MicrosoftWindows安全配置基线

Windows系统安全配置基线中国移动通信有限公司管理信息系统部2012年04月

版本版本控制信息更新日期更新人审批人V1.0创建2009年1月V2.0更新2012年4月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。TOC\o"1-5"\h\z\o"CurrentDocument"第1章 概述 5\o"CurrentDocument"目的 5\o"CurrentDocument"适用范围 5\o"CurrentDocument"适用版本 5\o"CurrentDocument"实施 5\o"CurrentDocument"例外条款 5\o"CurrentDocument"第2章 帐户管理、认证授权 6\o"CurrentDocument"帐户 6\o"CurrentDocument"管理缺省帐户 6\o"CurrentDocument"按照用户分配帐户* 6\o"CurrentDocument"删除与设备无关帐户* 7\o"CurrentDocument"口令 7\o"CurrentDocument"密码复杂度 7\o"CurrentDocument"密码最长留存期 8\o"CurrentDocument"帐户锁定策略 8\o"CurrentDocument"授权 8\o"CurrentDocument"远程关机 8\o"CurrentDocument"本地关机 9\o"CurrentDocument"用户权利指派* 9\o"CurrentDocument"授权帐户登陆* 10\o"CurrentDocument"授权帐户从网络访问* 10\o"CurrentDocument"第3章日志配置操作 11日志配置 11审核登录 11\o"CurrentDocument"审核策略更改 11\o"CurrentDocument"审核对象访问 11\o"CurrentDocument"审核事件目录服务器访问 12\o"CurrentDocument"审核特权使用 12\o"CurrentDocument"审核系统事件 13\o"CurrentDocument"审核帐户管理 13\o"CurrentDocument"审核过程追踪 13\o"CurrentDocument"日志文件大小 14\o"CurrentDocument"第4章IP协议安全配置 15IP协议 15启用SYN攻击保护. 15\o"CurrentDocument"第5章 设备其他配置操作 17\o"CurrentDocument"共享文件夹及访问权限 17\o"CurrentDocument"关闭默认共享 17\o"CurrentDocument"共享文件夹授权访问* 17防病毒管理 18数据执行保护 18WINDOW服务 18SNMP服务管理 18\o"CurrentDocument"系统必须服务列表管理* 19\o"CurrentDocument"系统启动项列表管理* 19\o"CurrentDocument"远程控制服务安全* 19\o"CurrentDocument"IIS安全补丁管理 20\o"CurrentDocument"活动目录时间同步管理* 20\o"CurrentDocument"启动项 21\o"CurrentDocument"关闭Windows自动播放功能 21屏幕保护 21\o"CurrentDocument"设置屏幕保护密码和开启时间* 21\o"CurrentDocument"远程登录控制 22\o"CurrentDocument"限制远程登陆空闲断开时间 22补丁管理 23\o"CurrentDocument"操作系统补丁管理* 23操作系统最新补丁管理* 2324第6章评审与修订24第1章概述1.1目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的WINDOWS操作系统的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行WINDOWS操作系统的安全合规性检查和配置。适用范本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的WINDOWS服务器系统。适用版本WINDOWS系列服务器。实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准发布之日起生效。例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

第2章帐户管理、认证授权2.1帐户2.1.1管理缺省帐户安全基线项目名称操作系统缺省帐户安全基线要求项安全基线编号SBL-Windows-02-01-01安全基线项说明对于管理员帐号，要求更改缺省帐户名称；禁用guest（来宾）帐号。检测操作步骤进入“控制面板。管理工具。计算机管理”，在“系统工具,本地用户和组”：缺省帐户Administrator—＞属性Guest帐号。属性基线符合性判定依据缺省帐户Administrator名称已更改。Guest帐号已停用。备注2.1.2按照用户分配帐户*安全基线项目名称操作系统用户帐户划分安全基线要求项安全基线编号SBL-Windows-02-01-02安全基线项说明按照用户分配帐户。根据系统的要求，设定不同的帐户和帐户组，管理员用户，数据库用户，审计用户，来宾用户等。检测操作步骤进入“控制面板。管理工具。计算机管理”，在“系统工具-＞本地用户和组”：根据系统的要求，设定不同的帐户和帐户组，管理员用户，数据库用户，审计用户，来宾用户。基线符合性判定依据结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的帐户和帐户组，管理员用户，数据库用户，审计用户，来宾用户。备注手工判断，需要根据实际情况判断帐户用途

2.1.3删除与设备无关帐户*安全基线项目名称操作系统与设备无关帐户安全基线要求项安全基线编号SBL-Windows-02-01-03安全基线项说明删除或锁定与设备运行、维护等与工作无关的帐户检测操作步骤进入“控制面板。管理工具。计算机管理”，在“系统工具,本地用户和组”：删除或锁定与设备运行、维护等与工作无关的帐户。基线符合性判定依据结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的帐户。进入“控制面板＞管理工具。计算机管理”，在“系统工具。本地用户和组”：查看是否删除或锁定与设备运行、维护等与工作无关的帐户。备注手工判断，需要根据实际情况判断帐户是否为无关帐户2.2口令2.2.1密码复杂度安全基线项目名称操作系统密码复杂度安全基线要求项安全基线编号SBL-Windows-02-02-01安全基线项说明最短密码长度8个字符，启用本机组策略中密码必须符合复杂性要求的策略。即密码至少包含以卜四种类别的字符中的2种：口英语大写字母A,B,C,…Z口英语小写字母a,b,c,…z口西方阿拉伯数字0,1,2,…9非字母数字字符，如标点符号，@,#,$,%,&,*等检测操作步骤进入“控制面板。管理工具。本地安全策略”，在“帐户策略。密码策略”：查看是否“密码必须符合复杂性要求”选择“已启动”基线符合性判定依据“密码最小长度”大于等于8“密码必须符合复杂性要求”选择“已启动”

2.2.2密码最长留存期安全基线项目名称操作系统密码历史安全基线要求项安全基线编号SBL-Windows-02-02-02安全基线项说明对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天。检测操作步骤进入“控制面板。管理工具。本地安全策略”，在“帐户策略。密码策略”：查看“密码最长存留期”基线符合性判定依据“密码最长存留期”设置不大于“90天”备注2.2.3帐户锁定策略安全基线项目名称操作系统帐户锁定策略安全基线要求项安全基线编号SBL-Windows-02-02-03安全基线项说明对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过10次，锁定该用户使用的帐户。检测操作步骤进入“控制面板。管理工具。本地安全策略”，在“帐户策略。帐户锁定策略”：查看“帐户锁定阀值”设置基线符合性判定依据“帐户锁定阀值”设置为小于或等于10次备注2.3授权2.3.1远程关机安全基线项目名称操作系统远程关机策略安全基线要求项

安全基线编号SBL-Windows-02-03-01安全基线项说明在本地安全设置中从远端系统强制关机只指派给Administrators组。检测操作步骤进入“控制面板。管理工具。本地安全策略”，在“本地策略。用户权利指派”：查看“从远端系统强制关机”设置基线符合性判定依据“从远端系统强制关机”设置为“只指派给Administrtors组”备注2.3.2本地关机安全基线项目名称操作系统本地关机策略安全基线要求项安全基线编号SBL-Windows-02-03-02安全基线项说明在本地安全设置中关闭系统仅指派给Administrators组。检测操作步骤进入“控制面板。管理工具。本地安全策略”，在“本地策略。用户权利指派”：查看“关闭系统”设置基线符合性判定依据“关闭系统”设置为“只指派给Administrators组”备注2.3.3用户权利指派*安全基线项目名称操作系统用户权力指派策略安全基线要求项安全基线编号SBL-Windows-02-03-03安全基线项说明在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。检测操作步骤进入“控制面板。管理工具。本地安全策略”，在“本地策略。用户权利指派”：查看是否“取得文件或其它对象的所有权”设置基线符合性判定依据“取得文件或其它对象的所有权”设置为“只指派给Administrators组”备注手工检查

2.3.4授权帐户登陆*安全基线项目名称操作系统用户授权登陆安全基线要求项安全基线编号SBL-Windows-02-03-04安全基线项说明在本地安全设置中配置指定授权用户允许本地登陆此计算机。检测操作步骤进入“控制面板-＞管理工具-＞本地安全策略”，在“本地策略-＞用户权利指派”“从本地登陆此计算机”设置为“指定授权用户”基线符合性判定依据“从本地登陆此计算机”设置为“指定授权用户”，进入“控制面板-＞管理工具-＞本地安全策略”，在“本地策略-＞用户权利指派”查看是否“从本地登陆此计算机”设置为“指定授权用户”备注手工判断是否授权2.3.5授权帐户从网络访问*安全基线项目名称操作系统用户授权从网络访问安全基线要求项安全基线编号SBL-Windows-02-03-05安全基线项说明在组策略中只允许授权帐号从网络访问（包括网络共享等，但不包括终端服务）此计算机。检测操作步骤进入“控制面板-＞管理工具-＞本地安全策略”，在“本地策略-＞用户权利指派”“从网络访问此计算机”设置为“指定授权用户”基线符合性判定依据“从网络访问此计算机”设置为“指定授权用户”，进入“控制面板-＞管理工具-＞本地安全策略”，在“本地策略-＞用户权利指派”查看是否“从网络访问此计算机”设置为“指定授权用户”备注手工判断是否授权

第3章日志配置操作3.1日志配置3.1.1审核登录安全基线项目名称操作系统审核登录策略安全基线要求项安全基线编号SBL-Windows-03-01-01安全基线项说明设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的帐户，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。检测操作步骤开始。运行。执行“控制面板。管理工具。本地安全策略。审核策略”审核登录事件。基线符合性判定依据审核登录事件，设置为成功和失败都审核。备注3.1.2审核策略更改安全基线项目名称操作系统审核策略更改安全基线要求项安全基线编号SBL-Windows-03-01-02安全基线项说明启用组策略中对Windows系统的审核策略更改，成功和失败都要审核。检测操作步骤进入“控制面板。管理工具。本地安全策略”，在“本地策略。审核策略”中查看“审核策略更改”设置。基线符合性判定依据“审核策略更改”设置为“成功”和“失败”都要审核。备注3.1.3审核对象访问安全基线项目名称操作系统审核对象访问安全基线要求项

安全基线编号SBL-Windows-03-01-03安全基线项说明启用组策略中对Windows系统的审核对象访问，成功和失败都要审核。检测操作步骤进入“控制面板。管理工具。本地安全策略”，在“本地策略。审核策略”中：查看“审核对象访问”设置。基线符合性判定依据“审核对象访问”设置为“成功”和“失败”都要审核。备注3.1.4审核事件目录服务器访问安全基线项目名称操作系统审核事件目录服务器访问策略安全基线要求项安全基线编号SBL-Windows-03-01-04安全基线项说明启用组策略中对Windows系统的审核目录服务访问，失败。检测操作步骤进入“控制面板。管理工具。本地安全策略”，在“本地策略。审核策略”中：查看“审核目录服务器访问”设置。基线符合性判定依据“审核目录服务器访问”设置为“成功”和“失败”都要审核。备注3.1.5审核特权使用安全基线项目名称操作系统审核特权使用策略安全基线要求项安全基线编号SBL-Windows-03-01-05安全基线项说明启用组策略中对Windows系统的审核特权使用，成功和失败都要审核。检测操作步骤进入“控制面板。管理工具。本地安全策略”，在“本地策略。审核策略”中：查看“审核特权使用”设置。基线符合性判定依据“审核特权使用”设置为“成功”和“失败”都要审核。备注

3.1.6审核系统事件安全基线项目名称操作系统审核系统事件策略安全基线要求项安全基线编号SBL-Windows-03-01-06安全基线项说明启用组策略中对Windows系统的审核系统事件，成功和失败都要审核。检测操作步骤进入“控制面板。管理工具。本地安全策略”，在“本地策略。审核策略”中：查看“审核系统事件”设置。基线符合性判定依据“审核系统事件”设置为“成功”和“失败”都要审核。备注3.1.7审核帐户管理安全基线项目名称操作系统审核帐户管理策略安全基线要求项安全基线编号SBL-Windows-03-01-07安全基线项说明启用组策略中对Windows系统的审核帐户管理，成功和失败都要审核。检测操作步骤进入“控制面板。管理工具。本地安全策略”，在“本地策略。审核策略”中：查看“审核帐户管理”设置。基线符合性判定依据“审核帐户管理”设置为“成功”和“失败”都要审核。备注3.1.8审核过程追踪安全基线项目名称操作系统审核过程追踪策略安全基线要求项安全基线编号SBL-Windows-03-01-08安全基线项说明启用组策略中对Windows系统的审核过程追踪失败。检测操作步骤进入“控制面板。管理工具。本地安全策略”，在“本地策略。审核策略”中：查看“审核过程追踪”设置。

基线符合性判定依据“审核过程追踪”设置为“失败”需要审核。备注3.1.9日志文件大小安全基线项目名称操作系统日志容量安全基线要求项安全基线编号SBL-Windows-03-01-09安全基线项说明设置应用日志文件大小至少为8192KB，设置当达到最大的日志尺寸时，按需要改写事件。检测操作步骤进入“控制面板。管理工具。事件查看器”，在“事件查看器（本地）”中：查看“应用日志”“系统日志”“安全日志”属性中的日志大小，以及设置当达到最大的日志尺寸时的相应策略。基线符合性判定依据“应用日志” “系统日志”“安全日志”属性中的日志大小设置不小于“8192KB”，设置当达到最大的日志尺寸时，“按需要改写事件”备注第4章IP协议安全配置IP协议启用SYN攻击保护安全基线项目名称操作系统SYN攻击保护安全基线要求项安全基线编号SBL-Windows-04-01-01安全基线项说明启用SYN攻击保护；指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阀值为5；指定处于SYN_RCVD状态的TCP连接数的阈值为500；指定处于至少已发送一次重传的SYN_RCVD状态中的TCP连接数的阈值为400。检测操作步骤在“开始。运行-＞键入regedit”查看注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried。基线符合性判定依据HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect;推荐值：2。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted;推荐值：5。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalf

Open；推荐值数据：500。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried。推存值数据：400。备注第5章设备其他配置操作5.1共享文件夹及访问权限5.1.1关闭默认共享安全基线项目名称操作系统默认共享安全基线要求项安全基线编号SBL-Windows-05-01-01安全基线项说明非域环境中，关闭Windows硬盘默认共享，例如C$，D$。检测操作步骤进入“开始一＞运行一＞区080也/”进入注册表编辑器，查看HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer；基线符合性判定依据HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer键，值为0。备注5.1.2共享文件夹授权访问*安全基线项目名称操作系统共享文件夹安全基线要求项安全基线编号SBL-Windows-05-01-02安全基线项说明查看每个共享文件夹的共享权限，只允许授权的帐户拥有权限共享此文件夹。检测操作步骤进入“控制面板。管理工具。计算机管理”，进入“系统工具一＞共享文件夹”：查看每个共享文件夹的共享权限，只将权限授权于指定帐户。基线符合性判定依据查看每个共享文件夹的共享权限仅限于业务需要，不设置成为“everyone”。进入“控制面板。管理工具。计算机管理”，进入“系统工具一＞共享文件夹”：查看每个共享文件夹的共享权限。备注手工判断

5.2防病毒管理5.2.1数据执行保护安全基线项目名称操作系统数据执行保护安全基线要求项安全基线编号SBL-Windows-05-02-01安全基线项说明对于WindowsXPSP2及Windows2003对Windows操作系统程序和服务启用系统自带DEP功能（数据执行保护），防止在受保护内存位置运行有害代码。检测操作步骤进入“控制面板一＞系统”，在“高级”选项卡的“性能”下的“设置”。进入“数据执行保护”选项卡。查看“仅为基本Windows操作系统程序和服务启用DEP”。基线符合性判定依据“数据执行保护”选项卡已设置为“仅为基本Windows操作系统程序和服务启用DEP”。备注5.3Windows月服务SNMP服务管理安全基线项目名称操作系统SNMP服务管理安全基线要求项安全基线编号SBL-Windows-05-03-01安全基线项说明如需启用SNMP服务，则修改默认的SNMPCommunityString设置。检测操作步骤打开“控制面板”，打开“管理工具”中的“服务”，找到“SNMPService”,单击右键打开“属性”面板中的“安全”选项卡，在这个配置界面中，查看communitystrings,也就是微软所说的“团体名称”。基线符合性communitystrings已改，不是默认的“public”。

判定依据备注5.3.2系统必须服务列表管理*安全基线项目名称操作系统服务列表管理安全基线要求项安全基线编号SBL-Windows-05-03-02安全基线项说明列出所需要服务的列表（包括所需的系统服务），不在此列表的服务需关闭。检测操作步骤进入“控制面板。管理工具。计算机管理”，进入“服务和应用程序”：查看所有服务，不在此列表的服务需关闭。基线符合性判定依据系统管理员应出具系统所必要的服务列表。查看所有服务，不在此列表的服务需关闭。备注手工判断5.3.3系统启动项列表管理*安全基线项目名称操作系统启动项列表管理安全基线要求项安全基线编号SBL-Windows-05-03-03安全基线项说明列出系统启动时自动加载的进程和服务列表，不在此列表的需关闭。检测操作步骤“开始。运行。MSconfig”启动菜单中，取消不必要的启动项。基线符合性判定依据不需要的自动加载进程通过“开始。运行。MSconfig”启动菜单中取消。备注手工判断5.3.4远程控制服务安全*安全基线项目名称操作系统远程控制服务管理安全基线要求项安全基线编SBL-Windows-05-03-04

号安全基线项说明如对互联网开放WindowsTerminial服务(RemoteDesktop)，需修改默认服务端口。检测操作步骤运行Regedt32并转到此项：HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminalServerWinStationsRDP-Tcp找到“PortNumber”子项，会看到默认值00000D3D，它是3389的十六进制表示形式。使用十六进制数值修改此端口号，并保存新值。基线符合性判定依据找到“PortNumber”子项，设定值非00000D3D，即十进制3389备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。5.3.5IIS安全补丁管理*安全基线项目名称操作系统IIS服务管理安全基线要求项安全基线编号SBL-Windows-05-03-05安全基线项说明如需启用IIS服务，则将IIS升级到最新补丁。检测操作步骤下载IIS补丁包IIS4.0/Downloads/Release.asp?ReleaseID=23667IIS5.0/Downloads/Release.asp2ReleaseIDu23665并安装，或升级到IIS6.0基线符合性判定依据已安装IIS补丁包或升级到IIS6.0。备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。5.3.6活动目录时间同步管理*安全基线项目名称操作系统IIS服务管理安全基线要求项安全基线编号SBL-Windows-05-03-06

安全基线项说明通过微软ActiveDirectory管理的终端，或者是独立终端，要求配置时间同步源.终端定期执行时间同步操作（必要时）检测操作步骤a.在具有PDCEmulator角色的DC上运行如下命令，以和外部时间源同步w32tm/config/syncfromflags:manual/manualpeerlist:<PeerList>b.在PC终端上运行如下命令行同步时间：w32tm/config/update基线符合性判定依据检查终端主机的时间是否与标准时间同步。备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。5.4启动项5.4.1关闭Windows自动播放功能安全基线项目名称操作系统Windows自动播放安全基线要求项安全基线编号SBL-Windows-05-04-01安全基线项说明关闭Windows自动播放功能。检测操作步骤打开“开始一运行”，在对话框中输入“gpedit.msc”命令，在出现“组策略”窗口中依次选择“在计算机配置一管理模板一系统”，双击“关闭自动播放”查看。基线符合性判定依据在“设置”选项卡中选“已启用”选项。备注5.5屏幕保护5.5.1设置屏