《系统安全配置技术规范-Windows》由会员分享,可在线阅读,更多相关《系统安全配置技术规范-Windows(14页珍藏版)》请在金锄头文库上搜索。
1、-系统平安配置技术规Windows版本V0.9日期2013-06-03文档编号文档发布212211文档说明一变更信息版本号变更日期变更者变更理由/变更容备注二文档审核人职位签名日期目录1.适用围52.管理与授权52.1【根本】删除或锁定可能无用的52.2【根本】按照用户角色分配不同权限的52.3【根本】口令策略设置不符合复杂度要求62.4【根本】设定不能重复使用口令62.5不使用系统默认用户名62.6口令生存期不得长于90天62.7设定连续认证失败次数72.8远端系统强制关机的权限设置72.9关闭系统的权限设置72.10取得文件或其它对象的所有权设置72.11将从本地登录设置为指定授权用户82
2、.12将从网络访问设置为指定授权用户83.日志配置要求83.1【根本】审核策略设置中成功失败都要审核83.2【根本】设置日志查看器大小94.IP协议平安要求94.1开启TCP/IP筛选94.2启用防火墙104.3启用SYN攻击保护105.效劳配置要求115.1【根本】启用NTP效劳115.2【根本】关闭不必要的效劳115.3【根本】关闭不必要的启动项125.4【根本】关闭自动播放功能125.5【根本】审核HOST文件的可疑条目125.6【根本】存在未知或无用的应用程序125.7【根本】关闭默认共享135.8【根本】非everyone的授权共享135.9【根本】SNMP Community St
3、ring设置135.10【根本】删除可匿名访问共享135.11关闭远程注册表145.12对于远程登陆的,设置不活动断开时间为1小时145.13IIS效劳补丁更新146.其它配置要求156.1【根本】安装防病毒软件156.2【根本】配置WSUS补丁更新效劳器156.3【根本】Service Pack补丁更新156.4【根本】Hotfi*补丁更新166.5设置带密码的屏幕保护166.6交互式登录不显示上次登录用户名161. 适用围如无特殊说明,本规所有配置项适用于Windows操作系统 2003、2008系列版本。其中标示为根本字样的配置项,均为本公司对此类系统的根本平安配置要求;未标示根本字样的
4、配置项,请各系统管理员视实际需求酌情遵从。2. 管理与授权1.1 【根本】删除或锁定可能无用的配置项描述删除或锁定无用的,定期清理无用账户,防止过期用户非法登入操作系统检查方法进入控制面板-管理工具-计算机管理-系统工具-本地用户和组:审核不必要的用户和组,审核隶属的组权限,审核组用户。操作步骤根据系统的要求和实际业务情况,设定不同的和组,如管理员用户、数据库用户、审计用户、来宾用户等。删除或锁定与设备运行、维护等与工作无关的回退操作回退到原有的配置设置操作风险需要确认用途1.2 【根本】按照用户角色分配不同权限的配置项描述按照用户角色分配不同权限的,保证用户权限最小化检查方法进入控制面板-管
5、理工具-计算机管理-系统工具-本地用户和组:审核用户和组,审核隶属的组权限,审核组用户。操作步骤根据系统的要求和实际业务情况,设定不同的和组,如管理员用户、数据库用户、审计用户、来宾用户等。回退操作回退到原有的配置设置操作风险需要确认用途,确认用户所需权限1.3 【根本】口令策略设置不符合复杂度要求配置项描述口令策略设置不符合复杂度要求,口令过于简单,易被黑客破译检查方法进入控制面板-管理工具-本地平安策略,在策略-密码策略中:检查密码必须符合复杂度要求设置操作步骤设置密码必须符合复杂度要求已开启回退操作回退到原有的配置设置操作风险低风险1.4 【根本】设定不能重复使用口令配置项描述设定不能重
6、复使用最近5次含5次已使用的口令检查方法进入控制面板-管理工具-本地平安策略,在策略-密码策略中:检查强制密码历史设置操作步骤设置强制密码历史大于等于5回退操作回退到原有的配置设置操作风险低风险1.5 不使用系统默认用户名配置项描述administrator、guest等默认使用默认用户名,当攻击者发起穷举攻击时,使用默认用户名,会大大降低攻击者的攻击难度检查方法进入控制面板-管理工具-计算机管理-系统工具-本地用户和组:检查administrator、guest是否存在。操作步骤administrator、guest重命名回退操作回退到原有的配置设置操作风险可能导致*些自动登录的效劳异常1.
7、6 口令生存期不得长于90天配置项描述口令生存期不得长于90天,应定期更改用户口令检查方法进入控制面板-管理工具-本地平安策略,在策略-密码策略中:检查密码最长存留期设置操作步骤设置密码最长存留期小于等于90回退操作回退到原有的配置设置操作风险低风险1.7 设定连续认证失败次数配置项描述设定连续认证失败次数超过6次不含6次锁定该账号检查方法进入控制面板-管理工具-本地平安策略,在策略-锁定策略中:检查锁定阀值设置操作步骤设置锁定阀值小于等于6回退操作回退到原有的配置设置操作风险可能导致恶意尝试锁定1.8 远端系统强制关机的权限设置配置项描述将从远端系统强制关机仅指派给Administrator
8、s组,防止普通用户拥有额外的系统控制权限检查方法进入控制面板-管理工具-本地平安策略,在本地策略-用户权利指派中:检查从远端系统强制关机设置操作步骤设置从远端系统强制关机删除除Administrators以外其他项回退操作回退到原有的配置设置操作风险可能导致*些系统功能异常或应用非正常运行1.9 关闭系统的权限设置配置项描述将关闭系统仅指派给Administrators组,防止普通用户拥有额外的系统控制权限检查方法进入控制面板-管理工具-本地平安策略,在本地策略-用户权利指派中:检查关闭系统设置操作步骤设置关闭系统删除除Administrators以外其他项回退操作回退到原有的配置设置操作风险
9、可能导致*些系统功能异常或应用非正常运行1.10 取得文件或其它对象的所有权设置配置项描述将取得文件或其它对象的所有权设置仅指派给Administrators组,防止普通用户拥有额外的系统控制权限检查方法进入控制面板-管理工具-本地平安策略,在本地策略-用户权利指派中:检查取得文件或其它对象的所有权设置操作步骤设置取得文件或其它对象的所有权删除除Administrators以外其他项回 退回退到原有的配置设置操作风险可能导致*些系统功能异常或应用非正常运行1.11 将从本地登录设置为指定授权用户配置项描述将从本地登录设置为指定授权用户,将登陆权限赋予指定用户检查方法进入控制面板-管理工具-本地
10、平安策略,在本地平安策略-用户权利指派中:检查允许在本地登录设置操作步骤设置允许在本地登录只保存授权用户,删除其他项回退操作回退到原有的配置设置操作风险可能导致*些系统功能异常或应用非正常运行1.12 将从网络访问设置为指定授权用户配置项描述将从网络访问设置为指定授权用户检查方法进入控制面板-管理工具-本地平安策略,在本地策略-用户权利指派中:检查从网络访问设置操作步骤设置从网络访问只保存授权用户,删除其他项回退操作回退到原有的配置设置操作风险可能导致*些系统功能异常或应用非正常运行3. 日志配置要求1.13 【根本】审核策略设置中成功失败都要审核配置项描述记录系统的所有审核信息,审核策略设置
11、中成功失败都要审核检查方法进入控制面板-管理工具-本地平安策略,在本地策略-审核策略中:查看是否符合操作中提到的各标准操作步骤将不符合评估容项进展加固,平安标准设置如下:审核策略更改:成功和失败审核登录事件:成功和失败审核系统事件:成功和失败审核登录事件:成功和失败审核管理:成功和失败审核对象访问:成功和失败审核特权使用:成功和失败审核目录效劳访问:成功和失败审核过程跟踪:失败其他设置无要求。回退操作回退到原有的配置设置操作风险开启无用的审核可能降低系统性能并占用一定磁盘空间1.14 【根本】设置日志查看器大小配置项描述将应用、系统、平安日志查看器大小设置为至少8192KB检查方法进入控制面板
12、-管理工具-事件查看器,在事件查看器本地中:在应用程序日志、平安日志和系统日志上点右键,看属性中的日志大小上限设置,单位为KB。查看是否符合操作中提到的各标准操作步骤将不符合评估容项进展加固,应用日志的容量为8192KB,平安日志的容量为8192KB,系统日志的容量为8192KB,设置当到达最大的日志大小时,按需要覆盖事件。并且用户有流程定期转存日志回退操作回退到原有的配置设置操作风险低风险4. IP协议平安要求1.15 开启TCP/IP筛选配置项描述对于不自带windows防火墙的系统,需开启TCP/IP筛选,切只能开放业务所需要的TCP、UDP端口和IP协议检查方法先请系统管理员出示业务所
13、需端口列表。进入控制面板网络连接本地连接Internet协议TCP/IP属性高级TCP/IP设置,在选项的属性中启用网络连接上的TCP/IP筛选,根据列表查看是否只开放业务所需要的TCP、UDP端口和IP协议。操作步骤注意异常端口,与管理员追查异常端口相关项。对没有自带防火墙的Windows系统,启用Windows系统的IP平安机制(IPSec)或网络连接上的TCP/IP筛选,只开放业务所需要的TCP、UDP端口和IP协议。回退操作回退到原有的配置设置操作风险必须正确设置网络访问控制策略,否则可能导致*些应用无常访问网络1.16 启用防火墙配置项描述启用Windows自带防火墙,且根据业务需要限定允许访问网络的应用程序,和允许远程登陆该设备的IP地址围检查方法进入控制面板网络连接本地连接,在高级选项的设置中,查看是否启用Windows防火墙。查看是否在例外中配置允许业务所需的程序接入网络。查看是否在例外-编辑-更改围编辑允许接入的网络地址围。操作步骤将不符合评估容项进展加固,启用Windows自带防火墙。根据业务需要限定允许访问网络的应用程序,和允许远程登陆该设备的IP地址围。回退操作回退到原有的配置设置操作风险必须正确设置网络访问控制策略,否则可能导致*些应用无常访问网络1.17 启用SYN攻击保护配置项描述启用SYN攻击保护,当攻击者发起SYN攻击时,防止CPU和存
