Windows安全配置指南.doc

Windows系统安全配置指南 中国联通信息化事业部 2012年 09月  版本 版本控制信息 更新日期 更新人 审批人 V1.0 创建 2012年9月 备注： 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。 目 录 第1章 概述 1 1.1 目的 1 1.2 适用范围 1 1.3 适用版本 1 1.4 实施 1 1.5 例外条款 1 第2章 账号管理、认证授权 2 2.1 账号 2 2.1.1管理缺省账户 2 2.2 口令 2 2.2.1密码复杂度 2 2.2.2密码历史 3 2.2.3帐户锁定策略 3 2.3 授权 4 2.3.1远程关机 4 2.3.2本地关机 4 2.3.3用户权利指派 4 第3章 日志配置操作 6 3.1 日志配置 6 3.1.1审核登录 6 3.1.2审核策略更改 6 3.1.3审核对象访问 7 3.1.4审核事件目录服务器访问 7 3.1.5审核特权使用 7 3.1.6审核系统事件 8 3.1.7审核账户管理 8 3.1.8审核过程追踪 8 3.1.9日志文件大小 9 第4章 IP协议安全配置 10 4.1 IP协议 10 4.1.1启用SYN攻击保护 10 第5章 设备其他配置操作 12 5.1 共享文件夹及访问权限 12 5.1.1关闭默认共享 12 5.2 防病毒管理 12 5.2.1数据执行保护 12 5.3 Windows服务 13 5.3.1 SNMP服务管理 13 5.4 启动项 13 5.4.1关闭Windows自动播放功能 13 第6章 评审与修订 14 概述 目的 本文档规定了 操作系统的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员进行 操作系统的安全。本的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。本适用的范围包括：的 服务器系统。实施本的解释权和修改权属于，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准生效。例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交进行审批备案。  编号 Windows-02-01-01 项目说明 对于管理员帐号，要求更改缺省帐户名称；禁用guest（来宾）帐号。 检测操作步骤 进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”： 缺省帐户Administrator－属性 Guest帐号-属性 符合性判定依据 缺省账户Administrator名称已更改。 Guest帐号已停用。 配置方法 进入控制面板-管理工具-，在-本地用户和组”。 Administrator－属性－ 更改名称 Guest帐号-属性－ 已停用 实施风险 业务系统直接利用Administrator账号管理需相应修改其账号。 备注 口令 2.2.1密码复杂度 项目名称 操作系统密码复杂度要求项 编号 Windows-02-02-01 项目说明 最短密码长度 8个字符，启用本机组策略中密码必须符合复杂性要求的策略。即密码至少包含以下四种类别的字符中的三种： ? 英语大写字母 A, B, C, … Z ? 英语小写字母 a, b, c, … z ? 西方阿拉伯数字 0, 1, 2, … 9 非字母数字字符，如标点符号，@, #, $, %, , *等 检测操作步骤 进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”： 查看是否“密码必须符合复杂性要求”选择“已启动” 符合性判定依据 “密码必须符合复杂性要求”选择“已启动” 配置方法 进入控制面板-管理工具-本地安全策略，在-密码策略”。 “密码必须符合复杂性要求””设置如下策略 策略 默认设置 推荐最低设置 最短密码长度 0 个字符 8 个字符 密码必须符合复杂性要求 禁用 启用 为域中所有用户使用可还原的加密来储存密码 禁用 禁用 实施风险 风险较小 备注 2.2.2密码历史 项目名称 操作系统密码历史要求项 编号 Windows-02-02-02 项目说明 对于采用静态口令认证技术的设备，账户口令的生存期不长于90天。 检测操作步骤 进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”： 查看“密码最长存留期” 符合性判定依据 “密码最长存留期”设置不大于“90天” 配置方法 进入控制面板-管理工具-本地安全策略，在-密码策略”。 设置如下策略: 策略 默认设置 推荐最低设置 强制执行密码历史记录 记住 1 个密码 记住个 码 密码最长期限 42 天 天 密码最短期限 0 天 2 天 实施风险 业务系统直接利用的账号不适用密码最长90天期限 备注 2.2