都要審核2、檢測操作進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-審核策略”中：查看是否“審核目錄服務(wù)器訪問”設(shè)置為“成功” 和“失敗”都要審核編號：安全要求-設(shè)備-WINDOWS-配置-13要求內(nèi)容啟用組策略中對Windows系統(tǒng)的審核特權(quán)使用，成功和失敗都要審核。操作指南1、參考配置操作進(jìn)入“

20、控制面板-管理工具-本地安全策略”，在“本地策略-審核策略”中：“審核特權(quán)使用”設(shè)置為“成功” 和“失敗”都要審核檢測方法1、判定條件“審核目錄服務(wù)器訪問”設(shè)置為“成功” 和“失敗”都要審核2、檢測操作進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-審核策略”中：查看是否“審核目錄服務(wù)器訪問”設(shè)置為“成功” 和“失敗”都要審核編號：安全要求-設(shè)備-WINDOWS-配置-14要求內(nèi)容啟用組策略中對Windows系統(tǒng)的審核系統(tǒng)事件，成功和失敗都要審核。操作指南1、參考配置操作進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-審核策略”中：“審核系統(tǒng)事件”設(shè)置為“成功” 和“失敗”都要

21、審核檢測方法1、判定條件“審核系統(tǒng)事件”設(shè)置為“成功” 和“失敗”都要審核2、檢測操作進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-審核策略”中：查看是否“審核系統(tǒng)事件”設(shè)置為“成功” 和“失敗”都要審核編號：安全要求-設(shè)備-WINDOWS-配置-15要求內(nèi)容啟用組策略中對Windows系統(tǒng)的審核帳戶管理，成功和失敗都要審核。操作指南1、參考配置操作進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-審核策略”中：“審核賬戶管理”設(shè)置為“成功” 和“失敗”都要審核檢測方法1、判定條件“審核賬戶管理”設(shè)置為“成功” 和“失敗”都要審核2、檢測操作進(jìn)入“控制面板-管理工具-本地安全策

22、略”，在“本地策略-審核策略”中：查看是否“審核賬戶管理”設(shè)置為“成功” 和“失敗”都要審核編號：安全要求-設(shè)備-WINDOWS-配置-16要求內(nèi)容啟用組策略中對Windows系統(tǒng)的審核過程追蹤，失敗。操作指南1、參考配置操作進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-審核策略”中：“審核過程追蹤”設(shè)置為 “失敗”需要審核檢測方法1、判定條件“審核過程追蹤”設(shè)置為 “失敗”需要審核2、檢測操作進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-審核策略”中：查看是否“審核過程追蹤”設(shè)置為 “失敗”需要審核編號：安全要求-設(shè)備-WINDOWS-配置-17-可選要求內(nèi)容設(shè)置應(yīng)用日志

23、文件大小至少為8192KB，設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)，按需要改寫事件。操作指南1、參考配置操作進(jìn)入“控制面板-管理工具-事件查看器”，在“事件查看器（本地）”中：“應(yīng)用日志”屬性中的日志大小設(shè)置不小于“8192KB” ,設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)，“按需要改寫事件”檢測方法1、判定條件“應(yīng)用日志”屬性中的日志大小設(shè)置不小于“8192KB” ,設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)，“按需要改寫事件”2、檢測操作進(jìn)入“控制面板-管理工具-事件查看器”，在“事件查看器（本地）”中：查看是否“應(yīng)用日志”屬性中的日志大小設(shè)置不小于“8192KB” ,設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)，“按需要改寫事件”編號：安全要求-

24、設(shè)備-WINDOWS-配置-18-可選要求內(nèi)容設(shè)置系統(tǒng)日志文件大小至少為8192KB，設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)，按需要改寫事件。操作指南1、參考配置操作進(jìn)入“控制面板-管理工具-事件查看器”，在“事件查看器（本地）”中：“系統(tǒng)日志”屬性中的日志大小設(shè)置不小于“8192KB” ,設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)，“按需要改寫事件”檢測方法1、判定條件“系統(tǒng)日志”屬性中的日志大小設(shè)置不小于“8192KB” , 設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)，“按需要改寫事件”2、檢測操作進(jìn)入“控制面板-管理工具-事件查看器”，在“事件查看器（本地）”中：查看是否“系統(tǒng)日志”屬性中的日志大小設(shè)置不小于“8192KB” ,設(shè)

25、置當(dāng)達(dá)到最大的日志尺寸時(shí)，“按需要改寫事件”編號：安全要求-設(shè)備-WINDOWS-配置-19-可選要求內(nèi)容設(shè)置安全日志文件大小至少為8192KB，設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)，按需要改寫事件。操作指南1、參考配置操作進(jìn)入“控制面板-管理工具-事件查看器”，在“事件查看器（本地）”中：“安全日志”屬性中的日志大小設(shè)置不小于“8192KB” ,設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)，“按需要改寫事件”檢測方法1、判定條件“安全日志”屬性中的日志大小設(shè)置不小于“8192KB” ,設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)，“按需要改寫事件”2、檢測操作進(jìn)入“控制面板-管理工具-事件查看器”，在“事件查看器（本地）”中：查看是否“

26、安全日志”屬性中的日志大小設(shè)置不小于“8192KB” ,設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)，“按需要改寫事件”6.2.3 IP協(xié)議安全配置操作編號：安全要求-設(shè)備-WINDOWS-配置-20-可選要求內(nèi)容對沒有自帶防火墻的Windows系統(tǒng)，啟用Windows系統(tǒng)的IP安全機(jī)制(IPSec)或網(wǎng)絡(luò)連接上的TCP/IP篩選，只開放業(yè)務(wù)所需要的TCP，UDP端口和IP協(xié)議。操作指南1、參考配置操作進(jìn)入“控制面板網(wǎng)絡(luò)連接本地連接”，進(jìn)入“Internet協(xié)議（TCP/IP）屬性高級TCP/IP設(shè)置”，在“選項(xiàng)”的屬性中啟用網(wǎng)絡(luò)連接上的TCP/IP篩選，只開放業(yè)務(wù)所需要的TCP，UDP端口和IP協(xié)議。檢測方法

27、1、判定條件系統(tǒng)管理員出示業(yè)務(wù)所需端口列表。根據(jù)列表只開放系統(tǒng)與業(yè)務(wù)所需端口。2、檢測操作進(jìn)入“控制面板網(wǎng)絡(luò)連接本地連接”，進(jìn)入“Internet協(xié)議（TCP/IP）屬性高級TCP/IP設(shè)置”，在“選項(xiàng)”的屬性中啟用網(wǎng)絡(luò)連接上的TCP/IP篩選，查看是否只開放業(yè)務(wù)所需要的TCP，UDP端口和IP協(xié)議。編號：安全要求-設(shè)備-WINDOWS-配置-21-可選要求內(nèi)容啟用Windows XP和Windows 2003 自帶防火墻。根據(jù)業(yè)務(wù)需要限定允許訪問網(wǎng)絡(luò)的應(yīng)用程序，和允許遠(yuǎn)程登陸該設(shè)備的IP地址范圍。操作指南1、參考配置操作進(jìn)入“控制面板網(wǎng)絡(luò)連接本地連接”，在高級選項(xiàng)的設(shè)置中啟用Windows防

28、火墻。在“例外”中配置允許業(yè)務(wù)所需的程序接入網(wǎng)絡(luò)。在“例外-編輯-更改范圍”編輯允許接入的網(wǎng)絡(luò)地址范圍。檢測方法1、判定條件啟用Windows防火墻。“例外”中允許接入網(wǎng)絡(luò)的程序均為業(yè)務(wù)所需。2、檢測操作進(jìn)入“控制面板網(wǎng)絡(luò)連接本地連接”，在高級選項(xiàng)的設(shè)置中，查看是否啟用Windows防火墻。查看是否在“例外”中配置允許業(yè)務(wù)所需的程序接入網(wǎng)絡(luò)。查看是否在“例外-編輯-更改范圍”編輯允許接入的網(wǎng)絡(luò)地址范圍。編號：安全要求-設(shè)備-WINDOWS-配置-22-可選要求內(nèi)容啟用SYN攻擊保護(hù)；指定觸發(fā)SYN洪水攻擊保護(hù)所必須超過的TCP連接請求數(shù)閥值為5；指定處于 SYN_RCVD 狀態(tài)的 TCP 連接

29、數(shù)的閾值為500；指定處于至少已發(fā)送一次重傳的 SYN_RCVD 狀態(tài)中的 TCP 連接數(shù)的閾值為400。操作指南1、參考配置操作在“開始-運(yùn)行-鍵入regedit”啟用 SYN 攻擊保護(hù)的命名值位于注冊表項(xiàng) HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。值名稱：SynAttackProtect。推薦值：2。以下部分中的所有項(xiàng)和值均位于注冊表項(xiàng) HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。指定必須在觸發(fā) SYN flood 保護(hù)之前超過的 TCP 連接請求閾值。值名稱：Tc

30、pMaxPortsExhausted。推薦值：5。啟用 SynAttackProtect 后，該值指定 SYN_RCVD 狀態(tài)中的 TCP 連接閾值，超過 SynAttackProtect 時(shí)，觸發(fā) SYN flood 保護(hù)。值名稱：TcpMaxHalfOpen。推薦值數(shù)據(jù)：500。啟用 SynAttackProtect 后，指定至少發(fā)送了一次重傳的 SYN_RCVD 狀態(tài)中的 TCP 連接閾值。超過 SynAttackProtect 時(shí)，觸發(fā) SYN flood 保護(hù)。值名稱：TcpMaxHalfOpenRetried。推薦值數(shù)據(jù)：400。檢測方法1、判定條件各注冊表鍵值均按要求設(shè)置。2、檢

31、測操作在“開始-運(yùn)行-鍵入regedit”啟用 SYN 攻擊保護(hù)的命名值位于注冊表項(xiàng) HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。值名稱：SynAttackProtect。推薦值：2。以下部分中的所有項(xiàng)和值均位于注冊表項(xiàng) HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。指定必須在觸發(fā) SYN flood 保護(hù)之前超過的 TCP 連接請求閾值。值名稱：TcpMaxPortsExhausted。推薦值：5。啟用 SynAttackProtect 后，該值指定 SYN_RCVD 狀

32、態(tài)中的 TCP 連接閾值，超過 SynAttackProtect 時(shí)，觸發(fā) SYN flood 保護(hù)。值名稱：TcpMaxHalfOpen。推薦值數(shù)據(jù)：500。啟用 SynAttackProtect 后，指定至少發(fā)送了一次重傳的 SYN_RCVD 狀態(tài)中的 TCP 連接閾值。超過 SynAttackProtect 時(shí)，觸發(fā) SYN flood 保護(hù)。值名稱：TcpMaxHalfOpenRetried。推薦值數(shù)據(jù)：400。6.2.4 設(shè)備其他配置操作屏幕保護(hù)編號：安全要求-設(shè)備-WINDOWS-配置-23要求內(nèi)容設(shè)置帶密碼的屏幕保護(hù)，并將時(shí)間設(shè)定為5分鐘。操作指南1、參考配置操作進(jìn)入“控制面板顯

33、示屏幕保護(hù)程序”：啟用屏幕保護(hù)程序，設(shè)置等待時(shí)間為“5分鐘”，啟用“在恢復(fù)時(shí)使用密碼保護(hù)”檢測方法1、判定條件啟用屏幕保護(hù)程序，設(shè)置等待時(shí)間為“5分鐘”，啟用“在恢復(fù)時(shí)使用密碼保護(hù)”。2、檢測操作進(jìn)入“控制面板顯示屏幕保護(hù)程序”：查看是否啟用屏幕保護(hù)程序，設(shè)置等待時(shí)間為“5分鐘”，啟用“在恢復(fù)時(shí)使用密碼保護(hù)”編號：安全要求-設(shè)備-WINDOWS-配置-24要求內(nèi)容對于遠(yuǎn)程登陸的帳號，設(shè)置不活動(dòng)斷連時(shí)間15分鐘。操作指南1、參考配置操作進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-安全選項(xiàng)”：“Microsoft網(wǎng)絡(luò)服務(wù)器”設(shè)置為“在掛起會(huì)話之前所需的空閑時(shí)間”為15分鐘檢測方法1、判

34、定條件“Microsoft網(wǎng)絡(luò)服務(wù)器”設(shè)置為“在掛起會(huì)話之前所需的空閑時(shí)間”為15分鐘。2、檢測操作進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-安全選項(xiàng)”：查看是否“Microsoft網(wǎng)絡(luò)服務(wù)器”設(shè)置為“在掛起會(huì)話之前所需的空閑時(shí)間”為15分鐘共享文件夾及訪問權(quán)限編號：安全要求-設(shè)備-WINDOWS-配置-25-可選要求內(nèi)容非域環(huán)境中，關(guān)閉Windows硬盤默認(rèn)共享，例如C$，D$。操作指南1、參考配置操作進(jìn)入“開始運(yùn)行Regedit”，進(jìn)入注冊表編輯器，更改注冊表鍵值：在HKLMSystemCurrentControlSet ServicesLanmanServerParamet

35、ers下，增加REG_DWORD類型的AutoShareServer 鍵，值為 0。檢測方法1、判定條件HKLMSystemCurrentControlSet ServicesLanmanServerParameters增加了REG_DWORD類型的AutoShareServer 鍵，值為 0。2、檢測操作進(jìn)入“開始運(yùn)行Regedit”，進(jìn)入注冊表編輯器，更改注冊表鍵值：在HKLMSystemCurrentControlSet ServicesLanmanServerParameters下，增加REG_DWORD類型的AutoShareServer 鍵，值為 0。編號：安全要求-設(shè)備-WIND

36、OWS-配置-26要求內(nèi)容查看每個(gè)共享文件夾的共享權(quán)限，只允許授權(quán)的賬戶擁有權(quán)限共享此文件夾。操作指南1、參考配置操作進(jìn)入“控制面板-管理工具-計(jì)算機(jī)管理”，進(jìn)入“系統(tǒng)工具共享文件夾”：查看每個(gè)共享文件夾的共享權(quán)限，只將權(quán)限授權(quán)于指定賬戶。檢測方法1、判定條件查看每個(gè)共享文件夾的共享權(quán)限僅限于業(yè)務(wù)需要，不設(shè)置成為“everyone”。2、檢測操作進(jìn)入“控制面板-管理工具-計(jì)算機(jī)管理”，進(jìn)入“系統(tǒng)工具共享文件夾”：查看每個(gè)共享文件夾的共享權(quán)限。補(bǔ)丁管理編號：安全要求-設(shè)備-WINDOWS-配置-27要求內(nèi)容應(yīng)安裝最新的Service Pack補(bǔ)丁集。對服務(wù)器系統(tǒng)應(yīng)先進(jìn)行兼容性測試。操作指南1、參

37、考配置操作安裝最新的Service Pack補(bǔ)丁集，目前Windows XP的Service Pack為SP2。Windows2000的Service Pack為SP4,Windows 2003的Servoce Pack為SP1檢測方法1、判定條件顯示XP系統(tǒng)已安裝SP2，Win2000系統(tǒng)已安裝SP4。2、檢測操作控制面板-添加或刪除程序-顯示更新打鉤，查看是否XP系統(tǒng)已安裝SP2，Win2000系統(tǒng)已安裝SP4。編號：安全要求-設(shè)備-WINDOWS-配置-28-可選要求內(nèi)容應(yīng)安裝最新的Hotfix補(bǔ)丁。對服務(wù)器系統(tǒng)應(yīng)先進(jìn)行兼容性測試。操作指南1、參考配置操作安裝最新的Hotfix補(bǔ)丁。對服

38、務(wù)器系統(tǒng)應(yīng)先進(jìn)行兼容性測試。檢測方法1、判定條件已安裝最新的Hotfix補(bǔ)丁，并經(jīng)過兼容性測試。2、檢測操作控制面板-添加或刪除程序-顯示更新打鉤，查看最近安裝的Hotfix補(bǔ)丁是否為微軟最新發(fā)布。防病毒管理編號：安全要求-設(shè)備-WINDOWS-配置-29要求內(nèi)容安裝防病毒軟件，并及時(shí)更新。操作指南1、參考配置操作安裝防病毒軟件，并及時(shí)更新。檢測方法1、判定條件已安裝放病毒軟件，病毒碼更新時(shí)間不早于1個(gè)月，各系統(tǒng)病毒碼升級時(shí)間要求參見各系統(tǒng)相關(guān)規(guī)定。2、檢測操作控制面板-添加或刪除程序，是否安裝有防病毒軟件。打開防病毒軟件控制面板，查看病毒碼更新日期。編號：安全要求-設(shè)備-WINDOWS-配置-30-可選要求內(nèi)容對于Windows XP SP2及Windows 2003對Windows操作系統(tǒng)程序和服務(wù)啟用系統(tǒng)自帶DEP功能(數(shù)據(jù)執(zhí)行保護(hù))，防止在受保護(hù)內(nèi)存位置運(yùn)行有害代碼。操作指南1、參考配置操作進(jìn)入“控制面板系統(tǒng)”，在“高級”選項(xiàng)卡的 “性能”下的“設(shè)置”。進(jìn)入 “數(shù)據(jù)執(zhí)行保護(hù)”選項(xiàng)卡。設(shè)置為“ 僅為基本 Windows 操作系統(tǒng)程序和服務(wù)啟用DEP”。檢測方法1、判定條件“數(shù)據(jù)執(zhí)行保護(hù)”選項(xiàng)卡