搜索
WINDOWS操作系统安全规范手册部门:版本:密级:作者:步骤清单说明账号管理、认证授权账号管理:1.按照用户分配账号。根据系统的要求,设定不同的账户和账户组,管理员用户,数据库用户,审计用户,来宾用户等。2.删除或锁定与设备运行、维护等与工作无关的账号。3.对于管理员帐号,要求更改缺省帐户名称;禁用guest(来宾)帐号。4.最短密码长度8个字符,启用本机组策略中密码必须符合复杂性要求的策略。例:DFKJo*#rDFK5.在下一次更改密码时不存储LAN管理器哈希值(已启用)6.对于采用静态口令认证技术的设备,账户口令的生存期不长于90天。7.对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令。8.对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。9.对于远程登陆的帐号,设置不活动断连时间15分钟。认证授权:10.在本地安全设置中从远端系统强制关机只指派给Administrators组。11.在本地安全设置中关闭系统仅指派给Administrators组。12.在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。13.在本地安全设置中配置指定授权用户允许本地登陆此计算机。14.在组策略中只允许授权帐号从网络访问(包括网络共享等,但不包括终端服务)此计算机。日志配置操作1.设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。2.审核登录事件,双击,设置为成功和失败都审核。3.设置应用日志文件大小至少为8192KB,设置当达到最大的日志尺寸时,按需要改写事件。IP协议安全配置操作1.对没有自带防火墙的Windows系统,启用Windows系统的IP安全机制(IPSec)或网络连接上的TCP/IP筛选,只开放业务所需要的TCP,UDP端口和IP协议。2.启用WindowsXP和Windows2003自带防火墙。根据业务需要限定允许访问网络的应用程序,和允许远程登陆该设备的IP地址范围。3.启用SYN攻击保护;指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阀值为5;指定处于SYN_RCVD状态的TCP连接数的阈值为500;指定处于至少已发送一次重传的SYN_RCVD状态中的TCP连接数的阈值为400。共享文件夹及访问权限1.非域环境中,关闭Windows硬盘默认共享,例如C$,D$。2.查看每个共享文件夹的共享权限,只允许授权的账户拥有权限共享此文件夹。补丁管理1.应安装最新的ServicePack补丁集。对服务器系统应先进行兼容性测试。2.应安装最新的Hotfix补丁。对服务器系统应先进行兼容性测试。IIS设置管理1.禁止下载Access数据库、删除其他扩展名。2.卸载不安全的IIS组件。3.修改脚本错误出现的错误信息。4.多站点设置最低权限独立IIS用户运行。5.取消网站目录不必要写入权限目录。6.禁止不需要运行脚本权限目录。应用软件配置1.禁止安装Radmin,任何用户均可获得HASH直接登陆系统。2.禁止安装Serv-U,任何版本均存在本地提权安全漏洞,必要时修改Serv-U运行权限,修改Serv-U默认密码3.WinRAR版本应为当前最新版本。4.SQLSERVER安装版本不得低于SQL2000SP4/SQL2005SP2。3.禁止在SQLServer中远程通过sa帐号连接数据库服务器。附送,配置操作步骤,有经验的可以跳过。1.1账号口令要求内容按照用户分配账号。根据系统的要求,设定不同的账户和账户组,管理员用户,数据库用户,审计用户,来宾用户等。操作指南1、参考配置操作进入“控制面板-管理工具-计算机管理”,在“系统工具-本地用户和组”:根据系统的要求,设定不同的账户和账户组,管理员用户,数据库用户,审计用户,来宾用户。检测方法1、判定条件结合要求和实际业务情况判断符合要求,根据系统的要求,设定不同的账户和账户组,管理员用户,数据库用户,审计用户,来宾用户。2、检测操作进入“控制面板-管理工具-计算机管理”,在“系统工具-本地用户和组”:查看根据系统的要求,设定不同的账户和账户组,管理员用户,数据库用户,审计用户,来宾用户。编号:安全要求-设备-WINDOWS-配置-2-可选要求内容删除或锁定与设备运行、维护等与工作无关的账号。操作指南1、参考配置操作进入“控制面板-管理工具-计算机管理”,在“系统工具-本地用户和组”:删除或锁定与设备运行、维护等与工作无关的账号。检测方法1、判定条件结合要求和实际业务情况判断符合要求,删除或锁定与设备运行、维护等与工作无关的账号。2、检测操作进入“控制面板-管理工具-计算机管理”,在“系统工具-本地用户和组”:查看是否删除或锁定与设备运行、维护等与工作无关的账号。要求内容对于管理员帐号,要求更改缺省帐户名称;禁用guest(来宾)帐号。操作指南1、参考配置操作进入“控制面板-管理工具-计算机管理”,在“系统工具-本地用户和组”:Administrator-属性-更改名称Guest帐号-属性-已停用检测方法1、判定条件缺省账户Administrator名称已更改。Guest帐号已停用。2、检测操作进入“控制面板-管理工具-计算机管理”,在“系统工具-本地用户和组”:缺省帐户-属性-更改名称Guest帐号-属性-已停用要求内容最短密码长度6个字符,启用本机组策略中密码必须符合复杂性要求的策略。即密码至少包含以下四种类别的字符中的三种:英语大写字母A,B,C,…Z英语小写字母a,b,c,…z西方阿拉伯数字0,1,2,…9非字母数字字符,如标点符号,@,#,$,%,&,*等操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”,在“帐户策略-密码策略”:“密码必须符合复杂性要求”选择“已启动”检测方法1、判定条件“密码必须符合复杂性要求”选择“已启动”2、检测操作进入“控制面板-管理工具-本地安全策略”,在“帐户策略-密码策略”:查看是否“密码必须符合复杂性要求”选择“已启动”要求内容在下一次更改密码时不存储LAN管理器哈希值操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”,在“本地策略-安全选项”:“网络安全:在下一次更改密码时不存储LAN管理器哈希值”选择“已启用”选择后操作修改本地用户密码检测方法1、判定条件“网络安全:在下一次更改密码时不存储LAN管理器哈希值”选择“已启用”,要求内容对于采用静态口令认证技术的设备,账户口令的生存期不长于90天。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”,在“帐户策略-密码策略”:“密码最长存留期”设置为“90天”检测方法1、判定条件“密码最长存留期”设置为“90天”2、检测操作进入“控制面板-管理工具-本地安全策略”,在“帐户策略-密码策略”:查看是否“密码最长存留期”设置为“90天”要求内容对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”,在“帐户策略-密码策略”:“强制密码历史”设置为“记住5个密码”检测方法1、判定条件“强制密码历史”设置为“记住5个密码”2、检测操作进入“控制面板-管理工具-本地安全策略”,在“帐户策略-密码策略”:查看是否“强制密码历史”设置为“记住5个密码”要求内容对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”,在“帐户策略-帐户锁定策略”:“账户锁定阀值”设置为6次检测方法1、判定条件“账户锁定阀值”设置为小于或等于6次2、检测操作进入“控制面板-管理工具-本地安全策略”,在“帐户策略-帐户锁定策略”:查看是否“账户锁定阀值”设置为小于等于6次1.1.1授权要求内容在本地安全设置中从远端系统强制关机只指派给Administrators组。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”,在“本地策略-用户权利指派”:“从远端系统强制关机”设置为“只指派给Administrators组”检测方法1、判定条件“从远端系统强制关机”设置为“只指派给Administrtors组”2、检测操作进入“控制面板-管理工具-本地安全策略”,在“本地策略-用户权利指派”:查看是否“从远端系统强制关机”设置为“只指派给Administrators组”要求内容在本地安全设置中关闭系统仅指派给Administrators组。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”,在“本地策略-用户权利指派”:“关闭系统”设置为“只指派给Administrators组”检测方法1、判定条件“关闭系统”设置为“只指派给Administrators组”2、检测操作进入“控制面板-管理工具-本地安全策略”,在“本地策略-用户权利指派”:查看“关闭系统”设置为“只指派给Administrators组”要求内容在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”,在“本地策略-用户权利指派”:“取得文件或其它对象的所有权”设置为“只指派给Administrators组”检测方法1、判定条件“取得文件或其它对象的所有权”设置为“只指派给Administrators组”2、检测操作进入“控制面板-管理工具-本地安全策略”,在“本地策略-用户权利指派”:查看是否“取得文件或其它对象的所有权”设置为“只指派给Administrators组”要求内容在本地安全设置中配置指定授权用户允许本地登陆此计算机。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”,在“本地策略-用户权利指派”“从本地登陆此计算机”设置为“指定授权用户”检测方法1、判定条件“从本地登陆此计算机”设置为“指定授权用户”2、检测操作进入“控制面板-管理工具-本地安全策略”,在“本地策略-用户权利指派”查看是否“从本地登陆此计算机”设置为“指定授权用户”要求内容在组策略中只允许授权帐号从网络访问(包括网络共享等,但不包括终端服务)此计算机。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”,在“本地策略-用户权利指派”“从网络访问此计算机”设置为“指定授权用户”检测方法1、判定条件“从网络访问此计算机”设置为“指定授权用户”2、检测操作进入“控制面板-管理工具-本地安全策略”,在“本地策略-用户权利指派”查看是否“从网络访问此计算机”设置为“指定授权用户”1.2日志配置操作要求内容设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。操作指南1、参考配置操作开始-运行-执行“控制面板-管理工具-本地安全策略-审核策略”审核登录事件,双击,设置为成功和失败都审核。检测方法1、判定条件审核登录事件,设置为成功和失败都审核。2、检测操作开始-运行-执行“控制面板-管理工具-本地安全策略-审核策略”审核登录事件,双击,查看是否设置为成功和失败都审核。要求内容设置应用日志文件大小至少为8192KB,设置当达到最大的日志尺寸时,按需要改写事件。操作指南1、参考配置操作进入“控制面板-管理工具-事件查看器”,在“事件查看器(本地)”中:“应用日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时,“按需要改写事件”检测方法1、判定条件“应用日志”属性中的日志大小设置不小于“819