Windows系統通用安全配置基線

一：共享賬號檢查

配置名稱：賬號分配檢查，避免共享賬號存在
配置要求： 1、系統需按照實際用戶分配賬號； 2、根據系統的使用需求，設定不同的賬戶和賬戶組，包括管理員用戶，數據庫用戶，審計用戶，來賓用戶等； 3、避免出現共享賬號情況； 操作指南：參考配置操作（適用2000、2003） ”控制面板->管理工具->計算機管理->系統工具->本地用戶和組”。 參考配置操作（適用2008 x64） ”管理工具->服務器管理->配置->本地用戶和組”。 檢查方法：查看已創建賬戶和賬戶組，與管理員確認有無無用的或共用的賬戶，如果每一賬戶都按需創建和划分賬戶組的則符合要求。 配置方法：根據系統實際使用需求，設定不同的賬戶和賬戶組，如：管理員用戶，數據庫用戶，審計用戶，來賓用戶。 使用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64。

二：來賓賬戶檢查

配置名稱：禁用來賓賬戶
配置要求：禁用guest（來賓）用戶
操作指南：參考配置操作（適用2000、2003） ”控制面板->管理工具->計算機管理”，在”系統工具->本地用戶和組->Guest賬戶>屬性->“常規”頁 參考配置操作（適用2008 x64） ”管理工具->服務器管理”，在”配置->本地用戶和組->Guest賬戶->屬性-> “常規”頁 檢查方法：檢查復選框”賬戶已禁用”項狀態，勾選為已禁用來賓賬號 配置方法：勾選復選框”賬戶已禁用”項，禁用來賓賬號。 適用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64。

三：口令復雜度策略

配置名稱：口令復雜度策略
配置要求：1、最短密碼長度 12個字符； 2、啟用本機組策略中密碼必須符合復雜性要求的策略，即密碼至少包含以下四種類別的字符中的三種：  英語大寫字母 A, B, C, … Z  英語小寫字母 a, b, c, … z  西方阿拉伯數字 0, 1, 2, … 9  非字母數字字符，如標點符號，@, #, $, %, &, *等 操作指南：參考配置操作（適用2000、2003） 1、”控制面板->管理工具->本地安全策略->帳戶策略->密碼策略->密碼長度最小值->屬性” 2、”控制面板->管理工具->本地安全策略->帳戶策略->密碼策略->密碼必須符合復雜性要求->屬性” 參考配置操作（適用2008 x64） 1、”管理工具->本地安全策略->帳戶策略->密碼策略->密碼長度最小值->屬性” 2、”管理工具->本地安全策略->帳戶策略->密碼策略->密碼必須符合復雜性要求->屬性” 檢查方法：1、檢查最小值設置，大於等於12為符合要求； 2、檢查單選框”已啟動”狀態，選中”已啟動”為符合。 配置方法：1、將密碼最小值設置為大於等於12； 2、將”密碼必須符合復雜性要求”項，選中”已啟動”。 使用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

四：口令最長生存期策略

配置名稱：口令最長生存期策略
配置要求：要求操作系統的賬戶口令的最長生存期不長於90天。 操作指南：參考配置操作（適用2000、2003） ”控制面板->管理工具->本地安全策略->帳戶策略->密碼策略->密碼最長存留期->屬性” 參考配置操作（適用2008 x64） ”管理工具->本地安全策略->帳戶策略->密碼策略->密碼最長存留期->屬性” 檢查方法：檢查”密碼最長使用期限”小於等於90為符合。 配置方法：檢查”密碼最長使用期限”小於等於90為符合。 使用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

五：遠程關機授權

配置名稱：本地安全設置中遠程關機授權只指派給Administrators組 配置要求：在本地安全設置中從遠端系統強制關機只指派給Administrators組。 操作指南：參考配置操作（適用2000、2003） ”控制面板->管理工具->本地安全策略->本地策略->用戶權利指派->從遠端系統強制關機->屬性” 參考配置操作（適用2008 x64） ”管理工具->本地安全策略->本地策略->用戶權限分配->從遠程系統強制關機->屬性” 檢查方法：查看”從遠端系統強制關機”權限指派情況”，僅指派給 administrators，符合要求。 配置方法：設置為”只指派給Administrators組” 使用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

六：系統關閉授權

配置名稱：本地安全設置中關閉系統僅指派給Administrators組 配置要求：檢測本地安全設置中關閉系統僅指派給Administrators組 操作指南：參考配置操作（適用2003） ”控制面板->管理工具->本地安全策略->本地策略->用戶權利指派->關閉系統->屬性” 參考配置操作（適用2008 x64） ”管理工具->本地安全策略->本地策略->用戶權限分配->關閉系統->屬性” 檢查方法：查看”關閉系統”權限指派情況，內容為administrators，表示符合要求。 配置方法：設置為”只指派給Administrators組” 使用版本：Windows Server 2003、Windows Server 2008 X64

七：文件權限指派

配置名稱：文件權限指派
配置要求：在本地安全設置中取得文件或其它對象的所有權僅指派給Administrators。 操作指南：參考配置操作（適用2003） ”控制面板->管理工具->本地安全策略->本地策略->用戶權利指派->取得文件或其它 對象的所有權->屬性” 參考配置操作（適用2008 x64） ”管理工具->本地安全策略->本地策略->用戶權限分配->用戶權利指派->取得文件或其它對象的所有權->屬性” 檢查方法：查看“取得文件或其它對象”的僅限指情況，指派給Administrators”為符合要求。 配置方法：設置為”只指派給Administrators組” 使用版本：Windows Server 2003、Windows Server 2008 X64

八：匿名權限限制

配置名稱：網絡連接中限制匿名用戶連接權限
配置要求：在組策略中只允許授權帳號從網絡訪問(包括網絡共享等，但不包括終端服務)此計算機。
操作指南：參考配置操作（適用2003） ”控制面板->管理工具->本地安全策略->本地策略->用戶權利指派->從網絡訪問此計算機->屬性” 參考配置操作（適用2008 x64） ”管理工具->本地安全策略->本地策略->用戶權限分配->從網絡訪問此計算機->屬性” 檢查方法：檢查屬性列表，不包括”Users”和”Everyone”組和其他無用組為符合要求. 配置方法：根據需求添加訪問組。 適用版本：Windows Server 2003、Windows Server 2008 X64

八：登陸日志檢查

配置名稱：檢測是否設置審核賬戶登錄事件
配置要求：系統應啟用日志功能，對用戶登錄進行記錄，記錄內容包括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠程登錄時，用戶使用的IP地址。 操作指南：參考配置操作（適用2000、2003） ”控制面板->管理工具->本地安全策略->審核策略->審核登錄事件->屬性”。 參考配置操作（適用2008 x64） ”管理工具->本地安全策略->審核策略->審核登錄事件->屬性”。 檢查方法：檢查是否同時勾選了”成功”和”失敗”，同時勾選為符合要求。 配置方法：設置為成功和失敗都審核。 適用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

九：系統日志完備性檢查

配置名稱：系統日志完備性檢查，檢查是否啟用系統多項審核策略
配置要求：系統應配置完整的審核策略，啟用本地策略中審核策略中如下項。每項都需要設置為”成功”和”失敗”都要審核。
          參考配置操作（適用2000、2003） ”控制面板->管理工具->本地安全策略->需要配置的策略： 參考配置操作（適用2008 x64） ”管理工具->本地安全策略->需要配置的策略：  審核策略更改  審核對象訪問  審核進程跟蹤  審核目錄服務訪問  審核特權使用  審核系統事件  審核賬戶管理 操作指南：參考配置操作 進入”控制面板->管理工具->本地安全策略->本地策略->審核策略”中。進入如下項的”屬性頁”  審核策略更改  審核對象訪問  審核進程跟蹤  審核目錄服務訪問  審核特權使用  審核系統事件  審核賬戶管理 檢查方法：檢查項包括以下7子項：  檢測是否啟用對Windows系統的審核策略更改  檢測是否啟用對Windows系統的審核對象訪問  檢測是否啟用Windows系統審核目錄服務訪問  檢測是否啟用Windows系統審核特權使用  檢測是否啟用Windows系統審核系統事件  檢測是否啟用Windows系統的審核賬戶管理  檢測是否啟用Windows系統的審核過程追蹤 以上每一項都要勾選”成功”和”失敗”項，才符合要求。 配置方法：分別進入以上7個子項配置頁，勾選”成功”和”失敗”復選框。 適用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

十：日志大小設置

配置名稱：檢測系統日志、應用日志、安全日志的大小以及擴展設置是否符合規范
配置要求：1、設置系統日志文件大小至少為32MB，設置當達到最大的日志尺寸時，按需要改寫事件。 2、設置應用日志文件大小至少為32M B，設置當達到最大的日志尺寸時，按需要改寫事件。 3、設置安全日志文件大小至少為32M B，設置當達到最大的日志尺寸時，按需要改寫事件。 操作指南：參考配置操作（適用2000、2003） 進入”控制面板->管理工具->事件查看器”，在”事件查看器（本地）”中的： “系統日志”屬性頁； “應用日志”屬性頁； “安全日志”屬性頁。 參考配置操作（適用2008 x64） 進入”管理工具->服務器管理”， 在”診斷->事件查看器->windows日志”中的： “系統日志”屬性頁； “應用日志”屬性頁； “安全日志”屬性頁。 檢查方法：檢查包括以下6子項  應用日志文件大小至少為32M B  當達到最大的應用日志尺寸時，按需要改寫事件  系統日志文件大小至少為32M B  當達到最大的應用日志尺寸時，按需要改寫事件  安全日志文件大小至少為32M B  當達到最大的安全日志尺寸時，按需要改寫事件 以上檢查內容符合，整體才符合要求。 配置方法：1、設置應用日志文件大小至少為32M B 設置當達到最大的應用日志尺寸時，按需要改寫事件 2、設置系統日志文件大小至少為32M B 設置當達到最大的應用日志尺寸時，按需要改寫事件 3、設置安全日志文件大小至少為32M B 設置當達到最大的安全日志尺寸時，按需要改寫事件 適用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

十一：遠程登錄超時配置

配置名稱：遠程登陸超時配置
配置要求：檢查設置：對於遠程登陸的帳號，設置不活動斷連時間15分鍾 操作指南：參考配置操作（適用2003） ”控制面板->管理工具->本地安全策略->本地策略->安全選項->Microsoft網絡服務器” 參考配置操作（適用2008 x64） ”管理工具->本地安全策略->本地策略->安全選項->Microsoft網絡服務器” 檢查方法：檢查”對於遠程登陸的帳號設置”，不活動斷連時間15分鍾或小於15分鍾為符合要求。 配置方法：設置為”在掛起會話之前所需的空閑時間”為15分鍾或更小。 適用版本：Windows Server 2003、Windows Server 2008 X64

十二：默認共享檢查

配置名稱：默認共享檢查
配置要求：非域環境中，關閉Windows硬盤默認共享，例如C$，D$。
操作指南：參考配置操作
         ”開始－>運行－>net share”
檢查方法：檢查有無默認共享，無任何默認共享為符合要求。
配置方法：”開始－>運行－>Regedit”，進入注冊表編輯器，
          定位到HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\下， 增加REG_DWORD類型的AutoShareServer 鍵，值為 0。 Windows Server 2008X64環境配置檢查位置：HKEY_LOCAL_MACHINE//SYSTEM//CurrentControlSet//Services//lanmanserver//parameters” 適用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

十三：共享權限檢查

配置名稱：共享權限檢查
配置要求：查看每個共享文件夾的共享權限，只允許授權的賬戶擁有權限共享此文件夾，禁止使用共享權限為”everyone”
操作指南：參考配置操作（適用2000、2003） ”控制面板->管理工具->計算機管理->系統工具－>共享文件夾” 參考配置操作（適用2008 x64） ”管理工具->共享和存儲管理” 檢查方法：1、查看每個共享文件夾的共享權限僅限於業務需要，不設置成為”everyone” 2、輸出所有共享文件夾信息和具體權限信息；但權限是否符合需求需要后期處理確認 配置方法：在”共享文件”屬性頁中，只保留需要的賬戶。 適用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

十四：防范病毒管理

配置名稱：防病毒管理
配置要求：安裝防病毒軟件，並及時更新。
操作指南：參考配置操作
          定位到殺毒軟件版本信息頁面。
檢查方法：檢查防病毒進程運行是否正常及當前病毒庫版本是否為最新。
配置方法：安裝防病毒軟件，並檢查是否更新到最新病毒定義。
適用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

十五：補丁分發管理

配置名稱：補丁分發管理
配置要求：加入網上交易WSUS系統，及時更新系統補丁。
操作指南：參考配置操作
        1、定位到注冊表項： HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate WUServer鍵 2、”開始->運行->services.msc->Automatic Updates” 檢查方法：1、鍵值是否為http://10.1.30.233。若是，則表明加入了網上交易WSUS，否則沒有正確加入網上交易WSUS系統。 2、檢查服務項Automatic Updates服務是否開啟，啟動類型是否設置為自動。 以上2項都滿足為符合要求。 配置方法：登錄http://10.1.30.233，下載並運行網上交易服務器補丁注冊腳本。在導入注冊表后檢查自動更新選項是否顯示為灰色不可選， 如是則表明注冊表導入成功，之后重啟Automatic Updates服務。 適用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

十六：server pack 管理

配置名稱：Service Pack管理 配置要求：安裝最新的Service Pack 操作指南：參考配置操作 右鍵”我的電腦->屬性->常規頁” 檢查方法：檢查是否安裝了最新的Service Pack。 目前Windows 2000 server最新版本Service Pack為SP4，Windows Server 2003 最新的Service Pack為SP2 配置方法：安裝最新的Service Pack，並及時更新。 登錄http://10.1.30.233，下載並安裝最新的Service Pack。 適用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

十七：屏保密碼保護

配置名稱：密碼屏幕保護
配置要求：設置帶密碼的屏幕保護，並將時間設定為15分鍾。 操作指南：參考配置操作（適用2000、2003） ”控制面板->顯示->屏幕保護程序”： 參考配置操作（適用2008 x64） ”控制面板->外觀->顯示->屏幕保護程序”： 檢查方法：檢查是否啟用了”在恢復時使用密碼保護”，並設置等待時間為15分鍾或者更短，兩項都滿足為符合要求。 配置方法：1、設置等待時間為”15分鍾”； 2、勾選”在恢復時使用密碼保護”選擇框。 適用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

十八：自動播放關閉

配置名稱：自動播放關閉
配置要求：關閉Windows自動播放功能
操作指南：參考配置操作（適用2000） ”開始->運行->Regedit”，進入注冊表編輯器，定位到注冊表：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CDRom 參考配置操作（適用2003） 點擊開始→運行→輸入gpedit.msc，打開組策略編輯器，瀏覽到計算機配置→管理模板→系統” 參考配置操作（適用2008 x64） 點擊開始->運行→輸入gpedit.msc，打開組策略編輯器，瀏覽到計算機配置->管理模板->Windows 組件->自動播放策略” 檢查方法：Windows2000：檢查”Autorun”鍵值，為0符合要求； Windows 2003：檢查”關閉自動播放”對話框，選擇了所有驅動器為符合要求； Windows 2008：檢查”關閉自動播放”對話框，選擇了所有驅動器，為符合要求。 配置方法：Windows 2000：將”Autorun”鍵值更改為0。 Windows2003：在右邊窗格中雙擊”關閉自動播放”，對話框中選擇所有驅動器，確定即可。 Windows2008：，在右邊窗格中雙擊”關閉自動播放”，對話框中選擇所有驅動器，確定即可。 適用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

十九：SNMP默認口令修改

配置名稱：SNMP默認口令修改
配置要求：如需啟用SNMP服務，則修改默認的SNMP Community String設置。
操作指南：參考配置操作（適用2003） 打開”控制面板”，打開”管理工具”中的”服務”，找到”SNMP Service”，單擊右鍵打開”屬性”面板中的”安全”選項卡。 參考配置操作（適用2008 x64） 進入”管理工具->服務器管理”，在”配置->服務”，找到”SNMP Service”，單擊右鍵打開”屬性”面板中的”安全”選項卡 檢查方法：1、確認SNMP 服務已啟動； 2、服務如啟動，檢查Community String是否使用默認public和private，如果沒使用為符合要求 配置方法：在這個配置界面中，修改community strings，避免使用默認密碼。 適用版本：Windows Server 2003、Windows Server 2008 X64

二十：啟動項檢查

配置名稱：啟動項檢查
配置要求：列出系統啟動時自動加載的進程和服務列表，不在此列表的需關閉。
操作指南：參考配置操作
         “開始->運行->MSconfig”啟動系統配置實用程序。
檢查方法：查看是否有可疑啟動項，對於無法確認程序，需要與管理員進行確認。
配置方法：直接將可以啟動項前的勾選框勾選掉。
適用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

二十一：管理員賬號更名

配置名稱：管理員賬號更改名稱
配置要求：對於管理員帳號，要求更改缺省帳戶名稱administrator
操作指南：參考配置操作（適用2003） 進入”控制面板->管理工具->計算機管理”，在”系統工具->本地用戶和組” 參考配置操作（適用2008 x64） 進入”管理工具->服務器管理->配置->本地用戶和組” 檢查方法：檢測管理員帳戶是否改名，已更名為符合要求 配置方法：“右鍵Administrator->屬性”，更改名稱即可 適用版本：Windows Server 2003、Windows Server 2008 X64

二十二：登錄失敗賬戶鎖定策略

配置名稱：配置登錄失敗賬戶鎖定策略，超過8次登錄失敗鎖定賬號策略 配置要求：應配置當用戶短時間內連續認證失敗次數超過8次（不含8次），鎖定該用戶使用的賬號；設置賬戶鎖定時間為30分鍾。 操作指南：參考配置操作（適用2003） 進入”控制面板->管理工具->本地安全策略->帳戶策略->帳戶鎖定策略->賬戶鎖定時間->屬性頁” 參考配置操作（適用2008 x64） 進入”管理工具->服務器管理->帳戶策略->帳戶鎖定策略->賬戶鎖定閥值->屬性頁” 檢查方法：1、”靜態口令認證技術的設備用戶是否連續認證失敗次數超過8次（不含8次），鎖定該用戶的賬號”； 2、檢查是否設置賬號鎖定時間為30分鍾或更長； 符合以上2項檢查為符合要求。 配置方法：1、在”賬戶鎖定閥值”屬性頁中，設置為 8次； 2、在”賬戶鎖定時間”屬性頁中，設置為30分鍾 適用版本：Windows Server 2003、Windows Server 2008 X64

二十三：本機防火牆設置

配置名稱：檢查Windows是否啟用自帶防火牆
配置要求：啟用Windows 自帶防火牆。根據業務需要限定允許訪問網絡的應用程序，和允許遠程登陸該設備的IP地址范圍。
操作指南：參考配置操作（適用2003） ”控制面板－>網絡連接－>本地連接->高級選項” 參考配置操作（適用2008 x64） ”控制面板－>系統和安全－>Windows防火牆->打開或關閉Windows防火牆選項” 檢查方法：檢查Windows是否啟用自帶防火牆”. 配置方法：1、啟用Windows防火牆。 在”例外”中配置允許業務所需的程序接入網絡。 在”例外->編輯->更改范圍”編輯允許接入的網絡地址范圍。 適用版本：Windows Server 2003、Windows Server 2008 X64

二十四：DEP功能啟用

配置名稱：DEP功能啟用
配置要求：對於Windows 2003及Windows 2008對Windows操作系統程序和服務啟用系統自帶DEP功能(數據執行保護)，防止在受保護內存位置運行有害代碼。 操作指南：參考配置操作（適用2003、2008 x64） 進入”控制面板->系統”，在”高級”選項卡的”性能”下的”設置”。進入 “數據執行保護”選項卡。 檢查方法：檢測Windows是否啟用數據執行保護，啟動為符合要求。 配置方法：在“數據執行保護”選項卡中，設置為”僅為基本 Windows 操作系統程序和服務啟用DEP”。 適用版本：Windows Server 2003、Windows Server 2008 X64

二十五：服務檢查

配置名稱：Windows服務輸出
配置要求：列出所需要服務的列表(包括所需的系統服務)，通過與系統管理員確認無異常服務存在。一般情況下，如無特殊必要，
不應安裝IIS、DNS、WINS、DHCP等服務或組件。
配置指南：參考配置操作（適用2000、2003） 進入”控制面板->管理工具->計算機管理”，進入”服務和應用程序”： 查看所有服務，輸出所有服務列表，查看是否有異常服務。 參考配置操作（適用2008 x64） 進入”管理工具->服務器管理”，在”配置->服務”： 查看所有服務，輸出所有服務列表，查看是否有異常服務。 檢查方法：1、系統管理員應出具系統所必要的服務列表。 2、查看所有服務，不在此列表的服務需關閉。 或建議關閉Task Scheduler 計划任務，Routing and Remote Access在局域網以及廣域網環境中為企業提供路由服務。 RemoteRegistry使遠程用戶能修改此計算機上的注冊表設置。Print Spooler將文件加載到內存中以便遲后打印。關閉無線服務和telnet服務。 配置方法：進入”控制面板->管理工具->計算機管理”，進入”服務和應用程序”： 查看所有服務，不在此列表的服務是否已關閉。 適用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64