第1页 / 共38页
第2页 / 共38页
第3页 / 共38页
第4页 / 共38页
第5页 / 共38页
第6页 / 共38页
第7页 / 共38页
第8页 / 共38页
Windows系统安全配置基线 完结版.doc
第1章概述
1.1目的
1.2适用范围
1.3适用版本
第2章操作系统的基本安装
2.1基本安装
第3章账号口令
3.1检查是否已正确配置密码最短使用期限
3.2检查是否已正确配置密码长度最小值
3.3检查是否已正确配置“强制密码历史”
3.4检查是否已正确配置帐户锁定时间
3.5检查是否已正确配置帐户锁定阈值
3.6检查是否已正确配置“复位帐户锁定计数器”时间
3.7检查是否按照权限、责任创建、使用用户账号
3.8检查是否已更改管理员帐户名称
第4章认证授权
4.1检查是否已删除可远程访问的注册表路径和子路径
4.2检查是否已限制匿名用户连接
4.3检查是否已限制可关闭系统的帐户和组
4.4检查是否已限制可从远端关闭系统的帐户和组
4.5检查是否已限制“取得文件或其它对象的所有权”的帐户和组
4.6检查是否已正确配置“允许本地登录”策略
4.7检查是否已正确配置“从网络访问此计算机”策略
4.8检查是否已删除可匿名访问的共享和命名管道
第5章日志审计
5.1检查是否已正确配置审核(日志记录)策略
5.2检查是否已正确配置应用程序日志
5.3检查是否已正确配置系统日志
5.4检查是否已正确配置安全日志
第6章协议安全
6.1检查是否已修改默认的远程桌面(RDP)服务端口
6.2检查是否已启用并正确配置源路由攻击保护
6.3检查是否已开启Windows防火墙
6.4检查是否已启用并正确配置SYN攻击保护
6.5检查是否已启用并正确配置ICMP攻击保护
6.6检查是否已禁用失效网关检测
6.7检查是否已正确配置重传单独数据片段的次数
6.8检查是否已禁用路由发现功能
6.9检查是否已正确配置TCP“连接存活时间”
6.10检查是否已启用并正确配置TCP碎片攻击保护
6.11检查是否已启用TCP/IP筛选功能
6.12检查是否已删除SNMP服务的默认public团体
第7章其他配置操作
7.1检查是否已安装防病毒软件
7.2检查是否已启用并正确配置Windows自动更新
7.3检查是否已启用“不显示最后的用户名”策略
7.4检查是否已正确配置“提示用户在密码过期之前进行更改”策略
7.5检查是否已正确配置“锁定会话时显示用户信息”策略
7.6检查是否已禁用Windows硬盘默认共享
7.7检查是否已启用并正确配置屏幕保护程序
7.8检查是否已启用并正确配置Windows网络时间同步服务(NTP)
7.9检查是否已关闭Windows自动播放
7.10检查是否已关闭不必要的服务-DHCP Client
7.11检查系统是否已安装最新补丁包和补丁
7.12检查所有磁盘分区的文件系统格式
7.13检查是否已正确配置服务器在暂停会话前所需的空闲时间量
7.14检查是否已启用“当登录时间用完时自动注销用户”策略
7.15域环境:检查是否已启用“需要域控制器身份验证以解锁工作站”策略
7.16检查是否已禁用“登录时无须按 Ctrl+Alt+Del”策略
7.17域环境:检查是否已正确配置“可被缓存保存的登录的个数”策略
7.18域环境:检查是否已正确配置域环境下安全通道数据的安全设置
7.19域环境:检查是否已启用“域环境下需要强会话密钥”策略
7.20检查共享文件夹的权限设置是否安全
7.21检查是否已启用Windows数据执行保护(DEP)-需重启
7.22检查是否已创建多个磁盘分区
7.23检查是否已禁止Windows自动登陆
7.24检查是否已关闭不必要的服务-Simple TCP/IP Services
7.25检查是否已关闭不必要的服务-Simple Mail Transport Protocol (SMTP
7.26检查是否已关闭不必要的服务-Windows Internet Name Service (WINS)
7.27检查是否已关闭不必要的服务-DHCP Server
7.28检查是否已关闭不必要的服务-Remote Access Connection Manager
7.29检查是否已关闭不必要的服务-Message Queuing
Windows 系统安全配置基线
Windows 系统安全配置基线
目录
第 1 章 概述............................................................................................................................................................ 3
1.1 目的................................................................................................................................................................3
1.2 适用范围........................................................................................................................................................3
1.3 适用版本........................................................................................................................................................3
第 2 章 操作系统的基本安装................................................................................................................................ 3
2.1 基本安装........................................................................................................................................................3
第 3 章 账号口令.................................................................................................................................................... 4
3.1 检查是否已正确配置密码最短使用期限 ...................................................................................................4
3.2 检查是否已正确配置密码长度最小值....................................................................................................... 4
3.3 检查是否已正确配置“强制密码历史”...................................................................................................5
3.4 检查是否已正确配置帐户锁定时间...........................................................................................................5
3.5 检查是否已正确配置帐户锁定阈值...........................................................................................................6
3.6 检查是否已正确配置“复位帐户锁定计数器”时间............................................................................... 6
3.7 检查是否按照权限、责任创建、使用用户账号 .......................................................................................7
3.8 检查是否已更改管理员帐户名称 ...............................................................................................................7
第 4 章 认证授权.................................................................................................................................................... 8
4.1 检查是否已删除可远程访问的注册表路径和子路径 ............................................................................... 8
4.2 检查是否已限制匿名用户连接................................................................................................................... 8
4.3 检查是否已限制可关闭系统的帐户和组 ...................................................................................................9
4.4 检查是否已限制可从远端关闭系统的帐户和组 .......................................................................................9
4.5 检查是否已限制“取得文件或其它对象的所有权”的帐户和组......................................................... 10
4.6 检查是否已正确配置“允许本地登录”策略......................................................................................... 10
4.7 检查是否已正确配置“从网络访问此计算机”策略............................................................................. 11
4.8 检查是否已删除可匿名访问的共享和命名管道 ..................................................................................... 11
第 5 章 日志审计.................................................................................................................................................. 12
5.1 检查是否已正确配置审核(日志记录)策略.............................................................................................. 12
5.2 检查是否已正确配置应用程序日志......................................................................................................... 13
5.3 检查是否已正确配置系统日志................................................................................................................. 13
5.4 检查是否已正确配置安全日志................................................................................................................. 14
第 6 章 协议安全.................................................................................................................................................. 15
6.1 检查是否已修改默认的远程桌面(RDP)服务端口..................................................................................15
6.2 检查是否已启用并正确配置源路由攻击保护 ......................................................................................... 15
6.3 检查是否已开启 WINDOWS 防火墙.......................................................................................................... 16
6.4 检查是否已启用并正确配置 SYN 攻击保护...........................................................................................16
6.5 检查是否已启用并正确配置 ICMP 攻击保护......................................................................................... 18
1
Windows 系统安全配置基线
6.6 检查是否已禁用失效网关检测................................................................................................................. 18
6.7 检查是否已正确配置重传单独数据片段的次数 ..................................................................................... 19
6.8 检查是否已禁用路由发现功能................................................................................................................. 19
6.9 检查是否已正确配置 TCP“连接存活时间”........................................................................................ 20
6.10 检查是否已启用并正确配置 TCP 碎片攻击保护.................................................................................20
6.11 检查是否已启用 TCP/IP 筛选功能........................................................................................................ 21
6.12 检查是否已删除 SNMP 服务的默认 PUBLIC 团体................................................................................22
第 7 章 其他配置操作.......................................................................................................................................... 22
7.1 检查是否已安装防病毒软件..................................................................................................................... 22
7.2 检查是否已启用并正确配置 WINDOWS 自动更新.................................................................................. 23
7.3 检查是否已启用“不显示最后的用户名”策略 ..................................................................................... 23
7.4 检查是否已正确配置“提示用户在密码过期之前进行更改”策略..................................................... 23
7.5 检查是否已正确配置“锁定会话时显示用户信息”策略..................................................................... 24
7.6 检查是否已禁用 WINDOWS 硬盘默认共享.............................................................................................. 25
7.7 检查是否已启用并正确配置屏幕保护程序............................................................................................. 25
7.8 检查是否已启用并正确配置 WINDOWS 网络时间同步服务(NTP) ........................................................26
7.9 检查是否已关闭 WINDOWS 自动播放...................................................................................................... 26
7.10 检查是否已关闭不必要的服务-DHCP CLIENT..................................................................................... 27
7.11 检查系统是否已安装最新补丁包和补丁 ............................................................................................... 27
7.12 检查所有磁盘分区的文件系统格式.......................................................................................................28
7.13 检查是否已正确配置服务器在暂停会话前所需的空闲时间量 ...........................................................28
7.14 检查是否已启用“当登录时间用完时自动注销用户”策略...............................................................29
7.15 域环境:检查是否已启用“需要域控制器身份验证以解锁工作站”策略.......................................30
7.16 检查是否已禁用“登录时无须按 CTRL+ALT+DEL”策略...................................................................30
7.17 域环境:检查是否已正确配置“可被缓存保存的登录的个数”策略...............................................31
7.18 域环境:检查是否已正确配置域环境下安全通道数据的安全设置...................................................31
7.19 域环境:检查是否已启用“域环境下需要强会话密钥”策略...........................................................32
7.20 检查共享文件夹的权限设置是否安全...................................................................................................32
7.21 检查是否已启用 WINDOWS 数据执行保护(DEP) ................................................................................. 33
7.22 检查是否已创建多个磁盘分区...............................................................................................................33
7.23 检查是否已禁止 WINDOWS 自动登录.................................................................................................... 34
7.24 检查是否已关闭不必要的服务-SIMPLE TCP/IP SERVICES..................................................................34
7.25 检查是否已关闭不必要的服务-SIMPLE MAIL TRANSPORT PROTOCOL (SMTP).................................35
7.26 检查是否已关闭不必要的服务-WINDOWS INTERNET NAME SERVICE (WINS) ...................................35
7.27 检查是否已关闭不必要的服务-DHCP SERVER....................................................................................35
7.28 检查是否已关闭不必要的服务-REMOTE ACCESS CONNECTION MANAGER....................................... 36
7.29 检查是否已关闭不必要的服务-MESSAGE QUEUING............................................................................ 36
2
Windows 系统安全配置基线
第 1 章 概述
1.1 目的
本文规定了 WINDOWS 操作系统主机应当遵循的操作系统安全性设置标准,本文档旨在指导
系统管理人员或安全检查人员进行 WINDOWS 操作系统的安全合规性检查和配置。
服务器安全基线是指为满足安全规范要求,考虑到信息安全管理的三+四个特性:保密性、完整
性、可用性、可审计性、可靠性、抗抵赖性。服务器安全配置必须达到的标准,一般通过检查安全
配置参数是否符合安全标准或公司标准来度量。主要包括了账号配置安全、口令配置安全、授权配
置、日志配置、IP 通信配置等方面内容,这些安全配置直接反映了系统自身的安全脆弱性。
1.2 适用范围
本配置标准的使用者包括:服务器系统管理员、安全管理员和相关使用人员。
本配置标准适用的范围包括: WINDOWS 服务器。
1.3 适用版本
适用于 Windows Server 服务器。
第 2 章 操作系统的基本安装
2.1 基本安装
(1) 使用 NTFS 文件系统来最小化安装操作系统。
(2) 管理员账号须设置较复杂的口令(由数字、大小写字母和特殊字符组成),长度在 12 位
以上,其中管理员口令应一机一密码,不同机器之间不应相同。
(3)断开网络安装完操作系统后,在业务网专用区域内连接网络进行系统升级,并打开 Windows
自动更新服务。
3
Windows 系统安全配置基线
(4) 升级完成后,安装前述光盘中的杀毒软件并进行更新。
第 3 章 账号口令
3.1 检查是否已正确配置密码最短使用期限
安 全 基 线 项
检查密码最短使用期限
目名称
安 全 基 线 项
长期修改密码会提高密码暴露风险,所以为了提高系统的保密性。需要检查
说明
密码最短使用期限。
检 测 操 作 步
打开命令提示符,运行命令“gpedit.msc”打开组策略编辑器,浏览到路径
骤
“本地计算机策略\计算机配置\Windows 设置\安全设置\帐户策略\密码策
略”,在右边窗格中找到“密码最短存留期(使用期限)”,配置为非 0 值。
如果希望“强制密码历史”有效,则需要将密码最短使用期限设置为大于 0 的
值。
基 线 符 合 性
!=0
判定依据
备注
等级:可选 / 评分:1
3.2 检查是否已正确配置密码长度最小值
安 全 基 线 项
检查密码长度最小值
目名称
安 全 基 线 项
长度小的口令存在被爆破出的风险,所以为了保证密码的安全,提高保密性
说明
需要检查口令最小长度
检 测 操 作 步
打开命令提示符,运行命令“gpedit.msc”打开组策略编辑器,浏览到路径
骤
“本地计算机策略\计算机配置\Windows 设置\安全设置\帐户策略\密码策
略”,在右边窗格中找到“密码长度最小值”,配置为不小于标准值的值。
基 线 符 合 性
>=8
判定依据
按照公司规定和等保要求,确定密码最小值要大于等于 8 位
4
Windows 系统安全配置基线
备注
等级:可选 / 评分:3
3.3 检查是否已正确配置“强制密码历史”
安 全 基 线 项
检查“强制密码历史”个数
目名称
安 全 基 线 项
强制密码历史的意思是,系统会记住以前的密码历史,在修改密码的时候不
说明
可与以前的密码相同,修改相同的密码会提高密码的暴露性。所以为了提高
保密性,需要检查是否已正确配置“强制密码历史”
检 测 操 作 步
打开命令提示符,运行命令“gpedit.msc”打开组策略编辑器,浏览到路径
骤
“本地计算机策略\计算机配置\Windows 设置\安全设置\帐户策略\密码策
略”,在右边窗格中找到“强制密码历史”,配置为不小于标准值的值。
基 线 符 合 性
>=1
判定依据
备注
等级:可选 / 评分:1
3.4 检查是否已正确配置帐户锁定时间
安 全 基 线 项
检查帐户锁定时间
目名称
安 全 基 线 项
账户锁定时间的意思是:当用户登录失败次数过多时,系统锁定账户的时间
说明
为了防止爆破风险,提高系统的保密性。需要检查是否已正确配置账户锁定
时间。
检 测 操 作 步
打开命令提示符,运行命令“gpedit.msc”打开组策略编辑器,浏览到路径
骤
“本地计算机策略\计算机配置\Windows 设置\安全设置\帐户策略\帐户锁
定策略”,在右边窗格中找到“帐户锁定时间”,配置为不小于标准值的值。
要配置此设置必须先配置“帐户锁定阈值”。当配置为 0 时,检测到的实际
值为-1。
基 线 符 合 性
>=1
判定依据
备注
等级:可选 / 评分:1
5
Windows 系统安全配置基线
3.5 检查是否已正确配置帐户锁定阈值
安 全 基 线 项
检查帐户锁定阈值
目名称
检查帐户锁定阈值是否不为 0
安 全 基 线 项
账户锁定阈值的意思是:用户失败登录的最大次数。主要作用是为了防止爆
说明
破的风险,提高系统的保密性。所以需要检查是否正确配置账户锁定阈值。
检 测 操 作 步
打开命令提示符,运行命令“gpedit.msc”打开组策略编辑器,浏览到路径
骤
“本地计算机策略\计算机配置\Windows 设置\安全设置\帐户策略\帐户锁
定策略”,在右边窗格中找到“帐户锁定阈值”,配置为标准值以内的值。
基 线 符 合 性
(0,6]
判定依据
备注
等级:可选 / 评分:1
3.6 检查是否已正确配置“复位帐户锁定计数器”时间
安 全 基 线 项
检查“复位帐户锁定计数器”时间
目名称
安 全 基 线 项
“复位账户锁定计数器”是指确定登录尝试失败之后和登录尝试失败计数器
说明
被复位为 0 次失败登录尝试之前经过的分钟数。有效范围为 1 到 99,999
分钟之间
如果定义了帐户锁定阈值,则该复位时间应小于或等于帐户锁定时间。默认
值是无,因为只有当指定了帐户锁定阈值时,该策略设置才有意义。为了提
高保密性,需要检查配置“复位账户锁定计数器”时间
检 测 操 作 步
打开命令提示符,运行命令“gpedit.msc”打开组策略编辑器,浏览到路径
骤
“本地计算机策略\计算机配置\Windows 设\安全设置\帐户策略\帐户锁定
策略”,在右边窗格中找到“复位(重置)帐户锁定计数器”,配置为不小于
标准值的值
基 线 符 合 性
>=1
判定依据
备注
等级:可选 / 评分:1
6
Windows 系统安全配置基线
3.7 检查是否按照权限、责任创建、使用用户账号
安 全 基 线 项
检查已启用的本地用户的个数
目名称
安 全 基 线 项
不任意创建账户,按照责任权限创建账户,为了提高可靠性,需要检查是否
说明
按照权限、责任创建、使用用户账户
检 测 操 作 步
此项不适用于域环境。打开命令提示符,运行命令“compmgmt.msc”打开计
骤
算机管理面板,浏览到路径“计算机管理(本地)\系统工具\本地用户和组\
用户”,新建一个用户并启用它。在域环境下实际值将显示为 100。
基 线 符 合 性
>=2
判定依据
此依据根据实际情况确定,不是确定值
备注
等级:可选 / 评分:1
3.8 检查是否已更改管理员帐户名称
安 全 基 线 项
检查管理员帐户名称
目名称
安 全 基 线 项
系统管理账户名称为 Administrator,黑客容易猜测并实施爆破攻击。为了提
说明
高保密性、可靠性,需要检查是否已更改管理员账户名称。
检 测 操 作 步
打开命令提示符,运行命令“gpedit.msc”打开组策略编辑器,浏览到路径
骤
“本地计算机策略\计算机配置\Windows 设置\安全设置\本地策略\安全选
项”,在右边窗格中找到“(帐户:)重命名(系统)管理员帐户”,更改其默认
设置“Administrator”(注意:若当前是以 Administrator 用户登录,则无
法更改)。
基 线 符 合 性
!=Administrator
判定依据
备注
等级:可选 / 评分:1
7
相关推荐
2023年江西萍乡中考道德与法治真题及答案.doc
2012年重庆南川中考生物真题及答案.doc
2013年江西师范大学地理学综合及文艺理论基础考研真题.doc
2020年四川甘孜小升初语文真题及答案I卷.doc
2020年注册岩土工程师专业基础考试真题及答案.doc
2023-2024学年福建省厦门市九年级上学期数学月考试题及答案.doc
2021-2022学年辽宁省沈阳市大东区九年级上学期语文期末试题及答案.doc
2022-2023学年北京东城区初三第一学期物理期末试卷及答案.doc
2018上半年江西教师资格初中地理学科知识与教学能力真题及答案.doc
2012年河北国家公务员申论考试真题及答案-省级.doc
2020-2021学年江苏省扬州市江都区邵樊片九年级上学期数学第一次质量检测试题及答案.doc
2022下半年黑龙江教师资格证中学综合素质真题及答案.doc
