WINDOWS操作系统安全规范手册范本.doc

《WINDOWS操作系统安全规范手册范本.doc》由会员分享，可在线阅读，更多相关《WINDOWS操作系统安全规范手册范本.doc（17页珍藏版）》请在三一办公上搜索。

1、WINDOWS操作系统安全规手册部门：版本：密级：作者：步 骤清 单说 明账号管理、认证授权账号管理：1. 按照用户分配账号。根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户，审计用户，来宾用户等。2. 删除或锁定与设备运行、维护等与工作无关的账号。3. 对于管理员，要求更改缺省名称；禁用guest（来宾）。4. 最短密码长度 8个字符，启用本机组策略中密码必须符合复杂性要求的策略。例：DFKJo*#rDFK5. 在下一次更改密码时不存储 LAN 管理器哈希值(已启用)6. 对于采用静态口令认证技术的设备，账户口令的生存期不长于90天。7. 对于采用静态口令认证技术的设备，应配置

2、设备，使用户不能重复使用最近5次（含5次）已使用的口令。8. 对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。9. 对于远程登陆的，设置不活动断连时间15分钟。认证授权：10. 在本地安全设置中从远端系统强制关机只指派给Administrators组。11. 在本地安全设置中关闭系统仅指派给Administrators组。12. 在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。13. 在本地安全设置中配置指定授权用户允许本地登陆此计算机。14. 在组策略中只允许授权从网络访问(包括网络共享等，但不包括终端服

3、务)此计算机。日志配置操作1. 设备应配置日志功能，对用户登录进行记录，记录容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。2. 审核登录事件，双击，设置为成功和失败都审核。3. 设置应用日志文件大小至少为8192KB，设置当达到最大的日志尺寸时，按需要改写事件。IP协议安全配置操作1. 对没有自带防火墙的Windows系统，启用Windows系统的IP安全机制(IPSec)或网络连接上的TCP/IP筛选，只开放业务所需要的TCP，UDP端口和IP协议。2. 启用Windows XP和Windows 2003 自带防火墙。根据业务需要限定允许访问网络的应用

4、程序，和允许远程登陆该设备的IP地址围。3. 启用SYN攻击保护；指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阀值为5；指定处于 SYN_RCVD 状态的 TCP 连接数的阈值为500；指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值为400。共享文件夹及访问权限1. 非域环境中，关闭Windows硬盘默认共享，例如C$，D$。2. 查看每个共享文件夹的共享权限，只允许授权的账户拥有权限共享此文件夹。补丁管理1. 应安装最新的Service Pack补丁集。对服务器系统应先进行兼容性测试。2. 应安装最新的Hotfix补丁。对服务器系统应先进行兼容性测试

5、。IIS设置管理1. 禁止下载Access数据库、删除其他扩展名。2. 卸载不安全的IIS组件。3. 修改脚本错误出现的错误信息。4. 多站点设置最低权限独立IIS用户运行。5. 取消目录不必要写入权限目录。6. 禁止不需要运行脚本权限目录。应用软件配置1. 禁止安装Radmin，任何用户均可获得HASH直接登陆系统。2. 禁止安装Serv-U，任何版本均存在本地提权安全漏洞，必要时修改Serv-U运行权限，修改Serv-U默认密码3. WinRAR版本应为当前最新版本。4. SQL SERVER安装版本不得低于SQL 2000 SP4/SQL 2005 SP2。3. 禁止在SQL Serve

6、r中远程通过sa连接数据库服务器。附送，配置操作步骤，有经验的可以跳过。1.1 账号口令要求容按照用户分配账号。根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户，审计用户，来宾用户等。操作指南1、参考配置操作进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户，审计用户，来宾用户。检测方法1、 判定条件结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户，审计用户，来宾用户。2、检测操作进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：

7、查看根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户，审计用户，来宾用户。编号：安全要求-设备-WINDOWS-配置-2-可选要求容删除或锁定与设备运行、维护等与工作无关的账号。操作指南1、参考配置操作进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：删除或锁定与设备运行、维护等与工作无关的账号。检测方法1、判定条件结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的账号。2、检测操作进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：查看是否删除或锁定与设备运行、维护等与工作无关的账号。要求容对于管理员，要求更改缺省

8、名称；禁用guest（来宾）。操作指南1、参考配置操作进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：Administrator属性 更改名称Guest-属性 已停用检测方法1、判定条件缺省账户Administrator名称已更改。Guest已停用。2、检测操作进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：缺省属性 更改名称Guest-属性 已停用要求容最短密码长度 6个字符，启用本机组策略中密码必须符合复杂性要求的策略。即密码至少包含以下四种类别的字符中的三种：l 英语大写字母 A, B, C, Z l 英语小写字母 a, b, c, z l 西

9、方阿拉伯数字 0, 1, 2, 9 非字母数字字符，如标点符号，, #, $, %, &, *等操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“策略-密码策略”：“密码必须符合复杂性要求”选择“已启动”检测方法1、判定条件“密码必须符合复杂性要求”选择“已启动”2、检测操作进入“控制面板-管理工具-本地安全策略”，在“策略-密码策略”：查看是否“密码必须符合复杂性要求”选择“已启动”要求容在下一次更改密码时不存储 LAN 管理器哈希值操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-安全选项”：“网络安全: 在下一次更改密码时不存储 LAN

10、管理器哈希值”选择“已启用”选择后操作修改本地用户密码检测方法1、判定条件“网络安全: 在下一次更改密码时不存储 LAN 管理器哈希值”选择“已启用”， 要求容对于采用静态口令认证技术的设备，账户口令的生存期不长于90天。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“策略-密码策略”：“密码最长存留期”设置为“90天”检测方法1、判定条件“密码最长存留期”设置为“90天”2、检测操作进入“控制面板-管理工具-本地安全策略”，在“策略-密码策略”：查看是否“密码最长存留期”设置为“90天”要求容对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次

11、）已使用的口令。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“策略-密码策略”：“强制密码历史”设置为“记住5个密码”检测方法1、判定条件“强制密码历史”设置为“记住5个密码”2、检测操作进入“控制面板-管理工具-本地安全策略”，在“策略-密码策略”：查看是否“强制密码历史”设置为“记住5个密码”要求容对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“策略-锁定策略”：“账户锁定阀值”设置为 6次检测方法1、判定条件“账户锁定阀值”设置为小于或等于

12、 6次2、检测操作进入“控制面板-管理工具-本地安全策略”，在“策略-锁定策略”：查看是否“账户锁定阀值”设置为小于等于 6次1.1.1 授权要求容在本地安全设置中从远端系统强制关机只指派给Administrators组。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”:“从远端系统强制关机”设置为“只指派给Administrators组”检测方法1、判定条件“从远端系统强制关机”设置为“只指派给Administrtors组”2、检测操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”:查看是否“从远端系统强制关机”设置为“只

13、指派给Administrators组”要求容在本地安全设置中关闭系统仅指派给Administrators组。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”:“关闭系统”设置为“只指派给Administrators组”检测方法1、判定条件“关闭系统”设置为“只指派给Administrators组”2、检测操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”:查看“关闭系统”设置为“只指派给Administrators组”要求容在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。操作指南1、参考配置操

14、作进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”：“取得文件或其它对象的所有权”设置为“只指派给Administrators组”检测方法1、判定条件“取得文件或其它对象的所有权”设置为“只指派给Administrators组”2、检测操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”：查看是否“取得文件或其它对象的所有权”设置为“只指派给Administrators组”要求容在本地安全设置中配置指定授权用户允许本地登陆此计算机。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”“从本地登陆此计算机”设置

15、为“指定授权用户”检测方法1、判定条件“从本地登陆此计算机”设置为“指定授权用户”2、检测操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”查看是否“从本地登陆此计算机”设置为“指定授权用户”要求容在组策略中只允许授权从网络访问(包括网络共享等，但不包括终端服务)此计算机。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”“从网络访问此计算机”设置为“指定授权用户”检测方法1、判定条件“从网络访问此计算机”设置为“指定授权用户”2、检测操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”查看是否“从网络访

16、问此计算机”设置为“指定授权用户”1.2 日志配置操作要求容设备应配置日志功能，对用户登录进行记录，记录容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。操作指南1、参考配置操作开始-运行- 执行“ 控制面板-管理工具-本地安全策略-审核策略”审核登录事件，双击，设置为成功和失败都审核。检测方法1、判定条件审核登录事件，设置为成功和失败都审核。2、检测操作开始-运行- 执行“ 控制面板-管理工具-本地安全策略-审核策略”审核登录事件，双击，查看是否设置为成功和失败都审核。要求容设置应用日志文件大小至少为8192KB，设置当达到最大的日志尺寸时，按需要改写事件

17、。操作指南1、参考配置操作进入“控制面板-管理工具-事件查看器”，在“事件查看器（本地）”中：“应用日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”检测方法1、判定条件“应用日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”2、检测操作进入“控制面板-管理工具-事件查看器”，在“事件查看器（本地）”中：查看是否“应用日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”要求容设置系统日志文件大小至少为8192KB，设置当达到最大的日志尺寸时，按需要改写事

18、件。操作指南1、参考配置操作进入“控制面板-管理工具-事件查看器”，在“事件查看器（本地）”中：“系统日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”检测方法1、判定条件“系统日志”属性中的日志大小设置不小于“8192KB” , 设置当达到最大的日志尺寸时，“按需要改写事件”2、检测操作进入“控制面板-管理工具-事件查看器”，在“事件查看器（本地）”中：查看是否“系统日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”要求容设置安全日志文件大小至少为8192KB，设置当达到最大的日志尺寸时，按需要改

19、写事件。操作指南1、参考配置操作进入“控制面板-管理工具-事件查看器”，在“事件查看器（本地）”中：“安全日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”检测方法1、判定条件“安全日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”2、检测操作进入“控制面板-管理工具-事件查看器”，在“事件查看器（本地）”中：查看是否“安全日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”1.3 IP协议安全配置操作要求容对没有自带防火墙的Windows系统，启用Wi

20、ndows系统的IP安全机制(IPSec)或网络连接上的TCP/IP筛选，只开放业务所需要的TCP，UDP端口和IP协议。操作指南1、参考配置操作进入“控制面板网络连接本地连接”，进入“Internet协议（TCP/IP）属性高级TCP/IP设置”，在“选项”的属性中启用网络连接上的TCP/IP筛选，只开放业务所需要的TCP，UDP端口和IP协议。检测方法1、判定条件系统管理员出示业务所需端口列表。根据列表只开放系统与业务所需端口。2、检测操作进入“控制面板网络连接本地连接”，进入“Internet协议（TCP/IP）属性高级TCP/IP设置”，在“选项”的属性中启用网络连接上的TCP/IP筛

21、选，查看是否只开放业务所需要的TCP，UDP端口和IP协议。要求容启用Windows XP和Windows 2003 自带防火墙。根据业务需要限定允许访问网络的应用程序，和允许远程登陆该设备的IP地址围。操作指南1、参考配置操作进入“控制面板网络连接本地连接”，在高级选项的设置中启用Windows防火墙。在“例外”中配置允许业务所需的程序接入网络。在“例外-编辑-更改围”编辑允许接入的网络地址围。检测方法1、判定条件启用Windows防火墙。“例外”中允许接入网络的程序均为业务所需。2、检测操作进入“控制面板网络连接本地连接”，在高级选项的设置中，查看是否启用Windows防火墙。查看是否在“

22、例外”中配置允许业务所需的程序接入网络。查看是否在“例外-编辑-更改围”编辑允许接入的网络地址围。要求容启用SYN攻击保护；指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阀值为5；指定处于 SYN_RCVD 状态的 TCP 连接数的阈值为500；指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值为400。操作指南1、参考配置操作在“开始-运行-键入regedit”启用 SYN 攻击保护的命名值位于注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。值名称：SynAttackProtect。推荐值

23、：2。以下部分中的所有项和值均位于注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。指定必须在触发 SYN flood 保护之前超过的 TCP 连接请求阈值。值名称：TcpMaxPortsExhausted。推荐值：5。启用 SynAttackProtect 后，该值指定 SYN_RCVD 状态中的 TCP 连接阈值，超过 SynAttackProtect 时，触发 SYN flood 保护。值名称：TcpMaxHalfOpen。推荐值数据：500。启用 SynAttackProtect 后，指定至少发送了一次重传的 SYN_R

24、CVD 状态中的 TCP 连接阈值。超过 SynAttackProtect 时，触发 SYN flood 保护。值名称：TcpMaxHalfOpenRetried。推荐值数据：400。检测方法1、判定条件各注册表键值均按要求设置。2、检测操作在“开始-运行-键入regedit”启用 SYN 攻击保护的命名值位于注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。值名称：SynAttackProtect。推荐值：2。以下部分中的所有项和值均位于注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSe

25、tServices 之下。指定必须在触发 SYN flood 保护之前超过的 TCP 连接请求阈值。值名称：TcpMaxPortsExhausted。推荐值：5。启用 SynAttackProtect 后，该值指定 SYN_RCVD 状态中的 TCP 连接阈值，超过 SynAttackProtect 时，触发 SYN flood 保护。值名称：TcpMaxHalfOpen。推荐值数据：500。启用 SynAttackProtect 后，指定至少发送了一次重传的 SYN_RCVD 状态中的 TCP 连接阈值。超过 SynAttackProtect 时，触发 SYN flood 保护。值名称：Tc

26、pMaxHalfOpenRetried。推荐值数据：400。1.4 设备其他配置操作1.4.1 共享文件夹及访问权限要求容非域环境中，关闭Windows硬盘默认共享，例如C$，D$。操作指南1、参考配置操作进入“开始运行Regedit”，进入注册表编辑器，更改注册表键值：在HKLMSystemCurrentControlSet ServicesLanmanServerParameters下，增加REG_DWORD类型的AutoShareServer 键，值为 0。检测方法1、判定条件HKLMSystemCurrentControlSet ServicesLanmanServerParamete

27、rs增加了REG_DWORD类型的AutoShareServer 键，值为 0。2、检测操作进入“开始运行Regedit”，进入注册表编辑器，更改注册表键值：在HKLMSystemCurrentControlSet ServicesLanmanServerParameters下，增加REG_DWORD类型的AutoShareServer 键，值为 0。要求容查看每个共享文件夹的共享权限，只允许授权的账户拥有权限共享此文件夹。操作指南1、参考配置操作进入“控制面板-管理工具-计算机管理”，进入“系统工具共享文件夹”：查看每个共享文件夹的共享权限，只将权限授权于指定账户。检测方法1、判定条件查看每

28、个共享文件夹的共享权限仅限于业务需要，不设置成为“everyone”。2、检测操作进入“控制面板-管理工具-计算机管理”，进入“系统工具共享文件夹”：查看每个共享文件夹的共享权限。1.4.2 补丁管理要求容应安装最新的Service Pack补丁集。对服务器系统应先进行兼容性测试。操作指南1、参考配置操作安装最新的Service Pack补丁集，目前Windows XP的Service Pack为SP2。Windows2000的Service Pack为SP4,Windows 2003的Servoce Pack为SP1检测方法1、判定条件显示XP系统已安装SP2，Win2000系统已安装SP4

29、。2、检测操作控制面板-添加或删除程序-显示更新打钩，查看是否XP系统已安装SP2，Win2000系统已安装SP4。要求容应安装最新的Hotfix补丁。对服务器系统应先进行兼容性测试。操作指南1、参考配置操作安装最新的Hotfix补丁。对服务器系统应先进行兼容性测试。检测方法1、判定条件已安装最新的Hotfix补丁，并经过兼容性测试。2、检测操作控制面板-添加或删除程序-显示更新打钩，查看最近安装的Hotfix补丁是否为微软最新发布。1.4.3 IIS设置要求容禁止下载Access数据库、删除其他扩展名操作指南1、参考配置操作Internet 信息服务(IIS)管理器属性主目录配置添加可执行文

30、件：C:WINDOWStwain_32.dll扩展名：.mdb禁止其他文件可执行文件：C:WINDOWStwain_32.dll扩展名：.(改成你要禁止的文件名)删除扩展名： cdx idc cer asa检测方法1、判定条件通过IE浏览MDB文件，判断是否还能下载.MDB文件2、检测操作通过IE浏览MDB文件，判断是否还能下载.MDB文件要求容卸载不安全的IIS组件操作指南1、参考配置操作开始运行cmd回车键输入：regsvr32/u C:WINDOWSsystem32wshom.ocx 结果：成功del C:WINDOWSsystem32wshom.ocx 结果：成功regsvr32/u

31、C:WINDOWSsystem32shell32.dll 结果：成功del C:WINDOWSsystem32shell32.dll 结果：成功检测方法1、判定条件管理员查看相关文件是否还存在，ASP使用该组件判断是否还能使用。2、检测操作查找 C:WINDOWSsystem32wshom.ocx查找 C:WINDOWSsystem32shell32.dll要求容修改脚本错误出现的错误信息操作指南1、参考配置操作IIS设置主目录配置调试选择“向客户端发送下列文本错误消息”检测方法1、判定条件编写错误ASP代码，运行是否提示“处理 URL 时服务器出错。请与系统管理员联系。”1.4.4 应用软件配置要求容1)禁止安装Radmin，任何用户均可获得HASH直接登陆系统。2)禁止安装Serv-U，任何版本均存在本地提权安全漏洞，必要时修改Serv-U运行权限，修改Serv-U默认密码3)WinRAR版本应为当前最新版本。4)SQL SERVER安装版本不得低于SQL 2000 SP4/SQL 2005 SP2。