WINDOWS操作系统安全规范手册

``````````````WINDOWS操作系统安全标准手册部门：部门：密级：版本：步骤账号治理、认证授权 账号治理：

清 单 说明治理员用户，数据库用户，审计用户，来宾用户等。删除或锁定与设备运行、维护等与工作无关的账号。对于治理员帐号，要求更改缺省帐户名称；禁用guest〔来宾〕帐号。最短密码长度8要求的策略。例：DFKJo*#rDFK在下一次更改密码时不存储LAN治理器哈希值(已启用)90天。对于承受静态口令认证技术的设备，应配置设备，使用户不能重5次〔5次〕内已使用的口令。对于承受静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次〔不含6次，锁定该用户使用的账号。对于远程登陆的帐号，设置不活动断连时间15分钟。认证授权：在本地安全设置中从远端系统强制关机只指派给Administrators组。在本地安全设置中关闭系统仅指派给Administrators组。在本地安全设置中取得文件或其它对象的全部权仅指派给Administrators。13.在本地安全设置中配置指定授权用户允许本地登陆此计算机。14.在组策略中只允许授权帐号从网络访问(包括网络共享等，但不包括终端效劳)此计算机。日志配置操作1.设备应配置日志功能，对用户登录进展记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，2.用户使用的IP地址。审核登录大事，双击，设置为成功和失败都审核。3.设置应用日志文件大小至少为8192KB，设置当到达最大的日志尺寸时，按需要改写大事。IP协议安全配置操作1.对没有自带防火墙的Windows系统，启用Windows系统的IP安全机制(IPSec)或网络连接上的TCP/IP筛选，只开放业务所需要的TCP，UDP端口和IP协议。2.WindowsXPWindows2003自带防火墙。依据业务需要限定允许访问网络的应用程序IP地址范围。3.启用SYN攻击保护；指定触发SYN洪水攻击保护所必需超过的TCP连接恳求数阀值为5；指定处于SYN_RCVD状态的TCP连接数的阈值为500；指定处于至少已发送一次重传的SYN_RCVD状态中的TCP400。共享文件夹及访问权1.非域环境中，关闭Windows硬盘默认共享，例如C$，D$。限2.查看每个共享文件夹的共享权限，只允许授权的账户拥有权限共享此文件夹。补丁治理1.应安装最的ServicePack2.性测试。应安装最的Hotfix补丁。对效劳器系统应先进展兼容性测试。IIS设置治理1.制止下载Access数据库、删除其他扩展名。2.卸载担忧全的IIS组件。3.修改脚本错误消灭的错误信息。4.多站点设置最低权限独立IIS用户运行。5.取消网站名目不必要写入权限名目。6.制止不需要运行脚本权限名目。应用软件配置1.制止安装Radmin，任何用户均可获得HASH直接登陆系统。2.3.制止安装Serv-UServ-U运行权限，修改Serv-U默认密码WinRAR版本应为当前最版本。4.3.SQLSERVERSQL2000SP4/SQL2005SP2。制止在SQLServer中远程通过sa帐号连接数据库效劳器。附送，配置操作步骤，有阅历的可以跳过。账号口令要求内容 依据用户安排账号。依据系统的要求，设定不同的账户和账户组，治理员用户，数据库用户，审计用户，来宾用户等。操作指南 1、参考配置操作进入“掌握面板->治理工具->->本地用依据系统的要求，设定不同的账户和账户组，治理员用户，数据库用户，审计用户，来宾用户。检测方法 1、判定条件同的账户和账户组，治理员用户，数据库用户，审计用户，来宾用户。2、检测操作进入“掌握面板->治理工具->->本地用查看依据系统的要求，设定不同的账户和账户组，治理员用户，数据库用户，审计用户，来宾用户。要求内容删除或锁定与设备运行、维护等与工作无关的账号。操作指南1、参考配置操作进入“掌握面板->治理工具->要求内容删除或锁定与设备运行、维护等与工作无关的账号。操作指南1、参考配置操作进入“掌握面板->治理工具->->本地用删除或锁定与设备运行、维护等与工作无关的账号。检测方法1、判定条件结合要求和实际业务状况推断符合要求，删除或锁定与设备运行、维护等与工作无关的账号。维护等与工作无关的账号。2、检测操作进入“掌握面板->治理工具->->本地用户和组”：查看是否删除或锁定与设备运行、维护等与工作无关的账号。要求内容要求内容对于治理员帐号，要求更改缺省帐户名称；禁用guest〔来宾〕帐号。操作指南1、参考配置操作进入“掌握面板->治理工具->->本地用Administrator－>属性－>更改名称Guest帐号->属性－>已停用检测方法1、判定条件缺省账户Administrator名称已更改。Guest帐号已停用。2、检测操作进入“掌握面板->治理工具->->本地用缺省帐户－>属性－>更改名称Guest帐号->属性－>已停用要求内容要求内容最短密码长度6求的策略。即密码至少包含以下四种类别的字符中的三种：英语大写字母A,B,C,…Z英语小写字母a,b,c,…z西方阿拉伯数字0,1,2,…9非字母数字字符，如标点符号，@,#,$,%,&,*等操作指南1、参考配置操作进入“掌握面板进入“掌握面板->治理工具->->密码策略”：“密码必需符合简单性要求”选择“已启动”检测方法1、判定条件“密码必需符合简单性要求”选择“已启动”2、检测操作进入“掌握面板->治理工具->->密码查看是否“密码必需符合简单性要求”选择“已启动”要求内容要求内容在下一次更改密码时不存储LAN治理器哈希值操作指南1、参考配置操作进入“掌握面板->治理工具->->安全“网络安全:在下一次更改密码时不存储LAN治理器哈希值”选择“已启用”选择后操作修改本地用户密码检测方法1、判定条件“网络安全:在下一次更改密码时不存储LAN治理器哈希值”选择“已启用”，要求内容要求内容对于承受静态口令认证技术的设备，账户口令的生存期不长于90天。操作指南1、参考配置操作进入“掌握面板->治理工具->->密码“密码最长存留期”设置为“90天”检测方法1、判定条件“密码最长存留期”设置为“90天”22、检测操作策略”：查看是否“密码最长存留期”设置为“90天”要求内容要求内容5次〔5次〕内已使用的口令。操作指南1、参考配置操作进入“掌握面板->治理工具->->密码5个密码”检测方法1、判定条件5个密码”2、检测操作进入“掌握面板->治理工具->->密码查看是否“强制密码历史”设置为“记住5个密码”要求内容要求内容数超过6次〔不含6次，锁定该用户使用的账号。操作指南1、参考配置操作进入“掌握面板->治理工具->->帐户“账户锁定阀值”设置为6次检测方法1、判定条件“账户锁定阀值”设置为小于或等于6次2、检测操作进入“掌握面板->治理工具->->帐户查看是否“账户锁定阀值”设置为小于等于查看是否“账户锁定阀值”设置为小于等于6次授权要求内容要求内容在本地安全设置中从远端系统强制关机只指派给Administrators组。操作指南1、参考配置操作户权利指派”:“从远端系统强制关机”设置为“只指派给Administrators检测方法1、判定条件“从远端系统强制关机”设置为“只指派给Administrtors2、检测操作户权利指派”:Administrators要求内容要求内容在本地安全设置中关闭系统仅指派给Administrators组。操作指南1、参考配置操作户权利指派”:“关闭系统”设置为“只指派给Administrators检测方法1、判定条件“关闭系统”设置为“只指派给Administrators2、检测操作户权利指派”:查看“关闭系统”设置为“只指派给Administrators组”要求内容要求内容在本地安全设置中取得文件或其它对象的全部权仅指派给Administrators。操作指南1、参考配置操作进入“掌握面板->治理工具->本地安全策略”，在“本地策略->用户权利指派”：检测方法1、判定条件2、检测操作进入“掌握面板->治理工具->本地安全策略”，在“本地策略->用户权利指派”：查看是否“取得文件或其它对象的全部权”设置为“只指派给Administrators要求内容要求内容在本地安全设置中配置指定授权用户允许本地登陆此计算机。操作指南1、参考配置操作户权利指派”“从本地登陆此计算机”设置为“指定授权用户”检测方法1、判定条件“从本地登陆此计算机”设置为“指定授权用户”2、检测操作户权利指派”查看是否“从本地登陆此计算机”设置为“指定授权用户”要求内容要求内容在组策略中只允许授权帐号从网络访问(包括网络共享等，但不包括终端效劳)此计算机。操作指南1、参考配置操作进入“掌握面板->治理工具->本地安全策略”，在“本地策略->用户权利指派”“从网络访问此计算机”设置为“指定授权用户”检测方法1、判定条件“从网络访问此计算机”设置为“指定授权用户”2、检测操作户权利指派”查看是否“从网络访问此计算机”设置为“指定授权用户”日志配置操作要求内容要求内容录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。操作指南1、参考配置操作开头->运行->执行“掌握面板->治理工具->本地安全策略->审核策略”审核登录大事，双击，设置为成功和失败都审核。检测方法1、判定条件审核登录大事，设置为成功和失败都审核。2、检测操作开头->运行->执行“掌握面板->治理工具->本地安全策略->审核策略”审核登录大事，双击，查看是否设置为成功和失败都审核。要求内容设置应用日志文件大小至少为8192KB，设置当到达最大的日志尺寸时，按需要改写大事。寸时，按需要改写大事。操作指南1、参考配置操作进入“掌握面板->治理工具->大事查看器”，在“大事查看器〔本地”中：8192KB,设置当达检测方法1、判定条件最大的日志尺寸时，“按需要改写大事”2、检测操作进入“掌握面板->治理工具->大事查看器”，在“大事查看器〔本地”中：查看是否“应用日志”属性中的日志大小设置不小于“8192KB”,要求内容要求内容设置系统日志文件大小至少为8192KB，设置当到达最大的日志尺寸时，按需要改写大事。操作指南1、参考配置操作进入“掌握面板->治理工具->〔地”中：8192KB”,设置当达到最大的日志尺寸时检测方法1、判定条件“系统日志”属性中的日志大小设置不小于“8192KB”,设置当到达最大的日志尺寸时2、检测操作进入“掌握面板->治理工具->〔地”中：8192K”,要求内容 设置安全日志文件大小至少为8192KB，设置当到达最大的日志尺寸时，按需要改写大事。操作指南 1、参考配置操作进入“掌握面板->治理工具->〔地”中：8192KB”,设置当到达最大的日志尺寸时检测方法 1、判定条件8192KB”,设置当到达最大的日志尺寸时2、检测操作进入“掌握面板->治理工具->〔地”中：8192K”,设置当到达最大的日志尺寸时IP要求内容要求内容对没有自带防火墙的WindowsWindows系统的IP安全机制(IPSec)或网络连接上的TCP/IP筛选，只开放业务所需要的TCP，UDP端口和IP协议。操作指南1、参考配置操作进入“掌握面板－网络连接－Internet协议〔TCP/I〕TCP/IP网络连接上的TCP/IP筛选，只开放业务所需要的TCP，UDP端口IP协议。检测方法1、判定条件系统治理员出示业务所需端口列表。系统治理员出示业务所需端口列表。依据列表只开放系统与业务所需端口。2、检测操作网络连接上的TCP/IP筛选，查看是否只开放业务所需要的TCP，UDP端口和IP协议。要求内容WindowsXPWindows2003自带防火墙。依据业务需要限定允许访问网络的应用程序，和允许远程登陆该设备的IP地址范围。操作指南1、参考配置操作启用Windows防火墙。在“例外”中配置允许业务所需的程序接入网络。在“例外->编辑->更改范围”编辑允许接入的网络地址范围。检测方法 1、判定条件启用Windows防火墙。“例外”中允许接入网络的程序均为业务所需。2、检测操作>网络连接－>查看是否启用Windows防火墙。查看是否在“例外”中配置允许业务所需的程序接入网络。查看是否在“例外->编辑->更改范围”编辑允许接入的网络地址范围。要求内容要求内容启用SYN攻击保护；指定触发SYN洪水攻击保护所必需超过的TCP5；指定处于SYN_RCVD状态的TCP连接数的阈值为500；指定处于至少已发送一次重传的SYN_RCVD状态中的TCP400。操作指南 1、参考配置操作在“开头->运行->键入regedit”启用SYN攻击保护的命名值位于注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services之下。值名称：SynAttackProtect。推举值：2。以下局部中的全部项和值均位于注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services之下。指定必需在触发SYNflood保护之前超过的TCP连接恳求阈值。值名称：TcpMaxPortsExhausted。推举值：5。启用SynAttackProtect后，该值指定SYN_RCVD状态中的TCP连接阈值，超过SynAttackProtect时，触发SYNflood保护。值名称：TcpMaxHalfOpen。推举值数据：500。启用SynAttackProtect 后，指定至少发送了一次重传的SYN_RCVD状态中的TCP连接阈值超过SynAttackProtect时，触发SYNflood保护。值名称：TcpMaxHalfOpenRetried。推举值数据：400。检测方法 1、判定条件各注册表键值均按要求设置。2、检测操作在“开头->运行->键入regedit”启用SYN攻击保护的命名值位于注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services之下。值名称：SynAttackProtect。推举值：2。以下局部中的全部项和值均位于注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services之下。指定必需在触发SYNflood保护之前超过的TCP连接恳求阈值。值名称：TcpMaxPortsExhausted。推举值：5。启用SynAttackProtect后，该值指定SYN_RCVD状态中的TCP连接阈值，超过连接阈值，超过SynAttackProtect时，触发SYNflood保护。值名称：TcpMaxHalfOpen。推举值数据：500。启用SynAttackProtect 后，指定至少发送了一次重传的SYN_RCVDTCPSynAttackProtect时，触发SYNflood保护。值名称：TcpMaxHalfOpenRetried。推举值数据：400。设备其他配置操作共享文件夹及访问权限

非域环境中，关闭Windows硬盘默认共享，例如C$，D$。1、参考配置操作>>Regedi更改注册表键值：在HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\下，增加REG_DWORD类型的AutoShareServer键，值为0。检测方法 1、判定条件HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\增加了REG_DWORD类型的AutoShareServer0。2、检测操作>>Regedi键值：在HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\下，增加REG_DWORD类型的AutoShareServer0。要求内容要求内容此文件夹。此文件夹。操作指南1、参考配置操作享文件夹”：查看每个共享文件夹的共享权限，只将权限授权于指定账户。检测方法1、判定条件查看每个共享文件夹的共享权限仅限于业务需要，不设置成为“everyone2、检测操作享文件夹”：查看每个共享文件夹的共享权限。补丁治理要求内容要求内容应安装最的ServicePack补丁集。对效劳器系统应先进展兼容性测试。操作指南1、参考配置操作安装最的ServicePackWindowsXPServicePackSP2。Windows2000的ServicePack为SP4,Windows2003的ServocePackSP1检测方法1、判定条件显示XP系统已安装SP2，Win2000系统已安装SP4。2、检测操作掌握面板->添加或删除程序->XP系统已安装SP2，Win2000系统已安装SP4。要求内容要求内容应安装最的Hotfix补丁。对效劳器系统应先进展兼容性测试。操作指南操作指南1、参考配置操作安装最的Hotfix补丁。对效劳器系统应先进展兼容性测试。检测方法1、判定条件已安装最的Hotfix补丁，并经过兼容性测试。2、检测操作掌握面板->添加或删除程序->显示更打钩，查看最近安装的Hotfix补丁是否为微软最公布。IIS设置要求内容