版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、WINDOWS操作系统安全规范手册部门:版本:密级:作者:步 骤清 单说 明账号管理、认证授权账号管理:1. 按照用户分配账号。根据系统的要求,设定不同的账户和账户组,管理员用户,数据库用户,审计用户,来宾用户等。2. 删除或锁定与设备运行、维护等与工作无关的账号。3. 对于管理员帐号,要求更改缺省帐户名称;禁用guest(来宾)帐号。4. 最短密码长度 8个字符,启用本机组策略中密码必须符合复杂性要求的策略。例:DFKJo*#rDFK5. 在下一次更改密码时不存储 LAN 管理器哈希值(已启用)6. 对于采用静态口令认证技术的设备,账户口令的生存期不长于90天。7. 对于采用静态口令认证技术
2、的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令。8. 对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。9. 对于远程登陆的帐号,设置不活动断连时间15分钟。认证授权:10. 在本地安全设置中从远端系统强制关机只指派给Administrators组。11. 在本地安全设置中关闭系统仅指派给Administrators组。12. 在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。13. 在本地安全设置中配置指定授权用户允许本地登陆此计算机。14. 在组策略中只允许授权帐号从网络访问(包括网
3、络共享等,但不包括终端服务)此计算机。日志配置操作1. 设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。2. 审核登录事件,双击,设置为成功和失败都审核。3. 设置应用日志文件大小至少为8192KB,设置当达到最大的日志尺寸时,按需要改写事件。IP协议安全配置操作1. 对没有自带防火墙的Windows系统,启用Windows系统的IP安全机制(IPSec)或网络连接上的TCP/IP筛选,只开放业务所需要的TCP,UDP端口和IP协议。2. 启用Windows XP和Windows 2003 自带防火墙。根据业务
4、需要限定允许访问网络的应用程序,和允许远程登陆该设备的IP地址范围。3. 启用SYN攻击保护;指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阀值为5;指定处于 SYN_RCVD 状态的 TCP 连接数的阈值为500;指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值为400。共享文件夹及访问权限1. 非域环境中,关闭Windows硬盘默认共享,例如C$,D$。2. 查看每个共享文件夹的共享权限,只允许授权的账户拥有权限共享此文件夹。补丁管理1. 应安装最新的Service Pack补丁集。对服务器系统应先进行兼容性测试。2. 应安装最新的Hotfix补丁。对
5、服务器系统应先进行兼容性测试。IIS设置管理1. 禁止下载Access数据库、删除其他扩展名。2. 卸载不安全的IIS组件。3. 修改脚本错误出现的错误信息。4. 多站点设置最低权限独立IIS用户运行。5. 取消网站目录不必要写入权限目录。6. 禁止不需要运行脚本权限目录。应用软件配置1. 禁止安装Radmin,任何用户均可获得HASH直接登陆系统。2. 禁止安装Serv-U,任何版本均存在本地提权安全漏洞,必要时修改Serv-U运行权限,修改Serv-U默认密码3. WinRAR版本应为当前最新版本。4. SQL SERVER安装版本不得低于SQL 2000 SP4/SQL 2005 SP2
6、。3. 禁止在SQL Server中远程通过sa帐号连接数据库服务器。附送,配置操作步骤,有经验的可以跳过。1.1 账号口令要求内容按照用户分配账号。根据系统的要求,设定不同的账户和账户组,管理员用户,数据库用户,审计用户,来宾用户等。操作指南1、参考配置操作进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:根据系统的要求,设定不同的账户和账户组,管理员用户,数据库用户,审计用户,来宾用户。检测方法1、 判定条件结合要求和实际业务情况判断符合要求,根据系统的要求,设定不同的账户和账户组,管理员用户,数据库用户,审计用户,来宾用户。2、检测操作进入“控
7、制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:查看根据系统的要求,设定不同的账户和账户组,管理员用户,数据库用户,审计用户,来宾用户。编号:安全要求-设备-WINDOWS-配置-2-可选要求内容删除或锁定与设备运行、维护等与工作无关的账号。操作指南1、参考配置操作进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:删除或锁定与设备运行、维护等与工作无关的账号。检测方法1、判定条件结合要求和实际业务情况判断符合要求,删除或锁定与设备运行、维护等与工作无关的账号。2、检测操作进入“控制面板->管理工具->
8、计算机管理”,在“系统工具->本地用户和组”:查看是否删除或锁定与设备运行、维护等与工作无关的账号。要求内容对于管理员帐号,要求更改缺省帐户名称;禁用guest(来宾)帐号。操作指南1、参考配置操作进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:Administrator>属性> 更改名称Guest帐号->属性> 已停用检测方法1、判定条件缺省账户Administrator名称已更改。Guest帐号已停用。2、检测操作进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:缺省帐户
9、>属性> 更改名称Guest帐号->属性> 已停用要求内容最短密码长度 6个字符,启用本机组策略中密码必须符合复杂性要求的策略。即密码至少包含以下四种类别的字符中的三种:l 英语大写字母 A, B, C, Z l 英语小写字母 a, b, c, z l 西方阿拉伯数字 0, 1, 2, 9 非字母数字字符,如标点符号,, #, $, %, &, *等操作指南1、参考配置操作进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:“密码必须符合复杂性要求”选择“已启动”检测方法1、判定条件“密码必须符合复杂性要求”选择“已启动”
10、2、检测操作进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:查看是否“密码必须符合复杂性要求”选择“已启动”要求内容在下一次更改密码时不存储 LAN 管理器哈希值操作指南1、参考配置操作进入“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项”:“网络安全: 在下一次更改密码时不存储 LAN 管理器哈希值”选择“已启用”选择后操作修改本地用户密码检测方法1、判定条件“网络安全: 在下一次更改密码时不存储 LAN 管理器哈希值”选择“已启用”, 要求内容对于采用静态口令认证技术的设备,账户口令的生存期不长于90天。操作指
11、南1、参考配置操作进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:“密码最长存留期”设置为“90天”检测方法1、判定条件“密码最长存留期”设置为“90天”2、检测操作进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:查看是否“密码最长存留期”设置为“90天”要求内容对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令。操作指南1、参考配置操作进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:“强制密码历史”设置为“记住5个密码
12、”检测方法1、判定条件“强制密码历史”设置为“记住5个密码”2、检测操作进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:查看是否“强制密码历史”设置为“记住5个密码”要求内容对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。操作指南1、参考配置操作进入“控制面板->管理工具->本地安全策略”,在“帐户策略->帐户锁定策略”:“账户锁定阀值”设置为 6次检测方法1、判定条件“账户锁定阀值”设置为小于或等于 6次2、检测操作进入“控制面板->管理工具->本地安全策略”,在
13、“帐户策略->帐户锁定策略”:查看是否“账户锁定阀值”设置为小于等于 6次1.1.1 授权要求内容在本地安全设置中从远端系统强制关机只指派给Administrators组。操作指南1、参考配置操作进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:“从远端系统强制关机”设置为“只指派给Administrators组”检测方法1、判定条件“从远端系统强制关机”设置为“只指派给Administrtors组”2、检测操作进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:查看是否“从远端系统强制关机”设置为
14、“只指派给Administrators组”要求内容在本地安全设置中关闭系统仅指派给Administrators组。操作指南1、参考配置操作进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:“关闭系统”设置为“只指派给Administrators组”检测方法1、判定条件“关闭系统”设置为“只指派给Administrators组”2、检测操作进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:查看“关闭系统”设置为“只指派给Administrators组”要求内容在本地安全设置中取得文件或其它对象的所有权仅指
15、派给Administrators。操作指南1、参考配置操作进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:“取得文件或其它对象的所有权”设置为“只指派给Administrators组”检测方法1、判定条件“取得文件或其它对象的所有权”设置为“只指派给Administrators组”2、检测操作进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:查看是否“取得文件或其它对象的所有权”设置为“只指派给Administrators组”要求内容在本地安全设置中配置指定授权用户允许本地登陆此计算机。操作指南1、参
16、考配置操作进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”“从本地登陆此计算机”设置为“指定授权用户”检测方法1、判定条件“从本地登陆此计算机”设置为“指定授权用户”2、检测操作进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”查看是否“从本地登陆此计算机”设置为“指定授权用户”要求内容在组策略中只允许授权帐号从网络访问(包括网络共享等,但不包括终端服务)此计算机。操作指南1、参考配置操作进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”“从网络访问此计算机”设
17、置为“指定授权用户”检测方法1、判定条件“从网络访问此计算机”设置为“指定授权用户”2、检测操作进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”查看是否“从网络访问此计算机”设置为“指定授权用户”1.2 日志配置操作要求内容设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。操作指南1、参考配置操作开始->运行-> 执行“ 控制面板->管理工具->本地安全策略->审核策略”审核登录事件,双击,设置为成功和失败都审核。检测方法1、判定条件审核
18、登录事件,设置为成功和失败都审核。2、检测操作开始->运行-> 执行“ 控制面板->管理工具->本地安全策略->审核策略”审核登录事件,双击,查看是否设置为成功和失败都审核。要求内容设置应用日志文件大小至少为8192KB,设置当达到最大的日志尺寸时,按需要改写事件。操作指南1、参考配置操作进入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中:“应用日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时,“按需要改写事件”检测方法1、判定条件“应用日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大
19、的日志尺寸时,“按需要改写事件”2、检测操作进入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中:查看是否“应用日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时,“按需要改写事件”要求内容设置系统日志文件大小至少为8192KB,设置当达到最大的日志尺寸时,按需要改写事件。操作指南1、参考配置操作进入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中:“系统日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时,“按需要改写事件”检测方法1、判定条件“系统日志”属性中的日志大小设置不小
20、于“8192KB” , 设置当达到最大的日志尺寸时,“按需要改写事件”2、检测操作进入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中:查看是否“系统日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时,“按需要改写事件”要求内容设置安全日志文件大小至少为8192KB,设置当达到最大的日志尺寸时,按需要改写事件。操作指南1、参考配置操作进入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中:“安全日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时,“按需要改写事件”检测方法1、判定条
21、件“安全日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时,“按需要改写事件”2、检测操作进入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中:查看是否“安全日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时,“按需要改写事件”1.3 IP协议安全配置操作要求内容对没有自带防火墙的Windows系统,启用Windows系统的IP安全机制(IPSec)或网络连接上的TCP/IP筛选,只开放业务所需要的TCP,UDP端口和IP协议。操作指南1、参考配置操作进入“控制面板>网络连接>本地连接”,进入“I
22、nternet协议(TCP/IP)属性>高级TCP/IP设置”,在“选项”的属性中启用网络连接上的TCP/IP筛选,只开放业务所需要的TCP,UDP端口和IP协议。检测方法1、判定条件系统管理员出示业务所需端口列表。根据列表只开放系统与业务所需端口。2、检测操作进入“控制面板>网络连接>本地连接”,进入“Internet协议(TCP/IP)属性>高级TCP/IP设置”,在“选项”的属性中启用网络连接上的TCP/IP筛选,查看是否只开放业务所需要的TCP,UDP端口和IP协议。要求内容启用Windows XP和Windows 2003 自带防火墙。根据业务需要限定允许访问
23、网络的应用程序,和允许远程登陆该设备的IP地址范围。操作指南1、参考配置操作进入“控制面板>网络连接>本地连接”,在高级选项的设置中启用Windows防火墙。在“例外”中配置允许业务所需的程序接入网络。在“例外->编辑->更改范围”编辑允许接入的网络地址范围。检测方法1、判定条件启用Windows防火墙。“例外”中允许接入网络的程序均为业务所需。2、检测操作进入“控制面板>网络连接>本地连接”,在高级选项的设置中,查看是否启用Windows防火墙。查看是否在“例外”中配置允许业务所需的程序接入网络。查看是否在“例外->编辑->更改范围”编辑允许接
24、入的网络地址范围。要求内容启用SYN攻击保护;指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阀值为5;指定处于 SYN_RCVD 状态的 TCP 连接数的阈值为500;指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值为400。操作指南1、参考配置操作在“开始->运行->键入regedit”启用 SYN 攻击保护的命名值位于注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。值名称:SynAttackProtect。推荐值:2。以下部分中的所有项和值均位于注册表项 HKEY_LOCA
25、L_MACHINESYSTEMCurrentControlSetServices 之下。指定必须在触发 SYN flood 保护之前超过的 TCP 连接请求阈值。值名称:TcpMaxPortsExhausted。推荐值:5。启用 SynAttackProtect 后,该值指定 SYN_RCVD 状态中的 TCP 连接阈值,超过 SynAttackProtect 时,触发 SYN flood 保护。值名称:TcpMaxHalfOpen。推荐值数据:500。启用 SynAttackProtect 后,指定至少发送了一次重传的 SYN_RCVD 状态中的 TCP 连接阈值。超过 SynAttackP
26、rotect 时,触发 SYN flood 保护。值名称:TcpMaxHalfOpenRetried。推荐值数据:400。检测方法1、判定条件各注册表键值均按要求设置。2、检测操作在“开始->运行->键入regedit”启用 SYN 攻击保护的命名值位于注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。值名称:SynAttackProtect。推荐值:2。以下部分中的所有项和值均位于注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。指定必须在触发 SY
27、N flood 保护之前超过的 TCP 连接请求阈值。值名称:TcpMaxPortsExhausted。推荐值:5。启用 SynAttackProtect 后,该值指定 SYN_RCVD 状态中的 TCP 连接阈值,超过 SynAttackProtect 时,触发 SYN flood 保护。值名称:TcpMaxHalfOpen。推荐值数据:500。启用 SynAttackProtect 后,指定至少发送了一次重传的 SYN_RCVD 状态中的 TCP 连接阈值。超过 SynAttackProtect 时,触发 SYN flood 保护。值名称:TcpMaxHalfOpenRetried。推荐值
28、数据:400。1.4 设备其他配置操作1.4.1 共享文件夹及访问权限要求内容非域环境中,关闭Windows硬盘默认共享,例如C$,D$。操作指南1、参考配置操作进入“开始>运行>Regedit”,进入注册表编辑器,更改注册表键值:在HKLMSystemCurrentControlSet ServicesLanmanServerParameters下,增加REG_DWORD类型的AutoShareServer 键,值为 0。检测方法1、判定条件HKLMSystemCurrentControlSet ServicesLanmanServerParameters增加了REG_DWORD
29、类型的AutoShareServer 键,值为 0。2、检测操作进入“开始>运行>Regedit”,进入注册表编辑器,更改注册表键值:在HKLMSystemCurrentControlSet ServicesLanmanServerParameters下,增加REG_DWORD类型的AutoShareServer 键,值为 0。要求内容查看每个共享文件夹的共享权限,只允许授权的账户拥有权限共享此文件夹。操作指南1、参考配置操作进入“控制面板->管理工具->计算机管理”,进入“系统工具>共享文件夹”:查看每个共享文件夹的共享权限,只将权限授权于指定账户。检测方法1、
30、判定条件查看每个共享文件夹的共享权限仅限于业务需要,不设置成为“everyone”。2、检测操作进入“控制面板->管理工具->计算机管理”,进入“系统工具>共享文件夹”:查看每个共享文件夹的共享权限。1.4.2 补丁管理要求内容应安装最新的Service Pack补丁集。对服务器系统应先进行兼容性测试。操作指南1、参考配置操作安装最新的Service Pack补丁集,目前Windows XP的Service Pack为SP2。Windows2000的Service Pack为SP4,Windows 2003的Servoce Pack为SP1检测方法1、判定条件显示XP系统已安装SP2,Win2000系统已安装SP4。2、检测操作控制面板->添加或删除程序->显示更新打钩,查看是否XP系统已安装SP2,Win2000系统已安装SP4。要求内容应安
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 精益服务解决方案
- 面部护理客户分析方案
- 煤炭车队营运方案
- 公共卫生突发事件下中小企业面临困境及应对策略
- 离婚孩子探视方案
- 部编版八年级(上)第三单元练习语文试卷含答案
- 期中测试卷-2024-2025学年统编版(五四制)语文一年级上册
- 怒杀阎婆惜概括50字左右
- 军史长廊策划方案
- 2024-2025学年湖南省长沙市长郡月亮岛学校九年级(上)第一次月考物理试卷(含答案)
- 油水井调剖堵水剂
- 急性胰腺炎ppt课件
- 网络直播平台的营销策略研究——以起点直播公司为例
- 年处理10000辆报废新能源汽车拆解再生利用项目可行性研究报告-模板
- 供应商送货要求规范
- 教师绩效考核综合评价表.doc
- 铁路工程预算定额工程量计算规则使用说明
- 投标书标准格式
- 残疾人的心理辅导方案计划
- 民航飞机维修措施与成本分析
- 结构件防腐蚀生产质量控制要求DKBA04000050B汇编
评论
0/150
提交评论