Windows 安全配置规范

Windows 安全配置规范

2010年11月

第1章概述

1.1适用范围

本规范明确了Windows操作系统在安全配置方面的基本要求，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。

适用于中国电信所有运行的Windows操作系统，包括Windows 2000、Windows XP、Windows2003, Windows7 , Windows 2008以及各版本中的Sever、Professional版本。

第2章安全配置要求

2.1账号

编号：1

要求内容应按照不同的用户分配不同的账号，避免不

同用户间共享账号，避免用户账号和设备间

通信使用的账号共享。

操作指南1、参考配置操作

进入“控制面板->管理工具->计算机管理”，

在“系统工具->本地用户和组”：

根据系统的要求，设定不同的账户和账户

组。

检测方法1、判定条件

结合要求和实际业务情况判断符合要求，根

据系统的要求，设定不同的账户和账户组

2、检测操作

进入“控制面板->管理工具->计算机管理”，

在“系统工具->本地用户和组”：

查看根据系统的要求，设定不同的账户和账

户组

编号：2

要求内容应删除与运行、维护等工作无关的账号。

操作指南1．参考配置操作

A）可使用用户管理工具：

开始-运行-compmgmt.msc-本地用户和组-用户B）也可以通过net命令：

删除账号： net user account/de1

停用账号：net user account/active:no

检测方法1.判定条件

结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的账号。注：主要指测试帐户、共享帐号、已经不用账号等

2.检测操作

开始-运行-compmgmt.msc-本地用户和组-用户

编号：3

要求内容重命名Administrator；禁用guest（来宾）

帐号。

操作指南1、参考配置操作

进入“控制面板->管理工具->计算机管理”，

在“系统工具->本地用户和组”：

Administrator－>属性－> 更改名称

Guest帐号->属性－> 已停用

检测方法1、判定条件

缺省账户Administrator名称已更改。

Guest帐号已停用。

2、检测操作

进入“控制面板->管理工具->计算机管理”，

在“系统工具->本地用户和组”：

缺省帐户－>属性－> 更改名称

Guest帐号->属性－> 已停用

2.2口令

编号：1

要求内容密码长度要求：最少8位

密码复杂度要求：至少包含以下四种类别的

字符中的三种：

●英语大写字母 A, B, C, … Z

●英语小写字母 a, b, c, … z

●阿拉伯数字 0, 1, 2, (9)

●非字母数字字符，如标点符号，@, #,

$, %, &, *等

操作指南1、参考配置操作

进入“控制面板->管理工具->本地安全策

略”，在“帐户策略->密码策略”：

“密码必须符合复杂性要求”选择“已启动”

检测方法1、判定条件

“密码必须符合复杂性要求”选择“已启动”

2、检测操作

进入“控制面板->管理工具->本地安全策

略”，在“帐户策略->密码策略”：

查看是否“密码必须符合复杂性要求”选择

“已启动”

编号：2

要求内容对于采用静态口令认证技术的设备，账户口

令的生存期不长于90天。

操作指南1、参考配置操作

进入“控制面板->管理工具->本地安全策

略”，在“帐户策略->密码策略”：

“密码最长存留期”设置为“90天”

检测方法1、判定条件

“密码最长存留期”设置为“90天”

2、检测操作

进入“控制面板->管理工具->本地安全策

略”，在“帐户策略->密码策略”：

查看是否“密码最长存留期”设置为“90

天”

编号：3

要求内容对于采用静态口令认证技术的设备，应配置

设备，使用户不能重复使用最近5次（含5

次）内已使用的口令。

操作指南1、参考配置操作

进入“控制面板->管理工具->本地安全策

略”，在“帐户策略->密码策略”：

“强制密码历史”设置为“记住5个密码”

检测方法1、判定条件

“强制密码历史”设置为“记住5个密码”

2、检测操作

进入“控制面板->管理工具->本地安全策

略”，在“帐户策略->密码策略”：

查看是否“强制密码历史”设置为“记住5

个密码”

编号：4

要求内容对于采用静态口令认证技术的设备，应配置

当用户连续认证失败次数超过6次（不含6

次），锁定该用户使用的账号。

操作指南1、参考配置操作

进入“控制面板->管理工具->本地安全策

略”，在“帐户策略->帐户锁定策略”：

“账户锁定阀值”设置为 6次

检测方法1、判定条件

“账户锁定阀值”设置为小于或等于 6次

2、检测操作

进入“控制面板->管理工具->本地安全策

略”，在“帐户策略->帐户锁定策略”：

查看是否“账户锁定阀值”设置为小于等于

6次

补充说明：

设置不当可能导致账号大面积锁定，在域环

境中应小心设置，Administrator 账号本身

不会被锁定。

2.3授权

编号：1

要求内容本地、远端系统强制关机只指派给

Administrators组。

操作指南1、参考配置操作

进入“控制面板->管理工具->本地安全策

略”，在“本地策略->用户权利指派”:

“关闭系统”设置为“只指派给

Administrators组”

“从远程系统强制关机”设置为“只指派给