windows 操做系统安全运维所考虑的安全基线内容

时间 2020-01-13

原文原文链接

安全配置要求
帐号
编号：1
要求内容应按照不一样的用户分配不一样的帐号，避免不一样用户间共享帐号。避
免用户帐号和设备间通讯使用的帐号共享。
操做指南 一、参考配置操做
进入“控制面板->管理工具->计算机管理” ，在“系统工具->本地用户和组” ：
根据系统的要求，设定不一样的帐户和帐户组。
检测方法
一、断定条件
结合要求和实际业务状况判断符合要求，根据系统的要求，设定不
同的帐户和帐户组
二、检测操做
进入“控制面板->管理工具->计算机管理” ，在“系统工具->本地用
户和组” ：
查看根据系统的要求，设定不一样的帐户和帐户组 ios

编号：2
要求内容
应删除与运行、维护等工做无关的帐号。
操做指南
1．参考配置操做
A）可以使用用户管理工具：
开始-运行-compmgmt.msc-本地用户和组-用户
B）也能够经过 net 命令：
删除帐号： net user account/de1
停用帐号：net user account/active:no sql

检测方法
1.断定条件
结合要求和实际业务状况判断符合要求，删除或锁定与设备运行、维护
等与工做无关的帐号。
3
注：无关的帐号主要指测试账户、共享账号、长期不用帐号（半年以上
不用）等
2.检测操做
开始-运行-compmgmt.msc-本地用户和组-用户数据库

编号：3
要求内容重命名 Administrator；禁用 guest（来宾）账号。
操做指南
一、参考配置操做
进入“控制面板->管理工具->计算机管理” ，在“系统工具->本地用户和组” ：
Administrator－>属性－> 更更名称
Guest 账号->属性－> 已停用
检测方法一、断定条件
缺省帐户 Administrator名称已更改。
Guest 账号已停用。
二、检测操做
进入“控制面板->管理工具->计算机管理” ，在“系统工具->本地用
户和组” ：
缺省账户－>属性－> 更更名称
Guest 账号->属性－> 已停用安全

口令
编号：1
要求内容密码长度要求：最少 8位
密码复杂度要求：至少包含如下四种类别的字符中的三种：
z 英语大写字母 A, B, C, … Z
z 英语小写字母 a, b, c, … z
z 阿拉伯数字 0, 1, 2, … 9
z 非字母数字字符，如标点符号，@, #, $, %, &, *等
4
操做指南一、参考配置操做
进入“控制面板->管理工具->本地安全策略” ，在“账户策略->密码策略” ：
“密码必须符合复杂性要求”选择“已启动”
检测方法
一、断定条件
“密码必须符合复杂性要求”选择“已启动”
二、检测操做
进入“控制面板->管理工具->本地安全策略” ，在“账户策略->密码
策略” ：
查看是否“密码必须符合复杂性要求”选择“已启动” 服务器

编号：2
要求内容对于采用静态口令认证技术的设备，帐户口令的生存期不长于 90
天。
操做指南
一、参考配置操做
进入“控制面板->管理工具->本地安全策略” ，在“账户策略->密码策略” ： “密码最长存留期”设置为“90 天”
检测方法
一、断定条件
“密码最长存留期”设置为“90 天”
二、检测操做
进入“控制面板->管理工具->本地安全策略” ，在“账户策略->密码
策略” ：
查看是否“密码最长存留期”设置为“90 天” 网络

编号：3
要求内容对于采用静态口令认证技术的设备，应配置设备，使用户不能重复
使用最近 5次（含 5 次）内已使用的口令。
操做指南
一、参考配置操做 dom

进入“控制面板->管理工具->本地安全策略” ，在“账户策略->密码策略” ：
“强制密码历史”设置为“记住 5个密码”
检测方法一、断定条件
“强制密码历史”设置为“记住 5个密码”
二、检测操做
进入“控制面板->管理工具->本地安全策略” ，在“账户策略->密码
策略” ：
查看是否“强制密码历史”设置为“记住 5 个密码” 编辑器

编号：4
要求内容对于采用静态口令认证技术的设备，应配置当用户连续认证失败次
数超过 6 次（不含 6 次），锁定该用户使用的帐号。
操做指南一、参考配置操做进入“控制面板->管理工具->本地安全策略” ，在“账户策略->账户
锁定策略” ：
“帐户锁定阀值”设置为 6 次
设置解锁阀值：30 分钟
检测方法一、断定条件
“帐户锁定阀值”设置为小于或等于 6 次
二、检测操做
进入“控制面板->管理工具->本地安全策略” ，在“账户策略->账户
锁定策略” ：
查看是否“帐户锁定阀值”设置为小于等于 6次
补充说明：
设置不当可能致使帐号大面积锁定，在域环境中应当心设置，
Administrator 帐号自己不会被锁定。
受权
编号：1
6
要求内容本地、远端系统强制关机只指派给 Administrators 组。
操做指南一、参考配置操做
进入“控制面板->管理工具->本地安全策略” ，在“本地策略->用
户权利指派”:
“关闭系统”设置为“只指派给 Administrators组”
“从远端系统强制关机”设置为“只指派给 Administrators组”
检测方法一、断定条件
“关闭系统”设置为“只指派给 Administrators组”
“从远端系统强制关机”设置为“只指派给 Administrtors组”
二、检测操做
进入“控制面板->管理工具->本地安全策略” ，在“本地策略->用
户权利指派”:
查看“关闭系统”设置为“只指派给 Administrators 组”
查看是否“从远端系统强制关机”设置为“只指派给
Administrators 组” ide

编号：2
要求内容在本地安全设置中取得文件或其它对象的全部权仅指派给
Administrators。
操做指南一、参考配置操做
进入“控制面板->管理工具->本地安全策略” ，在“本地策略->用
户权利指派” ：
“取得文件或其它对象的全部权”设置为“只指派给
Administrators 组”
检测方法一、断定条件
“取得文件或其它对象的全部权”设置为“只指派给
Administrators 组”
二、检测操做
进入“控制面板->管理工具->本地安全策略” ，在“本地策略->用
7
户权利指派” ：
查看是否“取得文件或其它对象的全部权”设置为“只指派给
Administrators 组”
编号：3
要求内容在本地安全设置中只容许受权账号本地、远程访问登录此计算机。
操做指南
一、参考配置操做
进入“控制面板->管理工具->本地安全策略” ，在“本地策略->用
户权利指派”
“从本地登录此计算机”设置为“指定受权用户”
“从网络访问此计算机”设置为“指定受权用户”
检测方法一、断定条件
“从本地登录此计算机”设置为“指定受权用户”
“从网络访问此计算机”设置为“指定受权用户”
二、检测操做
进入“控制面板->管理工具->本地安全策略” ，在“本地策略->用
户权利指派”
查看是否“从本地登录此计算机”设置为“指定受权用户”
查看是否“从网络访问此计算机”设置为“指定受权用户” 工具

补丁
编号：1
要求内容在不影响业务的状况下，应安装最新的 Service Pack 补丁集。对
服务器系统应先进行兼容性测试。
操做指南一、参考配置操做
安装最新的 Service Pack补丁集。
例如截止到 2010 年最新版本： Windows XP 的 Service Pack 为 SP3。
Windows2000 的 Service Pack为 SP4,Windows 2003的 Service
Pack 为 SP2
检测方法一、断定条件

二、检测操做
进入控制面板->添加或删除程序->显示更新打钩，查看是否 XP 系
统已安装SP3， Win2000系统已安装SP4， Win2003系统已安装SP2。
防御软件
编号：1

要求内容启用自带防火墙或安装第三方威胁防御软件。根据业务须要限定允
许访问网络的应用程序，和容许远程登录该设备的 IP地址范围。
操做指南一、参考配置操做（以启动自带防火墙为例）
进入“控制面板－>网络链接－>本地链接” ，在高级选项的设置中
启用 Windows 防火墙。
在“例外”中配置容许业务所需的程序接入网络。
在“例外->编辑->更改范围”编辑容许接入的网络地址范围。
说明：分为服务器和操做终端两种状况：
服务器该项为可选，操做终端该项为必选
检测方法一、断定条件
启用 Windows 防火墙。
“例外”中容许接入网络的程序均为业务所需。
二、检测操做
进入“控制面板－>网络链接－>本地链接” ，在高级选项的设置中，
查看是否启用 Windows 防火墙。
查看是否在“例外”中配置容许业务所需的程序接入网络。
查看是否在“例外->编辑->更改范围”编辑容许接入的网络地址范
围。

防病毒软件
编号：1
要求内容安装防病毒软件，并及时更新。
操做指南一、参考配置操做
9
安装防病毒软件，并及时更新。
检测方法一、断定条件
已安装防病毒软件，病毒码更新时间不早于 1个月，各系统病毒码
升级时间要求参见各系统相关规定。
注：对于操做终端该项为必选项，对于服务器该项为可选项
二、检测操做
控制面板->添加或删除程序，是否安装有防病毒软件。打开防病
毒软件控制面板，查看病毒码更新日期。

日志安全要求
编号：1
要求内容设备应配置日志功能，对用户登陆进行记录，记录内容包括用户登
录使用的帐号，登陆是否成功，登陆时间，以及远程登陆时，用户
使用的 IP地址。
操做指南
一、参考配置操做
开始->运行-> 执行“ 控制面板->管理工具->本地安全策略->审核
策略”
审核登陆事件，双击，设置为成功和失败都审核。
检测方法
一、断定条件
审核登陆事件，设置为成功和失败都审核。
二、检测操做
开始->运行-> 执行“ 控制面板->管理工具->本地安全策略->审核
策略”
审核登陆事件，双击，查看是否设置为成功和失败都审核。

编号：2
要求内容开启审核策略，以便出现安全问题后进行追查
操做指南一、参考配置操做
对审核策略进行检查：

开始-运行-gpedit.msc
计算机配置-Windows 设置-安全设置-本地策略-审核策略
如下审核是必须开启的，其余的能够根据须要增长：
y 审核系统登录事件成功，失败
y 审核账户管理成功，失败
y 审核登录事件成功，失败
y 审核对象访问成功
y 审核策略更改成功，失败
y 审核特权使用成功，失败
y 审核系统事件成功，失败
二、补充说明
可能会使日志量猛增
检测方法一、断定条件
尝试对被添加了访问审核的对象进行访问，而后查看安全日志中是
否会有相关记录，或经过其余手段激化以配置的审核策略，并观察
日志中的记录状况，若是存在记录条目，则配置成功。
二、检测操做

编号：3
要求内容
设置日志容量和覆盖规则，保证日志存储
操做指南一、参考配置操做
开始-运行-eventvwr
右键选择日志，属性，根据实际需求设置：
日志文件大小：可根据须要制定
超过上限时的处理方式（建议日志记录天数不小于 90天）
二、补充说明
建议对每一个日志均进行如上操做，同时应保证磁盘空间
检测方法一、断定条件
二、检测操做

开始-运行-eventvwr，右键选择日志，属性，查看日志上限及超
过上线时的处理方式

没必要要的服务、端口
编号：1
要求内容关闭没必要要的服务
操做指南一、参考配置操做
进入“控制面板->管理工具->计算机管理” ，进入“服务和应用程
序” ：
可根据具体应用状况参考附录 A，筛选没必要要的服务。
检测方法一、断定条件
系统管理员应出具系统所必要的服务列表。
查看全部服务，不在此列表的服务需关闭。
二、检测操做
进入“控制面板->管理工具->计算机管理” ，进入“服务和应用程
序” ：
查看全部服务，不在此列表的服务是否已关闭。

编号： 2
要求内容如需启用SNMP服务，则修改默认的SNMP Community String设置。
操做指南一、参考配置操做
打开“控制面板”，打开“管理工具”中的“服务”，找到“SNMP
Service”，单击右键打开“属性”面板中的“安全”选项卡，在这个配置
界面中，能够修改 community strings，也就是微软所说的“团体名
称”。
检测方法一、断定条件
community strings已改，不是默认的“public”
二、检测操做
打开“控制面板”，打开“管理工具”中的“服务”，找到“SNMP

Service”，单击右键打开“属性”面板中的“安全”选项卡，在这个配置
界面中，查看 community strings，也就是微软所说的“团体名称”。

编号： 3
要求内容如对互联网开放 WindowsTerminial 服务(Remote Desktop)，需修改
默认服务端口。
操做指南一、参考配置操做
开始->运行 Regedt32
并转到此项:

HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal
ServerWinStationsRDP-Tcp
找到 “PortNumber” 子项，会看到默认值 00000D3D，它是 3389
的十六进制表示形式。使用十六进制数值修改此端口号，并保存新
值。
检测方法一、断定条件
找到“PortNumber”子项，设定值非 00000D3D，即十进制 3389
二、检测操做
运行 Regedt32 ,找到此项并判断。

启动项
要求内容关闭无效启动项
操做指南一、参考配置操做
“开始->运行->MSconfig”启动菜单中，取消没必要要的启动项。
检测方法一、断定条件
二、检测操做
系统管理员提供业务必须的自动加载进程和服务列表文档。
查看“开始->运行->MSconfig”启动菜单：
不须要的自动加载进程是否已禁用和取消。

关闭自动播放功能
编号：1

要求内容关闭 Windows自动播放功能
操做指南一、参考配置操做
开始→运行→gpedit.msc，打开组策略编辑器，浏览到计算机配置
→管理模板→系统，在右边窗格中双击“关闭自动播放”，对话框中
选择全部驱动器，肯定便可。
检测方法一、断定条件
全部驱动器均“关闭自动播放”
二、检测操做
“关闭自动播放”配置已启用，启用范围：全部驱动器。

共享文件夹
编号：1
要求内容在非域环境下，关闭 Windows 硬盘默认共享，例如 C$，D$。
操做指南一、参考配置操做
进入“开始－>运行－>Regedit” ，进入注册表编辑器，更改注册表
键值：
HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\
下，增长 REG_DWORD 类型的 AutoShareServer 键，值为 0。
检测方法一、断定条件
HKLM\System\CurrentControlSet\
Services\LanmanServer\Parameters\增长了 REG_DWORD 类型的
AutoShareServer 键，值为 0。
二、检测操做
进入“开始－>运行－>Regedit” ，进入注册表编辑器，更改注册表
键值：

HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\
，增长 REG_DWORD类型的 AutoShareServer 键，值为 0。

编号：2
要求内容设置共享文件夹的访问权限，只容许受权的帐户拥有权限共享此文
件夹。
操做指南一、参考配置操做
进入“控制面板->管理工具->计算机管理” ，进入“系统工具－>共
享文件夹” ：
查看每一个共享文件夹的共享权限，只将权限受权于指定帐户。
检测方法一、断定条件
查看每一个共享文件夹的共享权限仅限于业务须要，不设置成为
“everyone” 。
二、检测操做
进入“控制面板->管理工具->计算机管理” ，进入“系统工具－>共
享文件夹” ：
查看每一个共享文件夹的共享权限。
使用NTFS文件系统
要求内容在不毁坏数据的状况下，将ＦＡＴ分区改成ＮＴＦＳ格式
操做指南一、参考配置操做
将 FAT 卷转换成 NTFS 分区
CONVERT volume /FS:NTFS[/V] [/CvtArea:filename][/NoSecurity]
[/X]
Vo l ume 指定驱动器号（后面加一个冒号）、装载点或卷名
/FS:NTFS 指定要被转换成 NTFS 的卷
/V 指定 CONVERT 应该用详述模式运行
/CvtArea:filename 将根目录中的一个接续文件指定为NTFS系统文
件的占位符
15
/NoSecurity 指定每一个人均可以访问转换的文件和目录的安全设置
/X 若是必要，先强行卸载卷，有打开的句柄则无效
例如：
Covert C：/FS:NTFS
备注：
一、新上线系统必需要求 NTFS 分区，已上线系统在不损坏数据的
状况下应用
二、在有其余非 WIN系统访问、存在数据共享的状况下，不建议将
ＦＡＴ分区改成ＮＴＦＳ格式
检测方法一、断定条件
二、检测操做

网络访问
编号：1

要求内容禁用匿名访问命名管道和共享
16
操做指南一、参考配置操做
“控制面板->管理工具->本地安全策略” ，在“本地策略->安全选
项”:网络访问：可匿名访问的共享设置为所有删除
“控制面板->管理工具->本地安全策略” ，在“本地策略->安全选
项”:网络访问：可匿名访问的命名管道设置为所有删除
检测方法一、断定条件
所有删除匿名访问命名管道和共享
二、检测操做
查看“控制面板->管理工具->本地安全策略” ，在“本地策略->安
全选项”:网络访问：可匿名访问的共享、可匿名访问的命名管道
是否设置为所有删除

编号：2

要求内容禁用可远程访问的注册表路径和子路径
操做指南一、参考配置操做
“控制面板->管理工具->本地安全策略” ，在“本地策略->安全选
项”:网络访问：可远程访问的注册表路径设置为所有删除
“控制面板->管理工具->本地安全策略” ，在“本地策略->安全选
项”:网络访问：可远程访问的注册表路径和子路径设置为所有删
除
检测方法一、断定条件
所有删除可远程访问的注册表路径和子路径
三、检测操做
查看“控制面板->管理工具->本地安全策略” ，在“本地策略->安
全选项”:网络访问中，查看，可远程访问的注册表路径、可远程
访问的注册表路径和子路径是否设置为所有删除

会话超时设置
编号：1
17
要求内容
对于远程登陆的帐户，设置不活动所链接时间 15 分钟
操做指南一、参考配置操做
进入“控制面板—管理工具—本地安全策略” ，在“安全策略—安
全选项” ： “Microsoft 网络服务器”设置为“在挂起会话以前所需
的空闲时间”为 15 分钟
检测方法一、断定条件
“Microsoft 网络服务器”设置为“在挂起会话以前所需的空闲时
间”为 15 分钟
二、检测操做
进入“控制面板—管理工具—本地安全策略” ，在“安全策略—安
全选项” ：查看“Microsoft 网络服务器”设置

注册表设置
编号：1
要求内容在不影响系统稳定运行的前提下，对注册表信息进行更新。
操做指南一、参考配置操做
y 自动登陆：
HKLM\Software\Microsoft\WindowsNT\
CurrentVersion\Winlogon\AutoAdminLogon (REG_DWORD) 0
y 源路由欺骗保护：
HKLM\System\CurrentControlSet\
Services\Tcpip\Parameters\DisableIPSourceRouting
(REG_DWORD) 2
y 删除匿名用户空连接
HKEY_LOCAL_MACHINE
SYSTEM\Current\Control\Set\Control\Lsa
将 restrictanonymous 的值设置为 1，若该值不存在，能够本身
建立，类型为 REG_DWORD
修改完成后从新启动系统生效
y 碎片×××保护：
HKLM\System\CurrentControlSet\
18
Services\Tcpip\Parameters\EnablePMTUDiscovery
(REG_DWORD) 1
y Syn flood ×××保护：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
之下，可设置：
TcpMaxPortsExhausted。推荐值：5。
TcpMaxHalfOpen。推荐值数据：500。
TcpMaxHalfOpenRetried。推荐值数据：400
检测方法一、断定条件
二、检测操做
点击开始->运行，而后在打开行里输入 regedit，而后单击肯定，查看相
关注册表项进行查看；
使用空链接扫描工具没法远程枚举用户名和用户组

附录 A：端口及服务服务名称端口服务说明关闭方法处置建议系统服务部分 echo 7/TCP RFC862_回声协议关闭"Simple TCP/IP Services"服务。建议关闭 echo 7/UDP RFC862_回声协议 discard 9/UDP RFC863 废除协议 discard 9/TCP RFC863 废除协议 daytime 13/UDP RFC867 白天协议 daytime 13/TCP RFC867 白天协议 qotd 17/TCP RFC865 白天协议的引用 qotd 17/UDP RFC865 白天协议的引用 chargen 19/TCP RFC864 字符产生协议 19 chargen 19/UDP RFC864 字符产生协议 ftp 21/TCP 文件传输协议(控制) 关闭"FTP Publishing Service"服务。根据状况选择开放 smtp 25/TCP 简单邮件发送协议关闭"Simple Mail Transport Protocol"服务。建议关闭 nameserver 42/TCP WINS 主机名服务关闭"Windows Internet Name Service"服务。建议关闭 42/UDP domain 53/UDP 域名服务器关闭"DNS Server"服务。根据状况选择开放 53/TCP 根据状况选择开放 dhcps 67/UDP DHCP 服务器/Internet 链接共享关闭"Simple TCP/IP Services"服务。建议关闭 dhcpc 68/UDP DHCP协议客户端关闭"DHCP Client"服务。建议关闭 http 80/TCP HTTP 万维网发布服务关闭"World Wide Web Publishing Service"服务。根据状况选择开放 epmap 135/TCP RPC服务系统基本服务没法关闭 135/UDP 没法关闭 netbios-ns 137/UDP NetBIOS 名称解析在网卡的 TCP/IP选项中"WINS"页勾选"禁用 TCP/IP上的NETBIOS" 根据状况选择开放 netbios-dgm 138/UDP NetBIOS 数据报服务根据状况选择开放 netbios-ssn 139/TCP NetBIOS 会话服务系统基本服务没法关闭 snmp 161/UDP SNMP 服务关闭"SNMP "服务根据状况选择开放 https 443/TCP 安全超文本传输协议关闭"World Wide Web Publishing Service"服务根据状况选择开放 20 microsoft-ds 445/UDP SMB 服务器运行regedit，打开HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters 添加名为"SMBDeviceEnabled"的子键，类型dword，值为0 从新启动计算机根据状况选择开放 445/TCP isakmp 500/UDP IPSec ISAKMP 本地安全机构关闭"IPSEC Policy Agent"服务不多使用的服务，如不使用ipsec，建议关闭 RADIUS 1645/UDP 旧式 RADIUS Internet 身份验证服务关闭"Remote Access Connection Manager"服务建议关闭 RADIUS 1646/UDP 旧式 RADIUS Internet 身份验证服务建议关闭 radius 1812/UDP 身份验证 Internet 身份验证服务建议关闭 radacct 1813/UDP 计账 Internet 身份验证服务建议关闭 MSMQ-RPC 2105/TCP MSMQ-RPC 消息队列关闭"Message Queuing"服务。建议关闭 Termsrv 3389/TCP 终端服务关闭"Terminal Services"服务。根据状况选择开放其余经常使用服务 Apache 80/TCP 8000/TCP Apache HTTP 服务器关闭"Apache2"服务。根据状况选择开放 ms-sql-s 1433/TCP 1434/UDP 微软公司数据库关闭"MSSQLServer"服务。根据状况选择开放 ORACLE 1521/TCP 甲骨文公司数据库关闭"OracleOraHome90TNSListener"服务。根据状况选择开放 21 remote administrator 4899/TCP Famatech公司远程控制软件关闭"Remote Administrator Service "服务。根据状况选择开放 sybase 5000/TCP Sybase公司数据库关闭"Sybase SQLServer"字样开始的服务。根据状况选择开放 pcAnywhere 5631/TCP 5632/UDP Symantec公司远程控制软件关闭"pcAnywhere Host Service"字样开始的服务。根据状况选择开放