WINDOWS操作系统安全规范手册 副本.docxVIP

WINDOWS操作系统安全规范手册 副本 WINDOWS操作系统安全规范手册 副本 PAGE / NUMPAGES WINDOWS操作系统安全规范手册 副本 WINDOWS  操作系统安全规范手册 部门： 密级：  版本： 作者： 步 骤 清 单 说 明 账号管理、认证授权 账号管理： 1. 依照用户分配账号。 依照系统的要求， 设定不同样的账户和账户组， 管理员用户，数据库用户，审计用户，嘉宾用户等。 2. 删除或锁定与设备运行、保护等与工作没关的账号。 3. 关于管理员帐号，要求更正缺省帐户名称；禁用 guest（嘉宾） 帐 号。 4. 最短密码长度 8 个字符，启用本机组策略中密码必定吻合复杂性 要求的策略。例： DFKJo*#rDFK 5. 在下一次更正密码时不储藏 LAN 管理器哈希值 (已启用 ) 6. 关于采用静态口令认证技术的设备， 账户口令的生计期不善于 90 天。 7. 关于采用静态口令认证技术的设备，应配置设备，使用户不能够重 复使用近来 5 次（含 5 次）内已使用的口令。 8. 关于采用静态口令认证技术的设备，应配置当用户连续认证失败 次数高出 6 次（不含 6 次），锁定该用户使用的账号。 9. 关于远程登陆的帐号，设置不活动断连时间 15 分钟。 认证授权： 10. 在当地安全设置中从远端系统逼迫关机只指派给 Administrators 组。 11. 在当地安全设置中关闭系统仅指派给 Administrators 组。 12. 在当地 安全设置中获取文 件或 其他对象的所有权仅指 派给 Administrators 。 13. 在当地安全设置中配置指定授权用户赞同当地登陆此计算机。 14. 在组策略中只赞同授权帐号从网络接见 ( 包括网络共享等，但不 包括终端服务 ) 此计算机。 日志配置操作 1. 设备应配置日志功能，对用户登录进行记录，记录内容包括用户 登录使用的账号，登录可否成功，登录时间，以及远程登录时， 用户使用的 IP 地址。 2. 审察登录事件，双击，设置为成功和失败都审察。 3. 设置应用日志文件大小最少为 8192KB ，设置当达到最大的日志 尺寸时，按需要改写事件。 IP 协议安全配置操作 1. 对没有自带防火墙的 Windows 系统，启用 Windows 系统的 IP 安全体系 (IPSec) 或网络连接上的 TCP/IP 精选，只开放业务所需 要的 TCP ， UDP 端口和 IP 协议。 2. 启用 Windows XP 和 Windows 2003 自带防火墙。依照业务需要 限制赞同接见网络的应用程序， 和赞同远程登陆该设备的 IP 地址 范围。 启用 SYN 攻击保护；指定触发 SYN 洪水攻击保护所必定高出的 TCP 连接央求数阀值为 5；指定处于 SYN_RCVD 状态的 TCP 连 接 数 的 阈 值 为 500 ； 指 定 处 于 至 少 已 发 送 一 次 重 传 的 SYN_RCVD 状态中的 TCP 连接数的阈值为 400。 共享文件夹及接见权 1. 非域环境中，关闭 Windows 硬盘默认共享，比方 C$ ， D$ 。 限 2. 查察每个共享文件夹的共享权限，只赞同授权的账户拥有权限共 享此文件夹。 补丁管理 1. 应安装最新的 Service Pack 补丁集。对服务器系统应先进行兼容 性测试。 2. 应安装最新的 Hotfix 补丁。对服务器系统应先进行兼容性测试。 IIS 设置管理 1. 禁止下载 Access 数据库、删除其他扩展名。 2. 卸载不安全的 IIS 组件。 3. 更正脚本错误出现的错误信息。 4. 多站点设置最低权限独立 IIS 用户运行。 5. 取消网站目录不用要写入权限目录。 6. 禁止不需要运行脚本权限目录。 应用软件配置 1. 禁止安装 Radmin ，任何用户均可获取 HASH 直接登陆系统。 2. 禁止安装 Serv-U ，任何版本均存在当地提权安全漏洞， 必要时修 改 Serv-U 运行权限，更正 Serv-U 默认密码 3. WinRAR 版本应为当前最新版本。 4. SQL SERVER 安装版本不得低于 SQL 2000 SP4/SQL 2005 SP2 。 3. 禁止在 SQL Server 中远程经过 sa 帐号连接数据库服务器。 附送，配置操作步骤，有经验的能够跳过。 1.1 账号口令 要求内容 操作指南 检测方法  依照用户分配账号。依照系统的要求，设定不同样的账户和账户组， 管理员用户，数据库用户，审计用户，嘉宾用户等。 1、参照配置操作 进入“控制面板 -管理工具 -计算机管理” ，在“系统工具