Windows-系统安全基线要求.doc

Windows 系统安全基线要求 测试项 基本要求 测试子项 测试内容 测试方法 要求结果 身份鉴别 应对登录操作系统的用户进行身份标识和鉴别 检查系统登录是否需要密码 登陆系统是否需要密码 检查是否有无需输入密码就可访问的用户帐户 不能存在空密码帐户 操作系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换 口令复杂度 “密码必须符合复杂性要求”选择“已启动” 进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：查看是否“密码必须符合复杂性要求”选择“已启动” 最短密码长度 8个字符，启用本机组策略中密码必须符合复杂性要求的策略。 口令定期更换 对于采用静态口令认证技术的设备，检查账户口令的生存期 进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：查看“密码最长存留期” “密码最长存留期”设置不大于“90天” 应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施 登录失败措施检查 对于采用静态口令认证技术的设备，检查当用户连续认证失败次数的限制 进入“控制面板->管理工具->本地安全策略”，在“帐户策略->帐户锁定策略”：查看“账户锁定阀值”设置 “账户锁定阀值”设置为小于或等于 6次 访问控制 当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听 远程管理服务数据传输安全 禁用Telnet服务 进入“控制面板->管理工具->服务”，查看“Telnet”的启动类型和服务状态 Telnet启动类型为禁用，服务状态为已停止 应为操作系统不同用户分配不同的用户名，确保用户名具有唯一性 应用和操作系统用户权限 检查系统账号数量，和管理员确认每个账号的使用人和用途 进入“控制面板->管理工具->计算机管理”，查看存在多少启用账户，做好记录 不同用户使用不同的用户名，不存在共用账户、无用账户现象 应限制默认账户的访问权限，重命名系统默认账户，修改这些账户的默认口令 默认账号检查 对于管理员帐号，要求更改缺省帐户名称；禁用guest（来宾）帐号。 进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”： 缺省帐户Administrator－>属性 Guest帐号->属性 缺省账户Administrator名称已更改。 Guest帐号已停用。 应限制远程登录系统账户 允许远程登录的账户检查 检查允许远程登录的账户 "进入“我的电脑->属性->系统属性”，在“远程->远程桌面->选择用户”：查看允许远程登录的账户 记录可以远程登录的账户，以及使用人 安全审计 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户 审核登录 设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。 “ 控制面板->管理工具->本地安全策略->审核策略”审核登录事件。 审核登录事件，设置为成功和失败都审核。 审核账户管理 启用组策略中对Windows系统的审核帐户管理，成功和失败都要审核 进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：查看“审核账户管理” 设置 “审核账户管理”设置为“成功” 和“失败”都要审核 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件 审核对象访问 启用组策略中对Windows系统的审核对象访问，成功和失败都要审核 进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：查看“审核对象访问”设置 “审核对象访问”设置为“成功”和“失败”都要审核 审核事件目录服务器访问 启用组策略中对Windows系统的审核目录服务访问，失败 进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：查看“审核目录服务器访问”设置 “审核目录服务器访问”设置为“成功” 和“失败”都要审核 审核特权使用 启用组策略中对Windows系统的审核特权使用，成功和失败都要审核 进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：查看“审核特权使用”设置 “审核特权使用”设置为“成功” 和“失败”都要审核 审核过程追踪 启用组策略中对Windows系统的审核过程追踪失败 进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：查看“审核过程追踪”设置 “审核过程追踪”设置为 “失败”需要审核 审核系统事件 启用组策略中对Windows系统的审核系统事件，成功和失败都要审核 进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：查看“审核系统事件”设置 “审核系统事件”设置为“成功” 和“失败”都要审核 日志文件大小 设置应用日志文件大小至少为8192KB，设置当达到最大的日志尺寸时，按需要改写事件 进入“控制面板->管理工具->事件查看器”，在“事件查看器（本地）”中：查看“应用日志” “系统日志” “安全日志”属性中的日志大小 ,以及设置当达到最大的日志尺寸时的相应策略 “应用日志” “系统日志” “安全日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件” 应保护审计记录，避免受到未预期的删除、修改或覆盖等 审核策略更改 启用组策略中对Windows系统的审核策略更改，成功和失败都要审核 进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中查看“审核策略更改”设置 “审核策略更改”设置为“成功” 和“失败”都要审核 入侵防范 操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新 系统补丁更新检查 查看系统内核版本号以及系统补丁更新情况 进入“开始->运行”，输入“winmsd.exe”,记录OS名称、版本； 进入“控制面板->添加或删除程序”，查看Windows最近安装补丁的时间； 安装最新的补丁，建议配置wsus自动更新 应用程序安装情况检查 查看系统安装程序情况 进入“控制面板->添加或删除程序”，查看除了系统补丁之外的安装程序 删除已应用无关的程序 安装专门的杀毒软件 检查杀毒软件情况 查看杀毒软件版本以及病毒库更新情况 记录杀毒软件的版本号，病毒库更新时间，更新频率，以及杀毒策略 安装统一的杀毒软件 开启防火墙 检查防火墙开启情况 查看系统自带或第三方防火墙开启情况 如是第三方防火墙，记录相关信息 Windows防火墙开启，并阻断以业务无关的端口 检查系统是否有恶意文件、病毒 恶意文件、病毒检查 检查系统是否存在恶意文件、病毒 使用系统安装的杀毒软件进行杀毒操作，记录结果；并查看历时杀毒结果 上线之前进行一次病毒查杀 安全配置 系统服务检查 系统服务检查 Alerter – 禁用 Clipbook – 禁用 Computer Browser – 禁用 Messenger – 禁用 Remote Registry – 禁用 Routing and Remote Access – 禁用 Telnet – 禁用 Automatic Updates – 手动 Background Intelligent Transfer Service – 手动 检查系统是否启用SYN攻击保护 在“开始->运行->键入regedit” 查看注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect; HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted; HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen; HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect; 推荐值：2。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted; 推荐值：5。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen; 推荐值数据：500。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried。推荐值数据：400。 注册表检查项 防止icmp重定向报文的攻击 防止icmp重定向报文的攻击 查看： hkey_local_machine\system\currentcontrolset\services\tcpip\parameters 建议将enableicmpredirects 值设为0 禁止ipc空连接 禁止ipc空连接 查看： local_machine\system\ currentcontrolset\control\lsa\ 建议将restrictanonymous值设为1 资源控制 应通过设定终端接入方式、网络地址范围等条件限制终端登录 远程管理IP限制检查 防火墙配置进行限制 进入“控制面板-Windows 防火墙”，在“Windows 防火墙->例外”:查看“远程桌面->编辑->更改范围”的设置 在主机防火墙上做访问控制，指定的IP地址对服务器进行远程管理 应根据安全策略设置登录终端操作超时锁定 屏幕保护设置 启用屏幕保护程序，防止管理员忘记锁定机器被非法攻击 进入“控制面板－>显示－>屏幕保护程序”：查看是否启用屏幕保护程序 并记录当前的设置 查看是否启用屏幕保护程序，设置等待时间为“5分钟”，启用“在恢复时使用密码保护”。 超时检查 启用远程回话挂起时间限制 进入“控制面板->管理工具->本地安全策略”，在“本地策略->安全选项”:查看“Microsoft 网络服务器：在挂起会话之前所需的空闲时间”设置 设置值不大于15分钟 操作系统远程关机策略安全 远程关机 在本地安全设置中从远端系统强制关机只指派给Administrators组 进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”:查看“从远端系统强制关机”设置 “从远端系统强制关机”设置为“只指派给Administrtors组” 操作系统本地关机策略安全 本地关机 在本地安全设置中关闭系统仅指派给Administrators组 进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”:查看“关闭系统”设置 “关闭系统”设置为“只指派给Administrators组” 操作系统数据执行保护安全 数据执行保护 对Windows操作系统程序和服务启用系统自带DEP功能(数据执行保护)，防止在受保护内存位置运行有害代码 进入“控制面板－>系统”，在“高级”选项卡的 “性能”下的“设置”。进入 “数据执行保护”选项卡。查看“ 仅为基本 Windows 操作系统程序和服务启用DEP” “数据执行保护”选项卡已设置为“ 仅为基本 Windows 操作系统程序和服务启用DEP” 共享文件夹及访问权限 关闭默认共享 非域环境中，关闭Windows硬盘默认共享，例如C$，D$ 进入“开始->运行”，输入“cmd”，在cmd.exe窗口中输入“net share”，记录结果 默认共享关闭 根据需求对SNMP进行设定 关闭SNMP服务管理或修改默认团体字 关闭SNMP服务管理或修改默认团体字 打开“控制面板”，打开“管理工具”中的“服务”，找到“SNMP Service”，单击右键打开“属性”面板中的“安全”选项卡，在这个配置界面中，查看community strings，也就是微软所说的“团体名称”。 设置SNMP团体为cssxxzx8668017 并指定接受SNMP数据包地址为59.231.145.137 关闭Windows自动播放功能 关闭Windows自动播放功能 关闭Windows自动播放功能 打开“开始→运行”，在对话框中输入“gpedit.msc”命令，在出现“组策略”窗口中依次选择“在计算机配置→管理模板→系统”，双击“关闭自动播放”查看。 在“设置”选项卡中选“已启用”选项。 　看似短暂的一生，其间的色彩，波折，却是纷呈的，深不可测的，所以才有人拼尽一切阻隔，在路漫漫中，上下而求索。 　　不管平庸也好，风生水起也罢，其实谁的人生不是顶着风雨在前行，都在用平凡的身体支撑着一个看不见的灵魂？ 　　有时候行到风不推身体也飘摇，雨不流泪水也湿过衣衫，而让我们始终坚持的除了一份信念：风雨总会过去，晴朗总会伴着彩虹挂在天边。 　　一定还有比信念还牢固的东西支撑着我们，那就是流动在心底的爱，一份拳拳之爱，或许卑微，却是我们执著存在这个世界上，可以跨越任何险阻的勇气、力量和最美丽的理由。 　　人生的途程积累了一定的距离，每个人都成了哲学家。因为生活会让我们慢慢懂得：低头是为了抬头，行走是为了更好地休憩，不阅尽沧桑怎会大度，没惯见成败怎会宠辱不惊，不历经纠结怎会活得舒展？ 　　看清才会原谅，有时的无动于衷，不是不屑，不是麻木，而是不值得。有时痛苦，不是怕失去，不是没得到，而是因为自私，不肯放手，不是自己的，也不想给。 　　人生到最后，有的人把自己活成了富翁，有的人却一无所有。 　　梭罗说：一个人富裕程度如何，要看他能放下多少东西。大千世界，我们总是想要的太多，以为自己得到的太少。是啊，一个贫穷的人怎么会轻易舍得抛下自己的所有呢？到了一定年龄，才会明白一个人对物质生活的过多贪求，反而让自己的心灵变得愈加贫穷。 　　人生到了最后，其实活出的只是一个灵魂的高度，清风明月，花香草色，便是一袖山水，满目清澈。放下从前，放下过去，从容地走入当下，和自己的内心交流，和自己的灵魂对话，听时光走过的声音，嗅闻它御风而过的芳香…… 　　如果兜兜转转了大半个人生的你，此刻依然觉得自己很贫穷，那么愿一无所有的你， 　看似短暂的一生，其间的色彩，波折，却是纷呈的，深不可测的，所以才有人拼尽一切阻隔，在路漫漫中，上下而求索。 　　不管平庸也好，风生水起也罢，其实谁的人生不是顶着风雨在前行，都在用平凡的身体支撑着一个看不见的灵魂？ 　　有时候行到风不推身体也飘摇，雨不流泪水也湿过衣衫，而让我们始终坚持的除了一份信念：风雨总会过去，晴朗总会伴着彩虹挂在天边。 　　一定还有比信念还牢固的东西支撑着我们，那就是流动在心底的爱，一份拳拳之爱，或许卑微，却是我们执著存在这个世界上，可以跨越任何险阻的勇气、力量和最美丽的理由。 　　人生的途程积累了一定的距离，每个人都成了哲学家。因为生活会让我们慢慢懂得：低头是为了抬头，行走是为了更好地休憩，不阅尽沧桑怎会大度，没惯见成败怎会宠辱不惊，不历经纠结怎会活得舒展？ 　　看清才会原谅，有时的无动于衷，不是不屑，不是麻木，而是不值得。有时痛苦，不是怕失去，不是没得到，而是因为自私，不肯放手，不是自己的，也不想给。 　　人生到最后，有的人把自己活成了富翁，有的人却一无所有。 　　梭罗说：一个人富裕程度如何，要看他能放下多少东西。大千世界，我们总是想要的太多，以为自己得到的太少。是啊，一个贫穷的人怎么会轻易舍得抛下自己的所有呢？到了一定年龄，才会明白一个人对物质生活的过多贪求，反而让自己的心灵变得愈加贫穷。 　　人生到了最后，其实活出的只是一个灵魂的高度，清风明月，花香草色，便是一袖山水，满目清澈。放下从前，放下过去，从容地走入当下，和自己的内心交流，和自己的灵魂对话，听时光走过的声音，嗅闻它御风而过的芳香…… 　　如果兜兜转转了大半个人生的你，此刻依然觉得自己很贫穷，那么愿一无所有的你，