Professional Documents
Culture Documents
Windows操作系统安全配置规范v2 0
Windows操作系统安全配置规范v2 0
Windows操作系统安全配置规范v2 0
安全配置规范
版本号:2.0.0
XXXX-XX-XX 发布 XXXX-XX-XX 实施
中国移动通信有限公司网络部
中国移动 windows 操作系统安全配置规范
目录
1 概述..........................................................................................................................................................................1
1.1 适用范围.........................................................................................................................................................1
1.2 内部适用性说明.............................................................................................................................................1
1.3 外部引用说明.................................................................................................................................................2
1.4 术语和定义.....................................................................................................................................................3
1.5 符号和缩略语.................................................................................................................................................3
2 WINDOWS 设备安全配置要求............................................................................................................................3
2.1 账号管理、认证授权.....................................................................................................................................3
2.1.1 账号.........................................................................................................................................................4
2.1.2 口令.........................................................................................................................................................5
2.1.3 授权.........................................................................................................................................................7
2.2 日志配置操作................................................................................................................................................11
2.3 IP 协议安全配置操作...................................................................................................................................17
2.4 设备其他配置操作.......................................................................................................................................20
2.4.1 屏幕保护...............................................................................................................................................20
2.4.2 共享文件夹及访问权限.......................................................................................................................21
2.4.3 补丁管理...............................................................................................................................................22
2.4.4 防病毒管理...........................................................................................................................................23
2.4.5 Windows 服务............................................................................................................................................24
2.4.6 启动项...................................................................................................................................................25
中国移动 windows 操作系统安全配置规范
前言
为了贯彻安全三同步的要求,在设备选型、入网测试、工程验收以及运行维护等环节,
明确并落实安全功能和配置要求。有限公司组织部分省公司编制了中国移动设备安全功能
和配置系列规范。本系列规范可作为编制设备技术规范、设备入网测试规范,工程验收手
册,局数据模板等文档的依据。本规范是该系列规范之一,明确了中国移动各类型设备所
需满足的通用安全功能和配置要求,并作为本系列其他规范的编制基础。
本标准起草单位:中国移动通信有限公司网络部、中国移动通信集团浙江公司。
本标准解释单位:同提出单位。
本标准主要起草人:朱国萃、陈敏时、周智、石磊、曹一生。
中国移动 Windows 操作系统安全配置规范
1 概述
1.1 适用范围
1.2 内部适用性说明
配置要求说明
编号 采纳意见 补充说明
安全要求-设备-通用-配置--1-可选 增强 安全要求-设备-WINDOWS-配置-1
安全要求-设备-通用-配置--2-可选 增强 安全要求-设备-WINDOWS-配置-2-可选
安全要求-设备-通用-配置--3-可选 不采纳 Windows 无法在远程登陆时通过切换用
户提升权限
安全要求-设备-通用-配置--4 增强 安全要求-设备-WINDOWS-配置-4
安全要求-设备-通用-配置--5 完全采纳 安全要求-设备-WINDOWS-配置-35
安全要求-设备-通用-配置--6-可选 完全采纳 安全要求-设备-WINDOWS-配置-36-可选
安全要求-设备-通用-配置--7-可选 完全采纳 安全要求-设备-WINDOWS-配置-37
安全要求-设备-通用-配置--9 增强 安全要求-设备-WINDOWS-配置-5
安全要求-设备-WINDOWS-配置-6
安全要求-设备-WINDOWS-配置-7
安全要求-设备-WINDOWS-配置-8
安全要求-设备-WINDOWS-配置-9
安全要求-设备-通用-配置--12 完全采纳 安全要求-设备-WINDOWS-配置-38
安全要求-设备-通用-配置--13-可选 增强 安全要求-设备-WINDOWS-配置-11
中国移动通信集团公司 1
第 1 页 共 29 页
中国移动 Windows 操作系统安全配置规范
安全要求-设备-通用-配置--24-可选 增强 安全要求-设备-WINDOWS-配置-10
安全要求-设备-WINDOWS-配置-12
安全要求-设备-WINDOWS-配置-13
安全要求-设备-WINDOWS-配置-14
安全要求-设备-WINDOWS-配置-15
安全要求-设备-WINDOWS-配置-16
安全要求-设备-WINDOWS-配置-17-可选
安全要求-设备-WINDOWS-配置-18-可选
安全要求-设备-WINDOWS-配置-19-可选
安全要求-设备-通用-配置--14-可选 不采纳 Windows 日志储存在本地
安全要求-设备-通用-配置--16-可选 增强 安全要求-设备-WINDOWS-配置-20-可选
安全要求-设备-WINDOWS-配置-21-可选
安全要求-设备-通用-配置--17-可选 不采纳 Windosw 远程管理采用了自有协议,不
支持 SSH
安全要求-设备-通用-配置--19-可选 不采纳 WIN 系统不具备字符交互界面
安全要求-设备-通用-配置--20-可选 增强 安全要求-设备-WINDOWS-配置-22-可选
安全要求-设备-通用-配置--27-可选 不采纳 Windows 不支持 CONSOLE 访问
1.3 外部引用说明
《中国移动通用安全功能和配置规范》
1.4 术语和定义
中国移动通信集团公司 2
第 2 页 共 29 页
中国移动 Windows 操作系统安全配置规范
1.5 符号和缩略语
缩写 英文描述 中文描述
2 WINDOWS 设备安全配置要求
2.1 账号管理、认证授权
认证功能用于确认登录系统的用户真实身份。认证功能的具体实现方式包括
静态口令、动态口令、指纹等生物鉴别技术等。授权功能赋予系统账号的操作权
限,并限制用户进行超越其账号权限的操作。
2.1.1 账号
编号:安全要求-设备-WINDOWS-配置--1
要求内容 按照用户分配账号。根据系统的要求,设定不同的账户和账户组,
管理员用户,数据库用户,审计用户,来宾用户等。
操作指南 1、参考配置操作
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地
用户和组”:
根据系统的要求,设定不同的账户和账户组,管理员用户,数据
库用户,审计用户,来宾用户。
中国移动通信集团公司 3
第 3 页 共 29 页
中国移动 Windows 操作系统安全配置规范
检测方法 1、 判定条件
结合要求和实际业务情况判断符合要求,根据系统的要求,设定
不同的账户和账户组,管理员用户,数据库用户,审计用户,来
宾用户。
2、检测操作
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地
用户和组”:
查看根据系统的要求,设定不同的账户和账户组,管理员用户,
数据库用户,审计用户,来宾用户。
编号:安全要求-设备-WINDOWS-配置-2-可选
要求内容 删除或锁定与设备运行、维护等与工作无关的账号。
操作指南 1、参考配置操作
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地
用户和组”:
删除或锁定与设备运行、维护等与工作无关的账号。
检测方法 1、判定条件
结合要求和实际业务情况判断符合要求,删除或锁定与设备运行、
维护等与工作无关的账号。
2、检测操作
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地
用户和组”:
查看是否删除或锁定与设备运行、维护等与工作无关的账号。
编号:安全要求-设备-WINDOWS-配置-3-可选
要求内容 对于管理员帐号,要求更改缺省帐户名称;禁用 guest(来宾)帐
号。
操作指南 1、参考配置操作
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地
用户和组”:
中国移动通信集团公司 4
第 4 页 共 29 页
中国移动 Windows 操作系统安全配置规范
Administrator->属性-> 更改名称
检测方法 1、判定条件
Guest 帐号已停用。
2、检测操作
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地
用户和组”:
缺省帐户->属性-> 更改名称
编号:安全要求-设备-WINDOWS-配置-37
要求内容 对于采用静态口令认证技术的设备,应配置当用户连续认证失败
操作指南 1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->帐
户锁定策略”:
“账户锁定阀值”设置为 6 次
检测方法 1、判定条件
“账户锁定阀值”设置为小于或等于 6 次
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->帐
户锁定策略”:
查看是否“账户锁定阀值”设置为小于等于 6 次
2.1.2 口令
编号:安全要求-设备-WINDOWS-配置-4
中国移动通信集团公司 5
第 5 页 共 29 页
中国移动 Windows 操作系统安全配置规范
要求的策略。即密码至少包含以下四种类别的字符中的三种:
英语大写字母 A, B, C, … Z
英语小写字母 a, b, c, … z
西方阿拉伯数字 0, 1, 2, … 9
非字母数字字符,如标点符号,@, #, $, %, &, *等
操作指南 1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密
码策略”:
“密码必须符合复杂性要求”选择“已启动”
检测方法 1、判定条件
“密码必须符合复杂性要求”选择“已启动”
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密
码策略”:
查看是否“密码必须符合复杂性要求”选择“已启动”
编号:安全要求-设备-WINDOWS-配置-35
要求内容 对于采用静态口令认证技术的设备,账户口令的生存期不长于 90
天。
操作指南 1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密
码策略”:
“密码最长存留期”设置为“90 天”
检测方法 1、判定条件
“密码最长存留期”设置为“90 天”
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密
码策略”:
查看是否“密码最长存留期”设置为“90 天”
中国移动通信集团公司 6
第 6 页 共 29 页
中国移动 Windows 操作系统安全配置规范
编号:安全要求-设备-WINDOWS-配置-36-可选
要求内容 对于采用静态口令认证技术的设备,应配置设备,使用户不能重
操作指南 1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密
码策略”:
“强制密码历史”设置为“记住 5 个密码”
检测方法 1、判定条件
“强制密码历史”设置为“记住 5 个密码”
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密
码策略”:
查看是否“强制密码历史”设置为“记住 5 个密码”
2.1.3 授权
编号:安全要求-设备-WINDOWS-配置-5
要求内容 在本地安全设置中从远端系统强制关机只指派给 Administrators
组。
操作指南 1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用
户权利指派”:
“从远端系统强制关机”设置为“只指派给 Administrators 组”
检测方法 1、判定条件
“从远端系统强制关机”设置为“只指派给 Administrtors 组”
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用
户权利指派”:
查看是否“从远端系统强制关机”设置为“只指派给
Administrators 组”
中国移动通信集团公司 7
第 7 页 共 29 页
中国移动 Windows 操作系统安全配置规范
编号:安全要求-设备-WINDOWS-配置-6
要求内容 在本地安全设置中关闭系统仅指派给 Administrators 组。
操作指南 1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用
户权利指派”:
“关闭系统”设置为“只指派给 Administrators 组”
检测方法 1、判定条件
“关闭系统”设置为“只指派给 Administrators 组”
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用
户权利指派”:
查看“关闭系统”设置为“只指派给 Administrators 组”
编号:安全要求-设备-WINDOWS-配置-7
要求内容 在本地安全设置中取得文件或其它对象的所有权仅指派给
Administrators。
操作指南 1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用
户权利指派”:
“取得文件或其它对象的所有权”设置为“只指派给
Administrators 组”
检测方法 1、判定条件
“取得文件或其它对象的所有权”设置为“只指派给
Administrators 组”
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用
户权利指派”:
查看是否“取得文件或其它对象的所有权”设置为“只指派给
Administrators 组”
编号:安全要求-设备-WINDOWS-配置-8
中国移动通信集团公司 8
第 8 页 共 29 页
中国移动 Windows 操作系统安全配置规范
要求内容 在本地安全设置中配置指定授权用户允许本地登陆此计算机。
操作指南 1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用
户权利指派”
“从本地登陆此计算机”设置为“指定授权用户”
检测方法 1、判定条件
“从本地登陆此计算机”设置为“指定授权用户”
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用
户权利指派”
查看是否“从本地登陆此计算机”设置为“指定授权用户”
编号:安全要求-设备-WINDOWS-配置-9
要求内容 在组策略中只允许授权帐号从网络访问(包括网络共享等,但不包
括终端服务)此计算机。
操作指南 1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用
户权利指派”
“从网络访问此计算机”设置为“指定授权用户”
检测方法 1、判定条件
“从网络访问此计算机”设置为“指定授权用户”
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用
户权利指派”
查看是否“从网络访问此计算机”设置为“指定授权用户”
2.2 日志配置操作
编号:安全要求-设备-WINDOWS-配置-38
要求内容 设备应配置日志功能,对用户登录进行记录,记录内容包括用户
登录使用的账号,登录是否成功,登录时间,以及远程登录时,
中国移动通信集团公司 9
第 9 页 共 29 页
中国移动 Windows 操作系统安全配置规范
用户使用的 IP 地址。
操作指南 1、参考配置操作
策略”
审核登录事件,双击,设置为成功和失败都审核。
检测方法 1、判定条件
审核登录事件,设置为成功和失败都审核。
2、检测操作
策略”
审核登录事件,双击,查看是否设置为成功和失败都审核。
编号:安全要求-设备-WINDOWS-配置-10
要求内容 启用组策略中对 Windows 系统的审核策略更改,成功和失败都要
审核。
操作指南 1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审
核策略”中
“审核策略更改”设置为“成功” 和“失败”都要审核
检测方法 1、判定条件
“审核策略更改”设置为“成功” 和“失败”都要审核
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审
核策略”中
查看是否“审核策略更改”设置为“成功” 和“失败”都要审核
编号:安全要求-设备-WINDOWS-配置-11
要求内容 启用组策略中对 Windows 系统的审核对象访问,成功和失败都要
审核。
操作指南 1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审
中国移动通信集团公司 10
第 10 页 共 29 页
中国移动 Windows 操作系统安全配置规范
核策略”中:
“审核对象访问”设置为“成功”和“失败”都要审核
检测方法 1、判定条件
“审核对象访问”设置为“成功”和“失败”都要审核
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审
核策略”中:
查看是否“审核对象访问”设置为“成功”和“失败”都要审核
编号:安全要求-设备-WINDOWS-配置-12
要求内容 启用组策略中对 Windows 系统的审核目录服务访问,失败。
操作指南 1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审
核策略”中:
“审核目录服务器访问”设置为“成功” 和“失败”都要审核
检测方法 1、判定条件
“审核目录服务器访问”设置为“成功” 和“失败”都要审核
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审
核策略”中:
查看是否“审核目录服务器访问”设置为“成功” 和“失败”都
要审核
编号:安全要求-设备-WINDOWS-配置-13
要求内容 启用组策略中对 Windows 系统的审核特权使用,成功和失败都要
审核。
操作指南 1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审
核策略”中:
“审核特权使用”设置为“成功” 和“失败”都要审核
检测方法 1、判定条件
中国移动通信集团公司 11
第 11 页 共 29 页
中国移动 Windows 操作系统安全配置规范
“审核目录服务器访问”设置为“成功” 和“失败”都要审核
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审
核策略”中:
查看是否“审核目录服务器访问”设置为“成功” 和“失败”都
要审核
编号:安全要求-设备-WINDOWS-配置-14
要求内容 启用组策略中对 Windows 系统的审核系统事件,成功和失败都要
审核。
操作指南 1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审
核策略”中:
“审核系统事件”设置为“成功” 和“失败”都要审核
检测方法 1、判定条件
“审核系统事件”设置为“成功” 和“失败”都要审核
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审
核策略”中:
查看是否“审核系统事件”设置为“成功” 和“失败”都要审核
编号:安全要求-设备-WINDOWS-配置-15
要求内容 启用组策略中对 Windows 系统的审核帐户管理,成功和失败都要
审核。
操作指南 1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审
核策略”中:
“审核账户管理”设置为“成功” 和“失败”都要审核
检测方法 1、判定条件
“审核账户管理”设置为“成功” 和“失败”都要审核
2、检测操作
中国移动通信集团公司 12
第 12 页 共 29 页
中国移动 Windows 操作系统安全配置规范
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审
核策略”中:
查看是否“审核账户管理”设置为“成功” 和“失败”都要审核
编号:安全要求-设备-WINDOWS-配置-16
要求内容 启用组策略中对 Windows 系统的审核过程追踪,失败。
操作指南 1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审
核策略”中:
“审核过程追踪”设置为 “失败”需要审核
检测方法 1、判定条件
“审核过程追踪”设置为 “失败”需要审核
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审
核策略”中:
查看是否“审核过程追踪”设置为 “失败”需要审核
编号:安全要求-设备-WINDOWS-配置-17-可选
要求内容 设置应用日志文件大小至少为 8192KB,设置当达到最大的日志尺
寸时,按需要改写事件。
操作指南 1、参考配置操作
进入“控制面板->管理工具->事件查看器”,在“事件查看器(本
地)”中:
“应用日志”属性中的日志大小设置不小于“8192KB” ,设置当
达到最大的日志尺寸时,“按需要改写事件”
检测方法 1、判定条件
“应用日志”属性中的日志大小设置不小于“8192KB” ,设置当
达到最大的日志尺寸时,“按需要改写事件”
2、检测操作
进入“控制面板->管理工具->事件查看器”,在“事件查看器(本
中国移动通信集团公司 13
第 13 页 共 29 页
中国移动 Windows 操作系统安全配置规范
地)”中:
查看是否“应用日志”属性中的日志大小设置不小于
“8192KB” ,设置当达到最大的日志尺寸时,“按需要改写事件”
编号:安全要求-设备-WINDOWS-配置-18-可选
要求内容 设置系统日志文件大小至少为 8192KB,设置当达到最大的日志尺
寸时,按需要改写事件。
操作指南 1、参考配置操作
进入“控制面板->管理工具->事件查看器”,在“事件查看器(本
地)”中:
“系统日志”属性中的日志大小设置不小于“8192KB” ,设置当
达到最大的日志尺寸时,“按需要改写事件”
检测方法 1、判定条件
“系统日志”属性中的日志大小设置不小于“8192KB” , 设置当
达到最大的日志尺寸时,“按需要改写事件”
2、检测操作
进入“控制面板->管理工具->事件查看器”,在“事件查看器(本
地)”中:
查看是否“系统日志”属性中的日志大小设置不小于
“8192KB” ,设置当达到最大的日志尺寸时,“按需要改写事件”
编号:安全要求-设备-WINDOWS-配置-19-可选
要求内容 设置安全日志文件大小至少为 8192KB,设置当达到最大的日志尺
寸时,按需要改写事件。
操作指南 1、参考配置操作
进入“控制面板->管理工具->事件查看器”,在“事件查看器(本
地)”中:
“安全日志”属性中的日志大小设置不小于“8192KB” ,设置当
达到最大的日志尺寸时,“按需要改写事件”
检测方法 1、判定条件
“安全日志”属性中的日志大小设置不小于“8192KB” ,设置当
中国移动通信集团公司 14
第 14 页 共 29 页
中国移动 Windows 操作系统安全配置规范
达到最大的日志尺寸时,“按需要改写事件”
2、检测操作
进入“控制面板->管理工具->事件查看器”,在“事件查看器(本
地)”中:
查看是否“安全日志”属性中的日志大小设置不小于
“8192KB” ,设置当达到最大的日志尺寸时,“按需要改写事件”
2.3 IP 协议安全配置操作
编号:安全要求-设备-WINDOWS-配置-20-可选
要求内容 对没有自带防火墙的 Windows 系统,启用 Windows 系统的 IP 安全
操作指南 1、参考配置操作
进入“控制面板->网络连接->本地连接”,进入“Internet 协议
口和 IP 协议。
检测方法 1、判定条件
系统管理员出示业务所需端口列表。
根据列表只开放系统与业务所需端口。
2、检测操作
进入“控制面板->网络连接->本地连接”,进入“Internet 协议
编号:安全要求-设备-WINDOWS-配置-21-可选
要求内容 启用 Windows XP 和 Windows 2003 自带防火墙。根据业务需要限
中国移动通信集团公司 15
第 15 页 共 29 页
中国移动 Windows 操作系统安全配置规范
定允许访问网络的应用程序,和允许远程登陆该设备的 IP 地址范
围。
操作指南 1、参考配置操作
进入“控制面板->网络连接->本地连接”,在高级选项的设置中
启用 Windows 防火墙。
在“例外”中配置允许业务所需的程序接入网络。
在“例外->编辑->更改范围”编辑允许接入的网络地址范围。
检测方法 1、判定条件
启用 Windows 防火墙。
“例外”中允许接入网络的程序均为业务所需。
2、检测操作
进入“控制面板->网络连接->本地连接”,在高级选项的设置
查看是否在“例外”中配置允许业务所需的程序接入网络。
查看是否在“例外->编辑->更改范围”编辑允许接入的网络地址
范围。
编号:安全要求-设备-WINDOWS-配置-22-可选
要求内容 启用 SYN 攻击保护;指定触发 SYN 洪水攻击保护所必须超过的
操作指南 1、参考配置操作
在“开始->运行->键入 regedit”
启用 SYN 攻击保护的命名值位于注册表项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 之
下。值名称:SynAttackProtect。推荐值:2。
以下部分中的所有项和值均位于注册表项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 之
下。
中国移动通信集团公司 16
第 16 页 共 29 页
中国移动 Windows 操作系统安全配置规范
名称:TcpMaxPortsExhausted。推荐值:5。
启 用 SynAttackProtect 后 , 指 定 至 少 发 送 了 一 次 重 传 的
据:400。
检测方法 1、判定条件
各注册表键值均按要求设置。
2、检测操作
在“开始->运行->键入 regedit”
启用 SYN 攻击保护的命名值位于注册表项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 之
下。值名称:SynAttackProtect。推荐值:2。
以下部分中的所有项和值均位于注册表项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 之
下。
启 用 SynAttackProtect 后 , 指 定 至 少 发 送 了 一 次 重 传 的
据:400。
中国移动通信集团公司 17
第 17 页 共 29 页
中国移动 Windows 操作系统安全配置规范
2.4 设备其他配置操作
2.2.1 屏幕保护
编号:安全要求-设备-WINDOWS-配置-23
要求内容 设置带密码的屏幕保护,并将时间设定为 5 分钟。
操作指南 1、参考配置操作
进入“控制面板->显示->屏幕保护程序”:
启用屏幕保护程序,设置等待时间为“5 分钟”,启用“在恢复时
使用密码保护”
检测方法 1、判定条件
启用屏幕保护程序,设置等待时间为“5 分钟”,启用“在恢复时
使用密码保护”。
2、检测操作
进入“控制面板->显示->屏幕保护程序”:
查看是否启用屏幕保护程序,设置等待时间为“5 分钟”,启用
“在恢复时使用密码保护”
编号:安全要求-设备-WINDOWS-配置-24
要求内容 对于远程登陆的帐号,设置不活动断连时间 15 分钟。
操作指南 1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->安
全选项”:
“Microsoft 网络服务器”设置为“在挂起会话之前所需的空闲时
间”为 15 分钟
检测方法 1、判定条件
“Microsoft 网络服务器”设置为“在挂起会话之前所需的空闲时
间”为 15 分钟。
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->安
中国移动通信集团公司 18
第 18 页 共 29 页
中国移动 Windows 操作系统安全配置规范
全选项”:
查看是否“Microsoft 网络服务器”设置为“在挂起会话之前所需
的空闲时间”为 15 分钟
2.2.2 共享文件夹及访问权限
编号:安全要求-设备-WINDOWS-配置-25-可选
要求内容 非域环境中,关闭 Windows 硬盘默认共享,例如 C$,D$。
操作指南 1、参考配置操作
进入“开始->运行->Regedit”,进入注册表编辑器,
更 改 注 册 表 键 值 : 在 HKLM\System\CurrentControlSet\ Services\
LanmanServer\Parameters\ 下 , 增 加 REG_DWORD 类 型 的
AutoShareServer 键,值为 0。
检测方法 1、判定条件
HKLM\System\CurrentControlSet\ Services\LanmanServer\
0。
2、检测操作
进入“开始->运行->Regedit”,进入注册表编辑器,更改注册
表 键 值 : 在 HKLM\System\CurrentControlSet\ Services\
LanmanServer\Parameters\ 下 , 增 加 REG_DWORD 类 型 的
AutoShareServer 键,值为 0。
编号:安全要求-设备-WINDOWS-配置-26
要求内容 查看每个共享文件夹的共享权限,只允许授权的账户拥有权限共
享此文件夹。
操作指南 1、参考配置操作
进入“控制面板->管理工具->计算机管理”,进入“系统工具->
中国移动通信集团公司 19
第 19 页 共 29 页
中国移动 Windows 操作系统安全配置规范
共享文件夹”:
查看每个共享文件夹的共享权限,只将权限授权于指定账户。
检测方法 1、判定条件
查看每个共享文件夹的共享权限仅限于业务需要,不设置成为
“everyone”。
2、检测操作
进入“控制面板->管理工具->计算机管理”,进入“系统工具->
共享文件夹”:
查看每个共享文件夹的共享权限。
2.2.3 时间同步
编号:安全要求-设备-WINDOWS-配置-41-可选
要求内容 通过微软 Active Directory 管理的终端, 或者是独立终端, 要求配置
时间同步源.终端定期执行时间同步操作(必要时).
操作指南 1、参考配置操作
检测方法 1、判定条件
检查终端主机的时间是否与标准时间同步。
2、检测操作
找到一个标准时间源,检查终端主机的时间是否与标准时间同步。
2.2.4 补丁管理
编号:安全要求-设备-WINDOWS-配置-27
中国移动通信集团公司 20
第 20 页 共 29 页
中国移动 Windows 操作系统安全配置规范
测试。
操作指南 1、参考配置操作
为 SP2。
为 SP1
检测方法 1、判定条件
控制面板->添加或删除程序->显示更新打钩,查看是否
XP 系统已安装 SP2,Win2000 系统已安装 SP4。
编号:安全要求-设备-WINDOWS-配置-28-可选
要求内容 应安装最新的 Hotfix 补丁。对服务器系统应先进行兼容性测试。
操作指南 1、参考配置操作
检测方法 1、判定条件
2、检测操作
控制面板->添加或删除程序->显示更新打钩,查看最近安装的
Hotfix 补丁是否为微软最新发布。也可以运行微软自动扫描工具
MBSA (支持群组扫描)
2.2.5 防病毒管理
编号:安全要求-设备-WINDOWS-配置-29
要求内容 安装防病毒软件,并及时更新。
中国移动通信集团公司 21
第 21 页 共 29 页
中国移动 Windows 操作系统安全配置规范
操作指南 1、参考配置操作
安装防病毒软件,并及时更新。
检测方法 1、判定条件
已安装放病毒软件,病毒码更新时间不早于 1 个月,各系统病毒
码升级时间要求参见各系统相关规定。
2、检测操作
控制面板->添加或删除程序,是否安装有防病毒软件。打开防病
毒软件控制面板,查看病毒码更新日期。
编号:安全要求-设备-WINDOWS-配置-30-可选
要求内容 对于 Windows XP SP2,SP3 及 Windows 2003 对 Windows 操作系统
护内存位置运行有害代码。
操作指南 1、参考配置操作
进入“控制面板->系统”,在“高级”选项卡的 “性能”下的
检测方法 1、判定条件
统程序和服务启用 DEP”。
2、检测操作
进入“控制面板->系统”,在“高级”选项卡的 “性能”下的
“设置”。进入 “数据执行保护”选项卡。查看是否设置为“ 仅为
2.2.6 Windows 服务
编号:安全要求-设备-WINDOWS-配置-31
要求内容 列出所需要服务的列表(包括所需的系统服务),不在此列表的服务
中国移动通信集团公司 22
第 22 页 共 29 页
中国移动 Windows 操作系统安全配置规范
需关闭。
操作指南 1、参考配置操作
进入“控制面板->管理工具->计算机管理”,进入“服务和应用
程序”:
查看所有服务,不在此列表的服务需关闭。
检测方法 1、判定条件
系统管理员应出具系统所必要的服务列表。
查看所有服务,不在此列表的服务需关闭。
2、检测操作
进入“控制面板->管理工具->计算机管理”,进入“服务和应用
程序”:
查看所有服务,不在此列表的服务是否已关闭。
编号:安全要求-设备-WINDOWS-配置-32-可选
要求内容 如需启用 SNMP 服务,则修改默认的 SNMP Community String 设
置。
操作指南 1、参考配置操作
打开“控制面板”,打开“管理工具”中的“服务”,找到
“SNMP Service”,单击右键打开“属性”面板中的“安全”选项
所说的“团体名称”。
检测方法 1、判定条件
2、检测操作
打开“控制面板”,打开“管理工具”中的“服务”,找到
“SNMP Service”,单击右键打开“属性”面板中的“安全”选项
的“团体名称”。
编号:安全要求-设备-WINDOWS-配置-33-可选
要求内容 如需启用 IIS 服务,则将 IIS 升级到最新补丁。
中国移动通信集团公司 23
第 23 页 共 29 页
中国移动 Windows 操作系统安全配置规范
操作指南 1、参考配置操作
下载 IIS 补丁包
IIS4.0
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=23667
IIS5.0
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=23665
并安装,或升级到 IIS6.0
检测方法 1、判定条件
2、检测操作
控制面板->添加或删除程序->显示更新打钩,查看是否安装 IIS 补
丁包。
编号:安全要求-设备-WINDOWS-配置-40-可选
要求内容 如对互联网开放 WindowsTerminial 服务(Remote Desktop),需修改
默认服务端口。
操作指南 1、参考配置操作
运行 Regedt32 并转到此项:
HKEY_LOCAL_MACHINESystemCurrentControlSetControlTermi
nal ServerWinStationsRDP-Tcp
找到“PortNumber”子项,会看到默认值 00000D3D,它是
3389 的十六进制表示形式。使用十六进制数值修改此端口号,并
保存新值。
检测方法 1、判定条件
2、检测操作
运行 Regedt32 ,找到此项并判断。
中国移动通信集团公司 24
第 24 页 共 29 页
中国移动 Windows 操作系统安全配置规范
2.2.7 启动项
编号:安全要求-设备-WINDOWS-配置-34
要求内容 列出系统启动时自动加载的进程和服务列表,不在此列表的需关
闭。
操作指南 1、参考配置操作
“开始->运行->MSconfig”启动菜单中,取消不必要的启动项。
检测方法 1、判定条件
不需要的自动加载进程通过“开始->运行->MSconfig”启动菜单
中取消。
2、检测操作
系统管理员提供业务必须的自动加载进程和服务列表文档。
查看 “开始->运行->MSconfig”启动菜单。
编号:安全要求-设备-WINDOWS-配置-39
要求内容 关闭 Windows 自动播放功能
操作指南 1、参考配置操作
点击开始→运行→输入 gpedit.msc,打开组策略编辑器,浏览到计
算机配置→管理模板→系统,在右边窗格中双击“关闭自动播
放”,对话框中选择所有驱动器,确定即可。
检测方法 1、判定条件
所有驱动器均“关闭自动播放”
2、检测操作
“关闭自动播放”配置已启用,启用范围:所有驱动器。
中国移动通信集团公司 25
第 25 页 共 29 页