1、主機安全基線檢查示范文檔4 Windows操作系統4.1賬號管理、認證授權認證功能用于確認登錄系統的用戶真實身份。認證功能的具體實現方式包括靜態口令、動態口令、指紋等生物鑒別技術等。授權功能賦予系統賬號的操作權限，并限制用戶進行超越其賬號權限的操作。4.1.1賬號要求內容按照用戶分配賬號。根據系統的要求，設定不同的賬戶和賬戶組，管理員用戶，數據庫用戶，審計用戶，來賓用戶等。操作指南1、參考配置操作進入“控制面板-管理工具-有計算機管理”，在“系統工具-本地用戶和組”：根據系統的要求，設定不同的賬戶和賬戶組，管理員用戶，數據庫用戶，審計用戶，來賓用戶。檢測方法1、 判定條件結合要求和實際業務情況

2、判斷符合要求，根據系統的要求，設定不同的賬戶和賬戶組，管理員用戶，數據庫用戶，審計用戶，來賓用戶。2、檢測操作進入“控制面板-管理工具-計算機管理”，在“系統工具-本地用戶和組”：查看根據系統的要求，設定不同的賬戶和賬戶組，管理員用戶，數據庫用戶，審計用戶，來賓用戶。要求內容刪除或鎖定與設備運行、維護等與工作無關的賬號。操作指南1、參考配置操作進入“控制面板-管理工具-計算機管理”，在“系統工具-本地用戶和組”：刪除或鎖定與設備運行、維護等與工作無關的賬號。檢測方法1、判定條件結合要求和實際業務情況判斷符合要求，刪除或鎖定與設備運行、維護等與工作無關的賬號。2、檢測操作進入“控制面板-管理工具

3、-計算機管理”，在“系統工具-本地用戶和組”：查看是否刪除或鎖定與設備運行、維護等與工作無關的賬號。4.1.2口令要求內容最短密碼長度 8個字符，啟用本機組策略中密碼必須符合復雜性要求的策略。即密碼至少包含以下四種類別的字符中的三種：英語大寫字母，英語小寫字母，西方阿拉伯數字，非字母數字字符 操作指南1、參考配置操作進入“控制面板-管理工具-本地安全策略”，在“帳戶策略-密碼策略”：“密碼必須符合復雜性要求”選擇“已啟動”檢測方法1、判定條件“密碼必須符合復雜性要求”選擇“已啟動”2、檢測操作進入“控制面板-管理工具-本地安全策略”，在“帳戶策略-密碼策略”：查看是否“密碼必須符合復雜性要求”

4、選擇“已啟動”要求內容對于采用靜態口令認證技術的設備，賬戶口令的生存期不長于180天，歷史使用次數10次操作指南1、參考配置操作進入“控制面板-管理工具-本地安全策略”，在“帳戶策略-密碼策略”：“密碼最長存留期”設置為“180天”檢測方法1、判定條件“密碼最長存留期”設置為“180天”2、檢測操作進入“控制面板-管理工具-本地安全策略”，在“帳戶策略-密碼策略”：查看是否“密碼最長存留期”設置為“180天”要求內容對于采用靜態口令認證技術的設備，應配置當用戶連續認證失敗次數超過6次（不含6次），鎖定該用戶使用的賬號。操作指南1、參考配置操作進入“控制面板-管理工具-本地安全策略”，在“帳戶策

5、略-帳戶鎖定策略”：“賬戶鎖定閥值”設置為 6次檢測方法1、判定條件“賬戶鎖定閥值”設置為小于或等于 6次2、檢測操作進入“控制面板-管理工具-本地安全策略”，在“帳戶策略-帳戶鎖定策略”：查看是否“賬戶鎖定閥值”設置為小于等于 6次4.1.3授權要求內容在本地安全設置中從遠端系統強制關機只指派給Administrators組。操作指南1、參考配置操作進入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權利指派”:“從遠端系統強制關機”設置為“只指派給Administrators組”檢測方法1、判定條件“從遠端系統強制關機”設置為“只指派給Administrtors組”2、檢測操作進入

6、“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權利指派”:查看是否“從遠端系統強制關機”設置為“只指派給Administrators組”要求內容在本地安全設置中關閉系統僅指派給Administrators組。操作指南1、參考配置操作進入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權利指派”:“關閉系統”設置為“只指派給Administrators組”檢測方法1、判定條件“關閉系統”設置為“只指派給Administrators組”2、檢測操作進入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權利指派”:查看“關閉系統”設置為“只指派給Administrators組

7、”要求內容在本地安全設置中取得文件或其它對象的所有權僅指派給Administrators。操作指南1、參考配置操作進入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權利指派”：“取得文件或其它對象的所有權”設置為“只指派給Administrators組”檢測方法1、判定條件“取得文件或其它對象的所有權”設置為“只指派給Administrators組”2、檢測操作進入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權利指派”：查看是否“取得文件或其它對象的所有權”設置為“只指派給Administrators組”4.2日志配置操作要求內容設備應配置日志功能，對用戶登錄進行記錄，記

8、錄內容包括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠程登錄時，用戶使用的IP地址。操作指南1、參考配置操作開始-運行- 執行“ 控制面板-管理工具-本地安全策略-審核策略”審核登錄事件，雙擊，設置為成功和失敗都審核。檢測方法1、判定條件審核登錄事件，設置為成功和失敗都審核。2、檢測操作開始-運行- 執行“ 控制面板-管理工具-本地安全策略-審核策略”審核登錄事件，雙擊，查看是否設置為成功和失敗都審核。要求內容設置應用日志文件大小至少為8192KB，設置當達到最大的日志尺寸時，按需要改寫事件。操作指南1、參考配置操作進入“控制面板-管理工具-事件查看器”，在“事件查看器（本地）”中：“應

9、用日志”屬性中的日志大小設置不小于“8192KB” ,設置當達到最大的日志尺寸時，“按需要改寫事件”檢測方法1、判定條件“應用日志”屬性中的日志大小設置不小于“8192KB” ,設置當達到最大的日志尺寸時，“按需要改寫事件”2、檢測操作進入“控制面板-管理工具-事件查看器”，在“事件查看器（本地）”中：查看是否“應用日志”屬性中的日志大小設置不小于“8192KB” ,設置當達到最大的日志尺寸時，“按需要改寫事件”4.3 IP協議安全配置操作要求內容對沒有自帶防火墻的Windows系統，啟用Windows系統的IP安全機制(IPSec)或網絡連接上的TCP/IP篩選，只開放業務所需要的TCP，U

10、DP端口和IP協議。操作指南1、參考配置操作進入“控制面板網絡連接本地連接”，進入“Internet協議（TCP/IP）屬性高級TCP/IP設置”，在“選項”的屬性中啟用網絡連接上的TCP/IP篩選，只開放業務所需要的TCP，UDP端口和IP協議。檢測方法1、判定條件系統管理員出示業務所需端口列表。根據列表只開放系統與業務所需端口。2、檢測操作進入“控制面板網絡連接本地連接”，進入“Internet協議（TCP/IP）屬性高級TCP/IP設置”，在“選項”的屬性中啟用網絡連接上的TCP/IP篩選，查看是否只開放業務所需要的TCP，UDP端口和IP協議。 要求內容啟用Windows sever2

11、008和Windows 2003 自帶防火墻。根據業務需要限定允許訪問網絡的應用程序，和允許遠程登陸該設備的IP地址范圍。操作指南1、參考配置操作進入“控制面板網絡連接本地連接”，在高級選項的設置中啟用Windows防火墻。在“例外”中配置允許業務所需的程序接入網絡。在“例外-編輯-更改范圍”編輯允許接入的網絡地址范圍。檢測方法1、判定條件啟用Windows防火墻。“例外”中允許接入網絡的程序均為業務所需。2、檢測操作進入“控制面板網絡連接本地連接”，在高級選項的設置中，查看是否啟用Windows防火墻。查看是否在“例外”中配置允許業務所需的程序接入網絡。查看是否在“例外-編輯-更改范圍”編輯

12、允許接入的網絡地址范圍。4.4設備其他配置操作4.4.1屏幕保護要求內容對于遠程登陸的帳號，設置不活動斷連時間15分鐘。操作指南1、參考配置操作進入“控制面板-管理工具-本地安全策略”，在“本地策略-安全選項”：“Microsoft網絡服務器”設置為“在掛起會話之前所需的空閑時間”為15分鐘檢測方法1、判定條件“Microsoft網絡服務器”設置為“在掛起會話之前所需的空閑時間”為15分鐘。2、檢測操作進入“控制面板-管理工具-本地安全策略”，在“本地策略-安全選項”：查看是否“Microsoft網絡服務器”設置為“在掛起會話之前所需的空閑時間”為15分鐘4.4.2共享文件夾及訪問權限要求內容

13、非域環境中，關閉Windows硬盤默認共享，例如C$，D$。操作指南1、參考配置操作進入“開始運行Regedit”，進入注冊表編輯器，SYSTEMCurrentControlSetServiceslanmanserverparameter更改注冊表鍵值：在HKLMSystemCurrentControlSet ServicesLanmanServerParameters下，增加REG_DWORD類型的AutoShareServer 鍵，值為 0。檢測方法1、判定條件HKLMSystemCurrentControlSet ServicesLanmanServerParameters增加了REG_

14、DWORD類型的AutoShareServer 鍵，值為 0。2、檢測操作進入“開始運行Regedit”，進入注冊表編輯器，更改注冊表鍵值：在HKLMSystemCurrentControlSet ServicesLanmanServerParameters下，增加REG_DWORD類型的AutoShareServer 鍵，值為 0。要求內容查看每個共享文件夾的共享權限，只允許授權的賬戶擁有權限共享此文件夾。操作指南1、參考配置操作進入“控制面板-管理工具-計算機管理”，進入“系統工具共享文件夾”：查看每個共享文件夾的共享權限，只將權限授權于指定賬戶。檢測方法1、判定條件查看每個共享文件夾的共

15、享權限僅限于業務需要，不設置成為“everyone”。2、檢測操作進入“控制面板-管理工具-計算機管理”，進入“系統工具共享文件夾”：查看每個共享文件夾的共享權限。4.4.3補丁管理要求內容應安裝最新的Service Pack補丁集。對服務器系統應先進行兼容性測試。操作指南1、參考配置操作安裝最新的Service Pack補丁集，目前Windows XP的Service Pack為SP2。Windows2000的Service Pack為SP4,Windows 2003的Servoce Pack為SP1檢測方法1、判定條件顯示XP系統已安裝SP2，Win2000系統已安裝SP4。2、檢測操作控

16、制面板-添加或刪除程序-顯示更新打鉤，查看是否XP系統已安裝SP2，Win2000系統已安裝SP4。 要求內容應安裝最新的Hotfix補丁。對服務器系統應先進行兼容性測試。操作指南1、參考配置操作安裝最新的Hotfix補丁。對服務器系統應先進行兼容性測試。檢測方法1、判定條件已安裝最新的Hotfix補丁，并經過兼容性測試。2、檢測操作控制面板-添加或刪除程序-顯示更新打鉤，查看最近安裝的Hotfix補丁是否為微軟最新發布。4.4.4防病毒管理要求內容安裝防病毒軟件，并及時更新。操作指南1、參考配置操作安裝防病毒軟件，并及時更新。檢測方法1、判定條件已安裝放病毒軟件，病毒碼更新時間不早于1個月，

17、各系統病毒碼升級時間要求參見各系統相關規定。2、檢測操作控制面板-添加或刪除程序，是否安裝有防病毒軟件。打開防病毒軟件控制面板，查看病毒碼更新日期。4.4.5Windows服務要求內容列出所需要服務的列表(包括所需的系統服務)，不在此列表的服務需關閉。操作指南1、參考配置操作進入“控制面板-管理工具-計算機管理”，進入“服務和應用程序”：查看所有服務，不在此列表的服務需關閉。檢測方法1、判定條件系統管理員應出具系統所必要的服務列表。查看所有服務，不在此列表的服務需關閉。2、檢測操作進入“控制面板-管理工具-計算機管理”，進入“服務和應用程序”：查看所有服務，不在此列表的服務是否已關閉。要求內容

18、如需啟用SNMP服務，則修改默認的SNMP Community String設置。操作指南1、參考配置操作打開“控制面板”，打開“管理工具”中的“服務”，找到“SNMP Service”，單擊右鍵打開“屬性”面板中的“安全”選項卡，在這個配置界面中，可以修改community strings，也就是微軟所說的“團體名稱”。檢測方法1、判定條件community strings已改，不是默認的“public”2、檢測操作打開“控制面板”，打開“管理工具”中的“服務”，找到“SNMP Service”，單擊右鍵打開“屬性”面板中的“安全”選項卡，在這個配置界面中，查看community strings，也就是微軟所說的“團體名稱”。要求內容如需啟用IIS服務，則將IIS升級到最新補丁。操作指南1、參考配置操作下載IIS補丁包IIS4.0IIS5.0并安裝，或升級到IIS6.0檢測方法1、判定條件已安裝IIS 補丁包或升級到IIS6.0。2、檢測操作控制面板-添加或刪除程序-顯示更新打鉤，查看是否安裝IIS補丁包。4.4.6啟動項要求內容列出系統啟動時自動加載的進程和服務列表，不在此列表的需關閉。操作指南1、參考配置操作“開