1、Windows 安全配置規范2010 年 11 月第1章概述1.1適用范圍本規范明確了 Windows操作系統在安全配置方面的基本要求，可作為編制設 備入網測試、安全驗收、安全檢查規范等文檔的參考。適用于中國電信所有運行的 Windows操作系統，包括Windows2000、Windows XP、Windows2003, Windows7 , Windows 2008 以及各版本中的 SeVer、 PrOfeSSi Onal 版本。第2章安全配置要求2.1賬號編號：1要求內容應按照不冋的用戶分配不冋的賬號，避免不冋用戶間共享賬號，避免用戶賬號和設備間通信使用的賬號共享。操作指南1、參考配置操作

2、進入“控制面板- 管理工具- 計算機管理”，在“系統工具- 本地用戶和組”：根據系統的要求，設定不冋的賬戶和賬戶組。檢測方法1、判定條件結合要求和實際業務情況判斷符合要求，根據系統的要求，設定不同的賬戶和賬戶組2、檢測操作進入“控制面板- 管理工具- 計算機管理”，在“系統工具- 本地 用戶和組”：查看根據系統的要求，設定不冋的賬戶和賬戶組編號：2要求內容應刪除與運行、維護等工作無關的賬號。操作指南1參考配置操作A）可使用用戶管理工具：開始-運行-ComPmgmt.msc-本地用戶和組-用戶B）也可以通過net命令：刪除賬號： net USer accou nt/del 停用賬號： net U

3、Ser acco Un t/active:no1.判定條件結合要求和實際業務情況判斷符合要求，刪除或鎖定與設備運行、維護檢測方法等與工作無關的賬號。注：主要指測試帳戶、共享帳號、已經不用賬號等2.檢測操作開始-運行-ComPmgmt.msc-本地用戶和組-用戶編號：3要求內容重命名 Administrator ;禁用guest （來兵）帳號。操作指南1、參考配置操作進入“控制面板- 管理工具- 計算機管理”，在“系統工具- 本地 用戶和組”：Administrator 屬性一 更改名稱GUeSt帳號- 屬性 已停用檢測方法1、判定條件缺省賬戶Administrator 名稱已更改。GUeSt帳

4、號已停用。2、檢測操作進入“控制面板- 管理工具- 計算機管理”，在“系統工具- 本地用戶和組”：缺省帳戶一 屬性一 更改名稱GUeSt帳號- 屬性 已停用2.2 口令編號：1要求內容密碼長度要求：最少 8位密碼復雜度要求：至少包含以下四種類別的字符中的三種：英語大寫字母A, B, C,Z英語小寫字母a, b, c,Z阿拉伯數字0, 1,2,9非字母數字字符，如標點符號，, #, $, %, &, *等操作指南1、參考配置操作進入“控制面板- 管理工具- 本地安全策略”，在“帳戶策略- 密碼策略”：“密碼必須符合復雜性要求”選擇“已啟動”檢測方法1、判定條件“密碼必須符合復雜性要求”選擇“已啟

5、動”2、檢測操作進入“控制面板- 管理工具- 本地安全策略”，在“帳戶策略- 密碼策略”：查看是否“密碼必須符合復雜性要求”選擇“已啟動”編號：2要求內容對于米用靜態口令認證技術的設備，賬戶口令的生存期不長于90天。操作指南1、參考配置操作進入“控制面板- 管理工具- 本地安全策略”，在“帳戶策略- 密碼策略”：“密碼最長存留期”設置為“90天”檢測方法1、判定條件“密碼最長存留期”設置為“ 90天”2、檢測操作進入“控制面板- 管理工具- 本地安全策略”，在“帳戶策略- 密 碼策略”：查看是否“密碼最長存留期”設置為“90天”編號：3要求內容對于米用靜態口令認證技術的設備，應配置設備，使用戶

6、不能重復使用最近5次（含5次）內已使用的口令。操作指南1、參考配置操作進入“控制面板- 管理工具- 本地安全策略”，在“帳戶策略- 密碼策略”：“強制密碼歷史”設置為“記住5個密碼”檢測方法1、判定條件“強制密碼歷史”設置為“記住5個密碼”2、檢測操作進入“控制面板- 管理工具- 本地安全策略”，在“帳戶策略- 密碼策略”：查看是否“強制密碼歷史”設置為“記住5個密碼”編號：4要求內容對于米用靜態口令認證技術的設備，應配置當用戶連續認證失敗次數超過6次（不含6次），鎖定該用戶使用的賬號。操作指南1、參考配置操作進入“控制面板- 管理工具- 本地安全策略”，在“帳戶策略- 帳戶鎖定策略”：“賬戶

7、鎖定閥值”設置為 6次檢測方法1、判定條件“賬戶鎖定閥值”設置為小于或等于6次2、檢測操作進入“控制面板- 管理工具- 本地安全策略”，在“帳戶策略- 帳 戶鎖定策略”：查看是否“賬戶鎖定閥值”設置為小于等于6次補充說明：設置不當可能導致賬號大面積鎖定，在域環境中應小心設置，Admi ni Strator賬號本身不會被鎖疋。2.3授權編號：1要求內容本地、遠端系統強制關機只指派給Admi ni StratOrS組。操作指南1、參考配置操作進入“控制面板- 管理工具- 本地安全策略”，在“本地策略- 用戶權利指派”：關閉系統設置為只指派給AdminiStratOrS組從遠程系統強制關機設置為只指

8、派給AdminiStratOrS組檢測方法1、判定條件關閉系統設置為只指派給AdminiStratOrS組從遠端系統強制關機 設置為 只指派給AdminiStrtOrS組2、檢測操作進入“控制面板- 管理工具- 本地安全策略”，在“本地策略- 用戶權利指派”：查看關閉系統設置為只指派給AdminiStratOrS組查看是否“從遠端系統強制關機”設置為“只指派給Admi nistrators組”要求內容在本地安全設置中取得文件或其它對象的所有權僅指派給編號：2要求內容在本地安全設置中取得文件或其它對象的所有權僅指派給Admi nistrators 。操作指南1、參考配置操作進入“控制面板- 管理

9、工具- 本地安全策略”，在“本地策略- 用戶權利指派”：“取得文件或其它對象的所有權”設置為“只指派給Admi nistrators組”檢測方法1、判定條件“取得文件或其它對象的所有權”設置為“只指派給Admi nistrators組”2、檢測操作進入“控制面板- 管理工具- 本地安全策略”，在“本地策略- 用戶權利指派”：查看是否“取得文件或其它對象的所有權”設置為“只指派給Admi nistrators組”編號：3要求內容在本地安全設置中只允許授權帳號本地、遠程訪問登陸此計算機。操作指南1、參考配置操作進入“控制面板- 管理工具- 本地安全策略”，在“本地策略- 用 戶權利指派”“從本地登

10、陸此計算機”設置為“指定授權用戶”“從網絡訪問此計算機”設置為“指定授權用戶”檢測方法1、判定條件“從本地登陸此計算機”設置為“指定授權用戶”“從網絡訪問此計算機”設置為“指定授權用戶”2、檢測操作進入“控制面板- 管理工具- 本地安全策略”，在“本地策略- 用 戶權利指派”查看是否“從本地登陸此計算機”設置為“指定授權用戶” 查看是否“從網絡訪問此計算機”設置為“指定授權用戶”2.4 補丁編號：1要求內容在不影響業務的情況下，應安裝最新的SerViCe PaCk補丁集。對 服務器系統應先進行兼容性測試。操作指南1、參考配置操作安裝最新的SerViCe PaCk 補丁集，以及最新的 Hotfi

11、X 補丁。目前 Windows XP 的 SerViCe PaCk 為 SP3。Windows2000 的 SerViCe PaCk 為 SP4,Windows 2003 的 SerViCe PaCk 為 SP2檢測方法1、判定條件2、檢測操作進入控制面板- 添加或刪除程序- 顯示更新打鉤，查看是否 XP系 統已安裝SP3 Win2000系統已安裝SP4, Win2003系統已安裝SP2。冋時檢查所有的hotfix ,并查看系統安裝的最后一個補丁的發布日期是否與最近最新發布的補丁日期一致。2.5防護軟件編號：1 （可選）要求內容啟用自帶防火墻或安裝第三方威脅防護軟件。 根據業務需要限定允 許訪

12、問網絡的應用程序，和允許遠程登陸該設備的IP地址范圍。操作指南1、參考配置操作（以啟動自帶防火墻為例）進入“控制面板 網絡連接 本地連接”，在高級選項的設置中啟用Windows防火墻。在“例外”中配置允許業務所需的程序接入網絡。在“例外- 編輯- 更改范圍”編輯允許接入的網絡地址范圍。檢測方法1、判定條件啟用Windows防火墻。“例外”中允許接入網絡的程序均為業務所需。2、檢測操作進入“控制面板 網絡連接 本地連接”，在高級選項的設置中， 查看是否啟用Win dows防火墻。查看是否在“例外”中配置允許業務所需的程序接入網絡。查看是否在“例外-編輯- 更改范圍”編輯允許接入的網絡地址范 圍。

13、2.6防病毒軟件編號：1要求內容安裝防病毒軟件，并及時更新。操作指南1、參考配置操作安裝防病毒軟件，并及時更新。檢測方法1、判定條件已安裝放病毒軟件，病毒碼更新時間不早于 1個月，各系統病毒碼 升級時間要求參見各系統相關規定。2、檢測操作控制面板-添加或刪除程序，是否安裝有防病毒軟件。 打開防病毒 軟件控制面板，查看病毒碼更新日期。2.8日志安全要求編號：1要求內容設備應配置日志功能，對用戶登錄進行記錄，記錄內容包括用戶登 錄使用的賬號，登錄是否成功，登錄時間，以及遠程登錄時，用戶 使用的IP地址。操作指南1、參考配置操作開始- 運行- 執行“控制面板- 管理工具- 本地安全策略- 審核策略”

14、審核登錄事件，雙擊，設置為成功和失敗都審核。檢測方法1、判定條件審核登錄事件，設置為成功和失敗都審核。2、檢測操作開始- 運行- 執行“控制面板- 管理工具- 本地安全策略- 審核策略”審核登錄事件，雙擊，查看是否設置為成功和失敗都審核。編號：2要求內容開啟審核策略，以便出現安全問題后進行追查操作指南1、參考配置操作對審核策略進行檢查：開始-運行 -gpedit.msc計算機配置-Windows設置-安全設置-本地策略-審核策略 以下審核是必須開啟的，其他的可以根據需要增加：審核系統登陸事件成功，失敗審核帳戶管理成功，失敗審核登陸事件成功，失敗審核對象訪問成功審核策略更改成功，失敗審核特權使用

15、成功，失敗審核系統事件成功，失敗2、補充說明可能會使日志量猛增檢測方法1、判定條件嘗試對被添加了訪冋審核的對象進行訪冋，然后查看安全日志中是否會有相關記錄， 或通過其他手段激化以配置的審核策略，并觀察日志中的記錄情況，如果存在記錄條目，則配置成功。2、檢測操作編號：3要求內容設置日志容量和覆蓋規則，保證日志存儲操作指南1、參考配置操作開始-運行-eventvwr右鍵選擇日志，屬性，根據實際需求設置：日志文件大小超過上線時的處理方式（建議日志記錄天數不小于60天）2、補充說明建議對每個日志均進行如上操作，同時應保證磁盤空間檢測方法1、判定條件2、檢測操作開始-運行-eventvwr，右鍵選擇日志

16、，屬性，查看日志上線及超過上線時的處理方式2.7 Windows服務編號：1要求內容關閉不必要的服務操作指南1、參考配置操作進入“控制面板- 管理工具- 計算機管理”，進入“服務和應用程 序”：查看所有服務，不在此列表的服務需關閉。可禁用的服務及其相關說明如附表所示檢測方法1、判定條件系統管理員應出具系統所必要的服務列表。 查看所有服務，不在此列表的服務需關閉。2、檢測操作進入“控制面板- 管理工具- 計算機管理”，進入“服務和應用程序”：查看所有服務，不在此列表的服務是否已關閉。編號：2要求內容如需啟用SNM服務，則修改默認的 SNMPCommUnity String設置。操作指南1、參考配

17、置操作打開控制面板”，打開 管理工具”中的 服務”，找到SNMP SerViCe ”，單擊右鍵打開 屬性”面板中的 安全”選項卡，在這個配 置界面中，可以修改 CommUnity Strings ,也就是微軟所說的團體名稱”。檢測方法1、判定條件community Strings已改，不是默認的“ PUbIiC ”2、檢測操作打開控制面板”，打開 管理工具”中的 服務”，找到SNMP SerViCe ”，單擊右鍵打開屬性”面板中的 安全”選項卡，在這個配置界面中，查看 CommU nity Stri ngs,也就是微軟所說的團體名稱”。編號：3要求內容如對互聯網開放 Win dowsTermi

18、 nial 服務(RemOte DeSktOP),需修改默認服務端口。操作指南1、參考配置操作運行Regedt32并轉到此項：HKEY_LOCAL_MACHINESyStemCUrre ntCo ntrolSetCo ntrolTermi nalSerVerWi nStatio nsRDP-Tcp找到“POrtNUmber ”子項，會看到默認值 OooooD3D,它是3389的十六進制表示形式。使用十六進制數值修改此端口號，并保存新值。檢測方法1、判定條件找到“ PortNUmber ”子項，設定值非 OooooD3D,即十進制33892、檢測操作運行Regedt32 ,找到此項并判斷。2.8

19、啟動項要求內容關閉無效啟動項操作指南1、參考配置操作開始- 運行-MSconfig ”啟動菜單中，取消不必要的啟動項。檢測方法1、判定條件2、檢測操作系統管理員提供業務必須的自動加載進程和服務列表文檔。查看 開始- 運行-MSconfig 啟動菜單：不需要的自動加載進程是否已禁用和取消。2.9關閉自動播放功能編號：1要求內容關閉Windows自動播放功能操作指南1、參考配置操作點擊開始運行輸入gpedit.msc ，打開組策略編輯器，瀏覽到計 算機配置管理模板系統，在右邊窗格中雙擊 關閉自動播放”， 對話框中選擇所有驅動器，確定即可。檢測方法1、判定條件所有驅動器均 關閉自動播放”2、檢測操作

20、關閉自動播放”配置已啟用，啟用范圍：所有驅動器。2.10共享文件夾編號：1要求內容關閉 Windows硬盤默認共享，例如C$, D&操作指南1、參考配置操作進入“開始 運行Regedit ”，進入注冊表編輯器，更改注冊表鍵值：在HKLMSystemCurre ntCo ntrolSet下，增加 REG_DWORDl型的AUtOShareSerVer 鍵，值為 0。檢測方法1、判定條件HKLMSystemCurre ntCo ntrolSet增加了 REG_DWORD型的 AUtOShareSerVer 鍵，值為 0。2、檢測操作進入“開始 運行Regedit ”，進入注冊表編輯器，更改注冊表鍵

21、值：增加 REG_DWORD型的 AUtOShareSerVer 鍵，值為 0。編號：2要求內容設置共享文件夾的訪問權限， 只允許授權的賬戶擁有權限共享此文 件夾。操作指南1、參考配置操作進入“控制面板- 管理工具- 計算機管理”，進入“系統工具 共 享文件夾”：查看每個共享文件夾的共享權限，只將權限授權于指定賬戶。檢測方法1、判定條件查看每個共享文件夾的共享權限僅限于業務需要，不設置成為a”every One 。2、檢測操作進入“控制面板- 管理工具- 計算機管理”，進入“系統工具 共 享文件夾”：查看每個共享文件夾的共享權限。2.11 使用NTFS文件系統要求內容在不毀壞數據的情況下，將F

22、AT分區改為NTFS格式操作指南1、參考配置操作將FAT卷轉換成NTFS分區CoNVERTvolume/FS:NTFS/V/CvtAreafiIe nameNoSeCUrity XVolume指定驅動器號（后面加一個冒號）、裝載點或卷名/FS:NTFS 指定要被轉換成 NTFS的卷/V指定CONVERT應該用詳述模式運行/CvtArea:file name將根目錄中的一個接續文件指定為NTFS系統文件的占位符/NoSecurity指疋每個人都可以訪冋轉換的文件和目錄的女全設置/X如果必要，先強行卸載卷，有打開的句柄則無效例如：COVert C : /FS:NTFS備注：在有其他非 WlN系統訪

23、問、存在數據共享的情況下，不建議將FAT分區改為NTFS格式檢測方法1、判定條件2、檢測操作精品資料SySteB 運行，然后在打開行里輸入 regedit ，然后單擊確疋，查看相關注冊表項進行查看；使用空連接掃描工具無法遠程枚舉用戶名和用戶組附表：端口及服務服務名稱端口服務說明關閉方法處置建議系統服務部分echo7/TCPRFC862聲協議關閉Simple TCP/IP Services服務。建議關閉echo7/UDPRFC862聲協議discard9/UDPRFC863廢除協議discard9/TCPRFC863廢除協議daytime13/UDPRFC867白天協議daytime13/TCP

24、RFC867白天協議qotd17/TCPRFC865白天協議的引用qotd17/UDPRFC865白天協議的引用Charge n19/TCPRFC864字符產生協議Charge n19/UDPRFC864字符產生協議ftp21/TCP文件傳輸協議（控制）關閉FTPPUbIiShi ngService服務。根據情況選擇開放SmtP25/TCP簡單郵件發送協議關閉Simple MailTra nsport Protocol服務。建議關閉n ameserver42/TCPWlNS主機名服務關閉WindowsInternet NameService服務。建議關閉42/UDPdomai n53/UDP域

25、名服務器關閉DNS Server服務。根據情況選擇開放53/TCP根據情況選擇開放dhcps67/UDPDHCP服務器/In ter net連接共享關閉Simple TCP/IP Services服務。建議關閉dhcpc68/UDPDHCF協議客戶端關閉DHCP Client服務。建議關閉http80/TCPHTTP萬維網發布服務關閉World WideWeb PUbIiShi ngService服務。根據情況選擇開放epmap135/TCPRPC服務系統基本服務無法關閉135/UDP無法關閉n etbios-ns137/UDPNetBIOS名稱解析在網卡的TCP/IP選 項中WINS頁勾選 禁用TCP/IP上的 NETBIOS根據情況選擇開放n etbios-dgm138/UDPNetBIOS數據報服務根據情況選擇開放n etbios-ss n139/TCPNetBIOS會話服務系統基本服務無法關閉SnmP161/UDPSNMP服務關閉SNMP 服務根據情況選擇開放https443/TCP安全超文本傳輸協議關閉World WideWeb PUbIiShi ngService服務根據情況選擇開放microsoft-ds445/UDPSMB服務器運行 regedit ,打開 HKEY_LOCAL_MACHIr ESystemCurre ntC on tr