1、MicrosoftWindows安全配置基线Windows 系统安全配置基线中国移动通信有限公司 管理信息系统部2009年 01月版本版本控制信息更新日期更新人审批人V1.0创建2009年1月备注:1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。第1章概述1.1目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的WINDOWS 操作系统的主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进行WINDOWS 操作系统的安全合规性检查和配置。1.2适用范围本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。本配置标
2、准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的WINDOWS 服务器系统。1.3适用版本WINDOWS系列服务器;1.4实施本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。本标准发布之日起生效。1.5例外条款欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。第2章账号管理、认证授权2.1账号2.1.1管理缺省账户安全基线项目名称操作系统缺省账户安全基线要求项安全基线编号SBL-Windows-02-01-01 安全基线项说明 对于管理员帐号,要求更改
3、缺省帐户名称;禁用guest(来宾)帐号。检测操作步骤进入“控制面板-管理工具-计算机管理”,在“系统工具-本地用户和组”:缺省帐户Administrator属性Guest帐号-属性基线符合性判定依据缺省账户Administrator名称已更改。Guest帐号已停用。备注2.2口令2.2.1密码复杂度安全基线项目名称操作系统密码复杂度安全基线要求项安全基线编号SBL-Windows-02-02-01安全基线项说明 最短密码长度 6个字符,启用本机组策略中密码必须符合复杂性要求的策略。即密码至少包含以下四种类别的字符中的三种:l 英语大写字母 A, B, C, Z l 英语小写字母 a, b,
4、c, z l 西方阿拉伯数字 0, 1, 2, 9 非字母数字字符,如标点符号,, #, $, %, &, *等检测操作步骤进入“控制面板-管理工具-本地安全策略”,在“帐户策略-密码策略”:查看是否“密码必须符合复杂性要求”选择“已启动”基线符合性判定依据“密码必须符合复杂性要求”选择“已启动”备注2.2.2密码历史安全基线项目名称操作系统密码历史安全基线要求项安全基线编号SBL-Windows-02-02-02安全基线项说明 对于采用静态口令认证技术的设备,账户口令的生存期不长于90天。检测操作步骤进入“控制面板-管理工具-本地安全策略”,在“帐户策略-密码策略”:查看“密码最长存留期”基
5、线符合性判定依据“密码最长存留期”设置不大于“90天”备注2.2.3帐户锁定策略安全基线项目名称操作系统账户锁定策略安全基线要求项安全基线编号SBL-Windows-02-02-03安全基线项说明 对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。检测操作步骤进入“控制面板-管理工具-本地安全策略”,在“帐户策略-帐户锁定策略”:查看“账户锁定阀值”设置基线符合性判定依据“账户锁定阀值”设置为小于或等于 6次备注2.3授权2.3.1远程关机安全基线项目名称操作系统远程关机策略安全基线要求项安全基线编号SBL-Windows-02-03-01
6、安全基线项说明 在本地安全设置中从远端系统强制关机只指派给Administrators组。检测操作步骤进入“控制面板-管理工具-本地安全策略”,在“本地策略-用户权利指派”:查看“从远端系统强制关机”设置基线符合性判定依据“从远端系统强制关机”设置为“只指派给Administrtors组”备注2.3.2本地关机安全基线项目名称操作系统本地关机策略安全基线要求项安全基线编号SBL-Windows-02-03-02安全基线项说明 在本地安全设置中关闭系统仅指派给Administrators组。检测操作步骤进入“控制面板-管理工具-本地安全策略”,在“本地策略-用户权利指派”:查看“关闭系统”设置基
7、线符合性判定依据“关闭系统”设置为“只指派给Administrators组”备注2.3.3用户权利指派安全基线项目名称操作系统用户权力指派策略安全基线要求项安全基线编号SBL-Windows-02-03-03安全基线项说明 在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。检测操作步骤进入“控制面板-管理工具-本地安全策略”,在“本地策略-用户权利指派”:查看是否“取得文件或其它对象的所有权”设置基线符合性判定依据“取得文件或其它对象的所有权”设置为“只指派给Administrators组”备注第3章日志配置操作3.1日志配置3.1.1审核登录安全基线项目名称操作
8、系统审核登录策略安全基线要求项安全基线编号SBL-Windows-03-01-01安全基线项说明 设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。检测操作步骤开始-运行- 执行“ 控制面板-管理工具-本地安全策略-审核策略”审核登录事件。基线符合性判定依据审核登录事件,设置为成功和失败都审核。备注3.1.2审核策略更改安全基线项目名称操作系统审核策略更改安全基线要求项安全基线编号SBL-Windows-03-01-02安全基线项说明 启用组策略中对Windows系统的审核策略更改,成功和失败都要审核。检测操作步
9、骤进入“控制面板-管理工具-本地安全策略”,在“本地策略-审核策略”中查看“审核策略更改”设置。基线符合性判定依据“审核策略更改”设置为“成功” 和“失败”都要审核。备注3.1.3审核对象访问安全基线项目名称操作系统审核对象访问安全基线要求项安全基线编号SBL-Windows-03-01-03安全基线项说明 启用组策略中对Windows系统的审核对象访问,成功和失败都要审核。检测操作步骤进入“控制面板-管理工具-本地安全策略”,在“本地策略-审核策略”中:查看“审核对象访问”设置。基线符合性判定依据“审核对象访问”设置为“成功”和“失败”都要审核。备注3.1.4审核事件目录服务器访问安全基线项
10、目名称操作系统审核事件目录服务器访问策略安全基线要求项安全基线编号SBL-Windows-03-01-04安全基线项说明 启用组策略中对Windows系统的审核目录服务访问,失败。检测操作步骤进入“控制面板-管理工具-本地安全策略”,在“本地策略-审核策略”中:查看“审核目录服务器访问”设置。基线符合性判定依据“审核目录服务器访问”设置为“成功” 和“失败”都要审核。备注3.1.5审核特权使用安全基线项目名称操作系统审核特权使用策略安全基线要求项安全基线编号SBL-Windows-03-01-05安全基线项说明 启用组策略中对Windows系统的审核特权使用,成功和失败都要审核。检测操作步骤进
11、入“控制面板-管理工具-本地安全策略”,在“本地策略-审核策略”中:查看“审核特权使用”设置。基线符合性判定依据“审核特权使用”设置为“成功” 和“失败”都要审核。备注3.1.6审核系统事件安全基线项目名称操作系统审核系统事件策略安全基线要求项安全基线编号SBL-Windows-03-01-06安全基线项说明 启用组策略中对Windows系统的审核系统事件,成功和失败都要审核。检测操作步骤进入“控制面板-管理工具-本地安全策略”,在“本地策略-审核策略”中:查看“审核系统事件”设置。基线符合性判定依据“审核系统事件”设置为“成功” 和“失败”都要审核。备注3.1.7审核账户管理安全基线项目名称
12、操作系统审核账户管理策略安全基线要求项安全基线编号SBL-Windows-03-01-07安全基线项说明 启用组策略中对Windows系统的审核帐户管理,成功和失败都要审核。检测操作步骤进入“控制面板-管理工具-本地安全策略”,在“本地策略-审核策略”中:查看“审核账户管理” 设置。基线符合性判定依据“审核账户管理”设置为“成功” 和“失败”都要审核。备注3.1.8审核过程追踪安全基线项目名称操作系统审核过程追踪策略安全基线要求项安全基线编号SBL-Windows-03-01-08安全基线项说明 启用组策略中对Windows系统的审核过程追踪失败。检测操作步骤进入“控制面板-管理工具-本地安全
13、策略”,在“本地策略-审核策略”中:查看“审核过程追踪”设置。基线符合性判定依据“审核过程追踪”设置为 “失败”需要审核。备注3.1.9日志文件大小安全基线项目名称操作系统日志容量安全基线要求项安全基线编号SBL-Windows-03-01-09安全基线项说明 设置应用日志文件大小至少为8192KB,设置当达到最大的日志尺寸时,按需要改写事件。检测操作步骤进入“控制面板-管理工具-事件查看器”,在“事件查看器(本地)”中:查看“应用日志” “系统日志” “安全日志”属性中的日志大小 ,以及设置当达到最大的日志尺寸时的相应策略。基线符合性判定依据“应用日志” “系统日志” “安全日志”属性中的日
14、志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时,“按需要改写事件”备注第4章IP协议安全配置4.1IP协议4.1.1启用SYN攻击保护安全基线项目名称操作系统SYN攻击保护安全基线要求项安全基线编号SBL-Windows-04-01-01安全基线项说明 启用SYN攻击保护;指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阀值为5;指定处于 SYN_RCVD 状态的 TCP 连接数的阈值为500;指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值为400。检测操作步骤在“开始-运行-键入regedit”查看注册表项HKEY_LOCAL_MACHI
15、NESYSTEMCurrentControlSetServicesSynAttackProtect; HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpMaxPortsExhausted; HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpMaxHalfOpen;HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpMaxHalfOpenRetried。基线符合性判定依据HKEY_LOCAL_MACHINESYSTEMCurrentCon
16、trolSetServicesSynAttackProtect; 推荐值:2。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpMaxPortsExhausted; 推荐值:5。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpMaxHalfOpen; 推荐值数据:500。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpMaxHalfOpenRetried。推荐值数据:400。备注第5章设备其他配置操作5.1共享文件夹及访问权限5.
17、1.1关闭默认共享安全基线项目名称操作系统默认共享安全基线要求项安全基线编号SBL-Windows-05-01-01安全基线项说明 非域环境中,关闭Windows硬盘默认共享,例如C$,D$。检测操作步骤进入“开始运行Regedit”,进入注册表编辑器,查看 HKLMSystemCurrentControlSetServicesLanmanServerParametersAutoShareServer;基线符合性判定依据HKLMSystemCurrentControlSetServicesLanmanServerParametersAutoShareServer 键,值为 0。备注5.2防病毒
18、管理5.2.1数据执行保护安全基线项目名称操作系统数据执行保护安全基线要求项安全基线编号SBL-Windows-05-02-01安全基线项说明 对于Windows XP SP2及Windows 2003对Windows操作系统程序和服务启用系统自带DEP功能(数据执行保护),防止在受保护内存位置运行有害代码。检测操作步骤进入“控制面板系统”,在“高级”选项卡的 “性能”下的“设置”。进入 “数据执行保护”选项卡。查看“ 仅为基本 Windows 操作系统程序和服务启用DEP”。基线符合性判定依据“数据执行保护”选项卡已设置为“ 仅为基本 Windows 操作系统程序和服务启用DEP”。备注5.
19、3Windows服务5.3.1 SNMP服务管理安全基线项目名称操作系统SNMP服务管理安全基线要求项安全基线编号SBL-Windows-05-03-01安全基线项说明 如需启用SNMP服务,则修改默认的SNMP Community String设置。检测操作步骤打开“控制面板”,打开“管理工具”中的“服务”,找到“SNMP Service”,单击右键打开“属性”面板中的“安全”选项卡,在这个配置界面中,查看community strings,也就是微软所说的“团体名称”。基线符合性判定依据community strings已改,不是默认的“public”。备注5.4启动项5.4.1关闭Windows自动播放功能安全基线项目名称操作系统Windows自动播放安全基线要求项安全基线编号SBL-Windows-05-04-01安全基线项说明 关闭Windows自动播放功能。检测操作步骤打开“开始运行”,在对话框中输入“gpedit.msc”命令,在出现“组策略”窗口中依次选择“在计算机配置管理模板系统”,双击“关闭自动播放”查看。基线符合性判定依据在“设置”选项卡中选“已启用”选项。备注第6章评审与修订本标准由中国移动通信有限公司管理信息系统部定期进行审查,根据审视结果修订标准,并颁发执行。