Windows安全配置指引

Windows系統(tǒng)安全配置指南Windows系統(tǒng)安全配置指南中國聯(lián)通信息化事業(yè)部 第中國聯(lián)通信息化事業(yè)部 第頁共21頁密碼最短期限天天實(shí)施風(fēng)險(xiǎn)業(yè)務(wù)系統(tǒng)直接利用的賬號不適用密碼最長天期限備注2.2.3帳戶鎖定策略項(xiàng)目名稱操作系統(tǒng)賬戶鎖定策略要求項(xiàng)編號項(xiàng)目說明對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過次（不含次），鎖定該用戶使用的賬號。檢測操作步驟進(jìn)入“控制面板 管理工具本地安全策略”，在“帳戶策略 帳戶鎖定策略”：查看“賬戶鎖定閥值”設(shè)置符合性判定依據(jù)“賬戶鎖定閥值”設(shè)置為小于或等于次配置方法參考配置操作：進(jìn)入“控制面板管理工具本地安全策略”，在“帳戶策略賬戶鎖定策略”。設(shè)置如下策略：策略默認(rèn)設(shè)置推薦最低設(shè)置賬戶鎖定時(shí)間未定義分鐘賬戶鎖定閾值次無效登錄復(fù)位賬戶鎖定計(jì)數(shù)器未定義分鐘實(shí)施風(fēng)險(xiǎn)安全掃描檢測暴力破解口令將導(dǎo)致賬號鎖定。備注2.3授權(quán)2.3.1遠(yuǎn)程關(guān)機(jī)項(xiàng)目名稱操作系統(tǒng)遠(yuǎn)程關(guān)機(jī)策略要求項(xiàng)編號項(xiàng)目說明在本地安全設(shè)置中從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)只指派給 組。檢測操作步進(jìn)入“控制面板管理工具本地安全策略”，在“本地策略用戶權(quán)利指派”

驟查看“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置符合性判定依據(jù)“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置為“只指派給 組”配置方法進(jìn)入“控制面板管理工具 本地安全策略”，在“本地策略用戶權(quán)利指派”?！皬倪h(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置為“只指派給 組”。實(shí)施風(fēng)險(xiǎn)風(fēng)險(xiǎn)較小備注2.3.2本地關(guān)機(jī)項(xiàng)目名稱操作系統(tǒng)本地關(guān)機(jī)策略要求項(xiàng)編號項(xiàng)目說明在本地安全設(shè)置中關(guān)閉系統(tǒng)僅指派給 組。檢測操作步驟進(jìn)入“控制面板管理工具本地安全策略”，在“本地策略用戶權(quán)利指派”查看“關(guān)閉系統(tǒng)”設(shè)置符合性判定依據(jù)“關(guān)閉系統(tǒng)”設(shè)置為“只指派給 組”配置方法參考配置操作：進(jìn)入“控制面板管理工具本地安全策略”，在“本地策略用戶權(quán)利指派”?！瓣P(guān)閉系統(tǒng)”設(shè)置為“只指派給 組”。實(shí)施風(fēng)險(xiǎn)風(fēng)險(xiǎn)較小備注2.3.3用戶權(quán)利指派項(xiàng)目名稱操作系統(tǒng)用戶權(quán)力指派策略要求項(xiàng)編號項(xiàng)目說明在本地安全設(shè)置中取得文件或其它對象的所有權(quán)僅指派給 。檢測操作步驟進(jìn)入“控制面板 管理工具本地安全策略”，在“本地策略 用戶權(quán)利指派”：查看是否“取得文件或其它對象的所有權(quán)”設(shè)置符合性判定依據(jù)“取得文件或其它對象的所有權(quán)”設(shè)置為“只指派給 組”配置方法進(jìn)入“控制面板 管理工具本地安全策略”，在“本地策略用戶權(quán)利指派”。

“取得文件或其它對象的所有權(quán)”設(shè)置為“只指派給 組”。實(shí)施風(fēng)險(xiǎn)風(fēng)險(xiǎn)較小備注第3章日志配置操作3.1日志配置3.1.1審核登錄項(xiàng)目名稱操作系統(tǒng)審核登錄策略要求項(xiàng)編號項(xiàng)目說明設(shè)備應(yīng)配置日志功能，對用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的賬號，登錄是否成功，登錄時(shí)間，以及遠(yuǎn)程登錄時(shí)，用戶使用的地址。檢測操作步驟開始運(yùn)行執(zhí)行“控制面板管理工具本地安全策略審核策略”審核登錄事件。符合性判定依據(jù)審核登錄事件，設(shè)置為成功和失敗都審核。配置方法參考配置操作：開始運(yùn)行執(zhí)行“控制面板管理工具本地安全策略審核策略”審核登錄事件，雙擊，設(shè)置為成功和失敗都審核。實(shí)施風(fēng)險(xiǎn)風(fēng)險(xiǎn)較小備注3.1.2審核策略更改項(xiàng)目名稱操作系統(tǒng)審核策略更改要求項(xiàng)編號項(xiàng)目說明啟用組策略中對 系統(tǒng)的審核策略更改，成功和失敗都要審核。檢測操作步驟進(jìn)入“控制面板管理工具本地安全策略”，在“本地策略審核策略”中查看“審核策略更改”設(shè)置。符合性判定依據(jù)“審核策略更改”設(shè)置為“成功”和“失敗”都要審核。配置方法參考配置操作：開始運(yùn)行執(zhí)行“控制面板管理工具本地安全策略審核策略”

審核策略更改，雙擊，設(shè)置為成功和失敗都審核。實(shí)施風(fēng)險(xiǎn)風(fēng)險(xiǎn)較小備注3.1.3審核對象訪問項(xiàng)目名稱操作系統(tǒng)審核對象訪問要求項(xiàng)編號項(xiàng)目說明啟用組策略中對 系統(tǒng)的審核對象訪問，成功和失敗都要審核。檢測操作步驟進(jìn)入“控制面板管理工具本地安全策略”，在“本地策略審核策略”中：查看“審核對象訪問”設(shè)置。符合性判定依據(jù)“審核對象訪問”設(shè)置為“成功”和“失敗”都要審核。配置方法參考配置操作：開始運(yùn)行執(zhí)行“控制面板管理工具本地安全策略審核策略”審核對象訪問，雙擊，設(shè)置為成功和失敗都審核。實(shí)施風(fēng)險(xiǎn)風(fēng)險(xiǎn)較小備注3.1.4審核事件目錄服務(wù)器訪問項(xiàng)目名稱操作系統(tǒng)審核事件目錄服務(wù)器訪問策略要求項(xiàng)編號項(xiàng)目說明啟用組策略中對 系統(tǒng)的審核目錄服務(wù)訪問，失敗。檢測操作步驟進(jìn)入“控制面板管理工具本地安全策略”，在“本地策略審核策略”中：查看“審核目錄服務(wù)器訪問”設(shè)置。符合性判定依據(jù)“審核目錄服務(wù)器訪問”設(shè)置為“成功”和“失敗”都要審核。配置方法參考配置操作：開始運(yùn)行執(zhí)行“控制面板管理工具本地安全策略審核策略”審核目錄服務(wù)器訪問，雙擊，設(shè)置為成功和失敗都審核。實(shí)施風(fēng)險(xiǎn)風(fēng)險(xiǎn)較小

備注3.1.5審核特權(quán)使用項(xiàng)目名稱操作系統(tǒng)審核特權(quán)使用策略要求項(xiàng)編號項(xiàng)目說明啟用組策略中對 系統(tǒng)的審核特權(quán)使用，成功和失敗都要審核。檢測操作步驟進(jìn)入“控制面板管理工具本地安全策略”，在“本地策略審核策略”中：查看“審核特權(quán)使用”設(shè)置。符合性判定依據(jù)“審核特權(quán)使用”設(shè)置為“成功”和“失敗”都要審核。配置方法參考配置操作：開始運(yùn)行執(zhí)行“控制面板管理工具本地安全策略審核策略”審核特權(quán)使用，雙擊，設(shè)置為成功和失敗都審核。實(shí)施風(fēng)險(xiǎn)風(fēng)險(xiǎn)較小備注3.1.6審核系統(tǒng)事件項(xiàng)目名稱操作系統(tǒng)審核系統(tǒng)事件策略要求項(xiàng)編號項(xiàng)目說明啟用組策略中對 系統(tǒng)的審核系統(tǒng)事件，成功和失敗都要審核。檢測操作步驟進(jìn)入“控制面板管理工具本地安全策略”，在“本地策略審核策略”中：查看“審核系統(tǒng)事件”設(shè)置。符合性判定依據(jù)“審核系統(tǒng)事件”設(shè)置為“成功”和“失敗”都要審核。配置方法參考配置操作：開始運(yùn)行執(zhí)行“控制面板管理工具本地安全策略審核策略”審核系統(tǒng)事件，雙擊，設(shè)置為成功和失敗都審核。實(shí)施風(fēng)險(xiǎn)風(fēng)險(xiǎn)較小備注

3.1.7審核賬戶管理項(xiàng)目名稱操作系統(tǒng)審核賬戶管理策略要求項(xiàng)編號項(xiàng)目說明啟用組策略中對 系統(tǒng)的審核帳戶管理，成功和失敗都要審核。檢測操作步驟進(jìn)入“控制面板管理工具本地安全策略”，在“本地策略審核策略”中：查看“審核賬戶管理”設(shè)置。符合性判定依據(jù)“審核賬戶管理”設(shè)置為“成功”和“失敗”都要審核。配置方法參考配置操作：開始運(yùn)行執(zhí)行“控制面板管理工具本地安全策略審核策略”審核賬戶管理，雙擊，設(shè)置為成功和失敗都審核。實(shí)施風(fēng)險(xiǎn)風(fēng)險(xiǎn)較小備注3.1.8審核過程追蹤項(xiàng)目名稱操作系統(tǒng)審核過程追蹤策略要求項(xiàng)編號項(xiàng)目說明啟用組策略中對 系統(tǒng)的審核過程追蹤失敗。檢測操作步驟進(jìn)入“控制面板管理工具本地安全策略”，在“本地策略審核策略”中：查看“審核過程追蹤”設(shè)置。符合性判定依據(jù)“審核過程追蹤”設(shè)置為“失敗”需要審核。配置方法參考配置操作：開始運(yùn)行執(zhí)行“控制面板管理工具本地安全策略審核策略”審核過程追蹤，雙擊，設(shè)置為成功和失敗都審核。實(shí)施風(fēng)險(xiǎn)風(fēng)險(xiǎn)較小備注

3.1.9日志文件大小項(xiàng)目名稱操作系統(tǒng)日志容量要求項(xiàng)編號項(xiàng)目說明設(shè)置應(yīng)用日志文件大小至少為 ，設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)，按需要改寫事件。檢測操作步驟進(jìn)入“控制面板管理工具事件查看器”，在“事件查看器（本地）”中：查看“應(yīng)用日志”“系統(tǒng)日志”“安全日志”屬性中的日志大小以及設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)的相應(yīng)策略。符合性判定依據(jù)“應(yīng)用日志”“系統(tǒng)日志”“安全日志”屬性中的日志大小設(shè)置不小于“ 2設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)，“按需要改寫事件”配置方法參考配置操作：進(jìn)入“控制面板管理工具事件查看器”，在“事件查看器（本地）”中：“應(yīng)用日志”屬性中的日志大小設(shè)置不小于" ''設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)，“按需要改"件”“系統(tǒng)日志”屬性中的日志大小設(shè)置不小于" ''設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)，“按需要改"件”“安全日志”屬性中的日志大小設(shè)置不小于" ''設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)，“按需要改"件”實(shí)施風(fēng)險(xiǎn)需查看盤剩余空間。備注第4章IP協(xié)議安全配置IP協(xié)議啟用SYN攻擊保護(hù)項(xiàng)目名稱操作系統(tǒng) 攻擊保護(hù)要求項(xiàng)編號項(xiàng)目說明啟用攻擊保護(hù)；指定觸發(fā)洪水攻擊保護(hù)所必須超過的連接請求數(shù)閥值為5指定處于狀態(tài)的連接數(shù)的閾值為0指定處于至少已發(fā)送一次重傳的狀態(tài)中的連接數(shù)的閾值為。檢測操作步驟在“開始運(yùn)行鍵入 ”查看注冊表項(xiàng)r符合性判定依據(jù)推薦值：2推薦值：。推薦值數(shù)據(jù)： o。i薦值數(shù)據(jù)： 。

配置方法參考配置操作：在“開始運(yùn)行鍵入 ”啟用 攻擊保護(hù)的命名值位于注冊表項(xiàng)之下。值名稱：。推薦值：。以下部分中的所有項(xiàng)和值均位于注冊表項(xiàng)之下。指定必須在觸發(fā) 保護(hù)之前超過的 連接請求閾值。值名稱：。E薦值：。啟用 后，該值指定 狀態(tài)中的連接閾值，超過 時(shí)，觸發(fā) 保護(hù)。值名稱：。fO數(shù)據(jù)： 0啟用 后，指定至少發(fā)送了一次重傳的 狀態(tài)中的 連接閾值。超過 時(shí)，觸發(fā) 保護(hù)。值名稱： 。推薦值數(shù)據(jù)： 0實(shí)施風(fēng)險(xiǎn)業(yè)務(wù)系統(tǒng)可針對自身特點(diǎn)相應(yīng)調(diào)整具體數(shù)值，內(nèi)網(wǎng)系統(tǒng)遇到 攻擊概率較低。備注第5章設(shè)備其他配置操作共享文件夾及訪問權(quán)限關(guān)閉默認(rèn)共享項(xiàng)目名稱操作系統(tǒng)默認(rèn)共享要求項(xiàng)編號項(xiàng)目說明非域環(huán)境中，關(guān)閉 硬盤默認(rèn)共享，例如, $檢測操作步驟進(jìn)入“開始一運(yùn)行一 ”，進(jìn)入注冊表編輯器，查看S符合性判定依據(jù)鍵，值為r配置方法進(jìn)入“開始一運(yùn)行一 “，進(jìn)入注冊表編輯器，更改注冊表鍵值：在下，增加 類型的鍵，值為0實(shí)施風(fēng)險(xiǎn)利用共享訪問的業(yè)務(wù)系統(tǒng)需仔細(xì)測試。備注防病毒管理數(shù)據(jù)執(zhí)行保護(hù)項(xiàng)目名稱操作系統(tǒng)數(shù)據(jù)執(zhí)行保護(hù)要求項(xiàng)編號項(xiàng)目說明對于 及 對 操作系統(tǒng)程序和服務(wù)啟用系統(tǒng)自帶功能數(shù)據(jù)執(zhí)行保護(hù)，防止在受保護(hù)內(nèi)存位置運(yùn)行有害代碼。

檢測操作步驟進(jìn)入“控制面板一系統(tǒng)”，在“高級”選項(xiàng)卡的“性能”下的“設(shè)置”。進(jìn)入“數(shù)據(jù)執(zhí)行保護(hù)”選項(xiàng)卡。查看“僅為基本 操作系統(tǒng)程序和服務(wù)啟用空符合性判定依據(jù)“數(shù)據(jù)執(zhí)行保護(hù)”選項(xiàng)卡已設(shè)置為“僅為基本 操作系統(tǒng)程序和服務(wù)啟用空配置方法參考配置操作：進(jìn)入“控制面板一系統(tǒng)”，在“高級”選項(xiàng)卡的“性能”下的“設(shè)置”。進(jìn)入“數(shù)據(jù)執(zhí)行保護(hù)”選項(xiàng)卡。設(shè)置為“僅為基本 操作系統(tǒng)程序和服務(wù)啟用空實(shí)施風(fēng)險(xiǎn)風(fēng)險(xiǎn)較低。備注數(shù)據(jù)執(zhí)行保護(hù)是一種有助于防止您的計(jì)算機(jī)免受病毒和其他安全威脅破壞的安全功能。有害的程序可能會通過試圖運(yùn)行（也稱為“執(zhí)行”）計(jì)算機(jī)內(nèi)存中為和其他已授權(quán)程序保留的代碼來攻擊。這些類型的攻擊可能會損害您的程序和文件?？梢酝ㄟ^監(jiān)視程序以確保它們安全使用計(jì)算機(jī)內(nèi)存，幫助保護(hù)您的計(jì)算機(jī)。如果注意到計(jì)算機(jī)上的某個(gè)程序使用的內(nèi)存不正確，則它將關(guān)閉該程序并通知您。Windows月服務(wù)SNMP服務(wù)管理項(xiàng)目名稱操作系統(tǒng)SNMP服務(wù)管理要求項(xiàng)編號項(xiàng)目說明如需啟用SNMP服務(wù)，則修改默認(rèn)的SNMP 設(shè)置。檢測操作步驟打開“控制面板”，打開“管理工具”中的“服務(wù)”，找到“SNMPS ”,單擊右鍵打開“屬性”面板中的“安全”選項(xiàng)卡，在這個(gè)配置界面中，查看y也就是微軟所說的“團(tuán)體名稱”。符合性判定依據(jù)已改，不是默認(rèn)的“ l配置方法參考配置操作：打開“控制面板”，打開“管理工具”中的“服務(wù)”，找到“SNMP

Service"，單擊右鍵打開“屬性”面板中的“安全”選項(xiàng)卡，在這個(gè)配置界面中，可以修改cmmit $仃1也就是微軟所說的“團(tuán)體名稱”。實(shí)施風(fēng)險(xiǎn)相關(guān)smP服務(wù)器同時(shí)修改“團(tuán)體名稱”。備注啟動(dòng)項(xiàng)關(guān)閉Windows自動(dòng)播放功能項(xiàng)目名稱操作系統(tǒng)id自動(dòng)播放要求項(xiàng)編號ids項(xiàng)目說明關(guān)閉id自動(dòng)播放功能。檢測操作步驟打開“開始f運(yùn)行”，