您的当前位置：首页系统安全配置技术规范-Windows

系统安全配置技术规范-Windows

来源：爱站旅游

系统安全配置技术规范—Windows

版本日期文档编号文档发布 V0.9 2013-06-03

212211文档说明

（一）变更信息

版本号变更日期变更者变更理由/变更内容备注

（二）文档审核人

姓名职位签名日期

1. 2.

适用范围 ..................................................................................................................................... 5 帐号管理与授权 ......................................................................................................................... 5 2.1 【基本】删除或锁定可能无用的帐户 ................................................................................. 5 2.2 【基本】按照用户角色分配不同权限的帐号 ..................................................................... 5 2.3 【基本】口令策略设置不符合复杂度要求 ......................................................................... 6 2.4 【基本】设定不能重复使用口令 ......................................................................................... 6 2.5 不使用系统默认用户名 .................................................................................................... 6 2.6 口令生存期不得长于90天 .............................................................................................. 6 2.7 设定连续认证失败次数 .................................................................................................... 7 2.8 远端系统强制关机的权限设置 ........................................................................................ 7 2.9 关闭系统的权限设置 ........................................................................................................ 7 2.10 取得文件或其它对象的所有权设置 ................................................................................ 7 2.11 将从本地登录设置为指定授权用户 ................................................................................ 8 2.12 将从网络访问设置为指定授权用户 ................................................................................ 8 3. 日志配置要求 ............................................................................................................................. 8 3.1 【基本】审核策略设置中成功失败都要审核 ..................................................................... 8 3.2 【基本】设置日志查看器大小 ............................................................................................. 9 4. IP协议安全要求 ......................................................................................................................... 9 4.1 开启TCP/IP筛选 .............................................................................................................. 9 4.2 启用防火墙 ...................................................................................................................... 10 4.3 启用SYN攻击保护 ........................................................................................................ 10 5. 服务配置要求 ........................................................................................................................... 11 5.1 【基本】启用NTP服务 ..................................................................................................... 11 5.2 【基本】关闭不必要的服务 ............................................................................................... 11 5.3 【基本】关闭不必要的启动项 ........................................................................................... 11 5.4 【基本】关闭自动播放功能 ............................................................................................... 12 5.5 【基本】审核HOST文件的可疑条目 ............................................................................... 12 5.6 【基本】存在未知或无用的应用程序 ............................................................................... 12 5.7 【基本】关闭默认共享 ....................................................................................................... 13 5.8 【基本】非EVERYONE的授权共享 .................................................................................... 13 5.9 【基本】SNMP COMMUNITY STRING设置 ......................................................................... 13 5.10 【基本】删除可匿名访问共享 ...................................................................................... 13 5.11 关闭远程注册表 .............................................................................................................. 14 5.12 对于远程登陆的帐号，设置不活动断开时间为1小时 ............................................... 14 5.13 IIS服务补丁更新 ............................................................................................................ 14 6. 其它配置要求 ........................................................................................................................... 14 6.1 【基本】安装防病毒软件 ................................................................................................... 14 6.2 【基本】配置WSUS补丁更新服务器 .............................................................................. 15 6.3 【基本】SERVICE PACK补丁更新 ....................................................................................... 15 6.4 【基本】HOTFIX补丁更新 .................................................................................................. 15 6.5 设置带密码的屏幕保护 .................................................................................................. 16

6.6 交互式登录不显示上次登录用户名 .............................................................................. 16

1. 适用范围

如无特殊说明，本规范所有配置项适用于Windows操作系统 2003、2008系列版本。其中标示为“基本”字样的配置项，均为本公司对此类系统的基本安全配置要求；未标示“基本”字样的配置项，请各系统管理员视实际需求酌情遵从。

2. 帐号管理与授权

2.1 【基本】删除或锁定可能无用的帐户

配置项描述检查方法删除或锁定无用的帐户，定期清理无用账户，防止过期用户非法登入操作系统进入“控制面板->管理工具->计算机管理->系统工具->本地用户和组”：审核不必要的用户和组，审核帐户隶属的组权限，审核组用户。根据系统的要求和实际业务情况，设定不同的帐户和帐户组，如管理员用户、数据库用户、审计用户、来宾用户等。删除或锁定与设备运行、维护等与工作无关的帐户回退到原有的配置设置需要确认帐户用途操作步骤回退操作操作风险 2.2 【基本】按照用户角色分配不同权限的帐号

配置项描述检查方法操作步骤回退操作操作风险

按照用户角色分配不同权限的帐号，保证用户权限最小化进入“控制面板->管理工具->计算机管理->系统工具->本地用户和组”：审核用户和组，审核帐户隶属的组权限，审核组用户。根据系统的要求和实际业务情况，设定不同的帐户和帐户组，如管理员用户、数据库用户、审计用户、来宾用户等。回退到原有的配置设置需要确认帐户用途，确认用户所需权限 5

2.3 【基本】口令策略设置不符合复杂度要求

配置项描述检查方法操作步骤回退操作操作风险口令策略设置不符合复杂度要求，口令过于简单，易被黑客破译进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”中：检查“密码必须符合复杂度要求”设置设置“密码必须符合复杂度要求”已开启回退到原有的配置设置低风险 2.4 【基本】设定不能重复使用口令

配置项描述检查方法操作步骤回退操作操作风险设定不能重复使用最近5次（含5次）内已使用的口令进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”中：检查“强制密码历史”设置设置“强制密码历史”大于等于5 回退到原有的配置设置低风险 2.5 不使用系统默认用户名

配置项描述检查方法操作步骤回退操作操作风险 administrator、guest等默认帐户使用默认用户名，当攻击者发起穷举攻击时，使用默认用户名，会大大降低攻击者的攻击难度进入“控制面板->管理工具->计算机管理->系统工具->本地用户和组”：检查administrator、guest是否存在。 administrator、guest重命名回退到原有的配置设置可能导致某些自动登录的服务异常 2.6 口令生存期不得长于90天

配置项描述检查方法操作步骤回退操作口令生存期不得长于90天，应定期更改用户口令进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”中：检查“密码最长存留期”设置设置“密码最长存留期”小于等于90 回退到原有的配置设置 6

操作风险低风险 2.7 设定连续认证失败次数

配置项描述检查方法操作步骤回退操作操作风险设定连续认证失败次数超过6次（不含6次）锁定该账号进入“控制面板->管理工具->本地安全策略”，在“帐户策略->帐户锁定策略”中：检查“帐户锁定阀值”设置设置“帐户锁定阀值”小于等于6 回退到原有的配置设置可能导致恶意尝试锁定帐户 2.8 远端系统强制关机的权限设置

配置项描述检查方法操作步骤回退操作操作风险将从远端系统强制关机仅指派给Administrators组，避免普通用户拥有额外的系统控制权限进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”中：检查“从远端系统强制关机”设置设置“从远端系统强制关机”删除除Administrators以外其他项回退到原有的配置设置可能导致某些系统功能异常或应用非正常运行 2.9 关闭系统的权限设置

配置项描述检查方法操作步骤回退操作操作风险将关闭系统仅指派给Administrators组，避免普通用户拥有额外的系统控制权限进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”中：检查“关闭系统”设置设置“关闭系统”删除除Administrators以外其他项回退到原有的配置设置可能导致某些系统功能异常或应用非正常运行 2.10 取得文件或其它对象的所有权设置

配置项描述检查方法将取得文件或其它对象的所有权设置仅指派给Administrators组，避免普通用户拥有额外的系统控制权限进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”中：检查“取得文件或其它对象的所有权”设置 7

操作步骤回退操作风险设置“取得文件或其它对象的所有权”删除除Administrators以外其他项回退到原有的配置设置可能导致某些系统功能异常或应用非正常运行 2.11 将从本地登录设置为指定授权用户

配置项描述检查方法操作步骤回退操作操作风险将从本地登录设置为指定授权用户，将登陆权限赋予指定用户进入“控制面板->管理工具->本地安全策略”，在“本地安全策略->用户权利指派”中：检查“允许在本地登录”设置设置“允许在本地登录”只保留授权用户，删除其他项回退到原有的配置设置可能导致某些系统功能异常或应用非正常运行 2.12 将从网络访问设置为指定授权用户

配置项描述检查方法操作步骤回退操作操作风险将从网络访问设置为指定授权用户进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”中：检查“从网络访问”设置设置“从网络访问”只保留授权用户，删除其他项回退到原有的配置设置可能导致某些系统功能异常或应用非正常运行 3. 日志配置要求

3.1 【基本】审核策略设置中成功失败都要审核

配置项描述检查方法记录系统的所有审核信息，审核策略设置中成功失败都要审核进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：查看是否符合操作中提到的各标准将不符合评估内容项进行加固，安全标准设置如下：审核策略更改：成功和失败操作步骤审核登录事件：成功和失败审核系统事件：成功和失败审核帐户登录事件：成功和失败 8

审核帐户管理：成功和失败审核对象访问：成功和失败审核特权使用：成功和失败审核目录服务访问：成功和失败审核过程跟踪：失败其他设置无要求。回退操作操作风险回退到原有的配置设置开启无用的审核可能降低系统性能并占用一定磁盘空间 3.2 【基本】设置日志查看器大小

配置项描述将应用、系统、安全日志查看器大小设置为至少8192KB 进入“控制面板->管理工具->事件查看器”，在“事件查看器（本地）”中：（在应用程序日志、安全日志和系统日志上点右键，看属性中的日志大小上限设置，单位为KB。）查看是否符合操作中提到的各标准操作步骤回退操作操作风险将不符合评估内容项进行加固，应用日志的容量为8192KB，安全日志的容量为8192KB，系统日志的容量为8192KB，设置当达到最大的日志大小时，“按需要覆盖事件”。并且用户有流程定期转存日志回退到原有的配置设置低风险检查方法 4. IP协议安全要求

4.1 开启TCP/IP筛选

配置项描述对于不自带windows防火墙的系统，需开启TCP/IP筛选，切只能开放业务所需要的TCP、UDP端口和IP协议先请系统管理员出示业务所需端口列表。检查方法进入“控制面板－>网络连接－>本地连接－>Internet协议（TCP/IP）属性－>高级TCP/IP设置”，在“选项”的属性中启用网络连接上的TCP/IP筛选，根据列表查看是否只开放业务所需要的TCP、UDP端口和IP协议。注意异常端口，与管理员追查异常端口相关项。对没有自带防火墙的Windows系统，启用Windows系统的IP安全机制(IPSec)或网络连接上的TCP/IP筛选，只开放业务所需要的TCP、UDP端口和IP协议。回退到原有的配置设置必须正确设置网络访问控制策略，否则可能导致某些应用无法正常访问网络操作步骤回退操作操作风险 9

4.2 启用防火墙

配置项描述启用Windows自带防火墙，且根据业务需要限定允许访问网络的应用程序，和允许远程登陆该设备的IP地址范围进入“控制面板－>网络连接－>本地连接”，在高级选项的设置中，查看是否启用Windows防火墙。查看是否在“例外”中配置允许业务所需的程序接入网络。查看是否在“例外->编辑->更改范围”编辑允许接入的网络地址范围。操作步骤回退操作操作风险将不符合评估内容项进行加固，启用Windows自带防火墙。根据业务需要限定允许访问网络的应用程序，和允许远程登陆该设备的IP地址范围。回退到原有的配置设置必须正确设置网络访问控制策略，否则可能导致某些应用无法正常访问网络检查方法 4.3 启用SYN攻击保护

配置项描述启用SYN攻击保护，当攻击者发起SYN攻击时，避免CPU和内存资源被过度消耗在“开始->运行->键入regedit”。启用 SYN 攻击保护的命名值位于注册表项 HKEY_LOCAL_MACHINE\\ SYSTEM\\CurrentControlSet\\Services 之下：值名称：SynAttackProtect Windows2000推荐值：2 Windows2003推荐值：1 以下部分中的所有项和值均位于注册表项 HKEY_LOCAL_MACHINE\\ SYSTEM\\CurrentControlSet\\Services 之下：指定必须在触发 SYN flood 保护之前超过的 TCP 连接请求阈值：检查方法值名称：TcpMaxPortsExhausted 推荐值：5 启用 SynAttackProtect 后，该值指定 SYN_RCVD 状态中的 TCP 连接阈值，超过 SynAttackProtect 时，触发 SYN flood 保护：值名称：TcpMaxHalfOpen 推荐值数据：500 启用 SynAttackProtect 后，指定至少发送了一次重传的 SYN_RCVD 状态中的 TCP 连接阈值，超过 SynAttackProtect 时，触发 SYN flood 保护：值名称：TcpMaxHalfOpenRetried 推荐值数据：400 操作步骤 1、备份注册表原有的配置设置 2、将不符合评估内容项进行加固，启用SYN攻击保护： 10

指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阀值为5；指定处于 SYN_RCVD 状态的 TCP 连接数的阈值为500；指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值为400。回退操作操作风险回退到原有的配置设置必须正确设置网络访问控制策略，否则可能导致某些应用无法正常访问网络 5. 服务配置要求

5.1 【基本】启用NTP服务

配置项描述启用NTP服务，配置统一服务器时钟，应开启NTP服务向网络内指定的NTP server同步时钟。对于已加入域的服务器，系统将自动与域控服务器同步时钟；对于未加入域的服务器，需按以下步骤配置。点击桌面右下角时钟栏，开启“更改日期和时钟设置”-“internet时间” 操作步骤回退操作操作风险开启“自动与internet时间服务器同步”选型，在服务器栏中填写NTP server的IP地址，然后点击“立即更新” 恢复系统原有NTP配置需要时间源，中风险，系统时间更改检查方法 5.2 【基本】关闭不必要的服务

配置项描述检查方法操作步骤回退操作操作风险列出所需要服务的列表(包括所需的系统服务)，不在此列表的服务需关闭进入“控制面板->管理工具->计算机管理”，进入“服务和应用程序”：查看所有服务，不在此列表的服务需关闭。关闭不需要的服务回退到原有的配置设置关闭或停止某些服务可能导致应用运行异常 5.3 【基本】关闭不必要的启动项

配置项描述检查方法关闭不必要的启动项，优化系统资源，同时减少引入不必要的系统漏洞 “开始->运行->MSconfig”启动菜单中检查启动项 11

操作步骤回退操作操作风险关闭不必要的启动项回退到原有的配置设置需要确认启动项是否必须 5.4 【基本】关闭自动播放功能

配置项描述检查方法操作步骤回退操作操作风险关闭自动播放功能，避免执行未经扫描或确认的文件，从而引入木马或病毒点击开始→运行→输入gpedit.msc，打开组策略编辑器，计算机配置→管理模板→系统，在右边窗格中双击“关闭自动播放”，检查 “关闭自动播放”项设置在“关闭自动播放”对话框中，选择“已启用”，并选择“所有驱动器”，确定即可回退到原有的配置设置低风险 5.5 【基本】审核HOST文件的可疑条目

配置项描述检查方法删除HOST文件下的可疑条目查看是否符合操作中提到的标准，检查C:\\windows\\system32\\drivers\\etc目录下的用于静态DNS解析的HOSTS文件内容是否正常 1、备份HOSTS文件操作步骤回退操作操作风险 2、将不符合评估内容项进行加固，确保C:\\windows\\system32\\drivers\\etc目录下的用于静态DNS解析的HOSTS文件内容正常，对于未知条目可以与管理员追查将备份的HOSTS文件替换更改的文件与系统管理员确认后可执行加固 5.6 【基本】存在未知或无用的应用程序

配置项描述检查方法操作步骤回退操作风险存在未知或无用的应用程序，应定期清理应用程序列表中无用或未知的程序，防止系统被植入木马或病毒检查“添加或删除程序”面板中的列表备份需要协助的应用程序的配置文件不要安装不必要的应用程序，向管理员确认可卸载的应用软件项重新安装卸载的应用重新，恢复配置文件需要确认应用是否必须，可能需要重启系统 12

5.7 【基本】关闭默认共享

配置项描述检查方法关闭默认共享，未经确认的共享操作，尤其是对everyone的共享，会对信息安全造成严重威胁 net share或计算机管理--共享关闭Windows硬盘默认共享，例如ADMIN$，C$，D$。操作步骤进入“开始－>运行－>Regedit”，进入注册表编辑器，更改注册表键值：在HKLM\\System\\CurrentControlSet\\Services\\LanmanServer\\Parameters\\下，增加REG_DWORD类型的AutoShareServer 键，值为0。回退到原有的配置设置可能导致某些必须使用共享的应用非正常运行回退操作操作风险 5.8 【基本】非everyone的授权共享

配置项描述检查方法操作步骤回退操作操作风险共享文件夹中，设置只允许授权的账户拥有权限共享此文件夹检查共享文件夹中的授权用户设置共享文件夹中的授权用户为指定用户，而非everyone 回退到原有的配置设置须经测试，可能导致某些使用共享的应用异常 5.9 【基本】SNMP Community String设置

配置项描述检查方法操作步骤回退操作操作风险如需启用SNMP服务，修改默认的SNMP Community String设置进入“控制面板->管理工具->计算机管理”，进入“服务和应用程序”：检查“SNMP Service”， “属性”面板中的“安全”选项卡的community strings设置 community strings改为其他，不是默认的“public” 回退到原有的配置设置可能导致服务不正常 5.10 【基本】删除可匿名访问共享

配置项描述检查方法操作步骤回退操作删除可匿名访问共享，共享文件应明确共享对象，且不允许匿名访问进入“控制面板->管理工具->本地安全策略”，在“本地策略->安全选项”中：检查“网络访问: 可匿名访问的共享”设置删除“网络访问: 可匿名访问的共享”中的所有项回退到原有的配置设置 13

操作风险可能导致某些系统功能异常或应用非正常运行 5.11 关闭远程注册表

配置项描述检查方法操作步骤回退操作操作风险关闭远程注册表，防止用户远程修改或查看系统注册表进入“控制面板->管理工具->计算机管理”，进入“服务和应用程序”：检查“Remote Registry” 设置“Remote Registry”已停用回退到原有的配置设置某些应用可能需要此功能 5.12 对于远程登陆的帐号，设置不活动断开时间为1小时

配置项描述检查方法操作步骤回退操作操作风险对于远程登陆的帐号，设置不活动断开时间为1小时，长时间空闲账户将自动退出进入“控制面板->管理工具->本地安全策略”，在“本地策略->安全选项”中：检查“Microsoft 网络服务器：在挂起会话前所需的空闲时间”设置设置“Microsoft 网络服务器：在挂起会话前所需的空闲时间”小于等于1小时回退到原有的配置设置可能导致某些应用运行异常 5.13 IIS服务补丁更新

配置项描述检查方法操作步骤回退操作操作风险如需启用IIS服务，IIS服务补丁需及时更新检查IIS版本安装IIS 补丁包或升级到IIS6.0 卸载IIS 补丁包可能导致服务不正常 6. 其它配置要求

6.1 【基本】安装防病毒软件

配置项描述安装防病毒软件和防病毒软件并及时升级 14

检查方法操作步骤回退操作操作风险检查杀毒软件的安装和升级情况安装杀毒软件并升级到最新版本卸载杀毒软件或回退到以前版本需要重启并可能误删正常的系统或应用文件 6.2 【基本】配置WSUS补丁更新服务器

配置项描述指定系统获取补丁的位置，将更新源指向WSUS服务器 1.执行regedit调出注册表编辑器 2.查看参数检查方法 [HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\WindowsUpdate] \"WUServer\"和\"WUStatusServer\"，确认其是否为\"http://10.23.134.8\" 管理员使用域账号登录\\\\10.23.134.8\\wsus-reg，下载WSUS配置程序，配置程序包括：办公服务器组：对应注册表文件为serverbg.reg 操作步骤业务服务器组：对应注册表文件为serveryw.reg 用户根据业务需要选择下载相应的配置程序，执行完*.reg文件后，重启automatic update服务，并在命令行下执行wuauclt /detectnow，开启客户端主动触发更新机制。回退操作操作风险

修改注册表配置，恢复更新服务器指向需要重启且未经测试的补丁可能导致应用运行异常 6.3 【基本】Service Pack补丁更新

配置项描述检查方法操作步骤回退操作操作风险 Service Pack补丁未及时更新，将为攻击者提供入侵漏洞检查Service Pack补丁版本安装最新Service Pack补丁包卸载Service Pack补丁包需要重启且未经测试的补丁可能导致应用运行异常 6.4 【基本】Hotfix补丁更新

配置项描述检查方法操作步骤 Hotfix补丁更新，将为攻击者提供入侵漏洞检查Hotfix补丁版本安装最新Hotfix补丁包 15

回退操作操作风险卸载Hotfix补丁包需要重启且未经测试的补丁可能导致应用运行异常 6.5 设置带密码的屏幕保护

配置项描述检查方法操作步骤回退操作操作风险设置带密码的屏幕保护，并将时间设定为5分钟，防止合法用户未及时退出登录，造成数据泄露进入“控制面板－>显示－>屏幕保护程序”：查看是否符合操作中提到的标准将不符合评估内容项进行加固，查看是否启用屏幕保护程序，设置等待时间为“5分钟”，启用“在恢复时使用密码保护”。回退到原有的配置设置低风险 6.6 交互式登录不显示上次登录用户名

配置项描述检查方法操作步骤回退操作操作风险交互式登录未设置不显示上次登录的用户名，攻击者可以此获取系统用户信息，降低攻击难度进入“控制面板->管理工具->本地安全策略”，在“本地策略->安全选项”中：检查“交互式登录: 不显示上次的用户名”设置设置“交互式登录: 不显示上次的用户名”为已开启回退到原有的配置设置低风险

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文