Microsoft-Windows安全配置基线

1、WindowsWindows 系统安全配置基线系统安全配置基线 中国移动通信有限公司中国移动通信有限公司 管理信息系统部管理信息系统部 2012 年 04 月 版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人审批人审批人 V1.0创建2009 年 1 月 V2.0更新2012 年 4 月 备注：备注： 1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。 目目 录录 第第 1 章章概述概述.5 1.1目的.5 1.2适用范围.5 1.3适用版本.5 1.4实施.5 1.5例外条款.5 第第 2 章章帐户管理、认证授权帐户管理、认证授权.6 2.1帐户.6 2.

2、1.1 管理缺省帐户.6 2.1.2 按照用户分配帐户*.6 2.1.3 删除与设备无关帐户*.7 2.2口令.7 2.2.1密码复杂度.7 2.2.2密码最长留存期.8 2.2.3帐户锁定策略.8 2.3授权.8 2.3.1远程关机.8 2.3.2本地关机.9 2.3.3用户权利指派*.9 2.3.4授权帐户登陆*.10 2.3.5授权帐户从网络访问*.10 第第 3 章章日志配置操作日志配置操作.11 3.1日志配置.11 3.1.1审核登录.11 3.1.2审核策略更改.11 3.1.3审核对象访问.11 3.1.4审核事件目录服务器访问.12 3.1.5审核特权使用.12 3.1.6审

3、核系统事件.13 3.1.7审核帐户管理.13 3.1.8审核过程追踪.13 3.1.9日志文件大小.14 第第 4 章章IP 协议安全配置协议安全配置 .15 4.1IP 协议.15 4.1.1启用SYN攻击保护.15 第第 5 章章设备其他配置操作设备其他配置操作.17 5.1共享文件夹及访问权限.17 5.1.1关闭默认共享.17 5.1.2共享文件夹授权访问*.17 5.2防病毒管理.18 5.2.1数据执行保护.18 5.3WINDOWS服务.18 5.3.1 SNMP服务管理.18 5.3.2系统必须服务列表管理*.19 5.3.3系统启动项列表管理*.19 5.3.4远程控制服务

4、安全*.19 5.3.5 IIS安全补丁管理* .20 5.3.6活动目录时间同步管理*.20 5.4启动项.21 5.4.1关闭Windows自动播放功能.21 5.5屏幕保护.21 5.5.1设置屏幕保护密码和开启时间*.21 5.6远程登录控制.22 5.6.1限制远程登陆空闲断开时间.22 5.7补丁管理.23 5.7.1操作系统补丁管理*.23 5.7.2操作系统最新补丁管理*.23 第第 6 章章评审与修订评审与修订.24 第第 1 章章概述概述 1.1 目的目的 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的 WINDOWS 操 作系统的主机应当遵循的操作系统安全性

5、设置标准，本文档旨在指导系统管理人员或安全 检查人员进行 WINDOWS 操作系统的安全合规性检查和配置。 1.2 适用范围适用范围 本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的 WINDOWS 服务器系统。 1.3 适用版本适用版本 WINDOWS 系列服务器。 1.4 实施实施 本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中 若有任何疑问或建议，应及时反馈。 本标准发布之日起生效。 1.5 例外条款例外条款 欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务

6、需求和原因，送 交中国移动通信有限公司管理信息系统部进行审批备案。 第第 2 章章帐户管理、认证授权帐户管理、认证授权 2.1 帐户帐户 2.1.1 管理缺省帐户管理缺省帐户 安全基线项安全基线项 目名称目名称 操作系统缺省帐户安全基线要求项 安全基线编安全基线编 号号 SBL-Windows-02-01-01 安全基线项安全基线项 说明说明 对于管理员帐号，要求更改缺省帐户名称；禁用 guest（来宾）帐号。 检测操作步检测操作步 骤骤 进入“控制面板-管理工具-计算机管理” ，在“系统工具-本地用户和组” ： 缺省帐户 Administrator属性 Guest 帐号-属性 基线符合性基线

7、符合性 判定依据判定依据 缺省帐户 Administrator 名称已更改。 Guest 帐号已停用。 备注备注 2.1.2 按照用户分配帐户按照用户分配帐户* 安全基线项安全基线项 目名称目名称 操作系统用户帐户划分安全基线要求项 安全基线编安全基线编 号号 SBL-Windows-02-01-02 安全基线项安全基线项 说明说明 按照用户分配帐户。根据系统的要求，设定不同的帐户和帐户组，管理员用 户，数据库用户，审计用户，来宾用户等。 检测操作步检测操作步 骤骤 进入“控制面板-管理工具-计算机管理” ，在“系统工具-本地用户和组” ： 根据系统的要求，设定不同的帐户和帐户组，管理员用户，

8、数据库用户，审 计用户，来宾用户。 基线符合性基线符合性 判定依据判定依据 结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的帐户 和帐户组，管理员用户，数据库用户，审计用户，来宾用户。 备注备注手工判断，需要根据实际情况判断帐户用途 2.1.3 删除与设备无关帐户删除与设备无关帐户* 安全基线项安全基线项 目名称目名称 操作系统与设备无关帐户安全基线要求项 安全基线编安全基线编 号号 SBL-Windows-02-01-03 安全基线项安全基线项 说明说明 删除或锁定与设备运行、维护等与工作无关的帐户 检测操作步检测操作步 骤骤 进入“控制面板-管理工具-计算机管理” ，在“系统

9、工具-本地用户和组” ： 删除或锁定与设备运行、维护等与工作无关的帐户。 基线符合性基线符合性 判定依据判定依据 结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与 工作无关的帐户。进入“控制面板-管理工具-计算机管理” ，在“系统工 具-本地用户和组”：查看是否删除或锁定与设备运行、维护等与工作无关 的帐户。 备注备注手工判断，需要根据实际情况判断帐户是否为无关帐户 2.2 口令口令 2.2.1 密码复杂度密码复杂度 安全基线项安全基线项 目名称目名称 操作系统密码复杂度安全基线要求项 安全基线编安全基线编 号号 SBL-Windows-02-02-01 安全基线项安全基线项

10、 说明说明 最短密码长度 8 个字符，启用本机组策略中密码必须符合复杂性要求的策 略。即密码至少包含以下四种类别的字符中的 2 种： 英语大写字母 A, B, C, Z 英语小写字母 a, b, c, z 西方阿拉伯数字 0, 1, 2, 9 非字母数字字符，如标点符号，, #, $, %, HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpMaxPort sExhausted; HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpMaxHalf Open; HKEY_LOCAL_MACH

11、INESYSTEMCurrentControlSetServicesTcpMaxHalf OpenRetried。 基线符合性基线符合性 判定依据判定依据 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSynAttackPr otect; 推荐值：2。 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpMaxPort sExhausted; 推荐值：5。 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpMaxHalf Open; 推荐

12、值数据：500。 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpMaxHalf OpenRetried。推荐值数据：400。 备注备注 第第 5 章章设备其他配置操作设备其他配置操作 5.1 共享文件夹及访问权限共享文件夹及访问权限 5.1.1 关闭默认共享关闭默认共享 安全基线项安全基线项 目名称目名称 操作系统默认共享安全基线要求项 安全基线编安全基线编 号号 SBL-Windows-05-01-01 安全基线项安全基线项 说明说明 非域环境中，关闭 Windows 硬盘默认共享，例如 C$，D$。 检测操作步检测操作步 骤骤 进入

13、“开始运行Regedit” ，进入注册表编辑器，查看 HKLMSystemCurrentControlSetServicesLanmanServerParametersAutoShare Server； 基线符合性基线符合性 判定依据判定依据 HKLMSystemCurrentControlSetServicesLanmanServerParametersAutoShare Server 键，值为 0。 备注备注 5.1.2 共享文件夹授权访问共享文件夹授权访问* 安全基线项安全基线项 目名称目名称 操作系统共享文件夹安全基线要求项 安全基线编安全基线编 号号 SBL-Windows-05-0

14、1-02 安全基线项安全基线项 说明说明 查看每个共享文件夹的共享权限，只允许授权的帐户拥有权限共享此文件夹。 检测操作步检测操作步 骤骤 进入“控制面板-管理工具-计算机管理” ，进入“系统工具共享文件夹” ： 查看每个共享文件夹的共享权限，只将权限授权于指定帐户。 基线符合性基线符合性 判定依据判定依据 查看每个共享文件夹的共享权限仅限于业务需要，不设置成为“everyone” 。 进入“控制面板-管理工具-计算机管理” ，进入“系统工具共享文件夹” ： 查看每个共享文件夹的共享权限。 备注备注手工判断 5.2 防病毒管理防病毒管理 5.2.1 数据执行保护数据执行保护 安全基线项安全基线

15、项 目名称目名称 操作系统数据执行保护安全基线要求项 安全基线编安全基线编 号号 SBL-Windows-05-02-01 安全基线项安全基线项 说明说明 对于 Windows XP SP2 及 Windows 2003 对 Windows 操作系统程序和服务启 用系统自带 DEP 功能(数据执行保护)，防止在受保护内存位置运行有害代 码。 检测操作步检测操作步 骤骤 进入“控制面板系统” ，在“高级”选项卡的 “性能”下的“设置” 。 进入 “数据执行保护”选项卡。查看“ 仅为基本 Windows 操作系统程序 和服务启用 DEP” 。 基线符合性基线符合性 判定依据判定依据 “数据执行保护

16、”选项卡已设置为“ 仅为基本 Windows 操作系统程序和 服务启用 DEP” 。 备注备注 5.3 Windows 服务服务 5.3.1 SNMP 服务管理服务管理 安全基线项安全基线项 目名称目名称 操作系统 SNMP 服务管理安全基线要求项 安全基线编安全基线编 号号 SBL-Windows-05-03-01 安全基线项安全基线项 说明说明 如需启用 SNMP 服务，则修改默认的 SNMP Community String 设置。 检测操作步检测操作步 骤骤 打开“控制面板” ，打开“管理工具”中的“服务” ，找到“SNMP Service” ， 单击右键打开“属性”面板中的“安全”选

17、项卡，在这个配置界面中，查看 community strings，也就是微软所说的“团体名称” 。 基线符合性基线符合性 判定依据判定依据 community strings 已改，不是默认的“public” 。 备注备注 5.3.2 系统必须服务列表管理系统必须服务列表管理* 安全基线项安全基线项 目名称目名称 操作系统服务列表管理安全基线要求项 安全基线编安全基线编 号号 SBL-Windows-05-03-02 安全基线项安全基线项 说明说明 列出所需要服务的列表(包括所需的系统服务)，不在此列表的服务需关闭。 检测操作步检测操作步 骤骤 进入“控制面板-管理工具-计算机管理” ，进入“

18、服务和应用程序”： 查看所有服务，不在此列表的服务需关闭。 基线符合性基线符合性 判定依据判定依据 系统管理员应出具系统所必要的服务列表。 查看所有服务，不在此列表的服务需关闭。 备注备注手工判断 5.3.3 系统启动项列表管理系统启动项列表管理* 安全基线项安全基线项 目名称目名称 操作系统启动项列表管理安全基线要求项 安全基线编安全基线编 号号 SBL-Windows-05-03-03 安全基线项安全基线项 说明说明 列出系统启动时自动加载的进程和服务列表，不在此列表的需关闭。 检测操作步检测操作步 骤骤 “开始-运行-MSconfig”启动菜单中，取消不必要的启动项。 基线符合性基线符合

19、性 判定依据判定依据 不需要的自动加载进程通过“开始-运行-MSconfig”启动菜单中取消。 备注备注手工判断 5.3.4 远程控制服务安全远程控制服务安全* 安全基线项安全基线项 目名称目名称 操作系统远程控制服务管理安全基线要求项 安全基线编安全基线编 号号 SBL-Windows-05-03-04 安全基线项安全基线项 说明说明 如对互联网开放 WindowsTerminial 服务(Remote Desktop)，需修改默认服务 端口。 检测操作步检测操作步 骤骤 运行 Regedt32 并转到此项: HKEY_LOCAL_MACHINESystemCurrentControlSet

20、ControlTerminal ServerWinStationsRDP-Tcp 找到“PortNumber”子项，会看到默认值 00000D3D，它是 3389 的十 六进制表示形式。使用十六进制数值修改此端口号，并保存新值。 基线符合性基线符合性 判定依据判定依据 找到“PortNumber”子项，设定值非 00000D3D，即十进制 3389 备注备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。 5.3.5 IIS 安全补丁管理安全补丁管理* 安全基线项安全基线项 目名称目名称 操作系统 IIS 服务管理安全基线要求项 安全基线编安全基线编 号号 SBL-Windows-

21、05-03-05 安全基线项安全基线项 说明说明 如需启用 IIS 服务，则将 IIS 升级到最新补丁。 检测操作步检测操作步 骤骤 下载 IIS 补丁包 IIS4.0 IIS5.0 并安装，或升级到 IIS6.0 基线符合性基线符合性 判定依据判定依据 已安装 IIS 补丁包或升级到 IIS6.0。 备注备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。 5.3.6 活动目录时间同步管理活动目录时间同步管理* 安全基线项安全基线项 目名称目名称 操作系统 IIS 服务管理安全基线要求项 安全基线编安全基线编 号号 SBL-Windows-05-03-06 安全基线项安全基线项

22、说明说明 通过微软 Active Directory 管理的终端, 或者是独立终端, 要求配置时间同步 源.终端定期执行时间同步操作(必要时) 检测操作步检测操作步 骤骤 a.在具有 PDC Emulator 角色的 DC 上运行如下命令, 以和外部时间源同步 w32tm /config /syncfromflags:manual /manualpeerlist: b.在 PC 终端上运行如下命令行同步时间： w32tm /config /update 基线符合性基线符合性 判定依据判定依据 检查终端主机的时间是否与标准时间同步。 备注备注根据应用场景的不同，如部署场景需开启此功能，则强制要求

23、此项。 5.4 启动项启动项 5.4.1 关闭关闭 Windows 自动播放功能自动播放功能 安全基线项安全基线项 目名称目名称 操作系统 Windows 自动播放安全基线要求项 安全基线编安全基线编 号号 SBL-Windows-05-04-01 安全基线项安全基线项 说明说明 关闭 Windows 自动播放功能。 检测操作步检测操作步 骤骤 打开“开始运行”，在对话框中输入“gpedit.msc”命令，在出现“组策略”窗口 中依次选择“在计算机配置管理模板系统”，双击“关闭自动播放”查看。 基线符合性基线符合性 判定依据判定依据 在“设置”选项卡中选“已启用”选项。 备注备注 5.5 屏幕

24、保护屏幕保护 5.5.1 设置屏幕保护密码和开启时间设置屏幕保护密码和开启时间* 安全基线项安全基线项 目名称目名称 操作系统屏幕保护安全基线要求项 安全基线编安全基线编 号号 SBL-Windows-05-05-01 安全基线项安全基线项 说明说明 设置带密码的屏幕保护，并将时间设定为 5 分钟。 检测操作步检测操作步 骤骤 进入“控制面板显示屏幕保护程序”： 启用屏幕保护程序，设置等待时间为“5 分钟” ，启用“在恢复时使用密码 保护” 基线符合性基线符合性 判定依据判定依据 启用屏幕保护程序，设置等待时间为“5 分钟” ，启用“在恢复时使用密码 保护” 。进入“控制面板显示屏幕保护程序”

25、： 查看是否启用屏幕保护程序，设置等待时间为“5 分钟” ，启用“在恢复时 使用密码保护” 。 备注备注手工检查 5.6 远程登录控制远程登录控制 5.6.1 限制远程登陆空闲断开时间限制远程登陆空闲断开时间 安全基线项安全基线项 目名称目名称 操作系统远程登录空闲断开时间安全基线要求项 安全基线编安全基线编 号号 SBL-Windows-05-06-01 安全基线项安全基线项 说明说明 对于远程登陆的帐号，设置不活动断连时间 15 分钟。 检测操作步检测操作步 骤骤 进入“控制面板-管理工具-本地安全策略” ，在“本地策略-安全选项”： “Microsoft 网络服务器”设置为“在挂起会话之前所需的空闲时间”为 15 分钟 基线符合性基线符合性 判定依据判定依据 “Microsoft 网络服务器”设置为“在挂起会话之前所需的空闲时间”为 15 分钟。进入“控制面板-管理工具-本地安全策略” ，在“本地策略-安全 选项”： 查看是否“Microsoft 网络服务器”设置为“在挂起会话之前所需的空闲时 间”为 15 分钟 备注备注 5.7 补丁管理补丁管理 5.7.1