安全配置基線 – 操作系統類
Microsoft Windows 10桌面操作系統 V1.0
本文檔針對安裝運行Microsoft Windows 10桌面操作系統的終端計算機所應當遵循的通用基本安全設置要求提供了參考建議,用於安裝配置 Windows 10操作系統過程中進行安全配置合規性自查,以及實施安全評估或安全加固時提供標准依據與操作指導。
目錄
一、 賬戶管理... 2
1.1 默認賬號... 2
1.2 密碼復雜度... 2
1.3 密碼生存期... 2
1.4 賬戶鎖定策略... 2
1.5 不顯示上次登錄名... 3
1.6 遠程登錄超時配置... 3
二、 權限... 3
2.1 遠程關機授權... 3
2.2 文件權限指派... 3
2.3 網絡訪問用戶授權... 3
三、 日志審核... 4
3.1 審核登錄日志... 4
3.2 審核日志完備性... 4
3.3 審核日志大小... 4
四、 安全防護要求... 5
4.1 防病毒... 5
4.2 數據防泄漏系統... 5
4.3 終端管理... 5
4.4 補丁更新... 5
4.5 本機防火牆... 6
五、 系統服務與功能... 6
5.1 系統服務... 6
5.2 關閉自動播放功能... 6
5.3 默認共享檢查... 6
5.4 共享權限檢查... 7
5.5 數據執行保護... 7
一、 賬戶管理
1.1 默認賬號
| 編號 |
MS_Win10-V1-1-1 |
| 控制要求 |
重命名管理員帳戶;禁用 guest(來賓)帳戶 |
| 操作指南 |
開始->運行->lusrmgr.msc,重命名administrator,禁用guest |
| 檢測方法 |
開始->運行->lusrmgr.msc,查看本地用戶 |
| 判定依據 |
缺省賬戶 administrator 已更名、guest 已停用 |
1.2 密碼復雜度
| 編號 |
MS_Win10-V1-1-2 |
| 控制要求 |
最短密碼長度 8個字符;密碼至少包含以下四種類別的字符中的三種: 英語大寫字母 a, B, C, … Z 英語小寫字母 A, b, c, … z 西方阿拉伯數字 0, 1, 2, … 9 非字母數字字符,如標點符號,@, #, $, %, &, * |
| 操作指南 |
1、控制面板->管理工具->本地安全策略->帳戶策略->密碼策略,選項“密碼長度最小值”設置為8 2、控制面板->管理工具->本地安全策略->帳戶策略->密碼策略,選項“密碼必須符合復雜性要求”設置為啟用 |
| 檢測方法 |
1、檢查最小值設置 2、檢查單選框狀態 |
| 判定依據 |
1、 最小值大於等於8為符合要求 2、 單選框選中”已啟動”為符合 |
1.3 密碼生存期
| 編號 |
MS_Win10-V1-1-3 |
| 控制要求 |
對於采用靜態口令認證技術的系統,賬戶口令的生存期不長於 90 天 |
| 操作指南 |
控制面板->管理工具->本地安全策略->帳戶策略->密碼策略,選項“密碼最長使用期限”設置為90 |
| 檢測方法 |
檢查選項值 |
| 判定依據 |
小於等於90為符合 |
1.4 賬戶鎖定策略
| 編號 |
MS_Win10-V1-1-4 |
| 控制要求 |
對於采用靜態口令認證技術的系統,應配置當用戶連續認證失敗次數超過 5 次(不含 5 次)后,鎖定該用戶使用的賬號 |
| 操作指南 |
控制面板->管理工具->本地安全策略->帳戶策略->賬戶鎖定策略,選項“賬戶鎖定閾值”設置為5,“賬戶鎖定時間”設置為10分鍾 |
| 檢測方法 |
檢查“賬戶鎖定閾值”和“賬戶鎖定時間”值 |
| 判定依據 |
“賬戶鎖定閾值”小於等於5為符合,“賬戶鎖定時間”大於等於10分鍾為符合 |
1.5 不顯示上次登錄名
| 編號 |
MS_Win10-V1-1-5 |
| 控制要求 |
啟用“交互式登錄:不顯示最后的用戶名” |
| 操作指南 |
控制面板->管理工具->本地安全策略->本地策略->安全選項,選項“交互式登錄:不顯示上次登錄” |
| 檢測方法 |
檢查選項狀態 |
| 判定依據 |
“已啟用”為符合 |
1.6 遠程登錄超時配置
| 編號 |
MS_Win10-V1-1-6 |
| 控制要求 |
對於遠程登陸的帳號,設置不活動斷連時間,強制終結會話 |
| 操作指南 |
控制面板->管理工具->本地安全策略->本地策略->安全選項,打開選項“Microsoft 網絡服務器: 暫停會話前所需的空閑時間量”的屬性頁,設置“中斷連接如果空閑時間超過”15 |
| 檢測方法 |
檢查屬性頁參數值 |
| 判定依據 |
非0,小於15分鍾為符合 |
二、 權限
2.1 遠程關機授權
| 編號 |
MS_Win10-V1-2-1 |
| 控制要求 |
關機授權只指派給administrators組 |
| 操作指南 |
控制面板->管理工具->本地安全策略->本地策略->用戶權限指派,選項“從遠程系統強制關機”設置為administrators |
| 檢測方法 |
檢查屬性列表 |
| 判定依據 |
僅有“administrators”為符合 |
2.2 文件權限指派
| 編號 |
MS_Win10-V1-2-2 |
| 控制要求 |
操作系統文件或其它對象的所有權僅指派給administrators |
| 操作指南 |
控制面板->管理工具->本地安全策略->本地策略->用戶權限指派,選項 “取得文件或其他對象的所有權”設置為administrators |
| 檢測方法 |
檢查屬性列表 |
| 判定依據 |
僅有“administrators”為符合 |
2.3 網絡訪問用戶授權
| 編號 |
MS_Win10-V1-2-3 |
| 控制要求 |
只允許授權帳號從網絡訪問此計算機 |
| 操作指南 |
控制面板->管理工具->本地安全策略->本地策略->用戶權限指派,選項 “從網絡訪問此計算機”去掉“User”和“Everyone” |
| 檢測方法 |
檢查屬性列表 |
| 判定依據 |
不包括”Users”和”Everyone”組和其他無用組為符合要求 |
三、 日志審核
3.1 審核登錄日志
| 編號 |
MS_Win10-V1-3-1 |
| 控制要求 |
系統應啟用日志功能,對用戶登錄進行記錄,記錄內容包括用戶登錄使用的賬號,登錄是否成功,登錄時間,以及遠程登錄時,用戶使用的IP地址 |
| 操作指南 |
控制面板->管理工具->本地安全策略->本地策略->審核策略,選項“審核登錄事件”,同時勾選“成功”和“失敗” |
| 檢測方法 |
檢查屬性值 |
| 判定依據 |
“成功”和“失敗”同時勾選為符合要求 |
3.2 審核日志完備性
| 編號 |
MS_Win10-V1-3-2 |
| 控制要求 |
系統應配置完整的審核策略,啟用本地策略中審核策略中如下項,包括成功和失敗日志: 審核策略更改 審核特權使用 審核系統事件 審核賬戶管理 |
| 操作指南 |
控制面板->管理工具->本地安全策略->本地策略->審核策略,上述選項,同時勾選“成功”和“失敗” |
| 檢測方法 |
檢查屬性值 |
| 判定依據 |
“成功”和“失敗”同時勾選為符合要求 |
3.3 審核日志大小
| 編號 |
MS_Win10-V1-3-3 |
| 控制要求 |
設置系統日志、應用日志、安全日志文件大小至少為20480KB,設置當達到最大的日志尺寸時,按需要改寫事件 |
| 操作指南 |
開始->運行-> eventvwr.msc,在Windows日志中的 “系統日志”屬性頁 “應用日志”屬性頁 “安全日志”屬性頁 設置“日志最大大小”為20480KB,“達到事件日志最大大小時”,選擇“按需要覆蓋日志” |
| 檢測方法 |
檢查“系統日志”屬性頁、“應用日志”屬性頁、“安全日志”屬性頁 |
| 判定依據 |
屬性頁設置如下狀態為符合: 應用日志文件大小至少為20MB 當達到最大的應用日志大小時,按需要改寫事件 系統日志文件大小至少為20MB 當達到最大的應用日志大小時,按需要改寫事件 安全日志文件大小至少為20MB 當達到最大的安全日志大小時,按需要改寫事件 |
四、 安全防護要求
4.1 防病毒
| 編號 |
MS_Win10-V1-4-1 |
| 控制要求 |
安裝防病毒客戶端軟件,並及時更新。 |
| 操作指南 |
電腦下發時已安裝,如發現未安裝,請聯系IT |
| 檢測方法 |
檢查系統進程和程序安裝列表,確認是否已安裝防病毒軟件 打開防病毒軟件客戶端信息界面,查看上一次安全更新時間。 |
| 判定依據 |
已安裝為符合,上次病毒庫更新時間在一個月以內為符合 |
4.2 終端管理
| 編號 |
MS_Win10-V1-4-2 |
| 控制要求 |
安裝終端桌面管理軟件 |
| 操作指南 |
電腦下發時已安裝,如發現未安裝,請聯系IT |
| 檢測方法 |
檢查系統進程和任務欄,確認是否已安裝 |
| 判定依據 |
存在進程、可查看桌管軟件客戶端界面為符合 |
4.3 補丁更新
| 編號 |
MS_Win10-V1-4-3 |
| 控制要求 |
應安裝關鍵和重要系統補丁,開啟系統自動更新功能 |
| 操作指南 |
WSUS統一管理 |
| 檢測方法 |
檢查WSUS配置項 |
| 判定依據 |
無當前需修復補丁為符合 |
4.4 本機防火牆
| 編號 |
MS_Win10-V1-4-4 |
| 控制要求 |
啟用Windows 自帶防火牆。根據業務需要限定允許訪問網絡的應用程序,和允許遠程登陸該設備的IP地址范圍。 |
| 操作指南 |
開始->運行-> firewall.cpl,啟用Windows Defender防火牆 |
| 檢測方法 |
檢查防火牆設置 |
| 判定依據 |
啟用狀態為符合 |
五、 系統服務與功能
5.1 系統服務
| 編號 |
MS_Win10-V1-5-1 |
| 控制要求 |
關閉不必要的系統服務 |
| 操作指南 |
開始->運行-> services.msc, 檢查服務清單,不影響系統正常使用的前提下,建議關閉如下幾項服務: Downloaded Maps Manager Remote Desktop Services Remote Desktop Configuration Routing and Remote access Remote Registry SNMP Trap SSDP Discovery Windows Remote Management Windows Error Reporting Service Windows Event Collector Xbox accessory Management Service |
| 檢測方法 |
查看所有服務,輸出所有服務列表,查看是否有異常服務。 |
| 判定依據 |
確認可以關閉的服務,已設置為禁用狀態為符合 |
5.2 關閉自動播放功能
| 編號 |
MS_Win10-V1-5-2 |
| 控制要求 |
關閉Windows自動播放功能 |
| 操作指南 |
開始->運行->gpedit.msc, 打開“本地組策略編輯器”窗口中依次選擇“計算機配置->管理模板->Windows組件->自動播放策略”,選擇“關閉自動播放”選項,選擇“已啟用”,並設置關閉“所有驅動器” |
| 檢測方法 |
檢查策略選項設置 |
| 判定依據 |
“已啟用”,並設置關閉“所有驅動器”為符合 |
5.3 默認共享檢查
| 編號 |
MS_Win10-V1-5-3 |
| 控制要求 |
非域環境中,關閉Windows硬盤默認共享,例如C$,D$。 |
| 操作指南 |
開始->運行->regedit,進入注冊表編輯器,定位到HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\下,增加REG_DWORD類型的->utoSh->reServer 鍵,值為 0。 |
| 檢測方法 |
開始->運行->cmd,進入命令提示符,輸入net sh->re |
| 判定依據 |
確認已無C$、D$等默認共享為符合 |
5.4 共享權限檢查
| 編號 |
MS_Win10-V1-5-4 |
| 控制要求 |
查看每個共享文件夾的共享權限,只允許授權的賬戶擁有權限共享此文件夾,禁止使用共享權限為”everyone”。 |
| 操作指南 |
開始->運行->fsmgmt.msc,打開“共享”,查看當前已共享的路徑,右鍵屬性,查看“共享權限”,將everyone從已共享用戶和組刪掉。 |
| 檢測方法 |
查看“共享權限”用戶和組清單 |
| 判定依據 |
無everyone,只保留需要的賬戶為符合 |
5.5 數據執行保護
| 編號 |
MS_Win10-V1-5-5 |
| 控制要求 |
在操作系統程序和服務啟用系統自帶DEP功能(數據執行保護),防止在受保護內存位置運行有害代碼。 |
| 操作指南 |
參考配置操作(適用2003、2008 x64) 控制面板->系統,在“高級”選項卡的“性能”下的“設置”。進入 “數據執行保護”選項卡,設置為“僅為基本 Windows 操作系統程序和服務啟用DEP”。 |
| 檢測方法 |
檢查選項設置 |
| 判定依據 |
設置為“僅為基本 Windows 操作系統程序和服務啟用DEP”為符合 |