《Windows2003操作系统安全配置规范》由会员分享,可在线阅读,更多相关《Windows2003操作系统安全配置规范(25页珍藏版)》请在金锄头文库上搜索。
1、 Windows 操作系统安全配置规范1安全配置规范WINDOWS 操作系统2009.12 南宁 Windows 操作系统安全配置规范2目录1 概述 .21.1 适用范围 .21.2 术语和定义 .21.3 符号和缩略语 .22 WINDOWS 设备安全配置要求 .22.1 账号管理、认证授权 .32.1.1 账号 .32.1.2 口令 .52.1.3 授权 .72.2 日志配置操作 .92.3 IP 协议安全配置操作 .152.4 设备其他配置操作 .182.4.1 屏幕保护 .182.4.2 共享文件夹及访问权限 .192.4.3 补丁管理 .202.4.4 防病毒管理 .212.4.5
2、Windows 服务 .222.4.6 启动项 .24 Windows 操作系统安全配置规范31 概述1.1 适用范围本规范所指的设备为 Windows 系统设备。本规范提出的安全功能要求要求和安全配置要求要求,在未特别说明的情况下,均适用于所有运行的 Windows操作系统,包括 Windows 2000、Windows XP、Windows2003 以及各版本中的Sever、 Professional 版本。1.2 术语和定义设备配置要求:描述在规范适用范围内设备必须和推荐采用的配置要求。在工程验收和运行维护时采用。符号和缩略语。1.3 符号和缩略语缩写 英文描述 中文描述JX 基线WIN
3、DOWS Windows Windows 系统,包括Windows XP,Windows 2000,Windows 2003GN 功能PZ 配置2 WINDOWS 设备安全配置要求本规范所指的设备为 Windows 系统设备。本规范提出的安全功能要求要求和安全配置要求要求,在未特别说明的情况下,均适用于所有运行的 Windows Windows 操作系统安全配置规范4操作系统,包括 Windows 2000、Windows XP、Windows2003 以及各版本中的Sever、Professional 版本。本规范从 Windows 系统设备的认证授权功能、安全日志功能以及 IP 网络安全功
4、能,和其他自身安全配置功能四个方面提出安全要求。2.1 账号管理、认证授权认证功能用于确认登录系统的用户真实身份。认证功能的具体实现方式包括静态口令、动态口令、指纹等生物鉴别技术等。授权功能赋予系统账号的操作权限,并限制用户进行超越其账号权限的操作。2.1.1 账号编号:JX-TY-PZ-1要求内容 按照用户分配账号。根据系统的要求,设定不同的账户和账户组,管理员用户,数据库用户,审计用户,来宾用户等。操作指南 1、参考配置操作进入“控制面板-管理工具-计算机管理” ,在“系统工具-本地用户和组”:根据系统的要求,设定不同的账户和账户组,管理员用户,数据库用户,审计用户,来宾用户。检测方法 1
5、、 判定条件结合要求和实际业务情况判断符合要求,根据系统的要求,设定不同的账户和账户组,管理员用户,数据库用户,审计用户,来宾用户。2、检测操作进入“控制面板-管理工具-计算机管理” ,在“系统工具-本地用户和组”:查看根据系统的要求,设定不同的账户和账户组,管理员用户,数据库用户,审计用户,来宾用户。 Windows 操作系统安全配置规范5编号:JX-WIN-PZ-2-opt要求内容 删除或锁定与设备运行、维护等与工作无关的账号。操作指南 1、参考配置操作进入“控制面板-管理工具-计算机管理” ,在“系统工具-本地用户和组”:删除或锁定与设备运行、维护等与工作无关的账号。检测方法 1、判定条
6、件结合要求和实际业务情况判断符合要求,删除或锁定与设备运行、维护等与工作无关的账号。2、检测操作进入“控制面板-管理工具-计算机管理” ,在“系统工具-本地用户和组”:查看是否删除或锁定与设备运行、维护等与工作无关的账号。编号:JX-WIN-PZ-3-opt要求内容 对于管理员帐号,要求更改缺省帐户名称;禁用 guest(来宾)帐号。操作指南 1、参考配置操作进入“控制面板-管理工具-计算机管理” ,在“系统工具-本地用户和组”:Administrator 属性 更改名称Guest 帐号-属性 已停用检测方法 1、判定条件缺省账户 Administrator 名称已更改。Guest 帐号已停用
7、。2、检测操作进入“控制面板-管理工具-计算机管理” ,在“系统工具-本地用户和组”:缺省帐户属性 更改名称 Windows 操作系统安全配置规范6Guest 帐号-属性 已停用2.1.2 口令编号:JX-WIN-PZ-4要求内容 最短密码长度 6 个字符,启用本机组策略中密码必须符合复杂性要求的策略。即密码至少包含以下四种类别的字符中的三种: 英语大写字母 A, B, C, Z 英语小写字母 a, b, c, z 西方阿拉伯数字 0, 1, 2, 9 非字母数字字符,如标点符号,, #, $, %, &, *等操作指南 1、参考配置操作进入“控制面板-管理工具-本地安全策略” ,在“帐户策略
8、-密码策略”:“密码必须符合复杂性要求”选择“已启动”检测方法 1、判定条件“密码必须符合复杂性要求”选择“已启动”2、检测操作进入“控制面板-管理工具-本地安全策略” ,在“帐户策略-密码策略”:查看是否“密码必须符合复杂性要求”选择“已启动”编号:JX-WIN-PZ-35要求内容 对于采用静态口令认证技术的设备,账户口令的生存期不长于 90天。操作指南 1、参考配置操作进入“控制面板-管理工具-本地安全策略” ,在“帐户策略-密码策略”:“密码最长存留期”设置为“90 天” Windows 操作系统安全配置规范7检测方法 1、判定条件“密码最长存留期”设置为“90 天”2、检测操作进入“控制面板-管理工具-本地安全策略” ,在“帐户策略-密码策略”:查看是否“密码最长存留期”设置为“90 天”编号:JX-WIN-PZ-36-opt要求内容 对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近 5 次(含 5 次)内已使用的口令。操作指南 1、参考配置操作进入“控制面板-管理工具-本地安全策略” ,在“帐户策略-密码策略”:“强制密码历史”设置为“记住 5 个密码”检测方法 1、判定条件“强制密码历史”设置为“记住 5 个密码”2、检测操作进入“控制面板-管理工具-本地安全
