Microsoft Windows安全配置基线

Windows 系统安全配置基线
中国移动通信有限公司管理信息系统部
2012 年 04 月
中国移动集团公司第 1 页共 27 页
版本版本控制信息更新日期更新人审批人

V1.0 创建 2009 年 1 月
V2.0 更新 2012 年 4 月
备注：
1. 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。
目录
第1章概述...........................................................................................................................................5
1.1 目的...........................................................................................................................................5
1.2 适用范围...................................................................................................................................5
1.3 适用版本...................................................................................................................................5
1.4 实施...........................................................................................................................................5
1.5 例外条款...................................................................................................................................5
第2章帐户管理、认证授权...............................................................................................................6
2.1 帐户...........................................................................................................................................6
2.1.1 管理缺省帐户..........................................................................................................................6
2.1.2 按照用户分配帐户*................................................................................................................6
2.1.3 删除与设备无关帐户*............................................................................................................7
2.2 口令...........................................................................................................................................7
2.2.1 密码复杂度..............................................................................................................................7
2.2.2 密码最长留存期......................................................................................................................8
2.2.3 帐户锁定策略..........................................................................................................................8
2.3 授权...........................................................................................................................................8
2.3.1 远程关机..................................................................................................................................8
2.3.2 本地关机..................................................................................................................................9
2.3.3 用户权利指派*........................................................................................................................9
2.3.4 授权帐户登陆*......................................................................................................................10
2.3.5 授权帐户从网络访问*..........................................................................................................10
第3章日志配置操作.........................................................................................................................11
3.1 日志配置.................................................................................................................................11
3.1.1 审核登录.................................................................................................................................11
3.1.2 审核策略更改.........................................................................................................................11
3.1.3 审核对象访问.........................................................................................................................11
3.1.4 审核事件目录服务器访问....................................................................................................12
3.1.5 审核特权使用........................................................................................................................12
3.1.6 审核系统事件........................................................................................................................13
3.1.7 审核帐户管理........................................................................................................................13
3.1.8 审核过程追踪........................................................................................................................13
3.1.9 日志文件大小........................................................................................................................14
第4章 IP 协议安全配置................................................................................................................15
4.1 IP 协议....................................................................................................................................15
4.1.1 启用 SYN 攻击保护................................................................................................................15
第5章设备其他配置操作.................................................................................................................17
5.1 共享文件夹及访问权限.........................................................................................................17
5.1.1 关闭默认共享........................................................................................................................17
5.1.2 共享文件夹授权访问*..........................................................................................................17
5.2 防病毒管理.............................................................................................................................18
5.2.1 数据执行保护........................................................................................................................18
5.3 WINDOWS 服务.......................................................................................................................18
5.3.1 SNMP 服务管理.....................................................................................................................18
5.3.2 系统必须服务列表管理*......................................................................................................19
5.3.3 系统启动项列表管理*..........................................................................................................19
5.3.4 远程控制服务安全*..............................................................................................................19
5.3.5 IIS 安全补丁管理*.................................................................................................................20
5.3.6 活动目录时间同步管理*......................................................................................................20
5.4 启动项.....................................................................................................................................21
5.4.1 关闭 Windows 自动播放功能................................................................................................21
5.5 屏幕保护.................................................................................................................................21
5.5.1 设置屏幕保护密码和开启时间*..........................................................................................21
5.6 远程登录控制.........................................................................................................................22
5.6.1 限制远程登陆空闲断开时间................................................................................................22
5.7 补丁管理.................................................................................................................................23
5.7.1 操作系统补丁管理*..............................................................................................................23
5.7.2 操作系统最新补丁管理*......................................................................................................23
第6章评审与修订.............................................................................................................................24
第1章概述
1.1 目的
本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的 WINDOWS 操作
系统的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员或安全检
查人员进行 WINDOWS 操作系统的安全合规性检查和配置。
1.2 适用范围
本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。
本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的
WINDOWS 服务器系统。
1.3 适用版本
WINDOWS 系列服务器。
1.4 实施
本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中
若有任何疑问或建议，应及时反馈。
本标准发布之日起生效。
1.5 例外条款
欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送
交中国移动通信有限公司管理信息系统部进行审批备案。
第2章帐户管理、认证授权
2.1 帐户
2.1.1 管理缺省帐户
安全基线项操作系统缺省帐户安全基线要求项
目名称
安全基线编 SBL-Windows-02-01-01
号
安全基线项对于管理员帐号，要求更改缺省帐户名称；禁用 guest（来宾）帐号。
说明
检测操作步进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和
骤
组”：
缺省帐户 Administrator－>属性
Guest 帐号->属性
基线符合性缺省帐户 Administrator 名称已更改。

判定依据
Guest 帐号已停用。
备注
2.1.2 按照用户分配帐户*
安全基线项操作系统用户帐户划分安全基线要求项
目名称
号
安全基线项按照用户分配帐户。根据系统的要求，设定不同的帐户和帐户组，管理员用
说明
户，数据库用户，审计用户，来宾用户等。
骤组”：
根据系统的要求，设定不同的帐户和帐户组，管理员用户，数据库用户，审
计用户，来宾用户。
基线符合性结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的帐户
判定依据和帐户组，管理员用户，数据库用户，审计用户，来宾用户。
备注手工判断，需要根据实际情况判断帐户用途
2.1.3 删除与设备无关帐户*
安全基线项操作系统与设备无关帐户安全基线要求项
目名称
号
安全基线项删除或锁定与设备运行、维护等与工作无关的帐户
说明
骤组”：
删除或锁定与设备运行、维护等与工作无关的帐户。
基线符合性结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与
判定依据
工作无关的帐户。进入“控制面板->管理工具->计算机管理”，在“系统工
具->本地用户和组”：查看是否删除或锁定与设备运行、维护等与工作无关
的帐户。
备注手工判断，需要根据实际情况判断帐户是否为无关帐户
2.2 口令
2.2.1 密码复杂度
安全基线项操作系统密码复杂度安全基线要求项
目名称
号
安全基线项最短密码长度 8 个字符，启用本机组策略中密码必须符合复杂性要求的策
说明
略。即密码至少包含以下四种类别的字符中的 2 种：
 英语大写字母 A, B, C, … Z
 英语小写字母 a, b, c, … z
 西方阿拉伯数字 0, 1, 2, … 9
非字母数字字符，如标点符号，@, #, $, %, &, *等
检测操作步进入“控制面板->管理工具->本地安全策略”，在“帐户策略 ->密码策

骤
略”：
查看是否“密码必须符合复杂性要求”选择“已启动”
基线符合性 “密码最小长度” 大于等于 8

判定依据 “密码必须符合复杂性要求”选择“已启动”
备注
2.2.2 密码最长留存期
安全基线项操作系统密码历史安全基线要求项
目名称
号
安全基线项对于采用静态口令认证技术的设备，帐户口令的生存期不长于 90 天。
说明
检测操作步进入“控制面板->管理工具->本地安全策略”，在“帐户策略 ->密码策
骤
略”：
查看“密码最长存留期”
基线符合性 “密码最长存留期”设置不大于“90 天”
判定依据
备注
2.2.3 帐户锁定策略
安全基线项操作系统帐户锁定策略安全基线要求项
目名称
号
安全基线项对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过
说明
10 次，锁定该用户使用的帐户。
检测操作步进入“控制面板->管理工具->本地安全策略”，在“帐户策略->帐户锁定策
骤
略”：
查看“帐户锁定阀值”设置
基线符合性 “帐户锁定阀值”设置为小于或等于 10 次
判定依据
备注
2.3 授权
2.3.1 远程关机
安全基线项操作系统远程关机策略安全基线要求项
目名称
号
安全基线项在本地安全设置中从远端系统强制关机只指派给 Administrators 组。
说明
检测操作步进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指
骤
派”:
查看“从远端系统强制关机”设置
基线符合性 “从远端系统强制关机”设置为“只指派给 Administrtors 组”

判定依据
备注
2.3.2 本地关机
安全基线项操作系统本地关机策略安全基线要求项
目名称
号
安全基线项在本地安全设置中关闭系统仅指派给 Administrators 组。
说明
骤
派”:
查看“关闭系统”设置
基线符合性 “关闭系统”设置为“只指派给 Administrators 组”

判定依据
备注
2.3.3 用户权利指派*
安全基线项操作系统用户权力指派策略安全基线要求项
目名称
号
安全基线项在本地安全设置中取得文件或其它对象的所有权仅指派给 Administrators。
说明
骤
派”：
查看是否“取得文件或其它对象的所有权”设置
基线符合性 “取得文件或其它对象的所有权”设置为“只指派给 Administrators 组”

判定依据
备注手工检查
2.3.4 授权帐户登陆*
安全基线项操作系统用户授权登陆安全基线要求项
目名称
号
安全基线项在本地安全设置中配置指定授权用户允许本地登陆此计算机。
说明
骤
派”
“从本地登陆此计算机”设置为“指定授权用户”
基线符合性 “从本地登陆此计算机”设置为“指定授权用户”，进入“控制面板->管理
判定依据
工具->本地安全策略”，在“本地策略->用户权利指派”
查看是否“从本地登陆此计算机”设置为“指定授权用户”
备注手工判断是否授权
2.3.5 授权帐户从网络访问*
安全基线项操作系统用户授权从网络访问安全基线要求项
目名称
号
安全基线项在组策略中只允许授权帐号从网络访问(包括网络共享等，但不包括终端服
说明
务)此计算机。
骤
派”
“从网络访问此计算机”设置为“指定授权用户”
基线符合性 “从网络访问此计算机”设置为“指定授权用户”，进入“控制面板->管理
判定依据
工具->本地安全策略”，在“本地策略->用户权利指派”
查看是否“从网络访问此计算机”设置为“指定授权用户”
备注手工判断是否授权
第3章日志配置操作
3.1 日志配置
3.1.1 审核登录
安全基线项操作系统审核登录策略安全基线要求项
目名称
号
安全基线项设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的
说明
帐户，登录是否成功，登录时间，以及远程登录时，用户使用的 IP 地址。
检测操作步开始->运行-> 执行“ 控制面板->管理工具->本地安全策略->审核策略”

骤
审核登录事件。
基线符合性审核登录事件，设置为成功和失败都审核。
判定依据
备注
3.1.2 审核策略更改
安全基线项操作系统审核策略更改安全基线要求项
目名称
号
安全基线项启用组策略中对 Windows 系统的审核策略更改，成功和失败都要审核。
说明
检测操作步进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”
骤
中
查看“审核策略更改”设置。
基线符合性 “审核策略更改”设置为“成功” 和“失败”都要审核。

判定依据
备注
3.1.3 审核对象访问
安全基线项操作系统审核对象访问安全基线要求项
目名称
号
安全基线项启用组策略中对 Windows 系统的审核对象访问，成功和失败都要审核。
说明
骤
中：
查看“审核对象访问”设置。
基线符合性 “审核对象访问”设置为“成功”和“失败”都要审核。
判定依据
备注
3.1.4 审核事件目录服务器访问
安全基线项操作系统审核事件目录服务器访问策略安全基线要求项
目名称
号
安全基线项启用组策略中对 Windows 系统的审核目录服务访问，失败。
说明
骤
中：
查看“审核目录服务器访问”设置。
基线符合性 “审核目录服务器访问”设置为“成功” 和“失败”都要审核。

判定依据
备注
3.1.5 审核特权使用
安全基线项操作系统审核特权使用策略安全基线要求项
目名称
号
安全基线项启用组策略中对 Windows 系统的审核特权使用，成功和失败都要审核。
说明
骤
中：
查看“审核特权使用”设置。
基线符合性 “审核特权使用”设置为“成功” 和“失败”都要审核。

判定依据
备注
3.1.6 审核系统事件
安全基线项操作系统审核系统事件策略安全基线要求项
目名称
号
安全基线项启用组策略中对 Windows 系统的审核系统事件，成功和失败都要审核。
说明
骤
中：
查看“审核系统事件”设置。
基线符合性 “审核系统事件”设置为“成功” 和“失败”都要审核。

判定依据
备注
3.1.7 审核帐户管理
安全基线项操作系统审核帐户管理策略安全基线要求项
目名称
号
安全基线项启用组策略中对 Windows 系统的审核帐户管理，成功和失败都要审核。
说明
骤
中：
查看“审核帐户管理” 设置。
基线符合性 “审核帐户管理”设置为“成功” 和“失败”都要审核。

判定依据
备注
3.1.8 审核过程追踪
安全基线项操作系统审核过程追踪策略安全基线要求项
目名称
号
安全基线项启用组策略中对 Windows 系统的审核过程追踪失败。
说明
骤中：
查看“审核过程追踪”设置。
基线符合性 “审核过程追踪”设置为 “失败”需要审核。

判定依据
备注
3.1.9 日志文件大小
安全基线项操作系统日志容量安全基线要求项
目名称
号
安全基线项设置应用日志文件大小至少为 8192KB，设置当达到最大的日志尺寸时，按
说明
需要改写事件。
检测操作步进入“控制面板->管理工具->事件查看器”，在“事件查看器（本地）”
骤
中：
查看“应用日志” “系统日志” “安全日志”属性中的日志大小 ,以及设置
当达到最大的日志尺寸时的相应策略。
基线符合性 “应用日志” “系统日志” “安全日志”属性中的日志大小设置不小于

判定依据 “8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”
备注
第4章 IP 协议安全配置
4.1 IP 协议
4.1.1 启用 SYN 攻击保护
安全基线项操作系统 SYN 攻击保护安全基线要求项

目名称
号
安全基线项启用 SYN 攻击保护；指定触发 SYN 洪水攻击保护所必须超过的 TCP 连接请
说明
求数阀值为 5；指定处于 SYN_RCVD 状态的 TCP 连接数的阈值为 500；指
定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值为
400。
检测操作步在“开始->运行->键入 regedit”

骤
查看注册表项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
SynAttackProtect;
TcpMaxPortsExhausted;
TcpMaxHalfOpen;
TcpMaxHalfOpenRetried。
基线符合性 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
判定依据
SynAttackProtect; 推荐值：2。
TcpMaxPortsExhausted; 推荐值：5。
TcpMaxHalfOpen; 推荐值数据：500。
TcpMaxHalfOpenRetried。推荐值数据：400。
备注
第5章设备其他配置操作
5.1 共享文件夹及访问权限
5.1.1 关闭默认共享
安全基线项操作系统默认共享安全基线要求项
目名称
号
安全基线项非域环境中，关闭 Windows 硬盘默认共享，例如 C$，D$。
说明
检测操作步进入“开始－>运行－>Regedit”，进入注册表编辑器，查看 HKLM\System\
骤
CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer；
基线符合性 HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\
判定依据 AutoShareServer 键，值为 0。
备注
5.1.2 共享文件夹授权访问*
安全基线项操作系统共享文件夹安全基线要求项
目名称
号
安全基线项查看每个共享文件夹的共享权限，只允许授权的帐户拥有权限共享此文件
说明
夹。
检测操作步进入“控制面板->管理工具->计算机管理”，进入“系统工具－>共享文件
骤
夹”：
查看每个共享文件夹的共享权限，只将权限授权于指定帐户。
基线符合性查看每个共享文件夹的共享权限仅限于业务需要，不设置成为
判定依据
“everyone”。
进入“控制面板->管理工具->计算机管理”，进入“系统工具－>共享文件
夹”：
查看每个共享文件夹的共享权限。
备注手工判断
5.2 防病毒管理
5.2.1 数据执行保护
安全基线项操作系统数据执行保护安全基线要求项
目名称
号
安全基线项对于 Windows XP SP2 及 Windows 2003 对 Windows 操作系统程序和服务启
说明
用系统自带 DEP 功能(数据执行保护)，防止在受保护内存位置运行有害代
码。
检测操作步进入“控制面板－>系统”，在“高级”选项卡的 “性能”下的“设置”。

骤
进入 “数据执行保护”选项卡。查看“ 仅为基本 Windows 操作系统程序和
服务启用 DEP”。
基线符合性 “数据执行保护”选项卡已设置为“ 仅为基本 Windows 操作系统程序和服

判定依据务启用 DEP”。
备注
5.3 Windows 服务
5.3.1 SNMP 服务管理
安全基线项操作系统 SNMP 服务管理安全基线要求项

目名称
号
安全基线项如需启用 SNMP 服务，则修改默认的 SNMP Community String 设置。
说明
检测操作步打开“控制面板”，打开“管理工具”中的“服务”，找到“SNMP
骤
Service”，单击右键打开“属性”面板中的“安全”选项卡，在这个配置界
面中，查看 community strings，也就是微软所说的“团体名称”。
基线符合性 community strings 已改，不是默认的“public”。

判定依据
备注
5.3.2 系统必须服务列表管理*
安全基线项操作系统服务列表管理安全基线要求项
目名称
号
安全基线项列出所需要服务的列表(包括所需的系统服务)，不在此列表的服务需关闭。
说明
检测操作步进入“控制面板->管理工具->计算机管理”，进入“服务和应用程序”：
骤
查看所有服务，不在此列表的服务需关闭。
基线符合性系统管理员应出具系统所必要的服务列表。
判定依据查看所有服务，不在此列表的服务需关闭。
备注手工判断
5.3.3 系统启动项列表管理*
安全基线项操作系统启动项列表管理安全基线要求项
目名称
号
安全基线项列出系统启动时自动加载的进程和服务列表，不在此列表的需关闭。
说明
检测操作步 “开始->运行->MSconfig”启动菜单中，取消不必要的启动项。
骤
基线符合性不需要的自动加载进程通过“开始->运行->MSconfig”启动菜单中取消。
判定依据
备注手工判断
5.3.4 远程控制服务安全*
安全基线项操作系统远程控制服务管理安全基线要求项
目名称
号
安全基线项如对互联网开放 WindowsTerminial 服务(Remote Desktop)，需修改默认服务
说明
端口。
检测操作步运行 Regedt32 并转到此项:

骤 HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal
ServerWinStationsRDP-Tcp
找到“PortNumber”子项，会看到默认值 00000D3D，它是 3389 的十
六进制表示形式。使用十六进制数值修改此端口号，并保存新值。
基线符合性找到“PortNumber”子项，设定值非 00000D3D，即十进制 3389

判定依据
备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。
5.3.5 IIS 安全补丁管理*
安全基线项操作系统 IIS 服务管理安全基线要求项

目名称
号
安全基线项如需启用 IIS 服务，则将 IIS 升级到最新补丁。
说明
检测操作步下载 IIS 补丁包
骤
IIS4.0
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=23667
IIS5.0
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=23665
并安装，或升级到 IIS6.0
基线符合性已安装 IIS 补丁包或升级到 IIS6.0。

判定依据
5.3.6 活动目录时间同步管理*
安全基线项操作系统 IIS 服务管理安全基线要求项

目名称
号
安全基线项通过微软 Active Directory 管理的终端, 或者是独立终端, 要求配置时间同步
说明
源.终端定期执行时间同步操作(必要时)
检测操作步 a. 在具有 PDC Emulator 角色的 DC 上运行如下命令, 以和外部时间源同步

骤 w32tm /config /syncfromflags:manual
/manualpeerlist:<PeerList>
b. 在 PC 终端上运行如下命令行同步时间：
w32tm /config /update
基线符合性检查终端主机的时间是否与标准时间同步。
判定依据
5.4 启动项
5.4.1 关闭 Windows 自动播放功能
安全基线项操作系统 Windows 自动播放安全基线要求项

目名称
号
安全基线项关闭 Windows 自动播放功能。
说明
检测操作步打开“开始→运行”，在对话框中输入“gpedit.msc”命令，在出现“组策
骤
略”窗口中依次选择“在计算机配置→管理模板→系统”，双击“关闭自动
播放”查看。
基线符合性在“设置”选项卡中选“已启用”选项。
判定依据
备注
5.5 屏幕保护
5.5.1 设置屏幕保护密码和开启时间*
安全基线项操作系统屏幕保护安全基线要求项
目名称
号
安全基线项设置带密码的屏幕保护，并将时间设定为 5 分钟。
说明
检测操作步进入“控制面板－>显示－>屏幕保护程序”：
骤
启用屏幕保护程序，设置等待时间为“5 分钟”，启用“在恢复时使用密码
保护”
基线符合性启用屏幕保护程序，设置等待时间为“5 分钟”，启用“在恢复时使用密码

判定依据
保护”。进入“控制面板－>显示－>屏幕保护程序”：
查看是否启用屏幕保护程序，设置等待时间为“5 分钟”，启用“在恢复时
使用密码保护”。
备注手工检查
5.6 远程登录控制
5.6.1 限制远程登陆空闲断开时间
安全基线项操作系统远程登录空闲断开时间安全基线要求项
目名称
号
安全基线项对于远程登陆的帐号，设置不活动断连时间 15 分钟。
说明
检测操作步进入“控制面板->管理工具->本地安全策略 ”，在“本地策略->安全选
骤
项”：
“Microsoft 网络服务器”设置为“在挂起会话之前所需的空闲时间”为 15
分钟
基线符合性 “Microsoft 网络服务器”设置为“在挂起会话之前所需的空闲时间”为 15

判定依据
分钟。进入“控制面板->管理工具->本地安全策略”，在“本地策略->安全
选项”：
查看是否“Microsoft 网络服务器”设置为“在挂起会话之前所需的空闲时
间”为 15 分钟
备注
5.7 补丁管理
5.7.1 操作系统补丁管理*
安全基线项操作系统补丁安全基线要求项
目名称
安全基线项应安装最新的 Service Pack 补丁集。对服务器系统应先进行兼容性测试。

说明
检测操作步安装最新的 Service Pack 补丁集，目前 Windows XP 的 Service Pack 为 SP3。
骤
Windows2000 的 Service Pack 为 SP4,Windows 2003 的 Servoce Pack 为 SP2
基线符合性显示 XP 系统已安装 SP3，Win2000 系统已安装 SP4。控制面板->添加或删除

判定依据
程序->显示更新打钩，查看是否 XP 系统已安装 SP3，Win2000 系统已安装
SP4。
备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。可能影
响业务
5.7.2 操作系统最新补丁管理*
安全基线项操作系统最新补丁安全基线要求项
目名称
号
安全基线项应安装最新的 Hotfix 补丁。对服务器系统应先进行兼容性测试。
说明
检测操作步安装最新的 Hotfix 补丁。对服务器系统应先进行兼容性测试。
骤
基线符合性已安装最新的 Hotfix 补丁，并经过兼容性测试。控制面板->添加或删除程序-
判定依据
>显示更新打钩，查看最近安装的 Hotfix 补丁是否为微软最新发布。也可以
运行微软自动扫描工具 MBSA (支持群组扫描)
第6章评审与修订
本标准由中国移动通信有限公司管理信息系统部定期进行审查，根据审视结果修订标
准，并颁发执行。

Microsoft Windows安全配置基线

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Microsoft Windows安全配置基线

Uploaded by

Copyright:

Available Formats

Windows 系统安全配置基线

版本 版本控制信息 更新日期 更新人 审批人

查人员进行 WINDOWS 操作系统的安全合规性检查和配置。

基线符合性 缺省帐户 Administrator 名称已更改。

检测操作步 进入“控制面板->管理工具->本地安全策略”，在“帐户策略 ->密码策

基线符合性 “密码最小长度” 大于等于 8

基线符合性 “从远端系统强制关机”设置为“只指派给 Administrtors 组”

基线符合性 “关闭系统”设置为“只指派给 Administrators 组”

基线符合性 “取得文件或其它对象的所有权”设置为“只指派给 Administrators 组”

检测操作步 开始->运行-> 执行“ 控制面板->管理工具->本地安全策略->审核策略”

基线符合性 “审核策略更改”设置为“成功” 和“失败”都要审核。

基线符合性 “审核目录服务器访问”设置为“成功” 和“失败”都要审核。

基线符合性 “审核特权使用”设置为“成功” 和“失败”都要审核。

基线符合性 “审核系统事件”设置为“成功” 和“失败”都要审核。

基线符合性 “审核帐户管理”设置为“成功” 和“失败”都要审核。

基线符合性 “审核过程追踪”设置为 “失败”需要审核。

基线符合性 “应用日志” “系统日志” “安全日志”属性中的日志大小设置不小于

4.1.1 启用 SYN 攻击保护

安全基线项 操作系统 SYN 攻击保护安全基线要求项

定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值为

检测操作步 在“开始->运行->键入 regedit”

检测操作步 进入“控制面板－>系统”，在“高级”选项卡的 “性能”下的“设置”。

基线符合性 “数据执行保护”选项卡已设置为“ 仅为基本 Windows 操作系统程序和服

5.3.1 SNMP 服务管理

安全基线项 操作系统 SNMP 服务管理安全基线要求项

面中，查看 community strings，也就是微软所说的“团体名称”。

基线符合性 community strings 已改，不是默认的“public”。

检测操作步 运行 Regedt32 并转到此项:

基线符合性 找到“PortNumber”子项，设定值非 00000D3D，即十进制 3389

5.3.5 IIS 安全补丁管理*

安全基线项 操作系统 IIS 服务管理安全基线要求项

基线符合性 已安装 IIS 补丁包或升级到 IIS6.0。

安全基线项 操作系统 IIS 服务管理安全基线要求项

检测操作步 a. 在具有 PDC Emulator 角色的 DC 上运行如下命令, 以和外部时间源同步

5.4.1 关闭 Windows 自动播放功能

安全基线项 操作系统 Windows 自动播放安全基线要求项

基线符合性 启用屏幕保护程序，设置等待时间为“5 分钟”，启用“在恢复时使用密码

基线符合性 “Microsoft 网络服务器”设置为“在挂起会话之前所需的空闲时间”为 15

安全基线项 应安装最新的 Service Pack 补丁集。对服务器系统应先进行兼容性测试。

基线符合性 显示 XP 系统已安装 SP3，Win2000 系统已安装 SP4。控制面板->添加或删除

运行微软自动扫描工具 MBSA (支持群组扫描)

You might also like

版本版本控制信息更新日期更新人审批人

基线符合性缺省帐户 Administrator 名称已更改。

检测操作步进入“控制面板->管理工具->本地安全策略”，在“帐户策略 ->密码策

检测操作步开始->运行-> 执行“ 控制面板->管理工具->本地安全策略->审核策略”

安全基线项操作系统 SYN 攻击保护安全基线要求项

检测操作步在“开始->运行->键入 regedit”

检测操作步进入“控制面板－>系统”，在“高级”选项卡的 “性能”下的“设置”。

安全基线项操作系统 SNMP 服务管理安全基线要求项

检测操作步运行 Regedt32 并转到此项:

基线符合性找到“PortNumber”子项，设定值非 00000D3D，即十进制 3389

安全基线项操作系统 IIS 服务管理安全基线要求项

基线符合性已安装 IIS 补丁包或升级到 IIS6.0。

安全基线项操作系统 IIS 服务管理安全基线要求项

安全基线项操作系统 Windows 自动播放安全基线要求项

基线符合性启用屏幕保护程序，设置等待时间为“5 分钟”，启用“在恢复时使用密码

安全基线项应安装最新的 Service Pack 补丁集。对服务器系统应先进行兼容性测试。

基线符合性显示 XP 系统已安装 SP3，Win2000 系统已安装 SP4。控制面板->添加或删除