主機安全基線檢查windows系統(tǒng)操作手冊

1、主機安全基線檢查windows系統(tǒng)操作手冊精品管理制度、管理方案、合同、協(xié)議、一起學習進步主機安全基線檢查示范文檔4. W i ndows操作系統(tǒng)41賬號管理、認證授權認證功能用于確認登錄系統(tǒng)的用戶真實身份。認證功能的具體實現(xiàn)方式包 括靜態(tài)口令、動態(tài)口令、指紋等生物鑒別技術等。授權功能賦予系統(tǒng)賬號的操 作權限，并限制用戶進行超越其賬號權限的操作。4.1.1賬號要求內(nèi)容按照用戶分配賬號。根據(jù)系統(tǒng)的要求，設定不同的賬戶和 賬戶組，管理員用戶，數(shù)據(jù)庫用戶，審計用戶，來賓用戶 等。操作指南1、參考配置操作進入“控制而板-管理工具-有訃算機管理”，在“系統(tǒng)工具-本 地用戶和組”：根據(jù)系統(tǒng)的要求，設定不同

2、的賬戶和賬戶組，管理員用 戶，數(shù)據(jù)庫用戶，審計用戶，來賓用戶。檢測方法1、判定條件結(jié)合要求和實際業(yè)務情況判斷符合要求，根據(jù)系統(tǒng)的要 求，設定不同的賬戶和賬戶組，管理員用戶，數(shù)據(jù)庫用 戶，審計用戶，來賓用戶。2、檢測操作進入“控制而板-管理工具汁算機管理”，在“系統(tǒng)工具-本地 用戶和組”：查看根據(jù)系統(tǒng)的要求，設定不同的賬戶和賬戶組，管理員 用戶，數(shù)據(jù)庫用戶，審計用戶，來賓用戶。要求內(nèi)容刪除或鎖定與設備運行、維護等與工作無關的賬號。操作指南1、參考配置操作進入“控制而板-管理工具訃算機管理”，在“系統(tǒng)工具-本地用戶和組”：刪除或鎖定與設備運行、維護等與工作無關的賬號。檢測方法1、判定條件結(jié)合要求和

3、實際業(yè)務情況判斷符合要求，刪除或鎖定與設 備運行、維護等與工作無關的賬號。2、檢測操作進入“控制而板-管理工具汁算機管理”，在“系統(tǒng)工具-本地 用戶和組”：查看是否刪除或鎖定與設備運行、維護等與工作無關的賬 號。 口令要求內(nèi)容最短密碼長度8個字符，啟用本機組策略中密碼必須符合 復雜性要求的策略。即密碼至少包含以下四種類別的字符 中的三種:英語大寫字母，英語小寫字母，西方阿拉伯數(shù)字，非字母 數(shù)字字符操作指南1、參考配置操作進入“控制而板-管理工具本地安全策略”，在“帳戶策略密碼策略”：“密碼必須符合復雜性要求”選擇“已啟動”檢測方法1、判定條件“密碼必須符合復雜性要求”選擇“已啟動”2、檢測操作

4、進入“控制而板-管理工具本地安全策略”，在“帳戶策略密碼策略”:查看是否“密碼必須符合復雜性要求”選擇“已啟動”要求內(nèi)容對于采用靜態(tài)口令認證技術的設備，賬戶口令的生存期不 長于180天，歷史使用次數(shù)10次操作指南1、參考配置操作進入“控制而板管理工具本地安全策略”，在“帳戶策略密碼策略”：“密碼最長存留期”設置為“180天”檢測方法1、判定條件“密碼最長存留期”設置為“180天”2、檢測操作進入“控制而板管理工具本地安全策略”，在“帳戶策略密碼策略”：查看是否“密碼最長存留期”設置為“180天”要求內(nèi)容對于采用靜態(tài)口令認證技術的設備，應配置當用戶連續(xù)認證失敗次數(shù)超過6次（不含6次），鎖定該用戶

5、使用的賬 號。操作指南1、參考配置操作進入“控制而板管理工具本地安全策略”，在“帳戶策略帳戶鎖定策略”：“賬戶鎖定閥值”設置為6次檢測方法1、判定條件“賬戶鎖定閥值”設置為小于或等于6次2、檢測操作進入“控制而板管理工具本地安全策略”，在“帳戶策略帳戶鎖定策略”：查看是否“賬戶鎖定閥值”設置為小于等于6次4- 1. 3授權要求內(nèi)容在本地安全設置中從遠端系統(tǒng)強制關機只指派給Administrators 組。操作指南1、參考配置操作進入“控制面板管理工具本地安全策略”，在“本地策略-用戶權利指派"：“從遠端系統(tǒng)強制關機”設置為“只指派給Administrators 組"檢測方法

6、1、判定條件“從遠端系統(tǒng)強制關機”設置為“只指派給Administrtors組"2、檢測操作進入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權利指派”：查看是否“從遠端系統(tǒng)強制關機”設置為“只指派給Administrators 組"要求內(nèi)容在本地安全設置中關閉系統(tǒng)僅指派給Administrators 組。操作指南1、參考配置操作進入“控制面板管理工具本地安全策略”，在“本地策略-用戶權利指派”：“關閉系統(tǒng)”設置為“只指派給Administrators組”檢測方法1、判定條件“關閉系統(tǒng)”設置為“只指派給Administrators組”2、檢測操作進入“控制面板管理

7、工具本地安全策略”，在“本地策略-用戶權利指派”：查看“關閉系統(tǒng)”設置為“只指派給Administrators組”要求內(nèi)容在本地安全設置中取得文件或其它對象的所有權僅指派給Administrators0操作指南1、參考配置操作進入“控制面板管理工具本地安全策略”，在“本地策略-用戶權利指派”：“取得文件或其它對象的所有權”設置為“只指派給Administrators 組"檢測方法1、判定條件“取得文件或其它對象的所有權”設置為“只指派給Administrators 組"2、檢測操作進入“控制面板管理工具本地安全策略”，在“本地策略-用戶權利指派"：查看是否“取得文

8、件或其它對象的所有權”設置為“只指派給Administrators 組"4.2日志配置操作要求內(nèi)容設備應配置曰志功能，對用戶登錄進行記錄，記錄內(nèi)容包 括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及 遠程登錄時，用戶使用的IP地址。操作指南1、參考配置操作開始-運行- 執(zhí)行“控制面板管理工具 本地安全策略 審核策略”審核登錄事件，雙擊，設置為成功和失敗都 審核。檢測方法1、判定條件審核登錄事件，設置為成功和失敗都審核。2、檢測操作開始-運行- 執(zhí)行“控制面板 管理工具本地安全策略-審核策略”審核登錄事件，雙擊，查看是否設苣為成功和失敗都審核。要求內(nèi)容設置應用曰志文件大小至少為819

9、2KB,設置當達到最大 的曰志尺寸時，按需要改寫事件。操作指南1、參考配置操作進入“控制而板-管理工具-事件査看器”，在"事件查看器（本地）”中：“應用曰志”屬性中的曰志大小設置不小于“8192KB"，設置當達到最大的曰志尺寸時，“按需要改寫事件”檢測方法1、判定條件“應用曰志”屬性中的曰志大小設置不小于“8192KB”，設置 當達到最大的曰志尺寸時，“按需要改寫事件”2、檢測操作進入“控制面板-管理工具-事件査看器”，在"事件查看器 （本地）”中：查看是否“應用曰志”屬性中的日志大小設置不小于“8192KB"，設置當達到最大的日志尺寸時，“按需要改寫事

10、 件"4- 3 IP協(xié)議安全配置操作要求內(nèi)容對沒有自帶防火墻的Windows系統(tǒng)，啟用Windows系統(tǒng) 的IP安全機制(IPSec)或網(wǎng)絡連接上的TCP/IP篩選，只開 放業(yè)務所需要的TCP, UDP端口和IP協(xié)議。操作指南1、參考配置操作進入“控制面板- 網(wǎng)絡連接- 本地連接"，進入"Internet 協(xié)議(TCP/IP)屬性- 高級TCP/IP設置”，在“選項”的 屬性中啟用網(wǎng)絡連接上的TCP/IP篩選，只開放業(yè)務所需 要的TCP, UDP端口和IP協(xié)議。檢測方法1、判定條件系統(tǒng)管理員出示業(yè)務所需端口列表。根據(jù)列表只開放系統(tǒng)與業(yè)務所需端口。2、檢測操作進入“

11、控制面板- 網(wǎng)絡連接- 本地連接”，進入"Internet 協(xié)議 仃CP/IP)屬性- 高級TCP/IP設置：在“選項”的 屬性中啟用網(wǎng)絡連接上的TCP/IP篩選，查看是否只開放 業(yè)務所需要的TCP, UDP端口和IP協(xié)議。要求內(nèi)容啟用 Windows sever2008 和 Windows 2003 自帶防火墻口 根據(jù)業(yè)務需要限定允許訪問網(wǎng)絡的應用程序，和允許遠程 登陸該設備的IP地址范圍，操作指南1、參考配置操作進入“控制面板-網(wǎng)絡連接-本地連接”，在高級選項的 設置中啟用Windows防火墻。在“例外”中配置允許業(yè)務所需的程序接入網(wǎng)絡。在“例外- 編輯- 更改范圍”編輯允許接入

12、的網(wǎng)絡地址范圍。檢測方法1、判定條件啟用Windows防火墻?！袄狻敝性试S接入網(wǎng)絡的程序均為業(yè)務所需°2、檢測操作進入“控制面板-網(wǎng)絡連接->本地連接”，在高級選項的 設置中，查看是否啟用Windows防火墻。查看是否在“例外”中配置允許業(yè)務所需的程序接入網(wǎng)絡。查看是否在“例外-> 編輯-> 更改范圍"編輯允許接入的網(wǎng)絡 地址范圍。4. 4設備其他配置操作441屏幕保護要求內(nèi)容對于遠程登陸的帳號，設置不活動斷連時間15分鐘。操作指南1、參考配置操作進入“控制面板管理工具本地安全策略”，在“本地策略-安全選項”：“Microsoft網(wǎng)絡服務器”設置為“在掛

13、起會話之前所需的空 閑時間'為13分鐘檢測方法1、判定條件“Microsoft網(wǎng)絡服務器”設置為“在掛起會話之前所需的空 閑時間'為13分鐘。2、檢測操作進入“控制面板管理工具本地安全策略”，在“本地策略-安全選項”：查看是否“Microsoft網(wǎng)絡服務器”設置為“在掛起會話之前所需的空閑時間為15分鐘442共享文件夾及訪問權限要求內(nèi)容非域環(huán)境中，關閉Windows硬盤默認共享，例如C$,D$。操作指南lx參考配置操作進入“開始一運行一>Regedit”，進入注冊表編輯器，SYSTEMCurrentControlSetServiceslanmanserverparamet

14、er 更改注冊表鍵值：在 HKLMSystemCurrentControlSet ServicesLanmanServerParameters下，増加 REG_DWORD 類型的AutoShareServer鍵，值為0。檢測方法1、判定條件HKLMSystemCurrentControlSetServicesLanmanServerParameters增加 了 REG_DWORD 類型的AutoShareServer鍵，值為0。2、檢測操作進入“開始運行->Regedit",進入注冊表編輯器，更 改注冊表鍵值:在 HKLMSystemCurrentControlSet Serv

15、icesLanmanServerParameters下,増加 REG_DWORD 類型的AutoShareServer鍵，值為0。要求內(nèi)容查看每個共享文件夾的共享權限，只允許授權的賬戶擁有權限共享此文件夾。操作指南1、參考配置操作進入“控制面板管理工具計算機管理”，進入“系統(tǒng)工具-共享文件夾"：dlO查看每個共享文件夾的共享權限，只將權限授權于指定賬 戶。檢測方法1、判定條件查看每個共享文件夾的共享權限僅限于業(yè)務需要，不設置成為"everyone" o2、檢測操作進入“控制面板管理工具計算機管理：進入“系統(tǒng)工具-共享文件夾"：查看每個共享文件夾的共享權限

16、。443補丁管理要求內(nèi)容應安裝最新的Service Pack補丁集。對服務器系統(tǒng)應先進 行兼容性測試。操作指南1、參考配置操作安裝最新的Service Pack補丁集，目前Windows XP的Service Pack 為 SP2OWindows2000 的 Service Pack 為 SP4,Windows 2003 的Servoce Pack 為 SP1檢測方法1、判定條件顯示XP系統(tǒng)已安裝SP2, Win2000系統(tǒng)已安裝SP4。2、檢測操作控制面板-添加或刪除程序-顯示更新打鉤.查看是否XP系統(tǒng)已安裝SP2, Win2000系統(tǒng)已安裝SP4O要求內(nèi)容應安裝最新的Hotfix補丁。對服

17、務器系統(tǒng)應先進行兼容性測試。操作指南1、參考配置操作安裝最新的Hotfix補丁。對服務器系統(tǒng)應先進行兼容性測dll試。檢測方法1、判定條件已安裝最新的Hotfix補丁，并經(jīng)過兼容性測試。2、檢測操作控制面板-添加或刪除程序-顯示更新打鉤.查看最近安 裝的Hotfix補丁是否為微軟最新發(fā)布。4-4.4防病毒管理要求內(nèi)容安裝防病毒軟件，并及時更新。操作指南1、參考配置操作安裝防病毒軟件，并及時更新。檢測方法1、判定條件已安裝放病毒軟件，病毒碼更新時間不早于i個月，各系 統(tǒng)病毒碼升級時間要求參見各系統(tǒng)相關規(guī)定。2、檢測操作控制面板添加或刪除程序，是否安裝有防病毒軟件。打開防病毒軟件控制面板，查看病毒

18、碼更新曰期。44.5Windows 服務要求內(nèi)容列出所需要服務的列表（包括所需的系統(tǒng)服務），不在此列 表的服務需關閉。操作指南1、參考配置操作進入“控制面板管理工具計算機管理：進入“服務和應用程序八查看所有服務，不在此列表的服務需關閉。檢測方法1、判定條件系統(tǒng)管理員應出具系統(tǒng)所必要的服務列表。查看所有服務，不在此列表的服務需關閉。2、檢測操作進入“控制面板管理工具計算機管理：進入“服務和應 用程序八查看所有服務，不在此列表的服務是否已關閉。要求內(nèi)容如需啟用SNMP服務，則修改默認的SNMP Community String 設置。操作指南1、參考配置操作打開“控制面板”，打幵管理工具”中的“服務”，找到 “SNMP Service”，單擊右鍵打開“屬性”面板中的“安全”選 項卡,在這個配置界面中，可以修改community strings, 也就是微軟所說的“團體名稱”。檢測方法1、判定條件community strings 已改，不是默認的"public"2、檢測操作打開