______________________________________________________________________________________________________________
Windows 安全配置规范
2010年11月
精品资料
______________________________________________________________________________________________________________
第1章 概述
1.1适用范围
本规范明确了Windows操作系统在安全配置方面的基本要求,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。
适用于中国电信所有运行的Windows操作系统,包括Windows 2000、Windows XP、Windows2003, Windows7 , Windows 2008以及各版本中的Sever、Professional版本。
第2章 安全配置要求
2.1 账号
编号:1
要求内容 应按照不同的用户分配不同的账号,避免不同用户间共享账号,避免用户账号和设备间通信使用的账号共享。 操作指南 1、参考配置操作 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”: 根据系统的要求,设定不同的账户和账户组。 检测方法 1、 判定条件 结合要求和实际业务情况判断符合要求,根据系统的要求,设定不同的账户和账户组 2、检测操作 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”: 精品资料
______________________________________________________________________________________________________________
查看根据系统的要求,设定不同的账户和账户组 编号:2
要求内容 应删除与运行、维护等工作无关的账号。 1.参考配置操作 A)可使用用户管理工具: 开始-运行-compmgmt.msc-本地用户和组-用户 B)也可以通过net命令: 删除账号: net user account/de1 停用账号:net user account/active:no 1.判定条件 结合要求和实际业务情况判断符合要求,删除或锁定与设备运行、维护等与工作无关的账号。 操作指南 检测方法 注:主要指测试帐户、共享帐号、已经不用账号等 2.检测操作 开始-运行-compmgmt.msc-本地用户和组-用户 编号:3 要求内容 操作指南 重命名Administrator;禁用guest(来宾)帐号。 1、参考配置操作 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”: Administrator->属性-> 更改名称 Guest帐号->属性-> 已停用 检测方法 1、判定条件 缺省账户Administrator名称已更改。 Guest帐号已停用。 2、检测操作 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”: 缺省帐户->属性-> 更改名称 精品资料
______________________________________________________________________________________________________________
Guest帐号->属性-> 已停用 2.2 口令
编号:1
要求内容 密码长度要求:最少8位 密码复杂度要求:至少包含以下四种类别的字符中的三种: ? 英语大写字母 A, B, C, … Z ? 英语小写字母 a, b, c, … z ? 阿拉伯数字 0, 1, 2, … 9 ? 非字母数字字符,如标点符号,@, #, $, %, &, *等 操作指南 1、参考配置操作 进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”: “密码必须符合复杂性要求”选择“已启动” 检测方法 1、判定条件 “密码必须符合复杂性要求”选择“已启动” 2、检测操作 进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”: 查看是否“密码必须符合复杂性要求”选择“已启动” 编号:2
要求内容 对于采用静态口令认证技术的设备,账户口令的生存期不长于90天。 操作指南 1、参考配置操作 进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”: “密码最长存留期”设置为“90天” 检测方法 1、判定条件 精品资料
______________________________________________________________________________________________________________
“密码最长存留期”设置为“90天” 2、检测操作 进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”: 查看是否“密码最长存留期”设置为“90天” 编号:3
要求内容 对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令。 操作指南 1、参考配置操作 进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”: “强制密码历史”设置为“记住5个密码” 检测方法 1、判定条件 “强制密码历史”设置为“记住5个密码” 2、检测操作 进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”: 查看是否“强制密码历史”设置为“记住5个密码” 编号:4
要求内容 对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。 操作指南 1、参考配置操作 进入“控制面板->管理工具->本地安全策略”,在“帐户策略->帐户锁定策略”: “账户锁定阀值”设置为 6次 检测方法 1、判定条件 “账户锁定阀值”设置为小于或等于 6次 精品资料