中国联通信息化事业部
2012年 09月
| 版本 | 版本控制信息 | 更新日期 | 更新人 | 审批人 |
| V1.0 | 创建 | 2012年9月 | ||
1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目 录
第1章 概述 1
1.1 目的 1
1.2 适用范围 1
1.3 适用版本 1
1.4 实施 1
1.5 例外条款 1
第2章 账号管理、认证授权 2
2.1 账号 2
2.1.1管理缺省账户 2
2.2 口令 2
2.2.1密码复杂度 2
2.2.2密码历史 3
2.2.3帐户锁定策略 3
2.3 授权 4
2.3.1远程关机 4
2.3.2本地关机 4
2.3.3用户权利指派 4
第3章 日志配置操作 6
3.1 日志配置 6
3.1.1审核登录 6
3.1.2审核策略更改 6
3.1.3审核对象访问 7
3.1.4审核事件目录服务器访问 7
3.1.5审核使用 7
3.1.6审核系统事件 8
3.1.7审核账户管理 8
3.1.8审核过程追踪 8
3.1.9日志文件大小 9
第4章 IP协议安全配置 10
4.1 IP协议 10
4.1.1启用SYN攻击保护 10
第5章 设备其他配置操作 12
5.1 共享文件夹及访问权限 12
5.1.1关闭默认共享 12
5.2 防病毒管理 12
5.2.1数据执行保护 12
5.3 Windows服务 13
5.3.1 SNMP服务管理 13
5.4 启动项 13
5.4.1关闭Windows自动播放功能 13
第6章 评审与修订 14
第1章概述
1.1目的
本文档规定了中国联通通信有限公司管信息化事业部所维护管理的WINDOWS 操作系统的主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进行WINDOWS 操作系统的安全合规性检查和配置。
1.2适用范围
本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。
本配置标准适用的范围包括:中国联通总部和各省公司信息化部门维护管理的WINDOWS 服务器系统。
1.3适用版本
WINDOWS系列服务器;
1.4实施
本标准的解释权和修改权属于中国联通集团信息化事业部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。
本标准发布之日起生效。
1.5例外条款
欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国联通通信有限公司信息化事业统部进行审批备案。
第2章账号管理、认证授权
2.1账号
2.1.1管理缺省账户
| 项目名称 | 操作系统缺省账户要求项 |
| 编号 | Windows-02-01-01 |
| 项目说明 | 对于管理员帐号,要求更改缺省帐户名称;禁用guest(来宾)帐号。 |
| 检测操作步骤 | 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”: 缺省帐户Administrator->属性 Guest帐号->属性 |
| 符合性判定依据 | 缺省账户Administrator名称已更改。 Guest帐号已停用。 |
| 配置方法 | 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”。 Administrator->属性-> 更改名称 Guest帐号->属性-> 已停用 |
| 实施风险 | 业务系统直接利用Administrator账号管理需相应修改其账号。 |
| 备注 |
2.2.1密码复杂度
| 项目名称 | 操作系统密码复杂度要求项 | ||
| 编号 | Windows-02-02-01 | ||
| 项目说明 | 最短密码长度 8个字符,启用本机组策略中密码必须符合复杂性要求的策略。即密码至少包含以下四种类别的字符中的三种: 英语大写字母 A, B, C, … Z 英语小写字母 a, b, c, … z 西方阿拉伯数字 0, 1, 2, … 9 非字母数字字符,如标点符号,@, #, $, %, &, *等 | ||
| 检测操作步骤 | 进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”: 查看是否“密码必须符合复杂性要求”选择“已启动” | ||
| 符合性判定依据 | “密码必须符合复杂性要求”选择“已启动” | ||
| 配置方法 | 进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”。 “密码必须符合复杂性要求”选择“已启动”设置如下策略 策略 | 默认设置 | 推荐最低设置 |
| 最短密码长度 | 0 个字符 | 8 个字符 | |
| 密码必须符合复杂性要求 | 禁用 | 启用 | |
| 为域中所有用户使用可还原的加密来储存密码 | 禁用 | 禁用 |
| 实施风险 | 风险较小 |
| 备注 |
| 项目名称 | 操作系统密码历史要求项 | ||
| 编号 | Windows-02-02-02 | ||
| 项目说明 | 对于采用静态口令认证技术的设备,账户口令的生存期不长于90天。 | ||
| 检测操作步骤 | 进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”: 查看“密码最长存留期” | ||
| 符合性判定依据 | “密码最长存留期”设置不大于“90天” | ||
| 配置方法 | 进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”。 设置如下策略: 策略 | 默认设置 | 推荐最低设置 |
| 强制执行密码历史记录 | 记住 1 个密码 | 记住5个码 | |
| 密码最长期限 | 42 天 | 90 天 | |
| 密码最短期限 | 0 天 | 2 天 |
| 实施风险 | 业务系统直接利用的账号不适用密码最长90天期限 |
| 备注 |
| 项目名称 | 操作系统账户锁定策略要求项 | ||
| 编号 | Windows-02-02-03 | ||
| 项目说明 | 对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。 | ||
| 检测操作步骤 | 进入“控制面板->管理工具->本地安全策略”,在“帐户策略->帐户锁定策略”: 查看“账户锁定阀值”设置 | ||
| 符合性判定依据 | “账户锁定阀值”设置为小于或等于 6次 | ||
| 配置方法 | 参考配置操作: 进入“控制面板->管理工具->本地安全策略”,在“帐户策略->账户锁定策略”。 设置如下策略: 策略 | 默认设置 | 推荐最低设置 |
| 账户锁定时间 | 未定义 | 30 分钟 | |
| 账户锁定阈值 | 0 | 6 次无效登录 | |
| 复位账户锁定计数器 | 未定义 | 30 分钟 |
| 实施风险 | 安全扫描检测暴力破解口令将导致账号锁定。 |
| 备注 |
2.3.1远程关机
| 项目名称 | 操作系统远程关机策略要求项 |
| 编号 | Windows-02-03-01 |
| 项目说明 | 在本地安全设置中从远端系统强制关机只指派给Administrators组。 |
| 检测操作步骤 | 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”: 查看“从远端系统强制关机”设置 |
| 符合性判定依据 | “从远端系统强制关机”设置为“只指派给Administrtors组” |
| 配置方法 | 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”。 “从远端系统强制关机”设置为“只指派给Administrators组”。 |
| 实施风险 | 风险较小 |
| 备注 |
| 项目名称 | 操作系统本地关机策略要求项 |
| 编号 | Windows-02-03-02 |
| 项目说明 | 在本地安全设置中关闭系统仅指派给Administrators组。 |
| 检测操作步骤 | 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”: 查看“关闭系统”设置 |
| 符合性判定依据 | “关闭系统”设置为“只指派给Administrators组” |
| 配置方法 | 参考配置操作: 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”。 “关闭系统”设置为“只指派给Administrators组”。 |
| 实施风险 | 风险较小 |
| 备注 |
| 项目名称 | 操作系统用户权力指派策略要求项 |
| 编号 | Windows-02-03-03 |
| 项目说明 | 在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。 |
| 检测操作步骤 | 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”: 查看是否“取得文件或其它对象的所有权”设置 |
| 符合性判定依据 | “取得文件或其它对象的所有权”设置为“只指派给Administrators组” |
| 配置方法 | 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”。 “取得文件或其它对象的所有权”设置为“只指派给Administrators组”。 |
| 实施风险 | 风险较小 |
| 备注 |
日志配置操作
3.1日志配置
3.1.1审核登录
| 项目名称 | 操作系统审核登录策略要求项 |
| 编号 | Windows-03-01-01 |
| 项目说明 | 设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。 |
| 检测操作步骤 | 开始->运行-> 执行“ 控制面板->管理工具->本地安全策略->审核策略” 审核登录事件。 |
| 符合性判定依据 | 审核登录事件,设置为成功和失败都审核。 |
| 配置方法 | 参考配置操作: 开始->运行-> 执行“控制面板->管理工具->本地安全策略->审核策略” 审核登录事件,双击,设置为成功和失败都审核。 |
| 实施风险 | 风险较小 |
| 备注 |
| 项目名称 | 操作系统审核策略更改要求项 |
| 编号 | Windows-03-01-02 |
| 项目说明 | 启用组策略中对Windows系统的审核策略更改,成功和失败都要审核。 |
| 检测操作步骤 | 进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中 查看“审核策略更改”设置。 |
| 符合性判定依据 | “审核策略更改”设置为“成功” 和“失败”都要审核。 |
| 配置方法 | 参考配置操作: 开始->运行-> 执行“控制面板->管理工具->本地安全策略->审核策略” 审核策略更改,双击,设置为成功和失败都审核。 |
| 实施风险 | 风险较小 |
| 备注 |
| 项目名称 | 操作系统审核对象访问要求项 |
| 编号 | Windows-03-01-03 |
| 项目说明 | 启用组策略中对Windows系统的审核对象访问,成功和失败都要审核。 |
| 检测操作步骤 | 进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中: 查看“审核对象访问”设置。 |
| 符合性判定依据 | “审核对象访问”设置为“成功”和“失败”都要审核。 |
| 配置方法 | 参考配置操作: 开始->运行-> 执行“控制面板->管理工具->本地安全策略->审核策略” 审核对象访问,双击,设置为成功和失败都审核。 |
| 实施风险 | 风险较小 |
| 备注 |
| 项目名称 | 操作系统审核事件目录服务器访问策略要求项 |
| 编号 | Windows-03-01-04 |
| 项目说明 | 启用组策略中对Windows系统的审核目录服务访问,失败。 |
| 检测操作步骤 | 进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中: 查看“审核目录服务器访问”设置。 |
| 符合性判定依据 | “审核目录服务器访问”设置为“成功” 和“失败”都要审核。 |
| 配置方法 | 参考配置操作: 开始->运行-> 执行“控制面板->管理工具->本地安全策略->审核策略” 审核目录服务器访问,双击,设置为成功和失败都审核。 |
| 实施风险 | 风险较小 |
| 备注 |
| 项目名称 | 操作系统审核使用策略要求项 |
| 编号 | Windows-03-01-05 |
| 项目说明 | 启用组策略中对Windows系统的审核使用,成功和失败都要审核。 |
| 检测操作步骤 | 进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中: 查看“审核使用”设置。 |
| 符合性判定依据 | “审核使用”设置为“成功” 和“失败”都要审核。 |
| 配置方法 | 参考配置操作: 开始->运行-> 执行“控制面板->管理工具->本地安全策略->审核策略” 审核使用,双击,设置为成功和失败都审核。 |
| 实施风险 | 风险较小 |
| 备注 |
| 项目名称 | 操作系统审核系统事件策略要求项 |
| 编号 | Windows-03-01-06 |
| 项目说明 | 启用组策略中对Windows系统的审核系统事件,成功和失败都要审核。 |
| 检测操作步骤 | 进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中: 查看“审核系统事件”设置。 |
| 符合性判定依据 | “审核系统事件”设置为“成功” 和“失败”都要审核。 |
| 配置方法 | 参考配置操作: 开始->运行-> 执行“控制面板->管理工具->本地安全策略->审核策略” 审核系统事件,双击,设置为成功和失败都审核。 |
| 实施风险 | 风险较小 |
| 备注 |
| 项目名称 | 操作系统审核账户管理策略要求项 |
| 编号 | Windows-03-01-07 |
| 项目说明 | 启用组策略中对Windows系统的审核帐户管理,成功和失败都要审核。 |
| 检测操作步骤 | 进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中: 查看“审核账户管理” 设置。 |
| 符合性判定依据 | “审核账户管理”设置为“成功” 和“失败”都要审核。 |
| 配置方法 | 参考配置操作: 开始->运行-> 执行“控制面板->管理工具->本地安全策略->审核策略” 审核账户管理,双击,设置为成功和失败都审核。 |
| 实施风险 | 风险较小 |
| 备注 |
| 项目名称 | 操作系统审核过程追踪策略要求项 |
| 编号 | Windows-03-01-08 |
| 项目说明 | 启用组策略中对Windows系统的审核过程追踪失败。 |
| 检测操作步骤 | 进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中: 查看“审核过程追踪”设置。 |
| 符合性判定依据 | “审核过程追踪”设置为 “失败”需要审核。 |
| 配置方法 | 参考配置操作: 开始->运行-> 执行“控制面板->管理工具->本地安全策略->审核策略” 审核过程追踪,双击,设置为成功和失败都审核。 |
| 实施风险 | 风险较小 |
| 备注 |
| 项目名称 | 操作系统日志容量要求项 |
| 编号 | Windows-03-01-09 |
| 项目说明 | 设置应用日志文件大小至少为8192KB,设置当达到最大的日志尺寸时,按需要改写事件。 |
| 检测操作步骤 | 进入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中: 查看“应用日志” “系统日志” “安全日志”属性中的日志大小 ,以及设置当达到最大的日志尺寸时的相应策略。 |
| 符合性判定依据 | “应用日志” “系统日志” “安全日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时,“按需要改写事件” |
| 配置方法 | 参考配置操作: 进入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中: “应用日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时,“按需要改写事件” “系统日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时,“按需要改写事件” “安全日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时,“按需要改写事件” |
| 实施风险 | 需查看C盘剩余空间。 |
| 备注 |
IP协议安全配置
4.1IP协议
4.1.1启用SYN攻击保护
| 项目名称 | 操作系统SYN攻击保护要求项 |
| 编号 | Windows-04-01-01 |
| 项目说明 | 启用SYN攻击保护;指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阀值为5;指定处于 SYN_RCVD 状态的 TCP 连接数的阈值为500;指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值为400。 |
| 检测操作步骤 | 在“开始->运行->键入regedit” 查看注册表项 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\SynAttackProtect; HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\TcpMaxPortsExhausted; HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\TcpMaxHalfOpen; HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\TcpMaxHalfOpenRetried。 |
| 符合性判定依据 | HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SynAttackProtect; 推荐值:2。 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\TcpMaxPortsExhausted; 推荐值:5。 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\TcpMaxHalfOpen; 推荐值数据:500。 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\TcpMaxHalfOpenRetried。推荐值数据:400。 |
| 配置方法 | 参考配置操作: 在“开始->运行->键入regedit” 启用 SYN 攻击保护的命名值位于注册表项 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services 之下。值名称:SynAttackProtect。推荐值:2。 以下部分中的所有项和值均位于注册表项 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services 之下。 指定必须在触发 SYN flood 保护之前超过的 TCP 连接请求阈值。值名称:TcpMaxPortsExhausted。推荐值:5。 启用 SynAttackProtect 后,该值指定 SYN_RCVD 状态中的 TCP 连接阈值,超过 SynAttackProtect 时,触发 SYN flood 保护。值名称:TcpMaxHalfOpen。推荐值数据:500。 启用 SynAttackProtect 后,指定至少发送了一次重传的 SYN_RCVD 状态中的 TCP 连接阈值。超过 SynAttackProtect 时,触发 SYN flood 保护。值名称:TcpMaxHalfOpenRetried。推荐值数据:400。 |
| 实施风险 | 业务系统可针对自身特点相应调整具体数值,内网系统遇到SYN flood攻击概率较低。 |
| 备注 |
设备其他配置操作
5.1共享文件夹及访问权限
5.1.1关闭默认共享
| 项目名称 | 操作系统默认共享要求项 |
| 编号 | Windows-05-01-01 |
| 项目说明 | 非域环境中,关闭Windows硬盘默认共享,例如C$,D$。 |
| 检测操作步骤 | 进入“开始->运行->Regedit”,进入注册表编辑器,查看 HKLM\\System\\CurrentControlSet\\Services\\LanmanServer\\Parameters\\AutoShareServer; |
| 符合性判定依据 | HKLM\\System\\CurrentControlSet\\Services\\LanmanServer\\Parameters\\AutoShareServer 键,值为 0。 |
| 配置方法 | 进入“开始->运行->Regedit”,进入注册表编辑器, 更改注册表键值:在HKLM\\System\\CurrentControlSet\\ Services\\LanmanServer\\Parameters\下,增加REG_DWORD类型的AutoShareServer 键,值为 0。 |
| 实施风险 | 利用共享访问的业务系统需仔细测试。 |
| 备注 |
5.2.1数据执行保护
| 项目名称 | 操作系统数据执行保护要求项 |
| 编号 | Windows-05-02-01 |
| 项目说明 | 对于Windows XP SP2及Windows 2003对Windows操作系统程序和服务启用系统自带DEP功能(数据执行保护),防止在受保护内存位置运行有害代码。 |
| 检测操作步骤 | 进入“控制面板->系统”,在“高级”选项卡的 “性能”下的“设置”。进入 “数据执行保护”选项卡。查看“ 仅为基本 Windows 操作系统程序和服务启用DEP”。 |
| 符合性判定依据 | “数据执行保护”选项卡已设置为“ 仅为基本 Windows 操作系统程序和服务启用DEP”。 |
| 配置方法 | 参考配置操作: 进入“控制面板->系统”,在“高级”选项卡的 “性能”下的“设置”。进入 “数据执行保护”选项卡。设置为“ 仅为基本 Windows 操作系统程序和服务启用DEP”。 |
| 实施风险 | 风险较低。 |
| 备注 | 数据执行保护 (DEP) 是一种有助于防止您的计算机免受病毒和其他安全威胁破坏的安全功能。有害的程序可能会通过试图运行(也称为“执行”)计算机内存中为 Windows 和其他已授权程序保留的代码来攻击 Windows。这些类型的攻击可能会损害您的程序和文件。 DEP 可以通过监视程序以确保它们安全使用计算机内存,帮助保护您的计算机。如果 DEP 注意到计算机上的某个程序使用的内存不正确,则它将关闭该程序并通知您。 |
5.3.1 SNMP服务管理
| 项目名称 | 操作系统SNMP服务管理要求项 |
| 编号 | Windows-05-03-01 |
| 项目说明 | 如需启用SNMP服务,则修改默认的SNMP Community String设置。 |
| 检测操作步骤 | 打开“控制面板”,打开“管理工具”中的“服务”,找到“SNMP Service”,单击右键打开“属性”面板中的“安全”选项卡,在这个配置界面中,查看community strings,也就是微软所说的“团体名称”。 |
| 符合性判定依据 | community strings已改,不是默认的“public”。 |
| 配置方法 | 参考配置操作: 打开“控制面板”,打开“管理工具”中的“服务”,找到“SNMP Service”,单击右键打开“属性”面板中的“安全”选项卡,在这个配置界面中,可以修改community strings,也就是微软所说的“团体名称”。 |
| 实施风险 | 相关snmp服务器同时修改“团体名称”。 |
| 备注 |
5.4.1关闭Windows自动播放功能
| 项目名称 | 操作系统Windows自动播放要求项 |
| 编号 | Windows-05-04-01 |
| 项目说明 | 关闭Windows自动播放功能。 |
| 检测操作步骤 | 打开“开始→运行”,在对话框中输入“gpedit.msc”命令,在出现“组策略”窗口中依次选择“在计算机配置→管理模板→系统”,双击“关闭自动播放”查看。 |
| 符合性判定依据 | 在“设置”选项卡中选“已启用”选项。 |
| 配置方法 | 参考配置操作: 点击开始→运行→输入gpedit.msc,打开组策略编辑器,浏览到计算机配置→管理模板→系统,在右边窗格中双击“关闭自动播放”,对话框中选择所有驱动器,确定即可。 |
| 实施风险 | 风险较低。 |
| 备注 |
评审与修订
本标准由中国联通通信有限公司信息化事业部定期进行审查,根据审视结果修订标准,并颁发执行。
Copyright © 2019-2025 51dongshi.net 版权所有
违法及侵权请联系:TEL:177 7030 7066 E-MAIL:11247931@qq.com 本站由北京市万商天勤律师事务所王兴未律师提供法律服务
