Windows系統安全配置基線

Windows系統安全配置基線

目錄第1章 概述 11.1 目的 11.2 適用范圍 11.3 適用版本 1第2章 安裝前準備工作 12.1 需準備的光盤 1第3章 操作系統的基本安裝 13.1 基本安裝 1第4章 賬號管理、認證授權 24.1 賬號 24.1.1管理缺省賬戶 24.1.2刪除無用賬戶 24.1.3用戶權限分離 34.2 口令 34.2.1密碼復雜度 34.2.2密碼最長生存期 44.2.3密碼歷史 44.2.4帳戶鎖定策略 54.3 授權 54.3.1遠程關機 54.3.2本地關機 64.3.3隱藏上次登錄名 64.3.4關機清理內存頁面 74.3.5用戶權利指派 7第5章 日志配置操作 85.1 日志配置 85.1.1審核登錄 85.1.2審核策略更改 85.1.3審核對象訪問 85.1.4審核事件目錄服務器訪問 95.1.5審核特權使用 95.1.6審核系統事件 105.1.7審核賬戶管理 105.1.8審核過程追蹤 105.1.9日志文件大小 11第6章 其他配置操作 116.1 共享文件夾及訪問權限 116.1.1關閉默認共享 116.2 防病毒管理 126.2.1防病毒軟件保護 126.3 Windows服務 126.3.1系統服務管理 126.4 訪問控制 136.4.1限制Radmin管理地址 136.5 啟動項 136.4.1關閉Windows自動播放功能 136.4.3配置屏保功能 146.4.4補丁更新 14持續(xù)改進 15概述目的本文規(guī)定了WINDOWS操作系統主機應當遵循的操作系統安全性設置標準，本文檔旨在指導系統管理人員或安全檢查人員進行WINDOWS操作系統的安全合規(guī)性檢查和配置。適用范圍本配置標準的使用者包括：服務器系統管理員、安全管理員和相關使用人員。本配置標準適用的范圍包括：WINDOWS服務器。適用版本適用于WindowsXP、WindowsServer服務器。安裝前準備工作需準備的光盤（1）正版的Windows服務器操作系統光盤。（2）服務器用殺毒軟件光盤。操作系統的基本安裝基本安裝（1）使用NTFS文件系統來最小化安裝操作系統。（2）管理員賬號須設置較復雜的口令（由數字、大小寫字母和特殊字符組成），長度在12位以上，其中管理員口令應一機一密碼，不同機器之間不應相同。（3）斷開網絡安裝完操作系統后，在業(yè)務網專用區(qū)域內連接網絡進行系統升級，并打開Windows自動更新服務。（4）升級完成后，安裝前述光盤中的殺毒軟件并進行更新。賬號管理、認證授權賬號4.1.1管理缺省賬戶安全基線項目名稱操作系統缺省賬戶安全基線要求項安全基線項說明對于管理員帳號，要求更改缺省帳戶名稱；禁用guest（來賓）帳號。檢測操作步驟進入“控制面板->管理工具->計算機管理”，在“系統工具->本地用戶和組”：缺省帳戶Administrator－>屬性Guest帳號->屬性基線符合性判定依據缺省賬戶Administrator名稱已更改Guest帳號已停用備注4.1.2刪除無用賬戶安全基線項目名稱操作系統缺省賬戶安全基線要求項安全基線項說明刪除或鎖定與設備運行、維護等與工作無關的賬號。檢測操作步驟1、參考配置操作進入“控制面板->管理工具->計算機管理”，在“系統工具->本地用戶和組”：刪除或鎖定與設備運行、維護等與工作無關的賬號?；€符合性判定依據1、判定條件結合要求和實際業(yè)務情況判斷符合要求，刪除或鎖定與設備運行、維護等與工作無關的賬號。2、檢測操作進入“控制面板->管理工具->計算機管理”，在“系統工具->本地用戶和組”：查看是否刪除或鎖定與設備運行、維護等與工作無關的賬號。備注4.1.3用戶權限分離安全基線項目名稱操作系統缺省賬戶安全基線要求項安全基線項說明按照用戶分配賬號。根據系統的要求，設定不同的賬戶和賬戶組，管理員用戶，操作員用戶operator，審計用戶auditor等。檢測操作步驟1、參考配置操作進入“控制面板->管理工具->計算機管理”，在“系統工具->本地用戶和組”：根據系統的要求，設定不同的賬戶和賬戶組，管理員用戶，操作員用戶和審計用戶納入user組?；€符合性判定依據1、判定條件結合要求和實際業(yè)務情況判斷符合要求，根據系統的要求，設定不同的賬戶和賬戶組，管理員用戶，操作員用戶，審計用戶。2、檢測操作進入“控制面板->管理工具->計算機管理”，在“系統工具->本地用戶和組”：查看根據系統的要求，設定不同的賬戶和賬戶組，管理員用戶，數據庫用戶，審計用戶。備注口令4.2.1密碼復雜度安全基線項目名稱操作系統密碼復雜度安全基線要求項安全基線項說明最短密碼長度12個字符，啟用本機組策略中密碼必須符合復雜性要求的策略。即密碼需要包含以下四種類別的字符：英語大寫字母A,B,C,…Z英語小寫字母a,b,c,…z西方阿拉伯數字0,1,2,…9非字母數字字符，如標點符號，@,#,$,%,&,*等檢測操作步驟進入“控制面板->管理工具->本地安全策略”，在“帳戶策略->密碼策略”：查看是否“密碼必須符合復雜性要求”選擇“已啟動”基線符合性判定依據“密碼必須符合復雜性要求”選擇“已啟動”備注4.2.2密碼最長生存期安全基線項目名稱操作系統密碼最長生存期要求項安全基線項說明對于采用靜態(tài)口令認證技術的系統，賬戶口令的生存期不長于90天。檢測操作步驟進入“控制面板->管理工具->本地安全策略”，在“帳戶策略->密碼策略”：查看“密碼最長存留期”基線符合性判定依據“密碼最長存留期”設置不大于“90天”備注4.2.3密碼歷史安全基線項目名稱操作系統密碼歷史安全基線要求項安全基線項說明對于采用靜態(tài)口令認證技術的設備，應配置設備，使用戶不能重復使用最近5次（含5次）內已使用的口令。檢測操作步驟1、參考配置操作進入“控制面板->管理工具->本地安全策略”，在“帳戶策略->密碼策略”：“強制密碼歷史”設置為“記住5個密碼”基線符合性判定依據1、判定條件“強制密碼歷史”設置為“記住5個密碼”2、檢測操作進入“控制面板->管理工具->本地安全策略”，在“帳戶策略->密碼策略”：查看是否“強制密碼歷史”設置為“記住5個密碼”備注4.2.4帳戶鎖定策略安全基線項目名稱操作系統賬戶鎖定策略安全基線要求項安全基線項說明對于采用靜態(tài)口令認證技術的設備，應配置當用戶連續(xù)認證失敗次數超過4次（不含5），鎖定該用戶使用的賬號。檢測操作步驟進入“控制面板->管理工具->本地安全策略”，在“帳戶策略->帳戶鎖定策略”：查看“賬戶鎖定閥值”設置基線符合性判定依據“賬戶鎖定閥值”設置為小于或等于3次，鎖定時間1分鐘。備注授權4.3.1遠程關機安全基線項目名稱操作系統遠程關機策略安全基線要求項安全基線項說明在本地安全設置中從遠端系統強制關機只指派給Administrators組。檢測操作步驟進入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權利指派”:查看“從遠端系統強制關機”設置基線符合性判定依據“從遠端系統強制關機”設置為“只指派給Administrtors組”備注4.3.2本地關機安全基線項目名稱操作系統本地關機策略安全基線要求項安全基線項說明在本地安全設置中關閉系統僅指派給Administrators組。檢測操作步驟進入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權利指派”:查看“關閉系統”設置基線符合性判定依據“關閉系統”設置為“只指派給Administrators組”備注4.3.3隱藏上次登錄名安全基線項目名稱操作系統本地登錄名隱藏策略安全基線要求項安全基線項說明交互式登錄，不顯示上次登錄的用戶名檢測操作步驟運行輸入“gpedit.msc”本地計算機策略windows設置安全設置本地策略安全選項下:啟用”交互式登錄:不顯示最后的用戶名”基線符合性判定依據“交互式登錄:不顯示最后的用戶名”設置為“已啟用”備注4.3.4關機清理內存頁面安全基線項目名稱操作系統關機清理內存策略安全基線要求項安全基線項說明關機時清理虛擬內存頁面文件檢測操作步驟運行輸入“gpedit.msc”本地計算機策略windows設置安全設置本地策略安全選項下:啟用”關機:清理虛擬內存頁面文件”基線符合性判定依據“關機:清理虛擬內存頁面文件”設置為“已啟用”備注4.3.5用戶權利指派安全基線項目名稱操作系統用戶權力指派策略安全基線要求項安全基線項說明在本地安全設置中取得文件或其它對象的所有權僅指派給Administrators。檢測操作步驟進入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權利指派”：查看是否“取得文件或其它對象的所有權”設置基線符合性判定依據“取得文件或其它對象的所有權”設置為“只指派給Administrators組”備注日志配置操作日志配置5.1.1審核登錄安全基線項目名稱操作系統審核登錄策略安全基線要求項安全基線項說明設備應配置日志功能，對用戶登錄進行記錄，記錄內容包括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠程登錄時，用戶使用的IP地址。檢測操作步驟開始->運行->執(zhí)行“控制面板->管理工具->本地安全策略->審核策略”審核登錄事件?；€符合性判定依據審核登錄事件，設置為成功和失敗都審核。備注5.1.2審核策略更改安全基線項目名稱操作系統審核策略更改安全基線要求項安全基線項說明啟用組策略中對Windows系統的審核策略更改，成功和失敗都要審核。檢測操作步驟進入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中查看“審核策略更改”設置?；€符合性判定依據“審核策略更改”設置為“成功”和“失敗”都要審核。備注5.1.3審核對象訪問安全基線項目名稱操作系統審核對象訪問安全基線要求項安全基線項說明啟用組策略中對Windows系統的審核對象訪問，成功和失敗都要審核。檢測操作步驟進入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：查看“審核對象訪問”設置?；€符合性判定依據“審核對象訪問”設置為“成功”和“失敗”都要審核。備注5.1.4審核事件目錄服務器訪問安全基線項目名稱操作系統審核事件目錄服務器訪問策略安全基線要求項安全基線項說明啟用組策略中對Windows系統的審核目錄服務訪問，失敗。檢測操作步驟進入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：查看“審核目錄服務器訪問”設置?；€符合性判定依據“審核目錄服務器訪問”設置為“成功”和“失敗”都要審核。備注5.1.5審核特權使用安全基線項目名稱操作系統審核特權使用策略安全基線要求項安全基線項說明啟用組策略中對Windows系統的審核特權使用，成功和失敗都要審核。檢測操作步驟進入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：查看“審核特權使用”設置?；€符合性判定依據“審核特權使用”設置為“成功”和“失敗”都要審核。備注5.1.6審核系統事件安全基線項目名稱操作系統審核系統事件策略安全基線要求項安全基線項說明啟用組策略中對Windows系統的審核系統事件，成功和失敗都要審核。檢測操作步驟進入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：查看“審核系統事件”設置?；€符合性判定依據“審核系統事件”設置為“成功”和“失敗”都要審核。備注5.1.7審核賬戶管理安全基線項目名稱操作系統審核賬戶管理策略安全基線要求項安全基線項說明啟用組策略中對Windows系統的審核帳戶管理，成功和失敗都要審核。檢測操作步驟進入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：查看“審核賬戶管理”設置。基線符合性判定依據“審核賬戶管理”設置為“成功”和“失敗”都要審核。備注5.1.8審核過程追蹤安全基線項目名稱操作系統審核過程追蹤策略安全基線要求項安全基線項說明啟用組策略中對Windows系統的審核過程追蹤失敗。檢測操作步驟進入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：查看“審核過程追蹤”設置?；€符合性判定依據“審核過程追蹤”設置為“失敗”需要審核。備注5.1.9日志文件大小安全基線項目名稱操作系統日志容量安全基線要求項安全基線項說明設置應用日志文件大小至少為8M，設置當達到最大的日志尺寸時，按需要改寫事件。檢測操作步驟進入“控制面板->管理工具->事件查看器”，在“事件查看器（本地）”中：查看“應用日志”“系統日志”“安全日志”屬性中的日志大小,以及設置當達到最大的日志尺寸時的相應策略?；€符合性判定依據“應用日志”“系統日志”“安全日志”屬性中的日志大小設置不小于“8M”,設置當達到最大的日志尺寸時，“按需要改寫事件”。備注其他配置操作共享文件夾及訪問權限6.1.1關閉默認共享安全基線項目名稱操作系統默認共享安全基線要求項安全基線項說明非域環(huán)境中，關閉Windows硬盤默認共享，例如C$，D$。檢測操作步驟進入“開始－>運行－>Regedit”，進入注冊表編輯器，查看HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer；基線符合性判定依據HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer鍵，值為0。備注防病毒管理6.2.1防病毒軟件保護安全基線項目名稱操作系統防病毒保護安全基線要求項安全基線項說明對Windows2003服務器主機應當安裝部署服務器專版殺毒軟件，并打開自動升級病毒庫選項。檢測操作步驟查看是否存在符合條件的殺毒軟件；點擊進入殺毒軟件的操作界面，檢查是否開啟自動更新?；€符合性判定依據如不存在殺毒軟件或者沒打開自動更新即為不合規(guī)。備注Windows服務6.3.1系統服務管理安全基線項目名稱操作系統系統服務管理安全基線要求項安全基線項說明檢查系統開機啟動的服務，并根據實際情況開啟/關閉服務，如：Messenger，TaskScheduler，Server，Workstation，PrintSpooler，Alerter，ComputerBrowser，DHCPClient，RemoteRegistryService，SNMP，TCP/IPNetBIOSHelper，IPSECPolicyAgent等；檢測操作步驟打開“控制面板”，打開“管理工具”中的“服務”。基線符合性判定依據關閉不需要的服務，并設置非開機自動啟動項。詢問管理員，在系統確實需要的情況下可開啟相應的服務，如SNMP等。備注系統管理員應出具系統所必要的服務列表。查看所有服務，不在此列表的服務需關閉。訪問控制6.4.1限制Radmin管理地址安全基線項目名稱操作系統數據訪問控制安全基線要求項安全基線項說明通過限制Radmin管理地址，嚴格控制訪問者來源檢測操作步驟1、參考配置操作開始菜單RadminoperationsforRemoteAdministratorser