Windows安全配置指引

Windows系统安全配置指南Windows系统安全配置指南中国联通信息化事业部 第中国联通信息化事业部 第页共21页密码最短期限天天实施风险业务系统直接利用的账号不适用密码最长天期限备注2.2.3帐户锁定策略项目名称操作系统账户锁定策略要求项编号项目说明对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过次（不含次），锁定该用户使用的账号。检测操作步骤进入“控制面板 管理工具本地安全策略”，在“帐户策略 帐户锁定策略”：查看“账户锁定阀值”设置符合性判定依据“账户锁定阀值”设置为小于或等于次配置方法参考配置操作：进入“控制面板管理工具本地安全策略”，在“帐户策略账户锁定策略”。设置如下策略：策略默认设置推荐最低设置账户锁定时间未定义分钟账户锁定阈值次无效登录复位账户锁定计数器未定义分钟实施风险安全扫描检测暴力破解口令将导致账号锁定。备注2.3授权2.3.1远程关机项目名称操作系统远程关机策略要求项编号项目说明在本地安全设置中从远端系统强制关机只指派给 组。检测操作步进入“控制面板管理工具本地安全策略”，在“本地策略用户权利指派”

骤查看“从远端系统强制关机”设置符合性判定依据“从远端系统强制关机”设置为“只指派给 组”配置方法进入“控制面板管理工具 本地安全策略”，在“本地策略用户权利指派”。“从远端系统强制关机”设置为“只指派给 组”。实施风险风险较小备注2.3.2本地关机项目名称操作系统本地关机策略要求项编号项目说明在本地安全设置中关闭系统仅指派给 组。检测操作步骤进入“控制面板管理工具本地安全策略”，在“本地策略用户权利指派”查看“关闭系统”设置符合性判定依据“关闭系统”设置为“只指派给 组”配置方法参考配置操作：进入“控制面板管理工具本地安全策略”，在“本地策略用户权利指派”。“关闭系统”设置为“只指派给 组”。实施风险风险较小备注2.3.3用户权利指派项目名称操作系统用户权力指派策略要求项编号项目说明在本地安全设置中取得文件或其它对象的所有权仅指派给 。检测操作步骤进入“控制面板 管理工具本地安全策略”，在“本地策略 用户权利指派”：查看是否“取得文件或其它对象的所有权”设置符合性判定依据“取得文件或其它对象的所有权”设置为“只指派给 组”配置方法进入“控制面板 管理工具本地安全策略”，在“本地策略用户权利指派”。

“取得文件或其它对象的所有权”设置为“只指派给 组”。实施风险风险较小备注第3章日志配置操作3.1日志配置3.1.1审核登录项目名称操作系统审核登录策略要求项编号项目说明设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的地址。检测操作步骤开始运行执行“控制面板管理工具本地安全策略审核策略”审核登录事件。符合性判定依据审核登录事件，设置为成功和失败都审核。配置方法参考配置操作：开始运行执行“控制面板管理工具本地安全策略审核策略”审核登录事件，双击，设置为成功和失败都审核。实施风险风险较小备注3.1.2审核策略更改项目名称操作系统审核策略更改要求项编号项目说明启用组策略中对 系统的审核策略更改，成功和失败都要审核。检测操作步骤进入“控制面板管理工具本地安全策略”，在“本地策略审核策略”中查看“审核策略更改”设置。符合性判定依据“审核策略更改”设置为“成功”和“失败”都要审核。配置方法参考配置操作：开始运行执行“控制面板管理工具本地安全策略审核策略”

审核策略更改，双击，设置为成功和失败都审核。实施风险风险较小备注3.1.3审核对象访问项目名称操作系统审核对象访问要求项编号项目说明启用组策略中对 系统的审核对象访问，成功和失败都要审核。检测操作步骤进入“控制面板管理工具本地安全策略”，在“本地策略审核策略”中：查看“审核对象访问”设置。符合性判定依据“审核对象访问”设置为“成功”和“失败”都要审核。配置方法参考配置操作：开始运行执行“控制面板管理工具本地安全策略审核策略”审核对象访问，双击，设置为成功和失败都审核。实施风险风险较小备注3.1.4审核事件目录服务器访问项目名称操作系统审核事件目录服务器访问策略要求项编号项目说明启用组策略中对 系统的审核目录服务访问，失败。检测操作步骤进入“控制面板管理工具本地安全策略”，在“本地策略审核策略”中：查看“审核目录服务器访问”设置。符合性判定依据“审核目录服务器访问”设置为“成功”和“失败”都要审核。配置方法参考配置操作：开始运行执行“控制面板管理工具本地安全策略审核策略”审核目录服务器访问，双击，设置为成功和失败都审核。实施风险风险较小

备注3.1.5审核特权使用项目名称操作系统审核特权使用策略要求项编号项目说明启用组策略中对 系统的审核特权使用，成功和失败都要审核。检测操作步骤进入“控制面板管理工具本地安全策略”，在“本地策略审核策略”中：查看“审核特权使用”设置。符合性判定依据“审核特权使用”设置为“成功”和“失败”都要审核。配置方法参考配置操作：开始运行执行“控制面板管理工具本地安全策略审核策略”审核特权使用，双击，设置为成功和失败都审核。实施风险风险较小备注3.1.6审核系统事件项目名称操作系统审核系统事件策略要求项编号项目说明启用组策略中对 系统的审核系统事件，成功和失败都要审核。检测操作步骤进入“控制面板管理工具本地安全策略”，在“本地策略审核策略”中：查看“审核系统事件”设置。符合性判定依据“审核系统事件”设置为“成功”和“失败”都要审核。配置方法参考配置操作：开始运行执行“控制面板管理工具本地安全策略审核策略”审核系统事件，双击，设置为成功和失败都审核。实施风险风险较小备注

3.1.7审核账户管理项目名称操作系统审核账户管理策略要求项编号项目说明启用组策略中对 系统的审核帐户管理，成功和失败都要审核。检测操作步骤进入“控制面板管理工具本地安全策略”，在“本地策略审核策略”中：查看“审核账户管理”设置。符合性判定依据“审核账户管理”设置为“成功”和“失败”都要审核。配置方法参考配置操作：开始运行执行“控制面板管理工具本地安全策略审核策略”审核账户管理，双击，设置为成功和失败都审核。实施风险风险较小备注3.1.8审核过程追踪项目名称操作系统审核过程追踪策略要求项编号项目说明启用组策略中对 系统的审核过程追踪失败。检测操作步骤进入“控制面板管理工具本地安全策略”，在“本地策略审核策略”中：查看“审核过程追踪”设置。符合性判定依据“审核过程追踪”设置为“失败”需要审核。配置方法参考配置操作：开始运行执行“控制面板管理工具本地安全策略审核策略”审核过程追踪，双击，设置为成功和失败都审核。实施风险风险较小备注

3.1.9日志文件大小项目名称操作系统日志容量要求项编号项目说明设置应用日志文件大小至少为 ，设置当达到最大的日志尺寸时，按需要改写事件。检测操作步骤进入“控制面板管理工具事件查看器”，在“事件查看器（本地）”中：查看“应用日志”“系统日志”“安全日志”属性中的日志大小以及设置当达到最大的日志尺寸时的相应策略。符合性判定依据“应用日志”“系统日志”“安全日志”属性中的日志大小设置不小于“ 2设置当达到最大的日志尺寸时，“按需要改写事件”配置方法参考配置操作：进入“控制面板管理工具事件查看器”，在“事件查看器（本地）”中：“应用日志”属性中的日志大小设置不小于" ''设置当达到最大的日志尺寸时，“按需要改"件”“系统日志”属性中的日志大小设置不小于" ''设置当达到最大的日志尺寸时，“按需要改"件”“安全日志”属性中的日志大小设置不小于" ''设置当达到最大的日志尺寸时，“按需要改"件”实施风险需查看盘剩余空间。备注第4章IP协议安全配置IP协议启用SYN攻击保护项目名称操作系统 攻击保护要求项编号项目说明启用攻击保护；指定触发洪水攻击保护所必须超过的连接请求数阀值为5指定处于状态的连接数的阈值为0指定处于至少已发送一次重传的状态中的连接数的阈值为。检测操作步骤在“开始运行键入 ”查看注册表项r符合性判定依据推荐值：2推荐值：。推荐值数据： o。i荐值数据： 。

配置方法参考配置操作：在“开始运行键入 ”启用 攻击保护的命名值位于注册表项之下。值名称：。推荐值：。以下部分中的所有项和值均位于注册表项之下。指定必须在触发 保护之前超过的 连接请求阈值。值名称：。E荐值：。启用 后，该值指定 状态中的连接阈值，超过 时，触发 保护。值名称：。fO数据： 0启用 后，指定至少发送了一次重传的 状态中的 连接阈值。超过 时，触发 保护。值名称： 。推荐值数据： 0实施风险业务系统可针对自身特点相应调整具体数值，内网系统遇到 攻击概率较低。备注第5章设备其他配置操作共享文件夹及访问权限关闭默认共享项目名称操作系统默认共享要求项编号项目说明非域环境中，关闭 硬盘默认共享，例如, $检测操作步骤进入“开始一运行一 ”，进入注册表编辑器，查看S符合性判定依据键，值为r配置方法进入“开始一运行一 “，进入注册表编辑器，更改注册表键值：在下，增加 类型的键，值为0实施风险利用共享访问的业务系统需仔细测试。备注防病毒管理数据执行保护项目名称操作系统数据执行保护要求项编号项目说明对于 及 对 操作系统程序和服务启用系统自带功能数据执行保护，防止在受保护内存位置运行有害代码。

检测操作步骤进入“控制面板一系统”，在“高级”选项卡的“性能”下的“设置”。进入“数据执行保护”选项卡。查看“仅为基本 操作系统程序和服务启用空符合性判定依据“数据执行保护”选项卡已设置为“仅为基本 操作系统程序和服务启用空配置方法参考配置操作：进入“控制面板一系统”，在“高级”选项卡的“性能”下的“设置”。进入“数据执行保护”选项卡。设置为“仅为基本 操作系统程序和服务启用空实施风险风险较低。备注数据执行保护是一种有助于防止您的计算机免受病毒和其他安全威胁破坏的安全功能。有害的程序可能会通过试图运行（也称为“执行”）计算机内存中为和其他已授权程序保留的代码来攻击。这些类型的攻击可能会损害您的程序和文件。可以通过监视程序以确保它们安全使用计算机内存，帮助保护您的计算机。如果注意到计算机上的某个程序使用的内存不正确，则它将关闭该程序并通知您。Windows月服务SNMP服务管理项目名称操作系统SNMP服务管理要求项编号项目说明如需启用SNMP服务，则修改默认的SNMP 设置。检测操作步骤打开“控制面板”，打开“管理工具”中的“服务”，找到“SNMPS ”,单击右键打开“属性”面板中的“安全”选项卡，在这个配置界面中，查看y也就是微软所说的“团体名称”。符合性判定依据已改，不是默认的“ l配置方法参考配置操作：打开“控制面板”，打开“管理工具”中的“服务”，找到“SNMP

Service"，单击右键打开“属性”面板中的“安全”选项卡，在这个配置界面中，可以修改cmmit $仃1也就是微软所说的“团体名称”。实施风险相关smP服务器同时修改“团体名称”。备注启动项关闭Windows自动播放功能项目名称操作系统id自动播放要求项编号ids项目说明关闭id自动播放功能。检测操作步骤打开“开始f运行”，