Windows安全配置指南v10 1023.docx
《Windows安全配置指南v10 1023.docx》由会员分享,可在线阅读,更多相关《Windows安全配置指南v10 1023.docx(20页珍藏版)》请在冰点文库上搜索。
![Windows安全配置指南v10 1023.docx](https://file1.bingdoc.com/fileroot1/2023-5/11/a313f83d-ab8f-4b8b-89a6-19e867e55d8b/a313f83d-ab8f-4b8b-89a6-19e867e55d8b1.gif)
Windows安全配置指南v101023
Windows系统安全配置指南
第1章账号管理、认证授权
1.1账号
2.1.1管理缺省账户
项目名称
操作系统缺省账户要求项
编号
Windows-02-01-01
项目说明
对于管理员帐号,要求更改缺省帐户名称;禁用guest(来宾)帐号。
检测操作步骤
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:
缺省帐户Administrator->属性
Guest帐号->属性
符合性判定依据
缺省账户Administrator名称已更改。
Guest帐号已停用。
配置方法
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”。
Administrator->属性->更改名称
Guest帐号->属性->已停用
实施风险
业务系统直接利用Administrator账号管理需相应修改其账号。
备注
1.2口令
2.2.1密码复杂度
项目名称
操作系统密码复杂度要求项
编号
Windows-02-02-01
项目说明
最短密码长度8个字符,启用本机组策略中密码必须符合复杂性要求的策略。
即密码至少包含以下四种类别的字符中的三种:
英语大写字母A,B,C,…Z
英语小写字母a,b,c,…z
西方阿拉伯数字0,1,2,…9
非字母数字字符,如标点符号,@,#,$,%,&,*等
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:
查看是否“密码必须符合复杂性要求”选择“已启动”
符合性判定依据
“密码必须符合复杂性要求”选择“已启动”
配置方法
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”。
“密码必须符合复杂性要求”选择“已启动”设置如下策略
策略
默认设置
推荐最低设置
最短密码长度
0个字符
8个字符
密码必须符合复杂性要求
禁用
启用
为域中所有用户使用可还原的加密来储存密码
禁用
禁用
实施风险
风险较小
备注
2.2.2密码历史
项目名称
操作系统密码历史要求项
编号
Windows-02-02-02
项目说明
对于采用静态口令认证技术的设备,账户口令的生存期不长于90天。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:
查看“密码最长存留期”
符合性判定依据
“密码最长存留期”设置不大于“90天”
配置方法
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”。
设置如下策略:
策略
默认设置
推荐最低设置
强制执行密码历史记录
记住1个密码
记住5个
码
密码最长期限
42天
90天
密码最短期限
0天
2天
实施风险
业务系统直接利用的账号不适用密码最长90天期限
备注
2.2.3帐户锁定策略
项目名称
操作系统账户锁定策略要求项
编号
Windows-02-02-03
项目说明
对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->帐户锁定策略”:
查看“账户锁定阀值”设置
符合性判定依据
“账户锁定阀值”设置为小于或等于6次
配置方法
参考配置操作:
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->账户锁定策略”。
设置如下策略:
策略
默认设置
推荐最低设置
账户锁定时间
未定义
30分钟
账户锁定阈值
0
6次无效登录
复位账户锁定计数器
未定义
30分钟
实施风险
安全扫描检测暴力破解口令将导致账号锁定。
备注
1.3授权
2.3.1远程关机
项目名称
操作系统远程关机策略要求项
编号
Windows-02-03-01
项目说明
在本地安全设置中从远端系统强制关机只指派给Administrators组。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:
查看“从远端系统强制关机”设置
符合性判定依据
“从远端系统强制关机”设置为“只指派给Administrtors组”
配置方法
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”。
“从远端系统强制关机”设置为“只指派给Administrators组”。
实施风险
风险较小
备注
2.3.2本地关机
项目名称
操作系统本地关机策略要求项
编号
Windows-02-03-02
项目说明
在本地安全设置中关闭系统仅指派给Administrators组。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:
查看“关闭系统”设置
符合性判定依据
“关闭系统”设置为“只指派给Administrators组”
配置方法
参考配置操作:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”。
“关闭系统”设置为“只指派给Administrators组”。
实施风险
风险较小
备注
2.3.3用户权利指派
项目名称
操作系统用户权力指派策略要求项
编号
Windows-02-03-03
项目说明
在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:
查看是否“取得文件或其它对象的所有权”设置
符合性判定依据
“取得文件或其它对象的所有权”设置为“只指派给Administrators组”
配置方法
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”。
“取得文件或其它对象的所有权”设置为“只指派给Administrators组”。
实施风险
风险较小
备注
第2章
日志配置操作
2.1日志配置
3.1.1审核登录
项目名称
操作系统审核登录策略要求项
编号
Windows-03-01-01
项目说明
设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。
检测操作步骤
开始->运行->执行“控制面板->管理工具->本地安全策略->审核策略”
审核登录事件。
符合性判定依据
审核登录事件,设置为成功和失败都审核。
配置方法
参考配置操作:
开始->运行->执行“控制面板->管理工具->本地安全策略->审核策略”
审核登录事件,双击,设置为成功和失败都审核。
实施风险
风险较小
备注
3.1.2审核策略更改
项目名称
操作系统审核策略更改要求项
编号
Windows-03-01-02
项目说明
启用组策略中对Windows系统的审核策略更改,成功和失败都要审核。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中
查看“审核策略更改”设置。
符合性判定依据
“审核策略更改”设置为“成功”和“失败”都要审核。
配置方法
参考配置操作:
开始->运行->执行“控制面板->管理工具->本地安全策略->审核策略”
审核策略更改,双击,设置为成功和失败都审核。
实施风险
风险较小
备注
3.1.3审核对象访问
项目名称
操作系统审核对象访问要求项
编号
Windows-03-01-03
项目说明
启用组策略中对Windows系统的审核对象访问,成功和失败都要审核。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
查看“审核对象访问”设置。
符合性判定依据
“审核对象访问”设置为“成功”和“失败”都要审核。
配置方法
参考配置操作:
开始->运行->执行“控制面板->管理工具->本地安全策略->审核策略”
审核对象访问,双击,设置为成功和失败都审核。
实施风险
风险较小
备注
3.1.4审核事件目录服务器访问
项目名称
操作系统审核事件目录服务器访问策略要求项
编号
Windows-03-01-04
项目说明
启用组策略中对Windows系统的审核目录服务访问,失败。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
查看“审核目录服务器访问”设置。
符合性判定依据
“审核目录服务器访问”设置为“成功”和“失败”都要审核。
配置方法
参考配置操作:
开始->运行->执行“控制面板->管理工具->本地安全策略->审核策略”
审核目录服务器访问,双击,设置为成功和失败都审核。
实施风险
风险较小
备注
3.1.5审核特权使用
项目名称
操作系统审核特权使用策略要求项
编号
Windows-03-01-05
项目说明
启用组策略中对Windows系统的审核特权使用,成功和失败都要审核。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
查看“审核特权使用”设置。
符合性判定依据
“审核特权使用”设置为“成功”和“失败”都要审核。
配置方法
参考配置操作:
开始->运行->执行“控制面板->管理工具->本地安全策略->审核策略”
审核特权使用,双击,设置为成功和失败都审核。
实施风险
风险较小
备注
3.1.6审核系统事件
项目名称
操作系统审核系统事件策略要求项
编号
Windows-03-01-06
项目说明
启用组策略中对Windows系统的审核系统事件,成功和失败都要审核。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
查看“审核系统事件”设置。
符合性判定依据
“审核系统事件”设置为“成功”和“失败”都要审核。
配置方法
参考配置操作:
开始->运行->执行“控制面板->管理工具->本地安全策略->审核策略”
审核系统事件,双击,设置为成功和失败都审核。
实施风险
风险较小
备注
3.1.7审核账户管理
项目名称
操作系统审核账户管理策略要求项
编号
Windows-03-01-07
项目说明
启用组策略中对Windows系统的审核帐户管理,成功和失败都要审核。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
查看“审核账户管理”设置。
符合性判定依据
“审核账户管理”设置为“成功”和“失败”都要审核。
配置方法
参考配置操作:
开始->运行->执行“控制面板->管理工具->本地安全策略->审核策略”
审核账户管理,双击,设置为成功和失败都审核。
实施风险
风险较小
备注
3.1.8审核过程追踪
项目名称
操作系统审核过程追踪策略要求项
编号
Windows-03-01-08
项目说明
启用组策略中对Windows系统的审核过程追踪失败。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
查看“审核过程追踪”设置。
符合性判定依据
“审核过程追踪”设置为“失败”需要审核。
配置方法
参考配置操作:
开始->运行->执行“控制面板->管理工具->本地安全策略->审核策略”
审核过程追踪,双击,设置为成功和失败都审核。
实施风险
风险较小
备注
3.1.9日志文件大小
项目名称
操作系统日志容量要求项
编号
Windows-03-01-09
项目说明
设置应用日志文件大小至少为8192KB,设置当达到最大的日志尺寸时,按需要改写事件。
检测操作步骤
进入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中:
查看“应用日志”“系统日志”“安全日志”属性中的日志大小,以及设置当达到最大的日志尺寸时的相应策略。
符合性判定依据
“应用日志”“系统日志”“安全日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时,“按需要改写事件”
配置方法
参考配置操作:
进入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中:
“应用日志”属性中的日志大小设置不小于“20480KB”,设置当达到最大的日志尺寸时,“按需要改写事件”
“系统日志”属性中的日志大小设置不小于“20480KB”,设置当达到最大的日志尺寸时,“按需要改写事件”
“安全日志”属性中的日志大小设置不小于“20480KB”,设置当达到最大的日志尺寸时,“按需要改写事件”
实施风险
需查看C盘剩余空间。
备注
第3章
IP协议安全配置
3.1IP协议
4.1.1启用SYN攻击保护
项目名称
操作系统SYN攻击保护要求项2012没有
编号
Windows-04-01-01
项目说明
启用SYN攻击保护;指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阀值为5;指定处于SYN_RCVD状态的TCP连接数的阈值为500;指定处于至少已发送一次重传的SYN_RCVD状态中的TCP连接数的阈值为400。
检测操作步骤
在“开始->运行->键入regedit”
查看注册表项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect;
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted;
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen;
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried。
符合性判定依据
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect;推荐值:
2。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted;推荐值:
5。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen;推荐值数据:
500。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried。
推荐值数据:
400。
配置方法
参考配置操作:
在“开始->运行->键入regedit”
启用SYN攻击保护的命名值位于注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services之下。
值名称:
SynAttackProtect。
推荐值:
2。
以下部分中的所有项和值均位于注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services之下。
指定必须在触发SYNflood保护之前超过的TCP连接请求阈值。
值名称:
TcpMaxPortsExhausted。
推荐值:
5。
启用SynAttackProtect后,该值指定SYN_RCVD状态中的TCP连接阈值,超过SynAttackProtect时,触发SYNflood保护。
值名称:
TcpMaxHalfOpen。
推荐值数据:
500。
启用SynAttackProtect后,指定至少发送了一次重传的SYN_RCVD状态中的TCP连接阈值。
超过SynAttackProtect时,触发SYNflood保护。
值名称:
TcpMaxHalfOpenRetried。
推荐值数据:
400。
实施风险
业务系统可针对自身特点相应调整具体数值,内网系统遇到SYNflood攻击概率较低。
备注
第4章
设备其他配置操作
4.1共享文件夹及访问权限
5.1.1关闭默认共享
项目名称
操作系统默认共享要求项
编号
Windows-05-01-01
项目说明
非域环境中,关闭Windows硬盘默认共享,例如C$,D$。
检测操作步骤
进入“开始->运行->Regedit”,进入注册表编辑器,查看HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer;
符合性判定依据
HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer键,值为0。
配置方法
进入“开始->运行->Regedit”,进入注册表编辑器,
更改注册表键值:
在HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\下,增加REG_DWORD类型的AutoShareServer键,值为0。
实施风险
利用共享访问的业务系统需仔细测试。
备注
4.2防病毒管理
5.2.1数据执行保护
项目名称
操作系统数据执行保护要求项
编号
Windows-05-02-01
项目说明
对于WindowsXPSP2及Windows2003对Windows操作系统程序和服务启用系统自带DEP功能(数据执行保护),防止在受保护内存位置运行有害代码。
检测操作步骤
进入“控制面板->系统”,在“高级”选项卡的“性能”下的“设置”。
进入“数据执行保护”选项卡。
查看“仅为基本Windows操作系统程序和服务启用DEP”。
符合性判定依据
“数据执行保护”选项卡已设置为“仅为基本Windows操作系统程序和服务启用DEP”。
配置方法
参考配置操作:
进入“控制面板->系统”,在“高级”选项卡的“性能”下的“设置”。
进入“数据执行保护”选项卡。
设置为“仅为基本Windows操作系统程序和服务启用DEP”。
实施风险
风险较低。
备注
数据执行保护(DEP)是一种有助于防止您的计算机免受病毒和其他安全威胁破坏的安全功能。
有害的程序可能会通过试图运行(也称为“执行”)计算机内存中为Windows和其他已授权程序保留的代码来攻击Windows。
这些类型的攻击可能会损害您的程序和文件。
DEP可以通过监视程序以确保它们安全使用计算机内存,帮助保护您的计算机。
如果DEP注意到计算机上的某个程序使用的内存不正确,则它将关闭该程序并通知您。
4.3Windows服务
5.3.1SNMP服务管理没有,就不用设置
项目名称
操作系统SNMP服务管理要求项
编号
Windows-05-03-01
项目说明
如需启用SNMP服务,则修改默认的SNMPCommunityString设置。
检测操作步骤
打开“控制面板”,打开“管理工具”中的“服务”,找到“SNMPService”,单击右键打开“属性”面板中的“安全”选项卡,在这个配置界面中,查看communitystrings,也就是微软所说的“团体名称”。
符合性判定依据
communitystrings已改,不是默认的“public”。
配置方法
参考配置操作:
打开“控制面板”,打开“管理工具”中的“服务”,找到“SNMPService”,单击右键打开“属性”面板中的“安全”选项卡,在这个配置界面中,可以修改communitystrings,也就是微软所说的“团体名称”。
实施风险
相关snmp服务器同时修改“团体名称”。
备注
4.4启动项
5.4.1关闭Windows自动播放功能
项目名称
操作系统Windows自动播放要求项
编号
Windows-05-04-01
项目说明
关闭Windows自动播放功能。
检测操作步骤
打开“开始→运行”,在对话框中输入“gpedit.msc”命令,在出现“组策略”窗口中依次选择“在计算机配置→管理模板→系统”,双击“关闭自动播放”查看。
符合性判定依据
在“设置”选项卡中选“已启用”选项。
配置方法
参考配置操作:
点击开始→运行→输入gpedit.msc,打开组策略编辑器,浏览到计算机配置→管理模板→系统,在右边窗格中双击“关闭自动播放”,对话框中选择所有驱动器,确定即可。
实施风险
风险较低。
备注
5.4.2开启Windows自带防火墙功能
项目名称
开启操作系统Windows自带防火墙
编号
Windows-05-04-02
项目说明
开启Windows自带防火墙。
检测操作步骤
开启windwos防火墙,根据自身应用放开相应的端口,和业务无关的端口要关掉
必须开放的端口
1:
源地址为172.16.2.38设备需通过远程桌面访问服务器
2:
防火墙出规则应该运维访问172.16.14.40的UDP514端口
3:
放开本服务器的10050端口
配置方法
实施风险
备注
windows安装zabbix客户端,请补充
项目名称
编号
项目说明
检测操作步骤
必须开放的端口
配置方法
实施风险
备注
第5章
评审与修订
本标准由中国通信有限公司信息化事业部定期进行审查,根据审视结果修订标准,并颁发执行。