Windows7操作系统安全配置基线与配置说明2014年9月1、账户管理1.1Administrator账户管理安全判定依据1)进入“控制面板-管理工具-计算机管理”,在弹出框中选择“系统工具-本地用户和组-用户”,2)如果存在Administrator账号,并且隶属于Administrators组,表明不符合安全要求。安全配置参考重命名账户:鼠标右键-重命名,键入新的账户名称配置截图参考:右键点击administrator用户重命名为其它名称(注意,不要改为admin)1.2Guest账户管理安全判定依据进入“控制面板-管理工具-计算机管理”,在弹出框中选择“系统工具-本地用户和组-用户”,在右侧选择Guest,双击鼠标左键查看,如果勾选了“账户已禁用”选项,表明符合安全要求。双击guest账户,确保账户已禁用选项是被选中的则为符合要求。1.3无关账户管理安全判定依据1)进入“控制面板-管理工具-计算机管理”,在弹出框中选择“系统工具-本地用户和组-用户”,2)如果不存在无关账户,或无关账户处于禁用状态,表明符合安全要求。参考操作删除无关账户:鼠标史键-删除;如果用户里面存在guest和administrator(已改名账户)以外的其它账户则不符合安全要求须对其它用户进行右键——删除操作2、密码管理2.1密码复杂度安全基线要求密码复杂度要求:至少包含以下四种类别的字符中的三种:英文大写字母(A到Z)英文小写字母(a到z)阿拉伯数字(0到9)非字母字符(例如!、$、#、%)安全判定依据进入“控制面板-管理工具-本地安全策略”,在“账户策略-密码策略”中,选择“密码必须符合复杂性要求”,查看其“安全设置“,如果显示”已启用“,表明符合安全要求。2.2密码长度最小值安全基线要求对亍采用静态口令认证技术的设备,密码最小长度不少于8位安全判定依据进入“控制面板-管理工具-本地安全策略”,在“账户策略-密码策略”中,选择“密码长度最小值”,查看其“安全设置“,如果显示”8个字符“,表明符合安全要求。2.3密码最长使用期限安全基线要求对于采用静态口令认证技术的设备,口令生存期不长于90天安全判定依据进入“控制面板-管理工具-本地安全策略”,在“账户策略-密码策略”中,选择“密码最长使用期限,查看其“安全设置”,如果显示“90天“,表明符合安全要求。2.4强制密码历史安全基线要求对于采用静态口令认证技术的设备,应配置设备使用户不能重复使用最近5次(含5次)内已使用的口令检测操作参考进入“控制面板-管理工具-本地安全策略”,在“账户策略-密码策略-强制密码历史”,鼠标右键-属性-5-确定。安全判定依据进入“控制面板-管理工具-本地安全策略”,在“账户策略-密码策略”中,选择“强制密码历史,查看其“安全设置“,如果显示“5个记住的密码“,表明符合安全要求。2.5账户锁定阈值(可选)安全基线要求对亍采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账户检测操作参考进入“控制面板-管理工具-本地安全策略”,在“账户策略-账户锁定策略-账户锁定阈值”,鼠标史键-属性-6-确定。安全判定依据进入“控制面板-管理工具-本地安全策略”,在“账户策略-账户锁定策略”中,选择“账户锁定阈值”,查看其“安全设置“,如果显示“6次无效登录“,表明符合安全要求。3、认证授权3.1远程强制关机授权安全基线要求非域环境的计算机,“从远程系统强制关机“的权限只指派给Administrators组检测操作参考进入“控制面板-管理工具-本地安全策略”,在“本地策略-用户权限分配-从远程系统强制关机”,鼠标右键-属性-设置为只指派给Administrators组。安全判定依据进入“控制面板-管理工具-本地安全策略”,在“本地策略-用户权限分配”中,鼠标左键双击“从远程系统强制关机”,如果弹出的对话框中仅显示”Administrators”组,表明符合安全要求。3.2文件所有权授权安全基线要求“取得文件或其他对象的所有权“只指派给Administrators组检测操作参考进入“控制面板-管理工具-本地安全策略”,在“本地策略-用户权限分配-取得文件或其他对象的所有权”,鼠标史键-属性-设置为只指派给安全判定依据进入“控制面板-管理工具-本地安全策略”,在“本地策略-用户权限分配”中,鼠标左键双击“取得文件或其他对象的所有权”,如果弹出的对话框中仅显示”Administrators”组,表明符合安全要求。4、日志审计4.1审核策略更改安全基线要求启用对Windows系统的审核策略更改,成功不失败都要审核检测操作参考进入“控制面板-管理工具-本地安全策略”,在“本地策略-审核策略-审核策略更改”,鼠标右键-属性-勾选“成功”与“失败”两项。安全判定依据进入“控制面板-管理工具-本地安全策略”,在“本地策略-审核策略“中,选择”审核策略更改”,查看其“安全设置“,默认为无审核,如果显示为“成功,失败”,表明符合安全要求。4.2审核登录事件安全基线要求应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账户,登录是否成功,登录时间,以及远程登录时使用的IP地址检测操作参考进入“控制面板-管理工具-本地安全策略”,在“本地策略-审核策略-审核登录事件”,鼠标史键-属性-勾选“成功”和“失败”两项。安全判定依据进入“控制面板-管理工具-本地安全策略“,在“本地策略-审核策略“中,选择”审核登录事件”,查看其“安全设置“,默认为无审核,如果显示为“成4.3审核对象访问安全基线要求启用对Windows系统的审核对象访问,成功不失败都要审核检测操作参考进入“控制面板-管理工具-本地安全策略”,在“本地策略-审核策略-审核对象访问”,鼠标右键-属性-勾选“成功”和“失败”两项。安全判定依据进入“控制面板-管理工具-本地安全策略”,在“本地策略-审核策略“中,选择”审核对象访问”,查看其“安全设置“,默认为无审核,如果显示为“成功,失败”,表明符合安全要求。4.4审核进程跟踪安全基线要求启用对Windows系统的审核特权使用,成功不失败都要审核检测操作参考进入“控制面板-管理工具-本地安全策略”,在“本地策略-审核策略-审核特权使用”,鼠标右键-属性-勾选“成功”与“失败”两项。安全判定依据进入“控制面板-管理工具-本地安全策略”,在“本地策略-审核策略“中,选择”审核特权使用”,查看其“安全设置“,默认为无审核,如果显示为“成功,失败”,表明符合安全要求。对审核策略中的所有项均进行以上配置操作4.5日志文件大小安全基线要求设置日志容量和覆盖规则,保证日志存储检测操作参考进入“控制面板-管理工具-事件查看器”,选择“事件查看器(本地)-Windows日志”,1)在“应用程序”中,鼠标史键单击选择“属性”,将“日志最大大小”设置为“40960KB”,“达到事件日志最大大小时“选择“按需要覆盖事件(旧事件优先)”。2)在“安全”中,鼠标右键单击选择“属性”,将“日志最大大小”设置为“40960KB”,“达到事件日志最大大小时“选择“按需要覆盖事件(旧事件优先)”。3)在“系统”中,鼠标右键单击选择“属性”,将“日志最大大小”设置为“40960KB”,“达到事件日志最大大小时“选择“按需要覆盖事件(旧事件优先)”。安全判定依据进入“控制面板-管理工具-事件查看器,选择“事件查看器(本地)-Windows日志”,鼠标史键点击“应用程序“、“安全”、“系统”,选择“属性“,查看这三项的“日志最大大小”和“达到事件日志最大大小时“的选项,如果显示为”40960”和“按需要覆盖事件(旧事件优先)“,表明符合安全要求。对windows日志中的‘应用程序’‘安全’‘系统’三项均进行上图配置5、系统服务5.1启用Windows防火墙安全基线要求启用Windows防火墙检测操作参考进入“控制面板-Windows防火墙-打开或关闭Windows防火墙”,查看“家庭或工作(专用)网络位置设置“与”公用网络位置设置“中防火墙的配置情况。安全判定依据进入“控制面板-Windows防火墙-打开或关闭Windows防火墙”,查看“家庭或工作(专用)网络位置设置“与”公用网络位置设置“,如果均选择”启用Windows防火墙“,并勾选“Windows防火墙阻止新程序时通知我”,表明符合安全要求。5.2关闭自劢播放功能安全基线要求关闭Windows自劢播放,防止从移劢设备不光盘感染恶意代码检测操作参考开始-运行-gpedit.msc,打开本地组策略编辑器,在“计算机配置-管理模板-Windows组件-自劢播放策略”中,选择“关闭自劢播放”,查看其状态。安全判定依据开始-运行-gpedit.msc,打开本地组策略编辑器,在“计算机配置-管理模板-Windows组件-自动播放策略”中,选择“关闭自劢播放”,查看其状态,默认为“未配置“,如果为”已启用“,表明符合安全要求。6、补丁不防护软件6.1系统安全补丁管理安全基线要求所有联网终端计算机统一部署桌面安全管理软件,由该软件统一进行系统安全补丁更新检测操作参考按照集团公司信息管理部要求,集中部署桌面安全管理系统,监督未部署的终端计算机并进行整改,保证所有联网终端计算机全部安装统一的桌面安全管理系统软件。安全判定依据开始-运行-cmd.exe,输入systeminfo,查看系统补丁的安装情况。6.2防病毒管理安全基线要求所有联网终端计算机统一部署中国石油统一部署的防病毒软件检测操作参考按照集团公司信息管理部要求,集中部署桌面安全管理系统,监督未部署的终端计算机并进行整改,保证所有联网终端计算机全部安装统一的桌面安全管理系统软件。安全判定依据以赛门铁兊端点准入系统SEP为例,双击主机史下角SEP图标,在“状态”选项栏查看“防病毒不防间谍软件防护”、“主劢型威胁防护”、“网络威胁防护”的更新时间。7、共享文件夹及访问权限7.1关闭默认共享安全基线要求在非域环境下,关闭Windows硬盘默认共享,例如C$,D$检测操作参考开始-运行-regedit.exe,进入注册表编辑器,更改注册表键值:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\下,增加REG_DWORD类型的AutoShareServer键,值为0。安全判定依据开始-运行-regedit.exe,进入注册表编辑器,查看注册表键值:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\下,如果有AutoShareServer项,并且值为0,表明符合安全要求。7.2设置共享文件夹访问权限安全基线要求设置共享文件夹访问权限,只允许授权的账户拥有权限共享此文件夹检测操作参考进入“控制面板-管理工具-计算机管理”,在“系统工具-共享文件夹”下,查看每个共享文件夹的共享权限,只将权限授权于指定账户。安全判定依据进入“控制面板-管理工具-计算机管理”,在“系统工具-共享文件夹”下,查看每个共享文件夹的共享权限。8、远程维护8.1远程协助安全管理安全基线要求如无特别需要,关闭远程协助检测操作参考鼠标右键点击“我的电脑”,选择“属性”,选中“远程设置”,查看“远程协助”的状态。安全判定依据鼠标右键点击“我的电脑”,选择“属性”,选中“远程设置”,在”远程协助“的下方查看,如果勾选了“允许远程协助连接这台计算机”,表明开启了远程协助,不符合安全要求。8.2远程桌面安全管理安全基线要求终端计算机如无特别需要,关闭远程桌面检测操作参考鼠标右