收藏
下载资源

系统安全配置技术规范_Windows

上传人:l**** 文档编号:135050166 上传时间:2020-06-11 格式:DOC 页数:16 大小:250KB
返回 下载 相关 举报
系统安全配置技术规范_Windows_第1页
第1页 / 共16页
系统安全配置技术规范_Windows_第2页
第2页 / 共16页
系统安全配置技术规范_Windows_第3页
第3页 / 共16页
系统安全配置技术规范_Windows_第4页
第4页 / 共16页
系统安全配置技术规范_Windows_第5页
第5页 / 共16页
点击查看更多>>
资源描述

《系统安全配置技术规范_Windows》由会员分享,可在线阅读,更多相关《系统安全配置技术规范_Windows(16页珍藏版)》请在金锄头文库上搜索。

1、系统安全配置技术规Windows版本V0.9日期2013-06-03文档编号文档发布212211文档说明(一)变更信息版本号变更日期变更者变更理由/变更容备注(二)文档审核人职位签名日期目 录1.适用围52.管理与授权52.1【基本】删除或锁定可能无用的52.2【基本】按照用户角色分配不同权限的52.3【基本】口令策略设置不符合复杂度要求62.4【基本】设定不能重复使用口令62.5不使用系统默认用户名62.6口令生存期不得长于90天62.7设定连续认证失败次数72.8远端系统强制关机的权限设置72.9关闭系统的权限设置72.10取得文件或其它对象的所有权设置72.11将从本地登录设置为指定授权

2、用户82.12将从网络访问设置为指定授权用户83.日志配置要求83.1【基本】审核策略设置中成功失败都要审核83.2【基本】设置日志查看器大小94.IP协议安全要求94.1开启TCP/IP筛选94.2启用防火墙104.3启用SYN攻击保护105.服务配置要求115.1【基本】启用NTP服务115.2【基本】关闭不必要的服务115.3【基本】关闭不必要的启动项125.4【基本】关闭自动播放功能125.5【基本】审核HOST文件的可疑条目125.6【基本】存在未知或无用的应用程序125.7【基本】关闭默认共享135.8【基本】非everyone的授权共享135.9【基本】SNMP Communit

3、y String设置135.10【基本】删除可匿名访问共享135.11关闭远程注册表145.12对于远程登陆的,设置不活动断开时间为1小时145.13IIS服务补丁更新146.其它配置要求156.1【基本】安装防病毒软件156.2【基本】配置WSUS补丁更新服务器156.3【基本】Service Pack补丁更新156.4【基本】Hotfix补丁更新166.5设置带密码的屏幕保护166.6交互式登录不显示上次登录用户名161. 适用围如无特殊说明,本规所有配置项适用于Windows操作系统 2003、2008系列版本。其中标示为“基本”字样的配置项,均为本公司对此类系统的基本安全配置要求;未标

4、示“基本”字样的配置项,请各系统管理员视实际需求酌情遵从。2. 管理与授权122.1 【基本】删除或锁定可能无用的配置项描述删除或锁定无用的,定期清理无用账户,防止过期用户非法登入操作系统检查方法进入“控制面板-管理工具-计算机管理-系统工具-本地用户和组”:审核不必要的用户和组,审核隶属的组权限,审核组用户。操作步骤根据系统的要求和实际业务情况,设定不同的和组,如管理员用户、数据库用户、审计用户、来宾用户等。删除或锁定与设备运行、维护等与工作无关的回退操作回退到原有的配置设置操作风险需要确认用途2.2 【基本】按照用户角色分配不同权限的配置项描述按照用户角色分配不同权限的,保证用户权限最小化

5、检查方法进入“控制面板-管理工具-计算机管理-系统工具-本地用户和组”:审核用户和组,审核隶属的组权限,审核组用户。操作步骤根据系统的要求和实际业务情况,设定不同的和组,如管理员用户、数据库用户、审计用户、来宾用户等。回退操作回退到原有的配置设置操作风险需要确认用途,确认用户所需权限2.3 【基本】口令策略设置不符合复杂度要求配置项描述口令策略设置不符合复杂度要求,口令过于简单,易被黑客破译检查方法进入“控制面板-管理工具-本地安全策略”,在“策略-密码策略”中:检查“密码必须符合复杂度要求”设置操作步骤设置“密码必须符合复杂度要求”已开启回退操作回退到原有的配置设置操作风险低风险2.4 【基

6、本】设定不能重复使用口令配置项描述设定不能重复使用最近5次(含5次)已使用的口令检查方法进入“控制面板-管理工具-本地安全策略”,在“策略-密码策略”中:检查“强制密码历史”设置操作步骤设置“强制密码历史”大于等于5回退操作回退到原有的配置设置操作风险低风险2.5 不使用系统默认用户名配置项描述administrator、guest等默认使用默认用户名,当攻击者发起穷举攻击时,使用默认用户名,会大大降低攻击者的攻击难度检查方法进入“控制面板-管理工具-计算机管理-系统工具-本地用户和组”:检查administrator、guest是否存在。操作步骤administrator、guest重命名回

7、退操作回退到原有的配置设置操作风险可能导致某些自动登录的服务异常2.6 口令生存期不得长于90天配置项描述口令生存期不得长于90天,应定期更改用户口令检查方法进入“控制面板-管理工具-本地安全策略”,在“策略-密码策略”中:检查“密码最长存留期”设置操作步骤设置“密码最长存留期”小于等于90回退操作回退到原有的配置设置操作风险低风险2.7 设定连续认证失败次数配置项描述设定连续认证失败次数超过6次(不含6次)锁定该账号检查方法进入“控制面板-管理工具-本地安全策略”,在“策略-锁定策略”中:检查“锁定阀值”设置操作步骤设置“锁定阀值”小于等于6回退操作回退到原有的配置设置操作风险可能导致恶意尝

8、试锁定2.8 远端系统强制关机的权限设置配置项描述将从远端系统强制关机仅指派给Administrators组,避免普通用户拥有额外的系统控制权限检查方法进入“控制面板-管理工具-本地安全策略”,在“本地策略-用户权利指派”中:检查“从远端系统强制关机”设置操作步骤设置“从远端系统强制关机”删除除Administrators以外其他项回退操作回退到原有的配置设置操作风险可能导致某些系统功能异常或应用非正常运行2.9 关闭系统的权限设置配置项描述将关闭系统仅指派给Administrators组,避免普通用户拥有额外的系统控制权限检查方法进入“控制面板-管理工具-本地安全策略”,在“本地策略-用户权

9、利指派”中:检查“关闭系统”设置操作步骤设置“关闭系统”删除除Administrators以外其他项回退操作回退到原有的配置设置操作风险可能导致某些系统功能异常或应用非正常运行2.10 取得文件或其它对象的所有权设置配置项描述将取得文件或其它对象的所有权设置仅指派给Administrators组,避免普通用户拥有额外的系统控制权限检查方法进入“控制面板-管理工具-本地安全策略”,在“本地策略-用户权利指派”中:检查“取得文件或其它对象的所有权”设置操作步骤设置“取得文件或其它对象的所有权”删除除Administrators以外其他项回 退回退到原有的配置设置操作风险可能导致某些系统功能异常或应

10、用非正常运行2.11 将从本地登录设置为指定授权用户配置项描述将从本地登录设置为指定授权用户,将登陆权限赋予指定用户检查方法进入“控制面板-管理工具-本地安全策略”,在“本地安全策略-用户权利指派”中:检查“允许在本地登录”设置操作步骤设置“允许在本地登录”只保留授权用户,删除其他项回退操作回退到原有的配置设置操作风险可能导致某些系统功能异常或应用非正常运行2.12 将从网络访问设置为指定授权用户配置项描述将从网络访问设置为指定授权用户检查方法进入“控制面板-管理工具-本地安全策略”,在“本地策略-用户权利指派”中:检查“从网络访问”设置操作步骤设置“从网络访问”只保留授权用户,删除其他项回退

11、操作回退到原有的配置设置操作风险可能导致某些系统功能异常或应用非正常运行3. 日志配置要求33.1 【基本】审核策略设置中成功失败都要审核配置项描述记录系统的所有审核信息,审核策略设置中成功失败都要审核检查方法进入“控制面板-管理工具-本地安全策略”,在“本地策略-审核策略”中:查看是否符合操作中提到的各标准操作步骤将不符合评估容项进行加固,安全标准设置如下:审核策略更改:成功和失败审核登录事件:成功和失败审核系统事件:成功和失败审核登录事件:成功和失败审核管理:成功和失败审核对象访问:成功和失败审核特权使用:成功和失败审核目录服务访问:成功和失败审核过程跟踪:失败其他设置无要求。回退操作回退

12、到原有的配置设置操作风险开启无用的审核可能降低系统性能并占用一定磁盘空间3.2 【基本】设置日志查看器大小配置项描述将应用、系统、安全日志查看器大小设置为至少8192KB检查方法进入“控制面板-管理工具-事件查看器”,在“事件查看器(本地)”中:(在应用程序日志、安全日志和系统日志上点右键,看属性中的日志大小上限设置,单位为KB。)查看是否符合操作中提到的各标准操作步骤将不符合评估容项进行加固,应用日志的容量为8192KB,安全日志的容量为8192KB,系统日志的容量为8192KB,设置当达到最大的日志大小时,“按需要覆盖事件”。并且用户有流程定期转存日志回退操作回退到原有的配置设置操作风险低

13、风险4. IP协议安全要求44.1 开启TCP/IP筛选配置项描述对于不自带windows防火墙的系统,需开启TCP/IP筛选,切只能开放业务所需要的TCP、UDP端口和IP协议检查方法先请系统管理员出示业务所需端口列表。进入“控制面板网络连接本地连接Internet协议(TCP/IP)属性高级TCP/IP设置”,在“选项”的属性中启用网络连接上的TCP/IP筛选,根据列表查看是否只开放业务所需要的TCP、UDP端口和IP协议。操作步骤注意异常端口,与管理员追查异常端口相关项。对没有自带防火墙的Windows系统,启用Windows系统的IP安全机制(IPSec)或网络连接上的TCP/IP筛选,只开放业务所需要的TCP、UDP端口和IP协议。回退操作回退到原有的配置设置操作风险必须正确设置网络访问控制策略,否则可能导致某些应用无常访问网络4.2 启用防火墙配置项描述启用Windows自带防火墙,且根据业务需要限定允许访问网络的应用程序,和允许远程登陆该设备的IP地址围检查方法进入“控制面板网络连接本地连接”,在高级选项的设置中,查看是否启用Windows防火墙。查看是否在“例外”中配置允许业务所需的程序接入网络。查看是否在“例外-编辑-更改围”编辑允许接入的网络地址围。操作步骤将不符合评估容项进行加固,启用Windows自带防火墙。根据业务需要限定允许访问网络的应用程

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 工作范文

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号