Microsoft-Windows安全配置風(fēng)險(xiǎn)評價(jià)檢查表

Windows系統(tǒng)安全配置基線目錄TOC\o"1-5"\h\z\o"CurrentDocument"第1章概述 1\o"CurrentDocument"目的 1\o"CurrentDocument"適用范圍 1\o"CurrentDocument"適用版本 1\o"CurrentDocument"第2章賬號管理、認(rèn)證授權(quán) 2\o"CurrentDocument"賬號 2\o"CurrentDocument"管理缺省賬戶 2\o"CurrentDocument"口令 2\o"CurrentDocument"密碼復(fù)雜度 2\o"CurrentDocument"密碼歷史 3\o"CurrentDocument"帳戶鎖定策略 3\o"CurrentDocument"授權(quán) 4\o"CurrentDocument"遠(yuǎn)程關(guān)機(jī) 4\o"CurrentDocument"本地關(guān)機(jī) 4\o"CurrentDocument"用戶權(quán)利指派 4\o"CurrentDocument"第3章日志配置操作 6\o"CurrentDocument"日志配置 6\o"CurrentDocument"審核登錄 6\o"CurrentDocument"審核策略更改 6\o"CurrentDocument"審核對象訪問 7\o"CurrentDocument"審核事件目錄服務(wù)器訪問 7\o"CurrentDocument"審核特權(quán)使用 7\o"CurrentDocument"審核系統(tǒng)事件 8\o"CurrentDocument"審核賬戶管理 8\o"CurrentDocument"審核過程追蹤 8\o"CurrentDocument"日志文件大小 9\o"CurrentDocument"第4章 IP協(xié)議安全配置 10\o"CurrentDocument"IP協(xié)議 10\o"CurrentDocument"啟用SYN攻擊保護(hù). 10\o"CurrentDocument"第5章 設(shè)備其他配置操作 12共享文件夾及訪問權(quán)限 12關(guān)閉默認(rèn)共享 12防病毒管理 12數(shù)據(jù)執(zhí)行保護(hù) 12亞2口0亞服務(wù) 13\o"CurrentDocument"SNMP服務(wù)管理 13啟動項(xiàng) 13\o"CurrentDocument"關(guān)閉Windows自動播放功能 13第1章概述1.1目的本文檔規(guī)定了WINDOWS操作系統(tǒng)的主機(jī)應(yīng)當(dāng)遵循的操作系統(tǒng)安全性設(shè)置標(biāo)準(zhǔn)，本文檔旨在指導(dǎo)系統(tǒng)管理人員或安全檢查人員進(jìn)行WINDOWS操作系統(tǒng)的安全合規(guī)性檢查和配置。1.2適用范本配置標(biāo)準(zhǔn)的使用者包括：服務(wù)器系統(tǒng)管理員、應(yīng)用管理員、網(wǎng)絡(luò)安全管理員。1.3適用版本W(wǎng)INDOWS系列服務(wù)器；第2章賬號管理、認(rèn)證授權(quán)2.1賬號2.1.1管理缺省賬戶安全基線項(xiàng)目名稱操作系統(tǒng)缺省賬戶安全基線要求項(xiàng)安全基線編號SBL-Windows-02-01-01安全基線項(xiàng)說明對于管理員帳號，要求更改缺省帳戶名稱；禁用guest（來賓）帳號。檢測操作步驟進(jìn)入“控制面板-＞管理工具-＞計(jì)算機(jī)管理”，在“系統(tǒng)工具＞本地用戶和組”：缺省帳戶Administrator—＞屬性Guest帳號-＞屬性基線符合性判定依據(jù)缺省賬戶Administrator名稱已更改。Guest帳號已停用。備注2.2口令2.2.1密碼復(fù)雜度安全基線項(xiàng)目名稱操作系統(tǒng)密碼復(fù)雜度安全基線要求項(xiàng)安全基線編號SBL-Windows-02-02-01安全基線項(xiàng)說明最短密碼長度6個(gè)字符，啟用本機(jī)組策略中密碼必須符合復(fù)雜性要求的策略。即密碼至少包含以下四種類別的字符中的三種：英語大寫字母A,B,C,…Z英語小寫字母a,b,c,…z西方阿拉伯?dāng)?shù)字0,1,2,…9

非字母數(shù)字字符，如標(biāo)點(diǎn)符號，@,#,$,%,&,*等檢測操作步驟進(jìn)入“控制面板->管理工具->本地安全策略”，在“帳戶策略->密碼策略”：查看是否“密碼必須符合復(fù)雜性要求”選擇“已啟動”基線符合性判定依據(jù)“密碼必須符合復(fù)雜性要求”選擇“已啟動”備注2.2.2密碼歷史安全基線項(xiàng)目名稱操作系統(tǒng)密碼歷史安全基線要求項(xiàng)安全基線編號SBL-Windows-02-02-02安全基線項(xiàng)說明對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，賬戶口令的生存期不長于90天。檢測操作步驟進(jìn)入“控制面板->管理工具->本地安全策略”，在“帳戶策略->密碼策略”：查看“密碼最長存留期”基線符合性判定依據(jù)“密碼最長存留期”設(shè)置不大于“90天”備注2.2.3帳戶鎖定策略安全基線項(xiàng)目名稱操作系統(tǒng)賬戶鎖定策略安全基線要求項(xiàng)安全基線編號SBL-Windows-02-02-03安全基線項(xiàng)說明對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過6次（不含6次），鎖定該用戶使用的賬號。檢測操作步驟進(jìn)入“控制面板->管理工具->本地安全策略”，在“帳戶策略->帳戶鎖定策略”：查看“賬戶鎖定閥值”設(shè)置基線符合性判定依據(jù)“賬戶鎖定閥值”設(shè)置為小于或等于6次備注

2.3授權(quán)2.3.1遠(yuǎn)程關(guān)機(jī)安全基線項(xiàng)目名稱操作系統(tǒng)遠(yuǎn)程關(guān)機(jī)策略安全基線要求項(xiàng)安全基線編號SBL-Windows-02-03-01安全基線項(xiàng)說明在本地安全設(shè)置中從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)只指派給Administrators組。檢測操作步驟進(jìn)入“控制面板-＞管理工具-＞本地安全策略”，在“本地策略-＞用戶權(quán)利指派”：查看“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置基線符合性判定依據(jù)“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置為“只指派給Administrtors組”備注2.3.2本地關(guān)機(jī)安全基線項(xiàng)目名稱操作系統(tǒng)本地關(guān)機(jī)策略安全基線要求項(xiàng)安全基線編號SBL-Windows-02-03-02安全基線項(xiàng)說明在本地安全設(shè)置中關(guān)閉系統(tǒng)僅指派給Administrators組。檢測操作步驟進(jìn)入“控制面板-＞管理工具-＞本地安全策略”，在“本地策略-＞用戶權(quán)利指派”：查看“關(guān)閉系統(tǒng)”設(shè)置基線符合性判定依據(jù)“關(guān)閉系統(tǒng)”設(shè)置為“只指派給Administrators組”備注2.3.3用戶權(quán)利指派安全基線項(xiàng)目名稱操作系統(tǒng)用戶權(quán)力指派策略安全基線要求項(xiàng)安全基線編號SBL-Windows-02-03-03安全基線項(xiàng)說明在本地安全設(shè)置中取得文件或其它對象的所有權(quán)僅指派給Administrators。

檢測操作步驟進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權(quán)利指派”：查看是否“取得文件或其它對象的所有權(quán)”設(shè)置基線符合性判定依據(jù)“取得文件或其它對象的所有權(quán)”設(shè)置為“只指派給Administrators組”備注第3章日志配置操作3.1日志配置3.1.1審核登錄安全基線項(xiàng)目名稱操作系統(tǒng)審核登錄策略安全基線要求項(xiàng)安全基線編號SBL-Windows-03-01-01安全基線項(xiàng)說明設(shè)備應(yīng)配置日志功能，對用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的賬號，登錄是否成功，登錄時(shí)間，以及遠(yuǎn)程登錄時(shí)，用戶使用的IP地址。檢測操作步驟開始-＞運(yùn)行-＞執(zhí)行"控制面板-＞管理工具-＞本地安全策略-＞審核策略”審核登錄事件。基線符合性判定依據(jù)審核登錄事件，設(shè)置為成功和失敗都審核。備注3.1.2審核策略更改安全基線項(xiàng)目名稱操作系統(tǒng)審核策略更改安全基線要求項(xiàng)安全基線編號SBL-Windows-03-01-02安全基線項(xiàng)說明啟用組策略中對Windows系統(tǒng)的審核策略更改，成功和失敗都要審核。檢測操作步驟進(jìn)入“控制面板-＞管理工具-＞本地安全策略”，在“本地策略-＞審核策略”中查看“審核策略更改”設(shè)置?；€符合性判定依據(jù)“審核策略更改”設(shè)置為“成功”和“失敗”都要審核。備注

3.1.3審核對象訪問安全基線項(xiàng)目名稱操作系統(tǒng)審核對象訪問安全基線要求項(xiàng)安全基線編號SBL-Windows-03-01-03安全基線項(xiàng)說明啟用組策略中對Windows系統(tǒng)的審核對象訪問，成功和失敗都要審核。檢測操作步驟進(jìn)入“控制面板-＞管理工具-＞本地安全策略”，在“本地策略-＞審核策略”中：查看“審核對象訪問”設(shè)置?；€符合性判定依據(jù)“審核對象訪問”設(shè)置為“成功”和“失敗”都要審核。備注審核事件目錄服務(wù)器訪問安全基線項(xiàng)目名稱操作系統(tǒng)審核事件目錄服務(wù)器訪問策略安全基線要求項(xiàng)安全基線編號SBL-Windows-03-01-04安全基線項(xiàng)說明啟用組策略中對Windows系統(tǒng)的審核目錄服務(wù)訪問，失敗。檢測操作步驟進(jìn)入“控制面板-＞管理工具-＞本地安全策略”，在“本地策略-＞審核策略”中：查看“審核目錄服務(wù)器訪問”設(shè)置?；€符合性判定依據(jù)“審核目錄服務(wù)器訪問”設(shè)置為“成功”和“失敗”都要審核。備注審核特權(quán)使用安全基線項(xiàng)目名稱操作系統(tǒng)審核特權(quán)使用策略安全基線要求項(xiàng)安全基線編號SBL-Windows-03-01-05安全基線項(xiàng)說明啟用組策略中對Windows系統(tǒng)的審核特權(quán)使用，成功和失敗都要審核。檢測操作步驟進(jìn)入“控制面板-＞管理工具-＞本地安全策略”，在“本地策略-＞審核策略”中：查看“審核特權(quán)使用”設(shè)置。

基線符合性判定依據(jù)“審核特權(quán)使用”設(shè)置為“成功”和“失敗”都要審核。備注審核系統(tǒng)事件安全基線項(xiàng)目名稱操作系統(tǒng)審核系統(tǒng)事件策略安全基線要求項(xiàng)安全基線編號SBL-Windows-03-01-06安全基線項(xiàng)說明啟用組策略中對Windows系統(tǒng)的審核系統(tǒng)事件，成功和失敗都要審核。檢測操作步驟進(jìn)入“控制面板-＞管理工具-＞本地安全策略”，在“本地策略-＞審核策略”中：查看“審核系統(tǒng)事件”設(shè)置?；€符合性判定依據(jù)“審核系統(tǒng)事件”設(shè)置為“成功”和“失敗”都要審核。備注審核賬戶管理安全基線項(xiàng)目名稱操作系統(tǒng)審核賬戶管理策略安全基線要求項(xiàng)安全基線編號SBL-Windows-03-01-07安全基線項(xiàng)說明啟用組策略中對Windows系統(tǒng)的審核帳戶管理，成功和失敗都要審核。檢測操作步驟進(jìn)入“控制面板-＞管理工具-＞本地安全策略”，在“本地策略-＞審核策略”中：查看“審核賬戶管理”設(shè)置?；€符合性判定依據(jù)“審核賬戶管理”設(shè)置為“成功”和“失敗”都要審核。備注審核過程追蹤安全基線項(xiàng)目名稱操作系統(tǒng)審核過程追蹤策略安全基線要求項(xiàng)安全基線編號SBL-Windows-03-01-08

安全基線項(xiàng)說明啟用組策略中對Windows系統(tǒng)的審核過程追蹤失敗。檢測操作步驟進(jìn)入“控制面板-＞管理工具-＞本地安全策略”，在“本地策略-＞審核策略”中：查看“審核過程追蹤”設(shè)置?；€符合性判定依據(jù)“審核過程追蹤”設(shè)置為“失敗”需要審核。備注日志文件大小安全基線項(xiàng)目名稱操作系統(tǒng)日志容量安全基線要求項(xiàng)安全基線編號SBL-Windows-03-01-09安全基線項(xiàng)說明設(shè)置應(yīng)用日志文件大小至少為8192KB，設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)，按需要改寫事件。檢測操作步驟進(jìn)入“控制面板-＞管理工具-＞事件查看器”，在“事件查看器（本地）”中：查看“應(yīng)用日志”“系統(tǒng)日志”“安全日志”屬性中的日志大小，以及設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)的相應(yīng)策略。基線符合性判定依據(jù)“應(yīng)用日志” “系統(tǒng)日志”“安全日志”屬性中的日志大小設(shè)置不小于“8192KB”，設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)，“按需要改寫事件”備注第4章IP協(xié)議安全配置IP協(xié)議啟用SYN攻擊保護(hù)安全基線項(xiàng)目名稱操作系統(tǒng)SYN攻擊保護(hù)安全基線要求項(xiàng)安全基線編號SBL-Windows-04-01-01安全基線項(xiàng)說明啟用SYN攻擊保護(hù)；指定觸發(fā)SYN洪水攻擊保護(hù)所必須超過的TCP連接請求數(shù)閥值為5；指定處于SYN_RCVD狀態(tài)的TCP連接數(shù)的閾值為500；指定處于至少已發(fā)送一次重傳的SYN_RCVD狀態(tài)中的TCP連接數(shù)的閾值為400。檢測操作步驟在“開始->運(yùn)行->鍵入regedit”查看注冊表項(xiàng)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetriedo基線符合性判定依據(jù)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect;推薦值：2oHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted;推薦值：5。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen;推薦值數(shù)據(jù)：500o

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried。推薦值數(shù)據(jù)：400。備注第5章設(shè)備其他配置操作共享文件夾及訪問權(quán)限關(guān)閉默認(rèn)共享安全基線項(xiàng)目名稱操作系統(tǒng)默認(rèn)共享安全基線要求項(xiàng)安全基線編號SBL-Windows-05-01-01安全基線項(xiàng)說明非域環(huán)境中，關(guān)閉Windows硬盤默認(rèn)共享，例如C$，D$。檢測操作步驟進(jìn)入“開始一＞運(yùn)行一＞區(qū)080也甘'，進(jìn)入注冊表編輯器，查看HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer；基線符合性判定依據(jù)HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer鍵，值為0。備注防病毒管理數(shù)據(jù)執(zhí)行保護(hù)安全基線項(xiàng)目名稱操作系統(tǒng)數(shù)據(jù)執(zhí)行保護(hù)安全基線要求項(xiàng)安全基