安全配置基線 – 操作系統類
Microsoft Windows Server操作系統 V1.0
本文檔針對安裝運行Microsoft Windows Server 2008 R2/2012 R2/2016的服務器操作系統所應當遵循的通用基本安全設置要求提供了參考建議,用於安裝配置操作系統過程中進行安全配置合規性自查,以及實施安全評估或安全加固時提供標准依據與操作指導。
目錄
一、 賬戶管理... 2
1.1 默認賬號... 2
1.2 密碼復雜度... 2
1.3 密碼生存期... 2
1.4 密碼歷史... 2
1.5 賬戶鎖定策略... 3
1.6 不顯示上次登錄名... 3
1.7 遠程登錄超時配置... 3
二、 權限... 3
2.1 遠程關機授權... 3
2.2 本地關機授權... 4
2.3 文件權限指派... 4
2.4 網絡訪問用戶授權... 4
2.5 遠程訪問注冊表權限... 4
三、 日志審核... 4
3.1 審核登錄日志... 4
3.2 審核日志完備性... 5
3.3 審核日志大小... 5
四、 安全防護要求... 6
4.1 防病毒... 6
4.2 補丁更新... 6
4.3 本機防火牆... 6
五、 系統服務與功能... 6
5.1 系統服務... 6
5.2 遠程桌面服務端口管理... 7
5.3 SNMP默認口令修改... 7
5.4 關閉自動播放功能... 7
5.5 默認共享檢查... 7
5.6 共享權限檢查... 8
5.7 數據執行保護... 8
5.8 虛擬內存管理... 8
一、 賬戶管理
1.1 默認賬號
| 編號 |
MS_WinSrv-V1-1-1 |
| 控制要求 |
重命名管理員帳戶;禁用 guest(來賓)帳戶 |
| 操作指南 |
開始->運行->lusrmgr.msc,重命名administrator,禁用guest |
| 檢測方法 |
開始->運行->lusrmgr.msc,查看本地用戶 |
| 判定依據 |
缺省賬戶 administrator 已更名、guest 已停用 |
1.2 密碼復雜度
| 編號 |
MS_WinSrv-V1-1-2 |
| 控制要求 |
1、最短密碼長度 12個字符;密碼至少包含以下四種類別的字符中的三種: 英語大寫字母 A, B, C, … Z 英語小寫字母 a, b, c, … z 西方阿拉伯數字 0, 1, 2, … 9 非字母數字字符,如標點符號,@, #, $, %, &, * |
| 操作指南 |
1、控制面板->管理工具->本地安全策略->帳戶策略->密碼策略,選項“密碼長度最小值”設置為12 2、控制面板->管理工具->本地安全策略->帳戶策略->密碼策略,選項“密碼必須符合復雜性要求”設置為啟用 |
| 檢測方法 |
1、檢查最小值設置 2、檢查單選框狀態 |
| 判定依據 |
1、 最小值大於等於8為符合要求 2、 單選框選中”已啟動”為符合 |
1.3 密碼生存期
| 編號 |
MS_WinSrv-V1-1-3 |
| 控制要求 |
對於采用靜態口令認證技術的系統,賬戶口令的生存期需設置使用期限 |
| 操作指南 |
控制面板->管理工具->本地安全策略->帳戶策略->密碼策略,選項“密碼最長使用期限”設置為90,“密碼最短使用期限”設置為1 |
| 檢測方法 |
檢查選項值 |
| 判定依據 |
“密碼最長使用期限”小於等於90為符合,“密碼最短使用期限”大於等於1為符合 |
1.4 密碼歷史
| 編號 |
MS_WinSrv-V1-1-4 |
| 控制要求 |
對於采用靜態口令認證技術的系統,強制限制使用歷史密碼,以確保舊密碼不被連續重新使用來增強安全性。 |
| 操作指南 |
控制面板->管理工具->本地安全策略->帳戶策略->密碼策略,選項“強制密碼歷史”設置為5 |
| 檢測方法 |
檢查選項值 |
| 判定依據 |
大於等於5為符合 |
1.5 賬戶鎖定策略
| 編號 |
MS_WinSrv-V1-1-5 |
| 控制要求 |
對於采用靜態口令認證技術的系統,應配置當用戶連續認證失敗次數超過 5 次(不含 5 次)后,鎖定該用戶使用的賬號 |
| 操作指南 |
控制面板->管理工具->本地安全策略->帳戶策略->賬戶鎖定策略,選項“賬戶鎖定閾值”設置為5,“賬戶鎖定時間”設置為30分鍾 |
| 檢測方法 |
檢查“賬戶鎖定閾值”和“賬戶鎖定時間”值 |
| 判定依據 |
“賬戶鎖定閾值”小於等於5為符合,“賬戶鎖定時間”大於等於30分鍾為符合 |
1.6 不顯示上次登錄名
| 編號 |
MS_WinSrv-V1-1-6 |
| 控制要求 |
啟用“交互式登錄:不顯示最后的用戶名” |
| 操作指南 |
控制面板->管理工具->本地安全策略->本地策略->安全選項,選項“交互式登錄:不顯示上次登錄” |
| 檢測方法 |
檢查選項狀態 |
| 判定依據 |
“已啟用”為符合 |
1.7 遠程登錄超時配置
| 編號 |
MS_WinSrv-V1-1-7 |
| 控制要求 |
對於遠程登陸的帳號,設置不活動斷連時間,強制終結會話 |
| 操作指南 |
控制面板->管理工具->本地安全策略->本地策略->安全選項,打開選項“Microsoft 網絡服務器: 暫停會話前所需的空閑時間量”的屬性頁,設置“中斷連接如果空閑時間超過”15 |
| 檢測方法 |
檢查屬性頁參數值 |
| 判定依據 |
非0,小於15分鍾為符合 |
二、 權限
2.1 遠程關機授權
| 編號 |
MS_WinSrv-V1-2-1 |
| 控制要求 |
關機授權只指派給Administrators組 |
| 操作指南 |
控制面板->管理工具->本地安全策略->本地策略->用戶權限指派,選項“從遠程系統強制關機”設置為administrators |
| 檢測方法 |
檢查屬性列表 |
| 判定依據 |
僅有“administrators”為符合 |
2.2 本地關機授權
| 編號 |
MS_WinSrv-V1-2-2 |
| 控制要求 |
關機授權只指派給Administrators組 |
| 操作指南 |
控制面板->管理工具->本地安全策略->本地策略->用戶權限指派,選項 “關閉系統”設置為administrators |
| 檢測方法 |
檢查屬性列表 |
| 判定依據 |
僅有“administrators”為符合 |
2.3 文件權限指派
| 編號 |
MS_WinSrv-V1-2-3 |
| 控制要求 |
操作系統文件或其它對象的所有權僅指派給Administrators |
| 操作指南 |
控制面板->管理工具->本地安全策略->本地策略->用戶權限指派,選項 “取得文件或其他對象的所有權”設置為administrators |
| 檢測方法 |
檢查屬性列表 |
| 判定依據 |
僅有“administrators”為符合 |
2.4 網絡訪問用戶授權
| 編號 |
MS_WinSrv-V1-2-4 |
| 控制要求 |
只允許授權帳號從網絡訪問此計算機 |
| 操作指南 |
控制面板->管理工具->本地安全策略->本地策略->用戶權限指派,選項 “從網絡訪問此計算機”去掉“User”和“Everyone” |
| 檢測方法 |
檢查屬性列表 |
| 判定依據 |
不包括”Users”和”Everyone”組和其他無用組為符合要求 |
2.5 遠程訪問注冊表權限
| 編號 |
MS_WinSrv-V1-2-5 |
| 控制要求 |
禁用可遠程訪問的注冊表路徑和子路徑 |
| 操作指南 |
控制面板->管理工具->本地安全策略->本地策略->安全選項,選項 “網絡訪問: 可遠程訪問的注冊表路徑”和“網絡訪問: 可遠程訪問的注冊表路徑和子路徑”列表全部刪除 |
| 檢測方法 |
檢查選項的屬性列表 |
| 判定依據 |
列表為空即符合 |
三、 日志審核
3.1 審核登錄日志
| 編號 |
MS_WinSrv-V1-3-1 |
| 控制要求 |
系統應啟用日志功能,對用戶登錄進行記錄,記錄內容包括用戶登錄使用的賬號,登錄是否成功,登錄時間,以及遠程登錄時,用戶使用的IP地址 |
| 操作指南 |
控制面板->管理工具->本地安全策略->本地策略->審核策略,選項“審核登錄事件”,同時勾選“成功”和“失敗” |
| 檢測方法 |
檢查屬性值 |
| 判定依據 |
“成功”和“失敗”同時勾選為符合要求 |
3.2 審核日志完備性
| 編號 |
MS_WinSrv-V1-3-2 |
| 控制要求 |
系統應配置完整的審核策略,啟用本地策略中審核策略中如下項,包括成功和失敗日志: 審核策略更改 審核對象訪問 審核進程跟蹤 審核目錄服務訪問 審核特權使用 審核系統事件 審核賬戶管理 |
| 操作指南 |
控制面板->管理工具->本地安全策略->本地策略->審核策略,上述選項,同時勾選“成功”和“失敗” |
| 檢測方法 |
檢查屬性值 |
| 判定依據 |
“成功”和“失敗”同時勾選為符合要求 |
3.3 審核日志大小
| 編號 |
MS_WinSrv-V1-3-3 |
| 控制要求 |
設置系統日志、應用日志、安全日志文件大小至少為51200KB,改寫事件 |
| 操作指南 |
開始->運行-> eventvwr.msc,在Windows日志中的 “系統日志”屬性頁 “應用日志”屬性頁 “安全日志”屬性頁 設置“日志最大大小”為51200KB,“達到事件日志最大大小時”,選擇“按需要覆蓋日志” |
| 檢測方法 |
檢查“系統日志”屬性頁、“應用日志”屬性頁、“安全日志”屬性頁 |
| 判定依據 |
屬性頁設置如下狀態為符合: 應用日志文件大小至少為50MB 當達到最大的應用日志尺寸時,按需要改寫事件 系統日志文件大小至少為50MB 當達到最大的應用日志尺寸時,按需要改寫事件 安全日志文件大小至少為50MB 當達到最大的安全日志尺寸時,按需要改寫事件 |
四、 安全防護要求
4.1 防病毒
| 編號 |
MS_WinSrv-V1-4-1 |
| 控制要求 |
安裝防病毒客戶端軟件,並及時更新。 |
| 操作指南 |
按照操作指引,安裝防病毒軟件 |
| 檢測方法 |
檢查系統進程和程序安裝列表,確認是否已安裝防病毒軟件 打開防病毒軟件客戶端信息界面,查看上一次安全更新時間。 |
| 判定依據 |
已安裝為符合,上次病毒庫更新時間在一個月以內為符合 |
4.2 補丁更新
| 編號 |
MS_WinSrv-V1-4-2 |
| 控制要求 |
服務器操作系統補丁,由WSUS統一管理,需按計划測試、安裝關鍵和重要系統補丁 |
| 操作指南 |
開始->運行->gpedit.msc, 打開“本地組策略編輯器”窗口中依次選擇“計算機配置->管理模板->Windows組件->Windows更新”,設置“指定Intranet Microsoft更新服務位置”指向內網WSUS服務器,“配置自動更新”設置為啟用,並選擇“3- 允許自動下載並通知安裝” |
| 檢測方法 |
檢查設置項值 |
| 判定依據 |
已指定更新源並配置自動更新啟用為符合。 |
4.3 本機防火牆
| 編號 |
MS_WinSrv-V1-4-3 |
| 控制要求 |
啟用Windows 自帶防火牆。根據業務需要限定允許訪問網絡的應用程序,和允許遠程登陸該設備的IP地址范圍。 |
| 操作指南 |
開始->運行-> firewall.cpl,啟用Windows Defender防火牆 |
| 檢測方法 |
檢查防火牆設置 |
| 判定依據 |
啟用狀態為符合 |
五、 系統服務與功能
5.1 系統服務
| 編號 |
MS_WinSrv-V1-5-1 |
| 控制要求 |
關閉不必要的系統服務 |
| 操作指南 |
開始->運行-> services.msc, 檢查服務清單,不影響系統正常使用的前提下,建議關閉如下幾項服務: Downloaded Maps Manager Print Spooler Routing and Remote Access Remote Registry SSDP Discovery Telnet Windows Error Reporting Service Windows Event Collector Xbox Accessory Management Service |
| 檢測方法 |
查看所有服務,輸出所有服務列表,查看是否有異常服務。 |
| 判定依據 |
確認可以關閉的服務,已設置為禁用狀態為符合 |
5.2 遠程桌面服務端口管理
| 編號 |
MS_WinSrv-V1-5-2 |
| 控制要求 |
修改遠程桌面服務默認端口 |
| 操作指南 |
開 始->運 行->Regedit, 查 找 注 冊 表 項 : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\T erminal Server\WinStations\RDP-Tcp HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\T erminal Server\Wds\rdpwd\Tds\tcp 找到“PortNumber”子項,默認值 00000D3D,是 3389 的十六進制表示形式。切換到十進制,修改成除 3389 外的其他任何 值,並保存新值,重新啟動系統。 |
| 檢測方法 |
查看注冊表“PortNumber”值 |
| 判定依據 |
非默認3389為符合。 |
5.3 SNMP默認口令修改
| 編號 |
MS_WinSrv-V1-5-3 |
| 控制要求 |
如需啟用SNMP服務,則修改默認的SNMP Community String設置 |
| 操作指南 |
開始->運行-> services.msc,找到”SNMP Service”,單擊右鍵打開”屬性”面板中的”安全”選項卡。配置界面中,修改community strings,避免使用默認密碼 |
| 檢測方法 |
檢查Community String |
| 判定依據 |
非默認“public”和“private”為符合 |
5.4 關閉自動播放功能
| 編號 |
MS_WinSrv-V1-5-4 |
| 控制要求 |
關閉Windows自動播放功能 |
| 操作指南 |
開始->運行->gpedit.msc, 打開“本地組策略編輯器”窗口中依次選擇“計算機配置->管理模板->Windows組件->自動播放策略”,選擇“關閉自動播放”選項,選擇“已啟用”,並設置關閉“所有驅動器” |
| 檢測方法 |
檢查策略選項設置 |
| 判定依據 |
“已啟用”,並設置關閉“所有驅動器”為符合 |
5.5 默認共享檢查
| 編號 |
MS_WinSrv-V1-5-5 |
| 控制要求 |
非域環境中,關閉Windows硬盤默認共享,例如C$,D$。 |
| 操作指南 |
開始->運行->regedit,進入注冊表編輯器,定位到HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\下,增加REG_DWORD類型的AutoShareServer 鍵,值為 0。 |
| 檢測方法 |
開始->運行->cmd,進入命令提示符,輸入net share |
| 判定依據 |
確認已無C$、D$等默認共享為符合 |
5.6 共享權限檢查
| 編號 |
MS_WinSrv-V1-5-6 |
| 控制要求 |
查看每個共享文件夾的共享權限,只允許授權的賬戶擁有權限共享此文件夾,禁止使用共享權限為”everyone”。 |
| 操作指南 |
開始->運行->fsmgmt.msc,打開“共享”,查看當前已共享的路徑,右鍵屬性,查看“共享權限”,將everyone從已共享用戶和組刪掉。 |
| 檢測方法 |
查看“共享權限”用戶和組清單 |
| 判定依據 |
無everyone,只保留需要的賬戶為符合 |
5.7 數據執行保護
| 編號 |
MS_WinSrv-V1-5-7 |
| 控制要求 |
在操作系統程序和服務啟用系統自帶DEP功能(數據執行保護),防止在受保護內存位置運行有害代碼。 |
| 操作指南 |
參考配置操作(適用2003、2008 x64) 控制面板->系統,在“高級”選項卡的“性能”下的“設置”。進入 “數據執行保護”選項卡,設置為“僅為基本 Windows 操作系統程序和服務啟用DEP”。 |
| 檢測方法 |
檢查選項設置 |
| 判定依據 |
設置為“僅為基本 Windows 操作系統程序和服務啟用DEP”為符合 |
5.8 虛擬內存管理
| 編號 |
MS_WinSrv-V1-5-8 |
| 控制要求 |
操作系統啟用“關機:清除虛擬內存頁面文件”,防止非法用戶從虛擬內存中獲取數據。 |
| 操作指南 |
控制面板->管理工具->本地安全策略->本地策略->安全選項,設置選項“關機: 清除虛擬內存頁面文件”為“已啟用”。 |
| 檢測方法 |
檢查屬性值 |
| 判定依據 |
“已啟用”為符合 |