windows 操作系统安全运维所考虑的安全基线内容
安全配置要求
账号
编号:1
要求内容 应按照不同的用户分配不同的账号,避免不同用户间共享账号。避
免用户账号和设备间通信使用的账号共享。
操作指南 1、参考配置操作
进入"控制面板->管理工具->计算机管理" ,在"系统工具->本地用户和组" :
根据系统的要求,设定不同的账户和账户组。
检测方法
1、 判定条件
结合要求和实际业务情况判断符合要求,根据系统的要求,设定不
同的账户和账户组
2、检测操作
进入"控制面板->管理工具->计算机管理" ,在"系统工具->本地用
户和组" :
查看根据系统的要求,设定不同的账户和账户组
编号:2
要求内容
应删除与运行、维护等工作无关的账号。
操作指南
1.参考配置操作
A)可使用用户管理工具:
开始-运行-compmgmt.msc-本地用户和组-用户
B)也可以通过 net 命令:
删除账号: net user account/de1
停用账号:net user account/active:no
检测方法
1.判定条件
结合要求和实际业务情况判断符合要求,删除或锁定与设备运行、维护
等与工作无关的账号。
3
注:无关的账号主要指测试帐户、共享帐号、长期不用账号(半年以上
不用)等
2.检测操作
开始-运行-compmgmt.msc-本地用户和组-用户
编号:3
要求内容 重命名 Administrator;禁用 guest(来宾)帐号。
操作指南
1、参考配置操作
进入"控制面板->管理工具->计算机管理" ,在"系统工具->本地用户和组" :
Administrator->属性-> 更改名称
Guest 帐号->属性-> 已停用
检测方法 1、判定条件
缺省账户 Administrator名称已更改。
Guest 帐号已停用。
2、检测操作
进入"控制面板->管理工具->计算机管理" ,在"系统工具->本地用
户和组" :
缺省帐户->属性-> 更改名称
Guest 帐号->属性-> 已停用
口令
编号:1
要求内容 密码长度要求:最少 8位
密码复杂度要求:至少包含以下四种类别的字符中的三种:
z 英语大写字母 A, B, C, … Z
z 英语小写字母 a, b, c, … z
z 阿拉伯数字 0, 1, 2, … 9
z 非字母数字字符,如标点符号,@, #, $, %, &, *等
4
操作指南 1、参考配置操作
进入"控制面板->管理工具->本地安全策略" ,在"帐户策略->密码策略" :
"密码必须符合复杂性要求"选择"已启动"
检测方法
1、判定条件
"密码必须符合复杂性要求"选择"已启动"
2、检测操作
进入"控制面板->管理工具->本地安全策略" ,在"帐户策略->密码
策略" :
查看是否"密码必须符合复杂性要求"选择"已启动"
编号:2
要求内容 对于采用静态口令认证技术的设备,账户口令的生存期不长于 90
天。
操作指南
1、参考配置操作
进入"控制面板->管理工具->本地安全策略" ,在"帐户策略->密码策略" : "密码最长存留期"设置为"90 天"
检测方法
1、判定条件
"密码最长存留期"设置为"90 天"
2、检测操作
进入"控制面板->管理工具->本地安全策略" ,在"帐户策略->密码
策略" :
查看是否"密码最长存留期"设置为"90 天"
编号:3
要求内容 对于采用静态口令认证技术的设备,应配置设备,使用户不能重复
使用最近 5次(含 5 次)内已使用的口令。
操作指南
1、参考配置操作
进入"控制面板->管理工具->本地安全策略" ,在"帐户策略->密码策略" :
"强制密码历史"设置为"记住 5个密码"
检测方法 1、判定条件
"强制密码历史"设置为"记住 5个密码"
2、检测操作
进入"控制面板->管理工具->本地安全策略" ,在"帐户策略->密码
策略" :
查看是否"强制密码历史"设置为"记住 5 个密码"
编号:4
要求内容 对于采用静态口令认证技术的设备,应配置当用户连续认证失败次
数超过 6 次(不含 6 次) ,锁定该用户使用的账号。
操作指南 1、参考配置操作 进入"控制面板->管理工具->本地安全策略" ,在"帐户策略->帐户
锁定策略" :
"账户锁定阀值"设置为 6 次
设置解锁阀值:30 分钟
检测方法 1、判定条件
"账户锁定阀值"设置为小于或等于 6 次
2、检测操作
进入"控制面板->管理工具->本地安全策略" ,在"帐户策略->帐户
锁定策略" :
查看是否"账户锁定阀值"设置为小于等于 6次
补充说明:
设置不当可能导致账号大面积锁定,在域环境中应小心设置,
Administrator 账号本身不会被锁定。
授权
编号:1
6
要求内容 本地、远端系统强制关机只指派给 Administrators 组。
操作指南 1、参考配置操作
进入"控制面板->管理工具->本地安全策略" ,在"本地策略->用
户权利指派":
"关闭系统"设置为"只指派给 Administrators组"
"从远端系统强制关机"设置为"只指派给 Administrators组"
检测方法 1、判定条件
"关闭系统"设置为"只指派给 Administrators组"
"从远端系统强制关机"设置为"只指派给 Administrtors组"
2、检测操作
进入"控制面板->管理工具->本地安全策略" ,在"本地策略->用
户权利指派":
查看"关闭系统"设置为"只指派给 Administrators 组"
查看是否"从远端系统强制关机"设置为"只指派给
Administrators 组"
编号:2
要求内容 在本地安全设置中取得文件或其它对象的所有权仅指派给
Administrators。
操作指南 1、参考配置操作
进入"控制面板->管理工具->本地安全策略" ,在"本地策略->用
户权利指派" :
"取得文件或其它对象的所有权"设置为"只指派给
Administrators 组"
检测方法 1、判定条件
"取得文件或其它对象的所有权"设置为"只指派给
Administrators 组"
2、检测操作
进入"控制面板->管理工具->本地安全策略" ,在"本地策略->用
7
户权利指派" :
查看是否"取得文件或其它对象的所有权"设置为"只指派给
Administrators 组"
编号:3
要求内容 在本地安全设置中只允许授权帐号本地、远程访问登陆此计算机。
操作指南
1、参考配置操作
进入"控制面板->管理工具->本地安全策略" ,在"本地策略->用
户权利指派"
"从本地登陆此计算机"设置为"指定授权用户"
"从网络访问此计算机"设置为"指定授权用户"
检测方法 1、判定条件
"从本地登陆此计算机"设置为"指定授权用户"
"从网络访问此计算机"设置为"指定授权用户"
2、检测操作
进入"控制面板->管理工具->本地安全策略" ,在"本地策略->用
户权利指派"
查看是否"从本地登陆此计算机"设置为"指定授权用户"
查看是否"从网络访问此计算机"设置为"指定授权用户"
补丁
编号:1
要求内容 在不影响业务的情况下,应安装最新的 Service Pack 补丁集。对
服务器系统应先进行兼容性测试。
操作指南 1、参考配置操作
安装最新的 Service Pack补丁集。
例如截止到 2010 年最新版本: Windows XP 的 Service Pack 为 SP3。
Windows2000 的 Service Pack为 SP4,Windows 2003的 Service
Pack 为 SP2
检测方法 1、判定条件
2、检测操作
进入控制面板->添加或删除程序->显示更新打钩,查看是否 XP 系
统已安装SP3, Win2000系统已安装SP4, Win2003系统已安装SP2。
防护软件
编号:1
要求内容 启用自带防火墙或安装第三方威胁防护软件。根据业务需要限定允
许访问网络的应用程序,和允许远程登陆该设备的 IP地址范围。
操作指南 1、参考配置操作(以启动自带防火墙为例)
进入"控制面板->网络连接->本地连接" ,在高级选项的设置中
启用 Windows 防火墙。
在"例外"中配置允许业务所需的程序接入网络。
在"例外->编辑->更改范围"编辑允许接入的网络地址范围。
说明:分为服务器和操作终端两种情况:
服务器该项为可选,操作终端该项为必选
检测方法 1、判定条件
启用 Windows 防火墙。
"例外"中允许接入网络的程序均为业务所需。
2、检测操作
进入"控制面板->网络连接->本地连接" ,在高级选项的设置中,
查看是否启用 Windows 防火墙。
查看是否在"例外"中配置允许业务所需的程序接入网络。
查看是否在"例外->编辑->更改范围"编辑允许接入的网络地址范
围。
防病毒软件
编号:1
要求内容 安装防病毒软件,并及时更新。
操作指南 1、参考配置操作
9
安装防病毒软件,并及时更新。
检测方法 1、判定条件
已安装防病毒软件,病毒码更新时间不早于 1个月,各系统病毒码
升级时间要求参见各系统相关规定。
注:对于操作终端该项为必选项,对于服务器该项为可选项
2、检测操作
控制面板->添加或删除程序,是否安装有防病毒软件。打开防病
毒软件控制面板,查看病毒码更新日期。
日志安全要求
编号:1
要求内容 设备应配置日志功能,对用户登录进行记录,记录内容包括用户登
录使用的账号,登录是否成功,登录时间,以及远程登录时,用户
使用的 IP地址。
操作指南
1、参考配置操作
开始->运行-> 执行" 控制面板->管理工具->本地安全策略->审核
策略"
审核登录事件,双击,设置为成功和失败都审核。
检测方法
1、判定条件
审核登录事件,设置为成功和失败都审核。
2、检测操作
开始->运行-> 执行" 控制面板->管理工具->本地安全策略->审核
策略"
审核登录事件,双击,查看是否设置为成功和失败都审核。
编号:2
要求内容 开启审核策略,以便出现安全问题后进行追查
操作指南 1、参考配置操作
对审核策略进行检查:
开始-运行-gpedit.msc
计算机配置-Windows 设置-安全设置-本地策略-审核策略
以下审核是必须开启的,其他的可以根据需要增加:
y 审核系统登陆事件 成功,失败
y 审核帐户管理 成功,失败
y 审核登陆事件 成功,失败
y 审核对象访问 成功
y 审核策略更改 成功,失败
y 审核特权使用 成功,失败
y 审核系统事件 成功,失败
2、补充说明
可能会使日志量猛增
检测方法 1、判定条件
尝试对被添加了访问审核的对象进行访问,然后查看安全日志中是
否会有相关记录,或通过其他手段激化以配置的审核策略,并观察
日志中的记录情况,如果存在记录条目,则配置成功。
2、检测操作
编号:3
要求内容
设置日志容量和覆盖规则,保证日志存储
操作指南 1、参考配置操作
开始-运行-eventvwr
右键选择日志,属性,根据实际需求设置:
日志文件大小:可根据需要制定
超过上限时的处理方式(建议日志记录天数不小于 90天)
2、 补充说明
建议对每个日志均进行如上操作,同时应保证磁盘空间
检测方法 1、判定条件
2、检测操作
开始-运行-eventvwr,右键选择日志,属性,查看日志上限及超
过上线时的处理方式
不必要的服务、端口
编号:1
要求内容 关闭不必要的服务
操作指南 1、参考配置操作
进入"控制面板->管理工具->计算机管理" ,进入"服务和应用程
序" :
可根据具体应用情况参考附录 A,筛选不必要的服务。
检测方法 1、判定条件
系统管理员应出具系统所必要的服务列表。
查看所有服务,不在此列表的服务需关闭。
2、检测操作
进入"控制面板->管理工具->计算机管理" ,进入"服务和应用程
序" :
查看所有服务,不在此列表的服务是否已关闭。
编号: 2
要求内容 如需启用SNMP服务, 则修改默认的SNMP Community String设置。
操作指南 1、参考配置操作
打开"控制面板",打开"管理工具"中的"服务",找到"SNMP
Service",单击右键打开"属性"面板中的"安全"选项卡,在这个配置
界面中,可以修改 community strings,也就是微软所说的"团体名
称"。
检测方法 1、判定条件
community strings已改,不是默认的"public"
2、检测操作
打开"控制面板",打开"管理工具"中的"服务",找到"SNMP
Service",单击右键打开"属性"面板中的"安全"选项卡,在这个配置
界面中,查看 community strings,也就是微软所说的"团体名称"。
编号: 3
要求内容 如对互联网开放 WindowsTerminial 服务(Remote Desktop),需修改
默认服务端口。
操作指南 1、参考配置操作
开始->运行 Regedt32
并转到此项:
HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal
ServerWinStationsRDP-Tcp
找到 "PortNumber" 子项, 会看到默认值 00000D3D, 它是 3389
的十六进制表示形式。使用十六进制数值修改此端口号,并保存新
值。
检测方法 1、判定条件
找到"PortNumber"子项,设定值非 00000D3D,即十进制 3389
2、检测操作
运行 Regedt32 ,找到此项并判断。
启动项
要求内容 关闭无效启动项
操作指南 1、参考配置操作
"开始->运行->MSconfig"启动菜单中,取消不必要的启动项。
检测方法 1、判定条件
2、检测操作
系统管理员提供业务必须的自动加载进程和服务列表文档。
查看"开始->运行->MSconfig"启动菜单:
不需要的自动加载进程是否已禁用和取消。
关闭自动播放功能
编号:1
要求内容 关闭 Windows自动播放功能
操作指南 1、参考配置操作
开始→运行→gpedit.msc,打开组策略编辑器,浏览到计算机配置
→管理模板→系统,在右边窗格中双击"关闭自动播放",对话框中
选择所有驱动器,确定即可。
检测方法 1、判定条件
所有驱动器均"关闭自动播放"
2、检测操作
"关闭自动播放"配置已启用,启用范围:所有驱动器。
共享文件夹
编号:1
要求内容 在非域环境下,关闭 Windows 硬盘默认共享,例如 C$,D$。
操作指南 1、参考配置操作
进入"开始->运行->Regedit" ,进入注册表编辑器,更改注册表
键值:
HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\
下,增加 REG_DWORD 类型的 AutoShareServer 键,值为 0。
检测方法 1、判定条件
HKLM\System\CurrentControlSet\
Services\LanmanServer\Parameters\增加了 REG_DWORD 类型的
AutoShareServer 键,值为 0。
2、检测操作
进入"开始->运行->Regedit" ,进入注册表编辑器,更改注册表
键值:
HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\
,增加 REG_DWORD类型的 AutoShareServer 键,值为 0。
编号:2
要求内容 设置共享文件夹的访问权限,只允许授权的账户拥有权限共享此文
件夹。
操作指南 1、参考配置操作
进入"控制面板->管理工具->计算机管理" ,进入"系统工具->共
享文件夹" :
查看每个共享文件夹的共享权限,只将权限授权于指定账户。
检测方法 1、判定条件
查看每个共享文件夹的共享权限仅限于业务需要,不设置成为
"everyone" 。
2、检测操作
进入"控制面板->管理工具->计算机管理" ,进入"系统工具->共
享文件夹" :
查看每个共享文件夹的共享权限。
使用NTFS文件系统
要求内容 在不毁坏数据的情况下,将FAT分区改为NTFS格式
操作指南 1、参考配置操作
将 FAT 卷转换成 NTFS 分区
CONVERT volume /FS:NTFS[/V] [/CvtArea:filename][/NoSecurity]
[/X]
Vo l ume 指定驱动器号(后面加一个冒号) 、装载点或卷名
/FS:NTFS 指定要被转换成 NTFS 的卷
/V 指定 CONVERT 应该用详述模式运行
/CvtArea:filename 将根目录中的一个接续文件指定为NTFS系统文
件的占位符
15
/NoSecurity 指定每个人都可以访问转换的文件和目录的安全设置
/X 如果必要,先强行卸载卷,有打开的句柄则无效
例如:
Covert C:/FS:NTFS
备注:
1、新上线系统必须要求 NTFS 分区,已上线系统在不损坏数据的
情况下应用
2、在有其他非 WIN系统访问、存在数据共享的情况下,不建议将
FAT分区改为NTFS格式
检测方法 1、判定条件
2、检测操作
网络访问
编号:1
要求内容 禁用匿名访问命名管道和共享
16
操作指南 1、参考配置操作
"控制面板->管理工具->本地安全策略" ,在"本地策略->安全选
项":网络访问:可匿名访问的共享设置为全部删除
"控制面板->管理工具->本地安全策略" ,在"本地策略->安全选
项":网络访问:可匿名访问的命名管道 设置为全部删除
检测方法 1、判定条件
全部删除匿名访问命名管道和共享
2、 检测操作
查看"控制面板->管理工具->本地安全策略" ,在"本地策略->安
全选项":网络访问:可匿名访问的共享、可匿名访问的命名管道
是否设置为全部删除
编号:2
要求内容 禁用可远程访问的注册表路径和子路径
操作指南 1、参考配置操作
"控制面板->管理工具->本地安全策略" ,在"本地策略->安全选
项":网络访问:可远程访问的注册表路径 设置为全部删除
"控制面板->管理工具->本地安全策略" ,在"本地策略->安全选
项":网络访问:可远程访问的注册表路径和子路径 设置为全部删
除
检测方法 1、判定条件
全部删除可远程访问的注册表路径和子路径
3、 检测操作
查看"控制面板->管理工具->本地安全策略" ,在"本地策略->安
全选项":网络访问中,查看,可远程访问的注册表路径、可远程
访问的注册表路径和子路径是否设置为全部删除
会话超时设置
编号:1
17
要求内容
对于远程登录的账户,设置不活动所连接时间 15 分钟
操作指南 1、参考配置操作
进入"控制面板-管理工具-本地安全策略" ,在"安全策略-安
全选项" : "Microsoft 网络服务器"设置为"在挂起会话之前所需
的空闲时间"为 15 分钟
检测方法 1、判定条件
"Microsoft 网络服务器"设置为"在挂起会话之前所需的空闲时
间"为 15 分钟
2、检测操作
进入"控制面板-管理工具-本地安全策略" ,在"安全策略-安
全选项" :查看"Microsoft 网络服务器"设置
注册表设置
编号:1
要求内容 在不影响系统稳定运行的前提下,对注册表信息进行更新。
操作指南 1、参考配置操作
y 自动登录:
HKLM\Software\Microsoft\WindowsNT\
CurrentVersion\Winlogon\AutoAdminLogon (REG_DWORD) 0
y 源路由欺骗保护:
HKLM\System\CurrentControlSet\
Services\Tcpip\Parameters\DisableIPSourceRouting
(REG_DWORD) 2
y 删除匿名用户空链接
HKEY_LOCAL_MACHINE
SYSTEM\Current\Control\Set\Control\Lsa
将 restrictanonymous 的值设置为 1,若该值不存在,可以自己
创建,类型为 REG_DWORD
修改完成后重新启动系统生效
y 碎片×××保护:
HKLM\System\CurrentControlSet\
18
Services\Tcpip\Parameters\EnablePMTUDiscovery
(REG_DWORD) 1
y Syn flood ×××保护:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
之下,可设置:
TcpMaxPortsExhausted。推荐值:5。
TcpMaxHalfOpen。推荐值数据:500。
TcpMaxHalfOpenRetried。推荐值数据:400
检测方法 1、判定条件
2、检测操作
点击开始->运行,然后在打开行里输入 regedit,然后单击确定,查看相
关注册表项进行查看;
使用空连接扫描工具无法远程枚举用户名和用户组
附录 A:端口及服务
服务名称 端口 服务说明 关闭方法 处置建议
系统服务部分
echo 7/TCP RFC862_回声协议
关闭"Simple
TCP/IP Services"服
务。
建议关闭
echo 7/UDP RFC862_回声协议
discard 9/UDP RFC863 废除协议
discard 9/TCP RFC863 废除协议
daytime 13/UDP RFC867 白天协议
daytime 13/TCP RFC867 白天协议
qotd 17/TCP
RFC865 白天协议的
引用
qotd 17/UDP
RFC865 白天协议的
引用
chargen 19/TCP
RFC864 字符产生协
议
19
chargen 19/UDP
RFC864 字符产生协
议
ftp 21/TCP 文件传输协议(控制)
关闭"FTP
Publishing Service"
服务。
根据情况选择
开放
smtp 25/TCP 简单邮件发送协议
关闭"Simple Mail
Transport Protocol"
服务。
建议关闭
nameserver
42/TCP
WINS 主机名服务
关闭"Windows
Internet Name
Service"服务。
建议关闭
42/UDP
domain
53/UDP
域名服务器
关闭"DNS Server"
服务。
根据情况选择
开放
53/TCP
根据情况选择
开放
dhcps 67/UDP
DHCP 服务器
/Internet 连接共享
关闭"Simple
TCP/IP Services"服
务。
建议关闭
dhcpc 68/UDP DHCP协议客户端
关闭"DHCP Client"
服务。
建议关闭
http 80/TCP
HTTP 万维网发布服
务
关闭"World Wide
Web Publishing
Service"服务。
根据情况选择
开放
epmap
135/TCP
RPC服务 系统基本服务
无法关闭
135/UDP 无法关闭
netbios-ns 137/UDP NetBIOS 名称解析
在网卡的 TCP/IP选
项中"WINS"页勾选"
禁用 TCP/IP上的
NETBIOS"
根据情况选择
开放
netbios-dgm 138/UDP NetBIOS 数据报服务 根据情况选择
开放
netbios-ssn 139/TCP NetBIOS 会话服务 系统基本服务 无法关闭
snmp 161/UDP SNMP 服务 关闭"SNMP "服务
根据情况选择
开放
https 443/TCP
安全超文本传输协议
关闭"World Wide
Web Publishing
Service"服务
根据情况选择
开放
20
microsoft-ds
445/UDP
SMB 服务器
运行regedit,打开
HKEY_LOCAL_MA
CHINE\System\Cur
rentControlSet\Serv
ices\NetBT\Parame
ters 添加名为
"SMBDeviceEnable
d"的子键,类型
dword,值为0 重新
启动计算机
根据情况选择
开放
445/TCP
isakmp 500/UDP
IPSec ISAKMP 本地
安全机构
关闭"IPSEC Policy
Agent"服务
很少使用的服
务,如不使用
ipsec,建议关
闭
RADIUS 1645/UDP
旧式 RADIUS
Internet 身份验证服
务
关闭"Remote
Access Connection
Manager"服务
建议关闭
RADIUS 1646/UDP
旧式 RADIUS
Internet 身份验证服
务
建议关闭
radius 1812/UDP
身份验证 Internet 身
份验证服务
建议关闭
radacct 1813/UDP
计帐 Internet 身份验
证服务
建议关闭
MSMQ-RPC 2105/TCP
MSMQ-RPC 消息队
列
关闭"Message
Queuing"服务。
建议关闭
Termsrv 3389/TCP 终端服务
关闭"Terminal
Services"服务。
根据情况选择
开放
其他常用服务
Apache
80/TCP
8000/TCP
Apache HTTP 服务
器
关闭"Apache2"服
务。
根据情况选择
开放
ms-sql-s
1433/TCP
1434/UDP
微软公司数据库
关闭
"MSSQLServer"服
务。
根据情况选择
开放
ORACLE 1521/TCP 甲骨文公司数据库
关闭
"OracleOraHome90
TNSListener"服务。
根据情况选择
开放
21
remote
administrator
4899/TCP
Famatech公司远程控
制软件
关闭"Remote
Administrator
Service
"服务。
根据情况选择
开放
sybase 5000/TCP Sybase公司数据库
关闭"Sybase
SQLServer"字样开
始的服务。
根据情况选择
开放
pcAnywhere
5631/TCP
5632/UDP
Symantec公司远程控
制软件
关闭"pcAnywhere
Host Service"字样
开始的服务。
根据情况选择
开放
