windows 操做系統安全運維所考慮的安全基線內容

時間 2020-01-13

原文原文鏈接

安全配置要求
帳號
編號：1
要求內容應按照不一樣的用戶分配不一樣的帳號，避免不一樣用戶間共享帳號。避
免用戶帳號和設備間通訊使用的帳號共享。
操做指南 一、參考配置操做
進入「控制面板->管理工具->計算機管理」，在「系統工具->本地用戶和組」：
根據系統的要求，設定不一樣的帳戶和帳戶組。
檢測方法
一、斷定條件
結合要求和實際業務狀況判斷符合要求，根據系統的要求，設定不
同的帳戶和帳戶組
二、檢測操做
進入「控制面板->管理工具->計算機管理」，在「系統工具->本地用
戶和組」：
查看根據系統的要求，設定不一樣的帳戶和帳戶組 ios

編號：2
要求內容
應刪除與運行、維護等工做無關的帳號。
操做指南
1．參考配置操做
A）可以使用用戶管理工具：
開始-運行-compmgmt.msc-本地用戶和組-用戶
B）也能夠經過 net 命令：
刪除帳號： net user account/de1
停用帳號：net user account/active:no sql

檢測方法
1.斷定條件
結合要求和實際業務狀況判斷符合要求，刪除或鎖定與設備運行、維護
等與工做無關的帳號。
3
注：無關的帳號主要指測試賬戶、共享賬號、長期不用帳號（半年以上
不用）等
2.檢測操做
開始-運行-compmgmt.msc-本地用戶和組-用戶數據庫

編號：3
要求內容重命名 Administrator；禁用 guest（來賓）賬號。
操做指南
一、參考配置操做
進入「控制面板->管理工具->計算機管理」，在「系統工具->本地用戶和組」：
Administrator－>屬性－> 更更名稱
Guest 賬號->屬性－> 已停用
檢測方法一、斷定條件
缺省帳戶 Administrator名稱已更改。
Guest 賬號已停用。
二、檢測操做
進入「控制面板->管理工具->計算機管理」，在「系統工具->本地用
戶和組」：
缺省賬戶－>屬性－> 更更名稱
Guest 賬號->屬性－> 已停用安全

口令
編號：1
要求內容密碼長度要求：最少 8位
密碼複雜度要求：至少包含如下四種類別的字符中的三種：
z 英語大寫字母 A, B, C, … Z
z 英語小寫字母 a, b, c, … z
z 阿拉伯數字 0, 1, 2, … 9
z 非字母數字字符，如標點符號，@, #, $, %, &, *等
4
操做指南一、參考配置操做
進入「控制面板->管理工具->本地安全策略」，在「賬戶策略->密碼策略」：
「密碼必須符合複雜性要求」選擇「已啓動」
檢測方法
一、斷定條件
「密碼必須符合複雜性要求」選擇「已啓動」
二、檢測操做
進入「控制面板->管理工具->本地安全策略」，在「賬戶策略->密碼
策略」：
查看是否「密碼必須符合複雜性要求」選擇「已啓動」服務器

編號：2
要求內容對於採用靜態口令認證技術的設備，帳戶口令的生存期不長於 90
天。
操做指南
一、參考配置操做
進入「控制面板->管理工具->本地安全策略」，在「賬戶策略->密碼策略」：「密碼最長存留期」設置爲「90 天」
檢測方法
一、斷定條件
「密碼最長存留期」設置爲「90 天」
二、檢測操做
進入「控制面板->管理工具->本地安全策略」，在「賬戶策略->密碼
策略」：
查看是否「密碼最長存留期」設置爲「90 天」網絡

編號：3
要求內容對於採用靜態口令認證技術的設備，應配置設備，使用戶不能重複
使用最近 5次（含 5 次）內已使用的口令。
操做指南
一、參考配置操做 dom

進入「控制面板->管理工具->本地安全策略」，在「賬戶策略->密碼策略」：
「強制密碼歷史」設置爲「記住 5個密碼」
檢測方法一、斷定條件
「強制密碼歷史」設置爲「記住 5個密碼」
二、檢測操做
進入「控制面板->管理工具->本地安全策略」，在「賬戶策略->密碼
策略」：
查看是否「強制密碼歷史」設置爲「記住 5 個密碼」編輯器

編號：4
要求內容對於採用靜態口令認證技術的設備，應配置當用戶連續認證失敗次
數超過 6 次（不含 6 次），鎖定該用戶使用的帳號。
操做指南一、參考配置操做進入「控制面板->管理工具->本地安全策略」，在「賬戶策略->賬戶
鎖定策略」：
「帳戶鎖定閥值」設置爲 6 次
設置解鎖閥值：30 分鐘
檢測方法一、斷定條件
「帳戶鎖定閥值」設置爲小於或等於 6 次
二、檢測操做
進入「控制面板->管理工具->本地安全策略」，在「賬戶策略->賬戶
鎖定策略」：
查看是否「帳戶鎖定閥值」設置爲小於等於 6次
補充說明：
設置不當可能致使帳號大面積鎖定，在域環境中應當心設置，
Administrator 帳號自己不會被鎖定。
受權
編號：1
6
要求內容本地、遠端系統強制關機只指派給 Administrators 組。
操做指南一、參考配置操做
進入「控制面板->管理工具->本地安全策略」，在「本地策略->用
戶權利指派」:
「關閉系統」設置爲「只指派給 Administrators組」
「從遠端系統強制關機」設置爲「只指派給 Administrators組」
檢測方法一、斷定條件
「關閉系統」設置爲「只指派給 Administrators組」
「從遠端系統強制關機」設置爲「只指派給 Administrtors組」
二、檢測操做
進入「控制面板->管理工具->本地安全策略」，在「本地策略->用
戶權利指派」:
查看「關閉系統」設置爲「只指派給 Administrators 組」
查看是否「從遠端系統強制關機」設置爲「只指派給
Administrators 組」 ide

編號：2
要求內容在本地安全設置中取得文件或其它對象的全部權僅指派給
Administrators。
操做指南一、參考配置操做
進入「控制面板->管理工具->本地安全策略」，在「本地策略->用
戶權利指派」：
「取得文件或其它對象的全部權」設置爲「只指派給
Administrators 組」
檢測方法一、斷定條件
「取得文件或其它對象的全部權」設置爲「只指派給
Administrators 組」
二、檢測操做
進入「控制面板->管理工具->本地安全策略」，在「本地策略->用
7
戶權利指派」：
查看是否「取得文件或其它對象的全部權」設置爲「只指派給
Administrators 組」
編號：3
要求內容在本地安全設置中只容許受權賬號本地、遠程訪問登錄此計算機。
操做指南
一、參考配置操做
進入「控制面板->管理工具->本地安全策略」，在「本地策略->用
戶權利指派」
「從本地登錄此計算機」設置爲「指定受權用戶」
「從網絡訪問此計算機」設置爲「指定受權用戶」
檢測方法一、斷定條件
「從本地登錄此計算機」設置爲「指定受權用戶」
「從網絡訪問此計算機」設置爲「指定受權用戶」
二、檢測操做
進入「控制面板->管理工具->本地安全策略」，在「本地策略->用
戶權利指派」
查看是否「從本地登錄此計算機」設置爲「指定受權用戶」
查看是否「從網絡訪問此計算機」設置爲「指定受權用戶」工具

補丁
編號：1
要求內容在不影響業務的狀況下，應安裝最新的 Service Pack 補丁集。對
服務器系統應先進行兼容性測試。
操做指南一、參考配置操做
安裝最新的 Service Pack補丁集。
例如截止到 2010 年最新版本： Windows XP 的 Service Pack 爲 SP3。
Windows2000 的 Service Pack爲 SP4,Windows 2003的 Service
Pack 爲 SP2
檢測方法一、斷定條件

二、檢測操做
進入控制面板->添加或刪除程序->顯示更新打鉤，查看是否 XP 系
統已安裝SP3， Win2000系統已安裝SP4， Win2003系統已安裝SP2。
防禦軟件
編號：1

要求內容啓用自帶防火牆或安裝第三方威脅防禦軟件。根據業務須要限定允
許訪問網絡的應用程序，和容許遠程登錄該設備的 IP地址範圍。
操做指南一、參考配置操做（以啓動自帶防火牆爲例）
進入「控制面板－>網絡鏈接－>本地鏈接」，在高級選項的設置中
啓用 Windows 防火牆。
在「例外」中配置容許業務所需的程序接入網絡。
在「例外->編輯->更改範圍」編輯容許接入的網絡地址範圍。
說明：分爲服務器和操做終端兩種狀況：
服務器該項爲可選，操做終端該項爲必選
檢測方法一、斷定條件
啓用 Windows 防火牆。
「例外」中容許接入網絡的程序均爲業務所需。
二、檢測操做
進入「控制面板－>網絡鏈接－>本地鏈接」，在高級選項的設置中，
查看是否啓用 Windows 防火牆。
查看是否在「例外」中配置容許業務所需的程序接入網絡。
查看是否在「例外->編輯->更改範圍」編輯容許接入的網絡地址範
圍。

防病毒軟件
編號：1
要求內容安裝防病毒軟件，並及時更新。
操做指南一、參考配置操做
9
安裝防病毒軟件，並及時更新。
檢測方法一、斷定條件
已安裝防病毒軟件，病毒碼更新時間不早於 1個月，各系統病毒碼
升級時間要求參見各系統相關規定。
注：對於操做終端該項爲必選項，對於服務器該項爲可選項
二、檢測操做
控制面板->添加或刪除程序，是否安裝有防病毒軟件。打開防病
毒軟件控制面板，查看病毒碼更新日期。

日誌安全要求
編號：1
要求內容設備應配置日誌功能，對用戶登陸進行記錄，記錄內容包括用戶登
錄使用的帳號，登陸是否成功，登陸時間，以及遠程登陸時，用戶
使用的 IP地址。
操做指南
一、參考配置操做
開始->運行-> 執行「控制面板->管理工具->本地安全策略->審覈
策略」
審覈登陸事件，雙擊，設置爲成功和失敗都審覈。
檢測方法
一、斷定條件
審覈登陸事件，設置爲成功和失敗都審覈。
二、檢測操做
開始->運行-> 執行「控制面板->管理工具->本地安全策略->審覈
策略」
審覈登陸事件，雙擊，查看是否設置爲成功和失敗都審覈。

編號：2
要求內容開啓審覈策略，以便出現安全問題後進行追查
操做指南一、參考配置操做
對審覈策略進行檢查：

開始-運行-gpedit.msc
計算機配置-Windows 設置-安全設置-本地策略-審覈策略
如下審覈是必須開啓的，其餘的能夠根據須要增長：
y 審覈系統登錄事件成功，失敗
y 審覈賬戶管理成功，失敗
y 審覈登錄事件成功，失敗
y 審覈對象訪問成功
y 審覈策略更改成功，失敗
y 審覈特權使用成功，失敗
y 審覈系統事件成功，失敗
二、補充說明
可能會使日誌量猛增
檢測方法一、斷定條件
嘗試對被添加了訪問審覈的對象進行訪問，而後查看安全日誌中是
否會有相關記錄，或經過其餘手段激化以配置的審覈策略，並觀察
日誌中的記錄狀況，若是存在記錄條目，則配置成功。
二、檢測操做

編號：3
要求內容
設置日誌容量和覆蓋規則，保證日誌存儲
操做指南一、參考配置操做
開始-運行-eventvwr
右鍵選擇日誌，屬性，根據實際需求設置：
日誌文件大小：可根據須要制定
超過上限時的處理方式（建議日誌記錄天數不小於 90天）
二、補充說明
建議對每一個日誌均進行如上操做，同時應保證磁盤空間
檢測方法一、斷定條件
二、檢測操做

開始-運行-eventvwr，右鍵選擇日誌，屬性，查看日誌上限及超
過上線時的處理方式

沒必要要的服務、端口
編號：1
要求內容關閉沒必要要的服務
操做指南一、參考配置操做
進入「控制面板->管理工具->計算機管理」，進入「服務和應用程
序」：
可根據具體應用狀況參考附錄 A，篩選沒必要要的服務。
檢測方法一、斷定條件
系統管理員應出具系統所必要的服務列表。
查看全部服務，不在此列表的服務需關閉。
二、檢測操做
進入「控制面板->管理工具->計算機管理」，進入「服務和應用程
序」：
查看全部服務，不在此列表的服務是否已關閉。

編號： 2
要求內容如需啓用SNMP服務，則修改默認的SNMP Community String設置。
操做指南一、參考配置操做
打開「控制面板」，打開「管理工具」中的「服務」，找到「SNMP
Service」，單擊右鍵打開「屬性」面板中的「安全」選項卡，在這個配置
界面中，能夠修改 community strings，也就是微軟所說的「團體名
稱」。
檢測方法一、斷定條件
community strings已改，不是默認的「public」
二、檢測操做
打開「控制面板」，打開「管理工具」中的「服務」，找到「SNMP

Service」，單擊右鍵打開「屬性」面板中的「安全」選項卡，在這個配置
界面中，查看 community strings，也就是微軟所說的「團體名稱」。

編號： 3
要求內容如對互聯網開放 WindowsTerminial 服務(Remote Desktop)，需修改
默認服務端口。
操做指南一、參考配置操做
開始->運行 Regedt32
並轉到此項:

HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal
ServerWinStationsRDP-Tcp
找到「PortNumber」子項，會看到默認值 00000D3D，它是 3389
的十六進制表示形式。使用十六進制數值修改此端口號，並保存新
值。
檢測方法一、斷定條件
找到「PortNumber」子項，設定值非 00000D3D，即十進制 3389
二、檢測操做
運行 Regedt32 ,找到此項並判斷。

啓動項
要求內容關閉無效啓動項
操做指南一、參考配置操做
「開始->運行->MSconfig」啓動菜單中，取消沒必要要的啓動項。
檢測方法一、斷定條件
二、檢測操做
系統管理員提供業務必須的自動加載進程和服務列表文檔。
查看「開始->運行->MSconfig」啓動菜單：
不須要的自動加載進程是否已禁用和取消。

關閉自動播放功能
編號：1

要求內容關閉 Windows自動播放功能
操做指南一、參考配置操做
開始→運行→gpedit.msc，打開組策略編輯器，瀏覽到計算機配置
→管理模板→系統，在右邊窗格中雙擊「關閉自動播放」，對話框中
選擇全部驅動器，肯定便可。
檢測方法一、斷定條件
全部驅動器均「關閉自動播放」
二、檢測操做
「關閉自動播放」配置已啓用，啓用範圍：全部驅動器。

共享文件夾
編號：1
要求內容在非域環境下，關閉 Windows 硬盤默認共享，例如 C$，D$。
操做指南一、參考配置操做
進入「開始－>運行－>Regedit」，進入註冊表編輯器，更改註冊表
鍵值：
HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\
下，增長 REG_DWORD 類型的 AutoShareServer 鍵，值爲 0。
檢測方法一、斷定條件
HKLM\System\CurrentControlSet\
Services\LanmanServer\Parameters\增長了 REG_DWORD 類型的
AutoShareServer 鍵，值爲 0。
二、檢測操做
進入「開始－>運行－>Regedit」，進入註冊表編輯器，更改註冊表
鍵值：

HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\
，增長 REG_DWORD類型的 AutoShareServer 鍵，值爲 0。

編號：2
要求內容設置共享文件夾的訪問權限，只容許受權的帳戶擁有權限共享此文
件夾。
操做指南一、參考配置操做
進入「控制面板->管理工具->計算機管理」，進入「系統工具－>共
享文件夾」：
查看每一個共享文件夾的共享權限，只將權限受權於指定帳戶。
檢測方法一、斷定條件
查看每一個共享文件夾的共享權限僅限於業務須要，不設置成爲
「everyone」。
二、檢測操做
進入「控制面板->管理工具->計算機管理」，進入「系統工具－>共
享文件夾」：
查看每一個共享文件夾的共享權限。
使用NTFS文件系統
要求內容在不毀壞數據的狀況下，將ＦＡＴ分區改成ＮＴＦＳ格式
操做指南一、參考配置操做
將 FAT 卷轉換成 NTFS 分區
CONVERT volume /FS:NTFS[/V] [/CvtArea:filename][/NoSecurity]
[/X]
Vo l ume 指定驅動器號（後面加一個冒號）、裝載點或卷名
/FS:NTFS 指定要被轉換成 NTFS 的卷
/V 指定 CONVERT 應該用詳述模式運行
/CvtArea:filename 將根目錄中的一個接續文件指定爲NTFS系統文
件的佔位符
15
/NoSecurity 指定每一個人均可以訪問轉換的文件和目錄的安全設置
/X 若是必要，先強行卸載卷，有打開的句柄則無效
例如：
Covert C：/FS:NTFS
備註：
一、新上線系統必需要求 NTFS 分區，已上線系統在不損壞數據的
狀況下應用
二、在有其餘非 WIN系統訪問、存在數據共享的狀況下，不建議將
ＦＡＴ分區改成ＮＴＦＳ格式
檢測方法一、斷定條件
二、檢測操做

網絡訪問
編號：1

要求內容禁用匿名訪問命名管道和共享
16
操做指南一、參考配置操做
「控制面板->管理工具->本地安全策略」，在「本地策略->安全選
項」:網絡訪問：可匿名訪問的共享設置爲所有刪除
「控制面板->管理工具->本地安全策略」，在「本地策略->安全選
項」:網絡訪問：可匿名訪問的命名管道設置爲所有刪除
檢測方法一、斷定條件
所有刪除匿名訪問命名管道和共享
二、檢測操做
查看「控制面板->管理工具->本地安全策略」，在「本地策略->安
全選項」:網絡訪問：可匿名訪問的共享、可匿名訪問的命名管道
是否設置爲所有刪除

編號：2

要求內容禁用可遠程訪問的註冊表路徑和子路徑
操做指南一、參考配置操做
「控制面板->管理工具->本地安全策略」，在「本地策略->安全選
項」:網絡訪問：可遠程訪問的註冊表路徑設置爲所有刪除
「控制面板->管理工具->本地安全策略」，在「本地策略->安全選
項」:網絡訪問：可遠程訪問的註冊表路徑和子路徑設置爲所有刪
除
檢測方法一、斷定條件
所有刪除可遠程訪問的註冊表路徑和子路徑
三、檢測操做
查看「控制面板->管理工具->本地安全策略」，在「本地策略->安
全選項」:網絡訪問中，查看，可遠程訪問的註冊表路徑、可遠程
訪問的註冊表路徑和子路徑是否設置爲所有刪除

會話超時設置
編號：1
17
要求內容
對於遠程登陸的帳戶，設置不活動所鏈接時間 15 分鐘
操做指南一、參考配置操做
進入「控制面板—管理工具—本地安全策略」，在「安全策略—安
全選項」：「Microsoft 網絡服務器」設置爲「在掛起會話以前所需
的空閒時間」爲 15 分鐘
檢測方法一、斷定條件
「Microsoft 網絡服務器」設置爲「在掛起會話以前所需的空閒時
間」爲 15 分鐘
二、檢測操做
進入「控制面板—管理工具—本地安全策略」，在「安全策略—安
全選項」：查看「Microsoft 網絡服務器」設置

註冊表設置
編號：1
要求內容在不影響系統穩定運行的前提下，對註冊表信息進行更新。
操做指南一、參考配置操做
y 自動登陸：
HKLM\Software\Microsoft\WindowsNT\
CurrentVersion\Winlogon\AutoAdminLogon (REG_DWORD) 0
y 源路由欺騙保護：
HKLM\System\CurrentControlSet\
Services\Tcpip\Parameters\DisableIPSourceRouting
(REG_DWORD) 2
y 刪除匿名用戶空連接
HKEY_LOCAL_MACHINE
SYSTEM\Current\Control\Set\Control\Lsa
將 restrictanonymous 的值設置爲 1，若該值不存在，能夠本身
建立，類型爲 REG_DWORD
修改完成後從新啓動系統生效
y 碎片×××保護：
HKLM\System\CurrentControlSet\
18
Services\Tcpip\Parameters\EnablePMTUDiscovery
(REG_DWORD) 1
y Syn flood ×××保護：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
之下，可設置：
TcpMaxPortsExhausted。推薦值：5。
TcpMaxHalfOpen。推薦值數據：500。
TcpMaxHalfOpenRetried。推薦值數據：400
檢測方法一、斷定條件
二、檢測操做
點擊開始->運行，而後在打開行裏輸入 regedit，而後單擊肯定，查看相
關注冊表項進行查看；
使用空鏈接掃描工具沒法遠程枚舉用戶名和用戶組

附錄 A：端口及服務服務名稱端口服務說明關閉方法處置建議系統服務部分 echo 7/TCP RFC862_回聲協議關閉"Simple TCP/IP Services"服務。建議關閉 echo 7/UDP RFC862_回聲協議 discard 9/UDP RFC863 廢除協議 discard 9/TCP RFC863 廢除協議 daytime 13/UDP RFC867 白天協議 daytime 13/TCP RFC867 白天協議 qotd 17/TCP RFC865 白天協議的引用 qotd 17/UDP RFC865 白天協議的引用 chargen 19/TCP RFC864 字符產生協議 19 chargen 19/UDP RFC864 字符產生協議 ftp 21/TCP 文件傳輸協議(控制) 關閉"FTP Publishing Service"服務。根據狀況選擇開放 smtp 25/TCP 簡單郵件發送協議關閉"Simple Mail Transport Protocol"服務。建議關閉 nameserver 42/TCP WINS 主機名服務關閉"Windows Internet Name Service"服務。建議關閉 42/UDP domain 53/UDP 域名服務器關閉"DNS Server"服務。根據狀況選擇開放 53/TCP 根據狀況選擇開放 dhcps 67/UDP DHCP 服務器/Internet 鏈接共享關閉"Simple TCP/IP Services"服務。建議關閉 dhcpc 68/UDP DHCP協議客戶端關閉"DHCP Client"服務。建議關閉 http 80/TCP HTTP 萬維網發佈服務關閉"World Wide Web Publishing Service"服務。根據狀況選擇開放 epmap 135/TCP RPC服務系統基本服務沒法關閉 135/UDP 沒法關閉 netbios-ns 137/UDP NetBIOS 名稱解析在網卡的 TCP/IP選項中"WINS"頁勾選"禁用 TCP/IP上的NETBIOS" 根據狀況選擇開放 netbios-dgm 138/UDP NetBIOS 數據報服務根據狀況選擇開放 netbios-ssn 139/TCP NetBIOS 會話服務系統基本服務沒法關閉 snmp 161/UDP SNMP 服務關閉"SNMP "服務根據狀況選擇開放 https 443/TCP 安全超文本傳輸協議關閉"World Wide Web Publishing Service"服務根據狀況選擇開放 20 microsoft-ds 445/UDP SMB 服務器運行regedit，打開HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters 添加名爲"SMBDeviceEnabled"的子鍵，類型dword，值爲0 從新啓動計算機根據狀況選擇開放 445/TCP isakmp 500/UDP IPSec ISAKMP 本地安全機構關閉"IPSEC Policy Agent"服務不多使用的服務，如不使用ipsec，建議關閉 RADIUS 1645/UDP 舊式 RADIUS Internet 身份驗證服務關閉"Remote Access Connection Manager"服務建議關閉 RADIUS 1646/UDP 舊式 RADIUS Internet 身份驗證服務建議關閉 radius 1812/UDP 身份驗證 Internet 身份驗證服務建議關閉 radacct 1813/UDP 計賬 Internet 身份驗證服務建議關閉 MSMQ-RPC 2105/TCP MSMQ-RPC 消息隊列關閉"Message Queuing"服務。建議關閉 Termsrv 3389/TCP 終端服務關閉"Terminal Services"服務。根據狀況選擇開放其餘經常使用服務 Apache 80/TCP 8000/TCP Apache HTTP 服務器關閉"Apache2"服務。根據狀況選擇開放 ms-sql-s 1433/TCP 1434/UDP 微軟公司數據庫關閉"MSSQLServer"服務。根據狀況選擇開放 ORACLE 1521/TCP 甲骨文公司數據庫關閉"OracleOraHome90TNSListener"服務。根據狀況選擇開放 21 remote administrator 4899/TCP Famatech公司遠程控制軟件關閉"Remote Administrator Service "服務。根據狀況選擇開放 sybase 5000/TCP Sybase公司數據庫關閉"Sybase SQLServer"字樣開始的服務。根據狀況選擇開放 pcAnywhere 5631/TCP 5632/UDP Symantec公司遠程控制軟件關閉"pcAnywhere Host Service"字樣開始的服務。根據狀況選擇開放