Microsoft Windows安全配置基线
操作系统安全基线检查表
检查结果
开始->运行->net share 或我的电脑右击->管理->共享文件夹->共享
检查共享文件夹中的授权用户。
开始->运行->services.msc telnet 关闭 Automatic Updates 关闭 Background Intelligent Transfer Service 关闭 DHCP Client 关闭 Messenger 关闭 Remote Registry 关闭 Print Spooler 关闭 Server 关闭 SNMP Service 关闭 Task Schedule 关闭 TCP/IP NetBIOS Helper 关闭 对于已加入域的服务器,系统将自动与域控服务器同步时钟; 对于未加入域的服务器,需按以下步骤 点击桌面右下角时钟栏,开启“更改日期和时钟 设置”-“internet时间” 开启“自动与internet时间服务器同步”选型, 在服务器栏中填写NTP server的 IP地址,然后点 击“立即更新”。 进入“控制面板->管理工具->计算机管理”,进入“服务和应用程序”,检查“ SNMP Service”, “属性”面板中的“安全”选项卡的community strings设置。 修改默认“public”
要求
易被黑客破译。
8 设定不能重复使用口令
设定不能重复使用最近5次(含5次)内已使用的口 令。
9 口令生存期不得长于90天 口令生存期不得长于90天,应定期更改用户口令。
二、登录与授权
10 查看登录方式类型
远程登录可能造成信息泄露
11 远程登录的IP地址范围设定
12
将从本地登录设置为指定授 权用户
13
序 号
配置Windows安全基线
■ 大庆 时炜随着息化的不入,信息安重要性越显。
其中计算机系统的安全是信息安全的基础,安全基桶理论”,板,是最基本的安全要求。
配置使用计算机系统的安全基线,受到不法分子恶意攻击、意软件、木马及蠕虫病毒等攻击时能够起到主动防御的【上接第135页】仅仅有了的,还必须在其中添加相关的账户。
例如,就需要httpd、的支持。
执行“useradd –d /var /chapa -s /usr/local/bin/ jail httpd”系统中创建名为账户,其Home图1Edge、图2 配置安全基线前soft Office 2016的安全基Version 1909 and WindowsVersion 1909 SeBaseline.zip解压至然后将LGPO.c:\1909\Scripts\身份运行并进入PS C:\1909\scripts>,然后执行Baseline-LocalInstall.ps1脚本加相应的参数。
的Windows“Baseline-LocalInstall.ps1-Win10Domain系统执行“Baseline-L o c a lp s1-W i mainJoined”已加员Win dows Server统执行“BaseLocalInstall.ps1-WS Member”。
而没Windows“Baseline-LocalInstall. ps1-WSNonDomainJoined”在域Server系统执行Local Install.ps1-WS mainController”以未加入版本1909PS C:\1909\scri pts>. \Baseline-Localps1-Win10Non DomainJoined 提示\1909\scripts\Baseline-LocalInstall.ps1。
查看1909\s ccutionpolicycted。
这是因为在此系统默认图3 配置安全基线后C:\1909\scripts> set-e x e c u t i o n p o l i c y-e x e身的需要,。
信息安全配置基线(整理)
Win2003 & 2008操作系统安全配置要求2、1、帐户口令安全帐户分配:应为不同用户分配不同的帐户,不允许不同用户间共享同一帐户。
帐户锁定:应删除或锁定过期帐户、无用帐户。
用户访问权限指派:应只允许指定授权帐户对主机进行远程访问。
帐户权限最小化:应根据实际需要为各个帐户分配最小权限。
默认帐户管理:应对Administrator帐户重命名,并禁用Guest(来宾)帐户。
口令长度及复杂度:应要求操作系统帐户口令长度至少为8位,且应为数字、字母与特殊符号中至少2类的组合。
口令最长使用期限:应设置口令的最长使用期限小于90天。
口令历史有效次数:应配置操作系统用户不能重复使用最近 5 次(含 5 次)已使用过的口令。
口令锁定策略:应配置当用户连续认证失败次数为5次,锁定该帐户30分钟。
2、2、服务及授权安全服务开启最小化:应关闭不必要的服务。
SNMP服务接受团体名称设置:应设置SNMP接受团体名称不为public或弱字符串。
系统时间同步:应确保系统时间与NTP服务器同步。
DNS服务指向:应配置系统DNS指向企业内部DNS服务器。
2、3、补丁安全系统版本:应确保操作系统版本更新至最新。
补丁更新:应在确保业务不受影响的情况下及时更新操作系统补丁。
2、4、日志审计日志审核策略设置:应合理配置系统日志审核策略。
日志存储规则设置:应设置日志存储规则,保证足够的日志存储空间。
日志存储路径:应更改日志默认存放路径。
日志定期备份:应定期对系统日志进行备份。
2、5、系统防火墙:应启用系统自带防火墙,并根据业务需要限定允许通讯的应用程序或端口。
2、6、防病毒软件:应安装由总部统一部署的防病毒软件,并及时更新。
2、7、关闭自动播放功能:应关闭Windows 自动播放功能。
2、8、共享文件夹删除本地默认共享:应关闭Windows本地默认共享。
共享文件权限限制:应设置共享文件夹的访问权限,仅允许授权的帐户共享此文件夹。
Windows系统安全配置基线
安全基线项目名称
操作系统审核对象访问安全基线要求项
安全基线项说明
启用组策略中对Windows系统的审核对象访问,成功和失败都要审核。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
查看“审核对象访问”设置。
基线符合性判定依据
“审核对象访问”设置为“成功”和“失败”都要审核。
基线符合性判定依据
HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer键,值为0。
备注
6.2
防病毒软件保护
安全基线项目名称
操作系统防病毒保护安全基线要求项
安全基线项说明
对Windows2003服务器主机应当安装部署服务器专版杀毒软件,并打开自动升级病毒库选项。
基线符合性判定依据
“应用日志”“系统日志”“安全日志”属性中的日志大小设置不小于“8M”,设置当达到最大的日志尺寸时,“按需要改写事件”。
备注
第6章
6.1
关闭默认共享
安全基线项目名称
操作系统默认共享安全基线要求项
安全基线项说明
非域环境中,关闭Windows硬盘默认共享,例如C$,D$。
检测操作步骤
进入“开始->运行->Regedit”,进入注册表编辑器,查看HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer;
备注
日志文件大小
安全基线项目名称
操作系统日志容量安全基线要求项
操作系统安全基线配置
操作系统安全基线配置操作系统安全基线配置1、系统基本配置1.1、设置强密码策略1.1.1、密码复杂度要求1.1.2、密码长度要求1.1.3、密码历史记录限制1.2、禁用默认账户1.3、禁用不必要的服务1.4、安装最新的操作系统补丁1.5、配置防火墙1.6、启用日志记录功能1.7、安装安全审计工具2、访问控制2.1、确定用户账户和组织结构2.2、分配最小特权原则2.3、管理账户权限2.3.1、内置管理员账户2.3.2、各类用户账户2.4、用户认证和授权2.4.1、双因素身份验证2.4.2、权限管理2.5、用户追踪和监管2.5.1、记录登录和注销信息2.5.2、监控用户活动3、文件和目录权限管理3.1、配置文件和目录的ACL3.2、禁止匿名访问3.3、确保敏感数据的安全性3.4、审计文件和目录访问权限4、网络安全设置4.1、配置安全网络连接4.1.1、使用SSL/TLS加密连接4.1.2、配置安全的网络协议 4.2、网络隔离设置4.2.1、网络分段4.2.2、VLAN设置4.3、防御DDoS攻击4.4、加密网络通信4.5、网络入侵检测和预防5、应用程序安全配置5.1、安装可靠的应用程序5.2、更新应用程序到最新版本 5.3、配置应用程序的访问权限 5.4、定期备份应用程序数据5.5、应用程序安全策略6、数据保护与恢复6.1、定期备份数据6.2、加密敏感数据6.3、完整性保护6.4、数据恢复7、安全审计与监控7.1、审计日志管理7.1.1、配置日志记录7.1.2、日志监控和分析7.2、安全事件响应7.2.1、定义安全事件7.2.2、响应安全事件7.2.3、安全事件报告8、物理安全8.1、服务器和设备安全8.1.1、物理访问控制8.1.2、设备保护措施8.2、网络设备安全8.2.1、路由器和交换机的安全配置 8.2.2、网络设备的物理保护8.3、数据中心安全8.3.1、安全区域划分8.3.2、访问控制措施附件:无法律名词及注释:1、双因素身份验证:双因素身份验证是指通过两个或多个不同的身份验证要素来确认用户身份的一种安全措施。
各类操作系统安全基线配置及操作指南
置要求及操作指南
检查模块 支持系统版本号 Windows Windows 2000 以上 Solaris Solaris 8 以上 AIX AIX 5.X以上 HP-UNIX HP-UNIX 11i以上 Linux 内核版本 2.6 以上 Oracle Oracle 8i 以上 SQL Server Microsoft SQL Server 2000以上 MySQL MySQL 5.x以上 IIS IIS 5.x以上 Apache Apache 2.x 以上 Tomcat Tomcat 5.x 以上 WebLogic WebLogic 8.X以上
Windows 操作系统 安全配置要求及操作指南
I
目录
目
录 ..................................................................... I
前
言 .................................................................... II
4 安全配置要求 ............................................................... 2
4.1 账号 ..................................................................... 2
4.2 口令 编号: 1 要求内容 密码长度要求:最少 8 位 密码复杂度要求:至少包含以下四种类别的字符中的三种: z 英语大写字母 A, B, C, , Z z 英语小写字母 a, b, c, , z z 阿拉伯数字 0, 1, 2, , 9 z 非字母数字字符,如标点符号, @, #, $, %, &, *等
终端安全配置指南v1.4
终端安全配置指南一、基线配置
下表为基线配置的必选项,根据配置方法修改配置项
二、防毒软件安装(先到第三步安装天珣,再安装趋势防毒)
通过终端IE浏览器登陆http://10.201.94.225/download下载趋势防毒软件,如图,根据
相应的系统下载安装。
安装完后右下角出现如下图标
右键点击图标选择组件版本可以查看是否更新为最新
看看发布日期,如果为最近几天便为最新版本。
三、天珣安装
通过终端IE浏览器登陆http://188.1.50.132:8833/download下载趋势防毒软件,如图,根据相应的系统下载安装。
下载安装完毕后,需要确定软件联网。
四、终端补丁更新
从开始>运行输入gpedit.msc打开组策略管理器,如图:
确定就打开了组策略窗口
再从计算机配置>管理模板>Windows组件>Windows Update 展开设置条目,用红线框着的是需要设置的项目,具体设置后面详细说明。
双击配置自动更新打开属性并按下图设置好。
3 –自动下载并通知安装
双击指定Intranet Microsoft更新服务位置,打开属性并按下图设置好。
开始->运行输入services.msc打开服务管理器,把Automatic Updates服务启动
手工启动首次更新,方法如下图:
从开始>运行输入CMD打开命令提示符
从命令提示符输入wuauclt.exe /detectnow启动首次更新
右下角出现表示更新已启动。
更新下载完后,手动点击进行安装。
更新正确安装后提示重新启动。
资料1:安全基线配置核查使用工具说明.doc
1.下载基线配置核查工具(附件2)
2.下载完成后,运行安装SblCheckTool.msi。
注:若系统未安装.Net Framework 4.0,会提示安装该软件。
在基线配置核查工具下载页面下载.Net Framework 4.0并安装,该软件为微软公司推出的系统组件。
3.安装完成后,双击打开桌面“基线加固工具”快捷方式,进入软件界面。
4.首先输入自己的姓名,工作单位以及网络管理员提供的IP地址。
5. 资料填写完毕请点击测试连接,若无错误将提示“连接成功”,点击“确认”。
6. 点击开始检查,系统将展示出终端计算机的安全配置(检查过程依据计算机性能存在查
别,请耐心等待,一般不超过1分钟)。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Windows 系统安全配置基线中国移动通信有限公司管理信息系统部2012年 04月版本版本控制信息更新日期更新人审批人V1.0 创建2009年1月V2.0 更新2012年4月备注:1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录第1章概述 (5)1.1目的 (5)1.2适用范围 (5)1.3适用版本 (5)1.4实施 (5)1.5例外条款 (5)第2章帐户管理、认证授权 (6)2.1帐户 (6)2.1.1 管理缺省帐户 (6)2.1.2 按照用户分配帐户* (6)2.1.3 删除与设备无关帐户* (7)2.2口令 (7)2.2.1密码复杂度 (7)2.2.2密码最长留存期 (8)2.2.3帐户锁定策略 (8)2.3授权 (8)2.3.1远程关机 (8)2.3.2本地关机 (9)2.3.3用户权利指派* (9)2.3.4授权帐户登陆* (10)2.3.5授权帐户从网络访问* (10)第3章日志配置操作 (11)3.1日志配置 (11)3.1.1审核登录 (11)3.1.2审核策略更改 (11)3.1.3审核对象访问 (11)3.1.4审核事件目录服务器访问 (12)3.1.5审核特权使用 (12)3.1.6审核系统事件 (13)3.1.7审核帐户管理 (13)3.1.8审核过程追踪 (13)3.1.9日志文件大小 (14)第4章IP协议安全配置 (15)4.1IP协议 (15)4.1.1启用SYN攻击保护 (15)第5章设备其他配置操作 (17)5.1共享文件夹及访问权限 (17)5.1.1关闭默认共享 (17)5.1.2共享文件夹授权访问* (17)5.2防病毒管理 (18)5.2.1数据执行保护 (18)5.3W INDOWS服务 (18)5.3.1 SNMP服务管理 (18)5.3.2系统必须服务列表管理* (19)5.3.3系统启动项列表管理* (19)5.3.4远程控制服务安全* (19)5.3.5 IIS安全补丁管理* (20)5.3.6活动目录时间同步管理* (20)5.4启动项 (21)5.4.1关闭Windows自动播放功能 (21)5.5屏幕保护 (21)5.5.1设置屏幕保护密码和开启时间* (21)5.6远程登录控制 (22)5.6.1限制远程登陆空闲断开时间 (22)5.7补丁管理 (23)5.7.1操作系统补丁管理* (23)5.7.2操作系统最新补丁管理* (23)第6章评审与修订 (24)第1章概述1.1 目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的WINDOWS 操作系统的主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进行WINDOWS 操作系统的安全合规性检查和配置。
1.2 适用范围本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。
本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的WINDOWS 服务器系统。
1.3 适用版本WINDOWS系列服务器。
1.4 实施本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。
本标准发布之日起生效。
1.5 例外条款欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
第2章帐户管理、认证授权2.1 帐户2.1.1 管理缺省帐户安全基线项目名称操作系统缺省帐户安全基线要求项安全基线编号SBL-Windows-02-01-01安全基线项说明对于管理员帐号,要求更改缺省帐户名称;禁用guest(来宾)帐号。
检测操作步骤进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:缺省帐户Administrator->属性Guest帐号->属性基线符合性判定依据缺省帐户Administrator名称已更改。
Guest帐号已停用。
备注2.1.2 按照用户分配帐户*安全基线项目名称操作系统用户帐户划分安全基线要求项安全基线编号SBL-Windows-02-01-02安全基线项说明按照用户分配帐户。
根据系统的要求,设定不同的帐户和帐户组,管理员用户,数据库用户,审计用户,来宾用户等。
检测操作步骤进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:根据系统的要求,设定不同的帐户和帐户组,管理员用户,数据库用户,审计用户,来宾用户。
基线符合性判定依据结合要求和实际业务情况判断符合要求,根据系统的要求,设定不同的帐户和帐户组,管理员用户,数据库用户,审计用户,来宾用户。
备注手工判断,需要根据实际情况判断帐户用途2.1.3 删除与设备无关帐户*安全基线项目名称操作系统与设备无关帐户安全基线要求项安全基线编号SBL-Windows-02-01-03安全基线项说明删除或锁定与设备运行、维护等与工作无关的帐户检测操作步骤进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:删除或锁定与设备运行、维护等与工作无关的帐户。
基线符合性判定依据结合要求和实际业务情况判断符合要求,删除或锁定与设备运行、维护等与工作无关的帐户。
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:查看是否删除或锁定与设备运行、维护等与工作无关的帐户。
备注手工判断,需要根据实际情况判断帐户是否为无关帐户2.2 口令2.2.1密码复杂度安全基线项目名称操作系统密码复杂度安全基线要求项安全基线编号SBL-Windows-02-02-01安全基线项说明最短密码长度8个字符,启用本机组策略中密码必须符合复杂性要求的策略。
即密码至少包含以下四种类别的字符中的2种:英语大写字母A, B, C, … Z英语小写字母a, b, c, … z西方阿拉伯数字0, 1, 2, (9)非字母数字字符,如标点符号,@, #, $, %, &, *等检测操作步骤进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:查看是否“密码必须符合复杂性要求”选择“已启动”基线符合性判定依据“密码最小长度”大于等于8“密码必须符合复杂性要求”选择“已启动”备注2.2.2密码最长留存期安全基线项操作系统密码历史安全基线要求项目名称安全基线编SBL-Windows-02-02-02号安全基线项对于采用静态口令认证技术的设备,帐户口令的生存期不长于90天。
说明检测操作步进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:骤查看“密码最长存留期”“密码最长存留期”设置不大于“90天”基线符合性判定依据备注2.2.3帐户锁定策略安全基线项操作系统帐户锁定策略安全基线要求项目名称安全基线编SBL-Windows-02-02-03号安全基线项对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过10说明次,锁定该用户使用的帐户。
检测操作步进入“控制面板->管理工具->本地安全策略”,在“帐户策略->帐户锁定策略”:骤查看“帐户锁定阀值”设置“帐户锁定阀值”设置为小于或等于10次基线符合性判定依据备注2.3 授权2.3.1远程关机安全基线项操作系统远程关机策略安全基线要求项目名称安全基线编SBL-Windows-02-03-01号安全基线项在本地安全设置中从远端系统强制关机只指派给Administrators组。
说明检测操作步进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”: 骤查看“从远端系统强制关机”设置“从远端系统强制关机”设置为“只指派给Administrtors组”基线符合性判定依据备注2.3.2本地关机安全基线项操作系统本地关机策略安全基线要求项目名称安全基线编SBL-Windows-02-03-02号安全基线项在本地安全设置中关闭系统仅指派给Administrators组。
说明检测操作步进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”: 骤查看“关闭系统”设置基线符合性“关闭系统”设置为“只指派给Administrators组”判定依据备注2.3.3用户权利指派*安全基线项操作系统用户权力指派策略安全基线要求项目名称安全基线编SBL-Windows-02-03-03号安全基线项在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。
说明检测操作步进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:骤查看是否“取得文件或其它对象的所有权”设置“取得文件或其它对象的所有权”设置为“只指派给Administrators组”基线符合性判定依据备注手工检查2.3.4授权帐户登陆*安全基线项操作系统用户授权登陆安全基线要求项目名称安全基线编SBL-Windows-02-03-04号安全基线项在本地安全设置中配置指定授权用户允许本地登陆此计算机。
说明检测操作步进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”骤“从本地登陆此计算机”设置为“指定授权用户”基线符合性“从本地登陆此计算机”设置为“指定授权用户”,进入“控制面板->管理工判定依据具->本地安全策略”,在“本地策略->用户权利指派”查看是否“从本地登陆此计算机”设置为“指定授权用户”备注手工判断是否授权2.3.5授权帐户从网络访问*安全基线项操作系统用户授权从网络访问安全基线要求项目名称安全基线编SBL-Windows-02-03-05号安全基线项在组策略中只允许授权帐号从网络访问(包括网络共享等,但不包括终端服说明务)此计算机。
检测操作步进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”骤“从网络访问此计算机”设置为“指定授权用户”基线符合性“从网络访问此计算机”设置为“指定授权用户”,进入“控制面板->管理工判定依据具->本地安全策略”,在“本地策略->用户权利指派”查看是否“从网络访问此计算机”设置为“指定授权用户”备注手工判断是否授权第3章日志配置操作3.1 日志配置3.1.1审核登录安全基线项操作系统审核登录策略安全基线要求项目名称安全基线编SBL-Windows-03-01-01号安全基线项设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的说明帐户,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。