Windows系統安全配置基線

目錄第1章概述 11.1 目的 11.2 適用范圍 11.3 適用版本 1第2章安裝前準備工作 12.1 需準備的光盤 1第3章 操作系統的基本安裝 .….… 13.1 基本安裝 1第4章賬號管理、認證授權 24.1 賬號 24.1.1管理缺省賬戶 24.1.2刪除無用賬戶 24.1.3用戶權限分離 34.2 口令 34.2.1密碼復雜度 34.2.2密碼最長生存期 44.2.3密碼歷史 44.2.4帳戶鎖定策略 54.3 授權 54.3.1遠程關機 54.3.2本地關機 64.3.3隱藏上次登錄名 64.3.4關機清理內存頁面 74.3.5用戶權利指派 7第5章日志配置操作 85.1 日志配置 85.1.1審核登錄 85.1.2審核策略更改 85.1.3審核對象訪問 85.1.4審核事件目錄服務器訪問95.1.5審核特權使用 95.1.6審核系統事件 105.1.7審核賬戶管理 105.1.8審核過程追蹤 105.1.9日志文件大小 11第6章其他配置操作 11TOC\o"1-5"\h\z\o"CurrentDocument"共享文件夾及訪問權限 11\o"CurrentDocument"6.1.1關閉默認共享 11\o"CurrentDocument"防病毒管理 12\o"CurrentDocument"6.2.1防病毒軟件保護 12\o"CurrentDocument"WNDOW服務 12\o"CurrentDocument"系統服務管理 12\o"CurrentDocument"訪問控制 13\o"CurrentDocument"限制Radmin管理地址 13\o"CurrentDocument"啟動項 13\o"CurrentDocument"6.4.1關閉Windows自動播放功能 13\o"CurrentDocument"6.4.3配置屏保功能 14\o"CurrentDocument"6.4.4補丁更新 14\o"CurrentDocument"持續改進 15第1章概述1.1目的本文規定了WINDOW操作系統主機應當遵循的操作系統安全性設置標準，本文檔旨在指導系統管理人員或安全檢查人員進行 WINDOW操作系統的安全合規性檢查和配置。1.2適用范圍本配置標準的使用者包括：服務器系統管理員、安全管理員和相關使用人員。本配置標準適用的范圍包括： WINDOWS服務器。1.3適用版本適用于WindowsXP、WindowsServer服務器。第2章安裝前準備工作2.1需準備的光盤（1） 正版的Windows服務器操作系統光盤。（2） 服務器用殺毒軟件光盤。第3章操作系統的基本安裝3.1基本安裝（1） 使用NTFS文件系統來最小化安裝操作系統。（2）管理員賬號須設置較復雜的口令（由數字、大小寫字母和特殊字符組成） ，長度在12位以上，其中管理員口令應一機一密碼，不同機器之間不應相同。（3）斷開網絡安裝完操作系統后，在業務網專用區域內連接網絡進行系統升級， 并打開Windows自動更新服務。（4） 升級完成后，安裝前述光盤中的殺毒軟件并進行更新。第4章賬號管理、認證授權4.1賬號4.1.1管理缺省賬戶安全基線項目名稱操作系統缺省賬戶安全基線要求項安全基線項對于管理員帳號，要求更改缺省帳戶名稱；禁用 guest（來賓）帳號。說明檢測操作步進入“控制面板->管理工具->計算機管理”，在“系統工具->本地用戶和組”：驟缺省帳戶Administrator —＞屬性Guest帳號->屬性基線符合性缺省賬戶Administrator 名稱已更改判定依據Guest帳號已停用備注4.1.2刪除無用賬戶安全基線項目名稱操作系統缺省賬戶安全基線要求項安全基線項刪除或鎖定與設備運行、維護等與工作無關的賬號。說明檢測操作步1、參考配置操作進入“控制面板->管理工具->計算機管理”，在“系統工具->本地用戶和組”：

驟刪除或鎖定與設備運行、維護等與工作無關的賬號。基線符合性判定依據1、 判定條件結合要求和實際業務情況判斷符合要求，刪除或鎖定與設備運行、維護等與工作無關的賬號。2、 檢測操作進入“控制面板->管理工具->計算機管理”，在“系統工具->本地用戶和組”：查看是否刪除或鎖定與設備運行、維護等與工作無關的賬號。備注4.1.3用戶權限分離安全基線項目名稱操作系統缺省賬戶安全基線要求項安全基線項說明按照用戶分配賬號。根據系統的要求，設定不冋的賬戶和賬戶組，管理員用戶，操作員用戶operator，審計用戶auditor等。檢測操作步驟1、參考配置操作進入“控制面板->管理工具->計算機管理”，在“系統工具->本地用戶和組”：根據系統的要求，設定不冋的賬戶和賬戶組，管理員用戶，操作員用戶和審計用戶納入user組。基線符合性判定依據1、 判定條件結合要求和實際業務情況判斷符合要求，根據系統的要求，設定不冋的賬戶和賬戶組，管理員用戶，操作員用戶，審計用戶。2、 檢測操作進入“控制面板->管理工具->計算機管理”，在“系統工具->本地用戶和組”：查看根據系統的要求，設定不冋的賬戶和賬戶組， 管理員用戶，數據庫用戶，審計用戶。備注4.2口令4.2.1密碼復雜度安全基線項操作系統密碼復雜度安全基線要求項

目名稱安全基線項說明最短密碼長度12個字符，啟用本機組策略中密碼必須符合復雜性要求的策略。即密碼需要包含以下四種類別的字符：英語大寫字母A,B,C, …Z英語小寫字母a,b,c, …z西方阿拉伯數字0,1,2, …9非字母數字字符，如標點符號， @,#,$,%,&,* 等檢測操作步驟進入“控制面板->管理工具->本地安全策略”，在“帳戶策略->密碼策略”：查看是否“密碼必須符合復雜性要求”選擇“已啟動”基線符合性判定依據“密碼必須符合復雜性要求”選擇“已啟動”備注422密碼最長生存期安全基線項目名稱操作系統密碼最長生存期要求項安全基線項說明對于米用靜態口令認證技術的系統，賬戶口令的生存期不長于90天。檢測操作步進入“控制面板->管理工具->本地安全策略”，在“帳戶策略->密碼策略”：驟查看“密碼最長存留期”基線符合性“密碼最長存留期”設置不大于“90天”判定依據備注423密碼歷史安全基線項目名稱操作系統密碼歷史安全基線要求項安全基線項說明對于米用靜態口令認證技術的設備，應配置設備，使用戶不能重復使用最近5次（含5次）內已使用的口令。

檢測操作步驟1、參考配置操作進入“控制面板->管理工具->本地安全策略”，在“帳戶策略->密碼策略”：“強制密碼歷史”設置為“記住 5個密碼”基線符合性判定依據1、 判定條件“強制密碼歷史”設置為“記住 5個密碼”2、 檢測操作進入“控制面板->管理工具->本地安全策略”，在“帳戶策略->密碼策略”：查看是否“強制密碼歷史”設置為“記住 5個密碼”備注424帳戶鎖定策略安全基線項目名稱操作系統賬戶鎖定策略安全基線要求項安全基線項說明對于米用靜態口令認證技術的設備，應配置當用戶連續認證失敗次數超過 4次（不含5），鎖定該用戶使用的賬號。檢測操作步驟進入“控制面板->管理工具->本地安全策略”，在“帳戶策略->帳戶鎖定策略”：查看“賬戶鎖定閥值”設置基線符合性判定依據賬戶鎖疋閥值設置為小于或等于 3次，鎖疋時間1分鐘。備注4.3授權4.3.1遠程關機安全基線項目名稱操作系統遠程關機策略安全基線要求項安全基線項說明在本地安全設置中從遠端系統強制關機只指派給 Administrators 組。檢測操作步驟進入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權利指派”：查看“從遠端系統強制關機”設置

基線符合性判定依據“從遠端系統強制關機”設置為“只指派給Administrtors 組”備注432本地關機安全基線項目名稱操作系統本地關機策略安全基線要求項安全基線項在本地安全設置中關閉系統僅指派給 Administrators 組。說明檢測操作步進入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權利指派”：驟查看“關閉系統”設置基線符合性關閉系統設置為只指派給 Administrators 組判定依據備注433隱藏上次登錄名安全基線項目名稱操作系統本地登錄名隱藏策略安全基線要求項安全基線項交互式登錄，不顯示上次登錄的用戶名說明檢測操作步運行輸入gpedit.msc 本地計算機策略 windows設置安全設置 本驟地策略安全選項下：啟用”交互式登錄：不顯示最后的用戶名”基線符合性“交互式登錄：不顯示最后的用戶名”設置為“已啟用”判定依據備注

434關機清理內存頁面安全基線項目名稱操作系統關機清理內存策略安全基線要求項安全基線項關機時清理虛擬內存頁面文件說明檢測操作步運仃輸入gpedit.msc 本地計算機策略 windows設置安全設置 本驟地策略安全選項下：啟用”關機：清理虛擬內存頁面文件”基線符合性“關機：清理虛擬內存頁面文件”設置為“已啟用”判定依據備注435用戶權利指派安全基線項目名稱操作系統用戶權力指派策略安全基線要求項安全基線項在本地安全設置中取得文件或其它對象的所有權僅指派給 Administrators 。說明檢測操作步進入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權利指派”：驟查看是否“取得文件或其它對象的所有權”設置基線符合性取得文件或其它對象的所有權設置為只指派給 Administrators組判定依據備注

第5章日志配置操作5.1日志配置5.1.1審核登錄安全基線項目名稱操作系統審核登錄策略安全基線要求項安全基線項說明設備應配置日志功能，對用戶登錄進行記錄，記錄內容包括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠程登錄時，用戶使用的 IP地址。檢測操作步驟開始->運行->執行“控制面板->管理工具->本地安全策略->審核策略”審核登錄事件。基線符合性判定依據審核登錄事件，設置為成功和失敗都審核。備注5.1.2審核策略更改安全基線項目名稱操作系統審核策略更改安全基線要求項安全基線項啟用組策略中對Windows系統的審核策略更改，成功和失敗都要審核。說明檢測操作步進入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中驟查看“審核策略更改”設置。基線符合性“審核策略更改”設置為“成功” 和“失敗”都要審核。判定依據備注5.1.3審核對象訪問安全基線項操作系統審核對象訪問安全基線要求項

目名稱安全基線項說明啟用組策略中對Windows系統的審核對象訪問，成功和失敗都要審核。檢測操作步驟進入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：查看“審核對象訪問”設置。基線符合性判定依據“審核對象訪問”設置為“成功”和“失敗”都要審核。備注5.1.4審核事件目錄服務器訪問安全基線項目名稱操作系統審核事件目錄服務器訪問策略安全基線要求項安全基線項啟用組策略中對Windows系統的審核目錄服務訪問，失敗。說明檢測操作步進入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：驟查看“審核目錄服務器訪問”設置。基線符合性“審核目錄服務器訪問”設置為“成功” 和“失敗”都要審核。判定依據備注5.1.5審核特權使用安全基線項目名稱操作系統審核特權使用策略安全基線要求項安全基線項說明啟用組策略中對Windows系統的審核特權使用，成功和失敗都要審核。檢測操作步驟進入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：查看“審核特權使用”設置。基線符合性判定依據“審核特權使用”設置為“成功” 和“失敗”都要審核。

備注5.1.6審核系統事件安全基線項目名稱操作系統審核系統事件策略安全基線要求項安全基線項啟用組策略中對Windows系統的審核系統事件，成功和失敗都要審核。說明檢測操作步進入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：驟查看“審核系統事件”設置。基線符合性“審核系統事件”設置為“成功” 和“失敗”都要審核。判定依據備注5.1.7審核賬戶管理安全基線項目名稱操作系統審核賬戶管理策略安全基線要求項安全基線項說明啟用組策略中對Windows系統的審核帳戶管理，成功和失敗都要審核。檢測操作步驟進入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：查看“審核賬戶管理” 設置。基線符合性判定依據“審核賬戶管理”設置為“成功” 和“失敗”都要審核。備注5.1.8審核過程追蹤安全基線項目名稱操作系統審核過程追蹤策略安全基線要求項安全基線項啟用組策略中對Windows系統的審核過程追蹤失敗。

說明檢測操作步驟進入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：查看“審核過程追蹤”設置。基線符合性判定依據“審核過程追蹤”設置為 “失敗”需要審核。備注5.1.9日志文件大小安全基線項操作系統日志容量安全基線要求項目名稱安全基線項設置應用日志文件大小至少為 8M設置當達到最大的日志尺寸時，按需要改說明寫事件。檢測操作步進入“控制面板->管理工具->事件查看器”，在“事件查看器（本地）”中：驟查看“應用日志” “系統日志” “安全日志”屬性中的日志大小 ，以及設置當達到最大的日志尺寸時的相應策略。基線符合性“應用日志”“系統日志”“安全日志”屬性中的日志大小設置不小于“8M',判定依據設置當達到最大的日志尺寸時， “按需要改寫事件”。備注第6章其他配置操作6.1共享文件夾及訪問權限6.1.1關閉默認共享安全基線項目名稱操作系統默認共享安全基線要求項安全基線項非域環境中，關閉Windows硬盤默認共享，例如C$,D$。

說明檢測操作步驟進入“開始—>運行—>Regedit”進入注冊表編輯器，查看HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer;基線符合性HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\Aut判定依據oShareServer鍵，值為0。備注6.2防病毒管理621防病毒軟件保護安全基線項目名稱操作系統防病毒保護安全基線要求項安全基線項說明對Windows2003服務器主機應當安裝部署服務器專版殺毒軟件，升級病毒庫選項。并打開自動檢測操作步查看是否存在符合條件的殺毒軟件；驟點擊進入殺毒軟件的操作界面，檢查是否開啟自動更新。基線符合性如不存在殺毒軟件或者沒打開自動更新即為不合規。判定依據備注6.3Windows服務6.3.1系統服務管理安全基線項目名稱操作系統系統服務管理安全基線要求項安全基線項檢查系統開機啟動的服務， 并根據實際情況開啟/關閉服務，女口：Messenger,說明TaskScheduler,Server,Workstation,PrintSpooler,Alerter,ComputerBrowser,DHCPClient,RemoteRegistryService,SNMPTCP/IPNetBIOS

Helper,IPSECPolicyAgent 等；檢測操作步驟打開“控制面板”，打開“管理工具”中的“服務”。基線符合性判定依據關閉不需要的服務，并設置非開機自動啟動項。詢問管理員，在系統確實需要的情況下可開啟相應的服務，如 SNMP等。備注系統管理員應出具系統所必要的服務列表。查看所有服務，不在此列表的服務需關閉。6.4訪問控制6.4.1限制Radmin管理地址安全基線項目名稱操作系統數據訪問控制安全基線要求項安全基線項說明通過限制Radmin管理地址，嚴格控制訪問者來源檢測操作步驟1、參考配置操作開始菜單 RadminoperationsforRemoteAdministratorserver選擇Operations選擇Add添加168.8.44.0/255.255.255.0168.8.43.0/255.255.255.0基線符合性判定依據1、判定條件在非管理網段嘗試進行 radmin連接備注中心機房以外的服務器管理暫時不做源地址限制。6.5啟動項6.4.1關閉Windows自動播放功能安全基線項操作系統Windows自動播放安全基線要求項

目名稱安全基線項說明關閉Windows自動播放功能。檢測操作步驟打開"開始t運行”，在對話框中輸入“gpedit.msc”命令，在出現"組策略”窗口中依次