Windows 操作系统配置安全基线标准 与操作指南

Windows操作系统配置安全基线标准2018年6月目录第1章概 第2章账户管理、认证授 管理缺省账 密码复杂 密码历 帐户锁定策 远程关机授 本地关机授 禁止Windows自动登 第3章日志配置操 审核登 审核策略更 审核对象访 审核事件目录服务器访 审核特权使 审核系统事 审核账户管 审核过程追 日志文件大 第4章IP协议安全配 启用SYN攻击保 启用ICMP攻击保 启用SNMP攻击保 禁用IP源路 启用碎片攻击保 第5章设备其他配置操 共享文件夹权限控 网络访问用户授 匿名用户连接权限管 远程桌面服务端口管 数据执行保 恶意代码防 终端服务登录管 系统登录管 用户登录超时管 关闭Windows自动播放功 配置系统时间同 系统服务管 第6章系统更 操作系统补丁更 PAGEPAGE1第1安全基线概文档编制目本文档针对安装运行微软nws（包Cnws文档适用范本文档适用于Wdws系列操作系统的各类版本，部分操作系文档修eryj.un。2章账户管理、认证授操作系统账管理缺省账NJAUSBL-Windows-V01-02-01-对于管理员帐号，应使用非缺省Administrator帐户名称，即重命名管理员帐户；禁用guest（来宾）帐户。“d2、进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组->用户”：Guest>属性，勾选“帐户缺省账户Administrator已更名、Guest已停用。口密码复杂NJAUSBL-Windows-V01-02-02-8性要求的策略。即密码至少包含以下四种类别的字符中的三种：A,B,C,…英语小写字母a,b,c,…z西方阿拉伯数字0,1,2,…9非字母数字字符，如标点符号@,#,$,%,&,*进入“控制面板->管理工具->本地安全策略”，在“帐户“密码历NJAUSBL-Windows-V01-02-02-90天。进入“控制面板->->本地安全策略”，在“帐户->密码策略”：查看“密码最长存留期”（WindowsXP2000、2003）或“密码最长使用期限”（WindowsVista、7、2008）的值查看本地安全策略，“密码最长存留期”设置不长于90天0：表示未设置，账号使用期无限长。根据《南京农业大学计算机信息系统密码安全管理办法》规定，密码最长有效期为30/60/9090帐户锁定策NJAUSBL-Windows-V01-02-02-败次数超过5（不含5次）进入“控制面板->管理工具->本地安全策略”，在“帐户略->帐户锁定策略”：查看“账户锁定阀值”设查看本地安全策略“账户锁定阀值设置为小于或等于5次“账户锁定时间”设置为30分0：表示未设置，可无限尝试口令授远程关机授NJAUSBL-Windows-V01-02-03-Administrators组进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”：进入“从远端系统强制关机”设置，只保留Administrtors组。“给Administrtors组”。Windows7、10中为“用户权限分配”项本地关机授NJAUSBL-Windows-V01-02-03-在本地安全设置中，关闭系统仅指派给Administrators组。进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”:进入“关闭系统”设置，只保留Administrtors组查看本地安全策略，“关闭系统”设置为“只指派Administrators组文件或其它对象的所有权授NJAUSBL-Windows-V01-02-03-进入“控制面板->管理工具->本地安全策略”，进入“取文件或其它对象的所有权”设置，只保留Administrtors组。查看本地安全策略“取得文件或其它对象的所有权”设置Administrators组身份鉴WindowsNJAUSBL-Windows-V01-02-04-从“开始->运行->输入：regedit”，查看注册表项“AutoAminLogon值修改为0AutoAdminLogon1为自动登录第3章日志配置操日志配审核登NJAUSBL-Windows-V01-03-01-用户使用的IP地址。进入“控制面板->管理工具->本地安全策略”，在“本地策-和“失败”审核策略更NJAUSBL-Windows-V01-03-01-启用组策略中对Windows系统的审核策略更改，成功和失进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中进入“审核策略更改”设置，勾选“成功”和“失败”查看本地安全策略“审核策略更改”设置为成功和失败都审核对象访NJAUSBL-Windows-V01-03-01-启用组策略中对Windows系统的审核对象访问，成功和失败进入“控制面板->管理工具->本地安全策略”，在“本地策和“失败”查看本地安全策略“审核对象访问”设置为成功和失败都NJAUSBL-Windows-V01-03-01-启用组策略中对Windows系统的审核目录服务访问，成功进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略中进审核目录服务访问设置功”和“失败”“审核特权使NJAUSBL-Windows-V01-03-01-启用组策略中对Windows系统的审核特权使用，成功和失进入“控制面板->管理工具->本地安全策略”，在“本地策和“失败”查看本地安全策略“审核特权使用”设置为成功和失败都审核系统事NJAUSBL-Windows-V01-03-01-启用组策略中对Windows系统的审核系统事件，成功和失进入“控制面板->管理工具->本地安全策略”，在“本地查看本地安全策略“审核系统事件”设置为成功和失败都审核账户管NJAUSBL-Windows-V01-03-01-启用组策略中对Windows系统的审核帐户管理，成功和失进入“控制面板>管理工具>本地安全策略”，在“本地策略>审核策略”中进入“审核账户管理”设置，勾选功”和“失败”“审核过程追NJAUSBL-Windows-V01-03-01-启用组策略中对Windows系统的审核过程追踪失败进入“控制面板->管理工具->本地安全策略”，在“本地略>审核策略中进“审核过程跟踪“失败查看本地安全策略，“审核过程跟踪”设置为失败需要审核日志文件大NJAUSBL-Windows-V01-03-01-设置应用日志文件大小最大20480KB(20M,至少为8192KB8M），设置当达到最大的日志尺寸时，按需要覆盖事件进入“控制面板->管理工具->事件查看器”，在“事件查设置至少为的日志尺寸时“按需要覆盖事件”“应用日志”、“系统日志”、“安全日志”属性中的日志小设置最大不超过“20480KB”,设置当达到最大的日志尺寸第4章IP协议安全配入侵防启用SYN攻击保操作系统SYN攻击保护安全基线要求NJAUSBL-Windows-V01-04-01-启用SYN攻击保护；指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阀值为5；指定处于SYN_RCVD状态的TCP连接数的阈值为500；指定处于至少已发送一次重传的SYN_RCVD状态中的TCP连接数的阈值为400在“开始->运行->键入regedit”查看注册表项启用SYN攻击保护 推荐值：2(六进制)，若该值不存在，可以自己创建，类型为指定在触发SYNflood保护之前超过的TCP连接请求值：TcpMaxPortsExhausted推荐值：5(十六进制)，若该值不存在，可以自己创建，类型为DWORD；c.指定SYN_RCVD状态中的TCP连接阈值，超过该值则触发SYNflood保护：TcpMaxHalfOpen推荐值：500(十六进制)，若该值不存在，可以自己创建，类型为DWORD；d.指定至少发送一次重传的SYN_RCVD状态中的TCP接阈值，超过该值则触发SYNflood保护：TcpMaxHalfOpenRetried推荐值：400存在，可以自己创建，类型为DWORD SYN攻击属于DOS攻击的一种，它利用TCP协议缺陷，通过送大量的半连接请求，耗费CPU和内存资源启用ICMP攻击保操作系统ICMP攻击保护安全基线要求NJAUSBL-Windows-V01-04-01-在收到ICMP重定向数据包时禁止创建高成本的主机路由，止形成DDOS攻击在“开始->运行->键入regedit”EnableICMPRedirect项，推荐值：0，若该值不存在，可自己创建，类型为DWORD查看注册表项，EnableICMPRedirect值为0有效值：0（禁用），1（启用）。ICMP协议属于网络层协议启用SNMP攻击保操作系统SNMP攻击保护安全基线要求NJAUSBL-Windows-V01-04-01-在“开始->运行->键入regedit”EnableDeadGWDetect 推荐值：0，若该值不存在，可自己创建，类型为DWORD查看注册表项，EnableDeadGWDetect值为0有效值：0（禁用），1（启用）。简单网络管理协议(SNMP)来对通信网络设备进行管理，易被用于形成大流量的SNMP攻禁用IPIPNJAUSBL-Windows-V01-04-01-IP在“开始->运行->键入regedit”，查看注册表项DisableIPSourceRouting项，推荐值：1，若该值不存在可以自己创建，类型为DWORD查看注册表项，DisableIPSourceRouting1有效值：0（转发所有数据包），1（不转发源路由数据包2（丢弃所有传入的源路由数据包）启用操作系统TCP碎片攻击保护安全基线要求NJAUSBL-Windows-V01-04-01-设置系统防止遭TCP碎片攻击导致崩溃或拒绝服务新建DWORD值，名称为EnablePMTUDiscovery，值为查看注册表项，EnablePMTUDiscovery值为0xFFFF的IP碎片，一些老的系统内核在处理的时候就会出现问题，导致崩溃或者拒绝服务。注册表键值0表示不自动探测MTU大小，都使用576字节的MTU，1表示自动探测MTU大小，可能会被攻击者强制MTU值变得非常小，从而导致堆第5章设备其他配置操访问控制管共享文件夹权限控NJAUSBL-Windows-V01-05-01-Everyone(“Everyone(任何人)”，则将其删除NJAUSBL-Windows-V01-05-01-””用户、“Everyone”组。（Windowsxp,Windows2000）””用户、“Everyone”组。（WindowsVista、7、2003、“Guest”用户、“Everyone”组只允许存在AdministratorsBackupOperatorsPowerUsersusersNJAUSBL-Windows-V01-05-01-进入控制面板->管理工具->本地安全策略->本地策略->安全选项->网络访问:SAM->属性已启用。（Windowsxp,Windows2000,Windows2003,WindowsVista,Windows7,Window8）进入控制面板->管理工具->本地安全策略->本地策略->安全选项->对匿名连接的额外限制->属性->SAM共享。（Windows2008）NJAUSBL-Windows-V01-05-01-修改远程桌面服务默认端口,erminalServer\WinStations\RDP-TcperminalServer\Wds\rdpwd\Tds\tcp找到“PortNumber”子项，默认值00000D3D33893389查看注册表“PortNumber”值是否已修改win10已经变更为CurrentControlSet001NJAUSBL-Windows-V01-05-01-路径“本地计算机策略->计算机配置->Windows设置->安全设置->本地策略->安全选项在右边窗格中找“网络访问:远程访问的注册表路径和子路径”，配置为空查看组策略中“网络访问:可远程访问的注册表路径和子路数据防护管数据执行保NJAUSBL-Windows-V01-05-02-对Windows操作系统程序和服务启用系统自带DEP功能进入“控制面板－>系统”，在“高级”选项卡的“性能下的“设置”。进入“数据执行保护”选项卡。查看“仅为基本Windows操作系统程序和服务启用DEP”。“数据执行保护”选项卡已设置为“仅为基本Windows操系统程序和服务启用DEP”适用于WindowsXPSP2及Windows2003，可能影响部分程恶意代码防NJAUSBL-Windows-V01-05-02-访问校园网资源控制管终端服务登录管NJAUSBL-Windows-V01-05-03-在“系统-运行”中执行命令regedit打开注册表，修改下NT\CurenVerioWingonDontDisplayLastUserName查看DontDisplayLastUserName值是否为1系统登录管NJAUSBL-Windows-V01-05-03-”->“交互式登录:不显示最后的用户名”，点击“已启用查看本地安全策略中“交互式登录:NJAUSBL-Windows-V01-05-03-路径“本地计算机策略->计算机配置->Windows设置->安全设网络服务器:登录时间过期后断开与客户端的连接“已启用”虚拟内存管NJAUSBL-Windows-V01-05-03-”->“关机:清除虚拟内存页面文件”，点击“已启用查看“关机:清除虚拟内存页面文件”是否启用启动关闭Windows自动播放功操作系统Windows