您的当前位置：首页 Windows 安全配置规范

Windows 安全配置规范

来源：爱站旅游

Windows 安全配置规范

2010年11月

第1章概述

1.1适用范围

本规范明确了Windows操作系统在安全配置方面的基本要求，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。

适用于中国电信所有运行的Windows操作系统，包括Windows 2000、Windows XP、Windows2003, Windows7 , Windows 2008以及各版本中的Sever、Professional版本。

第2章安全配置要求

2.1

账号

编号：1

要求内容应按照不同的用户分配不同的账号，避免不同用户间共享账号，避免用户账号和设备间通信使用的账号共享。操作指南 1、参考配置操作进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：根据系统的要求，设定不同的账户和账户组。检测方法 1、判定条件结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的账户和账户组 2、检测操作进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：查看根据系统的要求，设定不同的账户和账户组编号：2

要求内容应删除与运行、维护等工作无关的账号。 1．参考配置操作 A）可使用用户管理工具：开始-运行-compmgmt.msc-本地用户和组-用户 B）也可以通过net命令：删除账号： net user account/de1 停用账号：net user account/active:no 1.判定条件结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的账号。操作指南检测方法注：主要指测试帐户、共享帐号、已经不用账号等 2.检测操作开始-运行-compmgmt.msc-本地用户和组-用户编号：3 要求内容操作指南重命名Administrator；禁用guest（来宾）帐号。 1、参考配置操作进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”： Administrator－>属性－> 更改名称 Guest帐号->属性－> 已停用检测方法 1、判定条件缺省账户Administrator名称已更改。 Guest帐号已停用。 2、检测操作进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：缺省帐户－>属性－> 更改名称 Guest帐号->属性－> 已停用 2.2

口令

编号：1

要求内容密码长度要求：最少8位密码复杂度要求：至少包含以下四种类别的字符中的三种：  英语大写字母 A, B, C, … Z  英语小写字母 a, b, c, … z  阿拉伯数字 0, 1, 2, … 9  非字母数字字符，如标点符号，@, #, $, %, &, *等操作指南 1、参考配置操作进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”： “密码必须符合复杂性要求”选择“已启动” 检测方法 1、判定条件 “密码必须符合复杂性要求”选择“已启动” 2、检测操作进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：查看是否“密码必须符合复杂性要求”选择“已启动” 编号：2

要求内容对于采用静态口令认证技术的设备，账户口令的生存期不长于90天。操作指南 1、参考配置操作进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”： “密码最长存留期”设置为“90天” 检测方法 1、判定条件 “密码最长存留期”设置为“90天” 2、检测操作进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：查看是否“密码最长存留期”设置为“90天” 编号：3

要求内容对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。操作指南 1、参考配置操作进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”： “强制密码历史”设置为“记住5个密码” 检测方法 1、判定条件 “强制密码历史”设置为“记住5个密码” 2、检测操作进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：查看是否“强制密码历史”设置为“记住5个密码” 编号：4

要求内容对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。操作指南 1、参考配置操作进入“控制面板->管理工具->本地安全策略”，在“帐户策略->帐户锁定策略”： “账户锁定阀值”设置为 6次检测方法 1、判定条件 “账户锁定阀值”设置为小于或等于 6次 2、检测操作进入“控制面板->管理工具->本地安全策略”，在“帐户策略->帐户锁定策略”：查看是否“账户锁定阀值”设置为小于等于 6次补充说明：设置不当可能导致账号大面积锁定，在域环境中应小心设置，Administrator 账号本身不会被锁定。

2.3

授权

编号：1

要求内容操作指南本地、远端系统强制关机只指派给Administrators组。 1、参考配置操作进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”: “关闭系统”设置为“只指派给Administrators组” “从远程系统强制关机”设置为“只指派给Administrators组” 检测方法 1、判定条件 “关闭系统”设置为“只指派给Administrators组” “从远端系统强制关机”设置为“只指派给Administrtors组” 2、检测操作进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”: 查看“关闭系统”设置为“只指派给Administrators组” 查看是否“从远端系统强制关机”设置为“只指派给Administrators组” 编号：2

要求内容在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。操作指南 1、参考配置操作进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”： “取得文件或其它对象的所有权”设置为“只指派给Administrators组” 检测方法 1、判定条件 “取得文件或其它对象的所有权”设置为“只指派给Administrators组” 2、检测操作进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”：查看是否“取得文件或其它对象的所有权”设置为“只指派给Administrators组” 编号：3

要求内容操作指南在本地安全设置中只允许授权帐号本地、远程访问登陆此计算机。 1、参考配置操作进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派” “从本地登陆此计算机”设置为“指定授权用户” “从网络访问此计算机”设置为“指定授权用户” 检测方法 1、判定条件 “从本地登陆此计算机”设置为“指定授权用户” “从网络访问此计算机”设置为“指定授权用户” 2、检测操作进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派” 查看是否“从本地登陆此计算机”设置为“指定授权用户” 查看是否“从网络访问此计算机”设置为“指定授权用户”

2.4

补丁

编号：1

要求内容在不影响业务的情况下，应安装最新的Service Pack 补丁集。对服务器系统应先进行兼容性测试。操作指南 1、参考配置操作安装最新的Service Pack补丁集，以及最新的Hotfix补丁。目前Windows XP的Service Pack为SP3。 Windows2000的Service Pack为SP4,Windows 2003的Service Pack为SP2 检测方法 1、判定条件 2、检测操作进入控制面板->添加或删除程序->显示更新打钩，查看是否XP系统已安装SP3，Win2000系统已安装SP4，Win2003系统已安装SP2。同时检查所有的hotfix，并查看系统安装的最后一个补丁的发布日期是否与最近最新发布的补丁日期一致。

2.5

防护软件

编号：1（可选）

要求内容启用自带防火墙或安装第三方威胁防护软件。根据业务需要限定允许访问网络的应用程序，和允许远程登陆该设备的IP地址范围。操作指南 1、参考配置操作（以启动自带防火墙为例）进入“控制面板－>网络连接－>本地连接”，在高级选项的设置中启用Windows防火墙。在“例外”中配置允许业务所需的程序接入网络。在“例外->编辑->更改范围”编辑允许接入的网络地址范围。检测方法 1、判定条件启用Windows防火墙。 “例外”中允许接入网络的程序均为业务所需。 2、检测操作进入“控制面板－>网络连接－>本地连接”，在高级选项的设置中，查看是否启用Windows防火墙。查看是否在“例外”中配置允许业务所需的程序接入网络。查看是否在“例外->编辑->更改范围”编辑允许接入的网络地址范围。

2.6

防病毒软件

编号：1

要求内容操作指南安装防病毒软件，并及时更新。 1、参考配置操作安装防病毒软件，并及时更新。检测方法 1、判定条件已安装放病毒软件，病毒码更新时间不早于1个月，各系统病毒码升级时间要求参见各系统相关规定。 2、检测操作控制面板->添加或删除程序，是否安装有防病毒软件。打开防病毒软件控制面板，查看病毒码更新日期。 2.8日志安全要求

编号：1 要求内容设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。操作指南 1、参考配置操作开始->运行-> 执行“ 控制面板->管理工具->本地安全策略->审核策略” 审核登录事件，双击，设置为成功和失败都审核。检测方法 1、判定条件审核登录事件，设置为成功和失败都审核。 2、检测操作开始->运行-> 执行“ 控制面板->管理工具->本地安全策略->审核策略” 审核登录事件，双击，查看是否设置为成功和失败都审核。编号：2

要求内容操作指南开启审核策略，以便出现安全问题后进行追查 1、参考配置操作对审核策略进行检查：开始-运行-gpedit.msc 计算机配置-Windows设置-安全设置-本地策略-审核策略以下审核是必须开启的，其他的可以根据需要增加：        审核系统登陆事件审核帐户管理审核登陆事件审核对象访问审核策略更改审核特权使用审核系统事件成功，失败成功，失败成功，失败成功成功，失败成功，失败成功，失败 2、补充说明可能会使日志量猛增检测方法 1、判定条件尝试对被添加了访问审核的对象进行访问，然后查看安全日志中是否会有相关记录，或通过其他手段激化以配置的审核策略，并观察日志中的记录情况，如果存在记录条目，则配置成功。 2、检测操作

编号：3 要求内容操作指南设置日志容量和覆盖规则，保证日志存储 1、参考配置操作开始-运行-eventvwr 右键选择日志，属性，根据实际需求设置：日志文件大小超过上线时的处理方式（建议日志记录天数不小于60天） 2、补充说明建议对每个日志均进行如上操作，同时应保证磁盘空间检测方法 1、判定条件 2、检测操作开始-运行-eventvwr，右键选择日志，属性，查看日志上线及超过上线时的处理方式

2.7

Windows服务

编号：1

要求内容操作指南关闭不必要的服务 1、参考配置操作进入“控制面板->管理工具->计算机管理”，进入“服务和应用程序”：查看所有服务，不在此列表的服务需关闭。可禁用的服务及其相关说明如附表所示检测方法 1、判定条件系统管理员应出具系统所必要的服务列表。查看所有服务，不在此列表的服务需关闭。 2、检测操作进入“控制面板->管理工具->计算机管理”，进入“服务和应用程序”：查看所有服务，不在此列表的服务是否已关闭。

编号： 2

要求内容操作指南如需启用SNMP服务，则修改默认的SNMP Community String设置。 1、参考配置操作打开“控制面板”，打开“管理工具”中的“服务”，找到“SNMP Service”，单击右键打开“属性”面板中的“安全”选项卡，在这个配置界面中，可以修改community strings，也就是微软所说的“团体名称”。检测方法 1、判定条件 community strings已改，不是默认的“public” 2、检测操作打开“控制面板”，打开“管理工具”中的“服务”，找到“SNMP Service”，单击右键打开“属性”面板中的“安全”选项卡，在这个配置界面中，查看community strings，也就是微软所说的“团体名称”。

编号： 3

要求内容如对互联网开放WindowsTerminial服务(Remote Desktop)，需修改默认服务端口。操作指南 1、参考配置操作运行 Regedt32 并转到此项: HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp 找到“PortNumber”子项，会看到默认值 00000D3D，它是 3389 的十六进制表示形式。使用十六进制数值修改此端口号，并保存新值。检测方法 1、判定条件找到“PortNumber”子项，设定值非00000D3D，即十进制3389 2、检测操作运行 Regedt32 ,找到此项并判断。 2.8

启动项要求内容操作指南关闭无效启动项 1、参考配置操作 “开始->运行->MSconfig”启动菜单中，取消不必要的启动项。检测方法 1、判定条件 2、检测操作系统管理员提供业务必须的自动加载进程和服务列表文档。查看“开始->运行->MSconfig”启动菜单：不需要的自动加载进程是否已禁用和取消。

2.9

关闭自动播放功能

编号：1

要求内容操作指南关闭Windows自动播放功能 1、参考配置操作点击开始→运行→输入gpedit.msc，打开组策略编辑器，浏览到计算机配置→管理模板→系统，在右边窗格中双击“关闭自动播放”，对话框中选择所有驱动器，确定即可。检测方法 1、判定条件所有驱动器均“关闭自动播放” 2、检测操作 “关闭自动播放”配置已启用，启用范围：所有驱动器。

2.10 共享文件夹

编号：1 要求内容操作指南关闭Windows硬盘默认共享，例如C$，D$。 1、参考配置操作进入“开始－>运行－>Regedit”，进入注册表编辑器，更改注册表键值：在HKLM\\System\\CurrentControlSet\\ Services\\LanmanServer\\Parameters\\下，增加REG_DWORD类型的AutoShareServer 键，值为 0。检测方法 1、判定条件 HKLM\\System\\CurrentControlSet\\ Services\\LanmanServer\\Parameters\\增加了REG_DWORD类型的AutoShareServer 键，值为 0。 2、检测操作进入“开始－>运行－>Regedit”，进入注册表编辑器，更改注册表键值： HKLM\\System\\CurrentControlSet\\Services\\LanmanServer\\Parameters\\，增加REG_DWORD类型的AutoShareServer 键，值为 0。编号：2 要求内容设置共享文件夹的访问权限，只允许授权的账户拥有权限共享此文件夹。操作指南 1、参考配置操作进入“控制面板->管理工具->计算机管理”，进入“系统工具－>共享文件夹”：查看每个共享文件夹的共享权限，只将权限授权于指定账户。检测方法 1、判定条件查看每个共享文件夹的共享权限仅限于业务需要，不设置成为“everyone”。 2、检测操作进入“控制面板->管理工具->计算机管理”，进入“系统工具－>共享文件夹”：查看每个共享文件夹的共享权限。

2.11 使用NTFS文件系统

要求内容操作指南在不毁坏数据的情况下，将ＦＡＴ分区改为ＮＴＦＳ格式 1、参考配置操作将FAT卷转换成NTFS分区 CONVERT volume /FS:NTFS[/V] [/CvtArea:filename][/NoSecurity] [/X] Volume 指定驱动器号（后面加一个冒号）、装载点或卷名 /FS:NTFS 指定要被转换成NTFS的卷 /V 指定CONVERT 应该用详述模式运行 /CvtArea:filename 将根目录中的一个接续文件指定为NTFS系统文件的占位符 /NoSecurity 指定每个人都可以访问转换的文件和目录的安全设置 /X 如果必要，先强行卸载卷，有打开的句柄则无效例如： Covert C：/FS:NTFS 备注：在有其他非WIN系统访问、存在数据共享的情况下，不建议将ＦＡＴ分区改为ＮＴＦＳ格式检测方法 1、判定条件 2、检测操作

2.12 会话超时设置（可选）

编号：1 要求内容操作指南对于远程登录的账户，设置不活动所连接时间15分钟 1、参考配置操作进入“控制面板—管理工具—本地安全策略”，在“安全策略—安全选项”：“Microsoft 网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟检测方法 1、判定条件 “Microsoft 网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟 2、检测操作进入“控制面板—管理工具—本地安全策略”，在“安全策略—安全选项”：查看“Microsoft 网络服务器”设置

2.13 注册表：（可选）

编号：1

要求内容操作指南在不影响系统稳定运行的前提下，对注册表信息进行更新。 1、参考配置操作  自动登录： HKLM\\Software\\Microsoft\\WindowsNT\\ CurrentVersion\\Winlogon\\AutoAdminLogon (REG_DWORD) 0  源路由欺骗保护： HKLM\\System\\CurrentControlSet\\ Services\\Tcpip\\Parameters\\DisableIPSourceRouting (REG_DWORD) 2  删除匿名用户空链接 HKEY_LOCAL_MACHINE SYSTEM\\Current\\Control\\Set\\Control\\Lsa 将restrictanonymous 的值设置为1，若该值不存在，可以自己创建，类型为REG_DWORD 修改完成后重新启动系统生效  碎片攻击保护： HKLM\\System\\CurrentControlSet\\ Services\\Tcpip\\Parameters\\EnablePMTUDiscovery (REG_DWORD) 1  Syn flood 攻击保护： HKLM\\System\\CurrentControlSet\\ Services\\Tcpip\\Parameters\\SynAttackProtect (REG_DWORD) 2 SYN攻击保护-管理TCP半开sockets的最大数目: HKLM\\System\\CurrentControlSet\\Services\\Tcpip\\Parameters\\ TcpMaxHalfOpen (REG_DWORD) 100 或 500 检测方法 1、判定条件 2、检测操作点击开始->运行，然后在打开行里输入regedit，然后单击确定，查看相关注册表项进行查看；使用空连接扫描工具无法远程枚举用户名和用户组

附表：端口及服务

服务名称端口服务说明系统服务部分 echo echo discard discard daytime daytime qotd qotd chargen chargen 7/TCP 7/UDP 9/UDP 9/TCP 13/UDP 13/TCP 17/TCP 17/UDP 19/TCP 19/UDP RFC862_回声协议 RFC862_回声协议 RFC863 废除协议 RFC863 废除协议 RFC867 白天协议 RFC867 白天协议 RFC865 白天协议的引用 RFC865 白天协议的引用 RFC864 字符产生协议 RFC864 字符产生协议关闭\"FTP ftp 21/TCP 文件传输协议(控制) Publishing Service\"服务。关闭\"Simple Mail smtp 25/TCP 简单邮件发送协议 Transport Protocol\"服务。建议关闭根据情况选择开放关闭\"Simple TCP/IP Services\"服务。建议关闭关闭方法处置建议 42/TCP nameserver 42/UDP 53/UDP domain 53/TCP DHCP 服务器/Internet 连接共享 DHCP协议客户端域名服务器 WINS 主机名服务关闭\"Windows Internet Name Service\"服务。根据情况选择关闭\"DNS Server\"服务。关闭\"Simple TCP/IP Services\"服务。关闭\"DHCP Client\"服务。关闭\"World Wide Web Publishing Service\"服务。系统基本服务在网卡的TCP/IP选项中\"WINS\"页勾选\"禁用TCP/IP上的NETBIOS\" 系统基本服务关闭\"SNMP \"服务关闭\"World Wide Web Publishing Service\"服务运行regedit，打开HKEY_LOCAL_MA建议关闭建议关闭开放根据情况选择开放建议关闭 dhcps 67/UDP dhcpc 68/UDP http 80/TCP HTTP 万维网发布服务根据情况选择开放无法关闭无法关闭根据情况选择开放根据情况选择开放无法关闭根据情况选择开放根据情况选择开放 epmap netbios-ns netbios-dgm netbios-ssn snmp 135/TCP 135/UDP 137/UDP 138/UDP 139/TCP 161/UDP RPC服务 NetBIOS 名称解析 NetBIOS 数据报服务 NetBIOS 会话服务 SNMP 服务安全超文本传输协议 https 443/TCP 445/UDP CHINE\\System\\CurrentControlSet\\Services\\NetBT\\Parameters添加名为\"SMBDeviceEnabled\"的子键，类型dword，值为0重新启动计算机根据情况选择开放 microsoft-ds SMB 服务器 445/TCP isakmp 500/UDP IPSec ISAKMP 本地安全机构关闭\"IPSEC Policy Agent\"服务很少使用的服务，如不使用ipsec，建议关闭旧式 RADIUS RADIUS 1645/UDP Internet 身份验证服务旧式 RADIUS RADIUS 1646/UDP Internet 身份验证服务 radius 1812/UDP 身份验证 Internet 身份验证服务计帐 Internet 身份验证服务 MSMQ-RPC 消息队列关闭\"Message Queuing\"服务。关闭\"Terminal Services\"服务。关闭\"Remote Access Connection Manager\"服务建议关闭建议关闭建议关闭 radacct 1813/UDP 建议关闭 MSMQ-RPC 2105/TCP 建议关闭 Termsrv 3389/TCP 终端服务其他常用服务根据情况选择开放 Apache 80/TCP 8000/TCP Apache HTTP 服务器关闭\"Apache2\"服务。关闭根据情况选择开放 ms-sql-s 1433/TCP 1434/UDP 微软公司数据库 \"MSSQLServer\"服务。关闭根据情况选择开放 ORACLE 1521/TCP 甲骨文公司数据库 \"OracleOraHome90TNSListener\"服务。关闭\"Remote 根据情况选择开放 remote administrator 4899/TCP Famatech公司远程控制软件 Administrator Service \"服务。关闭\"Sybase 根据情况选择开放 sybase 5000/TCP Sybase公司数据库 SQLServer\"字样开始的服务。根据情况选择开放 pcAnywhere 5631/TCP 5632/UDP Symantec公司远程控制软件关闭\"pcAnywhere Host Service\"字样开始的服务。根据情况选择开放

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文