《window-操作系统安全配置手册(共17页).docx》由会员分享,可在线阅读,更多相关《window-操作系统安全配置手册(共17页).docx(17页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、精选优质文档-倾情为你奉上WINDOWS 操作系统安全配置手册目录1 概述适用范围本规范所指的设备为Windows系统设备。本规范明确了运行Windows操作系统的设备在安全配置方面的基本要求。在未特别说明的情况下,均适用于所有运行的Windows操作系统。2 WINDOWS设备安全配置要求本手册从Windows系统设备的认证授权功能、安全日志功能以及IP网络安全功能,和其他自身安全配置功能四个方面提出安全要求。122.1 账号管理、认证授权认证功能用于确认登录系统的用户真实身份。认证功能的具体实现方式包括静态口令、动态口令、指纹等生物鉴别技术等。授权功能赋予系统账号的操作权限,并限制用户进行
2、超越其账号权限的操作。要求内容按照用户分配账号。根据系统的要求,设定不同的账户和账户组,管理员用户,数据库用户,审计用户,来宾用户等。操作指南1、参考配置操作进入“控制面板-管理工具-计算机管理”,在“系统工具-本地用户和组”:根据系统的要求,设定不同的账户和账户组,管理员用户,数据库用户,审计用户,来宾用户。检测方法1、 判定条件结合要求和实际业务情况判断符合要求,根据系统的要求,设定不同的账户和账户组,管理员用户,数据库用户,审计用户,来宾用户。2、检测操作进入“控制面板-管理工具-计算机管理”,在“系统工具-本地用户和组”:查看根据系统的要求,设定不同的账户和账户组,管理员用户,数据库用
3、户,审计用户,来宾用户。要求内容对于管理员帐号,要求更改缺省帐户名称;禁用guest(来宾)帐号。操作指南1、参考配置操作进入“控制面板-管理工具-计算机管理”,在“系统工具-本地用户和组”:Administrator属性 更改名称Guest帐号-属性 已停用检测方法1、判定条件缺省账户Administrator名称已更改。Guest帐号已停用。2、检测操作进入“控制面板-管理工具-计算机管理”,在“系统工具-本地用户和组”:缺省帐户属性 更改名称Guest帐号-属性 已停用2.2 口令要求内容最短密码长度 8个字符,启用本机组策略中密码必须符合复杂性要求的策略。即密码至少包含以下四种类别的字
4、符中的三种:l 英语大写字母 A, B, C, Z l 英语小写字母 a, b, c, z l 西方阿拉伯数字 0, 1, 2, 9 非字母数字字符,如标点符号,, #, $, %, &, *等操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”,在“帐户策略-密码策略”:“密码必须符合复杂性要求”选择“已启动”检测方法1、判定条件“密码必须符合复杂性要求”选择“已启动”2、检测操作进入“控制面板-管理工具-本地安全策略”,在“帐户策略-密码策略”:查看是否“密码必须符合复杂性要求”选择“已启动”要求内容对于采用静态口令认证技术的设备,账户口令的生存期不长于90天。操作指南1、参考
5、配置操作进入“控制面板-管理工具-本地安全策略”,在“帐户策略-密码策略”:“密码最长存留期”设置为“90天”检测方法1、判定条件“密码最长存留期”设置为“90天”2、检测操作进入“控制面板-管理工具-本地安全策略”,在“帐户策略-密码策略”:查看是否“密码最长存留期”设置为“90天”要求内容对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”,在“帐户策略-密码策略”:“强制密码历史”设置为“记住5个密码”检测方法1、判定条件“强制密码历史”设置为“记住5个密码”2、检测操作进入“控制
6、面板-管理工具-本地安全策略”,在“帐户策略-密码策略”:查看是否“强制密码历史”设置为“记住5个密码”要求内容对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”,在“帐户策略-帐户锁定策略”:“账户锁定阀值”设置为 6次检测方法1、判定条件“账户锁定阀值”设置为小于或等于 6次2、检测操作进入“控制面板-管理工具-本地安全策略”,在“帐户策略-帐户锁定策略”:查看是否“账户锁定阀值”设置为小于等于 6次22.12.22.3 授权要求内容在本地安全设置中从远端系统强制关机只指派
7、给Administrators组。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”,在“本地策略-用户权利指派”:“从远端系统强制关机”设置为“只指派给Administrators组”检测方法1、判定条件“从远端系统强制关机”设置为“只指派给Administrtors组”2、检测操作进入“控制面板-管理工具-本地安全策略”,在“本地策略-用户权利指派”:查看是否“从远端系统强制关机”设置为“只指派给Administrators组”要求内容在本地安全设置中关闭系统仅指派给Administrators组。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”,在“本地策略
8、-用户权利指派”:“关闭系统”设置为“只指派给Administrators组”检测方法1、判定条件“关闭系统”设置为“只指派给Administrators组”2、检测操作进入“控制面板-管理工具-本地安全策略”,在“本地策略-用户权利指派”:查看“关闭系统”设置为“只指派给Administrators组”要求内容在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”,在“本地策略-用户权利指派”:“取得文件或其它对象的所有权”设置为“只指派给Administrators组”检测方法1、判定条件“取得文件或
9、其它对象的所有权”设置为“只指派给Administrators组”2、检测操作进入“控制面板-管理工具-本地安全策略”,在“本地策略-用户权利指派”:查看是否“取得文件或其它对象的所有权”设置为“只指派给Administrators组”要求内容在本地安全设置中配置指定授权用户允许本地登陆此计算机。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”,在“本地策略-用户权利指派”“从本地登陆此计算机”设置为“指定授权用户”检测方法1、判定条件“从本地登陆此计算机”设置为“指定授权用户”2、检测操作进入“控制面板-管理工具-本地安全策略”,在“本地策略-用户权利指派”查看是否“从本地登
10、陆此计算机”设置为“指定授权用户”要求内容在组策略中只允许授权帐号从网络访问(包括网络共享等,但不包括终端服务)此计算机。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”,在“本地策略-用户权利指派”“从网络访问此计算机”设置为“指定授权用户”检测方法1、判定条件“从网络访问此计算机”设置为“指定授权用户”2、检测操作进入“控制面板-管理工具-本地安全策略”,在“本地策略-用户权利指派”查看是否“从网络访问此计算机”设置为“指定授权用户”122.12.22.32.4 日志配置操作要求内容设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时
11、间,以及远程登录时,用户使用的IP地址。操作指南1、参考配置操作开始-运行- 执行“ 控制面板-管理工具-本地安全策略-审核策略”审核登录事件,双击,设置为成功和失败都审核。检测方法1、判定条件审核登录事件,设置为成功和失败都审核。2、检测操作开始-运行- 执行“ 控制面板-管理工具-本地安全策略-审核策略”审核登录事件,双击,查看是否设置为成功和失败都审核。要求内容启用组策略中对Windows系统的审核策略更改,成功和失败都要审核。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”,在“本地策略-审核策略”中“审核策略更改”设置为“成功” 和“失败”都要审核检测方法1、判定条件
12、“审核策略更改”设置为“成功” 和“失败”都要审核2、检测操作进入“控制面板-管理工具-本地安全策略”,在“本地策略-审核策略”中查看是否“审核策略更改”设置为“成功” 和“失败”都要审核要求内容启用组策略中对Windows系统的审核对象访问,成功和失败都要审核。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”,在“本地策略-审核策略”中: “审核对象访问”设置为“成功”和“失败”都要审核检测方法1、判定条件“审核对象访问”设置为“成功”和“失败”都要审核2、检测操作进入“控制面板-管理工具-本地安全策略”,在“本地策略-审核策略”中:查看是否“审核对象访问”设置为“成功”和“
13、失败”都要审核要求内容启用组策略中对Windows系统的审核目录服务访问,失败。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”,在“本地策略-审核策略”中:“审核目录服务器访问”设置为“成功” 和“失败”都要审核检测方法1、判定条件“审核目录服务器访问”设置为“成功” 和“失败”都要审核2、检测操作进入“控制面板-管理工具-本地安全策略”,在“本地策略-审核策略”中:查看是否“审核目录服务器访问”设置为“成功” 和“失败”都要审核要求内容启用组策略中对Windows系统的审核特权使用,成功和失败都要审核。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”,在“本
14、地策略-审核策略”中:“审核特权使用”设置为“成功” 和“失败”都要审核检测方法1、判定条件“审核目录服务器访问”设置为“成功” 和“失败”都要审核2、检测操作进入“控制面板-管理工具-本地安全策略”,在“本地策略-审核策略”中:查看是否“审核目录服务器访问”设置为“成功” 和“失败”都要审核要求内容启用组策略中对Windows系统的审核系统事件,成功和失败都要审核。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”,在“本地策略-审核策略”中:“审核系统事件”设置为“成功” 和“失败”都要审核检测方法1、判定条件“审核系统事件”设置为“成功” 和“失败”都要审核2、检测操作进入
15、“控制面板-管理工具-本地安全策略”,在“本地策略-审核策略”中:查看是否“审核系统事件”设置为“成功” 和“失败”都要审核要求内容启用组策略中对Windows系统的审核帐户管理,成功和失败都要审核。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”,在“本地策略-审核策略”中:“审核账户管理”设置为“成功” 和“失败”都要审核检测方法1、判定条件“审核账户管理”设置为“成功” 和“失败”都要审核2、检测操作进入“控制面板-管理工具-本地安全策略”,在“本地策略-审核策略”中:查看是否“审核账户管理”设置为“成功” 和“失败”都要审核要求内容启用组策略中对Windows系统的审核
16、过程追踪,失败。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”,在“本地策略-审核策略”中:“审核过程追踪”设置为 “失败”需要审核检测方法1、判定条件“审核过程追踪”设置为 “失败”需要审核2、检测操作进入“控制面板-管理工具-本地安全策略”,在“本地策略-审核策略”中:查看是否“审核过程追踪”设置为 “失败”需要审核要求内容设置应用日志文件大小至少为8192KB,设置当达到最大的日志尺寸时,按需要改写事件。操作指南1、参考配置操作进入“控制面板-管理工具-事件查看器”,在“事件查看器(本地)”中:“应用日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日
17、志尺寸时,“按需要改写事件”检测方法1、判定条件“应用日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时,“按需要改写事件”2、检测操作进入“控制面板-管理工具-事件查看器”,在“事件查看器(本地)”中:查看是否“应用日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时,“按需要改写事件”要求内容设置系统日志文件大小至少为8192KB,设置当达到最大的日志尺寸时,按需要改写事件。操作指南1、参考配置操作进入“控制面板-管理工具-事件查看器”,在“事件查看器(本地)”中:“系统日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大
18、的日志尺寸时,“按需要改写事件”检测方法1、判定条件“系统日志”属性中的日志大小设置不小于“8192KB” , 设置当达到最大的日志尺寸时,“按需要改写事件”2、检测操作进入“控制面板-管理工具-事件查看器”,在“事件查看器(本地)”中:查看是否“系统日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时,“按需要改写事件”要求内容设置安全日志文件大小至少为8192KB,设置当达到最大的日志尺寸时,按需要改写事件。操作指南1、参考配置操作进入“控制面板-管理工具-事件查看器”,在“事件查看器(本地)”中:“安全日志”属性中的日志大小设置不小于“8192KB” ,设置当达
19、到最大的日志尺寸时,“按需要改写事件”检测方法1、判定条件“安全日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时,“按需要改写事件”2、检测操作进入“控制面板-管理工具-事件查看器”,在“事件查看器(本地)”中:查看是否“安全日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时,“按需要改写事件”2.5 IP协议安全配置操作要求内容对没有自带防火墙的Windows系统,启用Windows系统的IP安全机制(IPSec)或网络连接上的TCP/IP筛选,只开放业务所需要的TCP,UDP端口和IP协议。操作指南1、参考配置操作进入“控制面板网络
20、连接本地连接”,进入“Internet协议(TCP/IP)属性高级TCP/IP设置”,在“选项”的属性中启用网络连接上的TCP/IP筛选,只开放业务所需要的TCP,UDP端口和IP协议。检测方法1、判定条件系统管理员出示业务所需端口列表。根据列表只开放系统与业务所需端口。2、检测操作进入“控制面板网络连接本地连接”,进入“Internet协议(TCP/IP)属性高级TCP/IP设置”,在“选项”的属性中启用网络连接上的TCP/IP筛选,查看是否只开放业务所需要的TCP,UDP端口和IP协议。 2.6 设备其他配置操作要求内容设置带密码的屏幕保护,并将时间设定为5分钟。操作指南1、参考配置操作进
21、入“控制面板显示屏幕保护程序”:启用屏幕保护程序,设置等待时间为“5分钟”,启用“在恢复时使用密码保护”检测方法1、判定条件启用屏幕保护程序,设置等待时间为“5分钟”,启用“在恢复时使用密码保护”。2、检测操作进入“控制面板显示屏幕保护程序”:查看是否启用屏幕保护程序,设置等待时间为“5分钟”,启用“在恢复时使用密码保护”要求内容对于远程登陆的帐号,设置不活动断连时间15分钟。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”,在“本地策略-安全选项”:“Microsoft服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟检测方法1、判定条件“Microsoft服务器”设置
22、为“在挂起会话之前所需的空闲时间”为15分钟。2、检测操作进入“控制面板-管理工具-本地安全策略”,在“本地策略-安全选项”:查看是否“Microsoft服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟2.32.42.52.62.7 共享文件夹及访问权限要求内容非域环境中,关闭Windows硬盘默认共享,例如C$,D$。操作指南1、参考配置操作进入“开始运行Regedit”,进入注册表编辑器,更改注册表键值:在HKLMSystemCurrentControlSet ServicesLanmanServerParameters下,增加REG_DWORD类型的AutoShareServer
23、 键,值为 0。检测方法1、判定条件HKLMSystemCurrentControlSet ServicesLanmanServerParameters增加了REG_DWORD类型的AutoShareServer 键,值为 0。2、检测操作进入“开始运行Regedit”,进入注册表编辑器,更改注册表键值:在HKLMSystemCurrentControlSet ServicesLanmanServerParameters下,增加REG_DWORD类型的AutoShareServer 键,值为 0。要求内容查看每个共享文件夹的共享权限,只允许授权的账户拥有权限共享此文件夹。操作指南1、参考配置操
24、作进入“控制面板-管理工具-计算机管理”,进入“系统工具共享文件夹”:查看每个共享文件夹的共享权限,只将权限授权于指定账户。检测方法1、判定条件查看每个共享文件夹的共享权限仅限于业务需要,不设置成为“everyone”。2、检测操作进入“控制面板-管理工具-计算机管理”,进入“系统工具共享文件夹”:查看每个共享文件夹的共享权限。2.8 补丁管理要求内容应安装最新的Hotfix补丁。对服务器系统应先进行兼容性测试。操作指南1、参考配置操作安装最新的Hotfix补丁。对服务器系统应先进行兼容性测试。检测方法1、判定条件已安装最新的Hotfix补丁,并经过兼容性测试。2、检测操作控制面板-添加或删除
25、程序-显示更新打钩,查看最近安装的Hotfix补丁是否为微软最新发布。2.9 防病毒管理要求内容安装防病毒软件,并及时更新。操作指南1、参考配置操作安装防病毒软件,并及时更新。检测方法1、判定条件已安装放病毒软件,病毒码更新时间不早于1个月,各系统病毒码升级时间要求参见各系统相关规定。2、检测操作控制面板-添加或删除程序,是否安装有防病毒软件。打开防病毒软件控制面板,查看病毒码更新日期。2.10 Windows服务要求内容列出所需要服务的列表(包括所需的系统服务),不在此列表的服务需关闭。操作指南1、参考配置操作进入“控制面板-管理工具-计算机管理”,进入“服务和应用程序”:查看所有服务,不在此列表的服务需关闭。检测方法1、判定条件系统管理员应出具系统所必要的服务列表。查看所有服务,不在此列表的服务需关闭。2、检测操作进入“控制面板-管理工具-计算机管理”,进入“服务和应用程序”:查看所有服务,不在此列表的服务是否已关闭。2.11 启动项要求内容关闭Windows自动播放功能操作指南1、参考配置操作点击开始运行输入gpedit.msc,打开组策略编辑器,浏览到计算机配置管理模板系统,在右边窗格中双击“关闭自动播放”,对话框中选择所有驱动器,确定即可。检测方法1、判定条件所有驱动器均“关闭自动播放”2、检测操作“关闭自动播放”配置已启用,启用范围:所有驱动器。专心-专注-专业
限制150内