Windows操作系统安全配置要求及操作指南

Windows 操作系统

安全配置要求及操作指南

1 范围

适用于中国电信使用 Windows 操作系统的设备。在未特别说明的情况下，均适用于所有运行的 Windows 操作系统，包括 Windows 2000、Windows XP、Windows2003,Windows7 , Windows 2008 以及各版本中的 Sever、Professional 版本。

本规范明确了 Windows 操作系统在安全配置方面的基本要求，适用于所有的安全等级，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。

由于版本不同，配置操作有所不同，本规范以 Windows 2003 为例，给出参考配置操作。

2 缩略语

UDP	User Datagram Protocol	用户数据包协议
TCP	Transmission Control Protocol	传输控制协议
NTFS	New Technology File System	新技术文件系统

3 安全配置要求

账号

编号：1

要求内容

应按照不同的用户分配不同的账号，避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。

操作指南

1、参考配置操作

进入"控制面板->管理工具->计算机管理"，在"系统工具->本地用户和组"：

根据系统的要求，设定不同的账户和账户组。

检测方法

判定条件

结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的账户和账户组

检测操作

进入"控制面板->管理工具->计算机管理"，在"系统工具->本地用户和组"：

查看根据系统的要求，设定不同的账户和账户组

编号：2

要求内容	应删除与运行、维护等工作无关的账号。
操作指南	1．参考配置操作 A）可使用用户管理工具：开始–运行-compmgmt.msc-本地用户和组–用户 B）也可以通过 net 命令：删除账号： net user account/de1 停用账号：net user account/active:no
检测方法	1.判定条件结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的账号。
	注：无关的账号主要指测试帐户、共享帐号、长期不用账号（半年以上不用）等 2.检测操作开始–运行-compmgmt.msc-本地用户和组–用户

编号：3

要求内容

重命名 Administrator；禁用 guest（来宾）帐号。

操作指南

1、参考配置操作

进入"控制面板->管理工具->计算机管理"，在"系统工具->本地用户和组"：

Administrator－>属性－> 更改名称

Guest 帐号->属性－> 已停用

检测方法

判定条件

缺省账户 Administrator 名称已更改。

Guest 帐号已停用。

检测操作

进入"控制面板->管理工具->计算机管理"，在"系统工具->本地用户和组"：缺省帐户－>属性－> 更改名称

Guest 帐号->属性－> 已停用

口令

编号：1

要求内容

密码长度要求：最少 8 位密码复杂度要求：至少包含以下四种类别的字符中的三种：


英语大写字母 A, B, C, … Z 
英语小写字母 a, b, c, … z 
阿拉伯数字 0, 1, 2, … 9 
非字母数字字符，如标点符号，@, #, $, %, &, *等

操作指南

1、参考配置操作

进入"控制面板->管理工具->本地安全策略"，在"帐户策略->密码策略"：

"密码必须符合复杂性要求"选择"已启动"

检测方法

判定条件

"密码必须符合复杂性要求"选择"已启动"

检测操作

进入"控制面板->管理工具->本地安全策略"，在"帐户策略->密码策略"：

查看是否"密码必须符合复杂性要求"选择"已启动"

编号：2

要求内容

对于采用静态口令认证技术的设备，账户口令的生存期不长于 90 天。

操作指南

1、参考配置操作

进入"控制面板->管理工具->本地安全策略"，在"帐户策略->密码策略"：

"密码最长存留期"设置为"90 天"

检测方法

判定条件

"密码最长存留期"设置为"90 天"

检测操作

进入"控制面板->管理工具->本地安全策略"，在"帐户策略->密码策略"：

查看是否"密码最长存留期"设置为"90 天"

编号：3

要求内容	对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近 5 次（含 5 次）内已使用的口令。
操作指南	1、参考配置操作
	进入"控制面板->管理工具->本地安全策略"，在"帐户策略->密码策略"： "强制密码历史"设置为"记住 5 个密码"
检测方法	判定条件 "强制密码历史"设置为"记住 5 个密码" 检测操作进入"控制面板->管理工具->本地安全策略"，在"帐户策略->密码策略"：查看是否"强制密码历史"设置为"记住 5 个密码"

编号：4

要求内容

对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过 6 次（不含 6 次），锁定该用户使用的账号。

操作指南

1、参考配置操作

进入"控制面板->管理工具->本地安全策略"，在"帐户策略->帐户锁定策略"：

"账户锁定阀值"设置为 6 次

设置解锁阀值：30 分钟

检测方法

判定条件

"账户锁定阀值"设置为小于或等于 6 次

检测操作

进入"控制面板->管理工具->本地安全策略"，在"帐户策略->帐户锁定策略"：

查看是否"账户锁定阀值"设置为小于等于 6 次补充说明：

设置不当可能导致账号大面积锁定，在域环境中应小心设置，

Administrator 账号本身不会被锁定。

授权

编号：1

要求内容

本地、远端系统强制关机只指派给 Administrators 组。

操作指南

1、参考配置操作

进入"控制面板->管理工具->本地安全策略"，在"本地策略->用户权利指派":

"关闭系统"设置为"只指派给 Administrators 组"

"从远端系统强制关机"设置为"只指派给 Administrators 组"

检测方法

判定条件

"关闭系统"设置为"只指派给 Administrators 组"

"从远端系统强制关机"设置为"只指派给 Administrtors 组"
检测操作进入"控制面板->管理工具->本地安全策略"，在"本地策略->用户权利指派":

查看"关闭系统"设置为"只指派给 Administrators 组"

查看是否"从远端系统强制关机"设置为"只指派给

Administrators 组"

编号：2

要求内容	在本地安全设置中取得文件或其它对象的所有权仅指派给 Administrators。
操作指南	1、参考配置操作进入"控制面板->管理工具->本地安全策略"，在"本地策略->用户权利指派"： "取得文件或其它对象的所有权"设置为"只指派给 Administrators 组"
检测方法	判定条件 "取得文件或其它对象的所有权"设置为"只指派给 Administrators 组" 检测操作进入"控制面板->管理工具->本地安全策略"，在"本地策略->用
	户权利指派"：查看是否"取得文件或其它对象的所有权"设置为"只指派给 Administrators 组"

编号：3

要求内容

在本地安全设置中只允许授权帐号本地、远程访问登陆此计算机。

操作指南

1、参考配置操作

进入"控制面板->管理工具->本地安全策略"，在"本地策略->用户权利指派"

"从本地登陆此计算机"设置为"指定授权用户"

"从网络访问此计算机"设置为"指定授权用户"

检测方法

判定条件

"从本地登陆此计算机"设置为"指定授权用户"

"从网络访问此计算机"设置为"指定授权用户"
检测操作进入"控制面板->管理工具->本地安全策略"，在"本地策略->用户权利指派" 查看是否"从本地登陆此计算机"设置为"指定授权用户" 查看是否"从网络访问此计算机"设置为"指定授权用户"

补丁

编号：1

要求内容	在不影响业务的情况下，应安装最新的 Service Pack 补丁集。对服务器系统应先进行兼容性测试。
操作指南	1、参考配置操作安装最新的 Service Pack 补丁集。例如截止到 2010 年最新版本：Windows XP 的 Service Pack 为 SP3。 Windows2000 的 Service Pack 为 SP4,Windows 2003 的 Service Pack 为 SP2
检测方法	1、判定条件
	2、检测操作进入控制面板->添加或删除程序->显示更新打钩，查看是否 XP 系统已安装 SP3，Win2000 系统已安装 SP4，Win2003 系统已安装 SP2。

防护软件

编号：1

要求内容

启用自带防火墙或安装第三方威胁防护软件。根据业务需要限定允许访问网络的应用程序，和允许远程登陆该设备的 IP 地址范围。

操作指南

1、参考配置操作（以启动自带防火墙为例）进入"控制面板－>网络连接－>本地连接"，在高级选项的设置中启用 Windows 防火墙。

在"例外"中配置允许业务所需的程序接入网络。

在"例外->编辑->更改范围"编辑允许接入的网络地址范围。

说明：分为服务器和操作终端两种情况：服务器该项为可选，操作终端该项为必选

检测方法

判定条件

启用 Windows 防火墙。

"例外"中允许接入网络的程序均为业务所需。

检测操作

进入"控制面板－>网络连接－>本地连接"，在高级选项的设置中，查看是否启用 Windows 防火墙。

查看是否在"例外"中配置允许业务所需的程序接入网络。

查看是否在"例外->编辑->更改范围"编辑允许接入的网络地址范围。

防病毒软件

编号：1

要求内容	安装防病毒软件，并及时更新。
操作指南	1、参考配置操作
	安装防病毒软件，并及时更新。
检测方法	判定条件已安装防病毒软件，病毒码更新时间不早于 1 个月，各系统病毒码升级时间要求参见各系统相关规定。注：对于操作终端该项为必选项，对于服务器该项为可选项检测操作控制面板->添加或删除程序，是否安装有防病毒软件。打开防病毒软件控制面板，查看病毒码更新日期。

4.7 日志安全要求

编号：1

要求内容

设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的 IP 地址。

操作指南

1、参考配置操作

开始->运行-> 执行" 控制面板->管理工具->本地安全策略->审核策略"

审核登录事件，双击，设置为成功和失败都审核。

检测方法

判定条件

审核登录事件，设置为成功和失败都审核。
检测操作开始->运行-> 执行" 控制面板->管理工具->本地安全策略->审核策略"

审核登录事件，双击，查看是否设置为成功和失败都审核。

编号：2

要求内容	开启审核策略，以便出现安全问题后进行追查
操作指南	1、参考配置操作对审核策略进行检查：
	开始–运行-gpedit.msc 计算机配置-Windows 设置–安全设置–本地策略–审核策略以下审核是必须开启的，其他的可以根据需要增加：  审核系统登陆事件成功，失败  审核帐户管理成功，失败
	 审核登陆事件	成功，失败
	 审核对象访问	成功
	 审核策略更改	成功，失败
	 审核特权使用	成功，失败
	 审核系统事件 2、补充说明可能会使日志量猛增	成功，失败
检测方法	判定条件尝试对被添加了访问审核的对象进行访问，然后查看安全日志中是否会有相关记录，或通过其他手段激化以配置的审核策略，并观察日志中的记录情况，如果存在记录条目，则配置成功。检测操作

编号：3

要求内容	设置日志容量和覆盖规则，保证日志存储
操作指南	参考配置操作开始–运行-eventvwr 右键选择日志，属性，根据实际需求设置：日志文件大小：可根据需要制定超过上限时的处理方式（建议日志记录天数不小于 90 天）补充说明建议对每个日志均进行如上操作，同时应保证磁盘空间
检测方法	1、判定条件 2、检测操作
	开始–运行-eventvwr，右键选择日志，属性，查看日志上限及超过上线时的处理方式

4.8 不必要的服务、端口编号：1

要求内容

关闭不必要的服务

操作指南

1、参考配置操作进入"控制面板->管理工具->计算机管理"，进入"服务和应用程序"：

可根据具体应用情况参考附录 A，筛选不必要的服务。

检测方法

判定条件系统管理员应出具系统所必要的服务列表。查看所有服务，不在此列表的服务需关闭。
检测操作

进入"控制面板->管理工具->计算机管理"，进入"服务和应用程序"：

查看所有服务，不在此列表的服务是否已关闭。

编号： 2

要求内容	如需启用SNMP服务，则修改默认的SNMP Community String设置。
操作指南	1、参考配置操作打开"控制面板"，打开"管理工具"中的"服务"，找到"SNMP Service"，单击右键打开"属性"面板中的"安全"选项卡，在这个配置界面中，可以修改 community strings，也就是微软所说的"团体名称"。
检测方法	判定条件 community strings 已改，不是默认的"public" 检测操作打开"控制面板"，打开"管理工具"中的"服务"，找到"SNMP
	Service"，单击右键打开"属性"面板中的"安全"选项卡，在这个配置界面中，查看 community strings，也就是微软所说的"团体名称"。

编号： 3

要求内容

如对互联网开放 WindowsTerminial 服务(Remote Desktop)，需修改

默认服务端口。

操作指南

1、参考配置操作

开始->运行 Regedt32

并转到此项:

HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp

找到"PortNumber"子项，会看到默认值 00000D3D，它是 3389

的十六进制表示形式。使用十六进制数值修改此端口号，并保存新

值。

检测方法

判定条件找到"PortNumber"子项，设定值非 00000D3D，即十进制 3389
检测操作运行 Regedt32 ,找到此项并判断。

4.9 启动项

要求内容

关闭无效启动项

操作指南

1、参考配置操作

"开始->运行->MSconfig"启动菜单中，取消不必要的启动项。

检测方法

1、判定条件 2、检测操作

系统管理员提供业务必须的自动加载进程和服务列表文档。

查看"开始->运行->MSconfig"启动菜单：
不需要的自动加载进程是否已禁用和取消。

4.10 关闭自动播放功能

编号：1

要求内容

关闭 Windows 自动播放功能

操作指南

1、参考配置操作

开始→运行→gpedit.msc，打开组策略编辑器，浏览到计算机配置

→管理模板→系统，在右边窗格中双击"关闭自动播放"，对话框中选择所有驱动器，确定即可。

检测方法

判定条件

所有驱动器均"关闭自动播放"

检测操作

"关闭自动播放"配置已启用，启用范围：所有驱动器。

4.11 共享文件夹

编号：1

要求内容	在非域环境下，关闭 Windows 硬盘默认共享，例如 C$，D$。
操作指南	1、参考配置操作进入"开始－>运行－>Regedit"，进入注册表编辑器，更改注册表键值： HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\ 下，增加 REG_DWORD 类型的 AutoShareServer 键，值为 0。
检测方法	判定条件 HKLM\System\CurrentControlSet\ Services\LanmanServer\Parameters\增加了 REG_DWORD 类型的 AutoShareServer 键，值为 0。检测操作进入"开始－>运行－>Regedit"，进入注册表编辑器，更改注册表键值：
	HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\ ，增加 REG_DWORD 类型的 AutoShareServer 键，值为 0。

编号：2

要求内容

设置共享文件夹的访问权限，只允许授权的账户拥有权限共享此文件夹。

操作指南

1、参考配置操作

进入"控制面板->管理工具->计算机管理"，进入"系统工具－>共享文件夹"：

查看每个共享文件夹的共享权限，只将权限授权于指定账户。

检测方法

判定条件

查看每个共享文件夹的共享权限仅限于业务需要，不设置成为

"everyone"。

检测操作

进入"控制面板->管理工具->计算机管理"，进入"系统工具－>共享文件夹"：

查看每个共享文件夹的共享权限。

4.12 使用 NTFS 文件系统

要求内容	在不毁坏数据的情况下，将ＦＡＴ分区改为ＮＴＦＳ格式
操作指南	1、参考配置操作将 FAT 卷转换成 NTFS 分区 CONVERT volume /FS:NTFS[/V] [/CvtArea:filename][/NoSecurity] [/X] Volume 指定驱动器号（后面加一个冒号）、装载点或卷名 /FS:NTFS 指定要被转换成 NTFS 的卷 /V 指定 CONVERT 应该用详述模式运行 /CvtArea:filename 将根目录中的一个接续文件指定为 NTFS 系统文件的占位符
	/NoSecurity 指定每个人都可以访问转换的文件和目录的安全设置 /X 如果必要，先强行卸载卷，有打开的句柄则无效例如： Covert C：/FS:NTFS 备注：新上线系统必须要求 NTFS 分区，已上线系统在不损坏数据的情况下应用在有其他非 WIN 系统访问、存在数据共享的情况下，不建议将ＦＡＴ分区改为ＮＴＦＳ格式
检测方法	1、判定条件 2、检测操作

4.13 网络访问

编号：1

要求内容

禁用匿名访问命名管道和共享

操作指南

1、参考配置操作

"控制面板->管理工具->本地安全策略"，在"本地策略->安全选项":网络访问：可匿名访问的共享设置为全部删除

"控制面板->管理工具->本地安全策略"，在"本地策略->安全选项":网络访问：可匿名访问的命名管道设置为全部删除

检测方法

判定条件

全部删除匿名访问命名管道和共享

检测操作

查看"控制面板->管理工具->本地安全策略"，在"本地策略->安全选项":网络访问：可匿名访问的共享、可匿名访问的命名管道是否设置为全部删除

编号：2

要求内容

禁用可远程访问的注册表路径和子路径

操作指南

1、参考配置操作

"控制面板->管理工具->本地安全策略"，在"本地策略->安全选项":网络访问：可远程访问的注册表路径设置为全部删除

"控制面板->管理工具->本地安全策略"，在"本地策略->安全选项":网络访问：可远程访问的注册表路径和子路径设置为全部删除

检测方法

1、判定条件

全部删除可远程访问的注册表路径和子路径

3、
检测操作

查看"控制面板->管理工具->本地安全策略"，在"本地策略->安全选项":网络访问中，查看，可远程访问的注册表路径、可远程访问的注册表路径和子路径是否设置为全部删除

4.14 会话超时设置

编号：1

要求内容

对于远程登录的账户，设置不活动所连接时间 15 分钟

操作指南

1、参考配置操作

进入"控制面板—管理工具—本地安全策略"，在"安全策略—安全选项"："Microsoft 网络服务器"设置为"在挂起会话之前所需的空闲时间"为 15 分钟

检测方法

判定条件

"Microsoft 网络服务器"设置为"在挂起会话之前所需的空闲时间"为 15 分钟

检测操作

进入"控制面板—管理工具—本地安全策略"，在"安全策略—安全选项"：查看"Microsoft 网络服务器"设置

4.15 注册表设置

编号：1

要求内容	在不影响系统稳定运行的前提下，对注册表信息进行更新。
操作指南	1、参考配置操作  自动登录： HKLM\Software\Microsoft\WindowsNT\ CurrentVersion\Winlogon\AutoAdminLogon (REG_DWORD) 0 源路由欺骗保护： HKLM\System\CurrentControlSet\ Services\Tcpip\Parameters\DisableIPSourceRouting (REG_DWORD) 2 删除匿名用户空链接 HKEY_LOCAL_MACHINE SYSTEM\Current\Control\Set\Control\Lsa 将 restrictanonymous 的值设置为 1，若该值不存在，可以自己创建，类型为 REG_DWORD 修改完成后重新启动系统生效  碎片攻击保护： HKLM\System\CurrentControlSet\
	Services\Tcpip\Parameters\EnablePMTUDiscovery (REG_DWORD) 1  Syn flood 攻击保护： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 之下，可设置： TcpMaxPortsExhausted。推荐值：5。 TcpMaxHalfOpen。推荐值数据：500。 TcpMaxHalfOpenRetried。推荐值数据：400
检测方法	1、判定条件 2、检测操作点击开始->运行，然后在打开行里输入 regedit，然后单击确定，查看相关注册表项进行查看；使用空连接扫描工具无法远程枚举用户名和用户组

附录 A：端口及服务

服务名称	端口	服务说明	关闭方法	处置建议
系统服务部分
echo	7/TCP	RFC862_回声协议	关闭"Simple TCP/IP Services"服务。	建议关闭
echo	7/UDP	RFC862_回声协议
discard	9/UDP	RFC863 废除协议
discard	9/TCP	RFC863 废除协议
daytime	13/UDP	RFC867 白天协议
daytime	13/TCP	RFC867 白天协议
qotd	17/TCP	RFC865 白天协议的引用
qotd	17/UDP	RFC865 白天协议的引用
chargen	19/TCP	RFC864 字符产生协议

chargen	19/UDP	RFC864 字符产生协议
ftp	21/TCP	文件传输协议(控制)	关闭"FTP Publishing Service" 服务。	根据情况选择开放
smtp	25/TCP	简单邮件发送协议	关闭"Simple Mail Transport Protocol" 服务。	建议关闭
nameserver	42/TCP	WINS 主机名服务	关闭"Windows Internet Name Service"服务。	建议关闭
nameserver	42/UDP	WINS 主机名服务	关闭"Windows Internet Name Service"服务。	建议关闭
domain	53/UDP	域名服务器	关闭"DNS Server" 服务。	根据情况选择开放
domain	53/TCP	域名服务器	关闭"DNS Server" 服务。	根据情况选择开放
dhcps	67/UDP	DHCP 服务器 /Internet 连接共享	关闭"Simple TCP/IP Services"服务。	建议关闭
dhcpc	68/UDP	DHCP 协议客户端	关闭"DHCP Client" 服务。	建议关闭
http	80/TCP	HTTP 万维网发布服务	关闭"World Wide Web Publishing Service"服务。	根据情况选择开放
epmap	135/TCP	RPC 服务	系统基本服务	无法关闭
epmap	135/UDP	RPC 服务	系统基本服务	无法关闭
netbios-ns	137/UDP	NetBIOS 名称解析	在网卡的 TCP/IP 选项中"WINS"页勾选" 禁用 TCP/IP 上的 NETBIOS"	根据情况选择开放
netbios-dgm	138/UDP	NetBIOS 数据报服务	在网卡的 TCP/IP 选项中"WINS"页勾选" 禁用 TCP/IP 上的 NETBIOS"	根据情况选择开放
netbios-ssn	139/TCP	NetBIOS 会话服务	系统基本服务	无法关闭
snmp	161/UDP	SNMP 服务	关闭"SNMP "服务	根据情况选择开放
https	443/TCP	安全超文本传输协议	关闭"World Wide Web Publishing Service"服务	根据情况选择开放

microsoft-ds	445/UDP	SMB 服务器	运行 regedit，打开 HKEY_LOCAL_MA CHINE\System\Cur rentControlSet\Serv ices\NetBT\Parame ters 添加名为 "SMBDeviceEnable d"的子键，类型 dword，值为 0 重新启动计算机	根据情况选择开放
microsoft-ds	445/TCP	SMB 服务器		根据情况选择开放
isakmp	500/UDP	IPSec ISAKMP 本地安全机构	关闭"IPSEC Policy Agent"服务	很少使用的服务，如不使用 ipsec，建议关闭
RADIUS	1645/UDP	旧式 RADIUS Internet 身份验证服务	关闭"Remote Access Connection Manager"服务	建议关闭
RADIUS	1646/UDP	旧式 RADIUS Internet 身份验证服务		建议关闭
radius	1812/UDP	身份验证 Internet 身份验证服务		建议关闭
radacct	1813/UDP	计帐 Internet 身份验证服务		建议关闭
MSMQ-RPC	2105/TCP	MSMQ-RPC 消息队列	关闭"Message Queuing"服务。	建议关闭
Termsrv	3389/TCP	终端服务	关闭"Terminal Services"服务。	根据情况选择开放
其他常用服务
Apache	80/TCP 8000/TCP	Apache HTTP 服务器	关闭"Apache2"服务。	根据情况选择开放
ms-sql-s	1433/TCP 1434/UDP	微软公司数据库	关闭 "MSSQLServer"服务。	根据情况选择开放
ORACLE	1521/TCP	甲骨文公司数据库	关闭 "OracleOraHome90 TNSListener"服务。	根据情况选择开放
remote administrator	4899/TCP	Famatech 公司远程控制软件	关闭"Remote Administrator Service "服务。	根据情况选择开放
sybase	5000/TCP	Sybase 公司数据库	关闭"Sybase SQLServer"字样开始的服务。	根据情况选择开放
pcAnywhere	5631/TCP 5632/UDP	Symantec 公司远程控制软件	关闭"pcAnywhere Host Service"字样开始的服务。	根据情况选择开放

补丁

防护软件

防病毒软件

Hi，您需要填写昵称和邮箱！