Windows操作系统安全防护强制性要求

.word范文Windows操作系统安全防护强制性要求二〇一四年五月.word范文目录1.系统用户口令及策略加固...................................................11.1.系统用户口令策略加固...............................................11.2.用户权限设置.......................................................11.3.禁用Guest（来宾）帐户.............................................21.4.禁止使用超级管理员帐号.............................................31.5.删除多余的账号.....................................................32.日志审核策略配置.........................................................42.1.设置主机审核策略...................................................42.2.调整事件日志的大小及覆盖策略.......................................42.3.启用系统失败日志记录功能...........................................53.安全选项策略配置.........................................................53.1.设置挂起会话的空闲时间.............................................53.2.禁止发送未加密的密码到第三方SMB服务器............................63.3.禁用对所有驱动器和文件夹进行软盘复制和访问.........................63.4.禁止故障恢复控制台自动登录.........................................63.5.关机时清除虚拟内存页面文件.........................................73.6.禁止系统在未登录前关机.............................................73.7.不显示上次登录的用户名.............................................73.8.登录时需要按CTRL+ALT+DEL..........................................83.9.可被缓存的前次登录个数.............................................83.10.不允许SAM帐户和共享的匿名枚举..................................83.11.不允许为网络身份验证储存凭证或.NETPassports......................93.12.如果无法记录安全审核则立即关闭系统...............................93.13.禁止从本机发送远程协助邀请.......................................93.14.关闭故障恢复自动重新启动.........................................94.用户权限策略配置........................................................104.1.禁止用户组通过终端服务登录........................................104.2.只允许管理组通过终端服务登录......................................104.3.限制从网络访问此计算机............................................105.用户权限策略配置........................................................115.1.禁止自动登录......................................................115.2.禁止光驱自动运行..................................................115.3.启用源路由欺骗保护................................................125.4.删除IPC共享.....................................................126.网络与服务加固..........................................................136.1.卸载、禁用、停止不需要的服务......................................136.2.禁用不必要进程，防止病毒程序运行..................................146.3.关闭不必要启动项，防止病毒程序开机启动............................226.4.检查是否开启不必要的端口..........................................306.5.修改默认的远程桌面端口............................................316.6.启用客户端自带防火墙..............................................31.word范文6.7.检测DDOS攻击保护设置............................................326.8.检测ICMP攻击保护设置............................................336.9.检测TCP碎片攻击保护设置.........................................337.其他安全性加固..........................................................347.1.安装防火墙和防病毒软件............................................347.2.使用NTFS文件系统.................................................347.3.文件权限安全......................................................357.4.未经签名的驱动程序软件安装管理....................................357.5.屏幕保护..........................................................367.6.检查数据执行保护..................................................36.word范文1.系统用户口令及策略加固1.1.系统用户口令策略加固实施名称：系统用户口令策略加固系统当前状态：查看系统“本地安全设置”－“帐户策略”中“密码策略”和“账号锁定策略”当前情况实施方案：密码必须符合复杂性要求：启用密码长度最小值8个字符密码最长使用期限：90天强制密码历史：24个记住的密码帐户锁定阀值：3次无效登录帐户锁定时间：15分钟复位帐户锁定计数器：15分钟之后策略更改后，督促现有用户更改其登录口令以符合最新策略要求。实施目的：保障用户账号及口令的安全，防止口令猜测攻击。实施风险：无1.2.用户权限设置实施名称：禁止除管理员外的一般用户远程登录计算机或关闭计算机，同时禁止无用帐号的登录，可以防止恶意用户通过破解一般低权限的用户口令后使用该用户登录进行提权攻击。系统当前状态：开始→运行→gpedit.msc计算机配置→Windows设置→安全设置→本地策略→用户权利指派实施方案：1．参考配置操作检查用户权限策略是否设置：.word范文开始→运行→gpedit.msc计算机配置→Windows设置→安全设置→本地策略→用户权利指派此处有较多选项，建议对以下四项进行检查：从网络访问此计算机（可选）从远程系统强制关机拒绝本地登录建议做如下设置：从远程系统强制关机的权利仅指派给Administrators设置取得文件或其它对象的所有权为只指派给Administrators组拒绝本地登录：IUSR_MACHINENAME、IWAN_MACHINENAME等不需要使用的用户设置完成后使用secedit/refreshpolicymachine_policy命令刷新策略以快速生效（建议重新启动系统）2．补充操作说明如果设备需要文件共享，则不应设置从网络访问此计算机项实施目的：禁止除管理员外的一般用户远程登录计算机或关闭计算机，同时禁止无用帐号的登录实施风险：无1.3.禁用Guest（来宾）帐户实施名称：禁用Guest帐号，降低被攻击的风险系统当前状态：进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组-用户”实施方案：1、参考配置操作进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组-用户”：Guest帐号-属性－已停用.word范文实施目的：禁用Guest帐号，降低被攻击的风险实施风险：无1.4.禁止使用超级管理员帐号实施名称：防止系统被入侵后，入侵者直接获取最高用户权限系统当前状态：进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组-用户”实施方案：XP系统多用于日常办公使用，可禁止使用超级管理员账号，一般日常办公使用普通用户1、参考配置操作进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组-用户”：右键－新用户－自定义用户名2．补充操作说明默认新加的用户为普通用户权限，建议安装软件安装在非系统盘下。实施目的：防止系统被入侵后直接获取最高用户权限实施风险：无1.5.删除多余的账号实施名称：删除或禁用多余的系统账号系统当前状态：实施方案：开始—控制面板—管理工具—计算机管理—本地用户和组—用户：删除或者禁用多余的账号，建议只保留一个当前使用的账号实施目的：关闭多余的系统账号实施风险：无.word范文2.日志审核策略配置2.1.设置主机审核策略实施名称：设置主机审核策略系统当前状态：在“本地安全策略”－“本地策略”中查看系统“审核策略”实施方案：审核策略更改成功，失败审核登录事件成功，失败审核对象访问失败审核目录服务访问成功，失败审核特权使用失败审核系统事件成功，失败审核账户登录事件成功，失败审核帐户管理成功，失败实施目的：对重要事件进行审核记录，便于问题的追溯。实施风险：无2.2.调整事件日志的大小及覆盖策略实施名称：调整事件日志的大小及覆盖策略系统当前状态：日志类型日志大小覆盖策略应用程序日志K覆盖早于天的日志安全日志K覆盖早于天的日志系统日志K覆盖早于天的日志实施方案：右键点击“我的电脑”-“管理”-“事件查看器”-右键点击“系统”-“属性”-修改“最大文件大小”日志类型日志大小覆盖策略应用程序日志80000K覆盖早于30天的日志安全日志80000K覆盖早于30天的日志.word范文系统日志80000K覆盖早于30天的日志其他日志（如存在）8