1、中国移动Windows操作系统安全配置规范 中国移动Windows操作系统安全配置规范W I N D O W S 操 作 系 统 安全配置规范 Specification for Windows OS Configuration Used in China Mobile 版本号: 、0、0 网络与信息安全规范 编号 : 【网络与信息安全规范】 【第四层:技术规范 Windows 操作系统 】 【第4504 号】 全文结束-12-18 发布全文结束-01-01 实施 中国移动通信集团公司发布 目录1 概述 、错误 !未定义书签。 1、1 适用范围 、 错误 !未定义书签。 1、2 内部适用性说明
2、 、 错误 !未定义书签。 1、3 外部引用说明 、 错误 !未定义书签。 1、4 术语和定义 、 错误 !未定义书签。 1、5 符号和缩略语 、 错误 !未定义书签。 2 WINDOWS 设备安全配置要求 、错误 !未定义书签。 2、1 账号管理、认证授权 、 错误 !未定义书签。 2、1、1 账号 、 错误 !未定义书签。 2、1、2 口令 、 错误 !未定义书签。 2、1、3 授权 、 错误 !未定义书签。 2、2 日志配置操作 、 错误 !未定义书签。 2、3 IP 协议安全配置操作 、 错误 !未定义书签。 2、4 设备其他配置操作 、 错误 !未定义书签。 2、4、1 屏幕保护 、
3、 错误 !未定义书签。 2、4、2 共享文件夹及访问权限 、 错误 !未定义书签。 2、4、3 补丁管理 、 错误 !未定义书签。 2、4、4 防病毒管理 、 错误 !未定义书签。 2、4、5 Windows 服务 、 错误 !未定义书签。 2、4、6 启动项 、 错误 !未定义书签。 前言 本标准由中国移动 通信有限公司网络部提出并归口。 本标准由标准提出并归口部门负责解释。 本标准起草单位:中国移动通信有限公司网络部 。 本标准解释单位:同提出单位 。 本标准主要起草人:中国移动通信集团 浙江 公司 朱国萃 中国移动集团公司 陈敏时1 概述 1、1 适用范围 本规范所指的设备为 Windo
4、ws 系统设备。 本规范明确了 运行 Windows 操作 系统的设备在 安全配置方面的基本要求 。 在未特别说明的情况下,均适用于所有 运行的 Windows 操作系统,包括 Windows2000、 Windows XP、 Windows2003 以 及 各版本中的 Sever、 Professional 版本 。 1、2 内部 适用性说明 配置要求说明 编号 采纳意见 补充说明 安全要求通用-1-可选 增强 安全要求WINDOWS-配置设备配置2-可选 增强 安全要求WINDOWS-配置可选 安全要求通用-3-可选 不 采纳 Windows 无法在远程登陆时通过切换用户 提升权限 安全要
5、求通用-4 增强 安全要求WINDOWS-配置设备配置5 完全采纳 安全要求通用-6-可选 完全采纳 安全要求通用-7-可选 完全采纳 安全要求通用-9 增强 安全要求WINDOWS-配置设备配置设备配置设备配置设备配置设备配置12 完全采纳 安全要求通用-13-可选 增强 安全要求WINDOWS-配 置设备配置24-可选 增强 安全要求WINDOWS-配置设备配置设备配置设备配置设备配置设备配置设备配置设备配置设备配置设备配置14-可选 不采纳 Windows 日志储存在本地 安全要求通用-16-可选 增强 安全要求WINDOWS-配置可选 安全要求WINDOWS-配置可选 安全要求通用-1
6、7-可选 不采纳 Windosw 远程管理采用了自有协议,不支 持 SSH 安全要求通用-19-可选 不采纳 WIN 系统不具备字符交互界面 安全要求通用-20-可选 增强 安全要求WINDOWS-配置设备配置27-可选 不采纳 Windows 不支持 CONSOLE 访问 1、3 外部引用说明 中国移动通用安全功能和配置规范 1、4 术语和定义 1、5 符号和缩略语 缩写 英文描述 中文描述 缩写 英文描述 中文描述2 WINDOWS 设备安全 配置 要求 本 规范 从 Windows 系统设备的认证授权功能、安全日志功能以及 IP 网络安 全功能,和其他自身安全配置功能四 个方面提出安全
7、要求 。 2、1 账号管理、认证授权 认证功能用于确认登录系统的用户真实身份。认证功能的具体实现方式包括 静态口令、动态口令、指纹等生物鉴别技术等。授权功能赋予系统账号的操作权 限,并限制用户进行超越 其账号权限的操作。 2、1、1 账号 编号: 安全要求通用-1 要求内容 按照用户分配账号。根据系统的要求,设定不同的账户和账户组, 管理员用户,数据库用户,审计用户,来宾用户等。 操作指南 1、参考配置操作 进入 “ 控制面板计算机管理” ,在 “系统工具管理工具本地用 户和组”: 查看根据系统的要求,设定不同的账户和账户组,管理员用户,数 据库用户,审计用户,来宾用户。 编号: 安全要求WI
8、NDOWS-配置可选 要求内容 删除或锁定与设备运行、维护等与工作无关的账号。 操作指南 1、参考配置操作 进入 “ 控制面板计算机管理” ,在 “系统工具管理工具本地用 户和组”: 查看是否删除或锁定与设备运行、维护等与工作无关的账号。 编号: 安全要求WINDOWS-配置可选 要求内容 对于管理员帐号,要求更改缺省帐户名称;禁用 guest(来宾)帐 号。 操作指南 1、参考配置操作 进入 “ 控制面板计算机管理” ,在 “系统工具属性 已停用 检测方法 1、判定条件 缺省账户 Administrator 名称已更改。G uest 帐号已停用。 2、检测操作 进入 “ 控制面板计算机管理”
9、 ,在 “系统工具属性 已停用 2、1、2 口令 编号: 安全要求WINDOWS-配置管理工具密码 策略”: “ 密码必须符合复杂性要求 ” 选择 “ 已启动 ” 检测方法 1、判定条件 “ 密码必须符合复杂性要求 ” 选择 “ 已启动 ” 2、 检测操作 进入 “ 控制面板本地安全策略 ” ,在 “帐户策略设备配置管理工具密码 策略”: “ 密码最长 存留期”设置为“90 天” 检测方法 1、判定条件 “ 密码最长 存留期”设置为“90 天” 2、检测操作 进入 “ 控制面板本地安全策略 ” ,在 “帐户策略设备配置可 选 要求内容 对于采用静态口令认证技术的设备,应配置设备,使用户不能重复
10、 使用最近5 次(含5 次)内已使用的口令。 操作指南 1、参考配置操作 进入 “ 控制面板本地安全策略 ” ,在 “帐户策略管理工具密码 策略”: 查看是否“ 强制密码历史 ”设置为“记住5 个密码” 编号: 安全要求WINDOWS-配置管理工具帐户 锁定策略”: “账户锁定阀值”设置为6 次 检测方法 1、判定条件 “账户锁定阀值”设置为 小于或等于6 次 2、检测操作 进入 “ 控制面板本地安全策略 ” ,在 “帐户策略设备配置管理工具用 户权利指派 ” : “ 从远端系统强制关机 ” 设置为“只指派给 Administrators 组” 检测方法 1、判定条件 “ 从远端系统强制关机
11、” 设置为“只指派给 Administrtors 组” 2、检测操作 进入 “ 控制面板本地安全策略 ” ,在 “ 本地策略设备配置管理工具用 户权利指派 ” : “ 关闭系统 ” 设置为“只指派给 Administrators 组” 检测方法 1、判定条件 “ 关闭系统 ” 设置为“只指派给 Administrators 组” 2、检测操作 进入 “ 控制面板本地安全策略 ” ,在 “ 本地策略设备配置管理工具用 户权利指派 ”: “ 取 得 文 件 或 其 它 对 象 的 所 有 权 ” 设 置 为 “ 只 指 派 给 Administrators 组” 检测方法 1、判定条件 “ 取 得
12、 文 件 或 其 它 对 象 的 所 有 权 ” 设 置 为 “ 只 指 派 给 Administrators 组” 2、检测操作 进入 “ 控制面板本地安全策略 ” ,在 “ 本地策略设备配置管理工具用 户权利指派 ” “从本地登陆此计算机”设置为“指定授权用户” 检测方法 1、判定条件 “从本地登陆此计算机”设置为“ 指定授权用户” 2、检测操作 进入 “ 控制面板本地安全策略 ” ,在 “ 本地策略设备配置管理工具用 户权利指派 ” “从网络访问此计算机”设置为“指定授权用户” 检测方法 1、判定条件 “从网络访问此计算机”设置 为“指定授权用户” 2、检测操作 进入 “ 控制面板本地安
13、全策略 ” ,在 “ 本地策略设备配置运行管理工具审核 策略” 审核登录事件,双击,设置为成 功和失败都审核。 检测方法 1、判定条件 审核登录事件,设置为成功和失败都审核。 2、检测操作 开始 执行“ 控制面板本地安全策略设备配置管理工具审核 策略 ” 中 “ 审核策略更改 ” 设置为 “成功” 和“失败 ”都要审核 检测方法 1、判定条件 “ 审核策略更改 ” 设置为 “成功” 和“失败”都要审核 2、检测操作 进入 “ 控制面板本地安全策略 ” , 在 “ 本地策略设备配置管理工具审核 策略 ” 中 : “审核对象访问”设置为“成功 ”和“失败”都要审核 检测方法 1、判定条件 “审核对
14、象访问”设置为“成功”和“失败”都要审核 2、检测操作 进入 “ 控制面板本地安全策略 ” , 在 “ 本地策略设备配置管理工具审核 策略 ” 中 : “ 审核目录服务器访问 ” 设置为 “成 功” 和“失败”都要审核 检测方法 1、判定条件 “ 审核目录服务器访问 ” 设置为 “成功” 和“失败”都要审核 2、检测操作 进入 “ 控制面板本地安全策略 ” , 在 “ 本地策略设备配置管理工具审核 策略 ” 中 : “ 审核特权使用 ” 设置为 “ 成功 ” 和 “ 失败 ” 都要审核 检测方法 1、判定条件 “ 审核目录服务器访问 ” 设置为 “成功” 和“失败”都要审核 2、检测操作 进入
15、 “ 控制面板本地安全策略 ” , 在 “ 本地策略设备配置管理工具审核 策略 ” 中 : “ 审核系统事件 ” 设置为 “ 成功 ” 和 “ 失败 ” 都要审核 检测方法 1、判定条件 “ 审核系统事件 ” 设置为 “成功” 和“失败”都要审核 2、检测操作 进入 “ 控制面板本地安全策略 ” , 在 “ 本地策略设备配置管理工具审核 策略 ” 中 : “ 审核账户管理 ” 设置为 “ 成功 ” 和 “ 失败 ” 都要审核 检测方法 1、判定条件 “ 审核账户管理 ” 设置为 “ 成功 ” 和 “ 失败 ” 都要审核 2、检测操作 进入 “ 控制面板本地安全策略 ” , 在 “ 本地策略设备
16、配置管理工具审核 策略 ” 中 : “ 审核过程追踪 ” 设置为 “ 失败 ” 需要审核 检测方法 1、判定条件 “ 审核过程追踪 ” 设置为 “ 失败 ” 需要审核 2、检测操作 进入 “ 控制面板本地安全策略 ” , 在 “ 本地策略设备配置可选 要求内容 设置应用日志文件大小至少为8192KB,设置当达到最大的日志尺 寸时,按需要改写事件。 操作指南 1、参考配置操作 进入 “ 控制面板事件查看器 ” , 在 “ 事件查看器(本 地) ” 中 : “ 应用日志 ”属性中的日志大小 设置不小于 “8192KB” ,设置当达 到最大的日志尺寸时, “ 按需要改写事件 ” 检测方法 1、判定条
17、件 “ 应用日志 ”属性中的日志大小 设置不小于 “8192KB” ,设置当达 到最大的日志尺寸时, “ 按需要改写事件 ” 2、检测操作 进入 “ 控制面板事件查看器 ” , 在 “ 事件查看器(本 地) ” 中 : 查看是否“ 应用日志 ”属性中的日志大小 设置不小于 “8192KB” , 设置当达到最大的日志尺寸时, “ 按需要改写事件 ” 编号: 安全要求WINDOWS-配置可选 要求内容 设置系统日志文件大小至少为8192KB,设置当达到最大的日志尺 寸时,按需要改写事件。 操作指南 1、参考配置操作 进入 “ 控制面板事件查看器 ” , 在 “ 事件查看器(本 地) ” 中 : “
18、 系统日志 ”属性中的日志大小 设置不小于 “8192KB” ,设置当达 到最大的日志尺寸时, “ 按需要改写事件 ” 检测方法 1、判定条件 “ 系统日志 ”属性中的日志大小 设置不小于 “8192KB” , 设置当 达到最大的日志尺寸时, “ 按需要改写事件 ” 2、检测操作 进入 “ 控制面板事件查看 器 ” , 在 “ 事件查看器(本 地) ” 中 : 查看是否“ 系统日志 ”属性中的日志大小 设置不小于 “8192KB” , 设置当达到最大的日志尺寸时, “ 按需要改写事件 ” 编号: 安全要求WINDOWS-配置可选 要求内容 设置安全日志文件大小至少为8192KB,设置当达到最大
19、的日志尺 寸时,按需要改写事件。 操作指南 1、参考配置操作 进入 “ 控制面板事件查看器 ” , 在 “ 事件查看器(本 地) ” 中 : “ 安全日志 ”属性中的日志大小 设置不小于 “8192KB” ,设置当达 到最大的日志尺寸时, “ 按需要改写事件 ” 检测方法 1、判定条件 “ 安全日志 ”属性中的日志大小 设置不小于 “8192KB” ,设置当达 到最大的日志尺寸时, “ 按需要改写事件 ” 2、检测操作 进入 “ 控制面板事件查看器 ” , 在 “ 事件查看器(本 地) ” 中 : 查看是否“ 安全日志 ”属性中的日志大小 设置不小于 “8192KB” , 设置当达到最大的日志
20、尺寸时, “ 按需要改写事件 ” 2、3 IP 协议安全配置操作 编号: 安全要求WINDOWS-配置可选 要求内容 对没有自带防火墙的 Windows 系统,启用 Windows 系统的 IP 安全 机制 (IPSec)或网络连接上的 TCP/IP 筛选,只开放业务所需要的 TCP, UDP 端口和 IP 协议。 操作指南 1、参考配置操作 进入 “ 控制面板 网络连接 本地连接 ” ,进入 “ Internet 协议 ( TCP/IP)属性 高级 TCP/IP 设置 ” ,在 “ 选项 ” 的属性中 启用 网络连接上的 TCP/IP 筛选,只开放业务所需要的 TCP, UDP 端口 和 I
21、P 协议。 检测方法 1、判定条件 系统管理员出示业务所需端口列表。 根据列表只开放系统与业务所需端口。 2、检测操作 进入 “ 控制面板 网络连接 本地连接 ” ,进入 “ Internet 协 议 ( TCP/IP)属性 高级 TCP/IP 设置 ” ,在 “ 选项 ” 的属性中 启用 网络连接上的 TCP/IP 筛选,查看是否只开放业务所需要的 TCP, UDP 端口和 IP 协议。 编号: 安全要求WINDOWS-配置可选 要求内容 启用 Windows XP 和 Windows2003 自带防火墙。根据业务需要限 定允许访问网络的应用程序,和允许远程登陆该设备的 IP 地址范 围。
22、操作指南 1、参考配置操作 进入 “ 控制面板 网络连接 本地连接 ” ,在高级选项的设置中 启用 Windows 防火墙。 在“例外”中配置允许 业务所需的程序接入网络。 在“例外更改范围”编辑允许接入的网络地址范围。 检测方法 1、判定条件 启用 Windows 防火墙。 “例外”中允许接入网络的程序均为业务所需。 2、检测操作 进入 “ 控制面板 网络连接 本地连接 ” ,在高级选项的设置中, 查看是否启用 Windows 防火墙。 查看是否在“例外”中配置允许业务所需的程序接入网络。 查看是否在“例外更改范围”编辑允许接入的网络地址范 围。 编号: 安全要求WINDOWS-配置可选 要
23、求内容 启用 SYN 攻击保护;指定 触发 SYN 洪水攻击保护所必须超过的 TCP 连接请求数阀值为5; 指定处于 SYN_RCVD 状态的 TCP 连 接数的阈值 为500;指定 处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值 为400。 操作指南 1、参考配置操作 在“开始键入 regedit” 启用 SYN 攻击保护的命名值位于注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。值名称: SynAttackProtect。 推荐值:2。 以下 部分中的 所有项和值 均 位于注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。 指定必须在触发 SYN flood 保护之前超过的 TCP 连接请求阈值。 值名称: TcpMaxPortsExhausted。 推荐值:5。 启用 SynAttackProtect 后,该值指定 SYN_RCVD 状态中的 TCP 连接阈值 , 超过 SynAttackProtect 时,触发 SYN flood 保护。值 名称: TcpMaxHalfOpen。 推荐值数据:500。