windwos 安全基线
1. 账号管理
1.1. 共享账号管理
|
配置名称 |
账号分配检查,避免共享账号存在 |
|
配置要求 |
1、系统需按照实际用户分配账号; 2、根据系统的使用需求,设定不同的账户和账户组,包括管理员用户,数据库用户,审计用户,来宾用户等; 3、避免出现共享账号情况; |
|
操作指南 |
参考配置操作 (适用2000、2003、xp、win7、win10) “控制面板->管理工具->计算机管理->系统工具->本地用户和组”。 参考配置操作(适用2008 x64) “管理工具->服务器管理->配置->本地用户和组”。 |
|
检查方法 |
查看已创建账户和账户组,与管理员确认有无无用的或共用的账户,如果每一账户都按需创建和划分账户组的则符合要求 |
|
配置方法 |
根据系统实际使用需求,设定不同的账户和账户组,如:管理员用户,数据库用户,审计用户,来宾用户。 |
|
适用版本 |
暂时未发现不适用版本 |
1.2. 来宾账号管理
|
配置名称 |
禁用来宾账号 |
|
配置要求 |
禁用guest(来宾)用户 |
|
操作指南 |
参考配置操作(适用2000、2003、xp、win7、win10) “控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组->Guest账户>属性->‘常规’页” 参考配置操作(适用2008 x64) “管理工具->服务器管理”,在“配置->本地用户和组->Guest账户->属性->‘常规’页” |
|
检查方法 |
检查复选框“账户已禁用”项状态,勾选为已禁用来宾账号 |
|
配置方法 |
勾选复选框“账户已禁用”项,禁用来宾账号。 |
|
适用版本 |
暂时未发现不适用版本 |
1.3. 默认账号管理
|
配置名称 |
默认账号管理 |
|
配置要求 |
应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令 |
|
操作指南 |
参考配置操作(适用2000、2003、xp、win7、win10) “管理工具->计算机管理->系统工具->本地用户和组->用户” 参考配置操作(适用2008 x64) “管理工具->服务器管理 ->配置->本地用户和组 ->用户” |
|
检查方法 |
1、查看查看默认用户名Administrator是否重命名 2、账户的默认口令是否被修改 |
|
配置方法 |
重命名Administrator账户且修改默认口令 |
|
适用版本 |
暂时未发现不适用版本 |
1.4. 口令复杂度策略
|
配置名称 |
口令复杂度策略 |
|
配置要求 |
1、最短密码长度 8个字符; 2、启用本机组策略中密码必须符合复杂性要求的策略,即密码至少包含以下四种类别的字符中的三种: □ 英语大写字母 A, B, C, … Z □ 英语小写字母 a, b, c, … z □ 西方阿拉伯数字 0, 1, 2, … 9 □ 非字母数字字符,如标点符号,@, #, $, %, &, *等 |
|
操作指南 |
参考配置操作(适用所有版本) 1、“控制面板->管理工具->本地安全策略->帐户策略->密码策略->密码长度最小值->属性” 2、“控制面板->管理工具->本地安全策略->帐户策略->密码策略->密码必须符合复杂性要求->属性” |
|
检查方法 |
1、检查最小值设置,大于等于8为符合要求; 2、检查单选框”已启动”状态,选中”已启动”为符合。 |
|
配置方法 |
1、将密码最小值设置为大于等于8; 2、将“密码必须符合复杂性要求”项,选中“已启动”。 |
|
适用版本 |
暂时未发现不适用版本 |
1.5. 口令最长生存期策略
|
配置名称 |
口令最长生存期策略 |
|
配置要求 |
要求操作系统的账户口令的最长生存期不长于90天。 |
|
操作指南 |
参考配置操作(适用所有版本) “控制面板->管理工具->本地安全策略->帐户策略->密码策略->密码最长存留期->属性” |
|
检查方法 |
检查“密码最长使用期限”小于等于90为符合 |
|
配置方法 |
检查“密码最长使用期限”小于等于90为符合。 |
|
适用版本 |
暂时未发现不适用版本 |
1.6. 登录失败锁定策略
|
配置名称 |
配置登录失败账户锁定策略,超过8次登录失败锁定账号策略 |
|
配置要求 |
应配置当用户短时间内连续认证失败次数超过8次(不含8次),锁定该用户使用的账号; 设置账户锁定时间为30分钟。 |
|
操作指南 |
参考配置操作(适用所有版本) 进入“控制面板->管理工具->本地安全策略->帐户策略->帐户锁定策略->账户锁定时间->属性页” |
|
检查方法 |
1、“静态口令认证技术的设备用户是否连续认证失败次数超过8次(不含8次),锁定该用户的账号”; 2、检查是否设置账号锁定时间为30分钟或更长;符合以上2项检查为符合要求。 |
|
配置方法 |
1、在“账户锁定阀值”属性页中,设置为 8次; 2、在“账户锁定时间”属性页中,设置为30分钟 |
|
适用版本 |
暂时未发现不适用版本 |
2. 访问控制
2.1. 远程关机授权
|
配置名称 |
本地安全设置中远程关机授权只指派给Administrators组 |
|
配置要求 |
在本地安全设置中从远端系统强制关机只指派给Administrators组。 |
|
操作指南 |
参考配置操作 (适用2000、2003、xp、win7、win10) “控制面板->管理工具->本地安全策略->本地策略->用户权利指派->从远端系统强制关机->属性” 参考配置操作(适用2008 x64) “管理工具->本地安全策略->本地策略->用户权限分配->从远程系统强制关机->属性” |
|
检查方法 |
查看“从远端系统强制关机”权限指派情况,仅指派给 administrators,符合要求。 |
|
配置方法 |
设置为“只指派给Administrators组” |
|
适用版本 |
暂时未发现不适用版本 |
2.2. 系统关闭授权
|
配置名称 |
本地安全设置中关闭系统仅指派给Administrators组 |
|
配置要求 |
检测本地安全设置中关闭系统仅指派给Administrators组 |
|
操作指南 |
参考配置操作 (适用2000、2003、xp、win7、win10) “控制面板->管理工具->本地安全策略->本地策略->用户权利指派->关闭系统->属性” 参考配置操作(适用2008 x64) “管理工具->本地安全策略->本地策略->用户权限分配->关闭系统->属性” |
|
检查方法 |
查看”从远端系统强制关机”权限指派情况”,仅指派给 administrators,符合要求。 |
|
配置方法 |
设置为”只指派给Administrators组” |
|
适用版本 |
暂时未发现不适用版本 |
2.3. 远程终端限制
|
配置名称 |
远程终端限制 |
|
配置要求 |
检测服务器及访问终端的远程配置 |
|
操作指南 |
参考配置操作 (适用所有版本) 1、服务器: 管理工具->终端服务配置,在右边“RDP-Tcp”的“属性”中 的“常规”选项卡中"安全层"检查是否启用了“RDP安全 层”参数。 (win2008 运行tsconfig.msc->“RDP-Tcp”的“属性”中的 “常规”“安全性”选项卡中检查是否启用了安全层参数)。 2、远程终端: 运行“mstsc”在其“安全”选项卡中,检查是否启用“要求身份验证”。 |
|
检查方法 |
查看是否启用相应安全层参数 |
|
配置方法 |
相应启用“要求身份验证”和“RDP安全层”参数 |
|
适用版本 |
暂时未发现不适用版本 |
2.4. 文件权限指派
|
配置名称 |
文件权限指派 |
|
配置要求 |
检测本地安全设置中关闭系统仅指派给Administrators组 |
|
操作指南 |
参考配置操作 (适用2000、2003、xp、win7、win10) “控制面板->管理工具->本地安全策略->本地策略->用户权利指派->取得文件或其它对象的所有权->属性”
参考配置操作(适用2008 x64) “管理工具->本地安全策略->本地策略->用户权限分配->用户权利指派->取得文件或其它对象的所有权->属性” |
|
检查方法 |
查看“取得文件或其它对象”的仅限指情况,指派给Administrators为符合要求。 |
|
配置方法 |
设置为“只指派给Administrators组” |
|
适用版本 |
暂时未发现不适用版本 |
2.5. 匿名权限控制
|
配置名称 |
网络连接中限制匿名用户连接权限 |
|
配置要求 |
在组策略中只允许授权帐号从网络访问(包括网络共享等,但不包括终端服务)此计算机。 |
|
操作指南 |
参考配置操作 (适用2000、2003、xp、win7、win10) “控制面板->管理工具->本地安全策略->本地策略->用户权利指派->从网络访问此计算机->属性”
参考配置操作(适用2008 x64) “管理工具->本地安全策略->本地策略->用户权限分配->从网络访问此计算机->属性” |
|
检查方法 |
检查属性列表,不包括“Users”和“Everyone”组和其他无用组为符合要求. |
|
配置方法 |
根据需求添加访问组。 |
|
适用版本 |
暂时未发现不适用版本 |
2.6. 远程登录时间管理
|
配置名称 |
远程登录时间管理 |
|
配置要求 |
检查设置:针对远程登录会话,设置活动会话时间30分钟(可选)和空闲会话时间15分钟(可选) |
|
操作指南 |
参考配置操作 1、活动会话时间: (win2003)系统配置操作超时锁定,点击“开始”->“管理工具”->“终端服务配置”,点击“RDP-TCP”->“会话” 检查第一个 和第二个“替代用户设置”打上勾,“活动会话限制”下拉菜单选择“30分钟”;选择“从会话断开”。
(win2008 )运行tsconfig.msc->“RDP-Tcp”“会话”检查第一个和第二个 “替代用户设置”打上勾,“活动会话限制”下拉菜单选择“30分钟”;选择“从会话断开”
(win7)运行gepdit.msc->计算机配置->管理模板->windows组件->远程桌面服务-> 远程会话主机,启用“设置活动的远程桌面服务会话的时间限制”并下拉菜单选择“30分钟” ”
2、空闲会话时间: 进入“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项”:设置“Microsoft 网络服务器: 在挂起会话之前所需的空闲时间”为15分钟; |
|
检查方法 |
检查是否相应配置活动会话时间和空闲会话时间 |
|
配置方法 |
设置为“在挂起会话之前所需的空闲时间”为15分钟或更小。 |
|
适用版本 |
暂时未发现不适用版本 |
2.7. 屏幕保护密码
|
配置名称 |
屏幕保护密码 |
|
配置要求 |
设置带密码的屏幕保护,并将时间设定为15分钟。 |
|
操作指南 |
参考配置操作 (适用2000、2003、xp、win7、win10) “控制面板->显示->屏幕保护程序”: 参考配置操作(适用2008 x64) “控制面板->外观->显示->屏幕保护程序”: |
|
检查方法 |
检查是否启用了“在恢复时使用密码保护”,并设置等待时间为15分钟或者更短,两项都满足为符合要求。 |
|
配置方法 |
1、设置等待时间为“15分钟”; 2、勾选“在恢复时使用密码保护”选择框。 |
|
适用版本 |
暂时未发现不适用版本 |
2.8. 共享权限检查
|
配置名称 |
共享权限检查 |
|
配置要求 |
查看每个共享文件夹的共享权限,只允许授权的账户拥有权限共享此文件夹,禁止使用共享权限为“everyone” |
|
操作指南 |
参考配置操作 (适用2000、2003、xp、win7、win10) “控制面板->管理工具->计算机管理->系统工具->共享文件夹” 参考配置操作(适用2008 x64) “管理工具->共享和存储管理” |
|
检查方法 |
1、查看每个共享文件夹的共享权限仅限于业务需要,不设置成为“everyone” 2、输出所有共享文件夹信息和具体权限信息;但权限是否符合需求需要后期处理确认 |
|
配置方法 |
在“共享文件”属性页中,只保留需要的账户。 |
|
适用版本 |
暂时未发现不适用版本 |
2.9. 剩余信息保护
|
配置名称 |
剩余信息保护 |
|
配置要求 |
1、应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除 2、应确保系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除。 |
|
操作指南 |
参考配置操作 (适用所有版本) 1、查看操作系统用户的鉴别信息在分配给其他用户前是否释放,运行“gpedit.msc”在计算机配置->Windows设置-> 安全设置->本地策略->安全选项,中检查系统是否启用“不显示上次的用户名。 2、查看操作系统用户的鉴别信息在分配给其他用户前是否释放,运行“gpedit.msc”在计算机配置->Windows设置-> 安全设置->本地策略->安全选项,中检查系统是否启用“关机前清除虚拟内存页面”。 |
|
检查方法 |
相应启用“不显示上次的用户名”和“关机前清除虚拟内存页面”。 |
|
配置方法 |
在“共享文件”属性页中,只保留需要的账户。 |
|
适用版本 |
暂时未发现不适用版本 |
3. 审计安全
3.1. 登陆日志检查
|
配置名称 |
检测是否设置审核账户登录事件 |
|
配置要求 |
系统应启用日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功, 登录时间,以及远程登录时,用户使用的IP地址。 |
|
操作指南 |
参考配置操作 (适用2000、2003、xp、win7、win10) “控制面板->管理工具->本地安全策略->审核策略->审核登录事件->属性”。 参考配置操作(适用2008 x64) “管理工具->本地安全策略->审核策略->审核登录事件->属性”。 |
|
检查方法 |
检查是否同时勾选了“成功”和“失败”,同时勾选为符合要求。 |
|
配置方法 |
设置为成功和失败都审核。 |
|
适用版本 |
暂时未发现不适用版本 |
3.2. 日志完备性检查
|
配置名称 |
系统日志完备性检查,检查是否启用系统多项审核策略 |
|
配置要求 |
系统应启用日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功, 登录时间,以及远程登录时,用户使用的IP地址。 |
|
操作指南 |
系统应配置完整的审核策略,启用本地策略中审核策略中如下项。每项都需要设置为“成功”和“失败”都要审核。 配置操作 (适用所有版本) “控制面板->管理工具->本地安全策略->审核策略: 审核账户登录事件: □成功 □失败 审核账户管理: □成功 □失败 审核目录服务访问: □成功 □失败 审核登录事件: □成功 □失败 审核对象访问: □成功 □失败 审核策略更改: □成功 □失败 审核系统事件: □成功 □失败 |
|
检查方法 |
检查是否同时勾选了“成功”和“失败”,同时勾选为符合要求。 |
|
配置方法 |
分别进入以上7个子项配置页,勾选“成功”和“失败”复选框。 |
|
适用版本 |
暂时未发现不适用版本 |
3.3. 日志大小设置
|
配置名称 |
检测系统日志、应用日志、安全日志的大小以及扩展设置是否符合规范 |
|
配置要求 |
1、设置系统日志文件大小至少为32MB,设置当达到最大的日志尺寸时,按需要改写事件。 2、设置应用日志文件大小至少为32M B,设置当达到最大的日志尺寸时,按需要改写事件。 3、设置安全日志文件大小至少为32M B,设置当达到最大的日志尺寸时,按需要改写事件。 |
|
操作指南 |
参考配置操作 (适用2000、2003、xp、win7、win10) 进入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中的: “系统日志”属性页; “应用日志”属性页; “安全日志”属性页。 参考配置操作(适用2008 x64) 进入“管理工具->服务器管理”, 在“诊断->事件查看器->windows日志”中的: “系统日志”属性页; “应用日志”属性页; “安全日志”属性页。 |
|
检查方法 |
检查包括以下6子项 □ 应用日志文件大小至少为32M B □ 当达到最大的应用日志尺寸时,按需要改写事件 □ 系统日志文件大小至少为32M B □ 当达到最大的应用日志尺寸时,按需要改写事件 □ 安全日志文件大小至少为32M B □ 当达到最大的安全日志尺寸时,按需要改写事件 以上检查内容符合,整体才符合要求。 |
|
配置方法 |
1、设置应用日志文件大小至少为32M B 设置当达到最大的应用日志尺寸时,按需要改写事件 2、设置系统日志文件大小至少为32M B 设置当达到最大的应用日志尺寸时,按需要改写事件 3、设置安全日志文件大小至少为32M B 设置当达到最大的安全日志尺寸时,按需要改写事件 |
|
适用版本 |
暂时未发现不适用版本 |
4. 入侵防范
4.1. 默认共享检查
|
配置名称 |
默认共享检查 |
|
配置要求 |
非域环境中,关闭Windows硬盘默认共享,例如C$,D$。 |
|
操作指南 |
参考配置操作 (适用所有版本) “开始->运行->net share” |
|
检查方法 |
检查有无默认共享,无任何默认共享为符合要求。 |
|
配置方法 |
“开始->运行->Regedit”,进入注册表编辑器,定位到HKLM\System\CurrentControlSet\ Services\LanmanServer\Parameters\下,增加REG_DWORD类型的AutoShareServer 键, 值为 0。(值为0为禁用默认共享,1为启用) |
|
适用版本 |
暂时未发现不适用版本 |
4.2. 防范病毒管理
|
配置名称 |
防范病毒管理 |
|
配置要求 |
安装防病毒软件,并及时更新。 |
|
操作指南 |
参考配置操作 (适用所有版本) 定位到杀毒软件版本信息页面。 |
|
检查方法 |
检查是否存在防病毒软件且版本是否为最新。 |
|
配置方法 |
安装防病毒软件,并检查是否更新到最新。 |
|
适用版本 |
暂时未发现不适用版本 |
4.3. 自动播放检查
|
配置名称 |
自动播放检查 |
|
配置要求 |
关闭Windows自动播放功能 |
|
操作指南 |
参考配置操作(适用2000) “开始->运行->Regedit”,进入注册表编辑器,定位到注册表: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CDRom
参考配置操作(适用2003、xp) 点击开始→运行→输入gpedit.msc,打开组策略编辑器,浏览到计算机配置→管理模板→系统”
参考配置操作(适用2008、win7) 点击开始->运行→输入gpedit.msc,打开组策略编辑器,浏览到计算机配置->管理模板-> Windows 组件->自动播放策略” |
|
检查方法 |
Windows2000:检查”Autorun”键值,为0符合要求; Windows 2003或Windows xp:检查”关闭自动播放”对话框,选择了所有驱动器为符合要求; Windows 2008或Windows 7:检查”关闭自动播放”对话框,选择了所有驱动器,为符合要求。 |
|
配置方法 |
Windows 2000:将”Autorun”键值更改为0。 Windows2003或Windows xp:在右边窗格中双击”关闭自动播放”,对话框中选择所有驱动器,确定即可。 Windows2008或Windows 7:在右边窗格中双击”关闭自动播放”,对话框中选择所有驱动器,确定即可。 |
|
适用版本 |
暂时未发现不适用版本 |
4.4. 启动项检查
|
配置名称 |
启动项检查 |
|
配置要求 |
列出系统启动时自动加载的进程和服务列表,不在此列表的需关闭。 |
|
操作指南 |
参考配置操作 (适用所有版本) “开始->运行->MSconfig”启动系统配置实用程序。 |
|
检查方法 |
查看是否有可疑启动项,对于无法确认程序,需要与管理员进行确认。 |
|
配置方法 |
直接将可以启动项前的勾选框勾选掉。 |
|
适用版本 |
暂时未发现不适用版本 |
4.5. 服务检查
|
配置名称 |
服务检查 |
|
配置要求 |
列出所需要服务的列表(包括所需的系统服务),通过与系统管理员确认无异常服务存在。一般情况下, 如无特殊必要,不应安装IIS、DNS、WINS、DHCP等服务或组件。 |
|
操作指南 |
参考配置操作 (适用所有版本) “开始->运行->services.msc” 查看所有服务,输出所有服务列表,查看是否有异常服务。 |
|
检查方法 |
1、系统管理员应出具系统所必要的服务列表。 2、查看所有服务,不在此列表的服务需关闭。 建议关闭Task Scheduler (计划任务)、 Routing and Remote Access(在局域网以及广域网环境中为企业提供路由服务) Remote Registry(使远程用户能修改此计算机上的注册表设置) Print Spooler(将文件加载到内存中以便迟后打印) 关闭无线服务和telnet服务。 |
|
配置方法 |
直接把多余服务设置为禁用 |
|
适用版本 |
暂时未发现不适用版本 |
4.6. 本地防火墙设置
|
配置名称 |
检查Windows是否启用自带防火墙 |
|
配置要求 |
启用Windows 自带防火墙。根据业务需要限定允许访问网络的应用程序,和允许远程登陆该设备的IP地址范围。 |
|
操作指南 |
参考配置操作 (适用所有版本) “控制面板->系统和安全->Windows防火墙->打开或关闭Windows防火墙选项” |
|
检查方法 |
检查Windows是否启用自带防火墙 |
|
配置方法 |
启用Windows防火墙。 在“例外”中配置允许业务所需的程序接入网络。 在“例外->编辑->更改范围”编辑允许接入的网络地址范围。 |
|
适用版本 |
暂时未发现不适用版本 |
