收藏
下载资源下载资源 加入VIP,免费下载

Windows操作系统安全防护基线配置要求.docx

上传人:b****5 文档编号:7450861 上传时间:2023-05-11 格式:DOCX 页数:16 大小:126.58KB
下载 相关 举报
Windows操作系统安全防护基线配置要求.docx_第1页
第1页 / 共16页
Windows操作系统安全防护基线配置要求.docx_第2页
第2页 / 共16页
Windows操作系统安全防护基线配置要求.docx_第3页
第3页 / 共16页
Windows操作系统安全防护基线配置要求.docx_第4页
第4页 / 共16页
Windows操作系统安全防护基线配置要求.docx_第5页
第5页 / 共16页
Windows操作系统安全防护基线配置要求.docx_第6页
第6页 / 共16页
Windows操作系统安全防护基线配置要求.docx_第7页
第7页 / 共16页
Windows操作系统安全防护基线配置要求.docx_第8页
第8页 / 共16页
Windows操作系统安全防护基线配置要求.docx_第9页
第9页 / 共16页
Windows操作系统安全防护基线配置要求.docx_第10页
第10页 / 共16页
Windows操作系统安全防护基线配置要求.docx_第11页
第11页 / 共16页
Windows操作系统安全防护基线配置要求.docx_第12页
第12页 / 共16页
Windows操作系统安全防护基线配置要求.docx_第13页
第13页 / 共16页
Windows操作系统安全防护基线配置要求.docx_第14页
第14页 / 共16页
Windows操作系统安全防护基线配置要求.docx_第15页
第15页 / 共16页
Windows操作系统安全防护基线配置要求.docx_第16页
第16页 / 共16页
亲,该文档总共16页,全部预览完了,如果喜欢就下载吧!
下载资源
资源描述

Windows操作系统安全防护基线配置要求.docx

《Windows操作系统安全防护基线配置要求.docx》由会员分享,可在线阅读,更多相关《Windows操作系统安全防护基线配置要求.docx(16页珍藏版)》请在冰点文库上搜索。

Windows操作系统安全防护基线配置要求.docx

Windows操作系统安全防护基线配置要求

Windows操作系统安全防护基线配置要求

一、账号

编号:

OS-Windows-账号-01

要求内容:

应按照不同的用户分配不同的账号,避免不同用户间共享账号。

避免用户账号和设备间通信使用的账号共享

操作指南:

进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”,根据系统的要求,设定不同的账户和账户组。

检测方法:

进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:

查看根据系统的要求,设定不同的账户和账户组。

判定条件:

结合要求和实际业务情况判断符合要求,根据系统的要求,设定不同的账户和账户组。

编号:

OS-Windows-账号-02

要求内容:

应删除与运行、维护等工作无关的账号,删除过期账号

操作指南:

1)可使用用户管理工具:

开始-运行-compmgmt.msc-本地用户和组-用户;

2)也可以通过net命令:

删除账号:

netuseraccount/de1

停用账号:

netuseraccount/active:

no

检测方法:

开始-运行-compmgmt.msc-本地用户和组-用户。

判定条件:

结合要求和实际业务情况判断符合要求,删除或锁定与设备运行、维护等与工作无关的账号。

注:

无关的账号主要指测试帐户、共享帐号、长期不用账号(半年以上不用)等.

编号:

OS-Windows-账号-03

要求内容:

重命名Administrator,禁用guest(来宾)帐号

操作指南:

进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:

Administrator->属性->更改名称

Guest帐号->属性->已停用

检测方法:

进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:

缺省帐户->属性->更改名称

Guest帐号->属性->已停用

判定条件:

缺省账户Administrator名称已更改。

Guest帐号已停用。

二、授权

编号:

OS-Windows-授权-01

要求内容:

本地、远端系统强制关机只指派给Administrators组

操作指南:

进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:

“关闭系统”设置为“只指派给Administrators组”;“从远端系统强制关机”设置为“只指派给Administrators组”。

检测方法:

进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:

查看“关闭系统”设置为“只指派给Administrators组”;查看是否“从远端系统强制关机”设置为“只指派给Administrators组”。

判定条件:

“关闭系统”设置为“只指派给Administrators组”;

“从远端系统强制关机”设置为“只指派给Administrtors组”。

编号:

OS-Windows-授权-02

要求内容:

在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators

操作指南:

进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:

“取得文件或其它对象的所有权”设置为“只指派给Administrators组”。

检测方法:

进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:

查看是否“取得文件或其它对象的所有权”设置为“只指派给Administrators组”。

判定条件:

“取得文件或其它对象的所有权”设置为“只指派给Administrators组”。

编号:

OS-Windows-授权-03

要求内容:

在本地安全设置中只允许授权的帐号进行本地、远程访问登陆此计算机

操作指南:

进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:

“从本地登陆此计算机”设置为“指定授权用户”

“从网络访问此计算机”设置为“指定授权用户”

检测方法:

进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:

查看是否“从本地登陆此计算机”设置为“指定授权用户”

查看是否“从网络访问此计算机”设置为“指定授权用户”

判定条件:

“从本地登陆此计算机”设置为“指定授权用户”

“从网络访问此计算机”设置为“指定授权用户”

三、口令

编号:

OS-Windows-口令-01

要求内容:

密码长度最少8位,密码复杂度至少包含以下四种类别的字符中的三种:

英语大写字母A,B,C,…Z

英语小写字母a,b,c,…z

阿拉伯数字0,1,2,…9

非字母数字字符,如标点符号,@,#,$,%,&,*等

操作指南:

进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:

“密码必须符合复杂性要求”选择“已启动”。

检测方法:

进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:

查看是否“密码必须符合复杂性要求”选择“已启动。

判定条件:

“密码必须符合复杂性要求”选择“已启动”。

编号:

OS-Windows-口令-02

要求内容:

对于采用静态口令认证技术的设备,账户口令的生存期一般不超过90天,最长不超过180天

操作指南:

进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:

“密码最长存留期”设置为“90天”。

检测方法:

进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:

查看是否“密码最长存留期”设置为“90天”。

判定条件:

“密码最长存留期”设置为“90天”。

编号:

OS-Windows-口令-03

要求内容:

对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令

操作指南:

进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:

“强制密码历史”设置为“记住5个密码”。

检测方法:

进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:

查看是否“强制密码历史”设置为“记住5个密码”。

判定条件:

“强制密码历史”设置为“记住5个密码”。

编号:

OS-Windows-口令-04

要求内容:

对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号

操作指南:

进入“控制面板->管理工具->本地安全策略”,在“帐户策略->帐户锁定策略”:

“账户锁定阀值”设置为6次,设置解锁阀值:

30分钟。

检测方法:

进入“控制面板->管理工具->本地安全策略”,在“帐户策略->帐户锁定策略”:

查看是否“账户锁定阀值”设置为小于等于6次。

判定条件:

“账户锁定阀值”设置为小于或等于6次。

补充说明:

设置不当可能导致账号大面积锁定,在域环境中应小心设置,Administrator账号本身不会被锁定。

四、安全补丁

编号:

OS-Windows-安全补丁-01

要求内容:

在保证业务可用性的前提下,经过分析测试后,可以选择更新使用最新版本的补丁;

操作指南:

例如截止到2010年最新版本:

WindowsXP的ServicePack为SP3。

Windows2000的ServicePack为SP4,Windows2003的ServicePack为SP2。

检测方法:

进入控制面板->添加或删除程序->显示更新打钩,查看是否XP系统已安装SP3,Win2000系统已安装SP4,Win2003系统已安装SP2。

五、防护软件

编号:

OS-Windows-防护软件-01

要求内容:

启用自带防火墙或安装第三方威胁防护软件。

根据业务需要限定允许访问网络的应用程序,和允许远程登陆该设备的IP地址范围

操作指南:

进入“控制面板->网络连接->本地连接”,在高级选项的设置中启用Windows防火墙。

在“例外”中配置允许业务所需的程序接入网络;在“例外->编辑->更改范围”编辑允许接入的网络地址范围。

检测方法:

进入“控制面板->网络连接->本地连接”,在高级选项的设置中,查看是否启用Windows防火墙。

查看是否在“例外”中配置允许业务所需的程序接入网络;

查看是否在“例外->编辑->更改范围”编辑允许接入的网络地址范围。

判定条件:

启用Windows防火墙。

“例外”中允许接入网络的程序均为业务所需。

补充说明:

分为服务器和操作终端两种情况:

服务器该项为可选,操作终端该项为必选

六、防病毒软件

编号:

OS-Windows-防病毒软件-01

要求内容:

安装防病毒软件,并及时更新

操作指南:

安装防病毒软件,并及时更新

检测方法:

控制面板->添加或删除程序,是否安装有防病毒软件。

打开防病毒软件控制面板,查看病毒码更新日期。

判定条件:

已安装防病毒软件,病毒码更新时间不早于1个月,各系统病毒码升级时间要求参见各系统相关规定。

注:

对于操作终端该项为必选项,对于服务器该项为可选项

七、日志

编号:

OS-Windows-日志-01

要求内容:

设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址

操作指南:

开始->运行->执行“控制面板->管理工具->本地安全策略->审核策略”;审核登录事件,双击,设置为成功和失败都审核。

检测方法:

开始->运行->执行“控制面板->管理工具->本地安全策略->审核策略”;审核登录事件,双击,查看是否设置为成功和失败都审核。

判定条件:

审核登录事件,设置为成功和失败都审核。

编号:

OS-Windows-日志-02

要求内容:

开启审核策略,以便出现安全问题后进行追查

操作指南:

对审核策略进行检查:

开始-运行-gpedit.msc

计算机配置-Windows设置-安全设置-本地策略-审核策略

以下审核是必须开启的,其他的可以根据需要增加:

审核系统登陆事件成功,失败

审核帐户管理成功,失败

审核登陆事件成功,失败

审核对象访问成功

审核策略更改成功,失败

审核特权使用成功,失败

审核系统事件成功,失败

判定条件:

尝试对被添加了访问审核的对象进行访问,然后查看安全日志中是否会有相关记录,或通过其他手段激化以配置的审核策略,并观察日志中的记录情况,如果存在记录条目,则配置成功。

补充说明:

可能会使日志量猛增。

编号:

OS-Windows-日志-03

要求内容:

设置日志容量和覆盖规则,保证日志存储

操作指南:

开始-运行-eventvwr

右键选择日志,属性,根据实际需求设置;

日志文件大小:

可根据需要制定。

超过上限时的处理方式(建议日志记录天数不小于90天)

检测方法:

开始-运行-eventvwr,右键选择日志,属性,查看日志上限及超过上线时的处理方式。

补充说明:

建议对每个日志均进行如上操作,同时应保证磁盘空间。

八、Windows服务

编号:

OS-Windows-Windows服务-01

要求内容:

关闭不必要的服务

操作指南:

进入“控制面板->管理工具->计算机管理”,进入“服务和应用程序”:

可根据具体应用情况参考附表1,筛选不必要的服务。

检测方法:

进入“控制面板->管理工具->计算机管理”,进入“服务和应用程序”;查看所有服务,不在此列表的服务是否已关闭。

判定条件:

系统管理员应出具系统所必要的服务列表;

查看所有服务,不在此列表的服务需关闭。

编号:

OS-Windows-Windows服务-02

要求内容:

如需启用SNMP服务,则修改默认的SNMPCommunityString设置。

操作指南:

打开“控制面板”,打开“管理工具”中的“服务”,找到“SNMPService”,单击右键打开“属性”面板中的“安全”选项卡,在这个配置界面中,可以修改communitystrings,也就是微软所说的“团体名称”。

检测方法:

打开“控制面板”,打开“管理工具”中的“服务”,找到“SNMPService”,单击右键打开“属性”面板中的“安全”选项卡,在这个配置界面中,查看communitystrings,也就是微软所说的“团体名称”。

判定条件:

communitystrings已改,不是默认的“public”。

编号:

OS-Windows-Windows服务-03

要求内容:

如对互联网开放WindowsTerminial服务(RemoteDesktop),需修改默认服务端口

操作指南:

开始->运行Regedt32

并转到此项:

HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminalServerWinStationsRDP-Tcp

找到“PortNumber”子项,会看到默认值00000D3D,它是3389的十六进制表示形式。

使用十六进制数值修改此端口号,并保存新值。

检测方法:

运行Regedt32,找到此项并判断。

判定条件:

找到“PortNumber”子项,设定值非00000D3D,即十进制3389。

九、启动项

编号:

OS-Windows-启动项-01

要求内容:

关闭无效启动项

操作指南:

“开始->运行->MSconfig”启动菜单中,取消不必要的启动项。

检测方法:

系统管理员提供业务必须的自动加载进程和服务列表文档。

查看“开始->运行->MSconfig”启动菜单:

不需要的自动加载进程是否已禁用和取消。

一十、关闭自动播放功能

编号:

OS-Windows-关闭自动播放功能-01

要求内容:

关闭Windows自动播放功能

操作指南:

开始→运行→gpedit.msc,打开组策略编辑器,浏览到计算机配置→管理模板→系统,在右边窗格中双击“关闭自动播放”,对话框中选择所有驱动器,确定即可。

检测方法:

“关闭自动播放”配置已启用,启用范围:

所有驱动器。

判定条件:

所有驱动器均“关闭自动播放”。

一十一、共享文件夹

编号:

OS-Windows-共享文件夹-01

要求内容:

在非域环境下,关闭Windows硬盘默认共享,例如C$,D$

操作指南:

进入“开始->运行->Regedit”,进入注册表编辑器,更改注册表键值:

HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\下,增加REG_DWORD类型的AutoShareServer键,值为0。

检测方法:

进入“开始->运行->Regedit”,进入注册表编辑器,更改注册表键值:

HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\,增加REG_DWORD类型的AutoShareServer键,值为0。

判定条件:

HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\增加了REG_DWORD类型的AutoShareServer键,值为0。

编号:

OS-Windows-共享文件夹-02

要求内容:

设置共享文件夹的访问权限,只允许授权的账户拥有权限共享此文件夹

操作指南:

进入“控制面板->管理工具->计算机管理”,进入“系统工具->共享文件夹”:

查看每个共享文件夹的共享权限,只将权限授权于指定账户。

检测方法:

进入“控制面板->管理工具->计算机管理”,进入“系统工具->共享文件夹”:

查看每个共享文件夹的共享权限。

判定条件:

查看每个共享文件夹的共享权限仅限于业务需要,不设置成为“everyone”。

一十二、使用NTFS文件系统

编号:

OS-Windows-使用NTFS文件系统-01

要求内容:

在不毁坏数据的情况下,将FAT分区改为NTFS格式

操作指南:

将FAT卷转换成NTFS分区:

CONVERTvolume/FS:

NTFS[/V][/CvtArea:

filename][/NoSecurity][/X]

Volume指定驱动器号(后面加一个冒号)、装载点或卷名

/FS:

NTFS指定要被转换成NTFS的卷

/V指定CONVERT应该用详述模式运行

/CvtArea:

filename将根目录中的一个接续文件指定为NTFS系统文件的占位符

/NoSecurity指定每个人都可以访问转换的文件和目录的安全设置

/X如果必要,先强行卸载卷,有打开的句柄则无效

例如:

CovertC:

/FS:

NTFS

检测方法:

补充说明:

1)、新上线系统必须要求NTFS分区,已上线系统在不损坏数据的情况下应用

2)、在有其他非WIN系统访问、存在数据共享的情况下,不建议将FAT分区改为NTFS格式

一十三、网络访问

编号:

OS-Windows-网络访问-01

要求内容:

禁用匿名访问命名管道和共享

操作指南:

“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项”:

网络访问:

可匿名访问的共享设置为全部删除。

“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项”:

网络访问:

可匿名访问的命名管道 设置为全部删除。

检测方法:

查看“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项”:

网络访问:

可匿名访问的共享、可匿名访问的命名管道是否设置为全部删除。

判定条件:

全部删除匿名访问命名管道和共享。

编号:

OS-Windows-网络访问-02

要求内容:

禁用可远程访问的注册表路径和子路径

操作指南:

“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项”:

网络访问:

可远程访问的注册表路径 设置为全部删除。

“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项”:

网络访问:

可远程访问的注册表路径和子路径设置为全部删除。

检测方法:

查看“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项”:

网络访问中,查看,可远程访问的注册表路径、可远程访问的注册表路径和子路径是否设置为全部删除。

判定条件:

全部删除可远程访问的注册表路径和子路径。

一十四、会话超时设置

编号:

OS-Windows-会话超时设置-01

要求内容:

对于远程登录的账户,设置不活动所连接时间15分钟

操作指南:

进入“控制面板—管理工具—本地安全策略”,在“安全策略—安全选项”:

“Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟。

检测方法:

进入“控制面板—管理工具—本地安全策略”,在“安全策略—安全选项”:

查看“Microsoft网络服务器”设置。

判定条件:

“Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”

一十五、注册表设置

编号:

OS-Windows-注册表设置-01

要求内容:

在不影响系统稳定运行的前提下,对注册表信息进行更新

操作指南:

自动登录:

HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\AutoAdminLogon(REG_DWORD)0

源路由欺骗保护:

HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting(REG_DWORD)2

删除匿名用户空链接

HKEY_LOCAL_MACHINESYSTEM\Current\Control\Set\Control\Lsa

将restrictanonymous的值设置为1,若该值不存在,可以自己创建,类型为REG_DWORD

修改完成后重新启动系统生效

碎片攻击保护:

HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscovery(REG_DWORD)1

Synflood攻击保护:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services之下,可设置:

TcpMaxPortsExhausted。

推荐值:

5。

TcpMaxHalfOpen。

推荐值数据:

500。

TcpMaxHalfOpenRetried。

推荐值数据:

400

检测方法:

点击开始->运行,然后在打开行里输入regedit,然后单击确定,查看相关注册表项进行查看;使用空连接扫描工具无法远程枚举用户名和用户组。

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 幼儿教育 > 幼儿读物

copyright@ 2008-2023 冰点文库 网站版权所有

经营许可证编号:鄂ICP备19020893号-2