各类操作系统安全配置要求及操作指南检查模块支持系统版本号WindowsWindows2000以上SolarisSolaris8以上AIXAIX5.X以上HP-UNIXHP-UNIX11i以上Linux内核版本2.6以上OracleOracle8i以上SQLServerMicrosoftSQLServer2000以上MySQLMySQL5.x以上IISIIS5.x以上ApacheApache2.x以上TomcatTomcat5.x以上WebLogicWebLogic8.X以上Windows操作系统安全配置要求及操作指南I目录目录.....................................................................I前言....................................................................II1范围.......................................................................12规范性引用文件.............................................................13缩略语.....................................................................14安全配置要求...............................................................24.1账号.....................................................................24.2口令.....................................................................34.3授权.....................................................................54.4补丁.....................................................................74.5防护软件.................................................................84.6防病毒软件...............................................................84.7日志安全要求.............................................................94.8不必要的服务............................................................114.9启动项..................................................................124.10关闭自动播放功能.......................................................134.11共享文件夹.............................................................134.12使用NTFS文件系统.....................................................144.13网络访问...............................................................154.14会话超时设置...........................................................164.15注册表设置.............................................................17附录A:端口及服务..........................................................18II前言为了在工程验收、运行维护、安全检查等环节,规范并落实安全配置要求,编制了一系列的安全配置要求及操作指南,明确了操作系统、数据库、应用中间件在内的通用安全配置要求及参考操作。该系列安全配置要求及操作指南的结构及名称预计如下:(1)《Windows操作系统安全配置要求及操作指南》(本规范)(2)《AIX操作系统安全配置要求及操作指南》(3)《HP-UX操作系统安全配置要求及操作指南》(4)《Linux操作系统安全配置要求及操作指南》(5)《Solaris操作系统安全配置要求及操作指南》(6)《MSSQLserver数据库安全配置要求及操作指南》(7)《MySQL数据库安全配置要求及操作指南》(8)《Oracle数据库安全配置要求及操作指南》(9)《Apache安全配置要求及操作指南》(10)《IIS安全配置要求及操作指南》(11)《Tomcat安全配置要求及操作指南》(12)《WebLogic安全配置要求及操作指南》11范围适用于使用Windows操作系统的设备。在未特别说明的情况下,均适用于所有运行的Windows操作系统,包括Windows2000、WindowsXP、Windows2003,Windows7,Windows2008以及各版本中的Sever、Professional版本。本规范明确了Windows操作系统在安全配置方面的基本要求,适用于所有的安全等级,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。由于版本不同,配置操作有所不同,本规范以Windows2003为例,给出参考配置操作。2规范性引用文件GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》YD/T1732-2008《固定通信网安全防护要求》YD/T1734-2008《移动通信网安全防护要求》YD/T1736-2008《互联网安全防护要求》YD/T1738-2008《增值业务网—消息网安全防护要求》YD/T1740-2008《增值业务网—智能网安全防护要求》YD/T1758-2008《非核心生产单元安全防护要求》YD/T1742-2008《接入网安全防护要求》YD/T1744-2008《传送网安全防护要求》YD/T1746-2008《IP承载网安全防护要求》YD/T1748-2008《信令网安全防护要求》YD/T1750-2008《同步网安全防护要求》YD/T1752-2008《支撑网安全防护要求》YD/T1756-2008《电信网和互联网管理安全等级保护要求》3缩略语UDPUserDatagramProtocol用户数据包协议TCPTransmissionControlProtocol传输控制协议2NTFSNewTechnologyFileSystem新技术文件系统4安全配置要求4.1账号编号:1要求内容应按照不同的用户分配不同的账号,避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。操作指南1、参考配置操作进入“控制面板-管理工具-计算机管理”,在“系统工具-本地用户和组”:根据系统的要求,设定不同的账户和账户组。检测方法1、判定条件结合要求和实际业务情况判断符合要求,根据系统的要求,设定不同的账户和账户组2、检测操作进入“控制面板-管理工具-计算机管理”,在“系统工具-本地用户和组”:查看根据系统的要求,设定不同的账户和账户组编号:2要求内容应删除与运行、维护等工作无关的账号。操作指南1.参考配置操作A)可使用用户管理工具:开始-运行-compmgmt.msc-本地用户和组-用户B)也可以通过net命令:删除账号:netuseraccount/de1停用账号:netuseraccount/active:no检测方法1.判定条件结合要求和实际业务情况判断符合要求,删除或锁定与设备运行、维护等与工作无关的账号。3注:无关的账号主要指测试帐户、共享帐号、长期不用账号(半年以上不用)等2.检测操作开始-运行-compmgmt.msc-本地用户和组-用户编号:3要求内容重命名Administrator;禁用guest(来宾)帐号。操作指南1、参考配置操作进入“控制面板-管理工具-计算机管理”,在“系统工具-本地用户和组”:Administrator-属性-更改名称Guest帐号-属性-已停用检测方法1、判定条件缺省账户Administrator名称已更改。Guest帐号已停用。2、检测操作进入“控制面板-管理工具-计算机管理”,在“系统工具-本地用户和组”:缺省帐户-属性-更改名称Guest帐号-属性-已停用4.2口令编号:1要求内容密码长度要求:最少8位密码复杂度要求:至少包含以下四种类别的字符中的三种:z英语大写字母A,B,C,…Zz英语小写字母a,b,c,…zz阿拉伯数字0,1,2,…9z非字母数字字符,如标点符号,@,#,$,%,&,*等4操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”,在“帐户策略-密码策略”:“密码必须符合复杂性要求”选择“已启动”检测方法1、判定条件“密码必须符合复杂性要求”选择“已启动”2、检测操作进入“控制面板-管理工具-本地安全策略”,在“帐户策略-密码策略”:查看是否“密码必须符合复杂性要求”选择“已启动”编号:2要求内容对于采用静态口令认证技术的设备,账户口令的生存期不长于90天。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”,在“帐户策略-密码策略”:“密码最长存留期”设置为“90天”检测方法1、判定条件“密码最长存留期”设置为“90天”2、检测操作进入“控制面板-管理工具-本地安全策略”,在“帐户策略-密码策略”:查看是否“密码最长存留期”设置为“90天”编号:3要求内容对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令。操作指南1、参考配置操作5进入“控制面板-管理工具-本地安全策略”,在“帐户策略-密码策略”:“强制密码历史”设置为“记住5个密码”检测方法1、判定条件“强制密码历史”设置为“记住5个密码”2、检测操作进入“控制面板-管理工具-本地安全策略”,在“帐户策略-密码策略”:查看是否“强制密码历史”设置为“记住5个密码”编号:4要求内容对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”,在“帐户策略-帐户锁定策略”:“账户锁定阀值”设置为6次设置解锁阀值:30分钟检测方法1、判定条件“账户锁定阀值”设置为小于或等于6次2、检测操作进入“控制面板-管理工具-本地安全策略”,在“帐户策略-帐户锁定策略”:查看是否“账户锁定阀值”设置为小于等于6次补充说明:设置不当可能导致账号大面积锁定,在域环境中应小心设置,Administrator账号本身不会被锁定。4.3授权编号:16要求内容本地、远端系统强制关机只指派给Administrators组。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”,在“本地策略-用户权利指派”:“关闭系统”设置为“只指派给Administrators组”“从远端系统强制关机”设置为“只指派给Administrators组”检测方法1、判定条件“关闭系统”设置为“只指派给Administrators组”“从远端系统强制关机”设置为“只指派给Administrtors组”2、