Windows安全配置规范

Windows安全配置规范2010年11月第1章概述1.1适用范围本规范明确了Windows操作系统在安全配置方面的基本要求，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。适用于中国电信所有运行的Windows操作系统，包括Windows2000、WindowsXP、Windows2003,Windows7,Windows2008以及各版本中的Sever、Professional版本。第2章安全配置要求2.1账号编号：1要求内容应按照不同的用户分配不同的账号，避免不同用户间共享账号，避免用户账号和设备间通信使用的账号共享。操作指南1、参考配置操作进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：根据系统的要求，设定不同的账户和账户组。检测方法1、判定条件结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的账户和账户组2、检测操作进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：查看根据系统的要求，设定不同的账户和账户组编号：2要求内容应删除与运行、维护等工作无关的账号。操作指南1．参考配置操作A）可使用用户管理工具：开始-运行-compmgmt.msc-本地用户和组-用户B）也可以通过net命令：删除账号：netuseraccount/de1停用账号：netuseraccount/active:no检测方法1.判定条件结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的账号。注：主要指测试帐户、共享帐号、已经不用账号等2.检测操作开始-运行-compmgmt.msc-本地用户和组-用户编号：3要求内容重命名Administrator；禁用guest（来宾）帐号。操作指南1、参考配置操作进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：Administrator－属性－更改名称Guest帐号-属性－已停用检测方法1、判定条件缺省账户Administrator名称已更改。Guest帐号已停用。2、检测操作进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：缺省帐户－属性－更改名称Guest帐号-属性－已停用2.2口令编号：1要求内容密码长度要求：最少8位密码复杂度要求：至少包含以下四种类别的字符中的三种：英语大写字母A,B,C,…Z英语小写字母a,b,c,…z阿拉伯数字0,1,2,…9非字母数字字符，如标点符号，@,#,$,%,&,*等操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：“密码必须符合复杂性要求”选择“已启动”检测方法1、判定条件“密码必须符合复杂性要求”选择“已启动”2、检测操作进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：查看是否“密码必须符合复杂性要求”选择“已启动”编号：2要求内容对于采用静态口令认证技术的设备，账户口令的生存期不长于90天。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：“密码最长存留期”设置为“90天”检测方法1、判定条件“密码最长存留期”设置为“90天”2、检测操作进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：查看是否“密码最长存留期”设置为“90天”编号：3要求内容对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：“强制密码历史”设置为“记住5个密码”检测方法1、判定条件“强制密码历史”设置为“记住5个密码”2、检测操作进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：查看是否“强制密码历史”设置为“记住5个密码”编号：4要求内容对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“帐户策略-帐户锁定策略”：“账户锁定阀值”设置为6次检测方法1、判定条件“账户锁定阀值”设置为小于或等于6次2、检测操作进入“控制面板-管理工具-本地安全策略”，在“帐户策略-帐户锁定策略”：查看是否“账户锁定阀值”设置为小于等于6次补充说明：设置不当可能导致账号大面积锁定，在域环境中应小心设置，Administrator账号本身不会被锁定。2.3授权编号：1要求内容本地、远端系统强制关机只指派给Administrators组。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”:“关闭系统”设置为“只指派给Administrators组”“从远程系统强制关机”设置为“只指派给Administrators组”检测方法1、判定条件“关闭系统”设置为“只指派给Administrators组”“从远端系统强制关机”设置为“只指派给Administrtors组”2、检测操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”:查看“关闭系统”设置为“只指派给Administrators组”查看是否“从远端系统强制关机”设置为“只指派给Administrators组”编号：2要求内容在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”：“取得文件或其它对象的所有权”设置为“只指派给Administrators组”检测方法1、判定条件“取得文件或其它对象的所有权”设置为“只指派给Administrators组”2、检测操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”：查看是否“取得文件或其它对象的所有权”设置为“只指派给Administrators组”编号：3要求内容在本地安全设置中只允许授权帐号本地、远程访问登陆此计算机。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”“从本地登陆此计算机”设置为“指定授权用户”“从网络访问此计算机”设置为“指定授权用户”检测方法1、判定条件“从本地登陆此计算机”设置为“指定授权用户”“从网络访问此计算机”设置为“指定授权用户”2、检测操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”查看是否“从本地登陆此计算机”设置为“指定授权用户”查看是否“从网络访问此计算机”设置为“指定授权用户”2.4补丁编号：1要求内容在不影响业务的情况下，应安装最新的ServicePack补丁集。对服务器系统应先进行兼容性测试。操作指南1、参考配置操作安装最新的ServicePack补丁集，以及最新的Hotfix补丁。目前WindowsXP的ServicePack为SP3。Windows2000的ServicePack为SP4,Windows2003的ServicePack为SP2检测方法1、判定条件2、检测操作进入控制面板-添加或删除程序-显示更新打钩，查看是否XP系统已安装SP3，Win2000系统已安装SP4，Win2003系统已安装SP2。同时检查所有的hotfix，并查看系统安装的最后一个补丁的发布日期是否与最近最新发布的补丁日期一致。2.5防护软件编号：1（可选）要求内容启用自带防火墙或安装第三方威胁防护软件。根据业务需要限定允许访问网络的应用程序，和允许远程登陆该设备的IP地址范围。操作指南1、参考配置操作（以启动自带防火墙为例）进入“控制面板－网络连接－本地连接”，在高级选项的设置中启用Windows防火墙。在“例外”中配置允许业务所需的程序接入网络。在“例外-编辑-更改范围”编辑允许接入的网络地址范围。检测方法1、判定条件启用Windows防火墙。“例外”中允许接入网络的程序均为业务所需。2、检测操作进入“控制面板－网络连接－本地连接”，在高级选项的设置中，查看是否启用Windows防火墙。查看是否在“例外”中配置允许业务所需的程序接入网络。查看是否在“例外-编辑-更改范围”编辑允许接入的网络地址范围。2.6防病毒软件编号：1要求内容安装防病毒软件，并及时更新。操作指南1、参考配置操作安装防病毒软件，并及时更新。检测方法1、判定条件已安装放病毒软件，病毒码更新时间不早于1个月，各系统病毒码升级时间要求参见各系统相关规定。2、检测操作控制面板-添加或删除程序，是否安装有防病毒软件。打开防病毒软件控制面板，查看病毒码更新日期。2.8日志安全要求编号：1要求内容设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。操作指南1、参考配置操作开始-运行-执行“控制面板-管理工具-本地安全策略-审核策略”审核登录事件，双击，设置为成功和失败都审核。检测方法1、判定条件审核登录事件，设置为成功和失败都审核。2、检测操作开始-运行-执行“控制面板-管理工具-本地安全策略-审核策略”审核登录事件，双击，查看是否设置为成功和失败都审核。编号：2要求内容开启审核策略，以便出现安全问题后进行追查操作指南1、参考配置操作对审核策略进行检查：开始-运行-gpedit.msc计算机配置-Windows设置-安全设置-本地策略-审核策略以下审核是必须开启的，其他的可以根据需要增加：审核系统登陆事件成功，失败审核帐户管理成功，失败审核登陆事件成功，失败审核对象访问成功审核策略更改成功，失败审核特权使用成功，失败审核系统事件成功，失败2、补充说明可能会使日志量猛增检测方法1、判定条件尝试对被添加了访问审核的对象进行访问，然后查看安全日志中是否会有相关记录，或通过其他手段激化以配置的审核策略，并观察日志中的记录情况，如果存在记录条目，则配置成功。2、检测操作编号：3要求内容设置日志容量和覆盖规则，保证日志存储操作指南1、参考配置操作开始-运行-eventvwr右键选择日志，属性，根据实际需求设置：日志文件大小超过上线时的处理方式（建议日志记录天数不小于60天）2、补充说明建议对每个日志均进行如上操作，同时应保证磁盘空间检测方法1、判定条件2、检测操作开始-运行-eventvwr，右键选择日志，属性，查看日志上线及超过上线时的处理方式2.7Windows服务编号：1要求内容关闭不必要的服务操作指南1、参考配置操作进入“控制面板-管理工具-计算机管理”，进入“服务和应用程序”：查看所有服务，不在此列表的服务需关闭。可禁用的服务及其相关说明如附表所示检测方法1、判定条件系统管理员应出具系统所必要的服务列表。查看所有服务，不在此列表的服务需关闭。2、检测操作进入“控制面板-管理工具-计算机管理”，进入“服务和应用程序”：查看所有服务，不在此列表的服务是否已关闭。编号：2要求内容如需启用SNMP服务，则修改默认的SNMPCommunityString设置。操作指南1、参考配置操作打开“控制面板”，打开“管理工具”中的“服务”，找到“SNMPService”，单击右键打开“属性”面板中的“安全”选项卡，在这个配置界面中，可以修改communitystrings，也就是微软所说的“团体名称”。检测方法1、判定条件communitystrings已改，不是默认的“public”2、检测操作打开“控制面板”，打开“管理工具”中的“服务”，找到“SNMPService”，单击右键打开“属性”面板中的“安全”选项卡，在这个配置界面中，查看communitystrings，也就是微软所说的“团体名称”。编号：3要求内容如对互联网开放WindowsTerminial服务