Microsoft Windows安全配置基线

终端安全配置基线名词解释
安全配置基线是操作系统，DB，中间件，网络设备（交换机，路由器，防火墙），终端PC设备上设置的基本配置项。

除了软件系统最基本最重要的安全配置，还需要符合国家信息安全政策法规及监管要求。

人行，四部委，国家标准化管理委员会，质量监督检验检疫总局等都发布过相关指引文件。

一般都要新建基线，然后持续维护修订。

系统复杂的，基线规范和手册需要进行分离编写。

规范类似宪法，手册类似各种普通法律法规。

规范指导手册。

里面应该明确每年什么时间，对什么配置进行哪些项目的检查。

上线前后，开发环境，生产环境都需要按照基线规范进行检查。

比如中间件：Apache,Tomcat,Nginx,Weblogic,IBM MQ,Tuexdo,Kafka 等需要确认日志配置（符合监管，设置日志门卫，不能所有信息都打出来），账号口令设置定期修改策略，账号登录系统多久超时强制下线，端口设置，目录权限（主目录一般小于775），配置文件权限（一般小于775）。

操作系统安全基线操作系统安全基线1.引言1.1 目的1.2 范围2.安全策略2.1 安全目标2.2 安全控制策略3.身份和访问控制3.1 用户账号管理3.1.1 用户账号命名规则3.1.2 密码策略3.1.3 账户锁定机制3.2 审计和日志3.2.1 审计日志设置3.2.2 审计日志保留和监控3.3 权限管理3.3.1 最小权限原则3.3.2 角色和组分配3.3.3 文件和目录权限控制4.网络安全4.1 防火墙配置4.1.1 入站和出站规则4.1.2 超时设置4.2 网络接入控制4.2.1 网络设备访问控制4.2.2 网络隔离和分段4.3 恶意软件防护4.3.1 防护软件4.3.2 恶意软件扫描定期更新5.数据保护5.1 加密措施5.1.1 硬盘加密5.1.2 通信加密5.2 数据备份和恢复5.2.1 数据备份策略5.2.2 数据恢复测试6.物理安全6.1 服务器和设备保护6.1.1 服务器安全位置6.1.2 设备访问控制6.2 网络设备保护6.2.1 交换机和路由器安全配置6.2.2 网线和端口安全7.安全更新和漏洞管理7.1 操作系统补丁管理7.1.1 操作系统漏洞扫描7.1.2 自动更新设置7.2 第三方程序管理7.2.1 第三方软件漏洞扫描7.2.2 自动更新设置8.安全事件响应8.1 安全事件监控8.1.1 安全事件日志监控8.1.2 入侵检测系统（IDS）配置8.2 安全事件响应计划8.2.1 安全事件分类和优先级8.2.2 应急演练9.文档和记录管理9.1 安全策略和规程9.2 安全漏洞和事件记录9.3 培训和意识活动记录附件：无法律名词及注释：1.隐私保护：指个人信息的保护，包括个人身份、通信、财务等方面的信息。

2.数据保护：保护数据的完整性、可用性和保密性，防止数据泄露、丢失或损坏。

3.安全事件：指违反安全策略或措施导致的可能对系统、数据或用户产生威胁的事件，包括入侵、感染等。

■ 大庆 时炜随着息化的不入，信息安重要性越显。

其中计算机系统的安全是信息安全的基础，安全基桶理论”，板，是最基本的安全要求。

配置使用计算机系统的安全基线，受到不法分子恶意攻击、意软件、木马及蠕虫病毒等攻击时能够起到主动防御的【上接第135页】仅仅有了的，还必须在其中添加相关的账户。

例如，就需要httpd、的支持。

执行“useradd –d /var /chapa -s /usr/local/bin/ jail httpd”系统中创建名为账户，其Home图1Edge、图2 配置安全基线前soft Office 2016的安全基Version 1909 and WindowsVersion 1909 SeBaseline.zip解压至然后将LGPO.c:\1909\Scripts\身份运行并进入PS C:\1909\scripts>，然后执行Baseline-LocalInstall.ps1脚本加相应的参数。

的Windows“Baseline-LocalInstall.ps1-Win10Domain系统执行“Baseline-L o c a lp s1-W i mainJoined”已加员Win dows Server统执行“BaseLocalInstall.ps1-WS Member”。

而没Windows“Baseline-LocalInstall. ps1-WSNonDomainJoined”在域Server系统执行Local Install.ps1-WS mainController”以未加入版本1909PS C:\1909\scri pts>. \Baseline-Localps1-Win10Non DomainJoined 提示\1909\scripts\Baseline-LocalInstall.ps1。

查看1909\s ccutionpolicycted。

这是因为在此系统默认图3 配置安全基线后C:\1909\scripts> set-e x e c u t i o n p o l i c y-e x e身的需要，。

Win2003 & 2008操作系统安全配置要求2、1、帐户口令安全帐户分配:应为不同用户分配不同的帐户,不允许不同用户间共享同一帐户。

帐户锁定:应删除或锁定过期帐户、无用帐户。

用户访问权限指派:应只允许指定授权帐户对主机进行远程访问。

帐户权限最小化:应根据实际需要为各个帐户分配最小权限。

默认帐户管理:应对Administrator帐户重命名,并禁用Guest(来宾)帐户。

口令长度及复杂度:应要求操作系统帐户口令长度至少为8位,且应为数字、字母与特殊符号中至少2类的组合。

口令最长使用期限:应设置口令的最长使用期限小于90天。

口令历史有效次数:应配置操作系统用户不能重复使用最近 5 次(含 5 次)已使用过的口令。

口令锁定策略:应配置当用户连续认证失败次数为5次,锁定该帐户30分钟。

2、2、服务及授权安全服务开启最小化:应关闭不必要的服务。

SNMP服务接受团体名称设置:应设置SNMP接受团体名称不为public或弱字符串。

系统时间同步:应确保系统时间与NTP服务器同步。

DNS服务指向:应配置系统DNS指向企业内部DNS服务器。

2、3、补丁安全系统版本:应确保操作系统版本更新至最新。

补丁更新:应在确保业务不受影响的情况下及时更新操作系统补丁。

2、4、日志审计日志审核策略设置:应合理配置系统日志审核策略。

日志存储规则设置:应设置日志存储规则,保证足够的日志存储空间。

日志存储路径:应更改日志默认存放路径。

日志定期备份:应定期对系统日志进行备份。

2、5、系统防火墙:应启用系统自带防火墙,并根据业务需要限定允许通讯的应用程序或端口。

2、6、防病毒软件:应安装由总部统一部署的防病毒软件,并及时更新。

2、7、关闭自动播放功能:应关闭Windows 自动播放功能。

2、8、共享文件夹删除本地默认共享:应关闭Windows本地默认共享。

共享文件权限限制:应设置共享文件夹的访问权限,仅允许授权的帐户共享此文件夹。

操作系统安全基线配置操作系统安全基线配置1、系统基本配置1.1、设置强密码策略1.1.1、密码复杂度要求1.1.2、密码长度要求1.1.3、密码历史记录限制1.2、禁用默认账户1.3、禁用不必要的服务1.4、安装最新的操作系统补丁1.5、配置防火墙1.6、启用日志记录功能1.7、安装安全审计工具2、访问控制2.1、确定用户账户和组织结构2.2、分配最小特权原则2.3、管理账户权限2.3.1、内置管理员账户2.3.2、各类用户账户2.4、用户认证和授权2.4.1、双因素身份验证2.4.2、权限管理2.5、用户追踪和监管2.5.1、记录登录和注销信息2.5.2、监控用户活动3、文件和目录权限管理3.1、配置文件和目录的ACL3.2、禁止匿名访问3.3、确保敏感数据的安全性3.4、审计文件和目录访问权限4、网络安全设置4.1、配置安全网络连接4.1.1、使用SSL/TLS加密连接4.1.2、配置安全的网络协议 4.2、网络隔离设置4.2.1、网络分段4.2.2、VLAN设置4.3、防御DDoS攻击4.4、加密网络通信4.5、网络入侵检测和预防5、应用程序安全配置5.1、安装可靠的应用程序5.2、更新应用程序到最新版本 5.3、配置应用程序的访问权限 5.4、定期备份应用程序数据5.5、应用程序安全策略6、数据保护与恢复6.1、定期备份数据6.2、加密敏感数据6.3、完整性保护6.4、数据恢复7、安全审计与监控7.1、审计日志管理7.1.1、配置日志记录7.1.2、日志监控和分析7.2、安全事件响应7.2.1、定义安全事件7.2.2、响应安全事件7.2.3、安全事件报告8、物理安全8.1、服务器和设备安全8.1.1、物理访问控制8.1.2、设备保护措施8.2、网络设备安全8.2.1、路由器和交换机的安全配置 8.2.2、网络设备的物理保护8.3、数据中心安全8.3.1、安全区域划分8.3.2、访问控制措施附件：无法律名词及注释：1、双因素身份验证：双因素身份验证是指通过两个或多个不同的身份验证要素来确认用户身份的一种安全措施。

windows基线检查项目的范围和内容1.引言1.1 概述概述部分的内容可以是对整篇文章主题的简要介绍和解释。

可以提及以下内容：在计算机技术的发展和广泛应用的背景下，保障计算机系统的安全性和可靠性变得尤为重要。

而在Windows操作系统中，基线检查项目作为一种常见的安全评估手段，被广泛采用。

本文将对Windows基线检查项目的范围和内容进行详细探讨。

首先，我们将介绍本文的结构和内容安排，以及各个部分的内容提要。

随后，我们将详细解释什么是Windows基线检查项目以及它的重要性，为读者提供一个全面的认识。

同时，我们还将讨论Windows基线检查项目的具体范围，包括它所涵盖的安全控制和目标。

通过本文的阅读，读者将能了解到Windows基线检查项目的定义、作用和实施的重要性，并对其范围和内容有一个清晰的认识。

随着计算机系统的安全性要求不断提高，Windows基线检查项目的重要性也越发凸显。

因此，本文还将展望Windows基线检查项目的未来发展趋势，并给出一些对其优化和改进的建议。

通过本文的研究，希望能够为读者提供一个全面了解Windows基线检查项目的视角，为计算机系统的安全性保障提供一定的指导和参考。

1.2文章结构文章结构部分的内容（1.2 文章结构）应该包括如下内容：本篇长文分为引言、正文和结论三个部分。

引言部分包括概述、文章结构和目的三个方面。

首先，我们将对Windows基线检查项目进行概述，介绍其定义、重要性和应用领域。

其次，我们将说明本篇长文的结构，明确各个章节的内容和次序。

最后，我们将明确本篇长文的目的，即通过对Windows基线检查项目的范围和内容的研究，提供相关领域的参考和指导。

正文部分包括窗口基线检查项目的定义和重要性以及窗口基线检查项目的范围两个方面。

首先，我们将详细阐述Windows基线检查项目的定义和其在计算机系统安全中的重要性。

我们将介绍该项目的基本概念、参考标准和工作原理，以及其在企业和组织中的应用情况。

Windows+8操作系统安全配置基线Windows 8操作系统安全配置基线2013年7⽉⽬录1 引⾔ (1)2 适⽤范围 (1)3 缩略语 (1)4 安全基线要求项命名规则 (1)5 ⽂档使⽤说明 (1)6 注意事项 (2)7 安全配置要求 (2)7.1 账户管理 (2)7.1.1 Administrator账户管理 (2)7.1.2 Guest账户管理 (3)7.1.3 ⽆关账户管理 (3)7.2 密码管理 (4)7.2.1 密码复杂度 (4)7.2.2 密码长度最⼩值 (4)7.2.3 密码最长使⽤期限 (5)7.2.4 强制密码历史 (5)7.2.5 账户锁定阈值（可选） (5)7.3 认证授权 (6)7.3.1 远程强制关机授权 (6)7.3.2 ⽂件所有权授权 (6)7.4.1 审核策略更改 (7)7.4.2 审核登录事件 (7)7.4.3 审核对象访问 (8)7.4.4 审核进程跟踪 (8)7.4.5 审核⽬录服务访问 (8)7.4.6 审核特权使⽤ (9)7.4.7 审核系统事件 (9)7.4.8 审核账户管理 (10)7.5.1 启⽤Windows防⽕墙 (11)7.5.2 关闭⾃动播放功能 (11)7.6 补丁与防护软件 (12)7.6.1 系统安全补丁管理 (12)7.6.2 防病毒管理 (12)7.7 共享⽂件夹及访问权限 (13)7.7.1 关闭默认共享 (13)7.7.2 设置共享⽂件夹访问权限 (13)7.8 远程维护 (13)7.8.1 远程协助安全管理 (13)7.8.2 远程桌⾯安全管理 (14)7.9.1 数据执⾏保护 (14)附录A 安全基线配置项应⽤统计表 (16)附录B 安全基线配置项应⽤问题记录表 (18)1 引⾔本⽂档规定了中国⽯油所管理的运⾏Windows 8操作系统的计算机应当遵循的操作系统安全性设置标准，是中国⽯油安全基线⽂档之⼀。

本⽂档旨在对信息系统的安全配置审计、加固操作起到指导性作⽤。