Windows 服务器安全配置检查表
编号:****公司—信息管理办公室—AQ09—2019/ / —01
单位简称 部门简称 表单号 填表日期 序号 服务器名称: IP地址: 序号 安全配置要求 执行情况 在管理工具—计算机管理—本地用户和组下 备注 1 2 3 安装最新的操作系统不定程序 所有在生产环境中运行的Windows服务器不能安装成多操作系统。 禁用或删除不是应用必须的默认帐号,及时清除不再使用的用户帐号。 系统如不需要OS/2和POSIX子系统,就应删除。 可以从HKEY— LOCAL— MACHINE\SYSTEM\CURRENT CONTROLSET\CONTROL\SESSIONMANAGER/SUBSYSTEMS、OPTIONAL注册表键中删除OS2和POSIX注册表值,然后删除%SYSTEMROOT%\SYSTEM32中的相关文件(OS2* ,POSIX* ,PSX*) 把共享文件的权限从“everyone”组该成“ Authenticated Users”。 删除系统所有的不必要的文件共享,限制用户对共享文件的访问权限。 使用NTFS文件系统 4 在运行中键入regedit,进入注册表编辑器 5 6 7 8 关闭不必要的服务。除非应用需要,否则Windows服务器上应关闭以下服务: * CLIPBOOK SERVER * MESSENGER * SPOOLER(UNLESS PRINT SPOOLING IS NEEDED) * ROUTING AND REMOTE ACCESS 如无必要不要安装和是使用以下附加程序: ? INTERNET INFORMATION SERVER (IIS)FTP PUBLISHING SERVER \\ IIS ADMIN SERVER \\ NETWORK NEWS TRANSPORT PROTOCOL(NNTP) \\ SIMPLE MAIL TRANSPORT PROTOCOL(SMTP) \\ WORLD WIDE WEB PUBLISHING SERVICE ? SOL DB 在“运行”中键入services.msc 9 10 开启帐号审核策略。 ? 登入登出成功、失败 ? 文件和对象访问成功、失败 ? 用户权限的使用成功、失败 ? 用户和组管理成功、失败 ? 安全策略更改成功、失败 ? 重启、关机成功、失败 开启帐号策略。 ? 复位帐号锁定计数器30分钟 ? 帐号锁定时间30分钟 ? 帐号锁定阀值5次 开启密码策略。 ? 设置用户口令长度最小值为6位 ? 设置口令最短存留期为30天 ? 设置口令最长存留期为180天 ? 设置强制口令历史最少为5个 ? 设置口令必须符合复杂性要求(包含大小写字母、数字、特殊字符) 启用事件日志记录及安全审核功能。 开启以下审核: ? 审核系统登录事件成功、失败 ? 审核帐号管理成功、失败 ? 审核登录事件成功、失败 ? 审核对象访问成功、失败 ? 审核策略更改成功、失败 ? 审核特权使用成功、失败 ? 审核系统事件成功、失败 管理工具—本地安全策略—安全设置—本地策略—审核策略 11 管理工具—本地安全策略—安全设置—账户策略 12 13 管理工具—本地安全策略—安全设置—本地策略—审核策略 14 如果不需要就应关闭系统的默认共享。 通过修改注册表来关闭系统的默认共享: ? 禁止C、D一类的缺省共享 HKEY—LOCAL—MACHINE、SYSTEM、 CurrentControls ? 禁止ADMIN缺省共享 确保Windows服务器时间与本地时间符合,或与网络时间服务器时间同步,禁止未经授 权改变服务器时间。 15 检查人: 年 月 日 审核人: 年 月 日
windows%20服务器安全配置检查表
