Windows 系统安全基线要求

Windows系统安全基线要求测试项基本要求测试子项测试内容测试方法要求结果身份鉴别应对登录操作系统的用户进行身份标识和鉴别检查系统登录是否需要密码登陆系统是否需要密码检查是否有无需输入密码就可访问的用户帐户不能存在空密码帐户操作系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换口令复杂度“密码必须符合复杂性要求”选择“已启动”进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：查看是否“密码必须符合复杂性要求”选择“已启动”最短密码长度8个字符，启用本机组策略中密码必须符合复杂性要求的策略。口令定期更换对于采用静态口令认证技术的设备，检查账户口令的生存期进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：查看“密码最长存留期”“密码最长存留期”设置不大于“90天”应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施登录失败措施检查对于采用静态口令认证技术的设备，检查当用户连续认证失败次数的限制进入“控制面板-管理工具-本地安全策略”，在“帐户策略-帐户锁定策略”：查看“账户锁定阀值”设置“账户锁定阀值”设置为小于或等于6次访问控制当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听远程管理服务数据传输安全禁用Telnet服务进入“控制面板-管理工具-服务”，查看“Telnet”的启动类型和服务状态Telnet启动类型为禁用，服务状态为已停止应为操作系统不同用户分配不同的用户名，确保用户名具有唯一性应用和操作系统用户权限检查系统账号数量，和管理员确认每个账号的使用人和用途进入“控制面板-管理工具-计算机管理”，查看存在多少启用账户，做好记录不同用户使用不同的用户名，不存在共用账户、无用账户现象应限制默认账户的访问权限，重命名系统默认账户，修改这些账户的默认口令默认账号检查对于管理员帐号，要求更改缺省帐户名称；禁用guest（来宾）帐号。进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：缺省帐户Administrator－属性Guest帐号-属性缺省账户Administrator名称已更改。Guest帐号已停用。应限制远程登允许远程登录检查允许远程登进入“我的电脑-属性-系统记录可以远程登录测试项基本要求测试子项测试内容测试方法要求结果录系统账户的账户检查录的账户属性”，在“远程-远程桌面-选择用户”：查看允许远程登录的账户的账户，以及使用人安全审计审计范围应覆盖到服务器和重要客户端上的每个操作系统用户审核登录设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。“控制面板-管理工具-本地安全策略-审核策略”审核登录事件。审核登录事件，设置为成功和失败都审核。审核账户管理启用组策略中对Windows系统的审核帐户管理，成功和失败都要审核进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中：查看“审核账户管理”设置“审核账户管理”设置为“成功”和“失败”都要审核审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件审核对象访问启用组策略中对Windows系统的审核对象访问，成功和失败都要审核进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中：查看“审核对象访问”设置“审核对象访问”设置为“成功”和“失败”都要审核审核事件目录服务器访问启用组策略中对Windows系统的审核目录服务访问，失败进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中：查看“审核目录服务器访问”设置“审核目录服务器访问”设置为“成功”和“失败”都要审核审核特权使用启用组策略中对Windows系统的审核特权使用，成功和失败都要审核进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中：查看“审核特权使用”设置“审核特权使用”设置为“成功”和“失败”都要审核审核过程追踪启用组策略中对Windows系统的审核过程追踪失败进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中：查看“审核过程追踪”设置“审核过程追踪”设置为“失败”需要审核审核系统事件启用组策略中对Windows系统的审核系统事件，成功和失败都要审核进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中：查看“审核系统事件”设置“审核系统事件”设置为“成功”和“失败”都要审核测试项基本要求测试子项测试内容测试方法要求结果日志文件大小设置应用日志文件大小至少为8192KB，设置当达到最大的日志尺寸时，按需要改写事件进入“控制面板-管理工具-事件查看器”，在“事件查看器（本地）”中：查看“应用日志”“系统日志”“安全日志”属性中的日志大小,以及设置当达到最大的日志尺寸时的相应策略“应用日志”“系统日志”“安全日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时，“按需要改写事件”应保护审计记录，避免受到未预期的删除、修改或覆盖等审核策略更改启用组策略中对Windows系统的审核策略更改，成功和失败都要审核进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中查看“审核策略更改”设置“审核策略更改”设置为“成功”和“失败”都要审核入侵防范操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新系统补丁更新检查查看系统内核版本号以及系统补丁更新情况进入“开始-运行”，输入“winmsd.exe”,记录OS名称、版本；进入“控制面板-添加或删除程序”，查看Windows最近安装补丁的时间；安装最新的补丁，建议配置wsus自动更新应用程序安装情况检查查看系统安装程序情况进入“控制面板-添加或删除程序”，查看除了系统补丁之外的安装程序删除已应用无关的程序安装专门的杀毒软件检查杀毒软件情况查看杀毒软件版本以及病毒库更新情况记录杀毒软件的版本号，病毒库更新时间，更新频率，以及杀毒策略安装统一的杀毒软件开启防火墙检查防火墙开启情况查看系统自带或第三方防火墙开启情况如是第三方防火墙，记录相关信息Windows防火墙开启，并阻断以业务无关的端口检查系统是否有恶意文件、病毒恶意文件、病毒检查检查系统是否存在恶意文件、病毒使用系统安装的杀毒软件进行杀毒操作，记录结果；并查看历时杀毒结果上线之前进行一次病毒查杀安全配置系统服务检查系统服务检查Alerter–禁用Clipbook–禁用测试项基本要求测试子项测试内容测试方法要求结果ComputerBrowser–禁用Messenger–禁用RemoteRegistry–禁用RoutingandRemoteAccess–禁用Telnet–禁用AutomaticUpdates–手动BackgroundIntelligentTransferService–手动检查系统是否启用SYN攻击保护在“开始-运行-键入regedit”查看注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect;推荐值：2。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted;推荐值：5。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen;推荐值数据：500。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried。推荐值数据：400。注册表检查项防止icmp重定向报文的攻击防止icmp重定向报文的攻击查看：hkey_local_machine\system\currentcontrolset\services\tcpip\parameters建议将enableicmpredirects值设为0禁止ipc空连接禁止ipc空连接查看：local_machine\system\currentcontrolset\control\lsa\建议将restrictanonymous值设为1资源控制应通过设定终端接入方式、网络地址范围等条件限制终端登录远程管理IP限制检查防火墙配置进行限制进入“控制面板-Windows防火墙”，在“Windows防火墙-例外”:查看“远程桌面-编辑-更改范围”的设置在主机防火墙上做访问控制，指定的IP地址对服务器进行远程管理应根据安全策略设置登录终端操作超时锁定屏幕保护设置启用屏幕保护程序，防止管理员忘记锁定机器被非法攻击进入“控制面板－显示－屏幕保护程序”：查看是否启用屏幕保护程序并记录当前的设置查看是否启用屏幕保护程序，设置等待时间为“5分钟”，启用“在恢复时使用密码保护”。测试项基本要求测试子项测试内容测试方法要求结果超时检查启用远程回话挂起时间限制进入“控制面板-管理工具-本地安全策略”，在“本地策略-安全选项”:查看“Microsoft网络服务器：在挂起会话之前所需的空闲时间”设置设置值不大于15分钟操作系统远程关机策略安全远程关机在本地安全设置中从远端系统强制关机只指派给Administrators组进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”:查看“从远端系统强制关机”设置“从远端系统强制关机”设置为“只指派给Administrtors组”操作系统本地关机策略安全本地关机在本地安全设置中关闭系统仅指派给Administrators组进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”:查看“关闭系统”设置“关闭系统”设置为“只指派给Administrators组”操作系统数据执行保护安全数据执行保护对Windows操作系统程序和服务启用系统自带DEP功能(数据执行保护)，防止在受保护内存位置运行有害代码进入“控制面板－系统”，在“高级”选项卡的“性能”下的“设置”。进入“数据执行保护”选项卡。查看“仅为基本Windows操作系统程序和服务启用DEP”“数据执行保护”选项卡已设置为“仅为基本Windows操作系统程序和服务启用DEP”共享文件夹及访问权限关闭默认共享非域环境中，关闭Windows硬盘默认共享，例如C$，D$进入“开始-运行”，输入“cmd”，在cmd.exe窗口中输入“netshare”，记录结果默认共享关闭根据需求对SNMP进行设定关闭SNMP服务管理或修改默认团体字关闭SNMP服务管理或修改默认团体字打开“控制面板”，打开“管理工具”中的“服务”，找到“SNMPService”，单击右键打开“属性”面板中的“安全”选项卡，在这个配置界面中，查看communitystrings，也就是微软所说的“团体名称”。设置SNMP团体为cssxxzx8668017并指定接受SNMP数据包地址为59.231.145.137关闭Windows自动播放功能关闭W