系统安全配置技术规范Windows样本.doc

1、系统安全配备技术规范Windows版本V0.9日期-06-03文档编号文档发布212211文档阐明（一）变更信息版本号变更日期变更者变更理由/变更内容备注（二）文档审核人姓名职位签名日期目 录1.合用范畴52.帐号管理与授权52.1【基本】删除或锁定也许无用帐户52.2【基本】按照顾客角色分派不同权限帐号52.3【基本】口令方略设立不符合复杂度规定62.4【基本】设定不能重复使用口令62.5不使用系统默认顾客名62.6口令生存期不得长于90天62.7设定持续认证失败次数72.8远端系统强制关机权限设立72.9关闭系统权限设立72.10获得文献或其他对象所有权设立72.11将从本地登录设立为指定

2、授权顾客82.12将从网络访问设立为指定授权顾客83.日记配备规定83.1【基本】审核方略设立中成功失败都要审核83.2【基本】设立日记查看器大小94.IP合同安全规定94.1启动TCP/IP筛选94.2启用防火墙104.3启用SYN袭击保护105.服务配备规定115.1【基本】启用NTP服务115.2【基本】关闭不必要服务115.3【基本】关闭不必要启动项125.4【基本】关闭自动播放功能125.5【基本】审核HOST文献可疑条目125.6【基本】存在未知或无用应用程序125.7【基本】关闭默认共享135.8【基本】非everyone授权共享135.9【基本】SNMP Community S

3、tring设立135.10【基本】删除可匿名访问共享135.11关闭远程注册表145.12对于远程登陆帐号，设立不活动断开时间为1小时145.13IIS服务补丁更新146.其他配备规定156.1【基本】安装防病毒软件156.2【基本】配备WSUS补丁更新服务器156.3【基本】Service Pack补丁更新156.4【基本】Hotfix补丁更新166.5设立带密码屏幕保护166.6交互式登录不显示上次登录顾客名161. 合用范畴如无特殊阐明，本规范所有配备项合用于Windows操作系统 、系列版本。其中标示为“基本”字样配备项，均为我司对此类系统基本安全配备规定；未标示“基本”字样配备项，请

4、各系统管理员视实际需求酌情遵从。2. 帐号管理与授权122.1 【基本】删除或锁定也许无用帐户配备项描述删除或锁定无用帐户，定期清理无用账户，防止过期顾客非法登入操作系统检查办法进入“控制面板-管理工具-计算机管理-系统工具-本地顾客和组”：审核不必要顾客和组，审核帐户从属组权限，审核组顾客。操作环节依照系统规定和实际业务状况，设定不同帐户和帐户组，如管理员顾客、数据库顾客、审计顾客、宾客顾客等。删除或锁定与设备运营、维护等与工作无关帐户回退操作回退到原有配备设立操作风险需要确认帐户用途2.2 【基本】按照顾客角色分派不同权限帐号配备项描述按照顾客角色分派不同权限帐号，保证顾客权限最小化检查办

5、法进入“控制面板-管理工具-计算机管理-系统工具-本地顾客和组”：审核顾客和组，审核帐户从属组权限，审核组顾客。操作环节依照系统规定和实际业务状况，设定不同帐户和帐户组，如管理员顾客、数据库顾客、审计顾客、宾客顾客等。回退操作回退到原有配备设立操作风险需要确认帐户用途，确认顾客所需权限2.3 【基本】口令方略设立不符合复杂度规定配备项描述口令方略设立不符合复杂度规定，口令过于简朴，易被黑客破译检查办法进入“控制面板-管理工具-本地安全方略”，在“帐户方略-密码方略”中：检查“密码必要符合复杂度规定”设立操作环节设立“密码必要符合复杂度规定”已启动回退操作回退到原有配备设立操作风险低风险2.4

6、【基本】设定不能重复使用口令配备项描述设定不能重复使用近来5次（含5次）内已使用口令检查办法进入“控制面板-管理工具-本地安全方略”，在“帐户方略-密码方略”中：检查“强制密码历史”设立操作环节设立“强制密码历史”不不大于等于5回退操作回退到原有配备设立操作风险低风险2.5 不使用系统默认顾客名配备项描述administrator、guest等默认帐户使用默认顾客名，当袭击者发起穷举袭击时，使用默认顾客名，会大大减少袭击者袭击难度检查办法进入“控制面板-管理工具-计算机管理-系统工具-本地顾客和组”：检查administrator、guest与否存在。操作环节administrator、gue

7、st重命名回退操作回退到原有配备设立操作风险也许导致某些自动登录服务异常2.6 口令生存期不得长于90天配备项描述口令生存期不得长于90天，应定期更改顾客口令检查办法进入“控制面板-管理工具-本地安全方略”，在“帐户方略-密码方略”中：检查“密码最长存留期”设立操作环节设立“密码最长存留期”不大于等于90回退操作回退到原有配备设立操作风险低风险2.7 设定持续认证失败次数配备项描述设定持续认证失败次数超过6次（不含6次）锁定该账号检查办法进入“控制面板-管理工具-本地安全方略”，在“帐户方略-帐户锁定方略”中：检查“帐户锁定阀值”设立操作环节设立“帐户锁定阀值”不大于等于6回退操作回退到原有配

8、备设立操作风险也许导致恶意尝试锁定帐户2.8 远端系统强制关机权限设立配备项描述将从远端系统强制关机仅指派给Administrators组，避免普通顾客拥有额外系统控制权限检查办法进入“控制面板-管理工具-本地安全方略”，在“本地方略-顾客权利指派”中：检查“从远端系统强制关机”设立操作环节设立“从远端系统强制关机”删除除Administrators以外其她项回退操作回退到原有配备设立操作风险也许导致某些系统功能异常或应用非正常运营2.9 关闭系统权限设立配备项描述将关闭系统仅指派给Administrators组，避免普通顾客拥有额外系统控制权限检查办法进入“控制面板-管理工具-本地安全方略”

9、，在“本地方略-顾客权利指派”中：检查“关闭系统”设立操作环节设立“关闭系统”删除除Administrators以外其她项回退操作回退到原有配备设立操作风险也许导致某些系统功能异常或应用非正常运营2.10 获得文献或其他对象所有权设立配备项描述将获得文献或其他对象所有权设立仅指派给Administrators组，避免普通顾客拥有额外系统控制权限检查办法进入“控制面板-管理工具-本地安全方略”，在“本地方略-顾客权利指派”中：检查“获得文献或其他对象所有权”设立操作环节设立“获得文献或其他对象所有权”删除除Administrators以外其她项回 退回退到原有配备设立操作风险也许导致某些系统功能

10、异常或应用非正常运营2.11 将从本地登录设立为指定授权顾客配备项描述将从本地登录设立为指定授权顾客，将登陆权限赋予指定顾客检查办法进入“控制面板-管理工具-本地安全方略”，在“本地安全方略-顾客权利指派”中：检查“容许在本地登录”设立操作环节设立“容许在本地登录”只保存授权顾客，删除其她项回退操作回退到原有配备设立操作风险也许导致某些系统功能异常或应用非正常运营2.12 将从网络访问设立为指定授权顾客配备项描述将从网络访问设立为指定授权顾客检查办法进入“控制面板-管理工具-本地安全方略”，在“本地方略-顾客权利指派”中：检查“从网络访问”设立操作环节设立“从网络访问”只保存授权顾客，删除其她

11、项回退操作回退到原有配备设立操作风险也许导致某些系统功能异常或应用非正常运营3. 日记配备规定33.1 【基本】审核方略设立中成功失败都要审核配备项描述记录系统所有审核信息，审核方略设立中成功失败都要审核检查办法进入“控制面板-管理工具-本地安全方略”，在“本地方略-审核方略”中：查看与否符合操作中提到各原则操作环节将不符合评估内容项进行加固，安全原则设立如下：审核方略更改：成功和失败审核登录事件：成功和失败审核系统事件：成功和失败审核帐户登录事件：成功和失败审核帐户管理：成功和失败审核对象访问：成功和失败审核特权使用：成功和失败审核目录服务访问：成功和失败审核过程跟踪：失败其她设立无规定。回

12、退操作回退到原有配备设立操作风险启动无用审核也许减少系统性能并占用一定磁盘空间3.2 【基本】设立日记查看器大小配备项描述将应用、系统、安全日记查看器大小设立为至少8192KB检查办法进入“控制面板-管理工具-事件查看器”，在“事件查看器（本地）”中：（在应用程序日记、安全日记和系统日记上点右键，看属性中日记大小上限设立，单位为KB。）查看与否符合操作中提到各原则操作环节将不符合评估内容项进行加固，应用日记容量为8192KB，安全日记容量为8192KB，系统日记容量为8192KB，设立当达到最大日记大小时，“按需要覆盖事件”。并且顾客有流程定期转存日记回退操作回退到原有配备设立操作风险低风险4

13、. IP合同安全规定44.1 启动TCP/IP筛选配备项描述对于不自带windows防火墙系统，需启动TCP/IP筛选，切只能开放业务所需要TCP、UDP端口和IP合同检查办法先请系统管理员出示业务所需端口列表。进入“控制面板网络连接本地连接Internet合同（TCP/IP）属性高档TCP/IP设立”，在“选项”属性中启用网络连接上TCP/IP筛选，依照列表查看与否只开放业务所需要TCP、UDP端口和IP合同。操作环节注意异常端口，与管理员追查异常端口有关项。对没有自带防火墙Windows系统，启用Windows系统IP安全机制(IPSec)或网络连接上TCP/IP筛选，只开放业务所需要TC

14、P、UDP端口和IP合同。回退操作回退到原有配备设立操作风险必要对的设立网络访问控制方略，否则也许导致某些应用无法正常访问网络4.2 启用防火墙配备项描述启用Windows自带防火墙，且依照业务需要限定容许访问网络应用程序，和容许远程登陆该设备IP地址范畴检查办法进入“控制面板网络连接本地连接”，在高档选项设立中，查看与否启用Windows防火墙。查看与否在“例外”中配备容许业务所需程序接入网络。查看与否在“例外-编辑-更改范畴”编辑容许接入网络地址范畴。操作环节将不符合评估内容项进行加固，启用Windows自带防火墙。依照业务需要限定容许访问网络应用程序，和容许远程登陆该设备IP地址范畴。回

15、退操作回退到原有配备设立操作风险必要对的设立网络访问控制方略，否则也许导致某些应用无法正常访问网络4.3 启用SYN袭击保护配备项描述启用SYN袭击保护，当袭击者发起SYN袭击时，避免CPU和内存资源被过度消耗检查办法在“开始-运营-键入regedit”。启用 SYN 袭击保护命名值位于注册表项 HKEY_LOCAL_MACHINE SYSTEMCurrentControlSetServices 之下：值名称：SynAttackProtectWindows推荐值：2Windows推荐值：1如下某些中所有项和值均位于注册表项 HKEY_LOCAL_MACHINE SYSTEMCurrentCon

16、trolSetServices 之下：指定必要在触发 SYN flood 保护之前超过 TCP 连接祈求阈值：值名称：TcpMaxPortsExhausted推荐值：5启用 SynAttackProtect 后，该值指定 SYN_RCVD 状态中 TCP 连接阈值，超过 SynAttackProtect 时，触发 SYN flood 保护：值名称：TcpMaxHalfOpen推荐值数据：500启用 SynAttackProtect 后，指定至少发送了一次重传 SYN_RCVD 状态中 TCP 连接阈值，超过 SynAttackProtect 时，触发 SYN flood 保护：值名称：TcpM

17、axHalfOpenRetried推荐值数据：400操作环节1、备份注册表原有配备设立2、将不符合评估内容项进行加固，启用SYN袭击保护：指定触发SYN洪水袭击保护所必要超过TCP连接祈求数阀值为5；指定处在 SYN_RCVD 状态 TCP 连接数阈值为500；指定处在至少已发送一次重传 SYN_RCVD 状态中 TCP 连接数阈值为400。回退操作回退到原有配备设立操作风险必要对的设立网络访问控制方略，否则也许导致某些应用无法正常访问网络5. 服务配备规定55.1 【基本】启用NTP服务配备项描述启用NTP服务，配备统一服务器时钟，应启动NTP服务向网络内指定NTP server同步时钟。检

18、查办法对于已加入域服务器，系统将自动与域控服务器同步时钟；对于未加入域服务器，需按如下环节配备。操作环节点击桌面右下角时钟栏，启动“更改日期和时钟设立”-“internet时间”启动“自动与internet时间服务器同步”选型，在服务器栏中填写NTP serverIP地址，然后点击“及时更新”回退操作恢复系统原有NTP配备操作风险需要时间源，中风险，系统时间更改5.2 【基本】关闭不必要服务配备项描述列出所需要服务列表(涉及所需系统服务)，不在此列表服务需关闭检查办法进入“控制面板-管理工具-计算机管理”，进入“服务和应用程序”：查看所有服务，不在此列表服务需关闭。操作环节关闭不需要服务回退操

19、作回退到原有配备设立操作风险关闭或停止某些服务也许导致应用运营异常5.3 【基本】关闭不必要启动项配备项描述关闭不必要启动项，优化系统资源，同步减少引入 不必要系统漏洞检查办法“开始-运营-MSconfig”启动菜单中检查启动项操作环节关闭不必要启动项回退操作回退到原有配备设立操作风险需要确认启动项与否必要5.4 【基本】关闭自动播放功能配备项描述关闭自动播放功能，避免执行未经扫描或确认文献，从而引入木马或病毒检查办法点击开始运营输入gpedit.msc，打开组方略编辑器，计算机配备管理模板系统，在右边窗格中双击“关闭自动播放”，检查 “关闭自动播放”项设立操作环节在“关闭自动播放”对话框中，

20、选取“已启用”，并选取“所有驱动器”，拟定即可回退操作回退到原有配备设立操作风险低风险5.5 【基本】审核HOST文献可疑条目配备项描述删除HOST文献下可疑条目检查办法查看与否符合操作中提到原则，检查C:windowssystem32driversetc目录下用于静态DNS解析HOSTS文献内容与否正常操作环节1、备份HOSTS文献2、将不符合评估内容项进行加固，保证C:windowssystem32driversetc目录下用于静态DNS解析HOSTS文献内容正常，对于未知条目可以与管理员追查回退操作将备份HOSTS文献替代更改文献操作风险与系统管理员确认后可执行加固5.6 【基本】存在未

21、知或无用应用程序配备项描述存在未知或无用应用程序，应定期清理应用程序列表中无用或未知程序，防止系统被植入木马或病毒检查办法检查“添加或删除程序”面板中列表操作环节备份需要协助应用程序配备文献不要安装不必要应用程序，向管理员确承认卸载应用软件项回 退重新安装卸载应用重新，恢复配备文献操作风险需要确认应用与否必要，也许需要重启系统5.7 【基本】关闭默认共享配备项描述关闭默认共享，未经确认共享操作，特别是对everyone共享，会对信息安全导致严重威胁检查办法net share或计算机管理-共享操作环节关闭Windows硬盘默认共享，例如ADMIN$，C$，D$。进入“开始运营Regedit”，进

22、入注册表编辑器，更改注册表键值：在HKLMSystemCurrentControlSetServicesLanmanServerParameters下，增长REG_DWORD类型AutoShareServer 键，值为0。回退操作回退到原有配备设立操作风险也许导致某些必要使用共享应用非正常运营5.8 【基本】非everyone授权共享配备项描述共享文献夹中，设立只容许授权账户拥有权限共享此文献夹检查办法检查共享文献夹中授权顾客操作环节设立共享文献夹中授权顾客为指定顾客，而非everyone回退操作回退到原有配备设立操作风险须经测试，也许导致某些使用共享应用异常5.9 【基本】SNMP Comm

23、unity String设立配备项描述如需启用SNMP服务，修改默认SNMP Community String设立检查办法进入“控制面板-管理工具-计算机管理”，进入“服务和应用程序”：检查“SNMP Service”， “属性”面板中“安全”选项卡community strings设立操作环节community strings改为其她，不是默认“public”回退操作回退到原有配备设立操作风险也许导致服务不正常5.10 【基本】删除可匿名访问共享配备项描述删除可匿名访问共享，共享文献应明确共享对象，且不容许匿名访问检查办法进入“控制面板-管理工具-本地安全方略”，在“本地方略-安全选项”中：

24、检查“网络访问：可匿名访问共享”设立操作环节删除“网络访问：可匿名访问共享”中所有项回退操作回退到原有配备设立操作风险也许导致某些系统功能异常或应用非正常运营5.11 关闭远程注册表配备项描述关闭远程注册表，防止顾客远程修改或查看系统注册表检查办法进入“控制面板-管理工具-计算机管理”，进入“服务和应用程序”：检查“Remote Registry”操作环节设立“Remote Registry”已停用回退操作回退到原有配备设立操作风险某些应用也许需要此功能5.12 对于远程登陆帐号，设立不活动断开时间为1小时配备项描述对于远程登陆帐号，设立不活动断开时间为1小时，长时间空闲账户将自动退出检查办法

25、进入“控制面板-管理工具-本地安全方略”，在“本地方略-安全选项”中：检查“Microsoft 网络服务器：在挂起会话前所需空闲时间”设立操作环节设立“Microsoft 网络服务器：在挂起会话前所需空闲时间”不大于等于1小时回退操作回退到原有配备设立操作风险也许导致某些应用运营异常5.13 IIS服务补丁更新配备项描述如需启用IIS服务，IIS服务补丁需及时更新检查办法检查IIS版本操作环节安装IIS 补丁包或升级到IIS6.0回退操作卸载IIS 补丁包操作风险也许导致服务不正常6. 其他配备规定66.1 【基本】安装防病毒软件配备项描述安装防病毒软件和防病毒软件并及时升级检查办法检查杀毒软

26、件安装和升级状况操作环节安装杀毒软件并升级到最新版本回退操作卸载杀毒软件或回退到此前版本操作风险需要重启并也许误删正常系统或应用文献6.2 【基本】配备WSUS补丁更新服务器配备项描述指定系统获取补丁位置，将更新源指向WSUS服务器检查办法1.执行regedit调出注册表编辑器2.查看参数HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateWUServer和WUStatusServer，确认其与否为http:/10.23.134.8操作环节管理员使用域账号登录10.23.134.8wsus-reg，下载WSUS配备程序，

27、配备程序涉及：办公服务器组：相应注册表文献为serverbg.reg业务服务器组：相应注册表文献为serveryw.reg顾客依照业务需要选取下载相应配备程序，执行完*.reg文献后，重启automatic update服务，并在命令行下执行wuauclt /detectnow，启动客户端积极触发更新机制。回退操作修改注册表配备，恢复更新服务器指向操作风险需要重启且未经测试补丁也许导致应用运营异常6.3 【基本】Service Pack补丁更新配备项描述Service Pack补丁未及时更新，将为袭击者提供入侵漏洞检查办法检查Service Pack补丁版本操作环节安装最新Service Pa

28、ck补丁包回退操作卸载Service Pack补丁包操作风险需要重启且未经测试补丁也许导致应用运营异常6.4 【基本】Hotfix补丁更新配备项描述Hotfix补丁更新，将为袭击者提供入侵漏洞检查办法检查Hotfix补丁版本操作环节安装最新Hotfix补丁包回退操作卸载Hotfix补丁包操作风险需要重启且未经测试补丁也许导致应用运营异常6.5 设立带密码屏幕保护配备项描述设立带密码屏幕保护，并将时间设定为5分钟，防止合法顾客未及时退出登录，导致数据泄露检查办法进入“控制面板显示屏幕保护程序”：查看与否符合操作中提到原则操作环节将不符合评估内容项进行加固，查看与否启用屏幕保护程序，设立等待时间为“5分钟”，启用“在恢复时使用密码保护”。回退操作回退到原有配备设立操作风险低风险6.6 交互式登录不显示上次登录顾客名配备项描述交互式登录未设立不显示上次登录顾客名，袭击者可以此获取系统顾客信息，减少袭击难度检查办法进入“控制面板-管理工具-本地安全方略”，在“本地方略-安全选项”中：检查“交互式登录：不显示上次顾客名”设立操作环节设立“交互式登录：不显示上次顾客名”为已启动回退操作回退到原有配备设立操作风险低风险