系统安全配置技术规范Windows.docx

1、系统安全配置技术规范Windows系统安全配置技术规范Windows版本V0.9日期2013-06-03文档编号文档发布212211文档说明（一）变更信息版本号变更日期变更者变更理由/变更内容备注（二）文档审核人职位签名日期1. 适用范围如无特殊说明，本规范所有配置项适用于Windows操作系统 2003、2008系列版本。其中标示为“基本”字样的配置项，均为本公司对此类系统的基本安全配置要求；未标示“基本”字样的配置项，请各系统管理员视实际需求酌情遵从。2. 帐号管理与授权1 2 2.1 【基本】删除或锁定可能无用的帐户配置项描述删除或锁定无用的帐户，定期清理无用账户，防止过期用户非法登入操

2、作系统检查方法进入“控制面板-管理工具-计算机管理-系统工具-本地用户和组”：审核不必要的用户和组，审核帐户隶属的组权限，审核组用户。操作步骤根据系统的要求和实际业务情况，设定不同的帐户和帐户组，如管理员用户、数据库用户、审计用户、来宾用户等。删除或锁定与设备运行、维护等与工作无关的帐户回退操作回退到原有的配置设置操作风险需要确认帐户用途2.2 【基本】按照用户角色分配不同权限的帐号配置项描述按照用户角色分配不同权限的帐号，保证用户权限最小化检查方法进入“控制面板-管理工具-计算机管理-系统工具-本地用户和组”：审核用户和组，审核帐户隶属的组权限，审核组用户。操作步骤根据系统的要求和实际业务情

3、况，设定不同的帐户和帐户组，如管理员用户、数据库用户、审计用户、来宾用户等。回退操作回退到原有的配置设置操作风险需要确认帐户用途，确认用户所需权限2.3 【基本】口令策略设置不符合复杂度要求配置项描述口令策略设置不符合复杂度要求，口令过于简单，易被黑客破译检查方法进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”中：检查“密码必须符合复杂度要求”设置操作步骤设置“密码必须符合复杂度要求”已开启回退操作回退到原有的配置设置操作风险低风险2.4 【基本】设定不能重复使用口令配置项描述设定不能重复使用最近5次（含5次）内已使用的口令检查方法进入“控制面板-管理工具-本地安全策略”，在

4、“帐户策略-密码策略”中：检查“强制密码历史”设置操作步骤设置“强制密码历史”大于等于5回退操作回退到原有的配置设置操作风险低风险2.5 不使用系统默认用户名配置项描述administrator、guest等默认帐户使用默认用户名，当攻击者发起穷举攻击时，使用默认用户名，会大大降低攻击者的攻击难度检查方法进入“控制面板-管理工具-计算机管理-系统工具-本地用户和组”：检查administrator、guest是否存在。操作步骤administrator、guest重命名回退操作回退到原有的配置设置操作风险可能导致某些自动登录的服务异常2.6 口令生存期不得长于90天配置项描述口令生存期不得长于

5、90天，应定期更改用户口令检查方法进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”中：检查“密码最长存留期”设置操作步骤设置“密码最长存留期”小于等于90回退操作回退到原有的配置设置操作风险低风险2.7 设定连续认证失败次数配置项描述设定连续认证失败次数超过6次（不含6次）锁定该账号检查方法进入“控制面板-管理工具-本地安全策略”，在“帐户策略-帐户锁定策略”中：检查“帐户锁定阀值”设置操作步骤设置“帐户锁定阀值”小于等于6回退操作回退到原有的配置设置操作风险可能导致恶意尝试锁定帐户2.8 远端系统强制关机的权限设置配置项描述将从远端系统强制关机仅指派给Administrat

6、ors组，避免普通用户拥有额外的系统控制权限检查方法进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”中：检查“从远端系统强制关机”设置操作步骤设置“从远端系统强制关机”删除除Administrators以外其他项回退操作回退到原有的配置设置操作风险可能导致某些系统功能异常或应用非正常运行2.9 关闭系统的权限设置配置项描述将关闭系统仅指派给Administrators组，避免普通用户拥有额外的系统控制权限检查方法进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”中：检查“关闭系统”设置操作步骤设置“关闭系统”删除除Administrators以外其他项

7、回退操作回退到原有的配置设置操作风险可能导致某些系统功能异常或应用非正常运行2.10 取得文件或其它对象的所有权设置配置项描述将取得文件或其它对象的所有权设置仅指派给Administrators组，避免普通用户拥有额外的系统控制权限检查方法进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”中：检查“取得文件或其它对象的所有权”设置操作步骤设置“取得文件或其它对象的所有权”删除除Administrators以外其他项回 退回退到原有的配置设置操作风险可能导致某些系统功能异常或应用非正常运行2.11 将从本地登录设置为指定授权用户配置项描述将从本地登录设置为指定授权用户，将登陆

8、权限赋予指定用户检查方法进入“控制面板-管理工具-本地安全策略”，在“本地安全策略-用户权利指派”中：检查“允许在本地登录”设置操作步骤设置“允许在本地登录”只保留授权用户，删除其他项回退操作回退到原有的配置设置操作风险可能导致某些系统功能异常或应用非正常运行2.12 将从网络访问设置为指定授权用户配置项描述将从网络访问设置为指定授权用户检查方法进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”中：检查“从网络访问”设置操作步骤设置“从网络访问”只保留授权用户，删除其他项回退操作回退到原有的配置设置操作风险可能导致某些系统功能异常或应用非正常运行3. 日志配置要求3 3.1

9、 【基本】审核策略设置中成功失败都要审核配置项描述记录系统的所有审核信息，审核策略设置中成功失败都要审核检查方法进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中：查看是否符合操作中提到的各标准操作步骤将不符合评估内容项进行加固，安全标准设置如下：审核策略更改：成功和失败审核登录事件：成功和失败审核系统事件：成功和失败审核帐户登录事件：成功和失败审核帐户管理：成功和失败审核对象访问：成功和失败审核特权使用：成功和失败审核目录服务访问：成功和失败审核过程跟踪：失败其他设置无要求。回退操作回退到原有的配置设置操作风险开启无用的审核可能降低系统性能并占用一定磁盘空间3.2 【基本】

10、设置日志查看器大小配置项描述将应用、系统、安全日志查看器大小设置为至少8192KB检查方法进入“控制面板-管理工具-事件查看器”，在“事件查看器（本地）”中：（在应用程序日志、安全日志和系统日志上点右键，看属性中的日志大小上限设置，单位为KB。）查看是否符合操作中提到的各标准操作步骤将不符合评估内容项进行加固，应用日志的容量为8192KB，安全日志的容量为8192KB，系统日志的容量为8192KB，设置当达到最大的日志大小时，“按需要覆盖事件”。并且用户有流程定期转存日志回退操作回退到原有的配置设置操作风险低风险4. IP协议安全要求4 4.1 开启TCP/IP筛选配置项描述对于不自带wind

11、ows防火墙的系统，需开启TCP/IP筛选，切只能开放业务所需要的TCP、UDP端口和IP协议检查方法先请系统管理员出示业务所需端口列表。进入“控制面板网络连接本地连接Internet协议（TCP/IP）属性高级TCP/IP设置”，在“选项”的属性中启用网络连接上的TCP/IP筛选，根据列表查看是否只开放业务所需要的TCP、UDP端口和IP协议。操作步骤注意异常端口，与管理员追查异常端口相关项。对没有自带防火墙的Windows系统，启用Windows系统的IP安全机制(IPSec)或网络连接上的TCP/IP筛选，只开放业务所需要的TCP、UDP端口和IP协议。回退操作回退到原有的配置设置操作风

12、险必须正确设置网络访问控制策略，否则可能导致某些应用无法正常访问网络4.2 启用防火墙配置项描述启用Windows自带防火墙，且根据业务需要限定允许访问网络的应用程序，和允许远程登陆该设备的IP地址范围检查方法进入“控制面板网络连接本地连接”，在高级选项的设置中，查看是否启用Windows防火墙。查看是否在“例外”中配置允许业务所需的程序接入网络。查看是否在“例外-编辑-更改范围”编辑允许接入的网络地址范围。操作步骤将不符合评估内容项进行加固，启用Windows自带防火墙。根据业务需要限定允许访问网络的应用程序，和允许远程登陆该设备的IP地址范围。回退操作回退到原有的配置设置操作风险必须正确设

13、置网络访问控制策略，否则可能导致某些应用无法正常访问网络4.3 启用SYN攻击保护配置项描述启用SYN攻击保护，当攻击者发起SYN攻击时，避免CPU和内存资源被过度消耗检查方法在“开始-运行-键入regedit”。启用 SYN 攻击保护的命名值位于注册表项 HKEY_LOCAL_MACHINE SYSTEMCurrentControlSetServices 之下：值名称：SynAttackProtectWindows2000推荐值：2Windows2003推荐值：1以下部分中的所有项和值均位于注册表项 HKEY_LOCAL_MACHINE SYSTEMCurrentControlSetServ

14、ices 之下：指定必须在触发 SYN flood 保护之前超过的 TCP 连接请求阈值：值名称：TcpMaxPortsExhausted推荐值：5启用 SynAttackProtect 后，该值指定 SYN_RCVD 状态中的 TCP 连接阈值，超过 SynAttackProtect 时，触发 SYN flood 保护：值名称：TcpMaxHalfOpen推荐值数据：500启用 SynAttackProtect 后，指定至少发送了一次重传的 SYN_RCVD 状态中的 TCP 连接阈值，超过 SynAttackProtect 时，触发 SYN flood 保护：值名称：TcpMaxHalfO

15、penRetried推荐值数据：400操作步骤1、备份注册表原有的配置设置2、将不符合评估内容项进行加固，启用SYN攻击保护：指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阀值为5；指定处于 SYN_RCVD 状态的 TCP 连接数的阈值为500；指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值为400。回退操作回退到原有的配置设置操作风险必须正确设置网络访问控制策略，否则可能导致某些应用无法正常访问网络5. 服务配置要求5 5.1 【基本】启用NTP服务配置项描述启用NTP服务，配置统一服务器时钟，应开启NTP服务向网络内指定的NTP server同步时

16、钟。检查方法对于已加入域的服务器，系统将自动与域控服务器同步时钟；对于未加入域的服务器，需按以下步骤配置。操作步骤点击桌面右下角时钟栏，开启“更改日期和时钟设置”-“internet时间”开启“自动与internet时间服务器同步”选型，在服务器栏中填写NTP server的IP地址，然后点击“立即更新”回退操作恢复系统原有NTP配置操作风险需要时间源，中风险，系统时间更改5.2 【基本】关闭不必要的服务配置项描述列出所需要服务的列表(包括所需的系统服务)，不在此列表的服务需关闭检查方法进入“控制面板-管理工具-计算机管理”，进入“服务和应用程序”：查看所有服务，不在此列表的服务需关闭。操作步

17、骤关闭不需要的服务回退操作回退到原有的配置设置操作风险关闭或停止某些服务可能导致应用运行异常5.3 【基本】关闭不必要的启动项配置项描述关闭不必要的启动项，优化系统资源，同时减少引入 不必要的系统漏洞检查方法“开始-运行-MSconfig”启动菜单中检查启动项操作步骤关闭不必要的启动项回退操作回退到原有的配置设置操作风险需要确认启动项是否必须5.4 【基本】关闭自动播放功能配置项描述关闭自动播放功能，避免执行未经扫描或确认的文件，从而引入木马或病毒检查方法点击开始运行输入gpedit.msc，打开组策略编辑器，计算机配置管理模板系统，在右边窗格中双击“关闭自动播放”，检查 “关闭自动播放”项设

18、置操作步骤在“关闭自动播放”对话框中，选择“已启用”，并选择“所有驱动器”，确定即可回退操作回退到原有的配置设置操作风险低风险5.5 【基本】审核HOST文件的可疑条目配置项描述删除HOST文件下的可疑条目检查方法查看是否符合操作中提到的标准，检查C:windowssystem32driversetc目录下的用于静态DNS解析的HOSTS文件内容是否正常操作步骤1、备份HOSTS文件2、将不符合评估内容项进行加固，确保C:windowssystem32driversetc目录下的用于静态DNS解析的HOSTS文件内容正常，对于未知条目可以与管理员追查回退操作将备份的HOSTS文件替换更改的文件

19、操作风险与系统管理员确认后可执行加固5.6 【基本】存在未知或无用的应用程序配置项描述存在未知或无用的应用程序，应定期清理应用程序列表中无用或未知的程序，防止系统被植入木马或病毒检查方法检查“添加或删除程序”面板中的列表操作步骤备份需要协助的应用程序的配置文件不要安装不必要的应用程序，向管理员确认可卸载的应用软件项回 退重新安装卸载的应用重新，恢复配置文件操作风险需要确认应用是否必须，可能需要重启系统5.7 【基本】关闭默认共享配置项描述关闭默认共享，未经确认的共享操作，尤其是对everyone的共享，会对信息安全造成严重威胁检查方法net share或计算机管理-共享操作步骤关闭Window

20、s硬盘默认共享，例如ADMIN$，C$，D$。进入“开始运行Regedit”，进入注册表编辑器，更改注册表键值：在HKLMSystemCurrentControlSetServicesLanmanServerParameters下，增加REG_DWORD类型的AutoShareServer 键，值为0。回退操作回退到原有的配置设置操作风险可能导致某些必须使用共享的应用非正常运行5.8 【基本】非everyone的授权共享配置项描述共享文件夹中，设置只允许授权的账户拥有权限共享此文件夹检查方法检查共享文件夹中的授权用户操作步骤设置共享文件夹中的授权用户为指定用户，而非everyone回退操作回退

21、到原有的配置设置操作风险须经测试，可能导致某些使用共享的应用异常5.9 【基本】SNMP Community String设置配置项描述如需启用SNMP服务，修改默认的SNMP Community String设置检查方法进入“控制面板-管理工具-计算机管理”，进入“服务和应用程序”：检查“SNMP Service”， “属性”面板中的“安全”选项卡的community strings设置操作步骤community strings改为其他，不是默认的“public”回退操作回退到原有的配置设置操作风险可能导致服务不正常5.10 【基本】删除可匿名访问共享配置项描述删除可匿名访问共享，共享文件应

22、明确共享对象，且不允许匿名访问检查方法进入“控制面板-管理工具-本地安全策略”，在“本地策略-安全选项”中：检查“网络访问: 可匿名访问的共享”设置操作步骤删除“网络访问: 可匿名访问的共享”中的所有项回退操作回退到原有的配置设置操作风险可能导致某些系统功能异常或应用非正常运行5.11 关闭远程注册表配置项描述关闭远程注册表，防止用户远程修改或查看系统注册表检查方法进入“控制面板-管理工具-计算机管理”，进入“服务和应用程序”：检查“Remote Registry”操作步骤设置“Remote Registry”已停用回退操作回退到原有的配置设置操作风险某些应用可能需要此功能5.12 对于远程登

23、陆的帐号，设置不活动断开时间为1小时配置项描述对于远程登陆的帐号，设置不活动断开时间为1小时，长时间空闲账户将自动退出检查方法进入“控制面板-管理工具-本地安全策略”，在“本地策略-安全选项”中：检查“Microsoft 网络服务器：在挂起会话前所需的空闲时间”设置操作步骤设置“Microsoft 网络服务器：在挂起会话前所需的空闲时间”小于等于1小时回退操作回退到原有的配置设置操作风险可能导致某些应用运行异常5.13 IIS服务补丁更新配置项描述如需启用IIS服务，IIS服务补丁需及时更新检查方法检查IIS版本操作步骤安装IIS 补丁包或升级到IIS6.0回退操作卸载IIS 补丁包操作风险可

24、能导致服务不正常6. 其它配置要求6 6.1 【基本】安装防病毒软件配置项描述安装防病毒软件和防病毒软件并及时升级检查方法检查杀毒软件的安装和升级情况操作步骤安装杀毒软件并升级到最新版本回退操作卸载杀毒软件或回退到以前版本操作风险需要重启并可能误删正常的系统或应用文件6.2 【基本】配置WSUS补丁更新服务器配置项描述指定系统获取补丁的位置，将更新源指向WSUS服务器检查方法1.执行regedit调出注册表编辑器2.查看参数HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateWUServer和WUStatusServer

25、，确认其是否为10.23.134.8操作步骤管理员使用域账号登录10.23.134.8wsus-reg，下载WSUS配置程序，配置程序包括：办公服务器组：对应注册表文件为serverbg.reg业务服务器组：对应注册表文件为serveryw.reg用户根据业务需要选择下载相应的配置程序，执行完*.reg文件后，重启automatic update服务，并在命令行下执行wuauclt /detectnow，开启客户端主动触发更新机制。回退操作修改注册表配置，恢复更新服务器指向操作风险需要重启且未经测试的补丁可能导致应用运行异常6.3 【基本】Service Pack补丁更新配置项描述Servic

26、e Pack补丁未及时更新，将为攻击者提供入侵漏洞检查方法检查Service Pack补丁版本操作步骤安装最新Service Pack补丁包回退操作卸载Service Pack补丁包操作风险需要重启且未经测试的补丁可能导致应用运行异常6.4 【基本】Hotfix补丁更新配置项描述Hotfix补丁更新，将为攻击者提供入侵漏洞检查方法检查Hotfix补丁版本操作步骤安装最新Hotfix补丁包回退操作卸载Hotfix补丁包操作风险需要重启且未经测试的补丁可能导致应用运行异常6.5 设置带密码的屏幕保护配置项描述设置带密码的屏幕保护，并将时间设定为5分钟，防止合法用户未及时退出登录，造成数据泄露检查方法进入“控制面板显示屏幕保护程序”：查看是否符合操作中提到的标准操作步骤将不符合评估内容项进行加固，查看是否启用屏幕保护程序，设置等待时间为“5分钟”，启用“在恢复时使用密码保护”。回退操作回退到原有的配置设置操作风险低风险6.6 交互式登录不显示上次登录用户名配置项描述交互式登录未设置不显示上次登录的用户名，攻击者可以此获取系统用户信息，降低攻击难度检查方法进入“控制面板-管理工具-本地安全策略”，在“本地策略-安全选项”中：检查“交互式登录: 不显示上次的用户名”设置操作步骤设置“交互式登录: 不显示上次的用户名”为已开启回退操作回退到原有的配置设置操作风险低风险