Windows-安全配置规范.doc

Windows 安全配置规范 2010年11月 概述 1.1适用范围 本规范明确了Windows操作系统在安全配置方面的基本要求，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。 适用于中国电信所有运行的Windows操作系统，包括Windows 2000、Windows XP、Windows2003, Windows7 , Windows 2008以及各版本中的Sever、Professional版本。 安全配置要求 账号 编号：1 要求内容 应按照不同的用户分配不同的账号，避免不同用户间共享账号，避免用户账号和设备间通信使用的账号共享。 操作指南 1、参考配置操作 进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”： 根据系统的要求，设定不同的账户和账户组。 检测方法 判定条件 结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的账户和账户组 2、检测操作 进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”： 查看根据系统的要求，设定不同的账户和账户组 编号：2 要求内容 应删除与运行、维护等工作无关的账号。 操作指南 1．参考配置操作 A）可使用用户管理工具： 开始-运行-compmgmt.msc-本地用户和组-用户 B）也可以通过net命令： 删除账号： net user account/de1 停用账号：net user account/active:no 检测方法 判定条件 结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的账号。 注：主要指测试帐户、共享帐号、已经不用账号等 2.检测操作 开始-运行-compmgmt.msc-本地用户和组-用户 编号：3 要求内容 重命名Administrator；禁用guest（来宾）帐号。 操作指南 1、参考配置操作 进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”： Administrator－属性－ 更改名称 Guest帐号-属性－ 已停用 检测方法 1、判定条件 缺省账户Administrator名称已更改。 Guest帐号已停用。 2、检测操作 进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”： 缺省帐户－属性－ 更改名称 Guest帐号-属性－ 已停用 口令 编号：1 要求内容 密码长度要求：最少8位 密码复杂度要求：至少包含以下四种类别的字符中的三种： 英语大写字母 A, B, C, … Z 英语小写字母 a, b, c, … z 阿拉伯数字 0, 1, 2, … 9 非字母数字字符，如标点符号，@, #, $, %, , *等 操作指南 1、参考配置操作 进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”： “密码必须符合复杂性要求”选择“已启动” 检测方法 1、判定条件 “密码必须符合复杂性要求”选择“已启动” 2、检测操作 进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”： 查看是否“密码必须符合复杂性要求”选择“已启动” 编号：2 要求内容 对于采用静态口令认证技术的设备，账户口令的生存期不长于90天。 操作指南 1、参考配置操作 进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”： “密码最长存留期”设置为“90天” 检测方法 1、判定条件 “密码最长存留期”设置为“90天” 2、检测操作 进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”： 查看是否“密码最长存留期”设置为“90天” 编号：3 要求内容 对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。 操作指南 1、参考配置操作 进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”： “强制密码历史”设置为“记住5个密码” 检测方法 1、判定条件 “强制密码历史”设置为“记住5个密码” 2、检测操作 进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”： 查看是否“强制密码历史”设置为“记住5个密码” 编号：4 要求内容 对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。 操作指南 1、参考配置操作 进入“控制面板-管理工具-本地安全策略”，在“帐户策略-帐户锁定策略”： “账户锁定阀值”设置为 6次 检测方法 1、判定条件 “账户锁定阀值”设置为小于或等于 6次 2、检测操作 进入“控制面板-管理工具-本地安全策略”，在“帐户策略-帐户锁定策略”： 查看是否“账户锁定阀值”设置为小于等于 6次 补充说明： 设置不当可能导致账号大面积锁定，在域环境中应小心设置，Administr