Windows系統(tǒng)安全配置基線

1、Win dows 系統(tǒng)安全配置基線 目錄 TOC o 1-5 h z HYPERLINK l bookmark2 o Current Document 第 1 章概述 1 HYPERLINK l bookmark4 o Current Document 目的 1 HYPERLINK l bookmark6 o Current Document 適用范圍 1 HYPERLINK l bookmark8 o Current Document 適用版本 1 HYPERLINK l bookmark10 o Current Document 第 2 章安裝前準(zhǔn)備工作 1 HYPERLINK l boo

2、kmark12 o Current Document 需準(zhǔn)備的光盤 1 HYPERLINK l bookmark14 o Current Document 第 3 章操作系統(tǒng)的基本安裝 1 HYPERLINK l bookmark16 o Current Document 基本安裝 1 HYPERLINK l bookmark18 o Current Document 第 4 章賬號管理、認(rèn)證授權(quán) 2賬號 2 HYPERLINK l bookmark20 o Current Document 管理缺省賬戶 2 HYPERLINK l bookmark22 o Current Document

3、刪除無用賬戶 2 HYPERLINK l bookmark24 o Current Document 用戶權(quán)限分離 3口令 4 HYPERLINK l bookmark26 o Current Document 密碼復(fù)雜度 4 HYPERLINK l bookmark28 o Current Document 密碼最長生存期 4 HYPERLINK l bookmark30 o Current Document 密碼歷史 5 HYPERLINK l bookmark32 o Current Document 帳戶鎖定策略 5授權(quán) 6 HYPERLINK l bookmark34 o Curre

4、nt Document 遠(yuǎn)程關(guān)機(jī) 6 HYPERLINK l bookmark36 o Current Document 本地關(guān)機(jī) 6 HYPERLINK l bookmark38 o Current Document 隱藏上次登錄名 7 HYPERLINK l bookmark40 o Current Document 關(guān)機(jī)清理內(nèi)存頁面 7 HYPERLINK l bookmark42 o Current Document 用戶權(quán)利指派 8 HYPERLINK l bookmark44 o Current Document 第 5 章 日志配置操作 8 HYPERLINK l bookmar

5、k46 o Current Document 5.1 日志配置 8 HYPERLINK l bookmark48 o Current Document 審核登錄 8 HYPERLINK l bookmark50 o Current Document 審核策略更改 9 HYPERLINK l bookmark52 o Current Document 審核對象訪問 9 HYPERLINK l bookmark54 o Current Document 審核事件目錄服務(wù)器訪問 9 HYPERLINK l bookmark56 o Current Document 審核特權(quán)使用 10 HYPERLI

6、NK l bookmark58 o Current Document 審核系統(tǒng)事件 10審核賬戶管理 11審核過程追蹤 11日志文件大小 126.1 共享文件夾及訪問權(quán)限 12關(guān)閉默認(rèn)共享 . 12防病毒管理 13防病毒軟件保護(hù) . 13WNDOW 服務(wù) 13系統(tǒng)服務(wù)管理 . 13訪問控制 . 14限制 Radmin 管理地址 14啟動(dòng)項(xiàng) . 14關(guān)閉 Windows 自動(dòng)播放功能 . 14配置屏保功能 . 15補(bǔ)丁更新 16持續(xù)改進(jìn) 16第1章概述1.1目的本文規(guī)定了 WINDOW操作系統(tǒng)主機(jī)應(yīng)當(dāng)遵循的操作系統(tǒng)安全性設(shè)置標(biāo)準(zhǔn)，本文檔旨在指導(dǎo)系統(tǒng) 管理人員或安全檢查人員進(jìn)行WINDOW 操作系

7、統(tǒng)的安全合規(guī)性檢查和配置。1.2適用范圍本配置標(biāo)準(zhǔn)的使用者包括：服務(wù)器系統(tǒng)管理員、安全管理員和相關(guān)使用人員。本配置標(biāo)準(zhǔn)適用的范圍包括：WINDOWS服務(wù)器。1.3適用版本適用于 Windows XP、Windows Server 服務(wù)器。第2章安裝前準(zhǔn)備工作2.1需準(zhǔn)備的光盤（1）正版的Windows服務(wù)器操作系統(tǒng)光盤。（2）服務(wù)器用殺毒軟件光盤。第3章操作系統(tǒng)的基本安裝3.1基本安裝（1）使用NTFS文件系統(tǒng)來最小化安裝操作系統(tǒng)。（2） 管理員賬號須設(shè)置較復(fù)雜的口令（由數(shù)字、大小寫字母和特殊字符組成），長度在12位以 上，其中管理員口令應(yīng)一機(jī)一密碼，不同機(jī)器之間不應(yīng)相同。（3） 斷開網(wǎng)絡(luò)安裝

8、完操作系統(tǒng)后，在業(yè)務(wù)網(wǎng)專用區(qū)域內(nèi)連接網(wǎng)絡(luò)進(jìn)行系統(tǒng)升級，并打開Windows 自動(dòng)更新服務(wù)。（4）升級完成后，安裝前述光盤中的殺毒軟件并進(jìn)行更新。第4章賬號管理、認(rèn)證授權(quán)4.1賬號管理缺省賬戶安全基線項(xiàng)操作系統(tǒng)缺省賬戶安全基線要求項(xiàng)目名稱安全基線項(xiàng)對于管理員帳號，要求更改缺省帳戶名稱；禁用guest （來賓）帳號。說明檢測操作步進(jìn)入“控制面板- 管理工具- 計(jì)算機(jī)管理”，在“系統(tǒng)工具- 本地用戶和組”：驟缺省帳戶Administrator 屬性Guest帳號- 屬性基線符合性缺省賬戶Administrator名稱已更改判定依據(jù)Guest帳號已停用備注刪除無用賬戶安全基線項(xiàng)操作系統(tǒng)缺省賬戶安全基線

9、要求項(xiàng)目名稱安全基線項(xiàng)刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等與工作無關(guān)的賬號。說明檢測操作步1、參考配置操作驟進(jìn)入“控制面板- 管理工具- 計(jì)算機(jī)管理”，在“系統(tǒng)工具- 本地用戶和組”： 刪除或鎖疋與設(shè)備運(yùn)行、維護(hù)等與工作無關(guān)的賬號?；€符合性1、判定條件判定依據(jù)結(jié)合要求和實(shí)際業(yè)務(wù)情況判斷符合要求，刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等與工作無關(guān)的賬號。2、檢測操作進(jìn)入“控制面板- 管理工具- 計(jì)算機(jī)管理”，在“系統(tǒng)工具- 本地用戶和組”：查看是否刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等與工作無關(guān)的賬號。備注用戶權(quán)限分離安全基線項(xiàng)操作系統(tǒng)缺省賬戶安全基線要求項(xiàng)目名稱安全基線項(xiàng)按照用戶分配賬號。根據(jù)系統(tǒng)的要求，設(shè)定不冋的賬戶和

10、賬戶組，管理員用說明戶，操作員用戶 operator，審計(jì)用戶 auditor 等。檢測操作步1、參考配置操作驟進(jìn)入“控制面板- 管理工具- 計(jì)算機(jī)管理”，在“系統(tǒng)工具- 本地用戶和組”：根據(jù)系統(tǒng)的要求，設(shè)定不冋的賬戶和賬戶組，管理員用戶，操作員用戶和審計(jì)用戶納入user組。基線符合性1、判定條件判定依據(jù)結(jié)合要求和實(shí)際業(yè)務(wù)情況判斷符合要求，根據(jù)系統(tǒng)的要求，設(shè)定不冋的賬戶 和賬戶組，管理員用戶，操作員用戶，審計(jì)用戶。2、檢測操作進(jìn)入“控制面板- 管理工具- 計(jì)算機(jī)管理”，在“系統(tǒng)工具- 本地用戶和組”：查看根據(jù)系統(tǒng)的要求，設(shè)定不冋的賬戶和賬戶組，審計(jì)用戶。管理員用戶，數(shù)據(jù)庫用戶，備注4.2 口令

11、密碼復(fù)雜度安全基線項(xiàng)目名稱操作系統(tǒng)密碼復(fù)雜度安全基線要求項(xiàng)安全基線項(xiàng)最短密碼長度12個(gè)字符，啟用本機(jī)組策略中密碼必須符合復(fù)雜性要求的策說明略。即密碼需要包含以下四種類別的字符：英語大寫字母A, B, C,Z英語小寫字母a, b, c,z西方阿拉伯?dāng)?shù)字0, 1,2,9非字母數(shù)字字符，如標(biāo)點(diǎn)符號，, #, $, %, & *等檢測操作步進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“帳戶策略- 密碼策略”：驟查看是否“密碼必須符合復(fù)雜性要求”選擇“已啟動(dòng)”基線符合性“密碼必須符合復(fù)雜性要求”選擇“已啟動(dòng)”判定依據(jù)備注密碼最長生存期安全基線項(xiàng)操作系統(tǒng)密碼最長生存期要求項(xiàng)目名稱安全基線項(xiàng)說明對于采用

12、靜態(tài)口令認(rèn)證技術(shù)的系統(tǒng)，賬戶口令的生存期不長于90天。檢測操作步進(jìn)入“控制面板-管理工具- 本地安全策略”，在“帳戶策略- 密碼策略”：驟查看“密碼最長存留期”基線符合性“密碼最長存留期”設(shè)置不大于“90天”判定依據(jù)備注密碼歷史安全基線項(xiàng)目名稱操作系統(tǒng)密碼歷史安全基線要求項(xiàng)安全基線項(xiàng)說明對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置設(shè)備，使用戶不能重復(fù)使用最近5次（含5次）內(nèi)已使用的口令。檢測操作步驟1、參考配置操作進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“帳戶策略- 密碼策略”：“強(qiáng)制密碼歷史”設(shè)置為“記住5個(gè)密碼”基線符合性判定依據(jù)1、判定條件“強(qiáng)制密碼歷史”設(shè)置為“記住5個(gè)密碼”2、檢測

13、操作進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“帳戶策略- 密碼策略”：查看是否“強(qiáng)制密碼歷史”設(shè)置為“記住5個(gè)密碼”備注帳戶鎖定策略安全基線項(xiàng)操作系統(tǒng)賬戶鎖定策略安全基線要求項(xiàng)目名稱安全基線項(xiàng)說明對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過4次（不含5），鎖定該用戶使用的賬號。檢測操作步進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“帳戶策略- 帳戶鎖定策略”：驟查看“賬戶鎖定閥值”設(shè)置基線符合性賬戶鎖疋閥值 設(shè)置為小于或等于3次，鎖疋時(shí)間1分鐘。判定依據(jù)備注4.3授權(quán)遠(yuǎn)程關(guān)機(jī)安全基線項(xiàng)操作系統(tǒng)遠(yuǎn)程關(guān)機(jī)策略安全基線要求項(xiàng)目名稱安全基線項(xiàng)在本地安全設(shè)置中從遠(yuǎn)端系統(tǒng)強(qiáng)

14、制關(guān)機(jī)只指派給Admi ni strators組。說明檢測操作步進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“本地策略- 用戶權(quán)利指派”：杳看“從驟遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置基線符合性從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī) 設(shè)置為 只指派給Administrtors組判定依據(jù)備注本地關(guān)機(jī)安全基線項(xiàng)目名稱操作系統(tǒng)本地關(guān)機(jī)策略安全基線要求項(xiàng)安全基線項(xiàng)在本地安全設(shè)置中關(guān)閉系統(tǒng)僅指派給Admi ni strators組。說明檢測操作步進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“本地策略- 用戶權(quán)利指派”：驟查看“關(guān)閉系統(tǒng)”設(shè)置基線符合性判定依據(jù)關(guān)閉系統(tǒng)設(shè)置為只指派給Admi nistrators組備注隱藏上次登錄名

15、安全基線項(xiàng)操作系統(tǒng)本地登錄名隱藏策略安全基線要求項(xiàng)目名稱安全基線項(xiàng)交互式登錄，不顯示上次登錄的用戶名說明檢測操作步運(yùn)行輸入本地計(jì)算機(jī)策略windows設(shè)置安全設(shè)置本地策略安驟全選項(xiàng)卜：啟用”交互式登錄：不顯示最后的用戶名”基線符合性“交互式登錄：不顯示最后的用戶名”設(shè)置為“已啟用”判定依據(jù)備注關(guān)機(jī)清理內(nèi)存頁面安全基線項(xiàng)目名稱操作系統(tǒng)關(guān)機(jī)清理內(nèi)存策略安全基線要求項(xiàng)安全基線項(xiàng)關(guān)機(jī)時(shí)清理虛擬內(nèi)存頁面文件說明檢測操作步運(yùn)行輸入本地計(jì)算機(jī)策略windows設(shè)置安全設(shè)置本地策略安驟全選項(xiàng)下：啟用”關(guān)機(jī)：清理虛擬內(nèi)存頁面文件”基線符合性判定依據(jù)關(guān)機(jī)：清理虛擬內(nèi)存頁面文件 設(shè)置為 已啟用備注用戶權(quán)利指派安全基

16、線項(xiàng)操作系統(tǒng)用戶權(quán)力指派策略安全基線要求項(xiàng)目名稱安全基線項(xiàng)在本地安全設(shè)置中取得文件或其它對象的所有權(quán)僅指派給Admi ni strators。說明檢測操作步進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“本地策略- 用戶權(quán)利指派”：驟查看是否“取得文件或其它對象的所有權(quán)”設(shè)置基線符合性取得文件或其它對象的所有權(quán)設(shè)置為只指派給Administrators組判定依據(jù)備注第5章日志配置操作5.1日志配置審核登錄安全基線項(xiàng)目名稱操作系統(tǒng)審核登錄策略安全基線要求項(xiàng)安全基線項(xiàng)說明設(shè)備應(yīng)配置日志功能，對用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的賬號，登錄是否成功，登錄時(shí)間，以及遠(yuǎn)程登錄時(shí)，用戶使用的IP

17、地址。檢測操作步開始- 運(yùn)行- 執(zhí)行“控制面板- 管理工具- 本地安全策略- 審核策略”驟審核登錄事件?；€符合性審核登錄事件，設(shè)置為成功和失敗都審核。判定依據(jù)備注審核策略更改安全基線項(xiàng)目名稱操作系統(tǒng)審核策略更改安全基線要求項(xiàng)安全基線項(xiàng)啟用組策略中對Windows系統(tǒng)的審核策略更改，成功和失敗都要審核。說明檢測操作步進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“本地策略- 審核策略”中驟查看“審核策略更改”設(shè)置?；€符合性“審核策略更改”設(shè)置為“成功”和“失敗”都要審核。判定依據(jù)備注審核對象訪問安全基線項(xiàng)目名稱操作系統(tǒng)審核對象訪問安全基線要求項(xiàng)安全基線項(xiàng)啟用組策略中對Win dows系統(tǒng)的審核對象訪問，成功和失敗都要審核。說明檢測操作步進(jìn)入“控制面板- 管理工具- 本地安全策略”，在“本地策略- 審核策略”中：驟查看“審核對象訪問”設(shè)置?；€符合性“審核對象訪問”設(shè)置為“成功”和“失敗”都要審核。判定依據(jù)備注審核事件目錄服務(wù)器訪問安全基線項(xiàng)操作系統(tǒng)審核事件目錄服務(wù)器訪問策略安全基線要求項(xiàng)目名稱安全基線項(xiàng)說明啟用組策略中對 Win dows系統(tǒng)的審核目錄服務(wù)訪問，