Professional Documents
Culture Documents
Microsoft Windows安全配置基线
Microsoft Windows安全配置基线
Windows 系统安全配置基线
中国移动通信有限公司 管理信息系统部
2012 年 04 月
中国移动集团公司 第 1 页 共 27 页
Windows 系统安全配置基线
备注:
1. 若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
中国移动集团公司 第 2 页 共 27 页
Windows 系统安全配置基线
目 录
第1章 概述...........................................................................................................................................5
1.1 目的...........................................................................................................................................5
1.2 适用范围...................................................................................................................................5
1.3 适用版本...................................................................................................................................5
1.4 实施...........................................................................................................................................5
1.5 例外条款...................................................................................................................................5
第2章 帐户管理、认证授权...............................................................................................................6
2.1 帐户...........................................................................................................................................6
2.1.1 管理缺省帐户..........................................................................................................................6
2.1.2 按照用户分配帐户*................................................................................................................6
2.1.3 删除与设备无关帐户*............................................................................................................7
2.2 口令...........................................................................................................................................7
2.2.1 密码复杂度..............................................................................................................................7
2.2.2 密码最长留存期......................................................................................................................8
2.2.3 帐户锁定策略..........................................................................................................................8
2.3 授权...........................................................................................................................................8
2.3.1 远程关机..................................................................................................................................8
2.3.2 本地关机..................................................................................................................................9
2.3.3 用户权利指派*........................................................................................................................9
2.3.4 授权帐户登陆*......................................................................................................................10
2.3.5 授权帐户从网络访问*..........................................................................................................10
第3章 日志配置操作.........................................................................................................................11
3.1 日志配置.................................................................................................................................11
3.1.1 审核登录.................................................................................................................................11
3.1.2 审核策略更改.........................................................................................................................11
3.1.3 审核对象访问.........................................................................................................................11
3.1.4 审核事件目录服务器访问....................................................................................................12
3.1.5 审核特权使用........................................................................................................................12
3.1.6 审核系统事件........................................................................................................................13
3.1.7 审核帐户管理........................................................................................................................13
3.1.8 审核过程追踪........................................................................................................................13
3.1.9 日志文件大小........................................................................................................................14
第4章 IP 协议安全配置................................................................................................................15
4.1 IP 协议....................................................................................................................................15
4.1.1 启用 SYN 攻击保护................................................................................................................15
第5章 设备其他配置操作.................................................................................................................17
5.1 共享文件夹及访问权限.........................................................................................................17
中国移动集团公司 第 3 页 共 27 页
Windows 系统安全配置基线
5.1.1 关闭默认共享........................................................................................................................17
5.1.2 共享文件夹授权访问*..........................................................................................................17
5.2 防病毒管理.............................................................................................................................18
5.2.1 数据执行保护........................................................................................................................18
5.3 WINDOWS 服务.......................................................................................................................18
5.3.1 SNMP 服务管理.....................................................................................................................18
5.3.2 系统必须服务列表管理*......................................................................................................19
5.3.3 系统启动项列表管理*..........................................................................................................19
5.3.4 远程控制服务安全*..............................................................................................................19
5.3.5 IIS 安全补丁管理*.................................................................................................................20
5.3.6 活动目录时间同步管理*......................................................................................................20
5.4 启动项.....................................................................................................................................21
5.4.1 关闭 Windows 自动播放功能................................................................................................21
5.5 屏幕保护.................................................................................................................................21
5.5.1 设置屏幕保护密码和开启时间*..........................................................................................21
5.6 远程登录控制.........................................................................................................................22
5.6.1 限制远程登陆空闲断开时间................................................................................................22
5.7 补丁管理.................................................................................................................................23
5.7.1 操作系统补丁管理*..............................................................................................................23
5.7.2 操作系统最新补丁管理*......................................................................................................23
第6章 评审与修订.............................................................................................................................24
中国移动集团公司 第 4 页 共 27 页
Windows 系统安全配置基线
第1章 概述
1.1 目的
本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的 WINDOWS 操作
系统的主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员或安全检
1.2 适用范围
本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。
本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理 的
WINDOWS 服务器系统。
1.3 适用版本
WINDOWS 系列服务器。
1.4 实施
本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中
若有任何疑问或建议,应及时反馈。
本标准发布之日起生效。
1.5 例外条款
欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送
中国移动集团公司 第 5 页 共 27 页
Windows 系统安全配置基线
交中国移动通信有限公司管理信息系统部进行审批备案。
中国移动集团公司 第 6 页 共 27 页
Windows 系统安全配置基线
第2章 帐户管理、认证授权
2.1 帐户
2.1.1 管理缺省帐户
安全基线项 操作系统缺省帐户安全基线要求项
目名称
安全基线编 SBL-Windows-02-01-01
号
安全基线项 对于管理员帐号,要求更改缺省帐户名称;禁用 guest(来宾)帐号。
说明
检测操作步 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和
骤
组”:
缺省帐户 Administrator->属性
Guest 帐号->属性
2.1.2 按照用户分配帐户*
安全基线项 操作系统用户帐户划分安全基线要求项
目名称
安全基线编 SBL-Windows-02-01-02
号
安全基线项 按照用户分配帐户。根据系统的要求,设定不同的帐户和帐户组,管理员用
说明
户,数据库用户,审计用户,来宾用户等。
检测操作步 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和
骤 组”:
中国移动集团公司 第 7 页 共 27 页
Windows 系统安全配置基线
根据系统的要求,设定不同的帐户和帐户组,管理员用户,数据库用户,审
计用户,来宾用户。
基线符合性 结合要求和实际业务情况判断符合要求,根据系统的要求,设定不同的帐户
判定依据 和帐户组,管理员用户,数据库用户,审计用户,来宾用户。
备注 手工判断,需要根据实际情况判断帐户用途
2.1.3 删除与设备无关帐户*
安全基线项 操作系统与设备无关帐户安全基线要求项
目名称
安全基线编 SBL-Windows-02-01-03
号
安全基线项 删除或锁定与设备运行、维护等与工作无关的帐户
说明
检测操作步 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和
骤 组”:
删除或锁定与设备运行、维护等与工作无关的帐户。
基线符合性 结合要求和实际业务情况判断符合要求,删除或锁定与设备运行、维护等与
判定依据
工作无关的帐户。进入“控制面板->管理工具->计算机管理”,在“系统工
具->本地用户和组”:查看是否删除或锁定与设备运行、维护等与工作无关
的帐户。
备注 手工判断,需要根据实际情况判断帐户是否为无关帐户
2.2 口令
2.2.1 密码复杂度
安全基线项 操作系统密码复杂度安全基线要求项
目名称
安全基线编 SBL-Windows-02-02-01
号
安全基线项 最短密码长度 8 个字符,启用本机组策略中密码必须符合复杂性要求的策
说明
中国移动集团公司 第 8 页 共 27 页
Windows 系统安全配置基线
略。即密码至少包含以下四种类别的字符中的 2 种:
英语大写字母 A, B, C, … Z
英语小写字母 a, b, c, … z
西方阿拉伯数字 0, 1, 2, … 9
非字母数字字符,如标点符号,@, #, $, %, &, *等
2.2.2 密码最长留存期
安全基线项 操作系统密码历史安全基线要求项
目名称
安全基线编 SBL-Windows-02-02-02
号
安全基线项 对于采用静态口令认证技术的设备,帐户口令的生存期不长于 90 天。
说明
检测操作步 进入“控制面板->管理工具->本地安全策略”,在“帐户策略 ->密码策
骤
略”:
查看“密码最长存留期”
基线符合性 “密码最长存留期”设置不大于“90 天”
判定依据
备注
2.2.3 帐户锁定策略
安全基线项 操作系统帐户锁定策略安全基线要求项
目名称
安全基线编 SBL-Windows-02-02-03
号
安全基线项 对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过
说明
中国移动集团公司 第 9 页 共 27 页
Windows 系统安全配置基线
10 次,锁定该用户使用的帐户。
检测操作步 进入“控制面板->管理工具->本地安全策略”,在“帐户策略->帐户锁定策
骤
略”:
查看“帐户锁定阀值”设置
基线符合性 “帐户锁定阀值”设置为小于或等于 10 次
判定依据
备注
2.3 授权
2.3.1 远程关机
安全基线项 操作系统远程关机策略安全基线要求项
目名称
安全基线编 SBL-Windows-02-03-01
号
安全基线项 在本地安全设置中从远端系统强制关机只指派给 Administrators 组。
说明
检测操作步 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指
骤
派”:
查看“从远端系统强制关机”设置
2.3.2 本地关机
安全基线项 操作系统本地关机策略安全基线要求项
目名称
安全基线编 SBL-Windows-02-03-02
号
安全基线项 在本地安全设置中关闭系统仅指派给 Administrators 组。
说明
检测操作步 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指
骤
中国移动集团公司 第 10 页 共 27 页
Windows 系统安全配置基线
派”:
查看“关闭系统”设置
2.3.3 用户权利指派*
安全基线项 操作系统用户权力指派策略安全基线要求项
目名称
安全基线编 SBL-Windows-02-03-03
号
安全基线项 在本地安全设置中取得文件或其它对象的所有权仅指派给 Administrators。
说明
检测操作步 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指
骤
派”:
查看是否“取得文件或其它对象的所有权”设置
2.3.4 授权帐户登陆*
安全基线项 操作系统用户授权登陆安全基线要求项
目名称
安全基线编 SBL-Windows-02-03-04
号
安全基线项 在本地安全设置中配置指定授权用户允许本地登陆此计算机。
说明
检测操作步 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指
骤
派”
“从本地登陆此计算机”设置为“指定授权用户”
基线符合性 “从本地登陆此计算机”设置为“指定授权用户”,进入“控制面板->管理
判定依据
工具->本地安全策略”,在“本地策略->用户权利指派”
查看是否“从本地登陆此计算机”设置为“指定授权用户”
中国移动集团公司 第 11 页 共 27 页
Windows 系统安全配置基线
备注 手工判断是否授权
2.3.5 授权帐户从网络访问*
安全基线项 操作系统用户授权从网络访问安全基线要求项
目名称
安全基线编 SBL-Windows-02-03-05
号
安全基线项 在组策略中只允许授权帐号从网络访问(包括网络共享等,但不包括终端服
说明
务)此计算机。
检测操作步 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指
骤
派”
“从网络访问此计算机”设置为“指定授权用户”
基线符合性 “从网络访问此计算机”设置为“指定授权用户”,进入“控制面板->管理
判定依据
工具->本地安全策略”,在“本地策略->用户权利指派”
查看是否“从网络访问此计算机”设置为“指定授权用户”
备注 手工判断是否授权
第3章 日志配置操作
3.1 日志配置
3.1.1 审核登录
安全基线项 操作系统审核登录策略安全基线要求项
目名称
安全基线编 SBL-Windows-03-01-01
号
安全基线项 设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的
说明
中国移动集团公司 第 12 页 共 27 页
Windows 系统安全配置基线
帐户,登录是否成功,登录时间,以及远程登录时,用户使用的 IP 地址。
基线符合性 审核登录事件,设置为成功和失败都审核。
判定依据
备注
3.1.2 审核策略更改
安全基线项 操作系统审核策略更改安全基线要求项
目名称
安全基线编 SBL-Windows-03-01-02
号
安全基线项 启用组策略中对 Windows 系统的审核策略更改,成功和失败都要审核。
说明
检测操作步 进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”
骤
中
查看“审核策略更改”设置。
3.1.3 审核对象访问
安全基线项 操作系统审核对象访问安全基线要求项
目名称
安全基线编 SBL-Windows-03-01-03
号
安全基线项 启用组策略中对 Windows 系统的审核对象访问,成功和失败都要审核。
说明
检测操作步 进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”
骤
中:
查看“审核对象访问”设置。
基线符合性 “审核对象访问”设置为“成功”和“失败”都要审核。
判定依据
中国移动集团公司 第 13 页 共 27 页
Windows 系统安全配置基线
备注
3.1.4 审核事件目录服务器访问
安全基线项 操作系统审核事件目录服务器访问策略安全基线要求项
目名称
安全基线编 SBL-Windows-03-01-04
号
安全基线项 启用组策略中对 Windows 系统的审核目录服务访问,失败。
说明
检测操作步 进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”
骤
中:
查看“审核目录服务器访问”设置。
3.1.5 审核特权使用
安全基线项 操作系统审核特权使用策略安全基线要求项
目名称
安全基线编 SBL-Windows-03-01-05
号
安全基线项 启用组策略中对 Windows 系统的审核特权使用,成功和失败都要审核。
说明
检测操作步 进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”
骤
中:
查看“审核特权使用”设置。
3.1.6 审核系统事件
安全基线项 操作系统审核系统事件策略安全基线要求项
中国移动集团公司 第 14 页 共 27 页
Windows 系统安全配置基线
目名称
安全基线编 SBL-Windows-03-01-06
号
安全基线项 启用组策略中对 Windows 系统的审核系统事件,成功和失败都要审核。
说明
检测操作步 进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”
骤
中:
查看“审核系统事件”设置。
3.1.7 审核帐户管理
安全基线项 操作系统审核帐户管理策略安全基线要求项
目名称
安全基线编 SBL-Windows-03-01-07
号
安全基线项 启用组策略中对 Windows 系统的审核帐户管理,成功和失败都要审核。
说明
检测操作步 进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”
骤
中:
查看“审核帐户管理” 设置。
3.1.8 审核过程追踪
安全基线项 操作系统审核过程追踪策略安全基线要求项
目名称
安全基线编 SBL-Windows-03-01-08
号
安全基线项 启用组策略中对 Windows 系统的审核过程追踪失败。
说明
检测操作步 进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”
中国移动集团公司 第 15 页 共 27 页
Windows 系统安全配置基线
骤 中:
查看“审核过程追踪”设置。
3.1.9 日志文件大小
安全基线项 操作系统日志容量安全基线要求项
目名称
安全基线编 SBL-Windows-03-01-09
号
安全基线项 设置应用日志文件大小至少为 8192KB,设置当达到最大的日志尺寸时,按
说明
需要改写事件。
检测操作步 进入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”
骤
中:
查看“应用日志” “系统日志” “安全日志”属性中的日志大小 ,以及设置
当达到最大的日志尺寸时的相应策略。
中国移动集团公司 第 16 页 共 27 页
Windows 系统安全配置基线
第4章 IP 协议安全配置
4.1 IP 协议
400。
SynAttackProtect;
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
TcpMaxPortsExhausted;
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
TcpMaxHalfOpen;
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
TcpMaxHalfOpenRetried。
基线符合性 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
判定依据
SynAttackProtect; 推荐值:2。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
中国移动集团公司 第 17 页 共 27 页
Windows 系统安全配置基线
TcpMaxPortsExhausted; 推荐值:5。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
TcpMaxHalfOpen; 推荐值数据:500。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
TcpMaxHalfOpenRetried。推荐值数据:400。
备注
中国移动集团公司 第 18 页 共 27 页
Windows 系统安全配置基线
第5章 设备其他配置操作
5.1 共享文件夹及访问权限
5.1.1 关闭默认共享
安全基线项 操作系统默认共享安全基线要求项
目名称
安全基线编 SBL-Windows-05-01-01
号
安全基线项 非域环境中,关闭 Windows 硬盘默认共享,例如 C$,D$。
说明
检测操作步 进入“开始->运行->Regedit”,进入注册表编辑器,查看 HKLM\System\
骤
CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer;
基线符合性 HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\
判定依据 AutoShareServer 键,值为 0。
备注
5.1.2 共享文件夹授权访问*
安全基线项 操作系统共享文件夹安全基线要求项
目名称
安全基线编 SBL-Windows-05-01-02
号
安全基线项 查看每个共享文件夹的共享权限,只允许授权的帐户拥有权限共享此文件
说明
夹。
检测操作步 进入“控制面板->管理工具->计算机管理”,进入“系统工具->共享文件
骤
夹”:
查看每个共享文件夹的共享权限,只将权限授权于指定帐户。
中国移动集团公司 第 19 页 共 27 页
Windows 系统安全配置基线
基线符合性 查看每个共享文件夹的共享权限仅限于业务需要,不设置成为
判定依据
“everyone”。
进入“控制面板->管理工具->计算机管理”,进入“系统工具->共享文件
夹”:
查看每个共享文件夹的共享权限。
备注 手工判断
5.2 防病毒管理
5.2.1 数据执行保护
安全基线项 操作系统数据执行保护安全基线要求项
目名称
安全基线编 SBL-Windows-05-02-01
号
安全基线项 对于 Windows XP SP2 及 Windows 2003 对 Windows 操作系统程序和服务启
说明
用系统自带 DEP 功能(数据执行保护),防止在受保护内存位置运行有害代
码。
服务启用 DEP”。
中国移动集团公司 第 20 页 共 27 页
Windows 系统安全配置基线
5.3 Windows 服务
5.3.2 系统必须服务列表管理*
安全基线项 操作系统服务列表管理安全基线要求项
目名称
安全基线编 SBL-Windows-05-03-02
号
安全基线项 列出所需要服务的列表(包括所需的系统服务),不在此列表的服务需关闭。
说明
检测操作步 进入“控制面板->管理工具->计算机管理”,进入“服务和应用程序”:
骤
查看所有服务,不在此列表的服务需关闭。
基线符合性 系统管理员应出具系统所必要的服务列表。
判定依据 查看所有服务,不在此列表的服务需关闭。
备注 手工判断
中国移动集团公司 第 21 页 共 27 页
Windows 系统安全配置基线
5.3.3 系统启动项列表管理*
安全基线项 操作系统启动项列表管理安全基线要求项
目名称
安全基线编 SBL-Windows-05-03-03
号
安全基线项 列出系统启动时自动加载的进程和服务列表,不在此列表的需关闭。
说明
检测操作步 “开始->运行->MSconfig”启动菜单中,取消不必要的启动项。
骤
基线符合性 不需要的自动加载进程通过“开始->运行->MSconfig”启动菜单中取消。
判定依据
备注 手工判断
5.3.4 远程控制服务安全*
安全基线项 操作系统远程控制服务管理安全基线要求项
目名称
安全基线编 SBL-Windows-05-03-04
号
安全基线项 如对互联网开放 WindowsTerminial 服务(Remote Desktop),需修改默认服务
说明
端口。
六进制表示形式。使用十六进制数值修改此端口号,并保存新值。
备注 根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。
中国移动集团公司 第 22 页 共 27 页
Windows 系统安全配置基线
安全基线编 SBL-Windows-05-03-05
号
安全基线项 如需启用 IIS 服务,则将 IIS 升级到最新补丁。
说明
检测操作步 下载 IIS 补丁包
骤
IIS4.0
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=23667
IIS5.0
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=23665
并安装,或升级到 IIS6.0
5.3.6 活动目录时间同步管理*
基线符合性 检查终端主机的时间是否与标准时间同步。
判定依据
备注 根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。
中国移动集团公司 第 23 页 共 27 页
Windows 系统安全配置基线
5.4 启动项
播放”查看。
基线符合性 在“设置”选项卡中选“已启用”选项。
判定依据
备注
5.5 屏幕保护
5.5.1 设置屏幕保护密码和开启时间*
安全基线项 操作系统屏幕保护安全基线要求项
目名称
安全基线编 SBL-Windows-05-05-01
号
安全基线项 设置带密码的屏幕保护,并将时间设定为 5 分钟。
说明
检测操作步 进入“控制面板->显示->屏幕保护程序”:
骤
启用屏幕保护程序,设置等待时间为“5 分钟”,启用“在恢复时使用密码
保护”
查看是否启用屏幕保护程序,设置等待时间为“5 分钟”,启用“在恢复时
中国移动集团公司 第 24 页 共 27 页
Windows 系统安全配置基线
使用密码保护”。
备注 手工检查
5.6 远程登录控制
5.6.1 限制远程登陆空闲断开时间
安全基线项 操作系统远程登录空闲断开时间安全基线要求项
目名称
安全基线编 SBL-Windows-05-06-01
号
安全基线项 对于远程登陆的帐号,设置不活动断连时间 15 分钟。
说明
检测操作步 进入“控制面板->管理工具->本地安全策略 ”,在“本地策略->安全选
骤
项”:
“Microsoft 网络服务器”设置为“在挂起会话之前所需的空闲时间”为 15
分钟
选项”:
查看是否“Microsoft 网络服务器”设置为“在挂起会话之前所需的空闲时
间”为 15 分钟
备注
5.7 补丁管理
5.7.1 操作系统补丁管理*
安全基线项 操作系统补丁安全基线要求项
目名称
安全基线编 SBL-Windows-05-07-01
中国移动集团公司 第 25 页 共 27 页
Windows 系统安全配置基线
SP4。
备注 根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。可能影
响业务
5.7.2 操作系统最新补丁管理*
安全基线项 操作系统最新补丁安全基线要求项
目名称
安全基线编 SBL-Windows-05-07-02
号
安全基线项 应安装最新的 Hotfix 补丁。对服务器系统应先进行兼容性测试。
说明
检测操作步 安装最新的 Hotfix 补丁。对服务器系统应先进行兼容性测试。
骤
基线符合性 已安装最新的 Hotfix 补丁,并经过兼容性测试。控制面板->添加或删除程序-
判定依据
>显示更新打钩,查看最近安装的 Hotfix 补丁是否为微软最新发布。也可以
备注 根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。
中国移动集团公司 第 26 页 共 27 页
Windows 系统安全配置基线
第6章 评审与修订
本标准由中国移动通信有限公司管理信息系统部定期进行审查,根据审视结果修订标
准,并颁发执行。
中国移动集团公司 第 27 页 共 27 页