MicrosoftWindows安全配置基線

Windows系統(tǒng)安全配置基線中國移動通信有限公司管理信息系統(tǒng)部2012年04月

版本版本控制信息更新日期更新人審批人V1.0創(chuàng)建2009年1月V2.0更新2012年4月備注：1.若此文檔需要日后更新，請創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。TOC\o"1-5"\h\z\o"CurrentDocument"第1章 概述 5\o"CurrentDocument"目的 5\o"CurrentDocument"適用范圍 5\o"CurrentDocument"適用版本 5\o"CurrentDocument"實(shí)施 5\o"CurrentDocument"例外條款 5\o"CurrentDocument"第2章 帳戶管理、認(rèn)證授權(quán) 6\o"CurrentDocument"帳戶 6\o"CurrentDocument"管理缺省帳戶 6\o"CurrentDocument"按照用戶分配帳戶* 6\o"CurrentDocument"刪除與設(shè)備無關(guān)帳戶* 7\o"CurrentDocument"口令 7\o"CurrentDocument"密碼復(fù)雜度 7\o"CurrentDocument"密碼最長留存期 8\o"CurrentDocument"帳戶鎖定策略 8\o"CurrentDocument"授權(quán) 8\o"CurrentDocument"遠(yuǎn)程關(guān)機(jī) 8\o"CurrentDocument"本地關(guān)機(jī) 9\o"CurrentDocument"用戶權(quán)利指派* 9\o"CurrentDocument"授權(quán)帳戶登陸* 10\o"CurrentDocument"授權(quán)帳戶從網(wǎng)絡(luò)訪問* 10\o"CurrentDocument"第3章日志配置操作 11日志配置 11審核登錄 11\o"CurrentDocument"審核策略更改 11\o"CurrentDocument"審核對象訪問 11\o"CurrentDocument"審核事件目錄服務(wù)器訪問 12\o"CurrentDocument"審核特權(quán)使用 12\o"CurrentDocument"審核系統(tǒng)事件 13\o"CurrentDocument"審核帳戶管理 13\o"CurrentDocument"審核過程追蹤 13\o"CurrentDocument"日志文件大小 14\o"CurrentDocument"第4章IP協(xié)議安全配置 15IP協(xié)議 15啟用SYN攻擊保護(hù). 15\o"CurrentDocument"第5章 設(shè)備其他配置操作 17\o"CurrentDocument"共享文件夾及訪問權(quán)限 17\o"CurrentDocument"關(guān)閉默認(rèn)共享 17\o"CurrentDocument"共享文件夾授權(quán)訪問* 17防病毒管理 18數(shù)據(jù)執(zhí)行保護(hù) 18WINDOW服務(wù) 18SNMP服務(wù)管理 18\o"CurrentDocument"系統(tǒng)必須服務(wù)列表管理* 19\o"CurrentDocument"系統(tǒng)啟動項(xiàng)列表管理* 19\o"CurrentDocument"遠(yuǎn)程控制服務(wù)安全* 19\o"CurrentDocument"IIS安全補(bǔ)丁管理 20\o"CurrentDocument"活動目錄時間同步管理* 20\o"CurrentDocument"啟動項(xiàng) 21\o"CurrentDocument"關(guān)閉Windows自動播放功能 21屏幕保護(hù) 21\o"CurrentDocument"設(shè)置屏幕保護(hù)密碼和開啟時間* 21\o"CurrentDocument"遠(yuǎn)程登錄控制 22\o"CurrentDocument"限制遠(yuǎn)程登陸空閑斷開時間 22補(bǔ)丁管理 23\o"CurrentDocument"操作系統(tǒng)補(bǔ)丁管理* 23操作系統(tǒng)最新補(bǔ)丁管理* 2324第6章評審與修訂24第1章概述1.1目的本文檔規(guī)定了中國移動通信有限公司管理信息系統(tǒng)部門所維護(hù)管理的WINDOWS操作系統(tǒng)的主機(jī)應(yīng)當(dāng)遵循的操作系統(tǒng)安全性設(shè)置標(biāo)準(zhǔn)，本文檔旨在指導(dǎo)系統(tǒng)管理人員或安全檢查人員進(jìn)行WINDOWS操作系統(tǒng)的安全合規(guī)性檢查和配置。適用范本配置標(biāo)準(zhǔn)的使用者包括：服務(wù)器系統(tǒng)管理員、應(yīng)用管理員、網(wǎng)絡(luò)安全管理員。本配置標(biāo)準(zhǔn)適用的范圍包括：中國移動總部和各省公司信息化部門維護(hù)管理的WINDOWS服務(wù)器系統(tǒng)。適用版本W(wǎng)INDOWS系列服務(wù)器。實(shí)施本標(biāo)準(zhǔn)的解釋權(quán)和修改權(quán)屬于中國移動集團(tuán)管理信息系統(tǒng)部，在本標(biāo)準(zhǔn)的執(zhí)行過程中若有任何疑問或建議，應(yīng)及時反饋。本標(biāo)準(zhǔn)發(fā)布之日起生效。例外條款欲申請本標(biāo)準(zhǔn)的例外條款，申請人必須準(zhǔn)備書面申請文件，說明業(yè)務(wù)需求和原因，送交中國移動通信有限公司管理信息系統(tǒng)部進(jìn)行審批備案。

第2章帳戶管理、認(rèn)證授權(quán)2.1帳戶2.1.1管理缺省帳戶安全基線項(xiàng)目名稱操作系統(tǒng)缺省帳戶安全基線要求項(xiàng)安全基線編號SBL-Windows-02-01-01安全基線項(xiàng)說明對于管理員帳號，要求更改缺省帳戶名稱；禁用guest（來賓）帳號。檢測操作步驟進(jìn)入“控制面板。管理工具。計(jì)算機(jī)管理”，在“系統(tǒng)工具,本地用戶和組”：缺省帳戶Administrator—＞屬性Guest帳號。屬性基線符合性判定依據(jù)缺省帳戶Administrator名稱已更改。Guest帳號已停用。備注2.1.2按照用戶分配帳戶*安全基線項(xiàng)目名稱操作系統(tǒng)用戶帳戶劃分安全基線要求項(xiàng)安全基線編號SBL-Windows-02-01-02安全基線項(xiàng)說明按照用戶分配帳戶。根據(jù)系統(tǒng)的要求，設(shè)定不同的帳戶和帳戶組，管理員用戶，數(shù)據(jù)庫用戶，審計(jì)用戶，來賓用戶等。檢測操作步驟進(jìn)入“控制面板。管理工具。計(jì)算機(jī)管理”，在“系統(tǒng)工具-＞本地用戶和組”：根據(jù)系統(tǒng)的要求，設(shè)定不同的帳戶和帳戶組，管理員用戶，數(shù)據(jù)庫用戶，審計(jì)用戶，來賓用戶?；€符合性判定依據(jù)結(jié)合要求和實(shí)際業(yè)務(wù)情況判斷符合要求，根據(jù)系統(tǒng)的要求，設(shè)定不同的帳戶和帳戶組，管理員用戶，數(shù)據(jù)庫用戶，審計(jì)用戶，來賓用戶。備注手工判斷，需要根據(jù)實(shí)際情況判斷帳戶用途

2.1.3刪除與設(shè)備無關(guān)帳戶*安全基線項(xiàng)目名稱操作系統(tǒng)與設(shè)備無關(guān)帳戶安全基線要求項(xiàng)安全基線編號SBL-Windows-02-01-03安全基線項(xiàng)說明刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等與工作無關(guān)的帳戶檢測操作步驟進(jìn)入“控制面板。管理工具。計(jì)算機(jī)管理”，在“系統(tǒng)工具,本地用戶和組”：刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等與工作無關(guān)的帳戶?；€符合性判定依據(jù)結(jié)合要求和實(shí)際業(yè)務(wù)情況判斷符合要求，刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等與工作無關(guān)的帳戶。進(jìn)入“控制面板＞管理工具。計(jì)算機(jī)管理”，在“系統(tǒng)工具。本地用戶和組”：查看是否刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等與工作無關(guān)的帳戶。備注手工判斷，需要根據(jù)實(shí)際情況判斷帳戶是否為無關(guān)帳戶2.2口令2.2.1密碼復(fù)雜度安全基線項(xiàng)目名稱操作系統(tǒng)密碼復(fù)雜度安全基線要求項(xiàng)安全基線編號SBL-Windows-02-02-01安全基線項(xiàng)說明最短密碼長度8個字符，啟用本機(jī)組策略中密碼必須符合復(fù)雜性要求的策略。即密碼至少包含以卜四種類別的字符中的2種：口英語大寫字母A,B,C,…Z口英語小寫字母a,b,c,…z口西方阿拉伯?dāng)?shù)字0,1,2,…9非字母數(shù)字字符，如標(biāo)點(diǎn)符號，@,#,$,%,&,*等檢測操作步驟進(jìn)入“控制面板。管理工具。本地安全策略”，在“帳戶策略。密碼策略”：查看是否“密碼必須符合復(fù)雜性要求”選擇“已啟動”基線符合性判定依據(jù)“密碼最小長度”大于等于8“密碼必須符合復(fù)雜性要求”選擇“已啟動”

2.2.2密碼最長留存期安全基線項(xiàng)目名稱操作系統(tǒng)密碼歷史安全基線要求項(xiàng)安全基線編號SBL-Windows-02-02-02安全基線項(xiàng)說明對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，帳戶口令的生存期不長于90天。檢測操作步驟進(jìn)入“控制面板。管理工具。本地安全策略”，在“帳戶策略。密碼策略”：查看“密碼最長存留期”基線符合性判定依據(jù)“密碼最長存留期”設(shè)置不大于“90天”備注2.2.3帳戶鎖定策略安全基線項(xiàng)目名稱操作系統(tǒng)帳戶鎖定策略安全基線要求項(xiàng)安全基線編號SBL-Windows-02-02-03安全基線項(xiàng)說明對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過10次，鎖定該用戶使用的帳戶。檢測操作步驟進(jìn)入“控制面板。管理工具。本地安全策略”，在“帳戶策略。帳戶鎖定策略”：查看“帳戶鎖定閥值”設(shè)置基線符合性判定依據(jù)“帳戶鎖定閥值”設(shè)置為小于或等于10次備注2.3授權(quán)2.3.1遠(yuǎn)程關(guān)機(jī)安全基線項(xiàng)目名稱操作系統(tǒng)遠(yuǎn)程關(guān)機(jī)策略安全基線要求項(xiàng)

安全基線編號SBL-Windows-02-03-01安全基線項(xiàng)說明在本地安全設(shè)置中從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)只指派給Administrators組。檢測操作步驟進(jìn)入“控制面板。管理工具。本地安全策略”，在“本地策略。用戶權(quán)利指派”：查看“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置基線符合性判定依據(jù)“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置為“只指派給Administrtors組”備注2.3.2本地關(guān)機(jī)安全基線項(xiàng)目名稱操作系統(tǒng)本地關(guān)機(jī)策略安全基線要求項(xiàng)安全基線編號SBL-Windows-02-03-02安全基線項(xiàng)說明在本地安全設(shè)置中關(guān)閉系統(tǒng)僅指派給Administrators組。檢測操作步驟進(jìn)入“控制面板。管理工具。本地安全策略”，在“本地策略。用戶權(quán)利指派”：查看“關(guān)閉系統(tǒng)”設(shè)置基線符合性判定依據(jù)“關(guān)閉系統(tǒng)”設(shè)置為“只指派給Administrators組”備注2.3.3用戶權(quán)利指派*安全基線項(xiàng)目名稱操作系統(tǒng)用戶權(quán)力指派策略安全基線要求項(xiàng)安全基線編號SBL-Windows-02-03-03安全基線項(xiàng)說明在本地安全設(shè)置中取得文件或其它對象的所有權(quán)僅指派給Administrators。檢測操作步驟進(jìn)入“控制面板。管理工具。本地安全策略”，在“本地策略。用戶權(quán)利指派”：查看是否“取得文件或其它對象的所有權(quán)”設(shè)置基線符合性判定依據(jù)“取得文件或其它對象的所有權(quán)”設(shè)置為“只指派給Administrators組”備注手工檢查

2.3.4授權(quán)帳戶登陸*安全基線項(xiàng)目名稱操作系統(tǒng)用戶授權(quán)登陸安全基線要求項(xiàng)安全基線編號SBL-Windows-02-03-04安全基線項(xiàng)說明在本地安全設(shè)置中配置指定授權(quán)用戶允許本地登陸此計(jì)算機(jī)。檢測操作步驟進(jìn)入“控制面板-＞管理工具-＞本地安全策略”，在“本地策略-＞用戶權(quán)利指派”“從本地登陸此計(jì)算機(jī)”設(shè)置為“指定授權(quán)用戶”基線符合性判定依據(jù)“從本地登陸此計(jì)算機(jī)”設(shè)置為“指定授權(quán)用戶”，進(jìn)入“控制面板-＞管理工具-＞本地安全策略”，在“本地策略-＞用戶權(quán)利指派”查看是否“從本地登陸此計(jì)算機(jī)”設(shè)置為“指定授權(quán)用戶”備注手工判斷是否授權(quán)2.3.5授權(quán)帳戶從網(wǎng)絡(luò)訪問*安全基線項(xiàng)目名稱操作系統(tǒng)用戶授權(quán)從網(wǎng)絡(luò)訪問安全基線要求項(xiàng)安全基線編號SBL-Windows-02-03-05安全基線項(xiàng)說明在組策略中只允許授權(quán)帳號從網(wǎng)絡(luò)訪問（包括網(wǎng)絡(luò)共享等，但不包括終端服務(wù)）此計(jì)算機(jī)。檢測操作步驟進(jìn)入“控制面板-＞管理工具-＞本地安全策略”，在“本地策略-＞用戶權(quán)利指派”“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”設(shè)置為“指定授權(quán)用戶”基線符合性判定依據(jù)“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”設(shè)置為“指定授權(quán)用戶”，進(jìn)入“控制面板-＞管理工具-＞本地安全策略”，在“本地策略-＞用戶權(quán)利指派”查看是否“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”設(shè)置為“指定授權(quán)用戶”備注手工判斷是否授權(quán)

第3章日志配置操作3.1日志配置3.1.1審核登錄安全基線項(xiàng)目名稱操作系統(tǒng)審核登錄策略安全基線要求項(xiàng)安全基線編號SBL-Windows-03-01-01安全基線項(xiàng)說明設(shè)備應(yīng)配置日志功能，對用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的帳戶，登錄是否成功，登錄時間，以及遠(yuǎn)程登錄時，用戶使用的IP地址。檢測操作步驟開始。運(yùn)行。執(zhí)行“控制面板。管理工具。本地安全策略。審核策略”審核登錄事件?；€符合性判定依據(jù)審核登錄事件，設(shè)置為成功和失敗都審核。備注3.1.2審核策略更改安全基線項(xiàng)目名稱操作系統(tǒng)審核策略更改安全基線要求項(xiàng)安全基線編號SBL-Windows-03-01-02安全基線項(xiàng)說明啟用組策略中對Windows系統(tǒng)的審核策略更改，成功和失敗都要審核。檢測操作步驟進(jìn)入“控制面板。管理工具。本地安全策略”，在“本地策略。審核策略”中查看“審核策略更改”設(shè)置?；€符合性判定依據(jù)“審核策略更改”設(shè)置為“成功”和“失敗”都要審核。備注3.1.3審核對象訪問安全基線項(xiàng)目名稱操作系統(tǒng)審核對象訪問安全基線要求項(xiàng)

安全基線編號SBL-Windows-03-01-03安全基線項(xiàng)說明啟用組策略中對Windows系統(tǒng)的審核對象訪問，成功和失敗都要審核。檢測操作步驟進(jìn)入“控制面板。管理工具。本地安全策略”，在“本地策略。審核策略”中：查看“審核對象訪問”設(shè)置?；€符合性判定依據(jù)“審核對象訪問”設(shè)置為“成功”和“失敗”都要審核。備注3.1.4審核事件目錄服務(wù)器訪問安全基線項(xiàng)目名稱操作系統(tǒng)審核事件目錄服務(wù)器訪問策略安全基線要求項(xiàng)安全基線編號SBL-Windows-03-01-04安全基線項(xiàng)說明啟用組策略中對Windows系統(tǒng)的審核目錄服務(wù)訪問，失敗。檢測操作步驟進(jìn)入“控制面板。管理工具。本地安全策略”，在“本地策略。審核策略”中：查看“審核目錄服務(wù)器訪問”設(shè)置?；€符合性判定依據(jù)“審核目錄服務(wù)器訪問”設(shè)置為“成功”和“失敗”都要審核。備注3.1.5審核特權(quán)使用安全基線項(xiàng)目名稱操作系統(tǒng)審核特權(quán)使用策略安全基線要求項(xiàng)安全基線編號SBL-Windows-03-01-05安全基線項(xiàng)說明啟用組策略中對Windows系統(tǒng)的審核特權(quán)使用，成功和失敗都要審核。檢測操作步驟進(jìn)入“控制面板。管理工具。本地安全策略”，在“本地策略。審核策略”中：查看“審核特權(quán)使用”設(shè)置。基線符合性判定依據(jù)“審核特權(quán)使用”設(shè)置為“成功”和“失敗”都要審核。備注

3.1.6審核系統(tǒng)事件安全基線項(xiàng)目名稱操作系統(tǒng)審核系統(tǒng)事件策略安全基線要求項(xiàng)安全基線編號SBL-Windows-03-01-06安全基線項(xiàng)說明啟用組策略中對Windows系統(tǒng)的審核系統(tǒng)事件，成功和失敗都要審核。檢測操作步驟進(jìn)入“控制面板。管理工具。本地安全策略”，在“本地策略。審核策略”中：查看“審核系統(tǒng)事件”設(shè)置。基線符合性判定依據(jù)“審核系統(tǒng)事件”設(shè)置為“成功”和“失敗”都要審核。備注3.1.7審核帳戶管理安全基線項(xiàng)目名稱操作系統(tǒng)審核帳戶管理策略安全基線要求項(xiàng)安全基線編號SBL-Windows-03-01-07安全基線項(xiàng)說明啟用組策略中對Windows系統(tǒng)的審核帳戶管理，成功和失敗都要審核。檢測操作步驟進(jìn)入“控制面板。管理工具。本地安全策略”，在“本地策略。審核策略”中：查看“審核帳戶管理”設(shè)置?；€符合性判定依據(jù)“審核帳戶管理”設(shè)置為“成功”和“失敗”都要審核。備注3.1.8審核過程追蹤安全基線項(xiàng)目名稱操作系統(tǒng)審核過程追蹤策略安全基線要求項(xiàng)安全基線編號SBL-Windows-03-01-08安全基線項(xiàng)說明啟用組策略中對Windows系統(tǒng)的審核過程追蹤失敗。檢測操作步驟進(jìn)入“控制面板。管理工具。本地安全策略”，在“本地策略。審核策略”中：查看“審核過程追蹤”設(shè)置。

基線符合性判定依據(jù)“審核過程追蹤”設(shè)置為“失敗”需要審核。備注3.1.9日志文件大小安全基線項(xiàng)目名稱操作系統(tǒng)日志容量安全基線要求項(xiàng)安全基線編號SBL-Windows-03-01-09安全基線項(xiàng)說明設(shè)置應(yīng)用日志文件大小至少為8192KB，設(shè)置當(dāng)達(dá)到最大的日志尺寸時，按需要改寫事件。檢測操作步驟進(jìn)入“控制面板。管理工具。事件查看器”，在“事件查看器（本地）”中：查看“應(yīng)用日志”“系統(tǒng)日志”“安全日志”屬性中的日志大小，以及設(shè)置當(dāng)達(dá)到最大的日志尺寸時的相應(yīng)策略?；€符合性判定依據(jù)“應(yīng)用日志” “系統(tǒng)日志”“安全日志”屬性中的日志大小設(shè)置不小于“8192KB”，設(shè)置當(dāng)達(dá)到最大的日志尺寸時，“按需要改寫事件”備注第4章IP協(xié)議安全配置IP協(xié)議啟用SYN攻擊保護(hù)安全基線項(xiàng)目名稱操作系統(tǒng)SYN攻擊保護(hù)安全基線要求項(xiàng)安全基線編號SBL-Windows-04-01-01安全基線項(xiàng)說明啟用SYN攻擊保護(hù)；指定觸發(fā)SYN洪水攻擊保護(hù)所必須超過的TCP連接請求數(shù)閥值為5；指定處于SYN_RCVD狀態(tài)的TCP連接數(shù)的閾值為500；指定處于至少已發(fā)送一次重傳的SYN_RCVD狀態(tài)中的TCP連接數(shù)的閾值為400。檢測操作步驟在“開始。運(yùn)行-＞鍵入regedit”查看注冊表項(xiàng)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried?；€符合性判定依據(jù)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect;推薦值：2。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted;推薦值：5。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalf

Open；推薦值數(shù)據(jù)：500。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried。推存值數(shù)據(jù)：400。備注第5章設(shè)備其他配置操作5.1共享文件夾及訪問權(quán)限5.1.1關(guān)閉默認(rèn)共享安全基線項(xiàng)目名稱操作系統(tǒng)默認(rèn)共享安全基線要求項(xiàng)安全基線編號SBL-Windows-05-01-01安全基線項(xiàng)說明非域環(huán)境中，關(guān)閉Windows硬盤默認(rèn)共享，例如C$，D$。檢測操作步驟進(jìn)入“開始一＞運(yùn)行一＞區(qū)080也/”進(jìn)入注冊表編輯器，查看HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer；基線符合性判定依據(jù)HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer鍵，值為0。備注5.1.2共享文件夾授權(quán)訪問*安全基線項(xiàng)目名稱操作系統(tǒng)共享文件夾安全基線要求項(xiàng)安全基線編號SBL-Windows-05-01-02安全基線項(xiàng)說明查看每個共享文件夾的共享權(quán)限，只允許授權(quán)的帳戶擁有權(quán)限共享此文件夾。檢測操作步驟進(jìn)入“控制面板。管理工具。計(jì)算機(jī)管理”，進(jìn)入“系統(tǒng)工具一＞共享文件夾”：查看每個共享文件夾的共享權(quán)限，只將權(quán)限授權(quán)于指定帳戶?；€符合性判定依據(jù)查看每個共享文件夾的共享權(quán)限僅限于業(yè)務(wù)需要，不設(shè)置成為“everyone”。進(jìn)入“控制面板。管理工具。計(jì)算機(jī)管理”，進(jìn)入“系統(tǒng)工具一＞共享文件夾”：查看每個共享文件夾的共享權(quán)限。備注手工判斷

5.2防病毒管理5.2.1數(shù)據(jù)執(zhí)行保護(hù)安全基線項(xiàng)目名稱操作系統(tǒng)數(shù)據(jù)執(zhí)行保護(hù)安全基線要求項(xiàng)安全基線編號SBL-Windows-05-02-01安全基線項(xiàng)說明對于WindowsXPSP2及Windows2003對Windows操作系統(tǒng)程序和服務(wù)啟用系統(tǒng)自帶DEP功能（數(shù)據(jù)執(zhí)行保護(hù)），防止在受保護(hù)內(nèi)存位置運(yùn)行有害代碼。檢測操作步驟進(jìn)入“控制面板一＞系統(tǒng)”，在“高級”選項(xiàng)卡的“性能”下的“設(shè)置”。進(jìn)入“數(shù)據(jù)執(zhí)行保護(hù)”選項(xiàng)卡。查看“僅為基本W(wǎng)indows操作系統(tǒng)程序和服務(wù)啟用DEP”?；€符合性判定依據(jù)“數(shù)據(jù)執(zhí)行保護(hù)”選項(xiàng)卡已設(shè)置為“僅為基本W(wǎng)indows操作系統(tǒng)程序和服務(wù)啟用DEP”。備注5.3Windows月服務(wù)SNMP服務(wù)管理安全基線項(xiàng)目名稱操作系統(tǒng)SNMP服務(wù)管理安全基線要求項(xiàng)安全基線編號SBL-Windows-05-03-01安全基線項(xiàng)說明如需啟用SNMP服務(wù)，則修改默認(rèn)的SNMPCommunityString設(shè)置。檢測操作步驟打開“控制面板”，打開“管理工具”中的“服務(wù)”，找到“SNMPService”,單擊右鍵打開“屬性”面板中的“安全”選項(xiàng)卡，在這個配置界面中，查看communitystrings,也就是微軟所說的“團(tuán)體名稱”?；€符合性communitystrings已改，不是默認(rèn)的“public”。

判定依據(jù)備注5.3.2系統(tǒng)必須服務(wù)列表管理*安全基線項(xiàng)目名稱操作系統(tǒng)服務(wù)列表管理安全基線要求項(xiàng)安全基線編號SBL-Windows-05-03-02安全基線項(xiàng)說明列出所需要服務(wù)的列表（包括所需的系統(tǒng)服務(wù)），不在此列表的服務(wù)需關(guān)閉。檢測操作步驟進(jìn)入“控制面板。管理工具。計(jì)算機(jī)管理”，進(jìn)入“服務(wù)和應(yīng)用程序”：查看所有服務(wù)，不在此列表的服務(wù)需關(guān)閉?；€符合性判定依據(jù)系統(tǒng)管理員應(yīng)出具系統(tǒng)所必要的服務(wù)列表。查看所有服務(wù)，不在此列表的服務(wù)需關(guān)閉。備注手工判斷5.3.3系統(tǒng)啟動項(xiàng)列表管理*安全基線項(xiàng)目名稱操作系統(tǒng)啟動項(xiàng)列表管理安全基線要求項(xiàng)安全基線編號SBL-Windows-05-03-03安全基線項(xiàng)說明列出系統(tǒng)啟動時自動加載的進(jìn)程和服務(wù)列表，不在此列表的需關(guān)閉。檢測操作步驟“開始。運(yùn)行。MSconfig”啟動菜單中，取消不必要的啟動項(xiàng)?；€符合性判定依據(jù)不需要的自動加載進(jìn)程通過“開始。運(yùn)行。MSconfig”啟動菜單中取消。備注手工判斷5.3.4遠(yuǎn)程控制服務(wù)安全*安全基線項(xiàng)目名稱操作系統(tǒng)遠(yuǎn)程控制服務(wù)管理安全基線要求項(xiàng)安全基線編SBL-Windows-05-03-04

號安全基線項(xiàng)說明如對互聯(lián)網(wǎng)開放WindowsTerminial服務(wù)(RemoteDesktop)，需修改默認(rèn)服務(wù)端口。檢測操作步驟運(yùn)行Regedt32并轉(zhuǎn)到此項(xiàng)：HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminalServerWinStationsRDP-Tcp找到“PortNumber”子項(xiàng)，會看到默認(rèn)值00000D3D，它是3389的十六進(jìn)制表示形式。使用十六進(jìn)制數(shù)值修改此端口號，并保存新值。基線符合性判定依據(jù)找到“PortNumber”子項(xiàng)，設(shè)定值非00000D3D，即十進(jìn)制3389備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強(qiáng)制要求此項(xiàng)。5.3.5IIS安全補(bǔ)丁管理*安全基線項(xiàng)目名稱操作系統(tǒng)IIS服務(wù)管理安全基線要求項(xiàng)安全基線編號SBL-Windows-05-03-05安全基線項(xiàng)說明如需啟用IIS服務(wù)，則將IIS升級到最新補(bǔ)丁。檢測操作步驟下載IIS補(bǔ)丁包IIS4.0/Downloads/Release.asp?ReleaseID=23667IIS5.0/Downloads/Release.asp2ReleaseIDu23665并安裝，或升級到IIS6.0基線符合性判定依據(jù)已安裝IIS補(bǔ)丁包或升級到IIS6.0。備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強(qiáng)制要求此項(xiàng)。5.3.6活動目錄時間同步管理*安全基線項(xiàng)目名稱操作系統(tǒng)IIS服務(wù)管理安全基線要求項(xiàng)安全基線編號SBL-Windows-05-03-06

安全基線項(xiàng)說明通過微軟ActiveDirectory管理的終端，或者是獨(dú)立終端，要求配置時間同步源.終端定期執(zhí)行時間同步操作（必要時）檢測操作步驟a.在具有PDCEmulator角色的DC上運(yùn)行如下命令，以和外部時間源同步w32tm/config/syncfromflags:manual/manualpeerlist:<PeerList>b.在PC終端上運(yùn)行如下命令行同步時間：w32tm/config/update基線符合性判定依據(jù)檢查終端主機(jī)的時間是否與標(biāo)準(zhǔn)時間同步。備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強(qiáng)制要求此項(xiàng)。5.4啟動項(xiàng)5.4.1關(guān)閉Windows自動播放功能安全基線項(xiàng)目名稱操作系統(tǒng)Windows自動播放安全基線要求項(xiàng)安全基線編號SBL-Windows-05-04-01安全基線項(xiàng)說明關(guān)閉Windows自動播放功能。檢測操作步驟打開“開始一運(yùn)行”，在對話框中輸入“gpedit.msc”命令，在出現(xiàn)“組策略”窗口中依次選擇“在計(jì)算機(jī)配置一管理模板一系統(tǒng)”，雙擊“關(guān)閉自動播放”查看?；€符合性判定依據(jù)在“設(shè)置”選項(xiàng)卡中選“已啟用”選項(xiàng)。備注5.5屏幕保護(hù)5.5.1設(shè)置屏