Windows系统安全配置基线要点.pdf
《Windows系统安全配置基线要点.pdf》由会员分享,可在线阅读,更多相关《Windows系统安全配置基线要点.pdf(18页珍藏版)》请在三一文库上搜索。
1、Windows 系统安全配置基线 Windows 系统安全配置基线 ii 目录 第 1 章概述 . 1 1.1目的 . 1 1.2适用范围 . 1 1.3适用版本 . 1 第 2 章安装前准备工作 . 1 2.1需准备的光盘 . 1 第 3 章操作系统的基本安装 . 1 3.1基本安装 . 1 第 4 章账号管理、认证授权 . 2 4.1账号 . 2 4.1.1管理缺省账户. 2 4.1.2删除无用账户. 2 4.1.3用户权限分离. 3 4.2口令 . 3 4.2.1密码复杂度. 3 4.2.2密码最长生存期. 4 4.2.3密码历史. 4 4.2.4帐户锁定策略. 5 4.3授权 . 5
2、4.3.1远程关机. 5 4.3.2本地关机. 6 4.3.3隐藏上次登录名. 6 4.3.4关机清理内存页面. 7 4.3.5用户权利指派. 7 第 5 章日志配置操作 . 8 5.1日志配置 . 8 5.1.1审核登录. 8 5.1.2审核策略更改. 8 5.1.3审核对象访问. 8 5.1.4审核事件目录服务器访问. 9 5.1.5审核特权使用. 9 5.1.6审核系统事件. 10 5.1.7审核账户管理. 10 5.1.8审核过程追踪. 10 5.1.9日志文件大小. 11 第 6 章其他配置操作 . 11 Windows 系统安全配置基线 iii 6.1共享文件夹及访问权限 . 11
3、 6.1.1关闭默认共享. 11 6.2防病毒管理 . 12 6.2.1防病毒软件保护. 12 6.3WINDOWS服务 12 6.3.1 系统服务管理 12 6.4访问控制 . 13 6.4.1 限制Radmin管理地址 . 13 6.5启动项 . 13 6.4.1关闭Windows自动播放功能 13 6.4.3配置屏保功能. 14 6.4.4补丁更新. 14 持续改进 15 Windows 系统安全配置基线 1 第1章 概述 1.1 目的 本文规定了WINDOWS 操作系统主机应当遵循的操作系统安全性设置标准,本文档旨在指导 系统管理人员或安全检查人员进行WINDOWS 操作系统的安全合规
4、性检查和配置。 1.2 适用范围 本配置标准的使用者包括:服务器系统管理员、安全管理员和相关使用人员。 本配置标准适用的范围包括:WINDOWS 服务器。 1.3 适用版本 适用于 Windows XP 、Windows Server 服务器。 第2章 安装前准备工作 2.1 需准备的光盘 ( 1) 正版的 Windows服务器操作系统光盘。 ( 2) 服务器用杀毒软件光盘。 第3章 操作系统的基本安装 3.1 基本安装 (1) 使用 NTFS文件系统来最小化安装操作系统。 ( 2) 管理员账号须设置较复杂的口令(由数字、大小写字母和特殊字符组成),长度在12 位 Windows 系统安全配置
5、基线 2 以上,其中管理员口令应一机一密码,不同机器之间不应相同。 ( 3)断开网络安装完操作系统后,在业务网专用区域内连接网络进行系统升级,并打开 Windows 自动更新服务。 ( 4) 升级完成后,安装前述光盘中的杀毒软件并进行更新。 第4章 账号管理、认证授权 4.1 账号 4.1.1 管理缺省账户 安全基线项 目名称 操作系统缺省账户安全基线要求项 安全基线项 说明 对于管理员帐号,要求更改缺省帐户名称;禁用guest(来宾)帐号。 检测操作步 骤 进入“控制面板-管理工具 -计算机管理” ,在“系统工具-本地用户和组” : 缺省帐户Administrator 属性 Guest 帐号
6、 -属性 基线符合性 判定依据 缺省账户Administrator 名称已更改 Guest 帐号已停用 备注 4.1.2 删除无用账户 安全基线项 目名称 操作系统缺省账户安全基线要求项 安全基线项 说明 删除或锁定与设备运行、维护等与工作无关的账号。 检测操作步 1、参考配置操作 进入“控制面板 -管理工具 -计算机管理” ,在“系统工具 -本地用户和组” : Windows 系统安全配置基线 3 骤 删除或锁定与设备运行、维护等与工作无关的账号。 基线符合性 判定依据 1、判定条件 结合要求和实际业务情况判断符合要求,删除或锁定与设备运行、维护等与 工作无关的账号。 2、检测操作 进入“控
7、制面板 -管理工具 -计算机管理” ,在“系统工具 -本地用户和组” : 查看是否删除或锁定与设备运行、维护等与工作无关的账号。 备注 4.1.3 用户权限分离 安全基线项 目名称 操作系统缺省账户安全基线要求项 安全基线项 说明 按照用户分配账号。根据系统的要求,设定不同的账户和账户组,管理员用 户,操作员用户operator,审计用户auditor 等。 检测操作步 骤 1、参考配置操作 进入“控制面板 -管理工具 -计算机管理” ,在“系统工具 -本地用户和组” : 根据系统的要求,设定不同的账户和账户组,管理员用户,操作员用户和审 计用户纳入user组。 基线符合性 判定依据 1、判定
8、条件 结合要求和实际业务情况判断符合要求,根据系统的要求,设定不同的账户 和账户组,管理员用户,操作员用户,审计用户。 2、检测操作 进入“控制面板 -管理工具 -计算机管理” ,在“系统工具 -本地用户和组” : 查看根据系统的要求,设定不同的账户和账户组,管理员用户, 数据库用户, 审计用户。 备注 4.2 口令 4.2.1 密码复杂度 安全基线项操作系统密码复杂度安全基线要求项 Windows 系统安全配置基线 4 目名称 安全基线项 说明 最短密码长度12 个字符,启用本机组策略中密码必须符合复杂性要求的策 略。即密码需要包含以下四种类别的字符: 英语大写字母A, B, C, Z 英语
9、小写字母a, b, c, z 西方阿拉伯数字0, 1, 2, 9 非字母数字字符,如标点符号,, #, $, %, &, * 等 检测操作步 骤 进入“控制面板-管理工具 -本地安全策略” ,在“帐户策略-密码策略”: 查看是否“密码必须符合复杂性要求”选择“已启动” 基线符合性 判定依据 “密码必须符合复杂性要求”选择“已启动” 备注 4.2.2 密码最长生存期 安全基线项 目名称 操作系统密码最长生存期要求项 安全基线项 说明 对于采用静态口令认证技术的系统,账户口令的生存期不长于90 天。 检测操作步 骤 进入“控制面板-管理工具 -本地安全策略” ,在“帐户策略-密码策略”: 查看“密
10、码最长存留期” 基线符合性 判定依据 “密码最长存留期”设置不大于“90 天” 备注 4.2.3 密码历史 安全基线项 目名称 操作系统密码历史安全基线要求项 安全基线项 说明 对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近 5 次(含 5 次)内已使用的口令。 Windows 系统安全配置基线 5 检测操作步 骤 1、参考配置操作 进入“控制面板-管理工具 -本地安全策略”,在“帐户策略-密码策略”: “强制密码历史”设置为“记住5 个密码” 基线符合性 判定依据 1、判定条件 “强制密码历史”设置为“记住5 个密码” 2、检测操作 进入“控制面板-管理工具 -本地安全策
11、略”,在“帐户策略-密码策略”: 查看是否“强制密码历史”设置为“记住5 个密码” 备注 4.2.4 帐户锁定策略 安全基线项 目名称 操作系统账户锁定策略安全基线要求项 安全基线项 说明 对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过4 次(不含5) ,锁定该用户使用的账号。 检测操作步 骤 进入“控制面板 -管理工具 -本地安全策略” , 在 “帐户策略 -帐户锁定策略” : 查看“账户锁定阀值”设置 基线符合性 判定依据 “账户锁定阀值”设置为小于或等于3 次,锁定时间1 分钟。 备注 4.3 授权 4.3.1 远程关机 安全基线项 目名称 操作系统远程关机策略安全基线
12、要求项 安全基线项 说明 在本地安全设置中从远端系统强制关机只指派给Administrators 组。 检测操作步 骤 进入“控制面板 -管理工具 -本地安全策略” , 在 “本地策略 -用户权利指派” : 查看“从远端系统强制关机”设置 Windows 系统安全配置基线 6 基线符合性 判定依据 “从远端系统强制关机”设置为“只指派给Administrtors 组” 备注 4.3.2 本地关机 安全基线项 目名称 操作系统本地关机策略安全基线要求项 安全基线项 说明 在本地安全设置中关闭系统仅指派给Administrators 组。 检测操作步 骤 进入“控制面板 -管理工具 -本地安全策略
13、” , 在 “本地策略 -用户权利指派” : 查看“关闭系统”设置 基线符合性 判定依据 “关闭系统”设置为“只指派给Administrators 组” 备注 4.3.3 隐藏上次登录名 安全基线项 目名称 操作系统本地登录名隐藏策略安全基线要求项 安全基线项 说明 交互式登录,不显示上次登录的用户名 检测操作步 骤 运行输入“ gpedit.msc”本地计算机策略windows 设置安全设置本地 策略安全选项下 : 启用 ” 交互式登录 :不显示最后的用户名” 基线符合性 判定依据 “交互式登录:不显示最后的用户名”设置为“已启用” 备注 Windows 系统安全配置基线 7 4.3.4 关
14、机清理内存页面 安全基线项 目名称 操作系统关机清理内存策略安全基线要求项 安全基线项 说明 关机时清理虚拟内存页面文件 检测操作步 骤 运行输入“ gpedit.msc”本地计算机策略windows 设置安全设置本地 策略安全选项下 : 启用 ” 关机 :清理虚拟内存页面文件” 基线符合性 判定依据 “关机 :清理虚拟内存页面文件”设置为“已启用” 备注 4.3.5 用户权利指派 安全基线项 目名称 操作系统用户权力指派策略安全基线要求项 安全基线项 说明 在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators 。 检测操作步 骤 进入“控制面板 -管理工具 -本地安
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Windows 系统安全 配置 基线 要点
链接地址:https://www.31doc.com/p-5198491.html