1、(4) 升级完成后,安装前述光盘中的杀毒软件并进行更新。第4章 账号管理、认证授权4.1 账号4.1.1管理缺省账户安全基线项目名称操作系统缺省账户安全基线要求项安全基线项说明 对于管理员帐号,要求更改缺省帐户名称;禁用guest(来宾)帐号。检测操作步骤进入“控制面板-管理工具-计算机管理”,在“系统工具-本地用户和组”:缺省帐户Administrator属性Guest帐号-基线符合性判定依据缺省账户Administrator名称已更改Guest帐号已停用备注4.1.2删除无用账户删除或锁定与设备运行、维护等与工作无关的账号。1、参考配置操作1、判定条件结合要求和实际业务情况判断符合要求,删
2、除或锁定与设备运行、维护等与工作无关的账号。2、检测操作查看是否删除或锁定与设备运行、维护等与工作无关的账号。4.1.3用户权限分离按照用户分配账号。根据系统的要求,设定不同的账户和账户组,管理员用户,操作员用户operator,审计用户auditor等。根据系统的要求,设定不同的账户和账户组,管理员用户,操作员用户和审计用户纳入user组。结合要求和实际业务情况判断符合要求,根据系统的要求,设定不同的账户和账户组,管理员用户,操作员用户,审计用户。查看根据系统的要求,设定不同的账户和账户组,管理员用户,数据库用户,审计用户。4.2 口令4.2.1密码复杂度操作系统密码复杂度安全基线要求项最短
3、密码长度12个字符,启用本机组策略中密码必须符合复杂性要求的策略。即密码需要包含以下四种类别的字符: 英语大写字母 A, B, C, Z 英语小写字母 a, b, c, z 西方阿拉伯数字 0, 1, 2, 9 非字母数字字符,如标点符号,, #, $, %, &, *等本地安全策略”,在“帐户策略-密码策略”:查看是否“密码必须符合复杂性要求”选择“已启动”“密码必须符合复杂性要求”选择“已启动”4.2.2密码最长生存期操作系统密码最长生存期要求项对于采用静态口令认证技术的系统,账户口令的生存期不长于90天。查看“密码最长存留期”“密码最长存留期”设置不大于“90天”4.2.3密码历史操作系
4、统密码历史安全基线要求项对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令。“强制密码历史”设置为“记住5个密码”查看是否“强制密码历史”设置为“记住5个密码”4.2.4帐户锁定策略操作系统账户锁定策略安全基线要求项对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过4次(不含5),锁定该用户使用的账号。帐户锁定策略”:查看“账户锁定阀值”设置“账户锁定阀值”设置为小于或等于 3次,锁定时间1分钟。4.3 授权4.3.1远程关机操作系统远程关机策略安全基线要求项在本地安全设置中从远端系统强制关机只指派给Administrators组。本地
5、安全策略”,在“本地策略-用户权利指派”:查看“从远端系统强制关机”设置“从远端系统强制关机”设置为“只指派给Administrtors组”4.3.2本地关机操作系统本地关机策略安全基线要求项在本地安全设置中关闭系统仅指派给Administrators组。查看“关闭系统”设置“关闭系统”设置为“只指派给Administrators组”4.3.3隐藏上次登录名操作系统本地登录名隐藏策略安全基线要求项交互式登录,不显示上次登录的用户名运行输入“gpedit.msc” 本地计算机策略 windows设置 安全设置 本地策略 安全选项下:启用”交互式登录:不显示最后的用户名”“交互式登录:不显示最后的
6、用户名”设置为“已启用”4.3.4关机清理内存页面操作系统关机清理内存策略安全基线要求项关机时清理虚拟内存页面文件启用”关机:清理虚拟内存页面文件”“关机:清理虚拟内存页面文件”设置为“已启用”4.3.5用户权利指派操作系统用户权力指派策略安全基线要求项在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。用户权利指派”:查看是否“取得文件或其它对象的所有权”设置“取得文件或其它对象的所有权”设置为“只指派给Administrators组”第5章 日志配置操作5.1 日志配置5.1.1审核登录操作系统审核登录策略安全基线要求项设备应配置日志功能,对用户登录进行记录,记
7、录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。开始-运行- 执行“ 控制面板-本地安全策略-审核策略”审核登录事件。审核登录事件,设置为成功和失败都审核。5.1.2审核策略更改操作系统审核策略更改安全基线要求项启用组策略中对Windows系统的审核策略更改,成功和失败都要审核。审核策略”中查看“审核策略更改”设置。“审核策略更改”设置为“成功” 和“失败”都要审核。5.1.3审核对象访问操作系统审核对象访问安全基线要求项启用组策略中对Windows系统的审核对象访问,成功和失败都要审核。审核策略”中:查看“审核对象访问”设置。“审核对象访问”设置为“
8、成功”和“失败”都要审核。5.1.4审核事件目录服务器访问操作系统审核事件目录服务器访问策略安全基线要求项启用组策略中对Windows系统的审核目录服务访问,失败。查看“审核目录服务器访问”设置。“审核目录服务器访问”设置为“成功” 和“失败”都要审核。5.1.5审核特权使用操作系统审核特权使用策略安全基线要求项启用组策略中对Windows系统的审核特权使用,成功和失败都要审核。查看“审核特权使用”设置。“审核特权使用”设置为“成功” 和“失败”都要审核。5.1.6审核系统事件操作系统审核系统事件策略安全基线要求项启用组策略中对Windows系统的审核系统事件,成功和失败都要审核。查看“审核系
9、统事件”设置。“审核系统事件”设置为“成功” 和“失败”都要审核。5.1.7审核账户管理操作系统审核账户管理策略安全基线要求项启用组策略中对Windows系统的审核帐户管理,成功和失败都要审核。查看“审核账户管理” 设置。“审核账户管理”设置为“成功” 和“失败”都要审核。5.1.8审核过程追踪操作系统审核过程追踪策略安全基线要求项启用组策略中对Windows系统的审核过程追踪失败。查看“审核过程追踪”设置。“审核过程追踪”设置为 “失败”需要审核。5.1.9日志文件大小操作系统日志容量安全基线要求项设置应用日志文件大小至少为8M,设置当达到最大的日志尺寸时,按需要改写事件。事件查看器”,在“
10、事件查看器(本地)”中:查看“应用日志” “系统日志” “安全日志”属性中的日志大小 ,以及设置当达到最大的日志尺寸时的相应策略。“应用日志” “系统日志” “安全日志”属性中的日志大小设置不小于“8M” ,设置当达到最大的日志尺寸时,“按需要改写事件”。第6章 其他配置操作6.1 共享文件夹及访问权限6.1.1关闭默认共享操作系统默认共享安全基线要求项非域环境中,关闭Windows硬盘默认共享,例如C$,D$。进入“开始运行Regedit”,进入注册表编辑器,查看 HKLMSystemCurrentControlSetServicesLanmanServerParametersAutoSha
11、reServer;HKLMSystemCurrentControlSetServicesLanmanServerParametersAutoShareServer 键,值为 0。6.2 防病毒管理6.2.1防病毒软件保护操作系统防病毒保护安全基线要求项对Windows 2003服务器主机应当安装部署服务器专版杀毒软件,并打开自动升级病毒库选项。查看是否存在符合条件的杀毒软件;点击进入杀毒软件的操作界面,检查是否开启自动更新。如不存在杀毒软件或者没打开自动更新即为不合规。6.3 Windows服务6.3.1 系统服务管理操作系统系统服务管理安全基线要求项检查系统开机启动的服务,并根据实际情况开启
12、/关闭服务,如:Messenger,Task Scheduler,Server,Workstation,Print Spooler,Alerter,Computer Browser,DHCP Client,Remote Registry Service,SNMP,TCP/IP NetBIOS Helper,IPSEC Policy Agent等;打开“控制面板”,打开“管理工具”中的“服务”。关闭不需要的服务,并设置非开机自动启动项。询问管理员,在系统确实需要的情况下可开启相应的服务,如SNMP等。系统管理员应出具系统所必要的服务列表。查看所有服务,不在此列表的服务需关闭。6.4 访问控制6.
13、4.1 限制Radmin管理地址操作系统数据访问控制安全基线要求项通过限制Radmin管理地址,严格控制访问者来源开始菜单 Radmin operations for Remote Administrator server选择Operations选择Add添加168.8.44.0/255.255.255.0 168.8.43.0/255.255.255.0在非管理网段尝试进行radmin连接中心机房以外的服务器管理暂时不做源地址限制。6.5 启动项6.4.1关闭Windows自动播放功能操作系统Windows自动播放安全基线要求项关闭Windows自动播放功能。打开“开始运行”,在对话框中输入
14、“gpedit.msc”命令,在出现“组策略”窗口中依次选择“在计算机配置管理模板系统”,双击“关闭自动播放”查看。在“设置”选项卡中选“已启用”选项。6.4.3配置屏保功能操作系统Windows其他安全配置基线要求项配置Windows屏幕保护功能打开控制面板显示,在“显示”属性中选择屏幕保护,选择任意屏幕保护程序后将等待时间修改为15分钟,并选择“在恢复时使用密码保护”,确定即可。计算机15分钟无操作时能自动启用屏幕保护,恢复时要求输入密码。打开控制面板显示,在“显示”属性中选择屏幕保护,检查等待时间和“在恢复时使用密码保护”设置。6.4.4补丁更新安装最新的Service Pack补丁集安
15、装最新的Service Pack补丁集,目前Windows XP的Service Pack为SP3。Windows2000要求重装到Windows2003,对于客观因素无法重装的Windows2000,建议Service Pack升级至SP4,Windows 2003的Service Pack为SP2,Windows 2008的Servoce Pack为SP2。显示XP系统已安装SP3,Win2000系统已安装SP4,Win2003为SP2,Win2008为SP2。右击我的电脑-属性,查看是否XP系统已安装SP3,Win2000系统已安装SP4,Win2003系统已安装SP2,2008系统已安装SP2。 持续改进本文件由XXX定期进行审查,根据审查结果修订标准,并重新颁发执行。
