MicrosoftWindows安全配置基線

-.z.Windows系統(tǒng)安全配置基線中國(guó)移動(dòng)通信**管理信息系統(tǒng)部2012年04月版本版本控制信息更新日期更新人審批人V1.0創(chuàng)建2009年1月V2.0更新2012年4月備注：若此文檔需要日后更新，請(qǐng)創(chuàng)建人填寫(xiě)版本控制表格，否則刪除版本控制表格。目錄第1章概述51.1目的51.2適用*圍51.3適用版本51.4實(shí)施51.5例外條款5第2章**管理、認(rèn)證授權(quán)62.1**62.1.1管理缺省**62.1.2按照用戶(hù)分配***62.1.3刪除與設(shè)備無(wú)關(guān)***72.2口令7密碼復(fù)雜度7密碼最長(zhǎng)留存期8**鎖定策略82.3授權(quán)8遠(yuǎn)程關(guān)機(jī)8本地關(guān)機(jī)9用戶(hù)權(quán)利指派*9授權(quán)**登陸*10授權(quán)**從網(wǎng)絡(luò)訪問(wèn)*10第3章日志配置操作113.1日志配置11審核登錄11審核策略更改11審核對(duì)象訪問(wèn)11審核事件目錄服務(wù)器訪問(wèn)12審核特權(quán)使用12審核系統(tǒng)事件13審核**管理13審核過(guò)程追蹤13日志文件大小14第4章IP協(xié)議安全配置154.1IP協(xié)議15啟用SYN攻擊保護(hù)15第5章設(shè)備其他配置操作175.1共享文件夾及訪問(wèn)權(quán)限17關(guān)閉默認(rèn)共享17共享文件夾授權(quán)訪問(wèn)*175.2防病毒管理18數(shù)據(jù)執(zhí)行保護(hù)185.3Windows服務(wù)185.3.1SNMP服務(wù)管理18系統(tǒng)必須服務(wù)列表管理*19系統(tǒng)啟動(dòng)項(xiàng)列表管理*19遠(yuǎn)程控制服務(wù)安全*195.3.5IIS安全補(bǔ)丁管理*20活動(dòng)目錄時(shí)間同步管理*205.4啟動(dòng)項(xiàng)21關(guān)閉Windows自動(dòng)播放功能215.5屏幕保護(hù)21設(shè)置屏幕保護(hù)密碼和開(kāi)啟時(shí)間*215.6遠(yuǎn)程登錄控制22限制遠(yuǎn)程登陸空閑斷開(kāi)時(shí)間225.7補(bǔ)丁管理23操作系統(tǒng)補(bǔ)丁管理*23操作系統(tǒng)最新補(bǔ)丁管理*23第6章評(píng)審與修訂24概述目的本文檔規(guī)定了中國(guó)移動(dòng)通信**管理信息系統(tǒng)部門(mén)所維護(hù)管理的WINDOWS操作系統(tǒng)的主機(jī)應(yīng)當(dāng)遵循的操作系統(tǒng)安全性設(shè)置標(biāo)準(zhǔn)，本文檔旨在指導(dǎo)系統(tǒng)管理人員或安全檢查人員進(jìn)行WINDOWS操作系統(tǒng)的安全合規(guī)性檢查和配置。適用*圍本配置標(biāo)準(zhǔn)的使用者包括：服務(wù)器系統(tǒng)管理員、應(yīng)用管理員、網(wǎng)絡(luò)安全管理員。本配置標(biāo)準(zhǔn)適用的*圍包括：中國(guó)移動(dòng)總部和各省公司信息化部門(mén)維護(hù)管理的WINDOWS服務(wù)器系統(tǒng)。適用版本W(wǎng)INDOWS系列服務(wù)器。實(shí)施本標(biāo)準(zhǔn)的解釋權(quán)和修改權(quán)屬于中國(guó)移動(dòng)集團(tuán)管理信息系統(tǒng)部，在本標(biāo)準(zhǔn)的執(zhí)行過(guò)程中若有任何疑問(wèn)或建議，應(yīng)及時(shí)反饋。本標(biāo)準(zhǔn)發(fā)布之日起生效。例外條款欲申請(qǐng)本標(biāo)準(zhǔn)的例外條款，申請(qǐng)人必須準(zhǔn)備書(shū)面申請(qǐng)文件，說(shuō)明業(yè)務(wù)需求和原因，送交中國(guó)移動(dòng)通信**管理信息系統(tǒng)部進(jìn)行審批備案。**管理、認(rèn)證授權(quán)**2.1.1管理缺省**安全基線項(xiàng)目名稱(chēng)操作系統(tǒng)缺省**安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-02-01-01安全基線項(xiàng)說(shuō)明對(duì)于管理員**，要求更改缺省**名稱(chēng)；禁用guest（來(lái)賓）**。檢測(cè)操作步驟進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理”，在“系統(tǒng)工具->本地用戶(hù)和組”：缺省**Administrator－>屬性Guest**->屬性基線符合性判定依據(jù)缺省**Administrator名稱(chēng)已更改。Guest**已停用。備注2.1.2按照用戶(hù)分配***安全基線項(xiàng)目名稱(chēng)操作系統(tǒng)用戶(hù)**劃分安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-02-01-02安全基線項(xiàng)說(shuō)明按照用戶(hù)分配**。根據(jù)系統(tǒng)的要求，設(shè)定不同的**和**組，管理員用戶(hù)，數(shù)據(jù)庫(kù)用戶(hù)，審計(jì)用戶(hù)，來(lái)賓用戶(hù)等。檢測(cè)操作步驟進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理”，在“系統(tǒng)工具->本地用戶(hù)和組”：根據(jù)系統(tǒng)的要求，設(shè)定不同的**和**組，管理員用戶(hù)，數(shù)據(jù)庫(kù)用戶(hù)，審計(jì)用戶(hù)，來(lái)賓用戶(hù)?；€符合性判定依據(jù)結(jié)合要求和實(shí)際業(yè)務(wù)情況判斷符合要求，根據(jù)系統(tǒng)的要求，設(shè)定不同的**和**組，管理員用戶(hù)，數(shù)據(jù)庫(kù)用戶(hù)，審計(jì)用戶(hù)，來(lái)賓用戶(hù)。備注手工判斷，需要根據(jù)實(shí)際情況判斷**用途2.1.3刪除與設(shè)備無(wú)關(guān)***安全基線項(xiàng)目名稱(chēng)操作系統(tǒng)與設(shè)備無(wú)關(guān)**安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-02-01-03安全基線項(xiàng)說(shuō)明刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等與工作無(wú)關(guān)的**檢測(cè)操作步驟進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理”，在“系統(tǒng)工具->本地用戶(hù)和組”：刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等與工作無(wú)關(guān)的**?；€符合性判定依據(jù)結(jié)合要求和實(shí)際業(yè)務(wù)情況判斷符合要求，刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等與工作無(wú)關(guān)的**。進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理”，在“系統(tǒng)工具->本地用戶(hù)和組”：查看是否刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等與工作無(wú)關(guān)的**。備注手工判斷，需要根據(jù)實(shí)際情況判斷**是否為無(wú)關(guān)**口令2.2.1密碼復(fù)雜度安全基線項(xiàng)目名稱(chēng)操作系統(tǒng)密碼復(fù)雜度安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-02-02-01安全基線項(xiàng)說(shuō)明最短密碼長(zhǎng)度8個(gè)字符，啟用本機(jī)組策略中密碼必須符合復(fù)雜性要求的策略。即密碼至少包含以下四種類(lèi)別的字符中的2種：英語(yǔ)大寫(xiě)字母A,B,C,…Z英語(yǔ)小寫(xiě)字母a,b,c,…z西方阿拉伯?dāng)?shù)字0,1,2,…9非字母數(shù)字字符，如標(biāo)點(diǎn)符號(hào)，,*,$,%,&,*等檢測(cè)操作步驟進(jìn)入“控制面板->管理工具->本地安全策略”，在“**策略->密碼策略”：查看是否“密碼必須符合復(fù)雜性要求”選擇“已啟動(dòng)”基線符合性判定依據(jù)“密碼最小長(zhǎng)度”大于等于8“密碼必須符合復(fù)雜性要求”選擇“已啟動(dòng)”備注2.2.2密碼最長(zhǎng)留存期安全基線項(xiàng)目名稱(chēng)操作系統(tǒng)密碼歷史安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-02-02-02安全基線項(xiàng)說(shuō)明對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，**口令的生存期不長(zhǎng)于90天。檢測(cè)操作步驟進(jìn)入“控制面板->管理工具->本地安全策略”，在“**策略->密碼策略”：查看“密碼最長(zhǎng)存留期”基線符合性判定依據(jù)“密碼最長(zhǎng)存留期”設(shè)置不大于“90天”備注**鎖定策略安全基線項(xiàng)目名稱(chēng)操作系統(tǒng)**鎖定策略安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-02-02-03安全基線項(xiàng)說(shuō)明對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置當(dāng)用戶(hù)連續(xù)認(rèn)證失敗次數(shù)超過(guò)10次，鎖定該用戶(hù)使用的**。檢測(cè)操作步驟進(jìn)入“控制面板->管理工具->本地安全策略”，在“**策略->**鎖定策略”：查看“**鎖定閥值”設(shè)置基線符合性判定依據(jù)“**鎖定閥值”設(shè)置為小于或等于10次備注授權(quán)2.3.1遠(yuǎn)程關(guān)機(jī)安全基線項(xiàng)目名稱(chēng)操作系統(tǒng)遠(yuǎn)程關(guān)機(jī)策略安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-02-03-01安全基線項(xiàng)說(shuō)明在本地安全設(shè)置中從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)只指派給Administrators組。檢測(cè)操作步驟進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶(hù)權(quán)利指派”:查看“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置基線符合性判定依據(jù)“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置為“只指派給Administrtors組”備注2.3.2本地關(guān)機(jī)安全基線項(xiàng)目名稱(chēng)操作系統(tǒng)本地關(guān)機(jī)策略安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-02-03-02安全基線項(xiàng)說(shuō)明在本地安全設(shè)置中關(guān)閉系統(tǒng)僅指派給Administrators組。檢測(cè)操作步驟進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶(hù)權(quán)利指派”:查看“關(guān)閉系統(tǒng)”設(shè)置基線符合性判定依據(jù)“關(guān)閉系統(tǒng)”設(shè)置為“只指派給Administrators組”備注2.3.3用戶(hù)權(quán)利指派*安全基線項(xiàng)目名稱(chēng)操作系統(tǒng)用戶(hù)權(quán)力指派策略安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-02-03-03安全基線項(xiàng)說(shuō)明在本地安全設(shè)置中取得文件或其它對(duì)象的所有權(quán)僅指派給Administrators。檢測(cè)操作步驟進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶(hù)權(quán)利指派”：查看是否“取得文件或其它對(duì)象的所有權(quán)”設(shè)置基線符合性判定依據(jù)“取得文件或其它對(duì)象的所有權(quán)”設(shè)置為“只指派給Administrators組”備注手工檢查2.3.4授權(quán)**登陸*安全基線項(xiàng)目名稱(chēng)操作系統(tǒng)用戶(hù)授權(quán)登陸安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-02-03-04安全基線項(xiàng)說(shuō)明在本地安全設(shè)置中配置指定授權(quán)用戶(hù)允許本地登陸此計(jì)算機(jī)。檢測(cè)操作步驟進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶(hù)權(quán)利指派”“從本地登陸此計(jì)算機(jī)”設(shè)置為“指定授權(quán)用戶(hù)”基線符合性判定依據(jù)“從本地登陸此計(jì)算機(jī)”設(shè)置為“指定授權(quán)用戶(hù)”，進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶(hù)權(quán)利指派”查看是否“從本地登陸此計(jì)算機(jī)”設(shè)置為“指定授權(quán)用戶(hù)”備注手工判斷是否授權(quán)2.3.5授權(quán)**從網(wǎng)絡(luò)訪問(wèn)*安全基線項(xiàng)目名稱(chēng)操作系統(tǒng)用戶(hù)授權(quán)從網(wǎng)絡(luò)訪問(wèn)安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-02-03-05安全基線項(xiàng)說(shuō)明在組策略中只允許授權(quán)**從網(wǎng)絡(luò)訪問(wèn)(包括網(wǎng)絡(luò)共享等，但不包括終端服務(wù))此計(jì)算機(jī)。檢測(cè)操作步驟進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶(hù)權(quán)利指派”“從網(wǎng)絡(luò)訪問(wèn)此計(jì)算機(jī)”設(shè)置為“指定授權(quán)用戶(hù)”基線符合性判定依據(jù)“從網(wǎng)絡(luò)訪問(wèn)此計(jì)算機(jī)”設(shè)置為“指定授權(quán)用戶(hù)”，進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶(hù)權(quán)利指派”查看是否“從網(wǎng)絡(luò)訪問(wèn)此計(jì)算機(jī)”設(shè)置為“指定授權(quán)用戶(hù)”備注手工判斷是否授權(quán)日志配置操作日志配置3.1.1審核登錄安全基線項(xiàng)目名稱(chēng)操作系統(tǒng)審核登錄策略安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-03-01-01安全基線項(xiàng)說(shuō)明設(shè)備應(yīng)配置日志功能，對(duì)用戶(hù)登錄進(jìn)行記錄，記錄內(nèi)容包括用戶(hù)登錄使用的**，登錄是否成功，登錄時(shí)間，以及遠(yuǎn)程登錄時(shí)，用戶(hù)使用的IP地址。檢測(cè)操作步驟開(kāi)始->運(yùn)行->執(zhí)行“控制面板->管理工具->本地安全策略->審核策略”審核登錄事件?；€符合性判定依據(jù)審核登錄事件，設(shè)置為成功和失敗都審核。備注3.1.2審核策略更改安全基線項(xiàng)目名稱(chēng)操作系統(tǒng)審核策略更改安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-03-01-02安全基線項(xiàng)說(shuō)明啟用組策略中對(duì)Windows系統(tǒng)的審核策略更改，成功和失敗都要審核。檢測(cè)操作步驟進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中查看“審核策略更改”設(shè)置?；€符合性判定依據(jù)“審核策略更改”設(shè)置為“成功”和“失敗”都要審核。備注3.1.3審核對(duì)象訪問(wèn)安全基線項(xiàng)目名稱(chēng)操作系統(tǒng)審核對(duì)象訪問(wèn)安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-03-01-03安全基線項(xiàng)說(shuō)明啟用組策略中對(duì)Windows系統(tǒng)的審核對(duì)象訪問(wèn)，成功和失敗都要審核。檢測(cè)操作步驟進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：查看“審核對(duì)象訪問(wèn)”設(shè)置?；€符合性判定依據(jù)“審核對(duì)象訪問(wèn)”設(shè)置為“成功”和“失敗”都要審核。備注3.1.4審核事件目錄服務(wù)器訪問(wèn)安全基線項(xiàng)目名稱(chēng)操作系統(tǒng)審核事件目錄服務(wù)器訪問(wèn)策略安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-03-01-04安全基線項(xiàng)說(shuō)明啟用組策略中對(duì)Windows系統(tǒng)的審核目錄服務(wù)訪問(wèn)，失敗。檢測(cè)操作步驟進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：查看“審核目錄服務(wù)器訪問(wèn)”設(shè)置?；€符合性判定依據(jù)“審核目錄服務(wù)器訪問(wèn)”設(shè)置為“成功”和“失敗”都要審核。備注3.1.5審核特權(quán)使用安全基線項(xiàng)目名稱(chēng)操作系統(tǒng)審核特權(quán)使用策略安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-03-01-05安全基線項(xiàng)說(shuō)明啟用組策略中對(duì)Windows系統(tǒng)的審核特權(quán)使用，成功和失敗都要審核。檢測(cè)操作步驟進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：查看“審核特權(quán)使用”設(shè)置?；€符合性判定依據(jù)“審核特權(quán)使用”設(shè)置為“成功”和“失敗”都要審核。備注3.1.6審核系統(tǒng)事件安全基線項(xiàng)目名稱(chēng)操作系統(tǒng)審核系統(tǒng)事件策略安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-03-01-06安全基線項(xiàng)說(shuō)明啟用組策略中對(duì)Windows系統(tǒng)的審核系統(tǒng)事件，成功和失敗都要審核。檢測(cè)操作步驟進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：查看“審核系統(tǒng)事件”設(shè)置?；€符合性判定依據(jù)“審核系統(tǒng)事件”設(shè)置為“成功”和“失敗”都要審核。備注3.1.7審核**管理安全基線項(xiàng)目名稱(chēng)操作系統(tǒng)審核**管理策略安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-03-01-07安全基線項(xiàng)說(shuō)明啟用組策略中對(duì)Windows系統(tǒng)的審核**管理，成功和失敗都要審核。檢測(cè)操作步驟進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：查看“審核**管理”設(shè)置。基線符合性判定依據(jù)“審核**管理”設(shè)置為“成功”和“失敗”都要審核。備注3.1.8審核過(guò)程追蹤安全基線項(xiàng)目名稱(chēng)操作系統(tǒng)審核過(guò)程追蹤策略安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-03-01-08安全基線項(xiàng)說(shuō)明啟用組策略中對(duì)Windows系統(tǒng)的審核過(guò)程追蹤失敗。檢測(cè)操作步驟進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：查看“審核過(guò)程追蹤”設(shè)置?；€符合性判定依據(jù)“審核過(guò)程追蹤”設(shè)置為“失敗”需要審核。備注3.1.9日志文件大小安全基線項(xiàng)目名稱(chēng)操作系統(tǒng)日志容量安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-03-01-09安全基線項(xiàng)說(shuō)明設(shè)置應(yīng)用日志文件大小至少為8192KB，設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)，按需要改寫(xiě)事件。檢測(cè)操作步驟進(jìn)入“控制面板->管理工具->事件查看器”，在“事件查看器（本地）”中：查看“應(yīng)用日志”“系統(tǒng)日志”“安全日志”屬性中的日志大小,以及設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)的相應(yīng)策略?；€符合性判定依據(jù)“應(yīng)用日志”“系統(tǒng)日志”“安全日志”屬性中的日志大小設(shè)置不小于“8192KB”,設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)，“按需要改寫(xiě)事件”備注IP協(xié)議安全配置IP協(xié)議4.1.1啟用SYN攻擊保護(hù)安全基線項(xiàng)目名稱(chēng)操作系統(tǒng)SYN攻擊保護(hù)安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-04-01-01安全基線項(xiàng)說(shuō)明啟用SYN攻擊保護(hù)；指定觸發(fā)SYN洪水攻擊保護(hù)所必須超過(guò)的TCP連接請(qǐng)求數(shù)閥值為5；指定處于SYN_RCVD狀態(tài)的TCP連接數(shù)的閾值為500；指定處于至少已發(fā)送一次重傳的SYN_RCVD狀態(tài)中的TCP連接數(shù)的閾值為400。檢測(cè)操作步驟在“開(kāi)始->運(yùn)行->鍵入regedit”查看注冊(cè)表項(xiàng)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMa*PortsE*hausted;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMa*HalfOpen;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMa*HalfOpenRetried?；€符合性判定依據(jù)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect;推薦值：2。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMa*PortsE*hausted;推薦值：5。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMa*HalfOpen;推薦值數(shù)據(jù)：500。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMa*HalfOpenRetried。推薦值數(shù)據(jù)：400。備注設(shè)備其他配置操作共享文件夾及訪問(wèn)權(quán)限5.1.1關(guān)閉默認(rèn)共享安全基線項(xiàng)目名稱(chēng)操作系統(tǒng)默認(rèn)共享安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-05-01-01安全基線項(xiàng)說(shuō)明非域環(huán)境中，關(guān)閉Windows硬盤(pán)默認(rèn)共享，例如C$，D$。檢測(cè)操作步驟進(jìn)入“開(kāi)始－>運(yùn)行－>Regedit”，進(jìn)入注冊(cè)表編輯器，查看HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer；基線符合性判定依據(jù)HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer鍵，值為0。備注5.1.2共享文件夾授權(quán)訪問(wèn)*安全基線項(xiàng)目名稱(chēng)操作系統(tǒng)共享文件夾安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-05-01-02安全基線項(xiàng)說(shuō)明查看每個(gè)共享文件夾的共享權(quán)限，只允許授權(quán)的**擁有權(quán)限共享此文件夾。檢測(cè)操作步驟進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理”，進(jìn)入“系統(tǒng)工具－>共享文件夾”：查看每個(gè)共享文件夾的共享權(quán)限，只將權(quán)限授權(quán)于指定**?；€符合性判定依據(jù)查看每個(gè)共享文件夾的共享權(quán)限僅限于業(yè)務(wù)需要，不設(shè)置成為“everyone”。進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理”，進(jìn)入“系統(tǒng)工具－>共享文件夾”：查看每個(gè)共享文件夾的共享權(quán)限。備注手工判斷防病毒管理5.2.1數(shù)據(jù)執(zhí)行保護(hù)安全基線項(xiàng)目名稱(chēng)操作系統(tǒng)數(shù)據(jù)執(zhí)行保護(hù)安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-05-02-01安全基線項(xiàng)說(shuō)明對(duì)于Windows*PSP2及Windows2003對(duì)Windows操作系統(tǒng)程序和服務(wù)啟用系統(tǒng)自帶DEP功能(數(shù)據(jù)執(zhí)行保護(hù))，防止在受保護(hù)內(nèi)存位置運(yùn)行有害代碼。檢測(cè)操作步驟進(jìn)入“控制面板－>系統(tǒng)”，在“高級(jí)”選項(xiàng)卡的“性能”下的“設(shè)置”。進(jìn)入“數(shù)據(jù)執(zhí)行保護(hù)”選項(xiàng)卡。查看“僅為基本W(wǎng)indows操作系統(tǒng)程序和服務(wù)啟用DEP”?；€符合性判定依據(jù)“數(shù)據(jù)執(zhí)行保護(hù)”選項(xiàng)卡已設(shè)置為“僅為基本W(wǎng)indows操作系統(tǒng)程序和服務(wù)啟用DEP”。備注Windows服務(wù)5.3.1SNMP服務(wù)管理安全基線項(xiàng)目名稱(chēng)操作系統(tǒng)SNMP服務(wù)管理安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-05-03-01安全基線項(xiàng)說(shuō)明如需啟用SNMP服務(wù)，則修改默認(rèn)的SNMPmunityString設(shè)置。檢測(cè)操作步驟打開(kāi)“控制面板”，打開(kāi)“管理工具”中的“服務(wù)”，找到“SNMPService”，單擊右鍵打開(kāi)“屬性”面板中的“安全”選項(xiàng)卡，在這個(gè)配置界面中，查看munitystrings，也就是微軟所說(shuō)的“團(tuán)體名稱(chēng)”?；€符合性判定依據(jù)munitystrings已改，不是默認(rèn)的“public”。備注5.3.2系統(tǒng)必須服務(wù)列表管理*安全基線項(xiàng)目名稱(chēng)操作系統(tǒng)服務(wù)列表管理安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-05-03-02安全基線項(xiàng)說(shuō)明列出所需要服務(wù)的列表(包括所需的系統(tǒng)服務(wù))，不在此列表的服務(wù)需關(guān)閉。檢測(cè)操作步驟進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理”，進(jìn)入“服務(wù)和應(yīng)用程序”：查看所有服務(wù)，不在此列表的服務(wù)需關(guān)閉。基線符合性判定依據(jù)系統(tǒng)管理員應(yīng)出具系統(tǒng)所必要的服務(wù)列表。查看所有服務(wù)，不在此列表的服務(wù)需關(guān)閉。備注手工判斷5.3.3系統(tǒng)啟動(dòng)項(xiàng)列表管理*安全基線項(xiàng)目名稱(chēng)操作系統(tǒng)啟動(dòng)項(xiàng)列表管理安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-05-03-03安全基線項(xiàng)說(shuō)明列出系統(tǒng)啟動(dòng)時(shí)自動(dòng)加載的進(jìn)程和服務(wù)列表，不在此列表的需關(guān)閉。檢測(cè)操作步驟“開(kāi)始->運(yùn)行->MSconfig”啟動(dòng)菜單中，取消不必要的啟動(dòng)項(xiàng)?；€符合性判定依據(jù)不需要的自動(dòng)加載進(jìn)程通過(guò)“開(kāi)始->運(yùn)行->MSconfig”啟動(dòng)菜單中取消。備注手工判斷5.3.4遠(yuǎn)程控制服務(wù)安全*安全基線項(xiàng)目名稱(chēng)操作系統(tǒng)遠(yuǎn)程控制服務(wù)管理安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-05-03-04安全基線項(xiàng)說(shuō)明如對(duì)互聯(lián)網(wǎng)開(kāi)放WindowsTerminial服務(wù)(RemoteDesktop)，需修改默認(rèn)服務(wù)端口。檢測(cè)操作步驟運(yùn)行Regedt32并轉(zhuǎn)到此項(xiàng):HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminalServerWinStationsRDP-Tcp找到“PortNumber”子項(xiàng)，會(huì)看到默認(rèn)值00000D3D，它是3389的十六進(jìn)制表示形式。使用十六進(jìn)制數(shù)值修改此端口號(hào)，并保存新值?；€符合性判定依據(jù)找到“PortNumber”子項(xiàng)，設(shè)定值非00000D3D，即十進(jìn)制3389備注根據(jù)應(yīng)用場(chǎng)景的不同，如部署場(chǎng)景需開(kāi)啟此功能，則強(qiáng)制要求此項(xiàng)。5.3.5IIS安全補(bǔ)丁管理*安全基線項(xiàng)目名稱(chēng)操作系統(tǒng)IIS服務(wù)管理安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-05-03-05安全基線項(xiàng)說(shuō)明如需啟用IIS服務(wù)，則將IIS升級(jí)到最新補(bǔ)丁。檢測(cè)操作步驟下載IIS補(bǔ)丁包

IIS4.0.microsoft./Downloads/Release.asp"ReleaseID=23667

IIS5.0

.microsoft./Downloads/Release.asp"ReleaseID=23665并安裝，或升級(jí)到IIS6.0基線符合性判定依據(jù)已安裝IIS補(bǔ)丁包或升級(jí)到IIS6.0。備注根據(jù)應(yīng)用場(chǎng)景的不同，如部署場(chǎng)景需開(kāi)啟此功能，則強(qiáng)制要求此項(xiàng)。5.3.6活動(dòng)目錄時(shí)間同步管理*安全基線項(xiàng)目名稱(chēng)操作系統(tǒng)IIS服務(wù)管理安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-05-03-06安全基線項(xiàng)說(shuō)明通過(guò)微軟ActiveDirectory管理的終端,或者是獨(dú)立終端,要求配置時(shí)間同步源.終端定期執(zhí)行時(shí)間同步操作(必要時(shí))檢測(cè)操作步驟在具有PDCEmulator角色的DC上運(yùn)行如下命令,以和外部時(shí)間源同步w32tm/config/syncfromflags:manual/manualpeerlist:<PeerList>在PC終端上運(yùn)行如下命令行同步時(shí)間：w32tm/config/update基線符合性判定依據(jù)檢查終端主機(jī)的時(shí)間是否與標(biāo)準(zhǔn)時(shí)間同步。備注根據(jù)應(yīng)用場(chǎng)景的不同，如部署場(chǎng)景需開(kāi)啟此功能，則強(qiáng)制要求此項(xiàng)。啟動(dòng)項(xiàng)5.4.1關(guān)閉Windows自動(dòng)播放功能安全基線項(xiàng)目名稱(chēng)操作系統(tǒng)Windows自動(dòng)播放安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-05-04-01安全基線項(xiàng)說(shuō)明關(guān)閉Windows自動(dòng)播放功能。檢測(cè)操作步驟打開(kāi)“開(kāi)始→運(yùn)行”，在對(duì)話框中輸入“gpedit.msc”命令，在出現(xiàn)“組策略”窗口中依次選擇“在計(jì)算機(jī)配置→管理模板→系統(tǒng)”，雙擊“關(guān)閉自動(dòng)播放”查看?；€符合性判定依據(jù)在“設(shè)置”選項(xiàng)卡中選“已啟用”選項(xiàng)。備注屏幕保護(hù)5.5.1設(shè)置屏幕保護(hù)密碼和開(kāi)啟時(shí)間*安全基線項(xiàng)目名稱(chēng)操作系統(tǒng)屏幕保護(hù)安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-05-05-01安全基線項(xiàng)說(shuō)明設(shè)置帶密碼的屏幕保護(hù)，并將時(shí)間設(shè)定為5分鐘。檢測(cè)操作步驟進(jìn)入“控制面板－>顯示－>屏幕保護(hù)程序”：?jiǎn)⒂闷聊槐Ｗo(hù)程序，設(shè)置等待時(shí)間為“5分鐘”，啟用“在恢復(fù)時(shí)使用密碼保護(hù)”基線符合性判定依據(jù)啟用屏幕保護(hù)程序，設(shè)置等待時(shí)間為“5分鐘”，啟用“在恢復(fù)時(shí)使用密