各类操作系统安全基线配置

各类操作系统安全配置要求及操作指南检查模块支持系统版本号WindowsWindows2000以上SolarisSolaris8以上AIXAIX5.X以上HP-UNIXHP-UNIX11i以上Linux内核版本2.6以上OracleOracle8i以上SQLServerMicrosoftSQLServer2000以上MySQLMySQL5.x以上IISIIS5.x以上ApacheApache2.x以上TomcatTomcat5.x以上WebLogicWebLogic8.X以上Windows操作系统安全配置要求及操作指南I目录目录.....................................................................I前言....................................................................II1范围.......................................................................12规范性引用文件.............................................................13缩略语.....................................................................14安全配置要求...............................................................24.1账号.....................................................................24.2口令.....................................................................34.3授权.....................................................................54.4补丁.....................................................................74.5防护软件.................................................................84.6防病毒软件...............................................................84.7日志安全要求.............................................................94.8不必要的服务............................................................114.9启动项..................................................................124.10关闭自动播放功能.......................................................134.11共享文件夹.............................................................134.12使用NTFS文件系统.....................................................144.13网络访问...............................................................154.14会话超时设置...........................................................164.15注册表设置.............................................................17附录A：端口及服务..........................................................18II前言为了在工程验收、运行维护、安全检查等环节，规范并落实安全配置要求，编制了一系列的安全配置要求及操作指南，明确了操作系统、数据库、应用中间件在内的通用安全配置要求及参考操作。该系列安全配置要求及操作指南的结构及名称预计如下：（1）《Windows操作系统安全配置要求及操作指南》（本规范）（2）《AIX操作系统安全配置要求及操作指南》（3）《HP-UX操作系统安全配置要求及操作指南》（4）《Linux操作系统安全配置要求及操作指南》（5）《Solaris操作系统安全配置要求及操作指南》（6）《MSSQLserver数据库安全配置要求及操作指南》（7）《MySQL数据库安全配置要求及操作指南》（8）《Oracle数据库安全配置要求及操作指南》（9）《Apache安全配置要求及操作指南》（10）《IIS安全配置要求及操作指南》（11）《Tomcat安全配置要求及操作指南》（12）《WebLogic安全配置要求及操作指南》11范围适用于使用Windows操作系统的设备。在未特别说明的情况下，均适用于所有运行的Windows操作系统，包括Windows2000、WindowsXP、Windows2003,Windows7,Windows2008以及各版本中的Sever、Professional版本。本规范明确了Windows操作系统在安全配置方面的基本要求，适用于所有的安全等级，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。由于版本不同，配置操作有所不同，本规范以Windows2003为例，给出参考配置操作。2规范性引用文件GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》YD/T1732-2008《固定通信网安全防护要求》YD/T1734-2008《移动通信网安全防护要求》YD/T1736-2008《互联网安全防护要求》YD/T1738-2008《增值业务网—消息网安全防护要求》YD/T1740-2008《增值业务网—智能网安全防护要求》YD/T1758-2008《非核心生产单元安全防护要求》YD/T1742-2008《接入网安全防护要求》YD/T1744-2008《传送网安全防护要求》YD/T1746-2008《IP承载网安全防护要求》YD/T1748-2008《信令网安全防护要求》YD/T1750-2008《同步网安全防护要求》YD/T1752-2008《支撑网安全防护要求》YD/T1756-2008《电信网和互联网管理安全等级保护要求》3缩略语UDPUserDatagramProtocol用户数据包协议TCPTransmissionControlProtocol传输控制协议2NTFSNewTechnologyFileSystem新技术文件系统4安全配置要求4.1账号编号：1要求内容应按照不同的用户分配不同的账号，避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。操作指南1、参考配置操作进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：根据系统的要求，设定不同的账户和账户组。检测方法1、判定条件结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的账户和账户组2、检测操作进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：查看根据系统的要求，设定不同的账户和账户组编号：2要求内容应删除与运行、维护等工作无关的账号。操作指南1．参考配置操作A）可使用用户管理工具：开始-运行-compmgmt.msc-本地用户和组-用户B）也可以通过net命令：删除账号：netuseraccount/de1停用账号：netuseraccount/active:no检测方法1.判定条件结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的账号。3注：无关的账号主要指测试帐户、共享帐号、长期不用账号（半年以上不用）等2.检测操作开始-运行-compmgmt.msc-本地用户和组-用户编号：3要求内容重命名Administrator；禁用guest（来宾）帐号。操作指南1、参考配置操作进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：Administrator－属性－更改名称Guest帐号-属性－已停用检测方法1、判定条件缺省账户Administrator名称已更改。Guest帐号已停用。2、检测操作进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：缺省帐户－属性－更改名称Guest帐号-属性－已停用4.2口令编号：1要求内容密码长度要求：最少8位密码复杂度要求：至少包含以下四种类别的字符中的三种：z英语大写字母A,B,C,…Zz英语小写字母a,b,c,…zz阿拉伯数字0,1,2,…9z非字母数字字符，如标点符号，@,#,$,%,&,*等4操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：“密码必须符合复杂性要求”选择“已启动”检测方法1、判定条件“密码必须符合复杂性要求”选择“已启动”2、检测操作进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：查看是否“密码必须符合复杂性要求”选择“已启动”编号：2要求内容对于采用静态口令认证技术的设备，账户口令的生存期不长于90天。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：“密码最长存留期”设置为“90天”检测方法1、判定条件“密码最长存留期”设置为“90天”2、检测操作进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：查看是否“密码最长存留期”设置为“90天”编号：3要求内容对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。操作指南1、参考配置操作5进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：“强制密码历史”设置为“记住5个密码”检测方法1、判定条件“强制密码历史”设置为“记住5个密码”2、检测操作进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：查看是否“强制密码历史”设置为“记住5个密码”编号：4要求内容对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“帐户策略-帐户锁定策略”：“账户锁定阀值”设置为6次设置解锁阀值：30分钟检测方法1、判定条件“账户锁定阀值”设置为小于或等于6次2、检测操作进入“控制面板-管理工具-本地安全策略”，在“帐户策略-帐户锁定策略”：查看是否“账户锁定阀值”设置为小于等于6次补充说明：设置不当可能导致账号大面积锁定，在域环境中应小心设置，Administrator账号本身不会被锁定。4.3授权编号：16要求内容本地、远端系统强制关机只指派给Administrators组。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”:“关闭系统”设置为“只指派给Administrators组”“从远端系统强制关机”设置为“只指派给Administrators组”检测方法1、判定条件“关闭系统”设置为“只指派给Administrators组”“从远端系统强制关机”设置为“只指派给Administrtors组”2、