Windows系統通用安全配置基線

時間 2019-11-19

原文原文鏈接

一：共享帳號檢查數據庫

配置名稱：帳號分配檢查，避免共享帳號存在
配置要求： 一、系統需按照實際用戶分配帳號； 二、根據系統的使用需求，設定不一樣的帳戶和帳戶組，包括管理員用戶，數據庫用戶，審計用戶，來賓用戶等； 三、避免出現共享帳號狀況； 操做指南：參考配置操做（適用2000、2003） 」控制面板->管理工具->計算機管理->系統工具->本地用戶和組」。 參考配置操做（適用2008 x64） 」管理工具->服務器管理->配置->本地用戶和組」。 檢查方法：查看已建立帳戶和帳戶組，與管理員確認有無無用的或共用的帳戶，若是每一帳戶都按需建立和劃分帳戶組的則符合要求。 配置方法：根據系統實際使用需求，設定不一樣的帳戶和帳戶組，如：管理員用戶，數據庫用戶，審計用戶，來賓用戶。 使用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64。

二：來賓帳戶檢查windows

配置名稱：禁用來賓帳戶
配置要求：禁用guest（來賓）用戶
操做指南：參考配置操做（適用2000、2003） 」控制面板->管理工具->計算機管理」，在」系統工具->本地用戶和組->Guest帳戶>屬性->「常規」頁 參考配置操做（適用2008 x64） 」管理工具->服務器管理」，在」配置->本地用戶和組->Guest帳戶->屬性-> 「常規」頁 檢查方法：檢查複選框」帳戶已禁用」項狀態，勾選爲已禁用來賓帳號 配置方法：勾選複選框」帳戶已禁用」項，禁用來賓帳號。 適用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64。

三：口令複雜度策略安全

配置名稱：口令複雜度策略
配置要求：一、最短密碼長度 12個字符； 二、啓用本機組策略中密碼必須符合複雜性要求的策略，即密碼至少包含如下四種類別的字符中的三種：  英語大寫字母 A, B, C, … Z  英語小寫字母 a, b, c, … z  西方阿拉伯數字 0, 1, 2, … 9  非字母數字字符，如標點符號，@, #, $, %, &, *等 操做指南：參考配置操做（適用2000、2003） 一、」控制面板->管理工具->本地安全策略->賬戶策略->密碼策略->密碼長度最小值->屬性」 二、」控制面板->管理工具->本地安全策略->賬戶策略->密碼策略->密碼必須符合複雜性要求->屬性」 參考配置操做（適用2008 x64） 一、」管理工具->本地安全策略->賬戶策略->密碼策略->密碼長度最小值->屬性」 二、」管理工具->本地安全策略->賬戶策略->密碼策略->密碼必須符合複雜性要求->屬性」 檢查方法：一、檢查最小值設置，大於等於12爲符合要求； 二、檢查單選框」已啓動」狀態，選中」已啓動」爲符合。 配置方法：一、將密碼最小值設置爲大於等於12； 二、將」密碼必須符合複雜性要求」項，選中」已啓動」。 使用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

四：口令最長生存期策略服務器

配置名稱：口令最長生存期策略
配置要求：要求操做系統的帳戶口令的最長生存期不長於90天。 操做指南：參考配置操做（適用2000、2003） 」控制面板->管理工具->本地安全策略->賬戶策略->密碼策略->密碼最長存留期->屬性」 參考配置操做（適用2008 x64） 」管理工具->本地安全策略->賬戶策略->密碼策略->密碼最長存留期->屬性」 檢查方法：檢查」密碼最長使用期限」小於等於90爲符合。 配置方法：檢查」密碼最長使用期限」小於等於90爲符合。 使用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

五：遠程關機受權網絡

配置名稱：本地安全設置中遠程關機受權只指派給Administrators組 配置要求：在本地安全設置中從遠端系統強制關機只指派給Administrators組。 操做指南：參考配置操做（適用2000、2003） 」控制面板->管理工具->本地安全策略->本地策略->用戶權利指派->從遠端系統強制關機->屬性」 參考配置操做（適用2008 x64） 」管理工具->本地安全策略->本地策略->用戶權限分配->從遠程系統強制關機->屬性」 檢查方法：查看」從遠端系統強制關機」權限指派狀況」，僅指派給 administrators，符合要求。 配置方法：設置爲」只指派給Administrators組」 使用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

六：系統關閉受權編輯器

配置名稱：本地安全設置中關閉系統僅指派給Administrators組 配置要求：檢測本地安全設置中關閉系統僅指派給Administrators組 操做指南：參考配置操做（適用2003） 」控制面板->管理工具->本地安全策略->本地策略->用戶權利指派->關閉系統->屬性」 參考配置操做（適用2008 x64） 」管理工具->本地安全策略->本地策略->用戶權限分配->關閉系統->屬性」 檢查方法：查看」關閉系統」權限指派狀況，內容爲administrators，表示符合要求。 配置方法：設置爲」只指派給Administrators組」 使用版本：Windows Server 200三、Windows Server 2008 X64

七：文件權限指派工具

配置名稱：文件權限指派
配置要求：在本地安全設置中取得文件或其它對象的全部權僅指派給Administrators。 操做指南：參考配置操做（適用2003） 」控制面板->管理工具->本地安全策略->本地策略->用戶權利指派->取得文件或其它 對象的全部權->屬性」 參考配置操做（適用2008 x64） 」管理工具->本地安全策略->本地策略->用戶權限分配->用戶權利指派->取得文件或其它對象的全部權->屬性」 檢查方法：查看「取得文件或其它對象」的僅限指狀況，指派給Administrators」爲符合要求。 配置方法：設置爲」只指派給Administrators組」 使用版本：Windows Server 200三、Windows Server 2008 X64

八：匿名權限限制性能

配置名稱：網絡鏈接中限制匿名用戶鏈接權限
配置要求：在組策略中只容許受權賬號從網絡訪問(包括網絡共享等，但不包括終端服務)此計算機。
操做指南：參考配置操做（適用2003） 」控制面板->管理工具->本地安全策略->本地策略->用戶權利指派->從網絡訪問此計算機->屬性」 參考配置操做（適用2008 x64） 」管理工具->本地安全策略->本地策略->用戶權限分配->從網絡訪問此計算機->屬性」 檢查方法：檢查屬性列表，不包括」Users」和」Everyone」組和其餘無用組爲符合要求. 配置方法：根據需求添加訪問組。 適用版本：Windows Server 200三、Windows Server 2008 X64

八：登錄日誌檢查ui

配置名稱：檢測是否設置審覈帳戶登陸事件
配置要求：系統應啓用日誌功能，對用戶登陸進行記錄，記錄內容包括用戶登陸使用的帳號，登陸是否成功，登陸時間，以及遠程登陸時，用戶使用的IP地址。 操做指南：參考配置操做（適用2000、2003） 」控制面板->管理工具->本地安全策略->審覈策略->審覈登陸事件->屬性」。 參考配置操做（適用2008 x64） 」管理工具->本地安全策略->審覈策略->審覈登陸事件->屬性」。 檢查方法：檢查是否同時勾選了」成功」和」失敗」，同時勾選爲符合要求。 配置方法：設置爲成功和失敗都審覈。 適用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

九：系統日誌完備性檢查spa

配置名稱：系統日誌完備性檢查，檢查是否啓用系統多項審覈策略
配置要求：系統應配置完整的審覈策略，啓用本地策略中審覈策略中以下項。每項都須要設置爲」成功」和」失敗」都要審覈。
          參考配置操做（適用2000、2003） 」控制面板->管理工具->本地安全策略->須要配置的策略： 參考配置操做（適用2008 x64） 」管理工具->本地安全策略->須要配置的策略：  審覈策略更改  審覈對象訪問  審覈進程跟蹤  審覈目錄服務訪問  審覈特權使用  審覈系統事件  審覈帳戶管理 操做指南：參考配置操做 進入」控制面板->管理工具->本地安全策略->本地策略->審覈策略」中。進入以下項的」屬性頁」  審覈策略更改  審覈對象訪問  審覈進程跟蹤  審覈目錄服務訪問  審覈特權使用  審覈系統事件  審覈帳戶管理 檢查方法：檢查項包括如下7子項：  檢測是否啓用對Windows系統的審覈策略更改  檢測是否啓用對Windows系統的審覈對象訪問  檢測是否啓用Windows系統審覈目錄服務訪問  檢測是否啓用Windows系統審覈特權使用  檢測是否啓用Windows系統審覈系統事件  檢測是否啓用Windows系統的審覈帳戶管理  檢測是否啓用Windows系統的審覈過程追蹤 以上每一項都要勾選」成功」和」失敗」項，才符合要求。 配置方法：分別進入以上7個子項配置頁，勾選」成功」和」失敗」複選框。 適用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

十：日誌大小設置

配置名稱：檢測系統日誌、應用日誌、安全日誌的大小以及擴展設置是否符合規範
配置要求：一、設置系統日誌文件大小至少爲32MB，設置當達到最大的日誌尺寸時，按須要改寫事件。 二、設置應用日誌文件大小至少爲32M B，設置當達到最大的日誌尺寸時，按須要改寫事件。 三、設置安全日誌文件大小至少爲32M B，設置當達到最大的日誌尺寸時，按須要改寫事件。 操做指南：參考配置操做（適用2000、2003） 進入」控制面板->管理工具->事件查看器」，在」事件查看器（本地）」中的： 「系統日誌」屬性頁； 「應用日誌」屬性頁； 「安全日誌」屬性頁。 參考配置操做（適用2008 x64） 進入」管理工具->服務器管理」， 在」診斷->事件查看器->windows日誌」中的： 「系統日誌」屬性頁； 「應用日誌」屬性頁； 「安全日誌」屬性頁。 檢查方法：檢查包括如下6子項  應用日誌文件大小至少爲32M B  當達到最大的應用日誌尺寸時，按須要改寫事件  系統日誌文件大小至少爲32M B  當達到最大的應用日誌尺寸時，按須要改寫事件  安全日誌文件大小至少爲32M B  當達到最大的安全日誌尺寸時，按須要改寫事件 以上檢查內容符合，總體才符合要求。 配置方法：一、設置應用日誌文件大小至少爲32M B 設置當達到最大的應用日誌尺寸時，按須要改寫事件 二、設置系統日誌文件大小至少爲32M B 設置當達到最大的應用日誌尺寸時，按須要改寫事件 三、設置安全日誌文件大小至少爲32M B 設置當達到最大的安全日誌尺寸時，按須要改寫事件 適用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

十一：遠程登陸超時配置

配置名稱：遠程登錄超時配置
配置要求：檢查設置：對於遠程登錄的賬號，設置不活動斷連時間15分鐘 操做指南：參考配置操做（適用2003） 」控制面板->管理工具->本地安全策略->本地策略->安全選項->Microsoft網絡服務器」 參考配置操做（適用2008 x64） 」管理工具->本地安全策略->本地策略->安全選項->Microsoft網絡服務器」 檢查方法：檢查」對於遠程登錄的賬號設置」，不活動斷連時間15分鐘或小於15分鐘爲符合要求。 配置方法：設置爲」在掛起會話以前所需的空閒時間」爲15分鐘或更小。 適用版本：Windows Server 200三、Windows Server 2008 X64

十二：默認共享檢查

配置名稱：默認共享檢查
配置要求：非域環境中，關閉Windows硬盤默認共享，例如C$，D$。
操做指南：參考配置操做
         」開始－>運行－>net share」
檢查方法：檢查有無默認共享，無任何默認共享爲符合要求。
配置方法：」開始－>運行－>Regedit」，進入註冊表編輯器，
          定位到HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\下， 增長REG_DWORD類型的AutoShareServer 鍵，值爲 0。 Windows Server 2008X64環境配置檢查位置：HKEY_LOCAL_MACHINE//SYSTEM//CurrentControlSet//Services//lanmanserver//parameters」 適用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

十三：共享權限檢查

配置名稱：共享權限檢查
配置要求：查看每一個共享文件夾的共享權限，只容許受權的帳戶擁有權限共享此文件夾，禁止使用共享權限爲」everyone」
操做指南：參考配置操做（適用2000、2003） 」控制面板->管理工具->計算機管理->系統工具－>共享文件夾」 參考配置操做（適用2008 x64） 」管理工具->共享和存儲管理」 檢查方法：一、查看每一個共享文件夾的共享權限僅限於業務須要，不設置成爲」everyone」 二、輸出全部共享文件夾信息和具體權限信息；但權限是否符合需求須要後期處理確認 配置方法：在」共享文件」屬性頁中，只保留須要的帳戶。 適用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

十四：防範病毒管理

配置名稱：防病毒管理
配置要求：安裝防病毒軟件，並及時更新。
操做指南：參考配置操做
          定位到殺毒軟件版本信息頁面。
檢查方法：檢查防病毒進程運行是否正常及當前病毒庫版本是否爲最新。
配置方法：安裝防病毒軟件，並檢查是否更新到最新病毒定義。
適用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

十五：補丁分發管理

配置名稱：補丁分發管理
配置要求：加入網上交易WSUS系統，及時更新系統補丁。
操做指南：參考配置操做
        一、定位到註冊表項： HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate WUServer鍵 二、」開始->運行->services.msc->Automatic Updates」 檢查方法：一、鍵值是否爲http://10.1.30.233。如果，則代表加入了網上交易WSUS，不然沒有正確加入網上交易WSUS系統。 二、檢查服務項Automatic Updates服務是否開啓，啓動類型是否設置爲自動。 以上2項都知足爲符合要求。 配置方法：登陸http://10.1.30.233，下載並運行網上交易服務器補丁註冊腳本。在導入註冊表後檢查自動更新選項是否顯示爲灰色不可選， 如是則代表註冊表導入成功，以後重啓Automatic Updates服務。 適用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

十六：server pack 管理

配置名稱：Service Pack管理 配置要求：安裝最新的Service Pack 操做指南：參考配置操做 右鍵」個人電腦->屬性->常規頁」 檢查方法：檢查是否安裝了最新的Service Pack。 目前Windows 2000 server最新版本Service Pack爲SP4，Windows Server 2003 最新的Service Pack爲SP2 配置方法：安裝最新的Service Pack，並及時更新。 登陸http://10.1.30.233，下載並安裝最新的Service Pack。 適用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

十七：屏保密碼保護

配置名稱：密碼屏幕保護
配置要求：設置帶密碼的屏幕保護，並將時間設定爲15分鐘。 操做指南：參考配置操做（適用2000、2003） 」控制面板->顯示->屏幕保護程序」： 參考配置操做（適用2008 x64） 」控制面板->外觀->顯示->屏幕保護程序」： 檢查方法：檢查是否啓用了」在恢復時使用密碼保護」，並設置等待時間爲15分鐘或者更短，兩項都知足爲符合要求。 配置方法：一、設置等待時間爲」15分鐘」； 二、勾選」在恢復時使用密碼保護」選擇框。 適用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

十八：自動播放關閉

配置名稱：自動播放關閉
配置要求：關閉Windows自動播放功能
操做指南：參考配置操做（適用2000） 」開始->運行->Regedit」，進入註冊表編輯器，定位到註冊表：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CDRom 參考配置操做（適用2003） 點擊開始→運行→輸入gpedit.msc，打開組策略編輯器，瀏覽到計算機配置→管理模板→系統」 參考配置操做（適用2008 x64） 點擊開始->運行→輸入gpedit.msc，打開組策略編輯器，瀏覽到計算機配置->管理模板->Windows 組件->自動播放策略」 檢查方法：Windows2000：檢查」Autorun」鍵值，爲0符合要求； Windows 2003：檢查」關閉自動播放」對話框，選擇了全部驅動器爲符合要求； Windows 2008：檢查」關閉自動播放」對話框，選擇了全部驅動器，爲符合要求。 配置方法：Windows 2000：將」Autorun」鍵值更改成0。 Windows2003：在右邊窗格中雙擊」關閉自動播放」，對話框中選擇全部驅動器，肯定便可。 Windows2008：，在右邊窗格中雙擊」關閉自動播放」，對話框中選擇全部驅動器，肯定便可。 適用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

十九：SNMP默認口令修改

配置名稱：SNMP默認口令修改
配置要求：如需啓用SNMP服務，則修改默認的SNMP Community String設置。
操做指南：參考配置操做（適用2003） 打開」控制面板」，打開」管理工具」中的」服務」，找到」SNMP Service」，單擊右鍵打開」屬性」面板中的」安全」選項卡。 參考配置操做（適用2008 x64） 進入」管理工具->服務器管理」，在」配置->服務」，找到」SNMP Service」，單擊右鍵打開」屬性」面板中的」安全」選項卡 檢查方法：一、確認SNMP 服務已啓動； 二、服務如啓動，檢查Community String是否使用默認public和private，若是沒使用爲符合要求 配置方法：在這個配置界面中，修改community strings，避免使用默認密碼。 適用版本：Windows Server 200三、Windows Server 2008 X64

二十：啓動項檢查

配置名稱：啓動項檢查
配置要求：列出系統啓動時自動加載的進程和服務列表，不在此列表的需關閉。
操做指南：參考配置操做
         「開始->運行->MSconfig」啓動系統配置實用程序。
檢查方法：查看是否有可疑啓動項，對於沒法確認程序，須要與管理員進行確認。
配置方法：直接將能夠啓動項前的勾選框勾選掉。
適用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

二十一：管理員帳號改名

配置名稱：管理員帳號更更名稱
配置要求：對於管理員賬號，要求更改缺省賬戶名稱administrator
操做指南：參考配置操做（適用2003） 進入」控制面板->管理工具->計算機管理」，在」系統工具->本地用戶和組」 參考配置操做（適用2008 x64） 進入」管理工具->服務器管理->配置->本地用戶和組」 檢查方法：檢測管理員賬戶是否更名，已改名爲符合要求 配置方法：「右鍵Administrator->屬性」，更更名稱便可 適用版本：Windows Server 200三、Windows Server 2008 X64

二十二：登陸失敗帳戶鎖定策略

配置名稱：配置登陸失敗帳戶鎖定策略，超過8次登陸失敗鎖定帳號策略 配置要求：應配置當用戶短期內連續認證失敗次數超過8次（不含8次），鎖定該用戶使用的帳號；設置帳戶鎖定時間爲30分鐘。 操做指南：參考配置操做（適用2003） 進入」控制面板->管理工具->本地安全策略->賬戶策略->賬戶鎖定策略->帳戶鎖定時間->屬性頁」 參考配置操做（適用2008 x64） 進入」管理工具->服務器管理->賬戶策略->賬戶鎖定策略->帳戶鎖定閥值->屬性頁」 檢查方法：一、」靜態口令認證技術的設備用戶是否連續認證失敗次數超過8次（不含8次），鎖定該用戶的帳號」； 二、檢查是否設置帳號鎖定時間爲30分鐘或更長； 符合以上2項檢查爲符合要求。 配置方法：一、在」帳戶鎖定閥值」屬性頁中，設置爲 8次； 二、在」帳戶鎖定時間」屬性頁中，設置爲30分鐘 適用版本：Windows Server 200三、Windows Server 2008 X64

二十三：本機防火牆設置

配置名稱：檢查Windows是否啓用自帶防火牆
配置要求：啓用Windows 自帶防火牆。根據業務須要限定容許訪問網絡的應用程序，和容許遠程登錄該設備的IP地址範圍。
操做指南：參考配置操做（適用2003） 」控制面板－>網絡鏈接－>本地鏈接->高級選項」 參考配置操做（適用2008 x64） 」控制面板－>系統和安全－>Windows防火牆->打開或關閉Windows防火牆選項」 檢查方法：檢查Windows是否啓用自帶防火牆」. 配置方法：一、啓用Windows防火牆。 在」例外」中配置容許業務所需的程序接入網絡。 在」例外->編輯->更改範圍」編輯容許接入的網絡地址範圍。 適用版本：Windows Server 200三、Windows Server 2008 X64

二十四：DEP功能啓用

配置名稱：DEP功能啓用
配置要求：對於Windows 2003及Windows 2008對Windows操做系統程序和服務啓用系統自帶DEP功能(數據執行保護)，防止在受保護內存位置運行有害代碼。 操做指南：參考配置操做（適用200三、2008 x64） 進入」控制面板->系統」，在」高級」選項卡的」性能」下的」設置」。進入 「數據執行保護」選項卡。 檢查方法：檢測Windows是否啓用數據執行保護，啓動爲符合要求。 配置方法：在「數據執行保護」選項卡中，設置爲」僅爲基本 Windows 操做系統程序和服務啓用DEP」。 適用版本：Windows Server 200三、Windows Server 2008 X64

二十五：服務檢查

配置名稱：Windows服務輸出
配置要求：列出所須要服務的列表(包括所需的系統服務)，經過與系統管理員確認無異常服務存在。通常狀況下，如無特殊必要，
不該安裝IIS、DNS、WINS、DHCP等服務或組件。
配置指南：參考配置操做（適用2000、2003） 進入」控制面板->管理工具->計算機管理」，進入」服務和應用程序」： 查看全部服務，輸出全部服務列表，查看是否有異常服務。 參考配置操做（適用2008 x64） 進入」管理工具->服務器管理」，在」配置->服務」： 查看全部服務，輸出全部服務列表，查看是否有異常服務。 檢查方法：一、系統管理員應出具系統所必要的服務列表。 二、查看全部服務，不在此列表的服務需關閉。 或建議關閉Task Scheduler 計劃任務，Routing and Remote Access在局域網以及廣域網環境中爲企業提供路由服務。 RemoteRegistry使遠程用戶能修改此計算機上的註冊表設置。Print Spooler將文件加載到內存中以便遲後打印。關閉無線服務和telnet服務。 配置方法：進入」控制面板->管理工具->計算機管理」，進入」服務和應用程序」： 查看全部服務，不在此列表的服務是否已關閉。 適用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64