Windows安全配置指南.docx
- 文档编号:14579074
- 上传时间:2023-06-24
- 格式:DOCX
- 页数:22
- 大小:22.08KB
Windows安全配置指南.docx
《Windows安全配置指南.docx》由会员分享,可在线阅读,更多相关《Windows安全配置指南.docx(22页珍藏版)》请在冰点文库上搜索。
Windows安全配置指南
Windows系统安全配置指南
中国联通信息化事业部
2012年09月
版本
版本控制信息
更新日期
更新人
审批人
V1.0
创建
2012年9月
备注:
1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录
第1章概述1
1.1目的1
1.2适用范围1
1.3适用版本1
1.4实施1
1.5例外条款1
第2章账号管理、认证授权2
2.1账号2
2.1.1管理缺省账户2
2.2口令2
2.2.1密码复杂度2
2.2.2密码历史3
2.2.3帐户锁定策略3
2.3授权4
2.3.1远程关机4
2.3.2本地关机4
2.3.3用户权利指派4
第3章日志配置操作6
3.1日志配置6
3.1.1审核登录6
3.1.2审核策略更改6
3.1.3审核对象访问7
3.1.4审核事件目录服务器访问7
3.1.5审核特权使用7
3.1.6审核系统事件8
3.1.7审核账户管理8
3.1.8审核过程追踪8
3.1.9日志文件大小9
第4章IP协议安全配置10
4.1IP协议10
4.1.1启用SYN攻击保护10
第5章设备其他配置操作12
5.1共享文件夹及访问权限12
5.1.1关闭默认共享12
5.2防病毒管理12
5.2.1数据执行保护12
5.3Windows服务13
5.3.1SNMP服务管理13
5.4启动项13
5.4.1关闭Windows自动播放功能13
第6章评审与修订14
第1章概述
1.1目的
本文档规定了中国联通通信有限公司管信息化事业部所维护管理的WINDOWS操作系统的主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进行WINDOWS操作系统的安全合规性检查和配置。
1.2适用范围
本配置标准的使用者包括:
服务器系统管理员、应用管理员、网络安全管理员。
本配置标准适用的范围包括:
中国联通总部和各省公司信息化部门维护管理的WINDOWS服务器系统。
1.3适用版本
WINDOWS系列服务器;
1.4实施
本标准的解释权和修改权属于中国联通集团信息化事业部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。
本标准发布之日起生效。
1.5例外条款
欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国联通通信有限公司信息化事业统部进行审批备案。
第2章账号管理、认证授权
2.1账号
2.1.1管理缺省账户
项目名称
操作系统缺省账户要求项
编号
Windows-02-01-01
项目说明
对于管理员帐号,要求更改缺省帐户名称;禁用guest(来宾)帐号。
检测操作步骤
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:
缺省帐户Administrator->属性
Guest帐号->属性
符合性判定依据
缺省账户Administrator名称已更改。
Guest帐号已停用。
配置方法
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”。
Administrator->属性->更改名称
Guest帐号->属性->已停用
实施风险
业务系统直接利用Administrator账号管理需相应修改其账号。
备注
2.2口令
2.2.1密码复杂度
项目名称
操作系统密码复杂度要求项
编号
Windows-02-02-01
项目说明
最短密码长度8个字符,启用本机组策略中密码必须符合复杂性要求的策略。
即密码至少包含以下四种类别的字符中的三种:
英语大写字母A,B,C,…Z
英语小写字母a,b,c,…z
西方阿拉伯数字0,1,2,…9
非字母数字字符,如标点符号,@,#,$,%,&,*等
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:
查看是否“密码必须符合复杂性要求”选择“已启动”
符合性判定依据
“密码必须符合复杂性要求”选择“已启动”
配置方法
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”。
“密码必须符合复杂性要求”选择“已启动”设置如下策略
策略
默认设置
推荐最低设置
最短密码长度
0个字符
8个字符
密码必须符合复杂性要求
禁用
启用
为域中所有用户使用可还原的加密来储存密码
禁用
禁用
实施风险
风险较小
备注
2.2.2密码历史
项目名称
操作系统密码历史要求项
编号
Windows-02-02-02
项目说明
对于采用静态口令认证技术的设备,账户口令的生存期不长于90天。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:
查看“密码最长存留期”
符合性判定依据
“密码最长存留期”设置不大于“90天”
配置方法
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”。
设置如下策略:
策略
默认设置
推荐最低设置
强制执行密码历史记录
记住1个密码
记住5个码
密码最长期限
42天
90天
密码最短期限
0天
2天
实施风险
业务系统直接利用的账号不适用密码最长90天期限
备注
2.2.3帐户锁定策略
项目名称
操作系统账户锁定策略要求项
编号
Windows-02-02-03
项目说明
对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->帐户锁定策略”:
查看“账户锁定阀值”设置
符合性判定依据
“账户锁定阀值”设置为小于或等于6次
配置方法
参考配置操作:
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->账户锁定策略”。
设置如下策略:
策略
默认设置
推荐最低设置
账户锁定时间
未定义
30分钟
账户锁定阈值
0
6次无效登录
复位账户锁定计数器
未定义
30分钟
实施风险
安全扫描检测暴力破解口令将导致账号锁定。
备注
2.3授权
2.3.1远程关机
项目名称
操作系统远程关机策略要求项
编号
Windows-02-03-01
项目说明
在本地安全设置中从远端系统强制关机只指派给Administrators组。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:
查看“从远端系统强制关机”设置
符合性判定依据
“从远端系统强制关机”设置为“只指派给Administrtors组”
配置方法
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”。
“从远端系统强制关机”设置为“只指派给Administrators组”。
实施风险
风险较小
备注
2.3.2本地关机
项目名称
操作系统本地关机策略要求项
编号
Windows-02-03-02
项目说明
在本地安全设置中关闭系统仅指派给Administrators组。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:
查看“关闭系统”设置
符合性判定依据
“关闭系统”设置为“只指派给Administrators组”
配置方法
参考配置操作:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”。
“关闭系统”设置为“只指派给Administrators组”。
实施风险
风险较小
备注
2.3.3用户权利指派
项目名称
操作系统用户权力指派策略要求项
编号
Windows-02-03-03
项目说明
在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:
查看是否“取得文件或其它对象的所有权”设置
符合性判定依据
“取得文件或其它对象的所有权”设置为“只指派给Administrators组”
配置方法
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”。
“取得文件或其它对象的所有权”设置为“只指派给Administrators组”。
实施风险
风险较小
备注
第3章
日志配置操作
3.1日志配置
3.1.1审核登录
项目名称
操作系统审核登录策略要求项
编号
Windows-03-01-01
项目说明
设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。
检测操作步骤
开始->运行->执行“控制面板->管理工具->本地安全策略->审核策略”
审核登录事件。
符合性判定依据
审核登录事件,设置为成功和失败都审核。
配置方法
参考配置操作:
开始->运行->执行“控制面板->管理工具->本地安全策略->审核策略”
审核登录事件,双击,设置为成功和失败都审核。
实施风险
风险较小
备注
3.1.2审核策略更改
项目名称
操作系统审核策略更改要求项
编号
Windows-03-01-02
项目说明
启用组策略中对Windows系统的审核策略更改,成功和失败都要审核。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中
查看“审核策略更改”设置。
符合性判定依据
“审核策略更改”设置为“成功”和“失败”都要审核。
配置方法
参考配置操作:
开始->运行->执行“控制面板->管理工具->本地安全策略->审核策略”
审核策略更改,双击,设置为成功和失败都审核。
实施风险
风险较小
备注
3.1.3审核对象访问
项目名称
操作系统审核对象访问要求项
编号
Windows-03-01-03
项目说明
启用组策略中对Windows系统的审核对象访问,成功和失败都要审核。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
查看“审核对象访问”设置。
符合性判定依据
“审核对象访问”设置为“成功”和“失败”都要审核。
配置方法
参考配置操作:
开始->运行->执行“控制面板->管理工具->本地安全策略->审核策略”
审核对象访问,双击,设置为成功和失败都审核。
实施风险
风险较小
备注
3.1.4审核事件目录服务器访问
项目名称
操作系统审核事件目录服务器访问策略要求项
编号
Windows-03-01-04
项目说明
启用组策略中对Windows系统的审核目录服务访问,失败。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
查看“审核目录服务器访问”设置。
符合性判定依据
“审核目录服务器访问”设置为“成功”和“失败”都要审核。
配置方法
参考配置操作:
开始->运行->执行“控制面板->管理工具->本地安全策略->审核策略”
审核目录服务器访问,双击,设置为成功和失败都审核。
实施风险
风险较小
备注
3.1.5审核特权使用
项目名称
操作系统审核特权使用策略要求项
编号
Windows-03-01-05
项目说明
启用组策略中对Windows系统的审核特权使用,成功和失败都要审核。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
查看“审核特权使用”设置。
符合性判定依据
“审核特权使用”设置为“成功”和“失败”都要审核。
配置方法
参考配置操作:
开始->运行->执行“控制面板->管理工具->本地安全策略->审核策略”
审核特权使用,双击,设置为成功和失败都审核。
实施风险
风险较小
备注
3.1.6审核系统事件
项目名称
操作系统审核系统事件策略要求项
编号
Windows-03-01-06
项目说明
启用组策略中对Windows系统的审核系统事件,成功和失败都要审核。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
查看“审核系统事件”设置。
符合性判定依据
“审核系统事件”设置为“成功”和“失败”都要审核。
配置方法
参考配置操作:
开始->运行->执行“控制面板->管理工具->本地安全策略->审核策略”
审核系统事件,双击,设置为成功和失败都审核。
实施风险
风险较小
备注
3.1.7审核账户管理
项目名称
操作系统审核账户管理策略要求项
编号
Windows-03-01-07
项目说明
启用组策略中对Windows系统的审核帐户管理,成功和失败都要审核。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
查看“审核账户管理”设置。
符合性判定依据
“审核账户管理”设置为“成功”和“失败”都要审核。
配置方法
参考配置操作:
开始->运行->执行“控制面板->管理工具->本地安全策略->审核策略”
审核账户管理,双击,设置为成功和失败都审核。
实施风险
风险较小
备注
3.1.8审核过程追踪
项目名称
操作系统审核过程追踪策略要求项
编号
Windows-03-01-08
项目说明
启用组策略中对Windows系统的审核过程追踪失败。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
查看“审核过程追踪”设置。
符合性判定依据
“审核过程追踪”设置为“失败”需要审核。
配置方法
参考配置操作:
开始->运行->执行“控制面板->管理工具->本地安全策略->审核策略”
审核过程追踪,双击,设置为成功和失败都审核。
实施风险
风险较小
备注
3.1.9日志文件大小
项目名称
操作系统日志容量要求项
编号
Windows-03-01-09
项目说明
设置应用日志文件大小至少为8192KB,设置当达到最大的日志尺寸时,按需要改写事件。
检测操作步骤
进入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中:
查看“应用日志”“系统日志”“安全日志”属性中的日志大小,以及设置当达到最大的日志尺寸时的相应策略。
符合性判定依据
“应用日志”“系统日志”“安全日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时,“按需要改写事件”
配置方法
参考配置操作:
进入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中:
“应用日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时,“按需要改写事件”
“系统日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时,“按需要改写事件”
“安全日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时,“按需要改写事件”
实施风险
需查看C盘剩余空间。
备注
第4章
IP协议安全配置
4.1IP协议
4.1.1启用SYN攻击保护
项目名称
操作系统SYN攻击保护要求项
编号
Windows-04-01-01
项目说明
启用SYN攻击保护;指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阀值为5;指定处于SYN_RCVD状态的TCP连接数的阈值为500;指定处于至少已发送一次重传的SYN_RCVD状态中的TCP连接数的阈值为400。
检测操作步骤
在“开始->运行->键入regedit”
查看注册表项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect;
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted;
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen;
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried。
符合性判定依据
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect;推荐值:
2。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted;推荐值:
5。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen;推荐值数据:
500。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried。
推荐值数据:
400。
配置方法
参考配置操作:
在“开始->运行->键入regedit”
启用SYN攻击保护的命名值位于注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services之下。
值名称:
SynAttackProtect。
推荐值:
2。
以下部分中的所有项和值均位于注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services之下。
指定必须在触发SYNflood保护之前超过的TCP连接请求阈值。
值名称:
TcpMaxPortsExhausted。
推荐值:
5。
启用SynAttackProtect后,该值指定SYN_RCVD状态中的TCP连接阈值,超过SynAttackProtect时,触发SYNflood保护。
值名称:
TcpMaxHalfOpen。
推荐值数据:
500。
启用SynAttackProtect后,指定至少发送了一次重传的SYN_RCVD状态中的TCP连接阈值。
超过SynAttackProtect时,触发SYNflood保护。
值名称:
TcpMaxHalfOpenRetried。
推荐值数据:
400。
实施风险
业务系统可针对自身特点相应调整具体数值,内网系统遇到SYNflood攻击概率较低。
备注
第5章
设备其他配置操作
5.1共享文件夹及访问权限
5.1.1关闭默认共享
项目名称
操作系统默认共享要求项
编号
Windows-05-01-01
项目说明
非域环境中,关闭Windows硬盘默认共享,例如C$,D$。
检测操作步骤
进入“开始->运行->Regedit”,进入注册表编辑器,查看HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer;
符合性判定依据
HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer键,值为0。
配置方法
进入“开始->运行->Regedit”,进入注册表编辑器,
更改注册表键值:
在HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\下,增加REG_DWORD类型的AutoShareServer键,值为0。
实施风险
利用共享访问的业务系统需仔细测试。
备注
5.2防病毒管理
5.2.1数据执行保护
项目名称
操作系统数据执行保护要求项
编号
Windows-05-02-01
项目说明
对于WindowsXPSP2及Windows2003对Windows操作系统程序和服务启用系统自带DEP功能(数据执行保护),防止在受保护内存位置运行有害代码。
检测操作步骤
进入“控制面板->系统”,在“高级”选项卡的“性能”下的“设置”。
进入“数据执行保护”选项卡。
查看“仅为基本Windows操作系统程序和服务启用DEP”。
符合性判定依据
“数据执行保护”选项卡已设置为“仅为基本Windows操作系统程序和服务启用DEP”。
配置方法
参考配置操作:
进入“控制面板->系统”,在“高级”选项卡的“性能”下的“设置”。
进入“数据执行保护”选项卡。
设置为“仅为基本Windows操作系统程序和服务启用DEP”。
实施风险
风险较低。
备注
数据执行保护(DEP)是一种有助于防止您的计算机免受病毒和其他安全威胁破坏的安全功能。
有害的程序可能会通过试图运行(也称为“执行”)计算机内存中为Windows和其他已授权程序保留的代码来攻击Windows。
这些类型的攻击可能会损害您的程序和文件。
DEP可以通过监视程序以确保它们安全使用计算机内存,帮助保护您的计算机。
如果DEP注意到计算机上的某个程序使用的内存不正确,则它将关闭该程序并通知您。
5.3Windows服务
5.3.1SNMP服务管理
项目名称
操作系统SNMP服务管理要求项
编号
Windows-05-03-01
项目说明
如需启用SNMP服务,则修改默认的SNMPCommunityString设置。
检测操作步骤
打开“控制面板”,打开“管理工具”中的“服务”,找到“SNMPService”,单击右键打开“属性”面板中的“安全”选项卡,在这个配置界面中,查看communitystrings,也就是微软所说的“团体名称”。
符合性判定依据
communitystrings已改,不是默认的“public”。
配置方法
参考配置操作:
打开“控制面板”,打开“管理工具”中的“服务”,找到“SNMPService”,单击右键打开“属性”面板中的“安全”选项卡,在这个配置界面中,可以修改communitystrings,也就是微软所说的“团体名称”。
实施风险
相关snmp服务器同时修改“团体名称”。
备注
5.4启动项
5.4.1关闭Windows自动播放功能
项目名称
操作系统W
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Windows 安全 配置 指南