Windows系统安全配置基线
windows基线安全整改技术方案
应配置“Microsoft网 络服务器:暂停会话 前所需的空闲时间”为 15分钟
进入“开始->运行->Regedit”,进入注册表编辑
器
查看“
HKEY_LOCAL_MACHINE\SYSTEM\CurrentCon 应配置RDP-Tcp”键值
trolSet\Control\Terminal
不为Oxd3d
日志大小设置不小于“
查看“应用日志” “系统日志” “安全日志”属性 16384KB” ,设置当达
中的日志大小 ,以及设置当达到最大的日志尺 到最大的日志尺寸
寸时的相应策略。
时,“按需要改写事件
”
SynAttackProtect; 推
在“开始->运行->键入regedit”
荐值:2。
查看注册表项
TcpMaxPortsExhauste
进入“计算机->属性->高级系统配置” 进入“高级->性能->设置” 查看是否配置成“ 仅为基本 Windows 操作系 统程序和服务启用DEP”。
对于Windows操作系 统程序和服务启用系 统自带DEP功能(数据 执行保护),防止在受 保护内存位置运行有
害代码。
控制面板->添加或删除程序,是否安装有防
安全设置->帐户策略->密码策略”:
种:
查看是否“密码必须符合复杂性要求”选择“已
启动”
B, C, … Z
查看密码长度最小值配置为8个字符
c, … z
1, 2, … 9 非字母数字字符,如 标点符号,@, #, $, %, &, *等
进入“控制面板->管理工具->本地安全策略 ”, 在“安全设置->帐户策略->密码策略”: 查看“密码最长存留期”是否配置成90天,查 看强制密码历史是否配置
操作系统安全基线检查表
检查结果
开始->运行->net share 或我的电脑右击->管理->共享文件夹->共享
检查共享文件夹中的授权用户。
开始->运行->services.msc telnet 关闭 Automatic Updates 关闭 Background Intelligent Transfer Service 关闭 DHCP Client 关闭 Messenger 关闭 Remote Registry 关闭 Print Spooler 关闭 Server 关闭 SNMP Service 关闭 Task Schedule 关闭 TCP/IP NetBIOS Helper 关闭 对于已加入域的服务器,系统将自动与域控服务器同步时钟; 对于未加入域的服务器,需按以下步骤 点击桌面右下角时钟栏,开启“更改日期和时钟 设置”-“internet时间” 开启“自动与internet时间服务器同步”选型, 在服务器栏中填写NTP server的 IP地址,然后点 击“立即更新”。 进入“控制面板->管理工具->计算机管理”,进入“服务和应用程序”,检查“ SNMP Service”, “属性”面板中的“安全”选项卡的community strings设置。 修改默认“public”
要求
易被黑客破译。
8 设定不能重复使用口令
设定不能重复使用最近5次(含5次)内已使用的口 令。
9 口令生存期不得长于90天 口令生存期不得长于90天,应定期更改用户口令。
二、登录与授权
10 查看登录方式类型
远程登录可能造成信息泄露
11 远程登录的IP地址范围设定
12
将从本地登录设置为指定授 权用户
13
序 号
配置Windows安全基线
■ 大庆 时炜随着息化的不入,信息安重要性越显。
其中计算机系统的安全是信息安全的基础,安全基桶理论”,板,是最基本的安全要求。
配置使用计算机系统的安全基线,受到不法分子恶意攻击、意软件、木马及蠕虫病毒等攻击时能够起到主动防御的【上接第135页】仅仅有了的,还必须在其中添加相关的账户。
例如,就需要httpd、的支持。
执行“useradd –d /var /chapa -s /usr/local/bin/ jail httpd”系统中创建名为账户,其Home图1Edge、图2 配置安全基线前soft Office 2016的安全基Version 1909 and WindowsVersion 1909 SeBaseline.zip解压至然后将LGPO.c:\1909\Scripts\身份运行并进入PS C:\1909\scripts>,然后执行Baseline-LocalInstall.ps1脚本加相应的参数。
的Windows“Baseline-LocalInstall.ps1-Win10Domain系统执行“Baseline-L o c a lp s1-W i mainJoined”已加员Win dows Server统执行“BaseLocalInstall.ps1-WS Member”。
而没Windows“Baseline-LocalInstall. ps1-WSNonDomainJoined”在域Server系统执行Local Install.ps1-WS mainController”以未加入版本1909PS C:\1909\scri pts>. \Baseline-Localps1-Win10Non DomainJoined 提示\1909\scripts\Baseline-LocalInstall.ps1。
查看1909\s ccutionpolicycted。
这是因为在此系统默认图3 配置安全基线后C:\1909\scripts> set-e x e c u t i o n p o l i c y-e x e身的需要,。
信息安全配置基线(整理)
Win2003 & 2008操作系统安全配置要求2、1、帐户口令安全帐户分配:应为不同用户分配不同的帐户,不允许不同用户间共享同一帐户。
帐户锁定:应删除或锁定过期帐户、无用帐户。
用户访问权限指派:应只允许指定授权帐户对主机进行远程访问。
帐户权限最小化:应根据实际需要为各个帐户分配最小权限。
默认帐户管理:应对Administrator帐户重命名,并禁用Guest(来宾)帐户。
口令长度及复杂度:应要求操作系统帐户口令长度至少为8位,且应为数字、字母与特殊符号中至少2类的组合。
口令最长使用期限:应设置口令的最长使用期限小于90天。
口令历史有效次数:应配置操作系统用户不能重复使用最近 5 次(含 5 次)已使用过的口令。
口令锁定策略:应配置当用户连续认证失败次数为5次,锁定该帐户30分钟。
2、2、服务及授权安全服务开启最小化:应关闭不必要的服务。
SNMP服务接受团体名称设置:应设置SNMP接受团体名称不为public或弱字符串。
系统时间同步:应确保系统时间与NTP服务器同步。
DNS服务指向:应配置系统DNS指向企业内部DNS服务器。
2、3、补丁安全系统版本:应确保操作系统版本更新至最新。
补丁更新:应在确保业务不受影响的情况下及时更新操作系统补丁。
2、4、日志审计日志审核策略设置:应合理配置系统日志审核策略。
日志存储规则设置:应设置日志存储规则,保证足够的日志存储空间。
日志存储路径:应更改日志默认存放路径。
日志定期备份:应定期对系统日志进行备份。
2、5、系统防火墙:应启用系统自带防火墙,并根据业务需要限定允许通讯的应用程序或端口。
2、6、防病毒软件:应安装由总部统一部署的防病毒软件,并及时更新。
2、7、关闭自动播放功能:应关闭Windows 自动播放功能。
2、8、共享文件夹删除本地默认共享:应关闭Windows本地默认共享。
共享文件权限限制:应设置共享文件夹的访问权限,仅允许授权的帐户共享此文件夹。
Windows系统安全配置基线
安全基线项目名称
操作系统审核对象访问安全基线要求项
安全基线项说明
启用组策略中对Windows系统的审核对象访问,成功和失败都要审核。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
查看“审核对象访问”设置。
基线符合性判定依据
“审核对象访问”设置为“成功”和“失败”都要审核。
基线符合性判定依据
HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer键,值为0。
备注
6.2
防病毒软件保护
安全基线项目名称
操作系统防病毒保护安全基线要求项
安全基线项说明
对Windows2003服务器主机应当安装部署服务器专版杀毒软件,并打开自动升级病毒库选项。
基线符合性判定依据
“应用日志”“系统日志”“安全日志”属性中的日志大小设置不小于“8M”,设置当达到最大的日志尺寸时,“按需要改写事件”。
备注
第6章
6.1
关闭默认共享
安全基线项目名称
操作系统默认共享安全基线要求项
安全基线项说明
非域环境中,关闭Windows硬盘默认共享,例如C$,D$。
检测操作步骤
进入“开始->运行->Regedit”,进入注册表编辑器,查看HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer;
备注
日志文件大小
安全基线项目名称
操作系统日志容量安全基线要求项
操作系统安全基线配置
操作系统安全基线配置操作系统安全基线配置1、系统基本配置1.1、设置强密码策略1.1.1、密码复杂度要求1.1.2、密码长度要求1.1.3、密码历史记录限制1.2、禁用默认账户1.3、禁用不必要的服务1.4、安装最新的操作系统补丁1.5、配置防火墙1.6、启用日志记录功能1.7、安装安全审计工具2、访问控制2.1、确定用户账户和组织结构2.2、分配最小特权原则2.3、管理账户权限2.3.1、内置管理员账户2.3.2、各类用户账户2.4、用户认证和授权2.4.1、双因素身份验证2.4.2、权限管理2.5、用户追踪和监管2.5.1、记录登录和注销信息2.5.2、监控用户活动3、文件和目录权限管理3.1、配置文件和目录的ACL3.2、禁止匿名访问3.3、确保敏感数据的安全性3.4、审计文件和目录访问权限4、网络安全设置4.1、配置安全网络连接4.1.1、使用SSL/TLS加密连接4.1.2、配置安全的网络协议 4.2、网络隔离设置4.2.1、网络分段4.2.2、VLAN设置4.3、防御DDoS攻击4.4、加密网络通信4.5、网络入侵检测和预防5、应用程序安全配置5.1、安装可靠的应用程序5.2、更新应用程序到最新版本 5.3、配置应用程序的访问权限 5.4、定期备份应用程序数据5.5、应用程序安全策略6、数据保护与恢复6.1、定期备份数据6.2、加密敏感数据6.3、完整性保护6.4、数据恢复7、安全审计与监控7.1、审计日志管理7.1.1、配置日志记录7.1.2、日志监控和分析7.2、安全事件响应7.2.1、定义安全事件7.2.2、响应安全事件7.2.3、安全事件报告8、物理安全8.1、服务器和设备安全8.1.1、物理访问控制8.1.2、设备保护措施8.2、网络设备安全8.2.1、路由器和交换机的安全配置 8.2.2、网络设备的物理保护8.3、数据中心安全8.3.1、安全区域划分8.3.2、访问控制措施附件:无法律名词及注释:1、双因素身份验证:双因素身份验证是指通过两个或多个不同的身份验证要素来确认用户身份的一种安全措施。
windows基线检查项目的范围和内容
windows基线检查项目的范围和内容1.引言1.1 概述概述部分的内容可以是对整篇文章主题的简要介绍和解释。
可以提及以下内容:在计算机技术的发展和广泛应用的背景下,保障计算机系统的安全性和可靠性变得尤为重要。
而在Windows操作系统中,基线检查项目作为一种常见的安全评估手段,被广泛采用。
本文将对Windows基线检查项目的范围和内容进行详细探讨。
首先,我们将介绍本文的结构和内容安排,以及各个部分的内容提要。
随后,我们将详细解释什么是Windows基线检查项目以及它的重要性,为读者提供一个全面的认识。
同时,我们还将讨论Windows基线检查项目的具体范围,包括它所涵盖的安全控制和目标。
通过本文的阅读,读者将能了解到Windows基线检查项目的定义、作用和实施的重要性,并对其范围和内容有一个清晰的认识。
随着计算机系统的安全性要求不断提高,Windows基线检查项目的重要性也越发凸显。
因此,本文还将展望Windows基线检查项目的未来发展趋势,并给出一些对其优化和改进的建议。
通过本文的研究,希望能够为读者提供一个全面了解Windows基线检查项目的视角,为计算机系统的安全性保障提供一定的指导和参考。
1.2文章结构文章结构部分的内容(1.2 文章结构)应该包括如下内容:本篇长文分为引言、正文和结论三个部分。
引言部分包括概述、文章结构和目的三个方面。
首先,我们将对Windows基线检查项目进行概述,介绍其定义、重要性和应用领域。
其次,我们将说明本篇长文的结构,明确各个章节的内容和次序。
最后,我们将明确本篇长文的目的,即通过对Windows基线检查项目的范围和内容的研究,提供相关领域的参考和指导。
正文部分包括窗口基线检查项目的定义和重要性以及窗口基线检查项目的范围两个方面。
首先,我们将详细阐述Windows基线检查项目的定义和其在计算机系统安全中的重要性。
我们将介绍该项目的基本概念、参考标准和工作原理,以及其在企业和组织中的应用情况。
各类操作系统安全基线配置及操作指南
置要求及操作指南
检查模块 支持系统版本号 Windows Windows 2000 以上 Solaris Solaris 8 以上 AIX AIX 5.X以上 HP-UNIX HP-UNIX 11i以上 Linux 内核版本 2.6 以上 Oracle Oracle 8i 以上 SQL Server Microsoft SQL Server 2000以上 MySQL MySQL 5.x以上 IIS IIS 5.x以上 Apache Apache 2.x 以上 Tomcat Tomcat 5.x 以上 WebLogic WebLogic 8.X以上
Windows 操作系统 安全配置要求及操作指南
I
目录
目
录 ..................................................................... I
前
言 .................................................................... II
4 安全配置要求 ............................................................... 2
4.1 账号 ..................................................................... 2
4.2 口令 编号: 1 要求内容 密码长度要求:最少 8 位 密码复杂度要求:至少包含以下四种类别的字符中的三种: z 英语大写字母 A, B, C, , Z z 英语小写字母 a, b, c, , z z 阿拉伯数字 0, 1, 2, , 9 z 非字母数字字符,如标点符号, @, #, $, %, &, *等
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Windows系统安全配置基线
目录
第1章概述 (1)
1.1目的 (1)
1.2适用范围 (1)
1.3适用版本 (1)
第2章安装前准备工作 (1)
2.1需准备的光盘 (1)
第3章操作系统的基本安装 (1)
3.1基本安装 (1)
第4章账号管理、认证授权 (2)
4.1账号 (2)
4.1.1管理缺省账户 (2)
4.1.2删除无用账户 (2)
4.1.3用户权限分离 (3)
4.2口令 (3)
4.2.1密码复杂度 (3)
4.2.2密码最长生存期 (4)
4.2.3密码历史 (4)
4.2.4帐户锁定策略 (5)
4.3授权 (5)
4.3.1远程关机 (5)
4.3.2本地关机 (6)
4.3.3隐藏上次登录名 (6)
4.3.4关机清理内存页面 (7)
4.3.5用户权利指派 (7)
第5章日志配置操作 (8)
5.1日志配置 (8)
5.1.1审核登录 (8)
5.1.2审核策略更改 (8)
5.1.3审核对象访问 (8)
5.1.4审核事件目录服务器访问 (9)
5.1.5审核特权使用 (9)
5.1.6审核系统事件 (10)
5.1.7审核账户管理 (10)
5.1.8审核过程追踪 (10)
5.1.9日志文件大小 (11)
第6章其他配置操作 (11)
6.1共享文件夹及访问权限 (11)
6.1.1关闭默认共享 (11)
6.2防病毒管理 (12)
6.2.1防病毒软件保护 (12)
6.3W INDOWS服务 (12)
6.3.1 系统服务管理 (12)
6.4访问控制 (13)
6.4.1 限制Radmin管理地址 (13)
6.5启动项 (13)
6.4.1关闭Windows自动播放功能 (13)
6.4.3配置屏保功能 (14)
6.4.4补丁更新 (14)
持续改进 (15)
最短密码长度12个字符,启用本机组策略中密码必须符合复杂性要求的策略。
即密码需要包含以下四种类别的字符:
英语大写字母A, B, C, … Z
英语小写字母a, b, c, … z
西方阿拉伯数字0, 1, 2, (9)
非字母数字字符,如标点符号,@, #, $, %, &, *等。