等級保護信息安全培訓材料windows安全配置基線

1、Windows系統安全配置基線備注：1. 若此文檔需要日后更新，請創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。第 1 頁 共 24 頁版本版本控制信息更新日期更新人審批人V1.0創(chuàng)建2009 年 1 月V2.0更新2012 年 4 月第 2 頁 共 24 頁目錄第 1 章概述1.41.5目的5適用范圍5適用版本5實施5例外條款5第 2 章帳戶管理、認證. .2.2.2帳戶6管理缺省帳戶6按照用戶分配帳戶*6刪除與設備無關帳戶*7口令7復雜度7最長留存期82.2.3 帳戶鎖定策略. 8關機8本地關機9用戶

2、權利指派*.5帳戶登陸*10帳戶從網絡* . 10第 3 章 日志配置操作113.1日志配置11審核登錄11審核策略更改113.1.3 審核對象. 113.1.4 審核事件目錄服務器. 123.1.5 審核使用12審核系統事件13審核帳戶管理13審核過程追蹤13日志文件大小14第 4 章IP 協議安全配置154.1IP 協議154.1.1 啟用 SYN保護15第 5 章 設備其他配置操作175.1共享文件夾及權限17第 3 頁 共 24 頁5.1.1 關閉默認共享175.1.2 共享文件夾* . 175.2防管理185.2.1 數據執(zhí)行保護185.3WINDOWS 服務18S

3、NMP 服務管理18系統必須服務列表管理*19系統啟動項列表管理*195.3.4控務安全*19IIS 安全補丁管理*20活動目錄時間同步管理*205.4啟動項215.4.1 關閉 Windows 自動功能215.5屏幕保護215.5.1 設置屏幕保護和開啟時間*215.6登錄控制225.6.1 限制登陸空閑斷開時間225.7補丁管理23操作系統補丁管理*23操作系統最新補丁管理*23第 6 章評審與修訂24第 4 頁 共 24 頁第1章 概述1.1 目的管理的 WINDOWS 操本文檔規(guī)定了中國移動通信管理信息系統部門所作系統的主機應當遵循的操作系統安全性設置標準，本文檔旨在指導系統管理或安全

4、檢查進行 WINDOWS 操作系統的安全合規(guī)性檢查和配置。1.2 適用范圍本配置標準的使用者包括：服務器系統管理員、應用管理員、管理員。本配置標準適用的范圍包括： 中國移動總部和公司信息化部門管理的WINDOWS 服務器系統。1.3 適用版本WINDOWS 系列服務器。1.4 實施本標準的解釋權和修改權屬于中國移動管理信息系統部，在本標準的執(zhí)行過程中若有任何疑問或建議，應及時反饋。本標準發(fā)布之日起生效。1.5 例外條款欲申請本標準的例外條款，申請人必須準備申請文件，說明業(yè)務需求和原因，送交中國移動通信管理信息系統部進行審批備案。第 5 頁 共 24 頁第2章 帳戶管理、認證2.1 帳戶2.1.

5、1管理缺省帳戶2.1.2按照用戶分配帳戶*第 6 頁 共 24 頁安全基線項目名稱操作系統用戶帳戶劃分安全基線要求項安全基線編號SBL-Windows-02-01-02安全基線項說明按照用戶分配帳戶。根據系統的要求，設定不同的帳戶和帳戶組，管理員用戶，數據庫用戶，審計用戶，用戶等。檢測操作步驟進入“控制面板-管理工具-計算機管理”，在“系統工具-本地用戶和組”：根據系統的要求，設定不同的帳戶和帳戶組，管理員用戶，數據庫用戶，審計用戶，用戶。基線符合性判定依據結合要求和實際業(yè)務情況判斷符合要求，根據系統的要求，設定不同的帳戶和帳戶組，管理員用戶，數據庫用戶，審計用戶，用戶。備注手工判斷，需要根據

6、實際情況判斷帳戶用途安全基線項目名稱操作系統缺省帳戶安全基線要求項安全基線編號SBL-Windows-02-01-01安全基線項說明對于管理員帳號，要求更改缺省帳戶名稱；禁用 guest（）帳號。檢測操作步驟進入“控制面板-管理工具-計算機管理”，在“系統工具-本地用戶和組”：缺省帳戶Administrator屬性Guest 帳號-屬性基線符合性判定依據缺省帳戶 Administrator 名稱已更改。Guest 帳號已停用。備注2.1.3刪除與設備無關帳戶*2.2 口令2.2.1復雜度第 7 頁 共 24 頁安全基線項目名稱操作系統復雜度安全基線要求項安全基線編號SBL-Windows-02

7、-02-01安全基線項說明最短長度 8 個字符，啟用本機組策略中必須符合復雜性要求的策略。即至少包含以下四種類別的字符中的 2 種：英語大寫字母 A, B, C, Z英語小寫字母 a, b, c, z 西方數字 0, 1, 2, 9非字母數字字符，如標點符號，, #, $, %, &, *等檢測操作步驟進入“控制面板-管理工具-本地安全策略”，在“帳戶策略-策略”：查看是否“必須符合復雜性要求”選擇“已啟動”基線符合性判定依據“最小長度” 大于等于 8“必須符合復雜性要求”選擇“已啟動”安全基線項目名稱操作系統與設備無關帳戶安全基線要求項安全基線編號SBL-Windows-02-01-03安全

8、基線項說明刪除或鎖定與設備運行、等與工作無關的帳戶檢測操作步驟進入“控制面板-管理工具-計算機管理”，在“系統工具-本地用戶和組”：刪除或鎖定與設備運行、等與工作無關的帳戶?；€符合性判定依據結合要求和實際業(yè)務情況判斷符合要求，刪除或鎖定與設備運行、等與工作無關的帳戶。進入“控制面板-管理工具-計算機管理”，在“系統工具-本地用戶和組”：查看是否刪除或鎖定與設備運行、等與工作無關的帳戶。備注手工判斷，需要根據實際情況判斷帳戶是否為無關帳戶2.2.2最長留存期2.2.3 帳戶鎖定策略關機第 8 頁 共 24 頁安全基線項目名稱操作系統關機策略安全基線要求項安全基線項目名稱操作系統

9、帳戶鎖定策略安全基線要求項安全基線編號SBL-Windows-02-02-03安全基線項說明對于采用靜態(tài)口令認證技術的設備，應配置當用戶連續(xù)認證失敗次數超過 10次，鎖定該用戶使用的帳戶。檢測操作步驟進入“控制面板-管理工具-本地安全策略”，在“帳戶策略-帳戶鎖定策略”：查看“帳戶鎖定閥值”設置基線符合性判定依據“帳戶鎖定閥值”設置為小于或等于 10 次備注安全基線項目名稱操作系統歷史安全基線要求項安全基線編號SBL-Windows-02-02-02安全基線項說明對于采用靜態(tài)口令認證技術的設備，帳戶口令的生存期不長于 90 天。檢測操作步驟進入“控制面板-管理工具-本地安全策略”，在“帳戶策略

10、-策略”：查看“最長存留期”基線符合性判定依據“最長存留期”設置不大于“90 天”備注備注2.3.2 本地關機2.3.3 用戶權利指派*第 9 頁 共 24 頁安全基線項目名稱操作系統用戶權力指派策略安全基線要求項安全基線編號SBL-Windows-02-03-03安全基線項說明在本地安全設置中取得文件或其它對象的所僅指派給Administrators。檢測操作步驟進入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權利指派”：查看是否“取得文件或其它對象的所”設置基線符合性判定依據“取得文件或其它對象的所”設置為“只指派給 Administrators 組”備注手工檢查安全基線項目名

11、稱操作系統本地關機策略安全基線要求項安全基線編號SBL-Windows-02-03-02安全基線項說明在本地安全設置中關閉系統僅指派給 Administrators 組。檢測操作步驟進入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權利指派”:查看“關閉系統”設置基線符合性判定依據“關閉系統”設置為“只指派給 Administrators 組”備注安全基線編號SBL-Windows-02-03-01安全基線項說明在本地安全設置中從遠端系統強制關機只指派給Administrators 組。檢測操作步驟進入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權利指派”:查看“從遠端系

12、統強制關機”設置基線符合性判定依據“從遠端系統強制關機”設置為“只指派給Administrtors 組”備注2.3.4帳戶登陸*2.3.5*帳戶從網絡第 10 頁 共 24 頁安全基線項目名稱操作系統用戶從網絡安全基線要求項安全基線編號SBL-Windows-02-03-05安全基線項說明在組策略中只允許帳號從網絡(包括網絡共享等，但不包括終端服務)此計算機。檢測操作步驟進入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權利指派”“從網絡此計算機”設置為“指定用戶”基線符合性判定依據“從網絡此計算機”設置為“指定用戶”，進入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權利

13、指派”查看是否“從網絡此計算機”設置為“指定用戶”備注手工判斷是否安全基線項目名稱操作系統用戶登陸安全基線要求項安全基線編號SBL-Windows-02-03-04安全基線項說明在本地安全設置中配置指定用戶允許本地登陸此計算機。檢測操作步驟進入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權利指派”“從本地登陸此計算機”設置為“指定用戶”基線符合性判定依據“從本地登陸此計算機”設置為“指定用戶”，進入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權利指派”查看是否“從本地登陸此計算機”設置為“指定用戶”備注手工判斷是否第3章 日志配置操作3.1 日志配置3.1.1 審核登錄

14、3.1.2 審核策略更改3.1.3 審核對象第 11 頁 共 24 頁安全基線項目名稱操作系統審核對象安全基線要求項安全基線項目名稱操作系統審核策略更改安全基線要求項安全基線編號SBL-Windows-03-01-02安全基線項說明啟用組策略中對 Windows 系統的審核策略更改，成功和失敗都要審核。檢測操作步驟進入“控制面板-管理工具-本地安全策略”，在“本地策略-審核策略”中查看“審核策略更改”設置?；€符合性判定依據“審核策略更改”設置為“成功” 和“失敗”都要審核。備注安全基線項目名稱操作系統審核登錄策略安全基線要求項安全基線編號SBL-Windows-03-01-01安全基線項說明

15、設備應配置日志功能，對用戶登錄進行，內容包括用戶登錄使用的帳戶，登錄是否成功，登錄時間，以及登錄時，用戶使用的 IP 地址。檢測操作步驟開始-運行- 執(zhí)行“ 控制面板-管理工具-本地安全策略-審核策略”審核登錄事件?；€符合性判定依據審核登錄事件，設置為成功和失敗都審核。備注3.1.4 審核事件目錄服務器3.1.5 審核使用第 12 頁 共 24 頁安全基線項目名稱操作系統審核使用策略安全基線要求項安全基線編號SBL-Windows-03-01-05安全基線項說明啟用組策略中對 Windows 系統的審核使用，成功和失敗都要審核。檢測操作步驟進入“控制面板-管理工具-本地安全策略”，在“本地策

16、略-審核策略”中：查看“審核使用”設置。基線符合性判定依據“審核使用”設置為“成功” 和“失敗”都要審核。備注安全基線項目名稱操作系統審核事件目錄服務器策略安全基線要求項安全基線編號SBL-Windows-03-01-04安全基線項說明啟用組策略中對 Windows 系統的審核目錄服務，失敗。檢測操作步驟進入“控制面板-管理工具-本地安全策略”，在“本地策略-審核策略”中：查看“審核目錄服務器”設置?；€符合性判定依據“審核目錄服務器”設置為“成功” 和“失敗”都要審核。備注安全基線編號SBL-Windows-03-01-03安全基線項說明啟用組策略中對 Windows 系統的審核對象，成功和

17、失敗都要審核。檢測操作步驟進入“控制面板-管理工具-本地安全策略”，在“本地策略-審核策略”中：查看“審核對象”設置。基線符合性判定依據“審核對象”設置為“成功”和“失敗”都要審核。備注3.1.6 審核系統事件3.1.7 審核帳戶管理3.1.8 審核過程追蹤第 13 頁 共 24 頁安全基線項目名稱操作系統審核過程追蹤策略安全基線要求項安全基線編號SBL-Windows-03-01-08安全基線項說明啟用組策略中對 Windows 系統的審核過程追蹤失敗。檢測操作步驟進入“控制面板-管理工具-本地安全策略”，在“本地策略-審核策略”中：查看“審核過程追蹤”設置。安全基線項目名稱操作系統審核帳戶

18、管理策略安全基線要求項安全基線編號SBL-Windows-03-01-07安全基線項說明啟用組策略中對 Windows 系統的審核帳戶管理，成功和失敗都要審核。檢測操作步驟進入“控制面板-管理工具-本地安全策略”，在“本地策略-審核策略”中：查看“審核帳戶管理” 設置?；€符合性判定依據“審核帳戶管理”設置為“成功” 和“失敗”都要審核。備注安全基線項目名稱操作系統審核系統事件策略安全基線要求項安全基線編號SBL-Windows-03-01-06安全基線項說明啟用組策略中對 Windows 系統的審核系統事件，成功和失敗都要審核。檢測操作步驟進入“控制面板-管理工具-本地安全策略”，在“本地策

19、略-審核策略”中：查看“審核系統事件”設置。基線符合性判定依據“審核系統事件”設置為“成功” 和“失敗”都要審核。備注3.1.9 日志文件大小第 14 頁 共 24 頁安全基線項目名稱操作系統日志容量安全基線要求項安全基線編號SBL-Windows-03-01-09安全基線項說明設置應用日志文件大小至少為 8192KB，設置當達到最大的日志尺寸時，按需要改寫事件。檢測操作步驟進入“控制面板-管理工具-事件查看器”，在“事件查看器（本地）”中：查看“應用日志” “系統日志” “安全日志”屬性中的日志大小 ,以及設置當達到最大的日志尺寸時的相應策略?；€符合性判定依據“應用日志” “系統日志” “

20、安全日志”屬性中的日志大小設置不小于 “8192KB” ,設置當達到最大的日志尺寸時，“按需要改寫事件”備注基線符合性判定依據“審核過程追蹤”設置為 “失敗”需要審核。備注第4章 IP 協議安全配置4.1 IP 協議4.1.1 啟用 SYN保護第 15 頁 共 24 頁安全基線項目名稱操作系統 SYN保護安全基線要求項安全基線編號SBL-Windows-04-01-01安全基線項說明啟用 SYN 保護；指定觸發(fā) SYN 洪水 保護所必須超過的 TCP 連接請求數閥值為 5；指定處于 SYN_RCVD 狀態(tài)的 TCP 連接數的閾值為 500；指定處于至少已發(fā)送一次重傳的 SYN_RCVD 狀態(tài)中

21、的 TCP 連接數的閾值為 400。檢測操作步驟在“開始-運行-鍵入 regedit”查看表項HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiSynAttackPr otect;HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiTcpMaxPorts Exhausted;HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiTcpMaxHalf Open;HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiTcpMaxHalfOpe

22、nRetried?；€符合性判定依據HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiSynAttackPr otect;值：2。 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiTcpMaxPorts Exhausted;值：5。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiTcpMaxHalf第 16 頁 共 24 頁Open;值數據：500。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiTcpMaxHalf Op

23、enRetried。值數據：400。備注第5章 設備其他配置操作5.1 共享文件夾及權限5.1.1 關閉默認共享5.1.2 共享文件夾*第 17 頁 共 24 頁安全基線項目名稱操作系統共享文件夾安全基線要求項安全基線編號SBL-Windows-05-01-02安全基線項說明查看每個共享文件夾的共享權限，只允許的帳戶擁限共享此文件夾。檢測操作步驟進入“控制面板-管理工具-計算機管理”，進入“系統工具共享文件夾”：查看每個共享文件夾的共享權限，只將權限于指定帳戶。基線符合性判定依據查看每個共享文件夾的共享權限僅限于業(yè)務需要，不設置成為“everyone”。進入“控制面板-管理工具-計算機管理”，

24、進入“系統工具共享文件夾”：查看每個共享文件夾的共享權限。備注手工判斷安全基線項目名稱操作系統默認共享安全基線要求項安全基線編號SBL-Windows-05-01-01安全基線項說明非域環(huán)境中，關閉 Windows 硬盤默認共享，例如 C$，D$。檢測操作步驟進入“開始運行Regedit”，進入表編輯器，查看HKystemCurrentControlSetServiLanmanServarametersAutoShare Server；基線符合性判定依據HKystemCurrentControlSetServiLanmanServarametersAutoShareServer 鍵，值為 0。

25、備注5.2 防管理5.2.1 數據執(zhí)行保護5.3 Windows 服務5.3.1 SNMP 服務管理第 18 頁 共 24 頁安全基線項目名稱操作系統 SNMP 服務管理安全基線要求項安全基線編號SBL-Windows-05-03-01安全基線項說明如需啟用 SNMP 服務，則修改默認的 SNMP Community String 設置。檢測操作步驟打開“控制面板”，打開“管理工具”中的“服務”，找到“SNMP Service”，單擊右鍵打開“屬性”面板中的“安全”選項卡，在這個配置界面中，查看community strings，也就是微軟所說的“團體名稱”?；€符合性community st

26、rings 已改，不是默認的“public”。安全基線項目名稱操作系統數據執(zhí)行保護安全基線要求項安全基線編號SBL-Windows-05-02-01安全基線項說明對于Windows XP SP2 及Windows 2003 對Windows 操作系統程序和服務啟用系統自帶DEP 功能(數據執(zhí)行保護)，防止在受保護內存位置運行有害代碼。檢測操作步驟進入“控制面板系統”，在“高級”選項卡的 “性能”下的“設置”。進入 “數據執(zhí)行保護”選項卡。查看“ 僅為基本 Windows 操作系統程序和服務啟用DEP”。基線符合性判定依據“數據執(zhí)行保護”選項卡已設置為“ 僅為基本 Windows 操作系統程序和

27、服務啟用 DEP”。備注5.3.2 系統必須服務列表管理*5.3.3 系統啟動項列表管理*5.3.4控務安全*第 19 頁 共 24 頁安全基線項目名稱操作系統控務管理安全基線要求項安全基線編SBL-Windows-05-03-04安全基線項目名稱操作系統啟動項列表管理安全基線要求項安全基線編號SBL-Windows-05-03-03安全基線項說明列出系統啟動時自動加載的進程和服務列表，不在此列表的需關閉。檢測操作步驟“開始-運行-MSconfig”啟動菜單中，取消不必要的啟動項?；€符合性判定依據不需要的自動加載進程通過“開始-運行-MSconfig”啟動菜單中取消。備注手工判斷安全基線項目

28、名稱操作系統服務列表管理安全基線要求項安全基線編號SBL-Windows-05-03-02安全基線項說明列出所需要服務的列表(包括所需的系統服務)，不在此列表的服務需關閉。檢測操作步驟進入“控制面板-管理工具-計算機管理”，進入“服務和應用程序”：查看所有服務，不在此列表的服務需關閉?；€符合性判定依據系統管理員應出具系統所必要的服務列表。查看所有服務，不在此列表的服務需關閉。備注手工判斷判定依據備注5.3.5 IIS 安全補丁管理*5.3.6 活動目錄時間同步管理*第 20 頁 共 24 頁安全基線項目名稱操作系統 IIS 服務管理安全基線要求項安全基線編號SBL-Windows-05-03

29、-06安全基線項目名稱操作系統 IIS 服務管理安全基線要求項安全基線編號SBL-Windows-05-03-05安全基線項說明如需啟用 IIS 服務，則將 IIS 升級到最新補丁。檢測操作步驟IIS 補丁包IIS4.0http:/Downloads/Release.asp?ReleaseID=23667 IIS5.0http:/Downloads/Release.asp?ReleaseID=23665并安裝，或升級到 IIS6.0基線符合性判定依據已安裝 IIS 補丁包或升級到IIS6.0。備注根據應用場景的不同，如部署場景需開啟此功能，則強制要求此項。號安全基線項說明如對互聯網開放 Win

30、dowsTerminial 服務(Remote Desktop)，需修改默認服務端口。檢測操作步驟運行 Regedt32 并轉到此項:HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinSionsRDP-Tcp找到“PortNumber”子項，會看到默認值 00000D3D，它是 3389 的十六進制表示形式。使用進制數值修改此端，并保存新值?；€符合性判定依據找到“PortNumber”子項，設定值非 00000D3D，即十進制 3389備注根據應用場景的不同，如部署場景需開啟此功能，則強制要求此項。5.4 啟動

31、項5.4.1 關閉 Windows 自動功能5.5 屏幕保護5.5.1 設置屏幕保護和開啟時間*第 21 頁 共 24 頁安全基線項目名稱操作系統屏幕保護安全基線要求項安全基線編號SBL-Windows-05-05-01安全基線項目名稱操作系統 Windows 自動安全基線要求項安全基線編號SBL-Windows-05-04-01安全基線項說明關閉 Windows 自動功能。檢測操作步驟打開“開始運行”，在框中輸入“gpedit.msc”命令，在出現“組策略”窗口中依次選擇“在計算機配置管理模板系統”，雙擊“關閉自動”查看。基線符合性判定依據在“設置”選項卡中選“已啟用”選項。備注安全基線項說

32、明通過微軟 Active Directory 管理的終端, 或者是獨立終端, 要求配置時間同步源.終端定期執(zhí)行時間同步操作(必要時)檢測操作步驟在具有 PDC Emulator 角色的 DC 上運行如下命令, 以和外部時間源同步w32tm /config /syncfromflags:manual/manualpeerlist:在 PC 終端上運行如下命令行同步時間：w32tm /config /update基線符合性判定依據檢查終端主機的時間是否與標準時間同步。備注根據應用場景的不同，如部署場景需開啟此功能，則強制要求此項。5.6登錄控制5.6.1 限制登陸空閑斷開時間第 22 頁 共 24 頁安全基線項目名稱操作系統登錄空閑斷開時間安全基線要求項安全基線編號SBL-Windows-05-06-01安全基線項說明對于登陸的帳號，設置不活動斷連時間 15 分鐘。檢測操作步驟進入“控制面板-管理工具-本地安全策略”，在“本地策略-安全選項”：“網絡