系统安全配置技术规范-Windows.doc

PAGE 5 系统安全配置技术规范—Windows 版本 V0.9 日期 2013-06-03 文档编号 文档发布 212211文档说明 （一）变更信息 版本号 变更日期 变更者 变更理由/变更内容 备注 （二）文档审核人 姓名 职位 签名 日期 目 录 TOC \o 1-3 \h \z \u 1. 适用范围 5 2. 帐号管理与授权 5 2.1 【基本】删除或锁定可能无用的帐户 5 2.2 【基本】按照用户角色分配不同权限的帐号 5 2.3 【基本】口令策略设置不符合复杂度要求 6 2.4 【基本】设定不能重复使用口令 6 2.5 不使用系统默认用户名 6 2.6 口令生存期不得长于90天 6 2.7 设定连续认证失败次数 7 2.8 远端系统强制关机的权限设置 7 2.9 关闭系统的权限设置 7 2.10 取得文件或其它对象的所有权设置 7 2.11 将从本地登录设置为指定授权用户 8 2.12 将从网络访问设置为指定授权用户 8 3. 日志配置要求 8 3.1 【基本】审核策略设置中成功失败都要审核 8 3.2 【基本】设置日志查看器大小 9 4. IP协议安全要求 9 4.1 开启TCP/IP筛选 9 4.2 启用防火墙 10 4.3 启用SYN攻击保护 10 5. 服务配置要求 11 5.1 【基本】启用NTP服务 11 5.2 【基本】关闭不必要的服务 11 5.3 【基本】关闭不必要的启动项 12 5.4 【基本】关闭自动播放功能 12 5.5 【基本】审核HOST文件的可疑条目 12 5.6 【基本】存在未知或无用的应用程序 12 5.7 【基本】关闭默认共享 13 5.8 【基本】非everyone的授权共享 13 5.9 【基本】SNMP Community String设置 13 5.10 【基本】删除可匿名访问共享 13 5.11 关闭远程注册表 14 5.12 对于远程登陆的帐号，设置不活动断开时间为1小时 14 5.13 IIS服务补丁更新 14 6. 其它配置要求 15 6.1 【基本】安装防病毒软件 15 6.2 【基本】配置WSUS补丁更新服务器 15 6.3 【基本】Service Pack补丁更新 15 6.4 【基本】Hotfix补丁更新 16 6.5 设置带密码的屏幕保护 16 6.6 交互式登录不显示上次登录用户名 16  适用范围 如无特殊说明，本规范所有配置项适用于Windows操作系统 2003、2008系列版本。其中标示为“基本”字样的配置项，均为本公司对此类系统的基本安全配置要求；未标示“基本”字样的配置项，请各系统管理员视实际需求酌情遵从。 帐号管理与授权 【基本】删除或锁定可能无用的帐户 配置项描述 删除或锁定无用的帐户，定期清理无用账户，防止过期用户非法登入操作系统 检查方法 进入“控制面板-管理工具-计算机管理-系统工具-本地用户和组”： 审核不必要的用户和组，审核帐户隶属的组权限，审核组用户。 操作步骤 根据系统的要求和实际业务情况，设定不同的帐户和帐户组，如管理员用户、数据库用户、审计用户、来宾用户等。删除或锁定与设备运行、维护等与工作无关的帐户 回退操作 回退到原有的配置设置 操作风险 需要确认帐户用途 【基本】按照用户角色分配不同权限的帐号 配置项描述 按照用户角色分配不同权限的帐号，保证用户权限最小化 检查方法 进入“控制面板-管理工具-计算机管理-系统工具-本地用户和组”： 审核用户和组，审核帐户隶属的组权限，审核组用户。 操作步骤 根据系统的要求和实际业务情况，设定不同的帐户和帐户组，如管理员用户、数据库用户、审计用户、来宾用户等。 回退操作 回退到原有的配置设置 操作风险 需要确认帐户用途，确认用户所需权限 【基本】口令策略设置不符合复杂度要求 配置项描述 口令策略设置不符合复杂度要求，口令过于简单，易被黑客破译 检查方法 进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”中： 检查“密码必须符合复杂度要求”设置 操作步骤 设置“密码必须符合复杂度要求”已开启 回退操作 回退到原有的配置设置 操作风险 低风险 【基本】设定不能重复使用口令 配置项描述 设定不能重复使用最近5次（含5次）内已使用的口令 检查方法 进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”中： 检查“强制密码历史”设置 操作步骤 设置“强制密码历史”大于等于5 回退操作 回退