Windows 操作系统
安全配置要求及操作指南
1 范围
适用于中国电信使用 Windows 操作系统的设备。在未特别说明的情况下,均适用于所有运行的 Windows 操作系统,包括 Windows 2000、Windows XP、Windows2003,Windows7 , Windows 2008 以及各版本中的 Sever、Professional 版本。
本规范明确了 Windows 操作系统在安全配置方面的基本要求,适用于所有的安全等级,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。
由于版本不同,配置操作有所不同,本规范以 Windows 2003 为例,给出参考配置操作。
2 缩略语
UDP | User Datagram Protocol | 用户数据包协议 |
TCP | Transmission Control Protocol | 传输控制协议 |
NTFS | New Technology File System | 新技术文件系统 |
3 安全配置要求
账号
编号:1
要求内容 | 应按照不同的用户分配不同的账号,避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。 |
操作指南 | 1、参考配置操作 进入"控制面板->管理工具->计算机管理",在"系统工具->本地用户和组": 根据系统的要求,设定不同的账户和账户组。 |
检测方法 |
结合要求和实际业务情况判断符合要求,根据系统的要求,设定不同的账户和账户组
进入"控制面板->管理工具->计算机管理",在"系统工具->本地用户和组": 查看根据系统的要求,设定不同的账户和账户组 |
编号:2
要求内容 | 应删除与运行、维护等工作无关的账号。 |
操作指南 | 1.参考配置操作 开始–运行-compmgmt.msc-本地用户和组–用户 B)也可以通过 net 命令: 删除账号: net user account/de1 停用账号:net user account/active:no
|
检测方法 | 1.判定条件 结合要求和实际业务情况判断符合要求,删除或锁定与设备运行、维护等与工作无关的账号。 |
注:无关的账号主要指测试帐户、共享帐号、长期不用账号(半年以上不用)等 2.检测操作 开始–运行-compmgmt.msc-本地用户和组–用户
|
编号:3
要求内容 | 重命名 Administrator;禁用 guest(来宾)帐号。 |
操作指南 | 1、参考配置操作 进入"控制面板->管理工具->计算机管理",在"系统工具->本地用户和组": Administrator->属性-> 更改名称 Guest 帐号->属性-> 已停用 |
检测方法 |
缺省账户 Administrator 名称已更改。 Guest 帐号已停用。
进入"控制面板->管理工具->计算机管理",在"系统工具->本地用户和组":缺省帐户->属性-> 更改名称 Guest 帐号->属性-> 已停用 |
口令
编号:1
要求内容 | 密码长度要求:最少 8 位密码复杂度要求:至少包含以下四种类别的字符中的三种: |
操作指南 | 1、参考配置操作 进入"控制面板->管理工具->本地安全策略",在"帐户策略->密码策略": "密码必须符合复杂性要求"选择"已启动" |
检测方法 |
"密码必须符合复杂性要求"选择"已启动"
进入"控制面板->管理工具->本地安全策略",在"帐户策略->密码策略": 查看是否"密码必须符合复杂性要求"选择"已启动" |
编号:2
要求内容 | 对于采用静态口令认证技术的设备,账户口令的生存期不长于 90 天。 |
操作指南 | 1、参考配置操作 进入"控制面板->管理工具->本地安全策略",在"帐户策略->密码策略": "密码最长存留期"设置为"90 天" |
检测方法 |
"密码最长存留期"设置为"90 天"
进入"控制面板->管理工具->本地安全策略",在"帐户策略->密码策略": 查看是否"密码最长存留期"设置为"90 天" |
编号:3
要求内容 | 对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近 5 次(含 5 次)内已使用的口令。 |
操作指南 | 1、参考配置操作 |
进入"控制面板->管理工具->本地安全策略",在"帐户策略->密码策略": "强制密码历史"设置为"记住 5 个密码" | |
检测方法 |
"强制密码历史"设置为"记住 5 个密码"
进入"控制面板->管理工具->本地安全策略",在"帐户策略->密码策略": 查看是否"强制密码历史"设置为"记住 5 个密码" |
编号:4
要求内容 | 对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过 6 次(不含 6 次),锁定该用户使用的账号。 |
操作指南 | 1、参考配置操作 进入"控制面板->管理工具->本地安全策略",在"帐户策略->帐户锁定策略": "账户锁定阀值"设置为 6 次 设置解锁阀值:30 分钟 |
检测方法 |
"账户锁定阀值"设置为小于或等于 6 次
进入"控制面板->管理工具->本地安全策略",在"帐户策略->帐户锁定策略": 查看是否"账户锁定阀值"设置为小于等于 6 次补充说明: 设置不当可能导致账号大面积锁定,在域环境中应小心设置, Administrator 账号本身不会被锁定。 |
授权
编号:1
要求内容 | 本地、远端系统强制关机只指派给 Administrators 组。 |
操作指南 | 1、参考配置操作 进入"控制面板->管理工具->本地安全策略",在"本地策略->用户权利指派": "关闭系统"设置为"只指派给 Administrators 组" "从远端系统强制关机"设置为"只指派给 Administrators 组" |
检测方法 |
|
编号:2
要求内容 | 在本地安全设置中取得文件或其它对象的所有权仅指派给 Administrators。 |
操作指南 | 1、参考配置操作 进入"控制面板->管理工具->本地安全策略",在"本地策略->用户权利指派": "取得文件或其它对象的所有权"设置为"只指派给 Administrators 组" |
检测方法 |
|
户权利指派": 查看是否"取得文件或其它对象的所有权"设置为"只指派给 Administrators 组" |
编号:3
要求内容 | 在本地安全设置中只允许授权帐号本地、远程访问登陆此计算机。 |
操作指南 | 1、参考配置操作 进入"控制面板->管理工具->本地安全策略",在"本地策略->用户权利指派" "从本地登陆此计算机"设置为"指定授权用户" "从网络访问此计算机"设置为"指定授权用户" |
检测方法 |
|
补丁
编号:1
要求内容 | 在不影响业务的情况下,应安装最新的 Service Pack 补丁集。对服务器系统应先进行兼容性测试。 |
操作指南 | 1、参考配置操作 安装最新的 Service Pack 补丁集。 例如截止到 2010 年最新版本:Windows XP 的 Service Pack 为 SP3。 Windows2000 的 Service Pack 为 SP4,Windows 2003 的 Service Pack 为 SP2 |
检测方法 | 1、判定条件 |
2、检测操作 进入控制面板->添加或删除程序->显示更新打钩,查看是否 XP 系 统已安装 SP3,Win2000 系统已安装 SP4,Win2003 系统已安装 SP2。 |
防护软件
编号:1
要求内容 | 启用自带防火墙或安装第三方威胁防护软件。根据业务需要限定允许访问网络的应用程序,和允许远程登陆该设备的 IP 地址范围。 |
操作指南 | 1、参考配置操作(以启动自带防火墙为例)进入"控制面板->网络连接->本地连接",在高级选项的设置中启用 Windows 防火墙。 在"例外"中配置允许业务所需的程序接入网络。 在"例外->编辑->更改范围"编辑允许接入的网络地址范围。 说明:分为服务器和操作终端两种情况:服务器该项为可选,操作终端该项为必选 |
检测方法 |
启用 Windows 防火墙。 "例外"中允许接入网络的程序均为业务所需。
进入"控制面板->网络连接->本地连接",在高级选项的设置中,查看是否启用 Windows 防火墙。 查看是否在"例外"中配置允许业务所需的程序接入网络。 查看是否在"例外->编辑->更改范围"编辑允许接入的网络地址范围。 |
防病毒软件
编号:1
要求内容 | 安装防病毒软件,并及时更新。 |
操作指南 | 1、参考配置操作 |
安装防病毒软件,并及时更新。 | |
检测方法 |
|
4.7 日志安全要求
编号:1
要求内容 | 设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的 IP 地址。 |
操作指南 | 1、参考配置操作 开始->运行-> 执行" 控制面板->管理工具->本地安全策略->审核策略" 审核登录事件,双击,设置为成功和失败都审核。 |
检测方法 |
|
编号:2
要求内容 | 开启审核策略,以便出现安全问题后进行追查 | |
操作指南 | 1、参考配置操作 对审核策略进行检查: | |
开始–运行-gpedit.msc 计算机配置-Windows 设置–安全设置–本地策略–审核策略以下审核是必须开启的,其他的可以根据需要增加: | ||
| 成功,失败 | |
| 成功 | |
| 成功,失败 | |
| 成功,失败 | |
2、补充说明 可能会使日志量猛增 | 成功,失败 | |
检测方法 |
尝试对被添加了访问审核的对象进行访问,然后查看安全日志中是否会有相关记录,或通过其他手段激化以配置的审核策略,并观察 日志中的记录情况,如果存在记录条目,则配置成功。
|
编号:3
要求内容 | 设置日志容量和覆盖规则,保证日志存储 |
操作指南 |
开始–运行-eventvwr 右键选择日志,属性,根据实际需求设置:日志文件大小:可根据需要制定 超过上限时的处理方式(建议日志记录天数不小于 90 天)
建议对每个日志均进行如上操作,同时应保证磁盘空间 |
检测方法 | 1、判定条件 2、检测操作 |
开始–运行-eventvwr,右键选择日志,属性,查看日志上限及超过上线时的处理方式 |
4.8 不必要的服务、端口编号:1
要求内容 | 关闭不必要的服务 |
操作指南 | 1、参考配置操作进入"控制面板->管理工具->计算机管理",进入"服务和应用程序": 可根据具体应用情况参考附录 A,筛选不必要的服务。 |
检测方法 |
|
编号: 2
要求内容 | 如需启用SNMP服务,则修改默认的SNMP Community String设置。 |
操作指南 | 1、参考配置操作打开"控制面板",打开"管理工具"中的"服务",找到"SNMP Service",单击右键打开"属性"面板中的"安全"选项卡,在这个配置界面中,可以修改 community strings,也就是微软所说的"团体名称"。 |
检测方法 |
|
Service",单击右键打开"属性"面板中的"安全"选项卡,在这个配置界面中,查看 community strings,也就是微软所说的"团体名称"。 |
编号: 3
要求内容 | 如对互联网开放 WindowsTerminial 服务(Remote Desktop),需修改 默认服务端口。 |
操作指南 | 1、参考配置操作 开始->运行 Regedt32 并转到此项:
HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp 找到"PortNumber"子项,会看到默认值 00000D3D,它是 3389 的十六进制表示形式。使用十六进制数值修改此端口号,并保存新 值。 |
检测方法 |
|
4.9 启动项
要求内容 | 关闭无效启动项 |
操作指南 | 1、参考配置操作 "开始->运行->MSconfig"启动菜单中,取消不必要的启动项。 |
检测方法 | 1、判定条件 2、检测操作 系统管理员提供业务必须的自动加载进程和服务列表文档。 查看"开始->运行->MSconfig"启动菜单: |
4.10 关闭自动播放功能
编号:1
要求内容 | 关闭 Windows 自动播放功能 |
操作指南 | 1、参考配置操作 开始→运行→gpedit.msc,打开组策略编辑器,浏览到计算机配置 →管理模板→系统,在右边窗格中双击"关闭自动播放",对话框中选择所有驱动器,确定即可。 |
检测方法 |
所有驱动器均"关闭自动播放"
"关闭自动播放"配置已启用,启用范围:所有驱动器。 |
4.11 共享文件夹
编号:1
要求内容 | 在非域环境下,关闭 Windows 硬盘默认共享,例如 C$,D$。 |
操作指南 | 1、参考配置操作进入"开始->运行->Regedit",进入注册表编辑器,更改注册表键值: HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\ 下,增加 REG_DWORD 类型的 AutoShareServer 键,值为 0。 |
检测方法 |
|
HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\ ,增加 REG_DWORD 类型的 AutoShareServer 键,值为 0。 |
编号:2
要求内容 | 设置共享文件夹的访问权限,只允许授权的账户拥有权限共享此文件夹。 |
操作指南 | 1、参考配置操作 进入"控制面板->管理工具->计算机管理",进入"系统工具->共享文件夹": 查看每个共享文件夹的共享权限,只将权限授权于指定账户。 |
检测方法 |
查看每个共享文件夹的共享权限仅限于业务需要,不设置成为 "everyone"。
进入"控制面板->管理工具->计算机管理",进入"系统工具->共享文件夹": 查看每个共享文件夹的共享权限。 |
4.12 使用 NTFS 文件系统
要求内容 | 在不毁坏数据的情况下,将FAT分区改为NTFS格式 |
操作指南 | 1、参考配置操作将 FAT 卷转换成 NTFS 分区 CONVERT volume /FS:NTFS[/V] [/CvtArea:filename][/NoSecurity] [/X] Volume 指定驱动器号(后面加一个冒号)、装载点或卷名 /FS:NTFS 指定要被转换成 NTFS 的卷 /V 指定 CONVERT 应该用详述模式运行 /CvtArea:filename 将根目录中的一个接续文件指定为 NTFS 系统文件的占位符 |
/NoSecurity 指定每个人都可以访问转换的文件和目录的安全设置 /X 如果必要,先强行卸载卷,有打开的句柄则无效例如: Covert C:/FS:NTFS 备注:
| |
检测方法 | 1、判定条件 2、检测操作
|
4.13 网络访问
编号:1
要求内容 | 禁用匿名访问命名管道和共享 |
操作指南 | 1、参考配置操作 "控制面板->管理工具->本地安全策略",在"本地策略->安全选项":网络访问:可匿名访问的共享设置为全部删除 "控制面板->管理工具->本地安全策略",在"本地策略->安全选项":网络访问:可匿名访问的命名管道 设置为全部删除 |
检测方法 |
全部删除匿名访问命名管道和共享
查看"控制面板->管理工具->本地安全策略",在"本地策略->安全选项":网络访问:可匿名访问的共享、可匿名访问的命名管道是否设置为全部删除 |
编号:2
要求内容 | 禁用可远程访问的注册表路径和子路径 |
操作指南 | 1、参考配置操作 "控制面板->管理工具->本地安全策略",在"本地策略->安全选项":网络访问:可远程访问的注册表路径 设置为全部删除 "控制面板->管理工具->本地安全策略",在"本地策略->安全选项":网络访问:可远程访问的注册表路径和子路径 设置为全部删除 |
检测方法 | 1、判定条件 全部删除可远程访问的注册表路径和子路径 3、 查看"控制面板->管理工具->本地安全策略",在"本地策略->安全选项":网络访问中,查看,可远程访问的注册表路径、可远程访问的注册表路径和子路径是否设置为全部删除 |
4.14 会话超时设置
编号:1
要求内容 | 对于远程登录的账户,设置不活动所连接时间 15 分钟 |
操作指南 | 1、参考配置操作 进入"控制面板—管理工具—本地安全策略",在"安全策略—安全选项":"Microsoft 网络服务器"设置为"在挂起会话之前所需的空闲时间"为 15 分钟 |
检测方法 |
"Microsoft 网络服务器"设置为"在挂起会话之前所需的空闲时间"为 15 分钟
进入"控制面板—管理工具—本地安全策略",在"安全策略—安全选项":查看"Microsoft 网络服务器"设置 |
4.15 注册表设置
编号:1
要求内容 | 在不影响系统稳定运行的前提下,对注册表信息进行更新。 |
操作指南 | 1、参考配置操作 HKLM\Software\Microsoft\WindowsNT\ CurrentVersion\Winlogon\AutoAdminLogon (REG_DWORD) 0
将 restrictanonymous 的值设置为 1,若该值不存在,可以自己创建,类型为 REG_DWORD 修改完成后重新启动系统生效 HKLM\System\CurrentControlSet\ |
Services\Tcpip\Parameters\EnablePMTUDiscovery (REG_DWORD) 1 Syn flood 攻击保护: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 之下,可设置: TcpMaxPortsExhausted。推荐值:5。 TcpMaxHalfOpen。推荐值数据:500。 TcpMaxHalfOpenRetried。推荐值数据:400 | |
检测方法 | 1、判定条件 2、检测操作点击开始->运行,然后在打开行里输入 regedit,然后单击确定,查看相 关注册表项进行查看; 使用空连接扫描工具无法远程枚举用户名和用户组 |
附录 A:端口及服务
服务名称 | 端口 | 服务说明 | 关闭方法 | 处置建议 |
系统服务部分 | ||||
echo | 7/TCP | RFC862_回声协议 | 关闭"Simple TCP/IP Services"服务。 | 建议关闭 |
echo | 7/UDP | RFC862_回声协议 | ||
discard | 9/UDP | RFC863 废除协议 | ||
discard | 9/TCP | RFC863 废除协议 | ||
daytime | 13/UDP | RFC867 白天协议 | ||
daytime | 13/TCP | RFC867 白天协议 | ||
qotd | 17/TCP | RFC865 白天协议的引用 | ||
qotd | 17/UDP | RFC865 白天协议的引用 | ||
chargen | 19/TCP | RFC864 字符产生协议 |
chargen | 19/UDP | RFC864 字符产生协议 | ||
ftp | 21/TCP | 文件传输协议(控制) | 关闭"FTP Publishing Service" 服务。 | 根据情况选择开放 |
smtp | 25/TCP | 简单邮件发送协议 | 关闭"Simple Mail Transport Protocol" 服务。 | 建议关闭 |
nameserver | 42/TCP | WINS 主机名服务 | 关闭"Windows Internet Name Service"服务。 | 建议关闭 |
42/UDP | ||||
domain | 53/UDP | 域名服务器 | 关闭"DNS Server" 服务。 | 根据情况选择开放 |
53/TCP | 根据情况选择开放 | |||
dhcps | 67/UDP | DHCP 服务器 /Internet 连接共享 | 关闭"Simple TCP/IP Services"服务。 | 建议关闭 |
dhcpc | 68/UDP | DHCP 协议客户端 | 关闭"DHCP Client" 服务。 | 建议关闭 |
http | 80/TCP | HTTP 万维网发布服务 | 关闭"World Wide Web Publishing Service"服务。 | 根据情况选择开放 |
epmap | 135/TCP | RPC 服务 | 系统基本服务 | 无法关闭 |
135/UDP | 无法关闭 | |||
netbios-ns | 137/UDP | NetBIOS 名称解析 | 在网卡的 TCP/IP 选项中"WINS"页勾选" 禁用 TCP/IP 上的 NETBIOS" | 根据情况选择开放 |
netbios-dgm | 138/UDP | NetBIOS 数据报服务 | 根据情况选择开放 | |
netbios-ssn | 139/TCP | NetBIOS 会话服务 | 系统基本服务 | 无法关闭 |
snmp | 161/UDP | SNMP 服务 | 关闭"SNMP "服务 | 根据情况选择开放 |
https | 443/TCP | 安全超文本传输协议 | 关闭"World Wide Web Publishing Service"服务 | 根据情况选择开放 |
microsoft-ds | 445/UDP | SMB 服务器 | 运行 regedit,打开 HKEY_LOCAL_MA CHINE\System\Cur rentControlSet\Serv ices\NetBT\Parame ters 添加名为 "SMBDeviceEnable d"的子键,类型 dword,值为 0 重新启动计算机 | 根据情况选择开放 |
445/TCP | ||||
isakmp | 500/UDP | IPSec ISAKMP 本地 安全机构 | 关闭"IPSEC Policy Agent"服务 | 很少使用的服务,如不使用 ipsec,建议关闭 |
RADIUS | 1645/UDP | 旧式 RADIUS Internet 身份验证服务 | 关闭"Remote Access Connection Manager"服务 | 建议关闭 |
RADIUS | 1646/UDP | 旧式 RADIUS Internet 身份验证服务 | 建议关闭 | |
radius | 1812/UDP | 身份验证 Internet 身 份验证服务 | 建议关闭 | |
radacct | 1813/UDP | 计帐 Internet 身份验证服务 | 建议关闭 | |
MSMQ-RPC | 2105/TCP | MSMQ-RPC 消息队列 | 关闭"Message Queuing"服务。 | 建议关闭 |
Termsrv | 3389/TCP | 终端服务 | 关闭"Terminal Services"服务。 | 根据情况选择开放 |
其他常用服务 | ||||
Apache | 80/TCP 8000/TCP | Apache HTTP 服务器 | 关闭"Apache2"服务。 | 根据情况选择开放 |
ms-sql-s | 1433/TCP 1434/UDP | 微软公司数据库 | 关闭 "MSSQLServer"服务。 | 根据情况选择开放 |
ORACLE | 1521/TCP | 甲骨文公司数据库 | 关闭 "OracleOraHome90 TNSListener"服务。 | 根据情况选择开放 |
remote administrator | 4899/TCP | Famatech 公司远程控制软件 | 关闭"Remote Administrator Service "服务。 | 根据情况选择开放 |
sybase | 5000/TCP | Sybase 公司数据库 | 关闭"Sybase SQLServer"字样开始的服务。 | 根据情况选择开放 |
pcAnywhere | 5631/TCP 5632/UDP | Symantec 公司远程控制软件 | 关闭"pcAnywhere Host Service"字样开始的服务。 | 根据情况选择开放 |