Microsoft-Windows安全配置風險評價檢查表

Windows系統(tǒng)安全配置基線目錄TOC\o"1-5"\h\z\o"CurrentDocument"第1章概述 1\o"CurrentDocument"目的 1\o"CurrentDocument"適用范圍 1\o"CurrentDocument"適用版本 1\o"CurrentDocument"第2章賬號管理、認證授權 2\o"CurrentDocument"賬號 2\o"CurrentDocument"管理缺省賬戶 2\o"CurrentDocument"口令 2\o"CurrentDocument"密碼復雜度 2\o"CurrentDocument"密碼歷史 3\o"CurrentDocument"帳戶鎖定策略 3\o"CurrentDocument"授權 4\o"CurrentDocument"遠程關機 4\o"CurrentDocument"本地關機 4\o"CurrentDocument"用戶權利指派 4\o"CurrentDocument"第3章日志配置操作 6\o"CurrentDocument"日志配置 6\o"CurrentDocument"審核登錄 6\o"CurrentDocument"審核策略更改 6\o"CurrentDocument"審核對象訪問 7\o"CurrentDocument"審核事件目錄服務器訪問 7\o"CurrentDocument"審核特權使用 7\o"CurrentDocument"審核系統(tǒng)事件 8\o"CurrentDocument"審核賬戶管理 8\o"CurrentDocument"審核過程追蹤 8\o"CurrentDocument"日志文件大小 9\o"CurrentDocument"第4章 IP協(xié)議安全配置 10\o"CurrentDocument"IP協(xié)議 10\o"CurrentDocument"啟用SYN攻擊保護. 10\o"CurrentDocument"第5章 設備其他配置操作 12共享文件夾及訪問權限 12關閉默認共享 12防病毒管理 12數(shù)據(jù)執(zhí)行保護 12亞2口0亞服務 13\o"CurrentDocument"SNMP服務管理 13啟動項 13\o"CurrentDocument"關閉Windows自動播放功能 13第1章概述1.1目的本文檔規(guī)定了WINDOWS操作系統(tǒng)的主機應當遵循的操作系統(tǒng)安全性設置標準，本文檔旨在指導系統(tǒng)管理人員或安全檢查人員進行WINDOWS操作系統(tǒng)的安全合規(guī)性檢查和配置。1.2適用范本配置標準的使用者包括：服務器系統(tǒng)管理員、應用管理員、網(wǎng)絡安全管理員。1.3適用版本W(wǎng)INDOWS系列服務器；第2章賬號管理、認證授權2.1賬號2.1.1管理缺省賬戶安全基線項目名稱操作系統(tǒng)缺省賬戶安全基線要求項安全基線編號SBL-Windows-02-01-01安全基線項說明對于管理員帳號，要求更改缺省帳戶名稱；禁用guest（來賓）帳號。檢測操作步驟進入“控制面板-＞管理工具-＞計算機管理”，在“系統(tǒng)工具＞本地用戶和組”：缺省帳戶Administrator—＞屬性Guest帳號-＞屬性基線符合性判定依據(jù)缺省賬戶Administrator名稱已更改。Guest帳號已停用。備注2.2口令2.2.1密碼復雜度安全基線項目名稱操作系統(tǒng)密碼復雜度安全基線要求項安全基線編號SBL-Windows-02-02-01安全基線項說明最短密碼長度6個字符，啟用本機組策略中密碼必須符合復雜性要求的策略。即密碼至少包含以下四種類別的字符中的三種：英語大寫字母A,B,C,…Z英語小寫字母a,b,c,…z西方阿拉伯數(shù)字0,1,2,…9

非字母數(shù)字字符，如標點符號，@,#,$,%,&,*等檢測操作步驟進入“控制面板->管理工具->本地安全策略”，在“帳戶策略->密碼策略”：查看是否“密碼必須符合復雜性要求”選擇“已啟動”基線符合性判定依據(jù)“密碼必須符合復雜性要求”選擇“已啟動”備注2.2.2密碼歷史安全基線項目名稱操作系統(tǒng)密碼歷史安全基線要求項安全基線編號SBL-Windows-02-02-02安全基線項說明對于采用靜態(tài)口令認證技術的設備，賬戶口令的生存期不長于90天。檢測操作步驟進入“控制面板->管理工具->本地安全策略”，在“帳戶策略->密碼策略”：查看“密碼最長存留期”基線符合性判定依據(jù)“密碼最長存留期”設置不大于“90天”備注2.2.3帳戶鎖定策略安全基線項目名稱操作系統(tǒng)賬戶鎖定策略安全基線要求項安全基線編號SBL-Windows-02-02-03安全基線項說明對于采用靜態(tài)口令認證技術的設備，應配置當用戶連續(xù)認證失敗次數(shù)超過6次（不含6次），鎖定該用戶使用的賬號。檢測操作步驟進入“控制面板->管理工具->本地安全策略”，在“帳戶策略->帳戶鎖定策略”：查看“賬戶鎖定閥值”設置基線符合性判定依據(jù)“賬戶鎖定閥值”設置為小于或等于6次備注

2.3授權2.3.1遠程關機安全基線項目名稱操作系統(tǒng)遠程關機策略安全基線要求項安全基線編號SBL-Windows-02-03-01安全基線項說明在本地安全設置中從遠端系統(tǒng)強制關機只指派給Administrators組。檢測操作步驟進入“控制面板-＞管理工具-＞本地安全策略”，在“本地策略-＞用戶權利指派”：查看“從遠端系統(tǒng)強制關機”設置基線符合性判定依據(jù)“從遠端系統(tǒng)強制關機”設置為“只指派給Administrtors組”備注2.3.2本地關機安全基線項目名稱操作系統(tǒng)本地關機策略安全基線要求項安全基線編號SBL-Windows-02-03-02安全基線項說明在本地安全設置中關閉系統(tǒng)僅指派給Administrators組。檢測操作步驟進入“控制面板-＞管理工具-＞本地安全策略”，在“本地策略-＞用戶權利指派”：查看“關閉系統(tǒng)”設置基線符合性判定依據(jù)“關閉系統(tǒng)”設置為“只指派給Administrators組”備注2.3.3用戶權利指派安全基線項目名稱操作系統(tǒng)用戶權力指派策略安全基線要求項安全基線編號SBL-Windows-02-03-03安全基線項說明在本地安全設置中取得文件或其它對象的所有權僅指派給Administrators。

檢測操作步驟進入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權利指派”：查看是否“取得文件或其它對象的所有權”設置基線符合性判定依據(jù)“取得文件或其它對象的所有權”設置為“只指派給Administrators組”備注第3章日志配置操作3.1日志配置3.1.1審核登錄安全基線項目名稱操作系統(tǒng)審核登錄策略安全基線要求項安全基線編號SBL-Windows-03-01-01安全基線項說明設備應配置日志功能，對用戶登錄進行記錄，記錄內(nèi)容包括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠程登錄時，用戶使用的IP地址。檢測操作步驟開始-＞運行-＞執(zhí)行"控制面板-＞管理工具-＞本地安全策略-＞審核策略”審核登錄事件?；€符合性判定依據(jù)審核登錄事件，設置為成功和失敗都審核。備注3.1.2審核策略更改安全基線項目名稱操作系統(tǒng)審核策略更改安全基線要求項安全基線編號SBL-Windows-03-01-02安全基線項說明啟用組策略中對Windows系統(tǒng)的審核策略更改，成功和失敗都要審核。檢測操作步驟進入“控制面板-＞管理工具-＞本地安全策略”，在“本地策略-＞審核策略”中查看“審核策略更改”設置。基線符合性判定依據(jù)“審核策略更改”設置為“成功”和“失敗”都要審核。備注

3.1.3審核對象訪問安全基線項目名稱操作系統(tǒng)審核對象訪問安全基線要求項安全基線編號SBL-Windows-03-01-03安全基線項說明啟用組策略中對Windows系統(tǒng)的審核對象訪問，成功和失敗都要審核。檢測操作步驟進入“控制面板-＞管理工具-＞本地安全策略”，在“本地策略-＞審核策略”中：查看“審核對象訪問”設置?；€符合性判定依據(jù)“審核對象訪問”設置為“成功”和“失敗”都要審核。備注審核事件目錄服務器訪問安全基線項目名稱操作系統(tǒng)審核事件目錄服務器訪問策略安全基線要求項安全基線編號SBL-Windows-03-01-04安全基線項說明啟用組策略中對Windows系統(tǒng)的審核目錄服務訪問，失敗。檢測操作步驟進入“控制面板-＞管理工具-＞本地安全策略”，在“本地策略-＞審核策略”中：查看“審核目錄服務器訪問”設置?；€符合性判定依據(jù)“審核目錄服務器訪問”設置為“成功”和“失敗”都要審核。備注審核特權使用安全基線項目名稱操作系統(tǒng)審核特權使用策略安全基線要求項安全基線編號SBL-Windows-03-01-05安全基線項說明啟用組策略中對Windows系統(tǒng)的審核特權使用，成功和失敗都要審核。檢測操作步驟進入“控制面板-＞管理工具-＞本地安全策略”，在“本地策略-＞審核策略”中：查看“審核特權使用”設置。

基線符合性判定依據(jù)“審核特權使用”設置為“成功”和“失敗”都要審核。備注審核系統(tǒng)事件安全基線項目名稱操作系統(tǒng)審核系統(tǒng)事件策略安全基線要求項安全基線編號SBL-Windows-03-01-06安全基線項說明啟用組策略中對Windows系統(tǒng)的審核系統(tǒng)事件，成功和失敗都要審核。檢測操作步驟進入“控制面板-＞管理工具-＞本地安全策略”，在“本地策略-＞審核策略”中：查看“審核系統(tǒng)事件”設置。基線符合性判定依據(jù)“審核系統(tǒng)事件”設置為“成功”和“失敗”都要審核。備注審核賬戶管理安全基線項目名稱操作系統(tǒng)審核賬戶管理策略安全基線要求項安全基線編號SBL-Windows-03-01-07安全基線項說明啟用組策略中對Windows系統(tǒng)的審核帳戶管理，成功和失敗都要審核。檢測操作步驟進入“控制面板-＞管理工具-＞本地安全策略”，在“本地策略-＞審核策略”中：查看“審核賬戶管理”設置?；€符合性判定依據(jù)“審核賬戶管理”設置為“成功”和“失敗”都要審核。備注審核過程追蹤安全基線項目名稱操作系統(tǒng)審核過程追蹤策略安全基線要求項安全基線編號SBL-Windows-03-01-08

安全基線項說明啟用組策略中對Windows系統(tǒng)的審核過程追蹤失敗。檢測操作步驟進入“控制面板-＞管理工具-＞本地安全策略”，在“本地策略-＞審核策略”中：查看“審核過程追蹤”設置。基線符合性判定依據(jù)“審核過程追蹤”設置為“失敗”需要審核。備注日志文件大小安全基線項目名稱操作系統(tǒng)日志容量安全基線要求項安全基線編號SBL-Windows-03-01-09安全基線項說明設置應用日志文件大小至少為8192KB，設置當達到最大的日志尺寸時，按需要改寫事件。檢測操作步驟進入“控制面板-＞管理工具-＞事件查看器”，在“事件查看器（本地）”中：查看“應用日志”“系統(tǒng)日志”“安全日志”屬性中的日志大小，以及設置當達到最大的日志尺寸時的相應策略?；€符合性判定依據(jù)“應用日志” “系統(tǒng)日志”“安全日志”屬性中的日志大小設置不小于“8192KB”，設置當達到最大的日志尺寸時，“按需要改寫事件”備注第4章IP協(xié)議安全配置IP協(xié)議啟用SYN攻擊保護安全基線項目名稱操作系統(tǒng)SYN攻擊保護安全基線要求項安全基線編號SBL-Windows-04-01-01安全基線項說明啟用SYN攻擊保護；指定觸發(fā)SYN洪水攻擊保護所必須超過的TCP連接請求數(shù)閥值為5；指定處于SYN_RCVD狀態(tài)的TCP連接數(shù)的閾值為500；指定處于至少已發(fā)送一次重傳的SYN_RCVD狀態(tài)中的TCP連接數(shù)的閾值為400。檢測操作步驟在“開始->運行->鍵入regedit”查看注冊表項HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetriedo基線符合性判定依據(jù)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect;推薦值：2oHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted;推薦值：5。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen;推薦值數(shù)據(jù)：500o

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried。推薦值數(shù)據(jù)：400。備注第5章設備其他配置操作共享文件夾及訪問權限關閉默認共享安全基線項目名稱操作系統(tǒng)默認共享安全基線要求項安全基線編號SBL-Windows-05-01-01安全基線項說明非域環(huán)境中，關閉Windows硬盤默認共享，例如C$，D$。檢測操作步驟進入“開始一＞運行一＞區(qū)080也甘'，進入注冊表編輯器，查看HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer；基線符合性判定依據(jù)HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer鍵，值為0。備注防病毒管理數(shù)據(jù)執(zhí)行保護安全基線項目名稱操作系統(tǒng)數(shù)據(jù)執(zhí)行保護安全基線要求項安全基