Windows安全配置规范.docx
- 文档编号:2049328
- 上传时间:2022-10-26
- 格式:DOCX
- 页数:25
- 大小:128.20KB
Windows安全配置规范.docx
《Windows安全配置规范.docx》由会员分享,可在线阅读,更多相关《Windows安全配置规范.docx(25页珍藏版)》请在冰豆网上搜索。
Windows安全配置规范
Windows安全配置规范
2010年11月
第1章概述
1.1适用范围
本规范明确了Windows操作系统在安全配置方面的基本要求,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。
适用于中国电信所有运行的Windows操作系统,包括Windows2000、WindowsXP、Windows2003,Windows7,Windows2008以及各版本中的Sever、Professional版本。
第2章安全配置要求
2.1账号
编号:
1
要求内容
应按照不同的用户分配不同的账号,避免不同用户间共享账号,避免用户账号和设备间通信使用的账号共享。
操作指南
1、参考配置操作
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:
根据系统的要求,设定不同的账户和账户组。
检测方法
1、判定条件
结合要求和实际业务情况判断符合要求,根据系统的要求,设定不同的账户和账户组
2、检测操作
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:
查看根据系统的要求,设定不同的账户和账户组
编号:
2
要求内容
应删除与运行、维护等工作无关的账号。
操作指南
1.参考配置操作
A)可使用用户管理工具:
开始-运行-compmgmt.msc-本地用户和组-用户
B)也可以通过net命令:
删除账号:
netuseraccount/de1
停用账号:
netuseraccount/active:
no
检测方法
1.判定条件
结合要求和实际业务情况判断符合要求,删除或锁定与设备运行、维护等与工作无关的账号。
注:
主要指测试帐户、共享帐号、已经不用账号等
2.检测操作
开始-运行-compmgmt.msc-本地用户和组-用户
编号:
3
要求内容
重命名Administrator;禁用guest(来宾)帐号。
操作指南
1、参考配置操作
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:
Administrator->属性->更改名称
Guest帐号->属性->已停用
检测方法
1、判定条件
缺省账户Administrator名称已更改。
Guest帐号已停用。
2、检测操作
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:
缺省帐户->属性->更改名称
Guest帐号->属性->已停用
2.2口令
编号:
1
要求内容
密码长度要求:
最少8位
密码复杂度要求:
至少包含以下四种类别的字符中的三种:
●英语大写字母A,B,C,…Z
●英语小写字母a,b,c,…z
●阿拉伯数字0,1,2,…9
●非字母数字字符,如标点符号,@,#,$,%,&,*等
操作指南
1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:
“密码必须符合复杂性要求”选择“已启动”
检测方法
1、判定条件
“密码必须符合复杂性要求”选择“已启动”
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:
查看是否“密码必须符合复杂性要求”选择“已启动”
编号:
2
要求内容
对于采用静态口令认证技术的设备,账户口令的生存期不长于90天。
操作指南
1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:
“密码最长存留期”设置为“90天”
检测方法
1、判定条件
“密码最长存留期”设置为“90天”
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:
查看是否“密码最长存留期”设置为“90天”
编号:
3
要求内容
对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令。
操作指南
1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:
“强制密码历史”设置为“记住5个密码”
检测方法
1、判定条件
“强制密码历史”设置为“记住5个密码”
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:
查看是否“强制密码历史”设置为“记住5个密码”
编号:
4
要求内容
对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。
操作指南
1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->帐户锁定策略”:
“账户锁定阀值”设置为6次
检测方法
1、判定条件
“账户锁定阀值”设置为小于或等于6次
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->帐户锁定策略”:
查看是否“账户锁定阀值”设置为小于等于6次
补充说明:
设置不当可能导致账号大面积锁定,在域环境中应小心设置,Administrator账号本身不会被锁定。
2.3授权
编号:
1
要求内容
本地、远端系统强制关机只指派给Administrators组。
操作指南
1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:
“关闭系统”设置为“只指派给Administrators组”
“从远程系统强制关机”设置为“只指派给Administrators组”
检测方法
1、判定条件
“关闭系统”设置为“只指派给Administrators组”
“从远端系统强制关机”设置为“只指派给Administrtors组”
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:
查看“关闭系统”设置为“只指派给Administrators组”
查看是否“从远端系统强制关机”设置为“只指派给Administrators组”
编号:
2
要求内容
在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。
操作指南
1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:
“取得文件或其它对象的所有权”设置为“只指派给Administrators组”
检测方法
1、判定条件
“取得文件或其它对象的所有权”设置为“只指派给Administrators组”
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:
查看是否“取得文件或其它对象的所有权”设置为“只指派给Administrators组”
编号:
3
要求内容
在本地安全设置中只允许授权帐号本地、远程访问登陆此计算机。
操作指南
1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”
“从本地登陆此计算机”设置为“指定授权用户”
“从网络访问此计算机”设置为“指定授权用户”
检测方法
1、判定条件
“从本地登陆此计算机”设置为“指定授权用户”
“从网络访问此计算机”设置为“指定授权用户”
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”
查看是否“从本地登陆此计算机”设置为“指定授权用户”
查看是否“从网络访问此计算机”设置为“指定授权用户”
2.4补丁
编号:
1
要求内容
在不影响业务的情况下,应安装最新的ServicePack 补丁集。
对服务器系统应先进行兼容性测试。
操作指南
1、参考配置操作
安装最新的ServicePack补丁集,以及最新的Hotfix补丁。
目前WindowsXP的ServicePack为SP3。
Windows2000的ServicePack为SP4,Windows2003的Service
Pack为SP2
检测方法
1、判定条件
2、检测操作
进入控制面板->添加或删除程序->显示更新打钩,查看是否XP系统已安装SP3,Win2000系统已安装SP4,Win2003系统已安装SP2。
同时检查所有的hotfix,并查看系统安装的最后一个补丁的
发布日期是否与最近最新发布的补丁日期一致。
2.5防护软件
编号:
1(可选)
要求内容
启用自带防火墙或安装第三方威胁防护软件。
根据业务需要限定允许访问网络的应用程序,和允许远程登陆该设备的IP地址范围。
操作指南
1、参考配置操作(以启动自带防火墙为例)
进入“控制面板->网络连接->本地连接”,在高级选项的设置中
启用Windows防火墙。
在“例外”中配置允许业务所需的程序接入网络。
在“例外->编辑->更改范围”编辑允许接入的网络地址范围。
检测方法
1、判定条件
启用Windows防火墙。
“例外”中允许接入网络的程序均为业务所需。
2、检测操作
进入“控制面板->网络连接->本地连接”,在高级选项的设置中,查看是否启用Windows防火墙。
查看是否在“例外”中配置允许业务所需的程序接入网络。
查看是否在“例外->编辑->更改范围”编辑允许接入的网络地址范围。
2.6防病毒软件
编号:
1
要求内容
安装防病毒软件,并及时更新。
操作指南
1、参考配置操作
安装防病毒软件,并及时更新。
检测方法
1、判定条件
已安装放病毒软件,病毒码更新时间不早于1个月,各系统病毒码升级时间要求参见各系统相关规定。
2、检测操作
控制面板->添加或删除程序,是否安装有防病毒软件。
打开防病毒软件控制面板,查看病毒码更新日期。
2.8日志安全要求
编号:
1
要求内容
设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。
操作指南
1、参考配置操作
开始->运行->执行“控制面板->管理工具->本地安全策略->审核策略”
审核登录事件,双击,设置为成功和失败都审核。
检测方法
1、判定条件
审核登录事件,设置为成功和失败都审核。
2、检测操作
开始->运行->执行“控制面板->管理工具->本地安全策略->审核策略”
审核登录事件,双击,查看是否设置为成功和失败都审核。
编号:
2
要求内容
开启审核策略,以便出现安全问题后进行追查
操作指南
1、参考配置操作
对审核策略进行检查:
开始-运行-gpedit.msc
计算机配置-Windows设置-安全设置-本地策略-审核策略
以下审核是必须开启的,其他的可以根据需要增加:
•审核系统登陆事件成功,失败
•审核帐户管理成功,失败
•审核登陆事件成功,失败
•审核对象访问成功
•审核策略更改成功,失败
•审核特权使用成功,失败
•审核系统事件成功,失败
2、补充说明
可能会使日志量猛增
检测方法
1、判定条件
尝试对被添加了访问审核的对象进行访问,然后查看安全日志中是否会有相关记录,或通过其他手段激化以配置的审核策略,并观察日志中的记录情况,如果存在记录条目,则配置成功。
2、检测操作
编号:
3
要求内容
设置日志容量和覆盖规则,保证日志存储
操作指南
1、参考配置操作
开始-运行-eventvwr
右键选择日志,属性,根据实际需求设置:
日志文件大小
超过上线时的处理方式(建议日志记录天数
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Windows 安全 配置 规范
![提示](https://static.bdocx.com/images/bang_tan.gif)