windows系统安全配置基线.docxVIP

Last updated on the afternoon of January 3, 2021 Last updated on the afternoon of January 3, 2021 Windows系统安全配置基线 Windows系统安全配置基线 目录 TOC\o1-3\h\z\u 概述 目的 本文规定了WINDOWS操作系统主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行WINDOWS操作系统的安全合规性检查和配置。 适用范围 本配置标准的使用者包括：服务器系统管理员、安全管理员和相关使用人员。 本配置标准适用的范围包括：WINDOWS服务器。 适用版本 适用于WindowsXP、WindowsServer服务器。 安装前准备工作 需准备的光盘 （1）正版的Windows服务器操作系统光盘。 （2）服务器用杀毒软件光盘。 操作系统的基本安装 基本安装 （1）使用NTFS文件系统来最小化安装操作系统。 （2）管理员账号须设置较复杂的口令（由数字、大小写字母和特殊字符组成），长度在12位以上，其中管理员口令应一机一密码，不同机器之间不应相同。 （3）断开网络安装完操作系统后，在业务网专用区域内连接网络进行系统升级，并打开Windows自动更新服务。 （4）升级完成后，安装前述光盘中的杀毒软件并进行更新。 账号管理、认证授权 账号 安全基线项目名称 操作系统缺省账户安全基线要求项 安全基线项说明 对于管理员帐号，要求更改缺省帐户名称；禁用guest（来宾）帐号。 检测操作步骤 进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”： 缺省帐户Administrator－属性 Guest帐号-属性 基线符合性判定依据 缺省账户Administrator名称已更改 Guest帐号已停用 备注 安全基线项目名称 操作系统缺省账户安全基线要求项 安全基线项说明 删除或锁定与设备运行、维护等与工作无关的账号。 检测操作步骤 1、参考配置操作 进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”： 删除或锁定与设备运行、维护等与工作无关的账号。 基线符合性判定依据 1、判定条件 结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的账号。 2、检测操作 进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”： 查看是否删除或锁定与设备运行、维护等与工作无关的账号。 备注 用户权限分离 安全基线项目名称 操作系统缺省账户安全基线要求项 安全基线项说明 按照用户分配账号。根据系统的要求，设定不同的账户和账户组，管理员用户，操作员用户operator，审计用户auditor等。 检测操作步骤 1、参考配置操作 进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”： 根据系统的要求，设定不同的账户和账户组，管理员用户，操作员用户和审计用户纳入user组。 基线符合性判定依据 1、判定条件 结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的账户和账户组，管理员用户，操作员用户，审计用户。 2、检测操作 进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”： 查看根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户，审计用户。 备注 口令 密码复杂度 安全基线项目名称 操作系统密码复杂度安全基线要求项 安全基线项说明 最短密码长度12个字符，启用本机组策略中密码必须符合复杂性要求的策略。即密码需要包含以下四种类别的字符： 英语大写字母A,B,C,…Z 英语小写字母a,b,c,…z 西方阿拉伯数字0,1,2,…9 非字母数字字符，如标点符号，@,#,$,%,,*等 检测操作步骤 进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”： 查看是否“密码必须符合复杂性要求”选择“已启动” 基线符合性判定依据 “密码必须符合复杂性要求”选择“已启动” 备注 密码最长生存期 安全基线项目名称 操作系统密码最长生存期要求项 安全基线项说明 对于采用静态口令认证技术的系统，账户口令的生存期不长于90天。 检测操作步骤 进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”： 查看“密码最长存留期” 基线符合性判定依据 “密码最长存留期”设置不大于“90天” 备注 密码历史 安全基线项目名称 操作系统密码历史安全基线要求项 安全基线项说明 对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。 检