系统安全配置技术规范Windows.doc

资源描述

系统安全配置技术规范—Windows 版本 V0.9 日期 2023-06-03 文档编号文档发布 212211文档说明（一）变更信息版本号变更日期变更者变更理由/变更内容备注（二）文档审核人姓名职位署名日期目录 1. 合用范围 5 2. 帐号管理与授权 5 2.1 【基本】删除或锁定也许无用的帐户 5 2.2 【基本】按照用户角色分派不同权限的帐号 5 2.3 【基本】口令策略设立不符合复杂度规定 6 2.4 【基本】设定不能反复使用口令 6 2.5 不使用系统默认用户名 6 2.6 口令生存期不得长于90天 6 2.7 设定连续认证失败次数 7 2.8 远端系统强制关机的权限设立 7 2.9 关闭系统的权限设立 7 2.10 取得文献或其它对象的所有权设立 7 2.11 将从本地登录设立为指定授权用户 8 2.12 将从网络访问设立为指定授权用户 8 3. 日记配置规定 8 3.1 【基本】审核策略设立中成功失败都要审核 8 3.2 【基本】设立日记查看器大小 9 4. IP协议安全规定 9 4.1 启动TCP/IP筛选 9 4.2 启用防火墙 10 4.3 启用SYN袭击保护 10 5. 服务配置规定 11 5.1 【基本】启用NTP服务 11 5.2 【基本】关闭不必要的服务 11 5.3 【基本】关闭不必要的启动项 12 5.4 【基本】关闭自动播放功能 12 5.5 【基本】审核HOST文献的可疑条目 12 5.6 【基本】存在未知或无用的应用程序 12 5.7 【基本】关闭默认共享 13 5.8 【基本】非everyone的授权共享 13 5.9 【基本】SNMP Community String设立 13 5.10 【基本】删除可匿名访问共享 13 5.11 关闭远程注册表 14 5.12 对于远程登陆的帐号，设立不活动断开时间为1小时 14 5.13 IIS服务补丁更新 14 6. 其它配置规定 15 6.1 【基本】安装防病毒软件 15 6.2 【基本】配置WSUS补丁更新服务器 15 6.3 【基本】Service Pack补丁更新 15 6.4 【基本】Hotfix补丁更新 16 6.5 设立带密码的屏幕保护 16 6.6 交互式登录不显示上次登录用户名 16 1. 合用范围如无特殊说明，本规范所有配置项合用于Windows操作系统 2023、2023系列版本。其中标示为“基本”字样的配置项，均为本公司对此类系统的基本安全配置规定；未标示“基本”字样的配置项，请各系统管理员视实际需求酌情遵从。 2. 帐号管理与授权 1 2 2.1 【基本】删除或锁定也许无用的帐户配置项描述删除或锁定无用的帐户，定期清理无用账户，防止过期用户非法登入操作系统检查方法进入“控制面板->管理工具->计算机管理->系统工具->本地用户和组”：审核不必要的用户和组，审核帐户从属的组权限，审核组用户。操作环节根据系统的规定和实际业务情况，设定不同的帐户和帐户组，如管理员用户、数据库用户、审计用户、来宾用户等。删除或锁定与设备运营、维护等与工作无关的帐户回退操作回退到原有的配置设立操作风险需要确认帐户用途 2.2 【基本】按照用户角色分派不同权限的帐号配置项描述按照用户角色分派不同权限的帐号，保证用户权限最小化检查方法进入“控制面板->管理工具->计算机管理->系统工具->本地用户和组”：审核用户和组，审核帐户从属的组权限，审核组用户。操作环节根据系统的规定和实际业务情况，设定不同的帐户和帐户组，如管理员用户、数据库用户、审计用户、来宾用户等。回退操作回退到原有的配置设立操作风险需要确认帐户用途，确认用户所需权限 2.3 【基本】口令策略设立不符合复杂度规定配置项描述口令策略设立不符合复杂度规定，口令过于简朴，易被黑客破译检查方法进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”中：检查“密码必须符合复杂度规定”设立操作环节设立“密码必须符合复杂度规定”已启动回退操作回退到原有的配置设立操作风险低风险 2.4 【基本】设定不能反复使用口令配置项描述设定不能反复使用最近5次（含5次）内已使用的口令检查方法进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”中：检查“强制密码历史”设立操作环节设立“强制密码历史”大于等于5 回退操作回退到原有的配置设立操作风险低风险 2.5 不使用系统默认用户名配置项描述 administrator、guest等默认帐户使用默认用户名，当袭击者发起穷举袭击时，使用默认用户名，会大大减少袭击者的袭击难度检查方法进入“控制面板->管理工具->计算机管理->系统工具->本地用户和组”：检查administrator、guest是否存在。操作环节 administrator、guest重命名回退操作回退到原有的配置设立操作风险也许导致某些自动登录的服务异常 2.6 口令生存期不得长于90天配置项描述口令生存期不得长于90天，应定期更改用户口令检查方法进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”中：检查“密码最长存留期”设立操作环节设立“密码最长存留期”小于等于90 回退操作回退到原有的配置设立操作风险低风险 2.7 设定连续认证失败次数配置项描述设定连续认证失败次数超过6次（不含6次）锁定该账号检查方法进入“控制面板->管理工具->本地安全策略”，在“帐户策略->帐户锁定策略”中：检查“帐户锁定阀值”设立操作环节设立“帐户锁定阀值”小于等于6 回退操作回退到原有的配置设立操作风险也许导致恶意尝试锁定帐户 2.8 远端系统强制关机的权限设立配置项描述将从远端系统强制关机仅指派给Administrators组，避免普通用户拥有额外的系统控制权限检查方法进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”中：检查“从远端系统强制关机”设立操作环节设立“从远端系统强制关机”删除除Administrators以外其他项回退操作回退到原有的配置设立操作风险也许导致某些系统功能异常或应用非正常运营 2.9 关闭系统的权限设立配置项描述将关闭系统仅指派给Administrators组，避免普通用户拥有额外的系统控制权限检查方法进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”中：检查“关闭系统”设立操作环节设立“关闭系统”删除除Administrators以外其他项回退操作回退到原有的配置设立操作风险也许导致某些系统功能异常或应用非正常运营 2.10 取得文献或其它对象的所有权设立配置项描述将取得文献或其它对象的所有权设立仅指派给Administrators组，避免普通用户拥有额外的系统控制权限检查方法进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”中：检查“取得文献或其它对象的所有权”设立操作环节设立“取得文献或其它对象的所有权”删除除Administrators以外其他项回退回退到原有的配置设立操作风险也许导致某些系统功能异常或应用非正常运营 2.11 将从本地登录设立为指定授权用户配置项描述将从本地登录设立为指定授权用户，将登陆权限赋予指定用户检查方法进入“控制面板->管理工具->本地安全策略”，在“本地安全策略->用户权利指派”中：检查“允许在本地登录”设立操作环节设立“允许在本地登录”只保存授权用户，删除其他项回退操作回退到原有的配置设立操作风险也许导致某些系统功能异常或应用非正常运营 2.12 将从网络访问设立为指定授权用户配置项描述将从网络访问设立为指定授权用户检查方法进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”中：检查“从网络访问”设立操作环节设立“从网络访问”只保存授权用户，删除其他项回退操作回退到原有的配置设立操作风险也许导致某些系统功能异常或应用非正常运营 3. 日记配置规定 3 3.1 【基本】审核策略设立中成功失败都要审核配置项描述记录系统的所有审核信息，审核策略设立中成功失败都要审核检查方法进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：查看是否符合操作中提到的各标准操作环节将不符合评估内容项进行加固，安全标准设立如下：审核策略更改：成功和失败审核登录事件：成功和失败审核系统事件：成功和失败审核帐户登录事件：成功和失败审核帐户管理：成功和失败审核对象访问：成功和失败审核特权使用：成功和失败审核目录服务访问：成功和失败审核过程跟踪：失败其他设立无规定。回退操作回退到原有的配置设立操作风险启动无用的审核也许减少系统性能并占用一定磁盘空间 3.2 【基本】设立日记查看器大小配置项描述将应用、系统、安全日记查看器大小设立为至少8192KB 检查方法进入“控制面板->管理工具->事件查看器”，在“事件查看器（本地）”中：（在应用程序日记、安全日记和系统日记上点右键，看属性中的日记大小上限设立，单位为KB。）查看是否符合操作中提到的各标准操作环节将不符合评估内容项进行加固，应用日记的容量为8192KB，安全日记的容量为8192KB，系统日记的容量为8192KB，设立当达成最大的日记大小时，“按需要覆盖事件”。并且用户有流程定期转存日记回退操作回退到原有的配置设立操作风险低风险 4. IP协议安全规定 4 4.1 启动TCP/IP筛选配置项描述对于不自带windows防火墙的系统，需启动TCP/IP筛选，切只能开放业务所需要的TCP、UDP端口和IP协议检查方法先请系统管理员出示业务所需端口列表。进入“控制面板－>网络连接－>本地连接－>Internet协议（TCP/IP）属性－>高级TCP/IP设立”，在“选项”的属性中启用网络连接上的TCP/IP筛选，根据列表查看是否只开放业务所需要的TCP、UDP端口和IP协议。操作环节注意异常端口，与管理员追查异常端口相关项。对没有自带防火墙的Windows系统，启用Windows系统的IP安全机制(IPSec)或网络连接上的TCP/IP筛选，只开放业务所需要的TCP、UDP端口和IP协议。回退操作回退到原有的配置设立操作风险必须对的设立网络访问控制策略，否则也许导致某些应用无法正常访问网络 4.2 启用防火墙配置项描述启用Windows自带防火墙，且根据业务需要限定允许访问网络的应用程序，和允许远程登陆该设备的IP地址范围检查方法进入“控制面板－>网络连接－>本地连接”，在高级选项的设立中，查看是否启用Windows防火墙。查看是否在“例外”中配置允许业务所需的程序接入网络。查看是否在“例外->编辑->更改范围”编辑允许接入的网络地址范围。操作环节将不符合评估内容项进行加固，启用Windows自带防火墙。根据业务需要限定允许访问网络的应用程序，和允许远程登陆该设备的IP地址范围。回退操作回退到原有的配置设立操作风险必须对的设立网络访问控制策略，否则也许导致某些应用无法正常访问网络 4.3 启用SYN袭击保护配置项描述启用SYN袭击保护，当袭击者发起SYN袭击时，避免CPU和内存资源被过度消耗检查方法在“开始->运营->键入regedit”。启用 SYN 袭击保护的命名值位于注册表项 HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services 之下：值名称：SynAttackProtect Windows2023推荐值：2 Windows2023推荐值：1 以下部分中的所有项和值均位于注册表项 HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services 之下：指定必须在触发 SYN flood 保护之前超过的 TCP 连接请求阈值：值名称：TcpMaxPortsExhausted 推荐值：5 启用 SynAttackProtect 后，该值指定 SYN_RCVD 状态中的 TCP 连接阈值，超过 SynAttackProtect 时，触发 SYN flood 保护：值名称：TcpMaxHalfOpen 推荐值数据：500 启用 SynAttackProtect 后，指定至少发送了一次重传的 SYN_RCVD 状态中的 TCP 连接阈值，超过 SynAttackProtect 时，触发 SYN flood 保护：值名称：TcpMaxHalfOpenRetried 推荐值数据：400 操作环节 1、备份注册表原有的配置设立 2、将不符合评估内容项进行加固，启用SYN袭击保护：指定触发SYN洪水袭击保护所必须超过的TCP连接请求数阀值为5；指定处在 SYN_RCVD 状态的 TCP 连接数的阈值为500；指定处在至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值为400。回退操作回退到原有的配置设立操作风险必须对的设立网络访问控制策略，否则也许导致某些应用无法正常访问网络 5. 服务配置规定 5 5.1 【基本】启用NTP服务配置项描述启用NTP服务，配置统一服务器时钟，应启动NTP服务向网络内指定的NTP server同步时钟。检查方法对于已加入域的服务器，系统将自动与域控服务器同步时钟；对于未加入域的服务器，需按以下环节配置。操作环节点击桌面右下角时钟栏，启动“更改日期和时钟设立”-“internet时间” 启动“自动与internet时间服务器同步”选型，在服务器栏中填写NTP server的IP地址，然后点击“立即更新” 回退操作恢复系统原有NTP配置操作风险需要时间源，中风险，系统时间更改 5.2 【基本】关闭不必要的服务配置项描述列出所需要服务的列表(涉及所需的系统服务)，不在此列表的服务需关闭检查方法进入“控制面板->管理工具->计算机管理”，进入“服务和应用程序”：查看所有服务，不在此列表的服务需关闭。操作环节关闭不需要的服务回退操作回退到原有的配置设立操作风险关闭或停止某些服务也许导致应用运营异常 5.3 【基本】关闭不必要的启动项配置项描述关闭不必要的启动项，优化系统资源，同时减少引入不必要的系统漏洞检查方法 “开始->运营->MSconfig”启动菜单中检查启动项操作环节关闭不必要的启动项回退操作回退到原有的配置设立操作风险需要确认启动项是否必须 5.4 【基本】关闭自动播放功能配置项描述关闭自动播放功能，避免执行未经扫描或确认的文献，从而引入木马或病毒检查方法点击开始→运营→输入gpedit.msc，打开组策略编辑器，计算机配置→管理模板→系统，在右边窗格中双击“关闭自动播放”，检查 “关闭自动播放”项设立操作环节在“关闭自动播放”对话框中，选择“已启用”，并选择“所有驱动器”，拟定即可回退操作回退到原有的配置设立操作风险低风险 5.5 【基本】审核HOST文献的可疑条目配置项描述删除HOST文献下的可疑条目检查方法查看是否符合操作中提到的标准，检查C:\windows\system32\drivers\etc目录下的用于静态DNS解析的HOSTS文献内容是否正常操作环节 1、备份HOSTS文献 2、将不符合评估内容项进行加固，保证C:\windows\system32\drivers\etc目录下的用于静态DNS解析的HOSTS文献内容正常，对于未知条目可以与管理员追查回退操作将备份的HOSTS文献替换更改的文献操作风险与系统管理员确认后可执行加固 5.6 【基本】存在未知或无用的应用程序配置项描述存在未知或无用的应用程序，应定期清理应用程序列表中无用或未知的程序，防止系统被植入木马或病毒检查方法检查“添加或删除程序”面板中的列表操作环节备份需要协助的应用程序的配置文献不要安装不必要的应用程序，向管理员确认可卸载的应用软件项回退重新安装卸载的应用重新，恢复配置文献操作风险需要确认应用是否必须，也许需要重启系统 5.7 【基本】关闭默认共享配置项描述关闭默认共享，未经确认的共享操作，特别是对everyone的共享，会对信息安全导致严重威胁检查方法 net share或计算机管理--共享操作环节关闭Windows硬盘默认共享，例如ADMIN$，C$，D$。进入“开始－>运营－>Regedit”，进入注册表编辑器，更改注册表键值：在HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\下，增长REG_DWORD类型的AutoShareServer 键，值为0。回退操作回退到原有的配置设立操作风险也许导致某些必须使用共享的应用非正常运营 5.8 【基本】非everyone的授权共享配置项描述共享文献夹中，设立只允许授权的账户拥有权限共享此文献夹检查方法检查共享文献夹中的授权用户操作环节设立共享文献夹中的授权用户为指定用户，而非everyone 回退操作回退到原有的配置设立操作风险须经测试，也许导致某些使用共享的应用异常 5.9 【基本】SNMP Community String设立配置项描述如需启用SNMP服务，修改默认的SNMP Community String设立检查方法进入“控制面板->管理工具->计算机管理”，进入“服务和应用程序”：检查“SNMP Service”， “属性”面板中的“安全”选项卡的community strings设立操作环节 community strings改为其他，不是默认的“public” 回退操作回退到原有的配置设立操作风险也许导致服务不正常 5.10 【基本】删除可匿名访问共享配置项描述删除可匿名访问共享，共享文献应明确共享对象，且不允许匿名访问检查方法进入“控制面板->管理工具->本地安全策略”，在“本地策略->安全选项”中：检查“网络访问: 可匿名访问的共享”设立操作环节删除“网络访问: 可匿名访问的共享”中的所有项回退操作回退到原有的配置设立操作风险也许导致某些系统功能异常或应用非正常运营 5.11 关闭远程注册表配置项描述关闭远程注册表，防止用户远程修改或查看系统注册表检查方法进入“控制面板->管理工具->计算机管理”，进入“服务和应用程序”：检查“Remote Registry” 操作环节设立“Remote Registry”已停用回退操作回退到原有的配置设立操作风险某些应用也许需要此功能 5.12 对于远程登陆的帐号，设立不活动断开时间为1小时配置项描述对于远程登陆的帐号，设立不活动断开时间为1小时，长时间空闲账户将自动退出检查方法进入“控制面板->管理工具->本地安全策略”，在“本地策略->安全选项”中：检查“Microsoft 网络服务器：在挂起会话前所需的空闲时间”设立操作环节设立“Microsoft 网络服务器：在挂起会话前所需的空闲时间”小于等于1小时回退操作回退到原有的配置设立操作风险也许导致某些应用运营异常 5.13 IIS服务补丁更新配置项描述如需启用IIS服务，IIS服务补丁需及时更新检查方法检查IIS版本操作环节安装IIS 补丁包或升级到IIS6.0 回退操作卸载IIS 补丁包操作风险也许导致服务不正常 6. 其它配置规定 6 6.1 【基本】安装防病毒软件配置项描述安装防病毒软件和防病毒软件并及时升级检查方法检查杀毒软件的安装和升级情况操作环节安装杀毒软件并升级到最新版本回退操作卸载杀毒软件或回退到以前版本操作风险需要重启并也许误删正常的系统或应用文献 6.2 【基本】配置WSUS补丁更新服务器配置项描述指定系统获取补丁的位置，将更新源指向WSUS服务器检查方法 1.执行regedit调出注册表编辑器 2.查看参数 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate] "WUServer"和"WUStatusServer"，确认其是否为"http://10.23.134.8" 操作环节管理员使用域账号登录\\10.23.134.8\wsus-reg，下载WSUS配置程序，配置程序涉及：办公服务器组：相应注册表文献为serverbg.reg 业务服务器组：相应注册表文献为serveryw.reg 用户根据业务需要选择下载相应的配置程序，执行完*.reg文献后，重启automatic update服务，并在命令行下执行wuauclt /detectnow，启动客户端积极触发更新机制。回退操作修改注册表配置，恢复更新服务器指向操作风险需要重启且未经测试的补丁也许导致应用运营异常 6.3 【基本】Service Pack补丁更新配置项描述 Service Pack补丁未及时更新，将为袭击者提供入侵漏洞检查方法检查Service Pack补丁版本操作环节安装最新Service Pack补丁包回退操作卸载Service Pack补丁包操作风险需要重启且未经测试的补丁也许导致应用运营异常 6.4 【基本】Hotfix补丁更新配置项描述 Hotfix补丁更新，将为袭击者提供入侵漏洞检查方法检查Hotfix补丁版本操作环节安装最新Hotfix补丁包回退操作卸载Hotfix补丁包操作风险需要重启且未经测试的补丁也许导致应用运营异常 6.5 设立带密码的屏幕保护配置项描述设立带密码的屏幕保护，并将时间设定为5分钟，防止合法用户未及时退出登录，导致数据泄露检查方法进入“控制面板－>显示－>屏幕保护程序”：查看是否符合操作中提到的标准操作环节将不符合评估内容项进行加固，查看是否启用屏幕保护程序，设立等待时间为“5分钟”，启用“在恢复时使用密码保护”。回退操作回退到原有的配置设立操作风险低风险 6.6 交互式登录不显示上次登录用户名配置项描述交互式登录未设立不显示上次登录的用户名，袭击者可以此获取系统用户信息，减少袭击难度检查方法进入“控制面板->管理工具->本地安全策略”，在“本地策略->安全选项”中：检查“交互式登录: 不显示上次的用户名”设立操作环节设立“交互式登录: 不显示上次的用户名”为已启动回退操作回退到原有的配置设立操作风险低风险

展开阅读全文