1、Windows系統安全配置基線 Windows 系統安全配置基線 目錄 第 1 章 概述 1 1.1 目的 1 1.2 適用范圍 1 1.3 適用版本 1 第 2 章 安裝前準備工作 1 2.1 需準備的光盤 1 第 3 章 操作系統的基本安裝 1 3.1 基本安裝 1 第 4 章 賬號管理、認證授權 2 4.1 賬號 2 4.1.1 管理缺省賬戶 2 4.1.2 刪除無用賬戶 2 4.1.3 用戶權限分離 3 4.2 口令 3 4.2.1 密碼復雜度 3 4.2.2 密碼最長生存期 4 4.2.3 密碼歷史 4 4.2.4 帳戶鎖定策略 5 4.3 授權 5 4.3.1 遠程關機 5 4.3

2、.2 本地關機 6 4.3.3 隱藏上次登錄名 6 4.3.4 關機清理內存頁面 7 4.3.5 用戶權利指派 7 第 5 章 日志配置操作 8 5.1 日志配置 8 5.1.1 審核登錄 8 5.1.2 審核策略更改 8 5.1.3 審核對象訪問 8 5.1.4 審核事件目錄服務器訪問 9 5.1.5 審核特權使用 9 5.1.6 審核系統事件 10 5.1.7 審核賬戶管理 10 5.1.8 審核過程追蹤 10 5.1.9 日志文件大小 11 第 6 章 其他配置操作 11 6.1 共享文件夾及訪問權限 11 6.1.1 關閉默認共享 11 6.2 防病毒管理 12 6.2.1 防病毒軟件

3、保護 12 6.3 W INDOWS 服務 12 6.3.1 系統服務管理 12 6.4 訪問控制 13 6.4.1 限制 Radmin 管理地址 13 6.5 啟動項 13 6.4.1 關閉 Windows 自動播放功能 13 6.4.3 配置屏保功能 14 6.4.4 補丁更新 14 持續改進 15 ii Windows系統安全配置基線 第1章概述 1.1目的 本文規定了 WINDOWS操作系統主機應當遵循的操作系統安全性設置標準，本文檔旨在指導 系統管理人員或安全檢查人員進行WINDOWS操作系統的安全合規性檢查和配置。 1.2適用范圍 本配置標準的使用者包括：服務器系統管理員、安全管理

4、員和相關使用人員。 本配置標準適用的范圍包括：WINDOWS服務器。 1.3適用版本 適用于 Windows XP、Windows Server 服務器。 第2章安裝前準備工作 2.1需準備的光盤 （1）正版的Windows服務器操作系統光盤。 （2）服務器用殺毒軟件光盤。 第3章操作系統的基本安裝 3.1基本安裝 （1）使用NTFS文件系統來最小化安裝操作系統。 （2） 管理員賬號須設置較復雜的口令（由數字、大小寫字母和特殊字符組成），長度在12位 以上，其中管理員口令應一機一密碼，不同機器之間不應相同。 （3） 斷開網絡安裝完操作系統后，在業務網專用區域內連接網絡進行系統升級，并打開Win

5、dows 自動更新服務。 （4）升級完成后，安裝前述光盤中的殺毒軟件并進行更新。 第4章賬號管理、認證授權 4.1賬號 4.1.1管理缺省賬戶 安全基線項 目名稱 操作系統缺省賬戶安全基線要求項 安全基線項 說明 對于管理員帳號，要求更改缺省帳戶名稱；禁用guest （來賓）帳號。 檢測操作步 驟 進入“控制面板-管理工具-計算機管理”，在“系統工具-本地用戶和組”： 缺省帳戶Administrator 屬性 Guest帳號-屬性 基線符合性 判定依據 缺省賬戶Administrator名稱已更改 Guest帳號已停用 備注 4.1.2刪除無用賬戶 安全基線項 目名稱 操作系統缺省賬戶安全基線

6、要求項 安全基線項 刪除或鎖定與設備運行、維護等與工作無關的賬號。 說明 檢測操作步 1、參考配置操作 進入“控制面板-管理工具- 計算機管理”，在“系統工具-本地用戶和組”： 驟 刪除或鎖定與設備運行、維護等與工作無關的賬號。 基線符合性 判定依據 1、判定條件 結合要求和實際業務情況判斷符合要求，刪除或鎖定與設備運行、維護等與 工作無關的賬號。 2、檢測操作 進入“控制面板-管理工具- 計算機管理”，在“系統工具-本地用戶和組”： 查看是否刪除或鎖定與設備運行、維護等與工作無關的賬號。 備注 4.1.3用戶權限分離 安全基線項 目名稱 操作系統缺省賬戶安全基線要求項 安全基線項 說明 按照

7、用戶分配賬號。根據系統的要求，設定不冋的賬戶和賬戶組，管理員用 戶，操作員用戶 operator，審計用戶auditor等。 檢測操作步 驟 1、參考配置操作 進入“控制面板-管理工具- 計算機管理”，在“系統工具-本地用戶和組”： 根據系統的要求，設定不冋的賬戶和賬戶組，管理員用戶，操作員用戶和審 計用戶納入user組。 基線符合性 判定依據 1、判定條件 結合要求和實際業務情況判斷符合要求，根據系統的要求，設定不冋的賬戶 和賬戶組，管理員用戶，操作員用戶，審計用戶。 2、檢測操作 進入“控制面板-管理工具- 計算機管理”，在“系統工具-本地用戶和組”： 查看根據系統的要求， 設定不冋的賬戶

8、和賬戶組，管理員用戶，數據庫用戶， 審計用戶。 備注 4.2 口令 4.2.1密碼復雜度 安全基線項 操作系統密碼復雜度安全基線要求項 目名稱 安全基線項 說明 最短密碼長度12個字符，啟用本機組策略中密碼必須符合復雜性要求的策 略。即密碼需要包含以下四種類別的字符： 英語大寫字母 A, B, C,Z 央語小與字母 a, b, c,z 西方阿拉伯數字 0, 1,2,9 非字母數字字符，如標點符號，, #, $, %, 基線符合性 HKLMSystemCurre ntCon trolSetServicesLa nma nServerParametersAutoShare 判定依據 Server鍵

9、，值為 0。 備注 6.2防病毒管理 6.2.1防病毒軟件保護 安全基線項 目名稱 操作系統防病毒保護安全基線要求項 安全基線項 說明 對Windows 2003服務器主機應當安裝部署服務器專版殺毒軟件，并打開自 動升級病毒庫選項。 檢測操作步 驟 查看是否存在符合條件的殺毒軟件； 點擊進入殺毒軟件的操作界面，檢查是否開啟自動更新。 基線符合性 判定依據 如不存在殺毒軟件或者沒打開自動更新即為不合規。 備注 6.3 Windows 服務 6.3.1系統服務管理 安全基線項 目名稱 操作系統系統服務管理安全基線要求項 安全基線項 檢查系統開機啟動的服務，并根據實際情況開啟/關閉服務，女口： Me

10、ssenger , 說明 Task Scheduler , Server, Workstation , Print Spooler , Alerter , Computer Browser , DHCP Client , Remote Registry Service , SNMP, TCP/IP NetBIOS Helper， IPSEC Policy Age nt 等； 檢測操作步 驟 打開“控制面板”，打開“管理工具”中的“服務”。 基線符合性 判定依據 關閉不需要的服務，并設置非開機自動啟動項。詢問管理員，在系統確實需 要的情況下可開啟相應的服務，如SNMP等。 備注 系統管理員應出具

11、系統所必要的服務列表。 查看所有服務，不在此列表的服務需關閉。 6.4訪問控制 6.4.1限制Radmin管理地址 安全基線項 目名稱 操作系統數據訪問控制安全基線要求項 安全基線項 說明 通過限制Radmin管理地址，嚴格控制訪問者來源 檢測操作步 驟 1、參考配置操作 開始菜單Radminoperati ons for Remote Admi nistrator server 選擇 Operations 選擇Add 添加 168.8.44.0/255.255.255.0 168.8.43.0/255.255.255.0 基線符合性 判定依據 1、判定條件 在非管理網段嘗試進行radmin連

12、接 備注 中心機房以外的服務器管理暫時不做源地址限制。 6.5啟動項 6.4.1關閉 Windows自動播放功能 安全基線項 操作系統Windows自動播放安全基線要求項 目名稱 安全基線項 說明 關閉Windows自動播放功能。 檢測操作步 驟 打開 開始t運行”在對話框中輸入“gpedit.msc命令，在出現 組策略”窗口 中依次選擇 在計算機配置t管理模板t系統”雙擊 關閉自動播放”查看。 基線符合性 判定依據 在設置”選項卡中選 已啟用”選項。 備注 6.4.3配置屏保功能 安全基線項 目名稱 操作系統Windows其他安全配置基線要求項 安全基線項 配置Windows屏幕保護功能 說

13、明 檢測操作步 驟 1、參考配置操作 打開控制面板t顯示，在“顯示”屬性中選擇屏幕保護，選擇任意屏幕保護 程序后將等待時間修改為 15分鐘，并選擇“在恢復時使用密碼保護”，確 定即可。 基線符合性 判定依據 1、判定條件 計算機15分鐘無操作時能自動啟用屏幕保護，恢復時要求輸入密碼。 2、檢測操作 打開控制面板T顯示，在“顯示”屬性中選擇屏幕保護， 檢查等待時間和“在 恢復時使用密碼保護”設置。 備注 6.4.4補丁更新 安全基線項 目名稱 操作系統Windows其他安全配置基線要求項 安全基線項 說明 安裝最新的 Service Pack 補丁集 檢測操作步 驟 1、參考配置操作 安裝最新的 Service Pack 補丁集，目前 Windows XP 的 Service Pack 為 SP3。 Windows2000要求重裝到Windows2003，對于客觀因素無法重裝的 Windows2000，建議 Service Pack 升級至 SP4,Windows 2003的 Service Pack 為 SP2，Windows 2008 的 Servoce Pa