中国移动Windows操作系统安全配置规范正式下发版模板.doc

资源描述

中国移动Windows操作系统安全配置规范正式下发版 23 资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。 -01-01实施 -12-18发布中国移动WINDOWS操作系统安全配置规范 Specification for Windows OS Configuration Used in China Mobile 版本号: １.0.0 中国移动通信集团公司发布目录 1 概述 1 1.1 适用范围 1 1.2 内部适用性说明 1 1.3 外部引用说明 2 1.4 术语和定义 3 1.5 符号和缩略语 3 2 WINDOWS设备安全配置要求 3 2.1 账号管理、认证授权 3 2.1.1 账号 4 2.1.2 口令 5 2.1.3 授权 7 2.2 日志配置操作 11 2.3 IP协议安全配置操作 17 2.4 设备其它配置操作 20 2.4.1 屏幕保护 20 2.4.2 共享文件夹及访问权限 21 2.4.3 补丁管理 22 2.4.4 防病毒管理 23 2.4.5 Windows服务 24 2.4.6 启动项 25 前言本标准由中国移动通信有限公司网络部提出并归口。本标准由标准提出并归口部门负责解释。本标准起草单位: 中国移动通信有限公司网络部。本标准解释单位: 同提出单位。本标准主要起草人: 中国移动通信集团浙江公司朱国萃中国移动集团公司陈敏时 1 概述 1.1 适用范围本规范所指的设备为Windows系统设备。本规范明确了运行Windows操作系统的设备在安全配置方面的基本要求。在未特别说明的情况下, 均适用于所有运行的Windows操作系统, 包括Windows 、 Windows XP、 Windows 以及各版本中的Sever、 Professional版本。 1.2 内部适用性说明配置要求说明编号采纳意见补充说明安全要求-设备-通用-配置--1-可选增强安全要求-设备-WINDOWS-配置-1 安全要求-设备-通用-配置--2-可选增强安全要求-设备-WINDOWS-配置-2-可选安全要求-设备-通用-配置--3-可选不采纳 Windows无法在远程登陆时经过切换用户提升权限安全要求-设备-通用-配置--4 增强安全要求-设备-WINDOWS-配置-4 安全要求-设备-通用-配置--5 完全采纳安全要求-设备-通用-配置--6-可选完全采纳安全要求-设备-通用-配置--7-可选完全采纳安全要求-设备-通用-配置--9 增强安全要求-设备-WINDOWS-配置-5 安全要求-设备-WINDOWS-配置-6 安全要求-设备-WINDOWS-配置-7 安全要求-设备-WINDOWS-配置-8 安全要求-设备-WINDOWS-配置-9 安全要求-设备-通用-配置--12 完全采纳安全要求-设备-通用-配置--13-可选增强安全要求-设备-WINDOWS-配置-11 安全要求-设备-通用-配置--24-可选增强安全要求-设备-WINDOWS-配置-10 安全要求-设备-WINDOWS-配置-12 安全要求-设备-WINDOWS-配置-13 安全要求-设备-WINDOWS-配置-14 安全要求-设备-WINDOWS-配置-15 安全要求-设备-WINDOWS-配置-16 安全要求-设备-WINDOWS-配置-17 安全要求-设备-WINDOWS-配置-18 安全要求-设备-WINDOWS-配置-19 安全要求-设备-通用-配置--14-可选不采纳 Windows日志储存在本地安全要求-设备-通用-配置--16-可选增强安全要求-设备-WINDOWS-配置-20-可选安全要求-设备-WINDOWS-配置-21-可选安全要求-设备-通用-配置--17-可选不采纳 Windosw远程管理采用了自有协议, 不支持SSH 安全要求-设备-通用-配置--19-可选不采纳 WIN系统不具备字符交互界面安全要求-设备-通用-配置--20-可选增强安全要求-设备-WINDOWS-配置-22 安全要求-设备-通用-配置--27-可选不采纳 Windows不支持CONSOLE访问 1.3 外部引用说明《中国移动通用安全功能和配置规范》 1.4 术语和定义 1.5 符号和缩略语缩写英文描述中文描述 2 WINDOWS设备安全配置要求本规范从Windows系统设备的认证授权功能、安全日志功能以及IP网络安全功能, 和其它自身安全配置功能四个方面提出安全要求。 2.1 账号管理、认证授权认证功能用于确认登录系统的用户真实身份。认证功能的具体实现方式包括静态口令、动态口令、指纹等生物鉴别技术等。授权功能赋予系统账号的操作权限, 并限制用户进行超越其账号权限的操作。 2.1.1 账号编号: 安全要求-设备-通用-配置--1 要求内容按照用户分配账号。根据系统的要求, 设定不同的账户和账户组, 管理员用户, 数据库用户, 审计用户, 来宾用户等。操作指南 1、参考配置操作进入”控制面板->管理工具->计算机管理”, 在”系统工具->本地用户和组”: 根据系统的要求, 设定不同的账户和账户组, 管理员用户, 数据库用户, 审计用户, 来宾用户。检测方法 1、判定条件结合要求和实际业务情况判断符合要求, 根据系统的要求, 设定不同的账户和账户组, 管理员用户, 数据库用户, 审计用户, 来宾用户。 2、检测操作进入”控制面板->管理工具->计算机管理”, 在”系统工具->本地用户和组”: 查看根据系统的要求, 设定不同的账户和账户组, 管理员用户, 数据库用户, 审计用户, 来宾用户。编号: 安全要求-设备-WINDOWS-配置-2-可选要求内容删除或锁定与设备运行、维护等与工作无关的账号。操作指南 1、参考配置操作进入”控制面板->管理工具->计算机管理”, 在”系统工具->本地用户和组”: 删除或锁定与设备运行、维护等与工作无关的账号。检测方法 1、判定条件结合要求和实际业务情况判断符合要求, 删除或锁定与设备运行、维护等与工作无关的账号。 2、检测操作进入”控制面板->管理工具->计算机管理”, 在”系统工具->本地用户和组”: 查看是否删除或锁定与设备运行、维护等与工作无关的账号。编号: 安全要求-设备-WINDOWS-配置-3-可选要求内容对于管理员帐号, 要求更改缺省帐户名称; 禁用guest( 来宾) 帐号。操作指南 1、参考配置操作进入”控制面板->管理工具->计算机管理”, 在”系统工具->本地用户和组”: Administrator－>属性－> 更改名称 Guest帐号->属性－> 已停用检测方法 1、判定条件缺省账户Administrator名称已更改。 Guest帐号已停用。 2、检测操作进入”控制面板->管理工具->计算机管理”, 在”系统工具->本地用户和组”: 缺省帐户－>属性－> 更改名称 Guest帐号->属性－> 已停用 2.1.2 口令编号: 安全要求-设备-WINDOWS-配置-4 要求内容最短密码长度 6个字符, 启用本机组策略中密码必须符合复杂性要求的策略。即密码至少包含以下四种类别的字符中的三种: l 英语大写字母 A, B, C, … Z l 英语小写字母 a, b, c, … z l 西方阿拉伯数字 0, 1, 2, … 9 非字母数字字符, 如标点符号, @, #, $, %, &, *等操作指南 1、参考配置操作进入”控制面板->管理工具->本地安全策略”, 在”帐户策略->密码策略”: ”密码必须符合复杂性要求”选择”已启动” 检测方法 1、判定条件 ”密码必须符合复杂性要求”选择”已启动” 2、检测操作进入”控制面板->管理工具->本地安全策略”, 在”帐户策略->密码策略”: 查看是否”密码必须符合复杂性要求”选择”已启动” 编号: 安全要求-设备-WINDOWS-配置-35 要求内容对于采用静态口令认证技术的设备, 账户口令的生存期不长于90天。操作指南 1、参考配置操作进入”控制面板->管理工具->本地安全策略”, 在”帐户策略->密码策略”: ”密码最长存留期”设置为”90天” 检测方法 1、判定条件 ”密码最长存留期”设置为”90天” 2、检测操作进入”控制面板->管理工具->本地安全策略”, 在”帐户策略->密码策略”: 查看是否”密码最长存留期”设置为”90天” 编号: 安全要求-设备-WINDOWS-配置-36-可选要求内容对于采用静态口令认证技术的设备, 应配置设备, 使用户不能重复使用最近5次( 含5次) 内已使用的口令。操作指南 1、参考配置操作进入”控制面板->管理工具->本地安全策略”, 在”帐户策略->密码策略”: ”强制密码历史”设置为”记住5个密码” 检测方法 1、判定条件 ”强制密码历史”设置为”记住5个密码” 2、检测操作进入”控制面板->管理工具->本地安全策略”, 在”帐户策略->密码策略”: 查看是否”强制密码历史”设置为”记住5个密码” 编号: 安全要求-设备-WINDOWS-配置-37 要求内容对于采用静态口令认证技术的设备, 应配置当用户连续认证失败次数超过6次( 不含6次) , 锁定该用户使用的账号。操作指南 1、参考配置操作进入”控制面板->管理工具->本地安全策略”, 在”帐户策略->帐户锁定策略”: ”账户锁定阀值”设置为 6次检测方法 1、判定条件 ”账户锁定阀值”设置为小于或等于 6次 2、检测操作进入”控制面板->管理工具->本地安全策略”, 在”帐户策略->帐户锁定策略”: 查看是否”账户锁定阀值”设置为小于等于 6次 2.1.3 授权编号: 安全要求-设备-WINDOWS-配置-5 要求内容在本地安全设置中从远端系统强制关机只指派给Administrators组。操作指南 1、参考配置操作进入”控制面板->管理工具->本地安全策略”, 在”本地策略->用户权利指派”: ”从远端系统强制关机”设置为”只指派给Administrators组” 检测方法 1、判定条件 ”从远端系统强制关机”设置为”只指派给Administrtors组” 2、检测操作进入”控制面板->管理工具->本地安全策略”, 在”本地策略->用户权利指派”: 查看是否”从远端系统强制关机”设置为”只指派给Administrators组” 编号: 安全要求-设备-WINDOWS-配置-6 要求内容在本地安全设置中关闭系统仅指派给Administrators组。操作指南 1、参考配置操作进入”控制面板->管理工具->本地安全策略”, 在”本地策略->用户权利指派”: ”关闭系统”设置为”只指派给Administrators组” 检测方法 1、判定条件 ”关闭系统”设置为”只指派给Administrators组” 2、检测操作进入”控制面板->管理工具->本地安全策略”, 在”本地策略->用户权利指派”: 查看”关闭系统”设置为”只指派给Administrators组” 编号: 安全要求-设备-WINDOWS-配置-7 要求内容在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。操作指南 1、参考配置操作进入”控制面板->管理工具->本地安全策略”, 在”本地策略->用户权利指派”: ”取得文件或其它对象的所有权”设置为”只指派给Administrators组” 检测方法 1、判定条件 ”取得文件或其它对象的所有权”设置为”只指派给Administrators组” 2、检测操作进入”控制面板->管理工具->本地安全策略”, 在”本地策略->用户权利指派”: 查看是否”取得文件或其它对象的所有权”设置为”只指派给Administrators组” 编号: 安全要求-设备-WINDOWS-配置-8 要求内容在本地安全设置中配置指定授权用户允许本地登陆此计算机。操作指南 1、参考配置操作进入”控制面板->管理工具->本地安全策略”, 在”本地策略->用户权利指派” ”从本地登陆此计算机”设置为”指定授权用户” 检测方法 1、判定条件 ”从本地登陆此计算机”设置为”指定授权用户” 2、检测操作进入”控制面板->管理工具->本地安全策略”, 在”本地策略->用户权利指派” 查看是否”从本地登陆此计算机”设置为”指定授权用户” 编号: 安全要求-设备-WINDOWS-配置-9 要求内容在组策略中只允许授权帐号从网络访问(包括网络共享等, 但不包括终端服务)此计算机。操作指南 1、参考配置操作进入”控制面板->管理工具->本地安全策略”, 在”本地策略->用户权利指派” ”从网络访问此计算机”设置为”指定授权用户” 检测方法 1、判定条件 ”从网络访问此计算机”设置为”指定授权用户” 2、检测操作进入”控制面板->管理工具->本地安全策略”, 在”本地策略->用户权利指派” 查看是否”从网络访问此计算机”设置为”指定授权用户” 2.2 日志配置操作编号: 安全要求-设备-WINDOWS-配置-38 要求内容设备应配置日志功能, 对用户登录进行记录, 记录内容包括用户登录使用的账号, 登录是否成功, 登录时间, 以及远程登录时, 用户使用的IP地址。操作指南 1、参考配置操作开始->运行-> 执行” 控制面板->管理工具->本地安全策略->审核策略” 审核登录事件, 双击, 设置为成功和失败都审核。检测方法 1、判定条件审核登录事件, 设置为成功和失败都审核。 2、检测操作开始->运行-> 执行” 控制面板->管理工具->本地安全策略->审核策略” 审核登录事件, 双击, 查看是否设置为成功和失败都审核。编号: 安全要求-设备-WINDOWS-配置-10 要求内容启用组策略中对Windows系统的审核策略更改, 成功和失败都要审核。操作指南 1、参考配置操作进入”控制面板->管理工具->本地安全策略”, 在”本地策略->审核策略”中 ”审核策略更改”设置为”成功” 和”失败”都要审核检测方法 1、判定条件 ”审核策略更改”设置为”成功” 和”失败”都要审核 2、检测操作进入”控制面板->管理工具->本地安全策略”, 在”本地策略->审核策略”中查看是否”审核策略更改”设置为”成功” 和”失败”都要审核编号: 安全要求-设备-WINDOWS-配置-11 要求内容启用组策略中对Windows系统的审核对象访问, 成功和失败都要审核。操作指南 1、参考配置操作进入”控制面板->管理工具->本地安全策略”, 在”本地策略->审核策略”中: ”审核对象访问”设置为”成功”和”失败”都要审核检测方法 1、判定条件 ”审核对象访问”设置为”成功”和”失败”都要审核 2、检测操作进入”控制面板->管理工具->本地安全策略”, 在”本地策略->审核策略”中: 查看是否”审核对象访问”设置为”成功”和”失败”都要审核编号: 安全要求-设备-WINDOWS-配置-12 要求内容启用组策略中对Windows系统的审核目录服务访问, 失败。操作指南 1、参考配置操作进入”控制面板->管理工具->本地安全策略”, 在”本地策略->审核策略”中: ”审核目录服务器访问”设置为”成功” 和”失败”都要审核检测方法 1、判定条件 ”审核目录服务器访问”设置为”成功” 和”失败”都要审核 2、检测操作进入”控制面板->管理工具->本地安全策略”, 在”本地策略->审核策略”中: 查看是否”审核目录服务器访问”设置为”成功” 和”失败”都要审核编号: 安全要求-设备-WINDOWS-配置-13 要求内容启用组策略中对Windows系统的审核特权使用, 成功和失败都要审核。操作指南 1、参考配置操作进入”控制面板->管理工具->本地安全策略”, 在”本地策略->审核策略”中: ”审核特权使用”设置为”成功” 和”失败”都要审核检测方法 1、判定条件 ”审核目录服务器访问”设置为”成功” 和”失败”都要审核 2、检测操作进入”控制面板->管理工具->本地安全策略”, 在”本地策略->审核策略”中: 查看是否”审核目录服务器访问”设置为”成功” 和”失败”都要审核编号: 安全要求-设备-WINDOWS-配置-14 要求内容启用组策略中对Windows系统的审核系统事件, 成功和失败都要审核。操作指南 1、参考配置操作进入”控制面板->管理工具->本地安全策略”, 在”本地策略->审核策略”中: ”审核系统事件”设置为”成功” 和”失败”都要审核检测方法 1、判定条件 ”审核系统事件”设置为”成功” 和”失败”都要审核 2、检测操作进入”控制面板->管理工具->本地安全策略”, 在”本地策略->审核策略”中: 查看是否”审核系统事件”设置为”成功” 和”失败”都要审核编号: 安全要求-设备-WINDOWS-配置-15 要求内容启用组策略中对Windows系统的审核帐户管理, 成功和失败都要审核。操作指南 1、参考配置操作进入”控制面板->管理工具->本地安全策略”, 在”本地策略->审核策略”中: ”审核账户管理”设置为”成功” 和”失败”都要审核检测方法 1、判定条件 ”审核账户管理”设置为”成功” 和”失败”都要审核 2、检测操作进入”控制面板->管理工具->本地安全策略”, 在”本地策略->审核策略”中: 查看是否”审核账户管理”设置为”成功” 和”失败”都要审核编号: 安全要求-设备-WINDOWS-配置-16 要求内容启用组策略中对Windows系统的审核过程追踪, 失败。操作指南 1、参考配置操作进入”控制面板->管理工具->本地安全策略”, 在”本地策略->审核策略”中: ”审核过程追踪”设置为 ”失败”需要审核检测方法 1、判定条件 ”审核过程追踪”设置为 ”失败”需要审核 2、检测操作进入”控制面板->管理工具->本地安全策略”, 在”本地策略->审核策略”中: 查看是否”审核过程追踪”设置为 ”失败”需要审核编号: 安全要求-设备-WINDOWS-配置-17-可选要求内容设置应用日志文件大小至少为8192KB, 设置当达到最大的日志尺寸时, 按需要改写事件。操作指南 1、参考配置操作进入”控制面板->管理工具->事件查看器”, 在”事件查看器( 本地) ”中: ”应用日志”属性中的日志大小设置不小于”8192KB” ,设置当达到最大的日志尺寸时, ”按需要改写事件” 检测方法 1、判定条件 ”应用日志”属性中的日志大小设置不小于”8192KB” ,设置当达到最大的日志尺寸时, ”按需要改写事件” 2、检测操作进入”控制面板->管理工具->事件查看器”, 在”事件查看器( 本地) ”中: 查看是否”应用日志”属性中的日志大小设置不小于”8192KB” ,设置当达到最大的日志尺寸时, ”按需要改写事件” 编号: 安全要求-设备-WINDOWS-配置-18-可选要求内容设置系统日志文件大小至少为8192KB, 设置当达到最大的日志尺寸时, 按需要改写事件。操作指南 1、参考配置操作进入”控制面板->管理工具->事件查看器”, 在”事件查看器( 本地) ”中: ”系统日志”属性中的日志大小设置不小于”8192KB” ,设置当达到最大的日志尺寸时, ”按需要改写事件” 检测方法 1、判定条件 ”系统日志”属性中的日志大小设置不小于”8192KB” , 设置当达到最大的日志尺寸时, ”按需要改写事件” 2、检测操作进入”控制面板->管理工具->事件查看器”, 在”事件查看器( 本地) ”中: 查看是否”系统日志”属性中的日志大小设置不小于”8192KB” ,设置当达到最大的日志尺寸时, ”按需要改写事件” 编号: 安全要求-设备-WINDOWS-配置-19-可选要求内容设置安全日志文件大小至少为8192KB, 设置当达到最大的日志尺寸时, 按需要改写事件。操作指南 1、参考配置操作进入”控制面板->管理工具->事件查看器”, 在”事件查看器( 本地) ”中: ”安全日志”属性中的日志大小设置不小于”8192KB” ,设置当达到最大的日志尺寸时, ”按需要改写事件” 检测方法 1、判定条件 ”安全日志”属性中的日志大小设置不小于”8192KB” ,设置当达到最大的日志尺寸时, ”按需要改写事件” 2、检测操作进入”控制面板->管理工具->事件查看器”, 在”事件查看器( 本地) ”中: 查看是否”安全日志”属性中的日志大小设置不小于”8192KB” ,设置当达到最大的日志尺寸时, ”按需要改写事件” 2.3 IP协议安全配置操作编号: 安全要求-设备-WINDOWS-配置-20-可选要求内容对没有自带防火墙的Windows系统, 启用Windows系统的IP安全机制(IPSec)或网络连接上的TCP/IP筛选, 只开放业务所需要的TCP, UDP端口和IP协议。操作指南 1、参考配置操作进入”控制面板－>网络连接－>本地连接”, 进入”Internet协议( TCP/IP) 属性－>高级TCP/IP设置”, 在”选项”的属性中启用网络连接上的TCP/IP筛选, 只开放业务所需要的TCP, UDP端口和IP协议。检测方法 1、判定条件系统管理员出示业务所需端口列表。根据列表只开放系统与业务所需端口。 2、检测操作进入”控制面板－>网络连接－>本地连接”, 进入”Internet协议( TCP/IP) 属性－>高级TCP/IP设置”, 在”选项”的属性中启用网络连接上的TCP/IP筛选, 查看是否只开放业务所需要的TCP, UDP端口和IP协议。编号: 安全要求-设备-WINDOWS-配置-21-可选要求内容启用Windows XP和Windows 自带防火墙。根据业务需要限定允许访问网络的应用程序, 和允许远程登陆该设备的IP地址范围。操作指南 1、参考配置操作进入”控制面板－>网络连接－>本地连接”, 在高级选项的设置中启用Windows防火墙。在”例外”中配置允许业务所需的程序接入网络。在”例外->编辑->更改范围”编辑允许接入的网络地址范围。检测方法 1、判定条件启用Windows防火墙。 ”例外”中允许接入网络的程序均为业务所需。 2、检测操作进入”控制面板－>网络连接－>本地连接”, 在高级选项的设置中, 查看是否启用Windows防火墙。查看是否在”例外”中配置允许业务所需的程序接入网络。查看是否在”例外->编辑->更改范围”编辑允许接入的网络地址范围。编号: 安全要求-设备-WINDOWS-配置-22-可选要求内容启用SYN攻击保护; 指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阀值为5; 指定处于 SYN_RCVD 状态的 TCP 连接数的阈值为500; 指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值为400。操作指南 1、参考配置操作在”开始->运行->键入regedit” 启用 SYN 攻击保护的命名值位于注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 之下。值名称: SynAttackProtect。推荐值: 2。以下部分中的所有项和值均位于注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 之下。指定必须在触发 SYN flood 保护之前超过的 TCP 连接请求阈值。值名称: TcpMaxPortsExhausted。推荐值: 5。启用 SynAttackProtect 后, 该值指定 SYN_RCVD 状态中的 TCP 连接阈值, 超过 SynAttackProtect 时, 触发 SYN flood 保护。值名称: TcpMaxHalfOpen。推荐值数据: 500。启用 SynAttackProtect 后, 指定至少发送了一次重传的 SYN_RCVD 状态中的 TCP 连接阈值。超过 SynAttackProtect 时, 触发 SYN flood 保护。值名称: TcpMaxHalfOpenRetried。推荐值数据: 400。检测方法 1、判定条件各注册表键值均按要求设置。 2、检测操作在”开始->运行->键入regedit” 启用 SYN 攻击保护的命名值位于注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 之下。值名称: SynAttackProtect。推荐值: 2。以下部分中的所有项和值均位于注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 之下。指定必须在触发 SYN flood 保护之前超过的 TCP 连接请求阈值。值名称: TcpMaxPortsExhausted。推荐值: 5。启用 SynAttackProtect 后, 该值指定 SYN_RCVD 状态中的 TCP 连接阈值, 超过 SynAttackProtect 时, 触发 SYN flood 保护。值名称: TcpMaxHalfOpen。推荐值数据: 500。启用 SynAttackProtect 后, 指定至少发送了一次重传的 SYN_RCVD 状态中的 TCP 连接阈值。超过 SynAttackProtect 时, 触发 SYN flood 保护。值名称: TcpMaxHalfOpenRetried。推荐值数据: 400。 2.4 设备其它配置操作 2.4.1 屏幕保护编号: 安全要求-设备-WINDOWS-配置-23 要求内容设置带密码的屏幕保护, 并将时间设定为5分钟。操作指南 1、参考配置操作进入”控制面板－>显示－>屏幕保护程序”: 启用屏幕保护程序, 设置等待时间为”5分钟”, 启用”在恢复时使用密码保护” 检测方法 1、判定条件启用屏幕保护程序, 设置等待时间为”5分钟”, 启用”在恢复时使用密码保护”。 2、检测操作进入”控制面板－>显示－>屏幕保护程序”: 查看是否启用屏幕保护程序, 设置等待时间为”5分钟”, 启用”在恢复时使用密码保护” 编号: 安全要求-设备-WINDOWS-配置-24 要求内容对于远程登陆的帐号, 设置不活动断连时间15分钟。操作指南 1、参考配置操作进入”控制面板->管理工具->本地安全策略”, 在”本地策略->安全选项”: ”Microsoft网络服务器”设置为”在挂起会话之前所需的空闲时间”为15分钟检测方法 1、判定条件 ”Microsoft网络服务器”设置为”在挂起会话之前所需的空闲时间”为15分钟。 2、检测操作进入”控制面板->管理工具->本地安全策略”, 在”本地策略->安全选项”: 查看是否”Microsoft网络服务器”设置为”在挂起会话之前所需的空闲时间”为15分钟 2.4.2 共享文件夹及访问权限编号: 安全要求-设备-WINDOWS-配置-25-可选要求内容非域环境中, 关闭Windows硬盘默认共享, 例如C$, D$。操作指南 1、参考配置操作进入”开始－>运行－>Regedit”, 进入注册表编辑器, 更改注册表键值: 在HKLM\System\CurrentControlSet\ Services\LanmanServer\Parameters\下, 增加REG_DWORD类型的AutoShareServer 键, 值为 0。检测方法 1、判定条件 HKLM\System\CurrentControlSet\ Services\LanmanServer\Parameters\增加了REG_DWORD类型的AutoShareServer 键, 值为 0。 2、检测操作进入”开始－>运行－>Regedit”, 进入注册表编辑器, 更改注册表键值: 在HKLM\System\CurrentControlSet\ Services\LanmanServer\Parameters\下, 增加REG_DWORD类型的AutoShareServer 键, 值为 0。编号: 安全要求-设备-WINDOWS-配置-26 要求内容查看每个共享文件夹的共享权限, 只允许授权的账户拥有权限共享此文件夹。操作指南 1、参考配置操作进入”控制面板->管理工具->计算机管理”, 进入”系统工具－>共享文件夹”: 查看每个共享文件夹的共享权限, 只将权限授权于指定账户。检测方法 1、判定条件查看每个共享文件夹的共享权限仅限于业务需要, 不设置成为”everyone”。 2、检测操作进入”控制面板->管理工具->计算机管理”, 进入”系统工具－>共享文件夹”: 查看每个共享文件夹的共享权限。 2.4.3 补丁管理编号: 安全要求-设备-WINDOWS-配置-27 要求内容应安装最新的Service Pack补丁集。对服务器系统应先进行兼容性测试。操作指南 1、参考配置操作安装最新的Service Pack补丁集, 当前Windows XP的Service Pack为SP2。 Windows 的Service Pack为SP4,Windows 的Servoce Pack为SP1 检测方法 1、判定条件显示XP系统已安装SP2, Win 系统已安装SP4。 2、检测操作控制面板->添加或删除程序->显示更新打钩, 查看是否XP系统已安装SP2, Win 系统已安装SP4。编号: 安全要求-设备-WINDOWS-配置-28-可选要求内容应安装最新的Hotfix补丁。对服务器系统应先进行兼容性测试。操作指南 1、参考配置操作安装最新的Hotfix补丁。对服务器系统应先进行兼容性测试。检测方法 1、判定条件已安装最新的Hotfix补丁, 并经过兼容性测试。 2、检测操作控制面板->添加或删除程序->显示更新打钩, 查看最近安装的Hotfix补丁是否为微软最新发布。 2.4.4 防病毒管理编号: 安全要求-设备-WINDOWS-配置-29 要求内容安装防病毒软件, 并及时更新。操作指南 1、参考配置操作安装防病毒软件, 并及时更新。检测方法 1、判定条件已安装放病毒软件, 病毒码更新时间不早于1个月, 各系统病毒码升级时间要求参见各系统相关规定。 2、检测操作控制面板->添加或删除程序, 是否安装有防病毒软件。打开防病毒软件控制面板, 查看病毒码更新日期。编号: 安全要求-设备-WINDOWS-配置-30-可选要求内容对于Windows XP SP2及Windows 对Windows操作系统程序和服务启用系统自带DEP功能(数据执行保护), 防止在受保护内存位置运行有害代码。操作指南 1、参考配置操作进入”控制面板－>系统”, 在”高级”选项卡的 ”性能”下的”设置”。进入 ”数据执行保护”选项卡。设置为” 仅为基本 Windows 操作系统程序和服务启用DEP”。检测方法 1、判定条件 ”数据执行保护”选项卡已设置为” 仅为基本 Windows 操作系统程序和服务启用DEP”。 2、检测操作进入”控制面板－>系统”, 在”高级”选项卡的 ”性能”下的”设置”。进入 ”数据执行保护”选项卡。查看是否设置为” 仅为基本 Windows 操作系统程序和服务启用DEP”。 2.4.5 Windows服务编号: 安全要求-设备-WINDOWS-配置-31 要求内容列出所需要服务的列表(包括所需的系统服务), 不在此列表的服务需关闭。操作指南 1、参考配置操作进入”控制面板->管理工具->计算机管理”, 进入”服务和应用程序”: 查看所有服务, 不在此列表的服务需关闭。检测方法 1、判定条件系统管理员应出具系统所必要的服务列表。查看所有服务, 不在此列表的服务需关闭。 2、检测操作进入”控制面板->管理工具->计算机管理”, 进入”服务和应用程序”: 查看所有服务, 不在此列表的服务是否已关闭。编号: 安全要求-设备-WINDOWS-配置-32-可选要求内容如需启用SNMP服务, 则修改默认的SNMP Community String设置。操作指南 1、参考配置操作打开”控制面板”, 打开”管理工具”中的”服务”, 找到”SNMP Service”, 单击右键打开”属性”面板中的”安全”选项卡, 在这个配置界面中, 能够修改community strings, 也就是微软所说的”团体名称”。检测方法 1、判定条件 community strings已改, 不是默认的”public” 2、检测操作打开”控制面板”, 打开”管理工具”中的”服务”, 找到”SNMP Service”, 单击右键打开”属性”面板中的”安全”选项卡, 在这个配置界面中, 查看community strings, 也就是微软所说的”团体名称”。编号: 安全要求-设备-WINDOWS-配置-33-可选要求内容如需启用IIS服务, 则将IIS升级到最新补丁。操作指南 1、参考配置操作下载IIS补丁包 IIS4.0 IIS5.0 http://www

展开阅读全文