Windows 安全配置规范

1、精品文档windows 安全配置规范2010 年 11 月.精品文档第1章 概述1.1 适用范围本规范明确了 windows 操作系统在安全配置方面的基本 要求，可作为编制设备入网测试、安全验收、安全检查规范 等文档的参考。适用于中国电信所有运行的 windows 操作系统，包括 windows 2000 、 windows xp 、 windows2003, windows7 , windows 2008 以及各版本中的 sever、professional 版本。第2章 安全配置要求2.1账号编号： 1要求内容应按照不同的用户分配不同的账号，避免不 同用户间共享账号，避免用户账号和设备间

2、通信使用的账号共享。操作指南 1、参考配置操作进入“控制面板 -管理工具 -计算机管理”，.精品文档在“系统工具 -本地用户和组”： 根据系统的要求，设定不同的账户和账户 组。检测方法 1、判定条件结合要求和实际业务情况判断符合要求，根 据系统的要求，设定不同的账户和账户组 2、检测操作进入“控制面板 -管理工具 -计算机管理”， 在“系统工具 -本地用户和组”：查看根据系统的要求，设定不同的账户和账 户组编号： 2要求内容应删除与运行、维护等工作无关的账号。 1参考配置操作a）可使用用户管理工具：开始-运行-compmgmt.msc- 本地用户和组-用户操作指南 b）也可以通过 net 命令

3、：删除账号： net user account/de1 停用账号： net user account/active:no.检测方法精品文档1.判定条件结合要求和实际业务情况判断符合要求，删除或 锁定与设备运行、维护等与工作无关的账号。 注：主要指测试帐户、共享帐号、已经不用账号 等2.检测操作开始-运行-compmgmt.msc- 本地用户和组-用户编号： 3要求内容重命名 administrator ；禁用 guest（来宾） 帐号。操作指南 1、参考配置操作进入“控制面板 -管理工具 -计算机管理”， 在“系统工具 -本地用户和组”： administrator 属性 更改名称 guest

4、 帐号-属性 已停用检测方法 1、判定条件缺省账户 administrator 名称已更改。 guest 帐号已停用。2、检测操作进入“控制面板 -管理工具 -计算机管理”，.精品文档在“系统工具 -本地用户和组”： 缺省帐户 属性 更改名称 guest 帐号-属性 已停用2.2口令编号：1要求内容密码长度要求：最少 8 位密码复杂度要求：至少包含以下四种类别的 字符中的三种：l 英语大写字母 a, b, c, zl 英语小写字母 a, b, c, zl 阿拉伯数字 0, 1, 2, 9l 非字母数字字符，如标点符号， , #, $, %, &, * 等操作指南 1、参考配置操作进入“控制面板

5、 -管理工具-本地安全策 略”，在“帐户策略 -密码策略”：“密码必须符合复杂性要求”选择“已启动” 检测方法 1、判定条件“密码必须符合复杂性要求”选择“已启动” 2、检测操作进入“控制面板 -管理工具-本地安全策.精品文档略”，在“帐户策略 -密码策略”： 查看是否“密码必须符合复杂性要求”选择 “已启动”编号：2要求内容对于采用静态口令认证技术的设备，账户口 令的生存期不长于 90 天。操作指南 1、参考配置操作进入“控制面板 -管理工具-本地安全策 略”，在“帐户策略 -密码策略”： “密码最长存留期”设置为“ 90 天”检测方法 1、判定条件“密码最长存留期”设置为“ 90 天” 2

6、、检测操作进入“控制面板 -管理工具-本地安全策 略”，在“帐户策略 -密码策略”： 查看是否“密码最长存留期”设置为“ 90 天”编号：3要求内容.对于采用静态口令认证技术的设备，应配置 设备，使用户不能重复使用最近 5 次（含 5精品文档次）内已使用的口令。操作指南 1、参考配置操作进入“控制面板 -管理工具-本地安全策 略”，在“帐户策略 -密码策略”：“强制密码历史”设置为“记住 5 个密码” 检测方法 1、判定条件“强制密码历史”设置为“记住 5 个密码” 2、检测操作进入“控制面板 -管理工具-本地安全策 略”，在“帐户策略 -密码策略”：查看是否“强制密码历史”设置为“记住 5

7、个密码”编号：4要求内容对于采用静态口令认证技术的设备，应配置 当用户连续认证失败次数超过 6 次（不含 6 次），锁定该用户使用的账号。操作指南 1、参考配置操作进入“控制面板 -管理工具-本地安全策 略”，在“帐户策略 -帐户锁定策略”： “账户锁定阀值”设置为 6 次检测方法1、判定条件.精品文档“账户锁定阀值”设置为小于或等于 6 次 2、检测操作进入“控制面板 -管理工具-本地安全策 略”，在“帐户策略 -帐户锁定策略”： 查看是否“账户锁定阀值”设置为小于等于 6 次补充说明：设置不当可能导致账号大面积锁定，在域环 境中应小心设置，administrator 账号本身 不会被锁定。

8、2.3授权编号：1要求内容本 地 、 远 端 系 统 强 制 关 机 只 指 派 给 administrators 组。操作指南 1、参考配置操作进入“控制面板 - 管理工具 - 本地安全策 略”，在“本地策略 -用户权利指派” : “ 关 闭 系 统 ” 设 置 为 “ 只 指 派 给 administrators 组”“从远程系统强制关机”设置为“只指派给.精品文档administrators 组”检测方法 1、判定条件“ 关 闭 系 统 ” 设 置 为 “ 只 指 派 给 administrators 组”“从远端系统强制关机”设置为“只指派给 administrtors 组”2、检测操

9、作进入“控制面板 - 管理工具 - 本地安全策 略”，在“本地策略 -用户权利指派” : 查 看 “ 关 闭 系 统 ” 设 置 为 “ 只 指 派 给 administrators 组”查看是否“从远端系统强制关机”设置为“只 指派给 administrators 组”编号：2要求内容在本地安全设置中取得文件或其它对象的 所有权仅指派给 administrators 。操作指南 1、参考配置操作进入“控制面板 - 管理工具 - 本地安全策 略”，在“本地策略 -用户权利指派”： “取得文件或其它对象的所有权”设置为 “只指派给 administrators 组”.精品文档检测方法 1、判定条

10、件“取得文件或其它对象的所有权”设置为 “只指派给 administrators 组”2、检测操作进入“控制面板 - 管理工具 - 本地安全策 略”，在“本地策略 -用户权利指派”： 查看是否“取得文件或其它对象的所有权” 设置为“只指派给 administrators 组”编号：3要求内容在本地安全设置中只允许授权帐号本地、远 程访问登陆此计算机。操作指南 1、参考配置操作进入“控制面板 - 管理工具 - 本地安全策 略”，在“本地策略 -用户权利指派” “从本地登陆此计算机”设置为“指定授权 用户”“从网络访问此计算机”设置为“指定授权 用户”检测方法 1、判定条件“从本地登陆此计算机”设

11、置为“指定授权 用户”“从网络访问此计算机”设置为“指定授权.精品文档用户”2、检测操作进入“控制面板 - 管理工具 - 本地安全策 略”，在“本地策略 -用户权利指派” 查看是否“从本地登陆此计算机”设置为“指 定授权用户”查看是否“从网络访问此计算机”设置为“指 定授权用户”2.4补丁编号：1要求内容在 不 影 响 业 务 的 情 况 下 ， 应 安 装 最 新 的service pack补丁集。对服务器系统应先进行兼容性测试。操作指南 1、参考配置操作安装最新的 service pack 补丁集，以及最 新的 hotfix 补丁。目前 windows xp 的 service pack

12、为 sp3。windows2000的 service pack为sp4,windows 2003 的 servicepack 为 sp2.精品文档检测方法 1、判定条件2、检测操作进入控制面板 - 添加或删除程序 - 显示更 新打钩，查看是否 xp 系统已安装 sp3 ， win2000 系统已安装 sp4，win2003 系统已安 装 sp2。同时检查所有的 hotfix ，并查看系统安装的 最后一个补丁的发布日期是否与最近最新发布的补丁日期 一致。2.5防护软件编号：1（可选）要求内容启用自带防火墙或安装第三方威胁防护软 件。根据业务需要限定允许访问网络的应用 程序，和允许远程登陆该设备的

13、 ip 地址范 围。操作指南 1、参考配置操作（以启动自带防火墙为例） 进入“控制面板 网络连接 本地连接”， 在高级选项的设置中.精品文档启用 windows 防火墙。在“例外”中配置允许业务所需的程序接入 网络。在“例外-编辑-更改范围”编辑允许接入 的网络地址范围。检测方法 1、判定条件启用 windows 防火墙。“例外”中允许接入网络的程序均为业务所 需。2、检测操作进入“控制面板 网络连接 本地连接”， 在 高 级 选 项 的 设 置 中 ， 查 看 是 否 启 用 windows 防火墙。查看是否在“例外”中配置允许业务所需的 程序接入网络。查看是否在“例外-编辑-更改范围”编辑

14、 允许接入的网络地址范围。2.6防病毒软件编号：1要求内容.安装防病毒软件，并及时更新。精品文档操作指南 1、参考配置操作安装防病毒软件，并及时更新。检测方法 1、判定条件已安装放病毒软件，病毒码更新时间不早于 1 个月，各系统病毒码升级时间要求参见各 系统相关规定。2、检测操作控制面板-添加或删除程序，是否安装有防 病毒软件。打开防病毒软件控制面板，查看 病毒码更新日期。2.8 日志安全要求编号： 1要求内容设备应配置日志功能，对用户登录进行记 录，记录内容包括用户登录使用的账号，登 录是否成功，登录时间，以及远程登录时， 用户使用的 ip 地址。操作指南 1、参考配置操作开始-运行- 执行

15、“ 控制面板-管理工具 -本地安全策略 -审核策略”审核登录事件，双击，设置为成功和失败都 审核。.精品文档检测方法 1、判定条件审核登录事件，设置为成功和失败都审核。 2、检测操作开始-运行- 执行“ 控制面板-管理工具 -本地安全策略 -审核策略”审核登录事件，双击，查看是否设置为成功 和失败都审核。编号：2要求内容开启审核策略，以便出现安全问题后进行追 查操作指南 1、参考配置操作对审核策略进行检查：开始-运行-gpedit.msc计算机配置 -windows 设置 - 安全设置 - 本地 策略-审核策略以下审核是必须开启的，其他的可以根据需 要增加： 审核系统登陆事件成功，失败 审核帐

16、户管理 成功，失败 审核登陆事件 成功，失败 审核对象访问 成功.精品文档 审核策略更改 成功，失败 审核特权使用 成功，失败 审核系统事件 成功，失败2、补充说明可能会使日志量猛增检测方法 1、判定条件尝试对被添加了访问审核的对象进行访问， 然后查看安全日志中是否会有相关记录，或 通过其他手段激化以配置的审核策略，并观 察日志中的记录情况，如果存在记录条目， 则配置成功。2、检测操作编号： 3要求内容操作指南.设置日志容量和覆盖规则，保证日志存储 1、参考配置操作开始-运行-eventvwr右键选择日志，属性，根据实际需求设置： 日志文件大小超过上线时的处理方式（建议日志记录天数 不小于 6

17、0 天）2、精品文档补充说明建议对每个日志均进行如上操作，同时应保 证磁盘空间检测方法 1、判定条件2、检测操作开始-运行-eventvwr，右键选择日志，属性， 查看日志上线及超过上线时的处理方式2.7windows 服务编号：1要求内容操作指南关闭不必要的服务1、参考配置操作进入“控制面板 -管理工具 -计算机管理”， 进入“服务和应用程序”：查看所有服务，不在此列表的服务需关闭。 可禁用的服务及其相关说明如 附表所示检测方法 1、判定条件系统管理员应出具系统所必要的服务列表。 查看所有服务，不在此列表的服务需关闭。 2、检测操作进入“控制面板 -管理工具 -计算机管理”，.精品文档进入“

18、服务和应用程序”：查看所有服务，不在此列表的服务是否已关 闭。编号： 2要求内容如需启用 snmp 服务，则修改默认的 snmp community string 设置。操作指南 1、参考配置操作打开“控制面板”，打开“管理工具”中的 “服务”，找到“snmp service”，单击右键 打开“属性”面板中的“安全”选项卡，在 这 个 配 置 界 面 中 ， 可 以 修 改 community strings ，也就是微软所说的“团体名称”。检测方法 1、判定条件community strings 已 改 ， 不 是 默 认 的 “public”2、检测操作打开“控制面板”，打开“管理工具”中

19、的 “服务”，找到“snmp service”，单击右键 打开“属性”面板中的“安全”选项卡，在 这个配置界面中，查看 community strings ， 也就是微软所说的“团体名称”。.精品文档编号： 3要求内容如对互联网开放 windowsterminial 服务 (remote desktop) ，需修改默认服务端口。操作指南 1、参考配置操作运行 regedt32 并转到此项:hkey_local_machinesystemcurrentcontro lsetcontrolterminal serverwinstationsrdp-tcp 找到“portnumber ”子项，会看到

20、默认 值 00000d3d ，它是 3389 的十六进制表示 形式。使用十六进制数值修改此端口号，并 保存新值。检测方法 1、判定条件找 到 “ portnumber ” 子 项 ， 设 定 值 非 00000d3d ，即十进制 33892、检测操作运行 regedt32 ,找到此项并判断。2.8启动项要求内容关闭无效启动项.精品文档操作指南 1、参考配置操作“开始 -运行-msconfig”启动菜单中，取 消不必要的启动项。检测方法 1、判定条件2、检测操作系统管理员提供业务必须的自动加载进程 和服务列表文档。查看“开始 -运行-msconfig ”启动菜单： 不需要的自动加载进程是否已禁用

21、和取消。2.9关闭自动播放功能编号：1要求内容操作指南关闭 windows 自动播放功能1、参考配置操作点击开始运行输入 gpedit.msc，打开组 策略编辑器，浏览到计算机配置管理模板 系统，在右边窗格中双击“关闭自动播 放”，对话框中选择所有驱动器，确定即可。检测方法 1、判定条件所有驱动器均“关闭自动播放”.精品文档2、检测操作“关闭自动播放”配置已启用，启用范围： 所有驱动器。2.10共享文件夹编号： 1要 关闭 windows 硬盘默认共享，例如 c$，d$。 求内容操 1、参考配置操作作指南进入“开始 运行regedit”，进入注册表编辑器，更改注册表键值：在 hklmsyste

22、mcurrentcontrolset serviceslanmanserverparameters 下 ， 增 加 reg_dword 类型的 autoshareserver 键，值为 0。检 1、判定条件测 hklmsystemcurrentcontrolset 方 serviceslanmanserverparameters 增加了 reg_dword 法 类型的 autoshareserver 键，值为 0。2、检测操作.精品文档进入“开始运行regedit”，进入注册表编辑器，更 改注册表键值： hklmsystemcurrentcontrolsetserviceslanmanserv

23、 erparameters ， 增 加 reg_dword autoshareserver 键，值为 0。编号： 2类 型 的要求内容设置共享文件夹的访问权限，只允许授权的 账户拥有权限共享此文件夹。操作指南 1、参考配置操作进入“控制面板 -管理工具 -计算机管理”， 进入“系统工具 共享文件夹”：查看每个共享文件夹的共享权限，只将权限 授权于指定账户。检测方法 1、判定条件查看每个共享文件夹的共享权限仅限于业 务需要，不设置成为“ everyone”。 2、检测操作进入“控制面板 -管理工具 -计算机管理”， 进入“系统工具 共享文件夹”：查看每个共享文件夹的共享权限。.精品文档2.11使

24、用 ntfs 文件系统要求内容在不毁坏数据的情况下，将分区改为 格式操作指南 1、参考配置操作将 fat 卷转换成 ntfs 分区convert volume /fs:ntfs/v/cvtarea:filename/nosecurity /x volume 指定驱动器号（后面加一个冒号）、 装载点或卷名/fs:ntfs指定要被转换成 ntfs 的卷/v 指定 convert 应该用详述模式运行 /cvtarea:filename 将根目录中的一个接 续文件指定为 ntfs 系统文件的占位符 /nosecurity 指定每个人都可以访问转换 的文件和目录的安全设置/x 如果必要，先强行卸载卷，有

25、打开的句 柄则无效例如：covert c：/fs:ntfs备注：在有其他非 win 系统访问、存在数据 共享的情况下，不建议将分区改为.精品文档 格式检测方法 1、判定条件 2、检测操作2.12会话超时设置（可选）编号： 1要求内容对于远程登录的账户，设置不活动所连接时 间 15 分钟操作指南 1、参考配置操作进入“控制面板管理工具本地安全策.精品文档略”，在“安全策略安全选项”：“microsoft 网络服务器”设置为“在挂起会话之前所需 的空闲时间”为 15 分钟检测方法 1、判定条件“microsoft 网络服务器”设置为“在挂起 会话之前所需的空闲时间”为 15 分钟2、检测操作进入“

26、控制面板管理工具本地安全策 略”，在“安全策略安全选项” ：查看 “microsoft 网络服务器”设置2.13注册表：（可选）编号： 1要 在不影响系统稳定运行的前提下，对注册表信息进行更 求 新。内容操 1、参考配置操作作.自动登录：指南精品文档hklmsoftwaremicrosoftwindowsnt currentversionwinlogonautoadminlogon (reg_dword) 0 源路由欺骗保护： hklmsystemcurrentcontrolset servicestcpipparametersdisableipsourcero uting (reg_dwor

27、d) 2 删除匿名用户空链接hkey_local_machine systemcurrentcontrolsetcontrollsa 将 restrictanonymous的值设置为 1，若该值不存在，可以自己创建，类型为 reg_dword 修改完成后重新启动系统生效 碎片攻击保护：hklmsystemcurrentcontrolset servicestcpipparametersenablepmtudiscove ry (reg_dword) 1 syn flood 攻击保护： hklmsystemcurrentcontrolset servicestcpipparameterssyna

28、ttackprotect (reg_dword) 2syn 攻击保护 -管理 tcp 半开 sockets 的最大数目 :.精品文档hklmsystemcurrentcontrolsetservicestcpi pparameters tcpmaxhalfopen (reg_dword) 100或 500检 1、判定条件测 2、检测操作方 点击开始 -运行，然后在打开行里输入 regedit，然后单 法 击确定，查看相关注册表项进行查看；使用空连接扫描工具无法远程枚举用户名和用户组附表：端口及服务服务名称端口服务说明关闭方法处置建议echo 7/tcp系统服务部分 rfc862_ 回声协议ec

29、ho 7/udpdiscard 9/udprfc862_ 回声协议rfc863 废除协议关闭simpletcp/ip 建议关services 服 闭务。discard 9/tcp rfc863 废除.daytime 13/udpdaytime 13/tcpqotd 17/tcpqotd 17/udpchargen 19/tcpchargen 19/udpftp 21/tcp精品文档协议rfc867 白天协议rfc867 白天协议rfc865 白天协议的引用rfc865 白天协议的引用rfc864 字符产生协议rfc864 字符产生协议关闭ftp 文件传输协议 publishing (控制) s

30、ervice 服务。关闭simple根据情况选择开放smtp 25/tcp简单邮件发送 协议mailtransportprotocol 服建议关闭务。.精品文档42/tcp关闭windowsnameserver42/udpwins 主机名服务internetname建议关闭service 服务。根据情domain53/udp53/tcp关闭dns 域名服务器 server 服务。况选择开放根据情况选择dhcp 服务器dhcps 67/udp /internet 连接共享开放关闭simpletcp/ip 建议关services 服 闭务。dhcpc 68/udphttp 80/tcpdhcp 协

31、议客户端http 万维网发布服务关闭dhcpclient 服务。关闭worldwide webpublishing建议关闭根据情况选择开放.精品文档service 服务。135/tc无法关epmapp135/udrpc 服务系统基本服 务闭无法关netbios-nsnetbios-dgmp137/ud netbios 名称p 解析138/ud netbios 数据p 报服务闭 在网卡的 根据情 tcp/ip 选项 况选择 中wins页 开放 勾选禁用 根据情 tcp/ip 上的 况选择 netbios 开放netbios139/tc netbios 会话 系统基本服无法关-ssnp服务务闭161/udsnmp snmp 服务p关闭snmp 服务根据情况选择开放安全超文本传 关闭world 输协议 wide web443/tchttps