1、系統安全配置技術規范Windows版本V0.9日期2013-06-03文檔編號文檔發布212211文檔說明（一）變更信息版本號變更日期變更者變更理由/變更內容備注（二）文檔審核人姓名職位簽名日期目 錄1.適用范圍52.帳號管理與授權52.1【基本】刪除或鎖定可能無用的帳戶52.2【基本】按照用戶角色分配不同權限的帳號52.3【基本】口令策略設置不符合復雜度要求62.4【基本】設定不能重復使用口令62.5不使用系統默認用戶名62.6口令生存期不得長于90天62.7設定連續認證失敗次數72.8遠端系統強制關機的權限設置72.9關閉系統的權限設置72.10取得文件或其它對象的所有權設置72.11將從

2、本地登錄設置為指定授權用戶82.12將從網絡訪問設置為指定授權用戶83.日志配置要求83.1【基本】審核策略設置中成功失敗都要審核83.2【基本】設置日志查看器大小94.IP協議安全要求94.1開啟TCP/IP篩選94.2啟用防火墻104.3啟用SYN攻擊保護105.服務配置要求115.1【基本】啟用NTP服務115.2【基本】關閉不必要的服務115.3【基本】關閉不必要的啟動項125.4【基本】關閉自動播放功能125.5【基本】審核HOST文件的可疑條目125.6【基本】存在未知或無用的應用程序125.7【基本】關閉默認共享135.8【基本】非everyone的授權共享135.9【基本】SN

3、MP Community String設置135.10【基本】刪除可匿名訪問共享135.11關閉遠程注冊表145.12對于遠程登陸的帳號，設置不活動斷開時間為1小時145.13IIS服務補丁更新146.其它配置要求156.1【基本】安裝防病毒軟件156.2【基本】配置WSUS補丁更新服務器156.3【基本】Service Pack補丁更新156.4【基本】Hotfix補丁更新166.5設置帶密碼的屏幕保護166.6交互式登錄不顯示上次登錄用戶名161. 適用范圍如無特殊說明，本規范所有配置項適用于Windows操作系統 2003、2008系列版本。其中標示為“基本”字樣的配置項，均為本公司對此

4、類系統的基本安全配置要求；未標示“基本”字樣的配置項，請各系統管理員視實際需求酌情遵從。2. 帳號管理與授權122.1 【基本】刪除或鎖定可能無用的帳戶配置項描述刪除或鎖定無用的帳戶，定期清理無用賬戶，防止過期用戶非法登入操作系統檢查方法進入“控制面板->管理工具->計算機管理->系統工具->本地用戶和組”：審核不必要的用戶和組，審核帳戶隸屬的組權限，審核組用戶。操作步驟根據系統的要求和實際業務情況，設定不同的帳戶和帳戶組，如管理員用戶、數據庫用戶、審計用戶、來賓用戶等。刪除或鎖定與設備運行、維護等與工作無關的帳戶回退操作回退到原有的配置設置操作風險需要確認帳戶用途2.

5、2 【基本】按照用戶角色分配不同權限的帳號配置項描述按照用戶角色分配不同權限的帳號，保證用戶權限最小化檢查方法進入“控制面板->管理工具->計算機管理->系統工具->本地用戶和組”：審核用戶和組，審核帳戶隸屬的組權限，審核組用戶。操作步驟根據系統的要求和實際業務情況，設定不同的帳戶和帳戶組，如管理員用戶、數據庫用戶、審計用戶、來賓用戶等。回退操作回退到原有的配置設置操作風險需要確認帳戶用途，確認用戶所需權限2.3 【基本】口令策略設置不符合復雜度要求配置項描述口令策略設置不符合復雜度要求，口令過于簡單，易被黑客破譯檢查方法進入“控制面板->管理工具->本地安

6、全策略”，在“帳戶策略->密碼策略”中：檢查“密碼必須符合復雜度要求”設置操作步驟設置“密碼必須符合復雜度要求”已開啟回退操作回退到原有的配置設置操作風險低風險2.4 【基本】設定不能重復使用口令配置項描述設定不能重復使用最近5次（含5次）內已使用的口令檢查方法進入“控制面板->管理工具->本地安全策略”，在“帳戶策略->密碼策略”中：檢查“強制密碼歷史”設置操作步驟設置“強制密碼歷史”大于等于5回退操作回退到原有的配置設置操作風險低風險2.5 不使用系統默認用戶名配置項描述administrator、guest等默認帳戶使用默認用戶名，當攻擊者發起窮舉攻擊時，使用默認

7、用戶名，會大大降低攻擊者的攻擊難度檢查方法進入“控制面板->管理工具->計算機管理->系統工具->本地用戶和組”：檢查administrator、guest是否存在。操作步驟administrator、guest重命名回退操作回退到原有的配置設置操作風險可能導致某些自動登錄的服務異常2.6 口令生存期不得長于90天配置項描述口令生存期不得長于90天，應定期更改用戶口令檢查方法進入“控制面板->管理工具->本地安全策略”，在“帳戶策略->密碼策略”中：檢查“密碼最長存留期”設置操作步驟設置“密碼最長存留期”小于等于90回退操作回退到原有的配置設置操作風險

8、低風險2.7 設定連續認證失敗次數配置項描述設定連續認證失敗次數超過6次（不含6次）鎖定該賬號檢查方法進入“控制面板->管理工具->本地安全策略”，在“帳戶策略->帳戶鎖定策略”中：檢查“帳戶鎖定閥值”設置操作步驟設置“帳戶鎖定閥值”小于等于6回退操作回退到原有的配置設置操作風險可能導致惡意嘗試鎖定帳戶2.8 遠端系統強制關機的權限設置配置項描述將從遠端系統強制關機僅指派給Administrators組，避免普通用戶擁有額外的系統控制權限檢查方法進入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權利指派”中：檢查“從遠端系統強制關機”設置操作

9、步驟設置“從遠端系統強制關機”刪除除Administrators以外其他項回退操作回退到原有的配置設置操作風險可能導致某些系統功能異常或應用非正常運行2.9 關閉系統的權限設置配置項描述將關閉系統僅指派給Administrators組，避免普通用戶擁有額外的系統控制權限檢查方法進入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權利指派”中：檢查“關閉系統”設置操作步驟設置“關閉系統”刪除除Administrators以外其他項回退操作回退到原有的配置設置操作風險可能導致某些系統功能異常或應用非正常運行2.10 取得文件或其它對象的所有權設置配置項描述將取得文件

10、或其它對象的所有權設置僅指派給Administrators組，避免普通用戶擁有額外的系統控制權限檢查方法進入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權利指派”中：檢查“取得文件或其它對象的所有權”設置操作步驟設置“取得文件或其它對象的所有權”刪除除Administrators以外其他項回 退回退到原有的配置設置操作風險可能導致某些系統功能異常或應用非正常運行2.11 將從本地登錄設置為指定授權用戶配置項描述將從本地登錄設置為指定授權用戶，將登陸權限賦予指定用戶檢查方法進入“控制面板->管理工具->本地安全策略”，在“本地安全策略->用戶

11、權利指派”中：檢查“允許在本地登錄”設置操作步驟設置“允許在本地登錄”只保留授權用戶，刪除其他項回退操作回退到原有的配置設置操作風險可能導致某些系統功能異常或應用非正常運行2.12 將從網絡訪問設置為指定授權用戶配置項描述將從網絡訪問設置為指定授權用戶檢查方法進入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權利指派”中：檢查“從網絡訪問”設置操作步驟設置“從網絡訪問”只保留授權用戶，刪除其他項回退操作回退到原有的配置設置操作風險可能導致某些系統功能異常或應用非正常運行3. 日志配置要求33.1 【基本】審核策略設置中成功失敗都要審核配置項描述記錄系統的所有審

12、核信息，審核策略設置中成功失敗都要審核檢查方法進入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：查看是否符合操作中提到的各標準操作步驟將不符合評估內容項進行加固，安全標準設置如下：審核策略更改：成功和失敗審核登錄事件：成功和失敗審核系統事件：成功和失敗審核帳戶登錄事件：成功和失敗審核帳戶管理：成功和失敗審核對象訪問：成功和失敗審核特權使用：成功和失敗審核目錄服務訪問：成功和失敗審核過程跟蹤：失敗其他設置無要求。回退操作回退到原有的配置設置操作風險開啟無用的審核可能降低系統性能并占用一定磁盤空間3.2 【基本】設置日志查看器大小配置項描述將應用、系統、

13、安全日志查看器大小設置為至少8192KB檢查方法進入“控制面板->管理工具->事件查看器”，在“事件查看器（本地）”中：（在應用程序日志、安全日志和系統日志上點右鍵，看屬性中的日志大小上限設置，單位為KB。）查看是否符合操作中提到的各標準操作步驟將不符合評估內容項進行加固，應用日志的容量為8192KB，安全日志的容量為8192KB，系統日志的容量為8192KB，設置當達到最大的日志大小時，“按需要覆蓋事件”。并且用戶有流程定期轉存日志回退操作回退到原有的配置設置操作風險低風險4. IP協議安全要求44.1 開啟TCP/IP篩選配置項描述對于不自帶windows防火墻的系統，需開啟T

14、CP/IP篩選，切只能開放業務所需要的TCP、UDP端口和IP協議檢查方法先請系統管理員出示業務所需端口列表。進入“控制面板>網絡連接>本地連接>Internet協議（TCP/IP）屬性>高級TCP/IP設置”，在“選項”的屬性中啟用網絡連接上的TCP/IP篩選，根據列表查看是否只開放業務所需要的TCP、UDP端口和IP協議。操作步驟注意異常端口，與管理員追查異常端口相關項。對沒有自帶防火墻的Windows系統，啟用Windows系統的IP安全機制(IPSec)或網絡連接上的TCP/IP篩選，只開放業務所需要的TCP、UDP端口和IP協議。回退操作回退到原有的配置設置操

15、作風險必須正確設置網絡訪問控制策略，否則可能導致某些應用無法正常訪問網絡4.2 啟用防火墻配置項描述啟用Windows自帶防火墻，且根據業務需要限定允許訪問網絡的應用程序，和允許遠程登陸該設備的IP地址范圍檢查方法進入“控制面板>網絡連接>本地連接”，在高級選項的設置中，查看是否啟用Windows防火墻。查看是否在“例外”中配置允許業務所需的程序接入網絡。查看是否在“例外->編輯->更改范圍”編輯允許接入的網絡地址范圍。操作步驟將不符合評估內容項進行加固，啟用Windows自帶防火墻。根據業務需要限定允許訪問網絡的應用程序，和允許遠程登陸該設備的IP地址范圍。回退操作回

16、退到原有的配置設置操作風險必須正確設置網絡訪問控制策略，否則可能導致某些應用無法正常訪問網絡4.3 啟用SYN攻擊保護配置項描述啟用SYN攻擊保護，當攻擊者發起SYN攻擊時，避免CPU和內存資源被過度消耗檢查方法在“開始->運行->鍵入regedit”。啟用 SYN 攻擊保護的命名值位于注冊表項 HKEY_LOCAL_MACHINE SYSTEMCurrentControlSetServices 之下：值名稱：SynAttackProtectWindows2000推薦值：2Windows2003推薦值：1以下部分中的所有項和值均位于注冊表項 HKEY_LOCAL_MACHINE S

17、YSTEMCurrentControlSetServices 之下：指定必須在觸發 SYN flood 保護之前超過的 TCP 連接請求閾值：值名稱：TcpMaxPortsExhausted推薦值：5啟用 SynAttackProtect 后，該值指定 SYN_RCVD 狀態中的 TCP 連接閾值，超過 SynAttackProtect 時，觸發 SYN flood 保護：值名稱：TcpMaxHalfOpen推薦值數據：500啟用 SynAttackProtect 后，指定至少發送了一次重傳的 SYN_RCVD 狀態中的 TCP 連接閾值，超過 SynAttackProtect 時，觸發 SY

18、N flood 保護：值名稱：TcpMaxHalfOpenRetried推薦值數據：400操作步驟1、備份注冊表原有的配置設置2、將不符合評估內容項進行加固，啟用SYN攻擊保護：指定觸發SYN洪水攻擊保護所必須超過的TCP連接請求數閥值為5；指定處于 SYN_RCVD 狀態的 TCP 連接數的閾值為500；指定處于至少已發送一次重傳的 SYN_RCVD 狀態中的 TCP 連接數的閾值為400。回退操作回退到原有的配置設置操作風險必須正確設置網絡訪問控制策略，否則可能導致某些應用無法正常訪問網絡5. 服務配置要求55.1 【基本】啟用NTP服務配置項描述啟用NTP服務，配置統一服務器時鐘，應開啟

19、NTP服務向網絡內指定的NTP server同步時鐘。檢查方法對于已加入域的服務器，系統將自動與域控服務器同步時鐘；對于未加入域的服務器，需按以下步驟配置。操作步驟點擊桌面右下角時鐘欄，開啟“更改日期和時鐘設置”-“internet時間”開啟“自動與internet時間服務器同步”選型，在服務器欄中填寫NTP server的IP地址，然后點擊“立即更新”回退操作恢復系統原有NTP配置操作風險需要時間源，中風險，系統時間更改5.2 【基本】關閉不必要的服務配置項描述列出所需要服務的列表(包括所需的系統服務)，不在此列表的服務需關閉檢查方法進入“控制面板->管理工具->計算機管理”，進

20、入“服務和應用程序”：查看所有服務，不在此列表的服務需關閉。操作步驟關閉不需要的服務回退操作回退到原有的配置設置操作風險關閉或停止某些服務可能導致應用運行異常5.3 【基本】關閉不必要的啟動項配置項描述關閉不必要的啟動項，優化系統資源，同時減少引入 不必要的系統漏洞檢查方法“開始->運行->MSconfig”啟動菜單中檢查啟動項操作步驟關閉不必要的啟動項回退操作回退到原有的配置設置操作風險需要確認啟動項是否必須5.4 【基本】關閉自動播放功能配置項描述關閉自動播放功能，避免執行未經掃描或確認的文件，從而引入木馬或病毒檢查方法點擊開始運行輸入gpedit.msc，打開組策略編輯器，計

21、算機配置管理模板系統，在右邊窗格中雙擊“關閉自動播放”，檢查 “關閉自動播放”項設置操作步驟在“關閉自動播放”對話框中，選擇“已啟用”，并選擇“所有驅動器”，確定即可回退操作回退到原有的配置設置操作風險低風險5.5 【基本】審核HOST文件的可疑條目配置項描述刪除HOST文件下的可疑條目檢查方法查看是否符合操作中提到的標準，檢查C:windowssystem32driversetc目錄下的用于靜態DNS解析的HOSTS文件內容是否正常操作步驟1、備份HOSTS文件2、將不符合評估內容項進行加固，確保C:windowssystem32driversetc目錄下的用于靜態DNS解析的HOSTS文件

22、內容正常，對于未知條目可以與管理員追查回退操作將備份的HOSTS文件替換更改的文件操作風險與系統管理員確認后可執行加固5.6 【基本】存在未知或無用的應用程序配置項描述存在未知或無用的應用程序，應定期清理應用程序列表中無用或未知的程序，防止系統被植入木馬或病毒檢查方法檢查“添加或刪除程序”面板中的列表操作步驟備份需要協助的應用程序的配置文件不要安裝不必要的應用程序，向管理員確認可卸載的應用軟件項回 退重新安裝卸載的應用重新，恢復配置文件操作風險需要確認應用是否必須，可能需要重啟系統5.7 【基本】關閉默認共享配置項描述關閉默認共享，未經確認的共享操作，尤其是對everyone的共享，會對信息安

23、全造成嚴重威脅檢查方法net share或計算機管理-共享操作步驟關閉Windows硬盤默認共享，例如ADMIN$，C$，D$。進入“開始>運行>Regedit”，進入注冊表編輯器，更改注冊表鍵值：在HKLMSystemCurrentControlSetServicesLanmanServerParameters下，增加REG_DWORD類型的AutoShareServer 鍵，值為0。回退操作回退到原有的配置設置操作風險可能導致某些必須使用共享的應用非正常運行5.8 【基本】非everyone的授權共享配置項描述共享文件夾中，設置只允許授權的賬戶擁有權限共享此文件夾檢查方法檢查共

24、享文件夾中的授權用戶操作步驟設置共享文件夾中的授權用戶為指定用戶，而非everyone回退操作回退到原有的配置設置操作風險須經測試，可能導致某些使用共享的應用異常5.9 【基本】SNMP Community String設置配置項描述如需啟用SNMP服務，修改默認的SNMP Community String設置檢查方法進入“控制面板->管理工具->計算機管理”，進入“服務和應用程序”：檢查“SNMP Service”， “屬性”面板中的“安全”選項卡的community strings設置操作步驟community strings改為其他，不是默認的“public”回退操作回退到原

25、有的配置設置操作風險可能導致服務不正常5.10 【基本】刪除可匿名訪問共享配置項描述刪除可匿名訪問共享，共享文件應明確共享對象，且不允許匿名訪問檢查方法進入“控制面板->管理工具->本地安全策略”，在“本地策略->安全選項”中：檢查“網絡訪問: 可匿名訪問的共享”設置操作步驟刪除“網絡訪問: 可匿名訪問的共享”中的所有項回退操作回退到原有的配置設置操作風險可能導致某些系統功能異常或應用非正常運行5.11 關閉遠程注冊表配置項描述關閉遠程注冊表，防止用戶遠程修改或查看系統注冊表檢查方法進入“控制面板->管理工具->計算機管理”，進入“服務和應用程序”：檢查“Remo

26、te Registry”操作步驟設置“Remote Registry”已停用回退操作回退到原有的配置設置操作風險某些應用可能需要此功能5.12 對于遠程登陸的帳號，設置不活動斷開時間為1小時配置項描述對于遠程登陸的帳號，設置不活動斷開時間為1小時，長時間空閑賬戶將自動退出檢查方法進入“控制面板->管理工具->本地安全策略”，在“本地策略->安全選項”中：檢查“Microsoft 網絡服務器：在掛起會話前所需的空閑時間”設置操作步驟設置“Microsoft 網絡服務器：在掛起會話前所需的空閑時間”小于等于1小時回退操作回退到原有的配置設置操作風險可能導致某些應用運行異常5.13

27、 IIS服務補丁更新配置項描述如需啟用IIS服務，IIS服務補丁需及時更新檢查方法檢查IIS版本操作步驟安裝IIS 補丁包或升級到IIS6.0回退操作卸載IIS 補丁包操作風險可能導致服務不正常6. 其它配置要求66.1 【基本】安裝防病毒軟件配置項描述安裝防病毒軟件和防病毒軟件并及時升級檢查方法檢查殺毒軟件的安裝和升級情況操作步驟安裝殺毒軟件并升級到最新版本回退操作卸載殺毒軟件或回退到以前版本操作風險需要重啟并可能誤刪正常的系統或應用文件6.2 【基本】配置WSUS補丁更新服務器配置項描述指定系統獲取補丁的位置，將更新源指向WSUS服務器檢查方法1.執行regedit調出注冊表編輯器2.查看參數HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate"WUServer"和"WUStatusServer&q