1 賬號管理、認證授權.... 1
1.1 賬號... 1
1.2 口令... 1
1.3 授權... 2
2 日志配置操作.... 3
3 IP協議安全配置操作.... 6
4 設備其他配置操作.... 6
4.1 屏幕保護... 6
4.2 共享文件夾及訪問權限... 7
4.3 補丁管理... 7
4.4 防病毒管理... 8
4.5 Windows服務... 8
4.6 啟動項... 9
1 賬號管理、認證授權
認證功能用於確認登錄系統的用戶真實身份。認證功能的具體實現方式包括靜態口令、動態口令、指紋等生物鑒別技術等。授權功能賦予系統賬號的操作權限,並限制用戶進行超越其賬號權限的操作。
1.1 賬號
編號:安全要求-設備-通用-配置—1
內容:按照用戶分配賬號。根據系統的要求,設定不同的賬戶和賬戶組,管理員用戶,數據庫用戶,審計用戶,來賓用戶等。
操作:滿足。
編號:安全要求-設備-WINDOWS-配置-2-可選
內容:刪除或鎖定與設備運行、維護等與工作無關的賬號。
操作:滿足。
編號:安全要求-設備-WINDOWS-配置-3-可選
內容:對於管理員帳號,要求更改缺省帳戶名稱;禁用guest(來賓)帳號。
操作:guest刪除;administrator名稱無需修改。
1.2 口令
編號:安全要求-設備-WINDOWS-配置-4
內容:最短密碼長度 6個字符,啟用本機組策略中密碼必須符合復雜性要求的策略。即密碼至少包含以下四種類別的字符中的三種。
操作:
進入“控制面板->管理工具->本地安全策略”,在“帳戶策略->密碼策略”:
“密碼必須符合復雜性要求”選擇“已啟動”。
編號:安全要求-設備-WINDOWS-配置-35
內容:對於采用靜態口令認證技術的設備,賬戶口令的生存期不長於90天。
操作:進入“控制面板->管理工具->本地安全策略”,在“帳戶策略->密碼策略”:
“密碼最長存留期”設置為“90天”。
編號:安全要求-設備-WINDOWS-配置-36-可選
內容:對於采用靜態口令認證技術的設備,應配置設備,使用戶不能重復使用最近5次(含5次)內已使用的口令。
操作:進入“控制面板->管理工具->本地安全策略”,在“帳戶策略->密碼策略”:
“強制密碼歷史”設置為“記住5個密碼”。
編號:安全要求-設備-WINDOWS-配置-37
內容:對於采用靜態口令認證技術的設備,應配置當用戶連續認證失敗次數超過6次(不含6次),鎖定該用戶使用的賬號。
操作:進入“控制面板->管理工具->本地安全策略”,在“帳戶策略->帳戶鎖定策略”:
“賬戶鎖定閥值”設置為 6次。
注意:不宜實施,管理帳號網絡登陸鎖定后影響維護工作。MISC的windows主機沒有向外網開放接口。
1.3 授權
編號:安全要求-設備-WINDOWS-配置-5
內容:在本地安全設置中從遠端系統強制關機只指派給Administrators組。
操作:進入“控制面板->管理工具->本地安全策略”,在“本地策略->用戶權利指派”:
“從遠端系統強制關機”設置為“只指派給Administrators組”。
編號:安全要求-設備-WINDOWS-配置-6
內容:在本地安全設置中關閉系統僅指派給Administrators組。
操作:進入“控制面板->管理工具->本地安全策略”,在“本地策略->用戶權利指派”:
“關閉系統”設置為“只指派給Administrators組”。
編號:安全要求-設備-WINDOWS-配置-7
內容:在本地安全設置中取得文件或其它對象的所有權僅指派給Administrators。
操作:進入“控制面板->管理工具->本地安全策略”,在“本地策略->用戶權利指派”:
“取得文件或其它對象的所有權”設置為“只指派給Administrators組”。
編號:安全要求-設備-WINDOWS-配置-8
內容:在本地安全設置中配置指定授權用戶允許本地登陸此計算機。
操作:進入“控制面板->管理工具->本地安全策略”,在“本地策略->用戶權利指派”
“從本地登陸此計算機”設置為“指定授權用戶”。
編號:安全要求-設備-WINDOWS-配置-9
內容:在組策略中只允許授權帳號從網絡訪問(包括網絡共享等,但不包括終端服務)此計算機。
操作:進入“控制面板->管理工具->本地安全策略”,在“本地策略->用戶權利指派”
“從網絡訪問此計算機”設置為“指定授權用戶”。
2 日志配置操作
編號:安全要求-設備-WINDOWS-配置-38
內容:設備應配置日志功能,對用戶登錄進行記錄,記錄內容包括用戶登錄使用的賬號,登錄是否成功,登錄時間,以及遠程登錄時,用戶使用的IP地址。
操作:開始->運行-> 執行“ 控制面板->管理工具->本地安全策略->審核策略”
審核登錄事件,雙擊,設置為成功和失敗都審核。
編號:安全要求-設備-WINDOWS-配置-10
內容:啟用組策略中對Windows系統的審核策略更改,成功和失敗都要審核。
操作:進入“控制面板->管理工具->本地安全策略”,在“本地策略->審核策略”中
“審核策略更改”設置為“成功” 和“失敗”都要審核。
編號:安全要求-設備-WINDOWS-配置-11
內容:啟用組策略中對Windows系統的審核對象訪問,成功和失敗都要審核。
操作:進入“控制面板->管理工具->本地安全策略”,在“本地策略->審核策略”中:
“審核對象訪問”設置為“成功”和“失敗”都要審核。
編號:安全要求-設備-WINDOWS-配置-12
內容:啟用組策略中對Windows系統的審核目錄服務訪問,失敗。
操作:進入“控制面板->管理工具->本地安全策略”,在“本地策略->審核策略”中:
“審核目錄服務器訪問”設置為“成功” 和“失敗”都要審核。
編號:安全要求-設備-WINDOWS-配置-13
內容:啟用組策略中對Windows系統的審核特權使用,成功和失敗都要審核。
操作:進入“控制面板->管理工具->本地安全策略”,在“本地策略->審核策略”中:
“審核特權使用”設置為“成功” 和“失敗”都要審核。
編號:安全要求-設備-WINDOWS-配置-14
內容:啟用組策略中對Windows系統的審核系統事件,成功和失敗都要審核。
操作:進入“控制面板->管理工具->本地安全策略”,在“本地策略->審核策略”中:
“審核系統事件”設置為“成功” 和“失敗”都要審核。
編號:安全要求-設備-WINDOWS-配置-15
內容:啟用組策略中對Windows系統的審核帳戶管理,成功和失敗都要審核。
操作:進入“控制面板->管理工具->本地安全策略”,在“本地策略->審核策略”中:
“審核賬戶管理”設置為“成功” 和“失敗”都要審核。
編號:安全要求-設備-WINDOWS-配置-16
內容:啟用組策略中對Windows系統的審核過程追蹤,失敗。
操作:進入“控制面板->管理工具->本地安全策略”,在“本地策略->審核策略”中:
“審核過程追蹤”設置為 “失敗”需要審核。
編號:安全要求-設備-WINDOWS-配置-17-可選
內容:設置應用日志文件大小至少為8192KB,設置當達到最大的日志尺寸時,按需要改寫事件。
操作:進入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中:
“應用日志”屬性中的日志大小設置不小於“8192KB” ,設置當達到最大的日志尺寸時,“按需要改寫事件”。
編號:安全要求-設備-WINDOWS-配置-18-可選
內容:設置系統日志文件大小至少為8192KB,設置當達到最大的日志尺寸時,按需要改寫事件。
操作:進入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中:
“系統日志”屬性中的日志大小設置不小於“8192KB” ,設置當達到最大的日志尺寸時,“按需要改寫事件”。
編號:安全要求-設備-WINDOWS-配置-19-可選
內容:設置安全日志文件大小至少為8192KB,設置當達到最大的日志尺寸時,按需要改寫事件。
操作:進入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中:
“安全日志”屬性中的日志大小設置不小於“8192KB” ,設置當達到最大的日志尺寸時,“按需要改寫事件”。
3 IP協議安全配置操作
編號:安全要求-設備-WINDOWS-配置-20-可選
內容:對沒有自帶防火牆的Windows系統,啟用Windows系統的IP安全機制(IPSec)或網絡連接上的TCP/IP篩選,只開放業務所需要的TCP,UDP端口和IP協議。
操作:不啟用。邊界防火牆已經按應用配置了訪問策略,本機不需起用TCP/IP篩選。這類要求對直接掛在公網上的裸機(無防火牆保護)才有意義。內部生產網是可信環境。
編號:安全要求-設備-WINDOWS-配置-21-可選
內容:啟用Windows XP和Windows 2003 自帶防火牆。根據業務需要限定允許訪問網絡的應用程序,和允許遠程登陸該設備的IP地址范圍。
操作:同上。
編號:安全要求-設備-WINDOWS-配置-22-可選
內容:啟用SYN攻擊保護;指定觸發SYN洪水攻擊保護所必須超過的TCP連接請求數閥值為5;指定處於 SYN_RCVD 狀態的 TCP 連接數的閾值為500;指定處於至少已發送一次重傳的 SYN_RCVD 狀態中的 TCP 連接數的閾值為400。
操作:不啟用。洪水攻擊的形成要在公網上有足夠多的傀儡機,MISC系統的windows主機對外網及其他內部網都作了邊界隔離,不能構造。
4 設備其他配置操作
4.1 屏幕保護
編號:安全要求-設備-WINDOWS-配置-23
內容:設置帶密碼的屏幕保護,並將時間設定為5分鍾。
操作:進入“控制面板->顯示->屏幕保護程序”:
啟用屏幕保護程序,設置等待時間為“5分鍾”,啟用“在恢復時使用密碼保護”。
編號:安全要求-設備-WINDOWS-配置-24
內容:對於遠程登陸的帳號,設置不活動斷連時間15分鍾。
操作:進入“控制面板->管理工具->本地安全策略”,在“本地策略->安全選項”:
“Microsoft網絡服務器”設置為“在掛起會話之前所需的空閑時間”為15分鍾。
4.2 共享文件夾及訪問權限
編號:安全要求-設備-WINDOWS-配置-25-可選
內容:非域環境中,關閉Windows硬盤默認共享,例如C$,D$。
操作:暫不實施。現網windows某些應用存在域環境。
編號:安全要求-設備-WINDOWS-配置-26
內容:查看每個共享文件夾的共享權限,只允許授權的賬戶擁有權限共享此文件夾。
操作:無共享文件夾,無需操作。
4.3 補丁管理
編號:安全要求-設備-WINDOWS-配置-27
內容:應安裝最新的Service Pack補丁集。對服務器系統應先進行兼容性測試。
操作:檢查操作系統版本是否為 Windows XP SP2/Windows2000 SP4/Windows 2003 SP1
現網都應該配置了自動更新。
編號:安全要求-設備-WINDOWS-配置-28-可選
內容:應安裝最新的Hotfix補丁。對服務器系統應先進行兼容性測試。
操作:現網都應該配置了自動更新。
4.4 防病毒管理
編號:安全要求-設備-WINDOWS-配置-29
內容:安裝防病毒軟件,並及時更新。
操作:現網已安裝了Norton或其他防病毒軟件。
編號:安全要求-設備-WINDOWS-配置-30-可選
內容:對於Windows XP SP2及Windows 2003對Windows操作系統程序和服務啟用系統自帶DEP功能(數據執行保護),防止在受保護內存位置運行有害代碼。
操作:無需操作,安全意義不大。
4.5 Windows服務
編號:安全要求-設備-WINDOWS-配置-31
內容:列出所需要服務的列表(包括所需的系統服務),不在此列表的服務需關閉。
編號:安全要求-設備-WINDOWS-配置-34
內容:列出系統啟動時自動加載的進程和服務列表,不在此列表的需關閉。
操作:開始->運行->MSconfig
1)所有windows系統需禁用的標准服務
alerter
clipbook
fax service
internet connection sharing
message queuing
messenger
netmeeting remote desktop sharing
routing and remote access
simple mail transport protocol (smtp)
smart card
smart card helper
tcp/ip print server
telnet
2)需酌情關閉的服務
關注點是FTP、HTTP,如果業務需要,保留。非業務需要,禁用。
3)其他的保持原狀
編號:安全要求-設備-WINDOWS-配置-32-可選
內容:如需啟用SNMP服務,則修改默認的SNMP Community String設置
操作:打開“控制面板”,打開“管理工具”中的“服務”,找到“SNMP Service”,單擊右鍵打開“屬性”面板中的“安全”選項卡,在這個配置界面中,可以修改community strings,也就是微軟所說的“團體名稱”。
編號:安全要求-設備-WINDOWS-配置-33-可選
內容:如需啟用IIS服務,則將IIS升級到最新補丁。
操作:無IIS應用,無需操作。
4.6 啟動項
編號:安全要求-設備-WINDOWS-配置-34
內容:列出系統啟動時自動加載的進程和服務列表,不在此列表的需關閉。
操作:已在2.4.5中完成。
編號:安全要求-設備-WINDOWS-配置-35
內容:關閉Windows自動播放功能
操作:點擊開始→運行→輸入gpedit.msc,打開組策略編輯器,瀏覽到計算機配置→管理模板→系統,在右邊窗格中雙擊“關閉自動播放”,對話框中選擇所有驅動器,確定即可。