MicrosoftWindows安全配置基线.docx

1、MicrosoftWindows安全配置基线Windows 系统安全配置基线中国移动通信 管理信息系统部2012年 04月版本版本控制信息更新日期更新人审批人V1.0创建2009年1月V2.0更新2012年4月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。2.第1章概述第2章2.1目的2.2本文档规定了中国移动通信管理信息系统部门所维护管理的WINDOWS 操作系统的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行WINDOWS 操作系统的安全合规性检查和配置。2.3适用围2.4本配置标准的使用者包括：服务器系统管理员、应用管

2、理员、网络安全管理员。本配置标准适用的围包括：中国移动总部和各省公司信息化部门维护管理的WINDOWS 服务器系统。2.5适用版本2.6WINDOWS系列服务器。2.7实施2.8本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准发布之日起生效。2.9例外条款2.10欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信管理信息系统部进行审批备案。第3章管理、认证授权第4章4.14.22.1.1 管理缺省安全基线项目名称操作系统缺省安全基线要求项安全基线编号SBL-Windows-02-01-01 安

3、全基线项说明 对于管理员，要求更改缺省名称；禁用guest（来宾）。检测操作步骤进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：缺省Administrator属性Guest-属性基线符合性判定依据缺省Administrator名称已更改。Guest已停用。备注2.1.2 按照用户分配*安全基线项目名称操作系统用户划分安全基线要求项安全基线编号SBL-Windows-02-01-02 安全基线项说明 按照用户分配。根据系统的要求，设定不同的和组，管理员用户，数据库用户，审计用户，来宾用户等。检测操作步骤进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：根

4、据系统的要求，设定不同的和组，管理员用户，数据库用户，审计用户，来宾用户。基线符合性判定依据结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的和组，管理员用户，数据库用户，审计用户，来宾用户。备注手工判断，需要根据实际情况判断用途2.1.3 删除与设备无关*安全基线项目名称操作系统与设备无关安全基线要求项安全基线编号SBL-Windows-02-01-03 安全基线项说明 删除或锁定与设备运行、维护等与工作无关的检测操作步骤进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：删除或锁定与设备运行、维护等与工作无关的。基线符合性判定依据结合要求和实际业务情况判断符合

5、要求，删除或锁定与设备运行、维护等与工作无关的。进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：查看是否删除或锁定与设备运行、维护等与工作无关的。备注手工判断，需要根据实际情况判断是否为无关4.3口令4.42.2.1密码复杂度安全基线项目名称操作系统密码复杂度安全基线要求项安全基线编号SBL-Windows-02-02-01安全基线项说明 最短密码长度 8个字符，启用本机组策略中密码必须符合复杂性要求的策略。即密码至少包含以下四种类别的字符中的2种： 英语大写字母 A, B, C, Z 英语小写字母 a, b, c, z 西方阿拉伯数字 0, 1, 2, 9 非字母数字字

6、符，如标点符号，, #, $, %, &, *等检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“策略-密码策略”：查看是否“密码必须符合复杂性要求”选择“已启动”基线符合性判定依据“密码最小长度” 大于等于 8“密码必须符合复杂性要求”选择“已启动”备注2.2.2密码最长留存期安全基线项目名称操作系统密码历史安全基线要求项安全基线编号SBL-Windows-02-02-02安全基线项说明 对于采用静态口令认证技术的设备，口令的生存期不长于90天。检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“策略-密码策略”：查看“密码最长存留期”基线符合性判定依据“密码最长存留期”设置不

7、大于“90天”备注2.2.3锁定策略安全基线项目名称操作系统锁定策略安全基线要求项安全基线编号SBL-Windows-02-02-03安全基线项说明 对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过10次，锁定该用户使用的。检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“策略-锁定策略”：查看“锁定阀值”设置基线符合性判定依据“锁定阀值”设置为小于或等于 10次备注4.5授权4.62.3.1远程关机安全基线项目名称操作系统远程关机策略安全基线要求项安全基线编号SBL-Windows-02-03-01安全基线项说明 在本地安全设置中从远端系统强制关机只指派给Admini

8、strators组。检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”:查看“从远端系统强制关机”设置基线符合性判定依据“从远端系统强制关机”设置为“只指派给Administrtors组”备注2.3.2本地关机安全基线项目名称操作系统本地关机策略安全基线要求项安全基线编号SBL-Windows-02-03-02安全基线项说明 在本地安全设置中关闭系统仅指派给Administrators组。检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”:查看“关闭系统”设置基线符合性判定依据“关闭系统”设置为“只指派给Administrator

9、s组”备注2.3.3用户权利指派*安全基线项目名称操作系统用户权力指派策略安全基线要求项安全基线编号SBL-Windows-02-03-03安全基线项说明 在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”：查看是否“取得文件或其它对象的所有权”设置基线符合性判定依据“取得文件或其它对象的所有权”设置为“只指派给Administrators组”备注手工检查2.3.4授权登陆*安全基线项目名称操作系统用户授权登陆安全基线要求项安全基线编号SBL-Windows-02-03-04安全基线

10、项说明 在本地安全设置中配置指定授权用户允许本地登陆此计算机。检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”“从本地登陆此计算机”设置为“指定授权用户”基线符合性判定依据“从本地登陆此计算机”设置为“指定授权用户”，进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”查看是否“从本地登陆此计算机”设置为“指定授权用户”备注手工判断是否授权2.3.5授权从网络访问*安全基线项目名称操作系统用户授权从网络访问安全基线要求项安全基线编号SBL-Windows-02-03-05安全基线项说明 在组策略中只允许授权从网络访问(包括网络共享等，但不包括

11、终端服务)此计算机。检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”“从网络访问此计算机”设置为“指定授权用户”基线符合性判定依据“从网络访问此计算机”设置为“指定授权用户”，进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”查看是否“从网络访问此计算机”设置为“指定授权用户”备注手工判断是否授权第5章日志配置操作第6章6.1日志配置6.23.1.1审核登录安全基线项目名称操作系统审核登录策略安全基线要求项安全基线编号SBL-Windows-03-01-01安全基线项说明 设备应配置日志功能，对用户登录进行记录，记录容包括用户登录使用的，登

12、录是否成功，登录时间，以及远程登录时，用户使用的IP地址。检测操作步骤开始-运行- 执行“ 控制面板-管理工具-本地安全策略-审核策略”审核登录事件。基线符合性判定依据审核登录事件，设置为成功和失败都审核。备注3.1.2审核策略更改安全基线项目名称操作系统审核策略更改安全基线要求项安全基线编号SBL-Windows-03-01-02安全基线项说明 启用组策略中对Windows系统的审核策略更改，成功和失败都要审核。检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中查看“审核策略更改”设置。基线符合性判定依据“审核策略更改”设置为“成功” 和“失败”都要审核。备注3

13、.1.3审核对象访问安全基线项目名称操作系统审核对象访问安全基线要求项安全基线编号SBL-Windows-03-01-03安全基线项说明 启用组策略中对Windows系统的审核对象访问，成功和失败都要审核。检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中：查看“审核对象访问”设置。基线符合性判定依据“审核对象访问”设置为“成功”和“失败”都要审核。备注3.1.4审核事件目录服务器访问安全基线项目名称操作系统审核事件目录服务器访问策略安全基线要求项安全基线编号SBL-Windows-03-01-04安全基线项说明 启用组策略中对Windows系统的审核目录服务访问

14、，失败。检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中：查看“审核目录服务器访问”设置。基线符合性判定依据“审核目录服务器访问”设置为“成功” 和“失败”都要审核。备注3.1.5审核特权使用安全基线项目名称操作系统审核特权使用策略安全基线要求项安全基线编号SBL-Windows-03-01-05安全基线项说明 启用组策略中对Windows系统的审核特权使用，成功和失败都要审核。检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中：查看“审核特权使用”设置。基线符合性判定依据“审核特权使用”设置为“成功” 和“失败”都要审核。备注3.

15、1.6审核系统事件安全基线项目名称操作系统审核系统事件策略安全基线要求项安全基线编号SBL-Windows-03-01-06安全基线项说明 启用组策略中对Windows系统的审核系统事件，成功和失败都要审核。检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中：查看“审核系统事件”设置。基线符合性判定依据“审核系统事件”设置为“成功” 和“失败”都要审核。备注3.1.7审核管理安全基线项目名称操作系统审核管理策略安全基线要求项安全基线编号SBL-Windows-03-01-07安全基线项说明 启用组策略中对Windows系统的审核管理，成功和失败都要审核。检测操作步

16、骤进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中：查看“审核管理” 设置。基线符合性判定依据“审核管理”设置为“成功” 和“失败”都要审核。备注3.1.8审核过程追踪安全基线项目名称操作系统审核过程追踪策略安全基线要求项安全基线编号SBL-Windows-03-01-08安全基线项说明 启用组策略中对Windows系统的审核过程追踪失败。检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中：查看“审核过程追踪”设置。基线符合性判定依据“审核过程追踪”设置为 “失败”需要审核。备注3.1.9日志文件大小安全基线项目名称操作系统日志容量安全基线要求

17、项安全基线编号SBL-Windows-03-01-09安全基线项说明 设置应用日志文件大小至少为8192KB，设置当达到最大的日志尺寸时，按需要改写事件。检测操作步骤进入“控制面板-管理工具-事件查看器”，在“事件查看器（本地）”中：查看“应用日志” “系统日志” “安全日志”属性中的日志大小 ,以及设置当达到最大的日志尺寸时的相应策略。基线符合性判定依据“应用日志” “系统日志” “安全日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”备注第7章IP协议安全配置第8章8.1IP协议8.24.1.1启用SYN攻击保护安全基线项目名称操作系统SYN

18、攻击保护安全基线要求项安全基线编号SBL-Windows-04-01-01安全基线项说明 启用SYN攻击保护；指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阀值为5；指定处于 SYN_RCVD 状态的 TCP 连接数的阈值为500；指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值为400。检测操作步骤在“开始-运行-键入regedit”查看注册表项HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSynAttackProtect; HKEY_LOCAL_MACHINESYSTEMCurrentControlS

19、etServicesTcpMaxPortsExhausted; HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpMaxHalfOpen;HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpMaxHalfOpenRetried。基线符合性判定依据HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSynAttackProtect; 推荐值：2。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTc

20、pMaxPortsExhausted; 推荐值：5。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpMaxHalfOpen; 推荐值数据：500。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpMaxHalfOpenRetried。推荐值数据：400。备注第9章设备其他配置操作第10章10.1共享文件夹及访问权限10.25.1.1关闭默认共享安全基线项目名称操作系统默认共享安全基线要求项安全基线编号SBL-Windows-05-01-01安全基线项说明 非域环境中，关闭Windows

21、硬盘默认共享，例如C$，D$。检测操作步骤进入“开始运行Regedit”，进入注册表编辑器，查看 HKLMSystemCurrentControlSetServicesLanmanServerParametersAutoShareServer；基线符合性判定依据HKLMSystemCurrentControlSetServicesLanmanServerParametersAutoShareServer 键，值为 0。备注5.1.2共享文件夹授权访问*安全基线项目名称操作系统共享文件夹安全基线要求项安全基线编号SBL-Windows-05-01-02安全基线项说明 查看每个共享文件夹的共享权限

22、，只允许授权的拥有权限共享此文件夹。检测操作步骤进入“控制面板-管理工具-计算机管理”，进入“系统工具共享文件夹”：查看每个共享文件夹的共享权限，只将权限授权于指定。基线符合性判定依据查看每个共享文件夹的共享权限仅限于业务需要，不设置成为“everyone”。进入“控制面板-管理工具-计算机管理”，进入“系统工具共享文件夹”：查看每个共享文件夹的共享权限。备注手工判断10.3防病毒管理10.45.2.1数据执行保护安全基线项目名称操作系统数据执行保护安全基线要求项安全基线编号SBL-Windows-05-02-01安全基线项说明 对于Windows XP SP2及Windows 2003对Wi

23、ndows操作系统程序和服务启用系统自带DEP功能(数据执行保护)，防止在受保护存位置运行有害代码。检测操作步骤进入“控制面板系统”，在“高级”选项卡的 “性能”下的“设置”。进入 “数据执行保护”选项卡。查看“ 仅为基本 Windows 操作系统程序和服务启用DEP”。基线符合性判定依据“数据执行保护”选项卡已设置为“ 仅为基本 Windows 操作系统程序和服务启用DEP”。备注10.5Windows服务10.65.3.1 SNMP服务管理安全基线项目名称操作系统SNMP服务管理安全基线要求项安全基线编号SBL-Windows-05-03-01安全基线项说明 如需启用SNMP服务，则修改默

24、认的SNMP Community String设置。检测操作步骤打开“控制面板”，打开“管理工具”中的“服务”，找到“SNMP Service”，单击右键打开“属性”面板中的“安全”选项卡，在这个配置界面中，查看community strings，也就是微软所说的“团体名称”。基线符合性判定依据community strings已改，不是默认的“public”。备注5.3.2系统必须服务列表管理*安全基线项目名称操作系统服务列表管理安全基线要求项安全基线编号SBL-Windows-05-03-02安全基线项说明 列出所需要服务的列表(包括所需的系统服务)，不在此列表的服务需关闭。检测操作步骤进

25、入“控制面板-管理工具-计算机管理”，进入“服务和应用程序”：查看所有服务，不在此列表的服务需关闭。基线符合性判定依据系统管理员应出具系统所必要的服务列表。查看所有服务，不在此列表的服务需关闭。备注手工判断5.3.3系统启动项列表管理*安全基线项目名称操作系统启动项列表管理安全基线要求项安全基线编号SBL-Windows-05-03-03安全基线项说明 列出系统启动时自动加载的进程和服务列表，不在此列表的需关闭。检测操作步骤“开始-运行-MSconfig”启动菜单中，取消不必要的启动项。基线符合性判定依据不需要的自动加载进程通过“开始-运行-MSconfig”启动菜单中取消。备注手工判断5.3

26、.4远程控制服务安全*安全基线项目名称操作系统远程控制服务管理安全基线要求项安全基线编号SBL-Windows-05-03-04安全基线项说明 如对互联网开放WindowsTerminial服务(Remote Desktop)，需修改默认服务端口。检测操作步骤运行 Regedt32 并转到此项: HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp 找到“PortNumber”子项，会看到默认值 00000D3D，它是 3389 的十六进制表示形式。使用十六进制数值修改此端口号，并保存

27、新值。基线符合性判定依据找到“PortNumber”子项，设定值非00000D3D，即十进制3389备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。5.3.5 IIS安全补丁管理*安全基线项目名称操作系统IIS服务管理安全基线要求项安全基线编号SBL-Windows-05-03-05安全基线项说明 如需启用IIS服务，则将IIS升级到最新补丁。检测操作步骤下载IIS补丁包IIS4.0.microsoft./Downloads/Release.asp?ReleaseID=23667IIS5.0.microsoft./Downloads/Release.asp?ReleaseID=

28、23665并安装，或升级到IIS6.0基线符合性判定依据已安装IIS 补丁包或升级到IIS6.0。备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。5.3.6活动目录时间同步管理*安全基线项目名称操作系统IIS服务管理安全基线要求项安全基线编号SBL-Windows-05-03-06安全基线项说明 通过微软Active Directory管理的终端, 或者是独立终端, 要求配置时间同步源.终端定期执行时间同步操作(必要时)检测操作步骤a.在具有PDC Emulator角色的DC上运行如下命令, 以和外部时间源同步b.w32tm /config /syncfromflags:manual /manualpeerlist:c.在PC终端上运行如下命令行同步时间：d.w32tm /config /update基线符合性判定依据检查终端主机的时间是否与标准时间同步。备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。10.7启动项10.85.4.1关闭Windows自动播放功能安全基线项目名称操作系统Windows自动播放安全基线要求项安全基线编号