Windows-系统安全基线要求

Windows 系统安全基线要求

测试项 基本要求 应对登录操作系统的用户进行身份标识和鉴别 进入“控制面板->管理工具->操作系统管理用户身份标识应具有不易被冒用的特点，身份鉴别 口令应有复杂度要求并定期更换 口令定期更换 对于采用静态口令认证技术的设备，检查账户口令的生存期 应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施 当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听 应为操作系统不同用户分配访问控制 不同的用户名，确保用户名具有唯一性 应限制默认账户的访问权限，重命名系统默认账户，修改这些账户的默认口令 应限制远程登允许远程登录默认账号检查 应用和操作系统用户权限 检查系统账号数量，和管理员确认每个账号的使用人和用途 不同用户使用不同的用户名，不存在共用账户、无用账户现象 远程管理服务数据传输安全 进入“控制面板->管理工具->禁用Telnet服务 服务”，查看“Telnet”的启动类型和服务状态 Telnet启动类型为禁用，服务状态为已停止 登录失败措施检查 对于采用静态口令认证技术的设备，检查当用户连续认证失败次数的限制 口令复杂度 “密码必须符合复杂性要求”选择“已启动” 本地安全策略”，在“帐户策略->密码策略”：查看是否“密码必须符合复杂性要求”选择“已启动” 进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：查看“密码最长存留期” 最短密码长度 8个字符，启用本机组策略中密码必须符合复杂性要求的策略。 “密码最长存留期”设置不大于“90天” 检查系统登录是否需要密码 登陆系统是否需要密码 检查是否有无需输入密码就可访问的用户帐户 不能存在空密码帐户 测试子项 测试内容 测试方法 要求结果 进入“控制面板->管理工具->本地安全策略”，在“帐户策略->帐户锁定策略”：查看“账户锁定阀值”设置 “账户锁定阀值”设置为小于或等于 6次 进入“控制面板->管理工具->计算机管理”，查看存在多少启用账户，做好记录 对于管理员帐号，要求更改缺省帐户名称；禁用guest（来宾）帐号。 检查允许远程登进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”： 缺省帐户Administrator－>属性 Guest帐号->属性 \进入“我的电脑->属性->系统记录可以远程登录缺省账户Administrator名称已更改。 Guest帐号已停用。

测试项 基本要求 录系统账户 测试子项 的账户检查 测试内容 录的账户 测试方法 属性”，在“远程->远程桌面->选择用户”：查看允许远程登录的账户 要求结果 的账户，以及使用人 设备应配置日志功能，对用户登录进行记录，记录内容包括用户审核登录 登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。 启用组策略中对Windows系统的审核账户管理 审核帐户管理，成功和失败都要审核 启用组策略中对Windows系统的审核对象访问 安全审计 审核对象访问，成功和失败都要审核 启用组策略中对审核事件目录审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件 审核过程追踪 审核特权使用 服务器访问 Windows系统的审核目录服务访问，失败 启用组策略中对Windows系统的审核特权使用，成功和失败都要审核 启用组策略中对Windows系统的审核过程追踪失败 启用组策略中对Windows系统的审核系统事件 审核系统事件，成功和失败都要审核 进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：查看“审核账户管理” 设置 “ 控制面板->管理工具->本地安全策略->审核策略”审核登录事件。 审核登录事件，设置为成功和失败都审核。 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户 “审核账户管理”设置为“成功” 和“失败”都要审核 进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：查看“审核对象访问”设置 进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：查看“审核目录服务器访问”设置 进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：查看“审核特权使用”设置 进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：查看“审核过程追踪”设置 进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：查看“审核系统事件”设置 “审核对象访问”设置为“成功”和“失败”都要审核 “审核目录服务器访问”设置为“成功” 和“失败”都要审核 “审核特权使用”设置为“成功” 和“失败”都要审核 “审核过程追踪”设置为 “失败”需要审核 “审核系统事件”设置为“成功” 和“失败”都要审核

测试项 基本要求 测试子项 测试内容 测试方法 要求结果 “应用日志” “系统日志” “安全日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件” 设置应用日志文件大小至少为日志文件大小 8192KB，设置当达到最大的日志尺寸时，按需要改写事件 进入“控制面板->管理工具->事件查看器”，在“事件查看器（本地）”中：查看“应用日志” “系统日志” “安全日志”属性中的日志大小 ,以及设置当达到最大的日志尺寸时的相应策略 应保护审计记录，避免受到未预期的删除、修改或覆盖等 审核策略更改 启用组策略中对Windows系统的审核策略更改，成功和失败都要审核 进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中查看“审核策略更改”设置 “审核策略更改”设置为“成功” 和“失败”都要审核 进入“开始->运行”，输入操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新 入侵防范 应用程序安装情况检查 查看系统安装程序情况 进入“控制面板->添加或删除程序”，查看除了系统补丁之外的安装程序 删除已应用无关的程序 系统补丁更新检查 查看系统内核版本号以及系统补丁更新情况 “winmsd.exe”,记录OS名称、版本； 进入“控制面板->添加或删除程序”，查看Windows最近安装补丁的时间； 安装最新的补丁，建议配置wsus自动更新 安装专门的杀毒软件 检查杀毒软件情况 查看杀毒软件版本以及病毒库更新情况 查看系统自带或第三方防火墙开启情况 检查系统是否存在恶意文件、病毒 记录杀毒软件的版本号，病毒库更新时间，更新频率，以及杀毒策略 安装统一的杀毒软件 开启防火墙 检查防火墙开启情况 如是第三方防火墙，记录相关信息 使用系统安装的杀毒软件进行杀毒操作，记录结果；并查看历时杀毒结果 Windows防火墙开启，并阻断以业务无关的端口 上线之前进行一次病毒查杀 检查系统是否有恶意文件、病毒 恶意文件、病毒检查

测试项 安全配置 资源控制 基本要求 测试子项 测试内容 测试方法 要求结果 Alerter – 禁用 Clipbook – 禁用 Computer Browser – 禁用 Messenger – 禁用 系统服务检查 系统服务检查 Remote Registry – 禁用 Routing and Remote Access – 禁用 Telnet – 禁用 Automatic Updates – 手动 Background Intelligent Transfer Service – 手动 在“开始->运行->键入regedit” 查看注册表项 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SynAtHKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\StackProtect; ervices\\SynAttackProtect; 推荐值：2。 检查系统是否HKEY_LOCAL_MACHINE\\SYSTEM\\CurHKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\S启用SYN攻击rentControlSet\\Services\\TcpMaervices\\TcpMaxPortsExhausted; 推荐值：5。 保护 xPortsExhausted; HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\SHKEY_LOCAL_MACHINE\\SYSTEM\\Curervices\\TcpMaxHalfOpen; 推荐值数据：500。 rentControlSet\\Services\\TcpMaHKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\SxHalfOpen; ervices\\TcpMaxHalfOpenRetried。推荐值数据：400。 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\TcpMaxHalfOpenRetried。 查看： 防止icmp重定防止icmp重定向hkey_local_machine\\system\\建议将向报文的攻击 报文的攻击 currentcontrolset\\servicesenableicmpredirects 值设为0 注册表检查项 \\tcpip\\parameters 查看： 禁止ipc空连local_machine\\system\\ 建议将接 禁止ipc空连接 currentcontrolset\\control\\restrictanonymoulsa\\ s值设为1 应通过设定终端接入方式、进入“控制面板-Windows 防火在主机防火墙上做网络地址范围远程管理IP限防火墙配置进行墙”，在“Windows 防火墙->访问控制，指定的等条件限制终制检查 限制 例外”:查看“远程桌面->编辑IP地址对服务器进端登录 ->更改范围”的设置 行远程管理

测试项 基本要求 测试子项 测试内容 测试方法 要求结果 查看是否启用屏幕保护程序，设置等待时间为“5分钟”，启用“在恢复时使用密码保护”。 启用屏幕保护程屏幕保护设置 应根据安全策略设置登录终端操作超时锁定 超时检查 启用远程回话挂起时间限制 序，防止管理员忘记锁定机器被非法攻击 进入“控制面板－>显示－>屏幕保护程序”：查看是否启用屏幕保护程序 并记录当前的设置 进入“控制面板->管理工具->本地安全策略”，在“本地策略->安全选项”:查看“Microsoft 网络服务器：在挂起会话之前所需的空闲时间”设置 设置值不大于15分钟 在本地安全设置操作系统远程关机策略安全 中从远端系统强远程关机 制关机只指派给Administrators组 在本地安全设置操作系统本地关机策略安全 中关闭系统仅指本地关机 派给Administrators组 对Windows操作系统程序和服务操作系统数据执行保护安全 启用系统自带数据执行保护 DEP功能(数据执行保护)，防止在受保护内存位置运行有害代码 非域环境中，关共享文件夹及访问权限 关闭默认共享 闭Windows硬盘默认共享，例如C$，D$ 进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”:查看“从远端系统强制关机”设置 “从远端系统强制关机”设置为“只指派给Administrtors组” 进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”:查看“关闭系统”设置 “关闭系统”设置为“只指派给Administrators组” 进入“控制面板－>系统”，在“高级”选项卡的 “性能”下的“设置”。进入 “数据执行保护”选项卡。查看“ 仅为基本 Windows 操作系统程序和服务启用DEP” “数据执行保护”选项卡已设置为“ 仅为基本 Windows 操作系统程序和服务启用DEP” 进入“开始->运行”，输入“cmd”，在cmd.exe窗口中输入“net share”，记录结果 打开“控制面板”，打开“管理工具”中的“服务”，找到设置SNMP团体为cssxxzx8668017 据包地址为59.231.145.137 默认共享关闭 根据需求对SNMP进行设定 关闭SNMP服务管理或修改默认团体字 关闭SNMP服务管理或修改默认团体字 “SNMP Service”，单击右键选项卡，在这个配置界面中，查看community strings，也就是微软所说的“团体名称”。 打开“属性”面板中的“安全”并指定接受SNMP数