收藏
下载资源下载资源 加入VIP,免费下载

MicrosoftWindows安全配置基线Word文档格式.docx

上传人:b****1 文档编号:4448165 上传时间:2023-05-03 格式:DOCX 页数:25 大小:23.45KB
下载 相关 举报
MicrosoftWindows安全配置基线Word文档格式.docx_第1页
第1页 / 共25页
MicrosoftWindows安全配置基线Word文档格式.docx_第2页
第2页 / 共25页
MicrosoftWindows安全配置基线Word文档格式.docx_第3页
第3页 / 共25页
MicrosoftWindows安全配置基线Word文档格式.docx_第4页
第4页 / 共25页
MicrosoftWindows安全配置基线Word文档格式.docx_第5页
第5页 / 共25页
MicrosoftWindows安全配置基线Word文档格式.docx_第6页
第6页 / 共25页
MicrosoftWindows安全配置基线Word文档格式.docx_第7页
第7页 / 共25页
MicrosoftWindows安全配置基线Word文档格式.docx_第8页
第8页 / 共25页
MicrosoftWindows安全配置基线Word文档格式.docx_第9页
第9页 / 共25页
MicrosoftWindows安全配置基线Word文档格式.docx_第10页
第10页 / 共25页
MicrosoftWindows安全配置基线Word文档格式.docx_第11页
第11页 / 共25页
MicrosoftWindows安全配置基线Word文档格式.docx_第12页
第12页 / 共25页
MicrosoftWindows安全配置基线Word文档格式.docx_第13页
第13页 / 共25页
MicrosoftWindows安全配置基线Word文档格式.docx_第14页
第14页 / 共25页
MicrosoftWindows安全配置基线Word文档格式.docx_第15页
第15页 / 共25页
MicrosoftWindows安全配置基线Word文档格式.docx_第16页
第16页 / 共25页
MicrosoftWindows安全配置基线Word文档格式.docx_第17页
第17页 / 共25页
MicrosoftWindows安全配置基线Word文档格式.docx_第18页
第18页 / 共25页
MicrosoftWindows安全配置基线Word文档格式.docx_第19页
第19页 / 共25页
MicrosoftWindows安全配置基线Word文档格式.docx_第20页
第20页 / 共25页
亲,该文档总共25页,到这儿已超出免费预览范围,如果喜欢就下载吧!
下载资源
资源描述

MicrosoftWindows安全配置基线Word文档格式.docx

《MicrosoftWindows安全配置基线Word文档格式.docx》由会员分享,可在线阅读,更多相关《MicrosoftWindows安全配置基线Word文档格式.docx(25页珍藏版)》请在冰点文库上搜索。

MicrosoftWindows安全配置基线Word文档格式.docx

2.7实施

2.8

本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。

本标准发布之日起生效。

2.9例外条款

2.10

欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信管理信息系统部进行审批备案。

第3章管理、认证授权

第4章

4.1

4.2

2.1.1管理缺省

安全基线项目名称

操作系统缺省安全基线要求项

安全基线编号

SBL-Windows-02-01-01

安全基线项说明

对于管理员,要求更改缺省名称;

禁用guest(来宾)。

检测操作步骤

进入“控制面板->

管理工具->

计算机管理”,在“系统工具->

本地用户和组”:

缺省Administrator->

属性

Guest->

基线符合性判定依据

缺省Administrator名称已更改。

Guest已停用。

备注

2.1.2按照用户分配*

操作系统用户划分安全基线要求项

SBL-Windows-02-01-02

按照用户分配。

根据系统的要求,设定不同的和组,管理员用户,数据库用户,审计用户,来宾用户等。

根据系统的要求,设定不同的和组,管理员用户,数据库用户,审计用户,来宾用户。

结合要求和实际业务情况判断符合要求,根据系统的要求,设定不同的和组,管理员用户,数据库用户,审计用户,来宾用户。

手工判断,需要根据实际情况判断用途

2.1.3删除与设备无关*

操作系统与设备无关安全基线要求项

SBL-Windows-02-01-03

删除或锁定与设备运行、维护等与工作无关的

删除或锁定与设备运行、维护等与工作无关的。

结合要求和实际业务情况判断符合要求,删除或锁定与设备运行、维护等与工作无关的。

查看是否删除或锁定与设备运行、维护等与工作无关的。

手工判断,需要根据实际情况判断是否为无关

4.3口令

4.4

2.2.1密码复杂度

操作系统密码复杂度安全基线要求项

SBL-Windows-02-02-01

最短密码长度8个字符,启用本机组策略中密码必须符合复杂性要求的策略。

即密码至少包含以下四种类别的字符中的2种:

英语大写字母A,B,C,…Z

英语小写字母a,b,c,…z

西方阿拉伯数字0,1,2,…9

非字母数字字符,如标点符号,,#,$,%,&

*等

本地安全策略”,在“策略->

密码策略”:

查看是否“密码必须符合复杂性要求”选择“已启动”

“密码最小长度”大于等于8

“密码必须符合复杂性要求”选择“已启动”

2.2.2密码最长留存期

操作系统密码历史安全基线要求项

SBL-Windows-02-02-02

对于采用静态口令认证技术的设备,口令的生存期不长于90天。

查看“密码最长存留期”

“密码最长存留期”设置不大于“90天”

2.2.3锁定策略

操作系统锁定策略安全基线要求项

SBL-Windows-02-02-03

对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过10次,锁定该用户使用的。

锁定策略”:

查看“锁定阀值”设置

“锁定阀值”设置为小于或等于10次

4.5授权

4.6

2.3.1远程关机

操作系统远程关机策略安全基线要求项

SBL-Windows-02-03-01

在本地安全设置中从远端系统强制关机只指派给Administrators组。

本地安全策略”,在“本地策略->

用户权利指派”:

查看“从远端系统强制关机”设置

“从远端系统强制关机”设置为“只指派给Administrtors组”

2.3.2本地关机

操作系统本地关机策略安全基线要求项

SBL-Windows-02-03-02

在本地安全设置中关闭系统仅指派给Administrators组。

查看“关闭系统”设置

“关闭系统”设置为“只指派给Administrators组”

2.3.3用户权利指派*

操作系统用户权力指派策略安全基线要求项

SBL-Windows-02-03-03

在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。

用户权利指派”:

查看是否“取得文件或其它对象的所有权”设置

“取得文件或其它对象的所有权”设置为“只指派给Administrators组”

手工检查

2.3.4授权登陆*

操作系统用户授权登陆安全基线要求项

SBL-Windows-02-03-04

在本地安全设置中配置指定授权用户允许本地登陆此计算机。

用户权利指派”

“从本地登陆此计算机”设置为“指定授权用户”

“从本地登陆此计算机”设置为“指定授权用户”,进入“控制面板->

查看是否“从本地登陆此计算机”设置为“指定授权用户”

手工判断是否授权

2.3.5授权从网络访问*

操作系统用户授权从网络访问安全基线要求项

SBL-Windows-02-03-05

在组策略中只允许授权从网络访问(包括网络共享等,但不包括终端服务)此计算机。

“从网络访问此计算机”设置为“指定授权用户”

“从网络访问此计算机”设置为“指定授权用户”,进入“控制面板->

查看是否“从网络访问此计算机”设置为“指定授权用户”

第5章日志配置操作

第6章

6.1日志配置

6.2

3.1.1审核登录

操作系统审核登录策略安全基线要求项

SBL-Windows-03-01-01

设备应配置日志功能,对用户登录进行记录,记录容包括用户登录使用的,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。

开始->

运行->

执行“控制面板->

本地安全策略->

审核策略”

审核登录事件。

审核登录事件,设置为成功和失败都审核。

3.1.2审核策略更改

操作系统审核策略更改安全基线要求项

SBL-Windows-03-01-02

启用组策略中对Windows系统的审核策略更改,成功和失败都要审核。

审核策略”中

查看“审核策略更改”设置。

“审核策略更改”设置为“成功”和“失败”都要审核。

3.1.3审核对象访问

操作系统审核对象访问安全基线要求项

SBL-Windows-03-01-03

启用组策略中对Windows系统的审核对象访问,成功和失败都要审核。

审核策略”中:

查看“审核对象访问”设置。

“审核对象访问”设置为“成功”和“失败”都要审核。

3.1.4审核事件目录服务器访问

操作系统审核事件目录服务器访问策略安全基线要求项

SBL-Windows-03-01-04

启用组策略中对Windows系统的审核目录服务访问,失败。

查看“审核目录服务器访问”设置。

“审核目录服务器访问”设置为“成功”和“失败”都要审核。

3.1.5审核特权使用

操作系统审核特权使用策略安全基线要求项

SBL-Windows-03-01-05

启用组策略中对Windows系统的审核特权使用,成功和失败都要审核。

查看“审核特权使用”设置。

“审核特权使用”设置为“成功”和“失败”都要审核。

3.1.6审核系统事件

操作系统审核系统事件策略安全基线要求项

SBL-Windows-03-01-06

启用组策略中对Windows系统的审核系统事件,成功和失败都要审核。

查看“审核系统事件”设置。

“审核系统事件”设置为“成功”和“失败”都要审核。

3.1.7审核管理

操作系统审核管理策略安全基线要求项

SBL-Windows-03-01-07

启用组策略中对Windows系统的审核管理,成功和失败都要审核。

查看“审核管理”设置。

“审核管理”设置为“成功”和“失败”都要审核。

3.1.8审核过程追踪

操作系统审核过程追踪策略安全基线要求项

SBL-Windows-03-01-08

启用组策略中对Windows系统的审核过程追踪失败。

查看“审核过程追踪”设置。

“审核过程追踪”设置为“失败”需要审核。

3.1.9日志文件大小

操作系统日志容量安全基线要求项

SBL-Windows-03-01-09

设置应用日志文件大小至少为8192KB,设置当达到最大的日志尺寸时,按需要改写事件。

事件查看器”,在“事件查看器(本地)”中:

查看“应用日志”“系统日志”“安全日志”属性中的日志大小,以及设置当达到最大的日志尺寸时的相应策略。

“应用日志”“系统日志”“安全日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时,“按需要改写事件”

第7章IP协议安全配置

第8章

8.1IP协议

8.2

4.1.1启用SYN攻击保护

操作系统SYN攻击保护安全基线要求项

SBL-Windows-04-01-01

启用SYN攻击保护;

指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阀值为5;

指定处于SYN_RCVD状态的TCP连接数的阈值为500;

指定处于至少已发送一次重传的SYN_RCVD状态中的TCP连接数的阈值为400。

在“开始->

键入regedit”

查看注册表项

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect;

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted;

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen;

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried。

推荐值:

2。

5。

推荐值数据:

500。

推荐值数据:

400。

第9章设备其他配置操作

第10章

10.1共享文件夹及访问权限

10.2

5.1.1关闭默认共享

操作系统默认共享安全基线要求项

SBL-Windows-05-01-01

非域环境中,关闭Windows硬盘默认共享,例如C$,D$。

进入“开始->

运行->

Regedit”,进入注册表编辑器,查看HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer;

HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer键,值为0。

5.1.2共享文件夹授权访问*

操作系统共享文件夹安全基线要求项

SBL-Windows-05-01-02

查看每个共享文件夹的共享权限,只允许授权的拥有权限共享此文件夹。

计算机管理”,进入“系统工具->

共享文件夹”:

查看每个共享文件夹的共享权限,只将权限授权于指定。

查看每个共享文件夹的共享权限仅限于业务需要,不设置成为“everyone”。

查看每个共享文件夹的共享权限。

手工判断

10.3防病毒管理

10.4

5.2.1数据执行保护

操作系统数据执行保护安全基线要求项

SBL-Windows-05-02-01

对于WindowsXPSP2及Windows2003对Windows操作系统程序和服务启用系统自带DEP功能(数据执行保护),防止在受保护存位置运行有害代码。

进入“控制面板->

系统”,在“高级”选项卡的“性能”下的“设置”。

进入“数据执行保护”选项卡。

查看“仅为基本Windows操作系统程序和服务启用DEP”。

“数据执行保护”选项卡已设置为“仅为基本Windows操作系统程序和服务启用DEP”。

10.5Windows服务

10.6

5.3.1SNMP服务管理

操作系统SNMP服务管理安全基线要求项

SBL-Windows-05-03-01

如需启用SNMP服务,则修改默认的SNMPCommunityString设置。

打开“控制面板”,打开“管理工具”中的“服务”,找到“SNMPService”,单击右键打开“属性”面板中的“安全”选项卡,在这个配置界面中,查看communitystrings,也就是微软所说的“团体名称”。

communitystrings已改,不是默认的“public”。

5.3.2系统必须服务列表管理*

操作系统服务列表管理安全基线要求项

SBL-Windows-05-03-02

列出所需要服务的列表(包括所需的系统服务),不在此列表的服务需关闭。

计算机管理”,进入“服务和应用程序”:

查看所有服务,不在此列表的服务需关闭。

系统管理员应出具系统所必要的服务列表。

5.3.3系统启动项列表管理*

操作系统启动项列表管理安全基线要求项

SBL-Windows-05-03-03

列出系统启动时自动加载的进程和服务列表,不在此列表的需关闭。

“开始->

MSconfig”启动菜单中,取消不必要的启动项。

不需要的自动加载进程通过“开始->

MSconfig”启动菜单中取消。

5.3.4远程控制服务安全*

操作系统远程控制服务管理安全基线要求项

SBL-Windows-05-03-04

如对互联网开放WindowsTerminial服务(RemoteDesktop),需修改默认服务端口。

运行Regedt32并转到此项:

  HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminalServerWinStationsRDP-Tcp

  找到“PortNumber”子项,会看到默认值00000D3D,它是3389的十六进制表示形式。

使用十六进制数值修改此端口号,并保存新值。

找到“PortNumber”子项,设定值非00000D3D,即十进制3389

根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。

5.3.5IIS安全补丁管理*

操作系统IIS服务管理安全基线要求项

SBL-Windows-05-03-05

如需启用IIS服务,则将IIS升级到最新补丁。

下载IIS补丁包

IIS4.0

.microsoft./Downloads/Release.asp?

ReleaseID=23667

IIS5.0

ReleaseID=23665

并安装,或升级到IIS6.0

已安装IIS补丁包或升级到IIS6.0。

5.3.6活动目录时间同步管理*

SBL-Windows-05-03-06

通过微软ActiveDirectory管理的终端,或者是独立终端,要求配置时间同步源.终端定期执行时间同步操作(必要时)

a.在具有PDCEmulator角色的DC上运行如下命令,以和外部时间源同步

b.

w32tm/config/syncfromflags:

manual/manualpeerlist:

<

PeerList>

c.在PC终端上运行如下命令行同步时间:

d.

w32tm/config/update

检查终端主机的时间是否与标准时间同步。

10.7启动项

10.8

5.4.1关闭Windows自动播放功能

操作系统Windows自动播放安全基线要求项

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 工程科技 > 能源化工

copyright@ 2008-2023 冰点文库 网站版权所有

经营许可证编号:鄂ICP备19020893号-2