各類操作系統(tǒng)安全基線配置及操作指南

1、1 / 174各類操作系統(tǒng)安全配置要求及操作指南檢查模塊 支持系統(tǒng)版本號 Windows Windows 2000 以上 SolarisSolaris 8 以上AIX AIX 5.X 以上HP-UNIX HP-UNIX 11 以上Linux 內(nèi)核版本 2.6 以上Oracle Oracle &以上SQLServerMicrosoft SQL Server 2000 以上MySQL MySQL 5.x 以上IIS IIS 5.x 以上Apache Apache 2.x 以上Tomcat Tomcat 5.x 以上WebLogic WebLogic 8.X 以上2 / 174Windows

2、 操作系統(tǒng) 安全配置要求及操作指南I. 目錄 目 錄I前 言 . II1范圍 . 12規(guī)范性引用文件 . 13縮略語 . 14安全配置要求 . 24.1賬號 . 24.2口令 . 34.3授權(quán) . 54.4補丁 . 74.5防護軟件 . 84.6防病毒軟件 . 84.7日志安全要求 . 94.8不必要的服務 . 114.9啟動項 . 124.10關(guān)閉自動播放功能 . 134.11共享文件夾 . 134.12使用 NTFS 文件系統(tǒng) . 144.13網(wǎng)絡訪問 . 154.14會話超時設置 . 164.15注冊表設置 . 17附錄 A:端口及服務 .183 / 174II、八前言 為了在工程驗收、

3、運行維護、安全檢查等環(huán)節(jié)，規(guī)范并落實安全配置要求， 編制了一系列的安全配置要求及操作指南， 明確了操作系統(tǒng)、 數(shù)據(jù)庫、 應用中間 件在內(nèi)的通用安全配置要求及參考操作。該系列安全配置要求及操作指南的結(jié)構(gòu)及名稱預計如下:（ 1 ） Windows 操作系統(tǒng)安全配置要求及操作指南 （本規(guī)范）（2） AIX 操作系統(tǒng)安全配置要求及操作指南（3） HP-UX 操作系統(tǒng)安全配置要求及操作指南（4） Linux 操作系統(tǒng)安全配置要求及操作指南（5）Solaris 操作系統(tǒng)安全配置要求及操作指南（6） MS SQL serve 數(shù)據(jù)庫安全配置要求及操作指南（ 7） MySQL 數(shù)據(jù)庫安全配置要求及操作指南（8

4、）Oracle 數(shù)據(jù)庫安全配置要求及操作指南（ 9） Apache 安全配置要求及操作指南（10）IIS 安全配置要求及操作指南（ 11 ） Tomcat 安全配置要求及操作指南（ 12） WebLogic 安全配置要求及操作指南11 范圍適用于使用 Windows 操作系統(tǒng)的設備。在未特別說明的情況下，均適用于所 有運行的 Windows 操作系統(tǒng)， 包括 Windows 2000、 Windows XP、 Windows2003, Windows7 ,Windows 2008 以及各版本中的 Sever、Professional 版本。本規(guī)范明確了 Windows 操作系統(tǒng)在安全配置方面的

5、基本要求， 適用于所有的安 全等級，可作為編制設備入網(wǎng)測試、 安全驗收、 安全檢查規(guī)范等文檔的參考。由于版本不同，配置操作有所不同， 本規(guī)范以 Windows 2003 為例，給出參考配 置操作。2 規(guī)范性引用文件GB/T22239-2008信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求YD/T 1732-2008固定通信網(wǎng)安全防護要求YD/T 1734-2008移動通信網(wǎng)安全防護要求YD/T 1736-2008互聯(lián)網(wǎng)安全防護要求YD/T 1738-2008增值業(yè)務網(wǎng) 消息網(wǎng)安全防護要求YD/T 1740-2008增值業(yè)務網(wǎng) 智能網(wǎng)安全防護要求YD/T 1758-2008非核心生產(chǎn)單元安全防護要求Y

6、D/T 1742-2008接入網(wǎng)安全防護要求YD/T 1744-2008傳送網(wǎng)安全防護要求4 / 174YD/T 1746-2008IP 承載網(wǎng)安全防護要求YD/T 1748-2008信令網(wǎng)安全防護要求YD/T 1750-2008同步網(wǎng)安全防護要求YD/T 1752-2008支撐網(wǎng)安全防護要求YD/T 1756-2008電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級保護要求3 縮略語UDP User Datagram Protocol 用戶數(shù)據(jù)包協(xié)議TCP Tran smissio n Control Protocol輸控制協(xié)議2NTFS New Technology File System 新技術(shù)文件系統(tǒng)4 安

7、全配置要求4.1 賬號編號：1要求內(nèi)容 應按照不同的用戶分配不同的賬號，避免不同用戶間共享賬號。避 免用戶賬號和設備間通信使用的賬號共享。操作指南 1、參考配置操作 進入“控制面板 -管理工具 -計算機管理” ，在“系統(tǒng)工具 -本地用 戶和組” ：根據(jù)系統(tǒng)的要求，設定不同的賬戶和賬戶組。 檢測方法 1、 判定條件 結(jié)合要求和實際業(yè)務情況判斷符合要求，根據(jù)系統(tǒng)的要求，設定不 同的賬戶和賬戶組2、檢測操作進入“控制面板 -管理工具 -計算機管理” ，在“系統(tǒng)工具 -本地用 戶和組” ：查看根據(jù)系統(tǒng)的要求，設定不同的賬戶和賬戶組編號：2要求內(nèi)容 應刪除與運行、維護等工作無關(guān)的賬號。操作指南 1參考配

8、置操作A） 可使用用戶管理工具：開始-運行-compmgmt.msc-本地用戶和組-用戶B） 也可以通過 net 命令：刪除賬號： net user account/de1停用賬號： net user account/active:no檢測方法1.判定條件結(jié)合要求和實際業(yè)務情況判斷符合要求，刪除或鎖定與設備運行、維護 等與工作無關(guān)的賬號。3 注：無關(guān)的賬號主要指測試帳戶、共享帳號、長期不用賬號（半年以上 不用）等2.檢測操作開始-運行-compmgmt.msc-本地用戶和組-用戶 編號： 3要求內(nèi)容 重命名 Administrator;禁用 guest （來賓）帳號。操作指南 1、參考配置操作

9、5 / 174進入“控制面板 -管理工具 -計算機管理” ，在“系統(tǒng)工具 -本地用 戶和組” ：Administrator 屬性一 更改名稱Guest 帳號-屬性 已停用檢測方法 1、判定條件缺省賬戶 Administrator 名稱已更改。Guest 帳號已停用。2、檢測操作進入“控制面板 -管理工具 -計算機管理” ，在“系統(tǒng)工具 -本地用 戶和組” ：缺省帳戶 屬性 更改名稱 Guest 帳號-屬性 已停用4.2 口令編號： 1 要求內(nèi)容 密碼長度要求：最少 8 位 密碼復雜度要求：至少包含以下四種類別的字符中的三種：z 英語大寫字母 A, B, C,Zz 英語小寫字母 a, b, c,

10、zz 阿拉伯數(shù)字 0, 1, 2, 9z 非字母數(shù)字字符，如標點符號， , #, $, %, &, *等4操作指南1、參考配置操作進入“控制面板 -管理工具 -本地安全策略” ，在“帳戶策略 -密碼 策略” ：“密碼必須符合復雜性要求”選擇“已啟動” 檢測方法1、判定條件“密碼必須符合復雜性要求”選擇“已啟動”906 / 1742、檢測操作進入“控制面板 -管理工具 -本地安全策略” ，在“帳戶策略 -密碼 策略” ：查看是否“密碼必須符合復雜性要求”選擇“已啟動”編號：2要求內(nèi)容 對于采用靜態(tài)口令認證技術(shù)的設備，賬戶口令的生存期不長于 天。操作指南 1、參考配置操作 進入“控制面板

11、-管理工具 -本地安全策略” ，在“帳戶策略 -密碼 策略” ：“密碼最長存留期”設置為“ 90 天” 檢測方法 1、判定條件“密碼最長存留期”設置為“ 90 天”2、檢測操作 進入“控制面板 -管理工具 -本地安全策略” ，在“帳戶策略 -密碼 策略” ：查看是否“密碼最長存留期”設置為“ 90 天”編號：3要求內(nèi)容 對于采用靜態(tài)口令認證技術(shù)的設備，應配置設備，使用戶不能重復 使用最近5 次（含 5 次）內(nèi)已使用的口令。操作指南 1、參考配置操作5進入“控制面板 -管理工具 -本地安全策略” ，在“帳戶策略 -密碼 策略” ：“強制密碼歷史”設置為“記住 5 個密碼” 檢測方法 1、判定條件“強制密碼歷史”設置為“記住 5 個密碼”2、檢測操作進入“控制面板 -管理工具 -本地安全策略” ，在“帳戶策略 -密碼 策略” ：查看是否“強制密碼歷史”設置為“記住 5 個密碼”編號：4要