系统安全配置技术规范Windows.docx
《系统安全配置技术规范Windows.docx》由会员分享,可在线阅读,更多相关《系统安全配置技术规范Windows.docx(20页珍藏版)》请在冰点文库上搜索。
系统安全配置技术规范Windows
系统安全配置技术规范—Windows
版本
V0.9
日期
2013-06-03
文档编号
文档发布
212211文档说明
(一)变更信息
版本号
变更日期
变更者
变更理由/变更内容
备注
(二)文档审核人
职位
签名
日期
1.适用范围
如无特殊说明,本规范所有配置项适用于Windows操作系统2003、2008系列版本。
其中标示为“基本”字样的配置项,均为本公司对此类系统的基本安全配置要求;未标示“基本”字样的配置项,请各系统管理员视实际需求酌情遵从。
2.帐号管理与授权
1
2
2.1【基本】删除或锁定可能无用的帐户
配置项描述
删除或锁定无用的帐户,定期清理无用账户,防止过期用户非法登入操作系统
检查方法
进入“控制面板->管理工具->计算机管理->系统工具->本地用户和组”:
审核不必要的用户和组,审核帐户隶属的组权限,审核组用户。
操作步骤
根据系统的要求和实际业务情况,设定不同的帐户和帐户组,如管理员用户、数据库用户、审计用户、来宾用户等。
删除或锁定与设备运行、维护等与工作无关的帐户
回退操作
回退到原有的配置设置
操作风险
需要确认帐户用途
2.2【基本】按照用户角色分配不同权限的帐号
配置项描述
按照用户角色分配不同权限的帐号,保证用户权限最小化
检查方法
进入“控制面板->管理工具->计算机管理->系统工具->本地用户和组”:
审核用户和组,审核帐户隶属的组权限,审核组用户。
操作步骤
根据系统的要求和实际业务情况,设定不同的帐户和帐户组,如管理员用户、数据库用户、审计用户、来宾用户等。
回退操作
回退到原有的配置设置
操作风险
需要确认帐户用途,确认用户所需权限
2.3【基本】口令策略设置不符合复杂度要求
配置项描述
口令策略设置不符合复杂度要求,口令过于简单,易被黑客破译
检查方法
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”中:
检查“密码必须符合复杂度要求”设置
操作步骤
设置“密码必须符合复杂度要求”已开启
回退操作
回退到原有的配置设置
操作风险
低风险
2.4【基本】设定不能重复使用口令
配置项描述
设定不能重复使用最近5次(含5次)内已使用的口令
检查方法
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”中:
检查“强制密码历史”设置
操作步骤
设置“强制密码历史”大于等于5
回退操作
回退到原有的配置设置
操作风险
低风险
2.5不使用系统默认用户名
配置项描述
administrator、guest等默认帐户使用默认用户名,当攻击者发起穷举攻击时,使用默认用户名,会大大降低攻击者的攻击难度
检查方法
进入“控制面板->管理工具->计算机管理->系统工具->本地用户和组”:
检查administrator、guest是否存在。
操作步骤
administrator、guest重命名
回退操作
回退到原有的配置设置
操作风险
可能导致某些自动登录的服务异常
2.6口令生存期不得长于90天
配置项描述
口令生存期不得长于90天,应定期更改用户口令
检查方法
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”中:
检查“密码最长存留期”设置
操作步骤
设置“密码最长存留期”小于等于90
回退操作
回退到原有的配置设置
操作风险
低风险
2.7设定连续认证失败次数
配置项描述
设定连续认证失败次数超过6次(不含6次)锁定该账号
检查方法
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->帐户锁定策略”中:
检查“帐户锁定阀值”设置
操作步骤
设置“帐户锁定阀值”小于等于6
回退操作
回退到原有的配置设置
操作风险
可能导致恶意尝试锁定帐户
2.8远端系统强制关机的权限设置
配置项描述
将从远端系统强制关机仅指派给Administrators组,避免普通用户拥有额外的系统控制权限
检查方法
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”中:
检查“从远端系统强制关机”设置
操作步骤
设置“从远端系统强制关机”删除除Administrators以外其他项
回退操作
回退到原有的配置设置
操作风险
可能导致某些系统功能异常或应用非正常运行
2.9关闭系统的权限设置
配置项描述
将关闭系统仅指派给Administrators组,避免普通用户拥有额外的系统控制权限
检查方法
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”中:
检查“关闭系统”设置
操作步骤
设置“关闭系统”删除除Administrators以外其他项
回退操作
回退到原有的配置设置
操作风险
可能导致某些系统功能异常或应用非正常运行
2.10取得文件或其它对象的所有权设置
配置项描述
将取得文件或其它对象的所有权设置仅指派给Administrators组,避免普通用户拥有额外的系统控制权限
检查方法
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”中:
检查“取得文件或其它对象的所有权”设置
操作步骤
设置“取得文件或其它对象的所有权”删除除Administrators以外其他项
回退
回退到原有的配置设置
操作风险
可能导致某些系统功能异常或应用非正常运行
2.11将从本地登录设置为指定授权用户
配置项描述
将从本地登录设置为指定授权用户,将登陆权限赋予指定用户
检查方法
进入“控制面板->管理工具->本地安全策略”,在“本地安全策略->用户权利指派”中:
检查“允许在本地登录”设置
操作步骤
设置“允许在本地登录”只保留授权用户,删除其他项
回退操作
回退到原有的配置设置
操作风险
可能导致某些系统功能异常或应用非正常运行
2.12将从网络访问设置为指定授权用户
配置项描述
将从网络访问设置为指定授权用户
检查方法
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”中:
检查“从网络访问”设置
操作步骤
设置“从网络访问”只保留授权用户,删除其他项
回退操作
回退到原有的配置设置
操作风险
可能导致某些系统功能异常或应用非正常运行
3.日志配置要求
3
3.1【基本】审核策略设置中成功失败都要审核
配置项描述
记录系统的所有审核信息,审核策略设置中成功失败都要审核
检查方法
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
查看是否符合操作中提到的各标准
操作步骤
将不符合评估内容项进行加固,安全标准设置如下:
审核策略更改:
成功和失败
审核登录事件:
成功和失败
审核系统事件:
成功和失败
审核帐户登录事件:
成功和失败
审核帐户管理:
成功和失败
审核对象访问:
成功和失败
审核特权使用:
成功和失败
审核目录服务访问:
成功和失败
审核过程跟踪:
失败
其他设置无要求。
回退操作
回退到原有的配置设置
操作风险
开启无用的审核可能降低系统性能并占用一定磁盘空间
3.2【基本】设置日志查看器大小
配置项描述
将应用、系统、安全日志查看器大小设置为至少8192KB
检查方法
进入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中:
(在应用程序日志、安全日志和系统日志上点右键,看属性中的日志大小上限设置,单位为KB。
)
查看是否符合操作中提到的各标准
操作步骤
将不符合评估内容项进行加固,应用日志的容量为8192KB,安全日志的容量为8192KB,系统日志的容量为8192KB,设置当达到最大的日志大小时,“按需要覆盖事件”。
并且用户有流程定期转存日志
回退操作
回退到原有的配置设置
操作风险
低风险
4.IP协议安全要求
4
4.1开启TCP/IP筛选
配置项描述
对于不自带windows防火墙的系统,需开启TCP/IP筛选,切只能开放业务所需要的TCP、UDP端口和IP协议
检查方法
先请系统管理员出示业务所需端口列表。
进入“控制面板->网络连接->本地连接->Internet协议(TCP/IP)属性->高级TCP/IP设置”,在“选项”的属性中启用网络连接上的TCP/IP筛选,根据列表查看是否只开放业务所需要的TCP、UDP端口和IP协议。
操作步骤
注意异常端口,与管理员追查异常端口相关项。
对没有自带防火墙的Windows系统,启用Windows系统的IP安全机制(IPSec)或网络连接上的TCP/IP筛选,只开放业务所需要的TCP、UDP端口和IP协议。
回退操作
回退到原有的配置设置
操作风险
必须正确设置网络访问控制策略,否则可能导致某些应用无法正常访问网络
4.2启用防火墙
配置项描述
启用Windows自带防火墙,且根据业务需要限定允许访问网络的应用程序,和允许远程登陆该设备的IP地址范围
检查方法
进入“控制面板->网络连接->本地连接”,在高级选项的设置中,查看是否启用Windows防火墙。
查看是否在“例外”中配置允许业务所需的程序接入网络。
查看是否在“例外->编辑->更改范围”编辑允许接入的网络地址范围。
操作步骤
将不符合评估内容项进行加固,启用Windows自带防火墙。
根据业务需要限定允许访问网络的应用程序,和允许远程登陆该设备的IP地址范围。
回退操作
回退到原有的配置设置
操作风险
必须正确设置网络访问控制策略,否则可能导致某些应用无法正常访问网络
4.3启用SYN攻击保护
配置项描述
启用SYN攻击保护,当攻击者发起SYN攻击时,避免CPU和内存资源被过度消耗
检查方法
在“开始->运行->键入regedit”。
启用SYN攻击保护的命名值位于注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services之下:
值名称:
SynAttackProtect
Windows2000推荐值:
2
Windows2003推荐值:
1
以下部分中的所有项和值均位于注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services之下:
指定必须在触发SYNflood保护之前超过的TCP连接请求阈值:
值名称:
TcpMaxPortsExhausted
推荐值:
5
启用SynAttackProtect后,该值指定SYN_RCVD状态中的TCP连接阈值,超过SynAttackProtect时,触发SYNflood保护:
值名称:
TcpMaxHalfOpen
推荐值数据:
500
启用SynAttackProtect后,指定至少发送了一次重传的SYN_RCVD状态中的TCP连接阈值,超过SynAttackProtect时,触发SYNflood保护:
值名称:
TcpMaxHalfOpenRetried
推荐值数据:
400
操作步骤
1、备份注册表原有的配置设置
2、将不符合评估内容项进行加固,启用SYN攻击保护:
指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阀值为5;
指定处于SYN_RCVD状态的TCP连接数的阈值为500;
指定处于至少已发送一次重传的SYN_RCVD状态中的TCP连接数的阈值为400。
回退操作
回退到原有的配置设置
操作风险
必须正确设置网络访问控制策略,否则可能导致某些应用无法正常访问网络
5.服务配置要求
5
5.1【基本】启用NTP服务
配置项描述
启用NTP服务,配置统一服务器时钟,应开启NTP服务向网络内指定的NTPserver同步时钟。
检查方法
对于已加入域的服务器,系统将自动与域控服务器同步时钟;
对于未加入域的服务器,需按以下步骤配置。
操作步骤
点击桌面右下角时钟栏,开启“更改日期和时钟设置”-“internet时间”
开启“自动与internet时间服务器同步”选型,在服务器栏中填写NTPserver的IP地址,然后点击“立即更新”
回退操作
恢复系统原有NTP配置
操作风险
需要时间源,中风险,系统时间更改
5.2【基本】关闭不必要的服务
配置项描述
列出所需要服务的列表(包括所需的系统服务),不在此列表的服务需关闭
检查方法
进入“控制面板->管理工具->计算机管理”,进入“服务和应用程序”:
查看所有服务,不在此列表的服务需关闭。
操作步骤
关闭不需要的服务
回退操作
回退到原有的配置设置
操作风险
关闭或停止某些服务可能导致应用运行异常
5.3【基本】关闭不必要的启动项
配置项描述
关闭不必要的启动项,优化系统资源,同时减少引入不必要的系统漏洞
检查方法
“开始->运行->MSconfig”启动菜单中检查启动项
操作步骤
关闭不必要的启动项
回退操作
回退到原有的配置设置
操作风险
需要确认启动项是否必须
5.4【基本】关闭自动播放功能
配置项描述
关闭自动播放功能,避免执行未经扫描或确认的文件,从而引入木马或病毒
检查方法
点击开始→运行→输入gpedit.msc,打开组策略编辑器,计算机配置→管理模板→系统,在右边窗格中双击“关闭自动播放”,检查“关闭自动播放”项设置
操作步骤
在“关闭自动播放”对话框中,选择“已启用”,并选择“所有驱动器”,确定即可
回退操作
回退到原有的配置设置
操作风险
低风险
5.5【基本】审核HOST文件的可疑条目
配置项描述
删除HOST文件下的可疑条目
检查方法
查看是否符合操作中提到的标准,检查C:
\windows\system32\drivers\etc目录下的用于静态DNS解析的HOSTS文件内容是否正常
操作步骤
1、备份HOSTS文件
2、将不符合评估内容项进行加固,确保C:
\windows\system32\drivers\etc目录下的用于静态DNS解析的HOSTS文件内容正常,对于未知条目可以与管理员追查
回退操作
将备份的HOSTS文件替换更改的文件
操作风险
与系统管理员确认后可执行加固
5.6【基本】存在未知或无用的应用程序
配置项描述
存在未知或无用的应用程序,应定期清理应用程序列表中无用或未知的程序,防止系统被植入木马或病毒
检查方法
检查“添加或删除程序”面板中的列表
操作步骤
备份需要协助的应用程序的配置文件
不要安装不必要的应用程序,向管理员确认可卸载的应用软件项
回退
重新安装卸载的应用重新,恢复配置文件
操作风险
需要确认应用是否必须,可能需要重启系统
5.7【基本】关闭默认共享
配置项描述
关闭默认共享,未经确认的共享操作,尤其是对everyone的共享,会对信息安全造成严重威胁
检查方法
netshare或计算机管理--共享
操作步骤
关闭Windows硬盘默认共享,例如ADMIN$,C$,D$。
进入“开始->运行->Regedit”,进入注册表编辑器,更改注册表键值:
在HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\下,增加REG_DWORD类型的AutoShareServer键,值为0。
回退操作
回退到原有的配置设置
操作风险
可能导致某些必须使用共享的应用非正常运行
5.8【基本】非everyone的授权共享
配置项描述
共享文件夹中,设置只允许授权的账户拥有权限共享此文件夹
检查方法
检查共享文件夹中的授权用户
操作步骤
设置共享文件夹中的授权用户为指定用户,而非everyone
回退操作
回退到原有的配置设置
操作风险
须经测试,可能导致某些使用共享的应用异常
5.9【基本】SNMPCommunityString设置
配置项描述
如需启用SNMP服务,修改默认的SNMPCommunityString设置
检查方法
进入“控制面板->管理工具->计算机管理”,进入“服务和应用程序”:
检查“SNMPService”,“属性”面板中的“安全”选项卡的communitystrings设置
操作步骤
communitystrings改为其他,不是默认的“public”
回退操作
回退到原有的配置设置
操作风险
可能导致服务不正常
5.10【基本】删除可匿名访问共享
配置项描述
删除可匿名访问共享,共享文件应明确共享对象,且不允许匿名访问
检查方法
进入“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项”中:
检查“网络访问:
可匿名访问的共享”设置
操作步骤
删除“网络访问:
可匿名访问的共享”中的所有项
回退操作
回退到原有的配置设置
操作风险
可能导致某些系统功能异常或应用非正常运行
5.11关闭远程注册表
配置项描述
关闭远程注册表,防止用户远程修改或查看系统注册表
检查方法
进入“控制面板->管理工具->计算机管理”,进入“服务和应用程序”:
检查“RemoteRegistry”
操作步骤
设置“RemoteRegistry”已停用
回退操作
回退到原有的配置设置
操作风险
某些应用可能需要此功能
5.12对于远程登陆的帐号,设置不活动断开时间为1小时
配置项描述
对于远程登陆的帐号,设置不活动断开时间为1小时,长时间空闲账户将自动退出
检查方法
进入“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项”中:
检查“Microsoft网络服务器:
在挂起会话前所需的空闲时间”设置
操作步骤
设置“Microsoft网络服务器:
在挂起会话前所需的空闲时间”小于等于1小时
回退操作
回退到原有的配置设置
操作风险
可能导致某些应用运行异常
5.13IIS服务补丁更新
配置项描述
如需启用IIS服务,IIS服务补丁需及时更新
检查方法
检查IIS版本
操作步骤
安装IIS补丁包或升级到IIS6.0
回退操作
卸载IIS补丁包
操作风险
可能导致服务不正常
6.其它配置要求
6
6.1【基本】安装防病毒软件
配置项描述
安装防病毒软件和防病毒软件并及时升级
检查方法
检查杀毒软件的安装和升级情况
操作步骤
安装杀毒软件并升级到最新版本
回退操作
卸载杀毒软件或回退到以前版本
操作风险
需要重启并可能误删正常的系统或应用文件
6.2【基本】配置WSUS补丁更新服务器
配置项描述
指定系统获取补丁的位置,将更新源指向WSUS服务器
检查方法
1.执行regedit调出注册表编辑器
2.查看参数
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"WUServer"和"WUStatusServer",确认其是否为"10.23.134.8"
操作步骤
管理员使用域账号登录\\10.23.134.8\wsus-reg,下载WSUS配置程序,配置程序包括:
办公服务器组:
对应注册表文件为serverbg.reg
业务服务器组:
对应注册表文件为serveryw.reg
用户根据业务需要选择下载相应的配置程序,执行完*.reg文件后,重启automaticupdate服务,并在命令行下执行wuauclt/detectnow,开启客户端主动触发更新机制。
回退操作
修改注册表配置,恢复更新服务器指向
操作风险
需要重启且未经测试的补丁可能导致应用运行异常
6.3【基本】ServicePack补丁更新
配置项描述
ServicePack补丁未及时更新,将为攻击者提供入侵漏洞
检查方法
检查ServicePack补丁版本
操作步骤
安装最新ServicePack补丁包
回退操作
卸载ServicePack补丁包
操作风险
需要重启且未经测试的补丁可能导致应用运行异常
6.4【基本】Hotfix补丁更新
配置项描述
Hotfix补丁更新,将为攻击者提供入侵漏洞
检查方法
检查Hotfix补丁版本
操作步骤
安装最新Hotfix补丁包
回退操作
卸载Hotfix补丁包
操作风险
需要重启且未经测试的补丁可能导致应用运行异常
6.5设置带密码的屏幕保护
配置项描述
设置带密码的屏幕保护,并将时间设定为5分钟,防止合法用户未及时退出登录,造成数据泄露
检查方法
进入“控制面板->显示->屏幕保护程序”:
查看是否符合操作中提到的标准
操作步骤
将不符合评估内容项进行加固,查看是否启用屏幕保护程序,设置等待时间为“5分钟”,启用“在恢复时使用密码保护”。
回退操作
回退到原有的配置设置
操作风险
低风险
6.6交互式登录不显示上次登录用户名
配置项描述
交互式登录未设置不显示上次登录的用户名,攻击者可以此获取系统用户信息,降低攻击难度
检查方法
进入“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项”中:
检查“交互式登录:
不显示上次的用户名”设置
操作步骤
设置“交互式登录:
不显示上次的用户名”为已开启
回退操作
回退到原有的配置设置
操作风险
低风险
升级会员 