Windows安全基線

1、MicrosoftWindows安全配置基線下載可編輯.專業(yè).整理.版本變更記錄目錄TOC o 1-5 h z HYPERLINK l bookmark4 0目的4 HYPERLINK l bookmark6 帳戶管理、認(rèn)證授權(quán)4 HYPERLINK l bookmark8 帳戶4 HYPERLINK l bookmark12 口令5 HYPERLINK l bookmark20 授權(quán)6 HYPERLINK l bookmark28 日志配置操作8 HYPERLINK l bookmark30 日志配置8 HYPERLINK l bookmark46 IP協(xié)議安全配置12 HYPERLINK

2、l bookmark48 IP協(xié)議12 HYPERLINK l bookmark52 設(shè)備其他配置操作13 HYPERLINK l bookmark54 共享文件夾及訪問權(quán)限13 HYPERLINK l bookmark60 防病毒管理13 HYPERLINK l bookmark64 Windows服務(wù)14 HYPERLINK l bookmark76 啟動(dòng)項(xiàng)16 HYPERLINK l bookmark80 屏幕保護(hù)17 HYPERLINK l bookmark84 遠(yuǎn)程登錄控制17 HYPERLINK l bookmark88 補(bǔ)丁管理180目的本文檔規(guī)定了XX有限公司所維護(hù)管理的Win

3、dows操作系統(tǒng)的主機(jī)應(yīng)當(dāng)遵循的操作系統(tǒng)安全性設(shè)置標(biāo)準(zhǔn)，旨在指導(dǎo)系統(tǒng)管理人員或安全檢查人員進(jìn)行Windows操作系統(tǒng)的安全合規(guī)性檢查和配置。適用范圍：適用于XX有限公司。帳戶管理、認(rèn)證授權(quán)帳戶管理缺省帳戶安全基線項(xiàng)目名稱操作系統(tǒng)缺省帳戶安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-01-01-01安全基線項(xiàng)說明對(duì)于管理員帳號(hào)，要求更改缺省帳戶名稱；禁用guest（來賓）帳號(hào)。檢測操作步驟進(jìn)入“控制面板-管理工具-計(jì)算機(jī)管理”在“系統(tǒng)工具-本地用戶和組”缺省帳戶Administrator屬性Guest帳號(hào)屬性基線符合性判定依據(jù)缺省帳戶Administrator名稱已更改。Guest帳號(hào)已停用

4、。備注1.1.2按照丿用戶分配帳戶*安全基線項(xiàng)目名稱操作系統(tǒng)用戶帳戶劃分安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-01-01-02安全基線項(xiàng)說明按照用戶分配帳戶。根據(jù)系統(tǒng)的要求，設(shè)定不同的帳戶和帳戶組，管理員用戶，數(shù)據(jù)庫用戶，審計(jì)用戶，來賓用戶等。檢測操作步驟進(jìn)入“控制面板-管理工具-計(jì)算機(jī)管理”在“系統(tǒng)工具-本地用戶和組”根據(jù)系統(tǒng)的要求，設(shè)定不同的帳戶和帳戶組，管理員用戶，數(shù)據(jù)庫用戶，審計(jì)用戶，來賓用戶?；€符合性判定依據(jù)結(jié)合要求和實(shí)際業(yè)務(wù)情況判斷符合要求，根據(jù)系統(tǒng)的要求，設(shè)定不同的帳戶和帳戶組，管理員用戶，數(shù)據(jù)庫用戶，審計(jì)用戶，來賓用戶。備注手工判斷，需要根據(jù)實(shí)際情況判斷帳戶用途1

5、.1.3刪除一與設(shè)備無關(guān)帳戶*安全基線項(xiàng)目名稱操作系統(tǒng)與設(shè)備無關(guān)帳戶安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-01-01-03安全基線項(xiàng)說明刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等與工作無關(guān)的帳戶檢測操作步驟進(jìn)入“控制面板-管理工具-計(jì)算機(jī)管理”在“系統(tǒng)工具-本地用戶和組”刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等與工作無關(guān)的帳戶?；€符合性判定依據(jù)結(jié)合要求和實(shí)際業(yè)務(wù)情況判斷符合要求，刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等與工作無關(guān)的帳戶。進(jìn)入“控制面板-管理工具-計(jì)算機(jī)管理”在“系統(tǒng)工具-本地用戶和組”查看是否刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等與工作無關(guān)的帳戶。備注手工判斷，需要根據(jù)實(shí)際情況判斷帳戶是否為無關(guān)帳戶口令密碼復(fù)雜

6、度安全基線項(xiàng)目名稱操作系統(tǒng)密碼復(fù)雜度安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-01-02-01安全基線項(xiàng)最短密碼長度8個(gè)字符，啟用本機(jī)組策略中密碼必須符合復(fù)雜性要求的策說明略。即密碼至少包含以下四種類別的字符中的3種：英語大寫字母A,B,C,Z央語小與字母a,b,c,z西方阿拉伯?dāng)?shù)字0,1,2,9非字母數(shù)字字符，如標(biāo)點(diǎn)符號(hào)，,#,$,%,&,*等檢測操作步驟進(jìn)入“控制面板-管理工具-本地安全策略”在“帳戶策略-密碼策略”查看是否“密碼必須符合復(fù)雜性要求”選擇“已啟動(dòng)”基線符合性“密碼最小長度”大于等于8判定依據(jù)“密碼必須符合復(fù)雜性要求”選擇“已啟動(dòng)”備注密碼最長留存期安全基線項(xiàng)目名稱操

7、作系統(tǒng)密碼歷史安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-01-02-02安全基線項(xiàng)說明對(duì)于米用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，帳戶口令的生存期不長于90天。檢測操作步驟進(jìn)入“控制面板-管理工具-本地安全策略”在“帳戶策略-密碼策略”查看“密碼最長存留期”基線符合性判定依據(jù)“密碼最長存留期”設(shè)置不大于“90天”備注帳戶鎖定策略安全基線項(xiàng)目名稱操作系統(tǒng)帳戶鎖定策略安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-01-02-03安全基線項(xiàng)說明對(duì)于米用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過6次，鎖定該用戶使用的帳戶。檢測操作步驟進(jìn)入“控制面板-管理工具-本地安全策略”在“帳戶策略-

8、帳戶鎖定策略”查看“帳戶鎖定閥值”設(shè)置基線符合性判定依據(jù)“帳戶鎖定閥值”設(shè)置為小于或等于6次備注授權(quán)遠(yuǎn)程關(guān)機(jī)安全基線項(xiàng)目名稱操作系統(tǒng)遠(yuǎn)程關(guān)機(jī)策略安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-01-03-01安全基線項(xiàng)說明在本地安全設(shè)置中從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)只指派給Administrators組。檢測操作步驟進(jìn)入“控制面板-管理工具-本地安全策略”在“本地策略-用戶權(quán)利指派”：查看“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置基線符合性判定依據(jù)“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置為“只指派給Administrtors組”備注本地關(guān)機(jī)安全基線項(xiàng)目名稱操作系統(tǒng)本地關(guān)機(jī)策略安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-01-

9、03-02安全基線項(xiàng)說明在本地安全設(shè)置中關(guān)閉系統(tǒng)僅指派給Administrators組。檢測操作步驟進(jìn)入“控制面板-管理工具-本地安全策略”,在“本地策略-用戶權(quán)利指派”：查看“關(guān)閉系統(tǒng)”設(shè)置基線符合性判定依據(jù)“關(guān)閉系統(tǒng)”設(shè)置為“只指派給Administrators組”備注1.3.3用戶彳權(quán)利指派*安全基線項(xiàng)目名稱操作系統(tǒng)用戶權(quán)力指派策略安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-01-03-03安全基線項(xiàng)說明在本地安全設(shè)置中取得文件或其它對(duì)象的所有權(quán)僅指派給Administrators。檢測操作步驟進(jìn)入“控制面板-管理工具-本地安全策略”,在“本地策略-用戶權(quán)利指派”：查看是否“取得文

10、件或其它對(duì)象的所有權(quán)”設(shè)置基線符合性判定依據(jù)“取得文件或其它對(duì)象的所有權(quán)”設(shè)置為“只指派給Administrators組”備注手工檢查1.3.4授權(quán)彳帳戶登陸*安全基線項(xiàng)目名稱操作系統(tǒng)用戶授權(quán)登陸安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-01-03-04安全基線項(xiàng)說明在本地安全設(shè)置中配置指定授權(quán)用戶允許本地登陸此計(jì)算機(jī)。檢測操作步驟進(jìn)入“控制面板-管理工具-本地安全策略”在“本地策略-用戶權(quán)利指派”“從本地登陸此計(jì)算機(jī)”設(shè)置為“指定授權(quán)用戶”基線符合性判定依據(jù)“從本地登陸此計(jì)算機(jī)”設(shè)置為“指定授權(quán)用戶”進(jìn)入“控制面板-管理工具-本地安全策略”在“本地策略-用戶權(quán)利指派”查看是否“從本地

11、登陸此計(jì)算機(jī)”設(shè)置為“指定授權(quán)用戶”備注手工判斷是否授權(quán)1.3.5授權(quán)帳戶從網(wǎng)絡(luò)訪問*安全基線項(xiàng)目名稱操作系統(tǒng)用戶授權(quán)從網(wǎng)絡(luò)訪問安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-01-03-05安全基線項(xiàng)說明在組策略中只允許授權(quán)帳號(hào)從網(wǎng)絡(luò)訪問（包括網(wǎng)絡(luò)共享等，但不包括終端服務(wù)）此計(jì)算機(jī)。檢測操作步驟進(jìn)入“控制面板-管理工具-本地安全策略”在“本地策略-用戶權(quán)利指派”“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”設(shè)置為“指定授權(quán)用戶”基線符合性判定依據(jù)“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”設(shè)置為“指定授權(quán)用戶”進(jìn)入“控制面板-管理工具-本地安全策略”在“本地策略-用戶權(quán)利指派”查看是否“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”設(shè)置為“指定授權(quán)用戶”備注手

12、工判斷是否授權(quán)日志配置操作日志配置審核登錄安全基線項(xiàng)目名稱操作系統(tǒng)審核登錄策略安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-02-01-01安全基線項(xiàng)說明設(shè)備應(yīng)配置日志功能，對(duì)用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的帳戶，登錄是否成功，登錄時(shí)間，以及遠(yuǎn)程登錄時(shí)，用戶使用的IP地址。檢測操作步驟開始-運(yùn)行-執(zhí)行“控制面板-管理工具-本地安全策略-審核策略”審核登錄事件?；€符合性判定依據(jù)審核登錄事件，設(shè)置為成功和失敗都審核。備注審核策略更改安全基線項(xiàng)目名稱操作系統(tǒng)審核策略更改安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-02-01-02安全基線項(xiàng)說明啟用組策略中對(duì)Windows系統(tǒng)的

13、審核策略更改，成功和失敗都要審核。檢測操作步驟進(jìn)入“控制面板-管理工具-本地安全策略”在“本地策略-審核策略”中查看“審核策略更改”設(shè)置?；€符合性判定依據(jù)“審核策略更改”設(shè)置為“成功”和“失敗”都要審核。備注審核對(duì)象訪問安全基線項(xiàng)目名稱操作系統(tǒng)審核對(duì)象訪問安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-02-01-03安全基線項(xiàng)說明啟用組策略中對(duì)Windows系統(tǒng)的審核對(duì)象訪問，成功和失敗都要審核。檢測操作步驟進(jìn)入“控制面板-管理工具-本地安全策略”在“本地策略-審核策略”中：查看“審核對(duì)象訪問”設(shè)置?；€符合性判定依據(jù)“審核對(duì)象訪問”設(shè)置為“成功”和“失敗”都要審核。備注等保三級(jí)要求設(shè)置

14、為“成功”和“失敗”都要審核，但使用此設(shè)置日志文件很大，可考慮僅設(shè)置為“失敗”要審核審核事件目錄服務(wù)器訪問安全基線項(xiàng)目名稱操作系統(tǒng)審核事件目錄服務(wù)器訪問策略安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-02-01-04安全基線項(xiàng)說明啟用組策略中對(duì)Windows系統(tǒng)的審核目錄服務(wù)訪問，失敗。檢測操作步驟進(jìn)入“控制面板-管理工具-本地安全策略”在“本地策略-審核策略”中：查看“審核目錄服務(wù)器訪問”設(shè)置?；€符合性判定依據(jù)“審核目錄服務(wù)器訪問”設(shè)置為“成功”和“失敗”都要審核。備注等保三級(jí)要求設(shè)置為“成功”和“失敗”都要審核，但使用此設(shè)置日志文件很大，可考慮僅設(shè)置為“失敗”要審核2.1.5審核彳

15、寺權(quán)使用安全基線項(xiàng)目名稱操作系統(tǒng)審核特權(quán)使用策略安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-02-01-05安全基線項(xiàng)說明啟用組策略中對(duì)Windows系統(tǒng)的審核特權(quán)使用，成功和失敗都要審核。檢測操作步驟進(jìn)入“控制面板-管理工具-本地安全策略”在“本地策略-審核策略”中：查看“審核特權(quán)使用”設(shè)置?；€符合性判定依據(jù)“審核特權(quán)使用”設(shè)置為“成功”和“失敗”都要審核。備注等保三級(jí)要求設(shè)置為“成功”和“失敗”都要審核，但使用此設(shè)置日志文件很大，可考慮僅設(shè)置為“失敗”要審核2.1.6審核系統(tǒng)事件安全基線項(xiàng)目名稱操作系統(tǒng)審核系統(tǒng)事件策略安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-02-01-0

16、6安全基線項(xiàng)說明啟用組策略中對(duì)Windows系統(tǒng)的審核系統(tǒng)事件，成功和失敗都要審核。檢測操作步驟進(jìn)入“控制面板-管理工具-本地安全策略”在“本地策略-審核策略”中：查看“審核系統(tǒng)事件”設(shè)置?；€符合性判定依據(jù)“審核系統(tǒng)事件”設(shè)置為“成功”和“失敗”都要審核。備注2.1.7審核彳帳戶管理安全基線項(xiàng)目名稱操作系統(tǒng)審核帳戶管理策略安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-02-01-07安全基線項(xiàng)說明啟用組策略中對(duì)Windows系統(tǒng)的審核帳戶管理，成功和失敗都要審核。檢測操作步驟進(jìn)入“控制面板-管理工具-本地安全策略”在“本地策略-審核策略”中：查看“審核帳戶管理”設(shè)置?；€符合性判定依據(jù)“審核帳戶管理”設(shè)置為“成功”和“失敗”都要審核。備注2.1.8審核過程追蹤安全基線項(xiàng)目名稱操作系統(tǒng)審核過程追蹤策略安全基線要求項(xiàng)安全基線編號(hào)SBL-Windows-02-01-08安全基線項(xiàng)說明啟用組策略中對(duì)Windows系統(tǒng)的審核過程追蹤失敗。檢測操作步驟進(jìn)入“控制面板-管理工具-本地安全策略”在“本地策略-審核策略”中：查看“審核過程追蹤”設(shè)置?；€符合性判定依據(jù)“審核過程追蹤”設(shè)置為“成功”和“失敗”都要審核。備注2.1.9日志文件大小安全基線項(xiàng)目名稱操作系統(tǒng)日志容量安全基線要求項(xiàng)安全基