Windows主机操作系统加固规范V0.1.doc

...wd...Windows主机操作系统加固标准2018年12月目　录1账号管理、认证授权11.1账号11.1.1SHG-Windows-01-01-0111.1.2SHG-Windows-01-01-0221.1.3SHG-Windows-01-01-0331.2口令41.2.1SHG-Windows-01-02-0141.2.2SHG-Windows-01-02-0251.3授权61.3.1SHG-Windows-01-03-0161.3.2SHG-Windows-01-03-0271.3.3SHG-Windows-01-03-0381.3.4SHG-Windows-01-03-0491.3.5SHG-Windows-01-03-05102日志配置112.1.1SHG-Windows-02-01-01112.1.2SHG-Windows-02-01-02123通信协议143.1IP协议安全143.1.1SHG-Windows-03-01-01143.1.2SHG-Windows-03-01-02153.1.3SHG-Windows-03-01-03164设备其他安全要求184.1屏幕保护184.1.1SHG-Windows-04-01-01184.1.2SHG-Windows-04-01-02194.2共享文件夹及访问权限204.2.1SHG-Windows-04-02-01204.2.2SHG-Windows-04-02-02214.3补丁管理234.3.1SHG-Windows-04-03-01234.4防病毒管理244.4.1SHG-Windows-04-04-01244.4.2SHG-Windows-04-04-02254.5Windows服务264.5.1SHG-Windows-04-05-01264.5.2SHG-Windows-04-05-02284.6启动项294.6.1SHG-Windows-04-06-01294.6.2SHG-Windows-04-06-0230本文档是Windows操作系统的对于Win系统的设备账号认证、日志、协议、补丁升级、文件系统管理等方面的安全配置要求，共26项。

对系统的安全配置审计、加固操作起到指导性作用1 账号管理、认证授权1.1 账号1.1.1 SHG-Windows-01-01-01编号SHG-Windows-01-01-01名称按照用户类型分配账号实施目的根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户，审计用户，来宾用户等问题影响账号混淆，权限不明确，存在用户越权使用的可能系统当前状态进入“控制面板->管理工具->计算机管理〞，在“系统工具->本地用户和组〞：记录当前用户状态实施步骤参考配置操作：进入“控制面板->管理工具->计算机管理〞，在“系统工具->本地用户和组〞结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户，审计用户，来宾用户回退方案删除新增加的用户，复原用户权限到初始设置局部操作可能无法回退判断依据进入“控制面板->管理工具->计算机管理〞，在“系统工具->本地用户和组〞：查看账户和账户组，管理员用户，数据库用户，审计用户，来宾用户等根据系统的要求和实际业务情况判断是否符合要求实施风险高重要等级★★★备注1.1.2 SHG-Windows-01-01-02编号SHG-Windows-01-01-02名称系统无效帐户清理实施目的删除或锁定与设备运行、维护等与工作无关的账号，提高系统帐户安全。

问题影响如果不清理无效帐户，则系统将面临默认账号被非法利用的风险系统当前状态进入“控制面板->管理工具->计算机管理〞，在“系统工具->本地用户和组〞：记录当前用户状态，备份系统SAM文件实施步骤参考配置操作：进入“控制面板->管理工具->计算机管理〞，在“系统工具->本地用户和组〞删除或锁定与设备运行、维护等与工作无关的账号回退方案增加被删除的用户，激活被锁定的用户，复原用户权限到初始设置局部操作可能无法回退判断依据进入“控制面板->管理工具->计算机管理〞，在“系统工具->本地用户和组〞：查看是否删除或锁定与设备运行、维护等与工作无关的账号根据系统的要求和实际业务情况判断是否符合要求实施风险高重要等级★★★备注1.1.3 SHG-Windows-01-01-03编号SHG-Windows-01-01-03名称重命名Administrator，禁用GUEST实施目的对于管理员帐号，要求更改缺省帐户名称；禁用guest〔来宾〕帐号提高系统安全性问题影响管理员帐号容易被猜解；Guest账号容易被非法利用系统当前状态进入“控制面板->管理工具->计算机管理〞，在“系统工具->本地用户和组〞。

记录当前用户状态实施步骤参考配置操作：进入“控制面板->管理工具->计算机管理〞，在“系统工具->本地用户和组〞Administrator－>属性－> 更改名称Guest帐号->属性－> 已停用回退方案重命名用户名称，复原用户属性设置判断依据进入“控制面板->管理工具->计算机管理〞，在“系统工具->本地用户和组〞：查看管理员账号Administrator名称是否修改，Guest账号是否禁用实施风险低重要等级★备注1.2 口令1.2.1 SHG-Windows-01-02-01编号SHG-Windows-01-02-01名称配置密码策略实施目的设置密码策略，减少密码安全风险；防止系统弱口令的存在，减少安全隐患对于采用静态口令认证技术的设备，口令长度至少6位，且密码规则至少应采用字母〔大小写穿插〕加数字加标点符号〔包括通配符〕的方式问题影响增加系统密码被暴力破解的成功率系统当前状态进入“控制面板->管理工具->本地安全策略〞，在“帐户策略->密码策略〞：记录当前密码策略情况实施步骤参考配置操作：进入“控制面板->管理工具->本地安全策略〞，在“帐户策略->密码策略〞密码必须符合复杂性要求〞选择“已启动〞设置如下策略策略默认设置推荐最低设置强制执行密码历史记录记住 1 个密码记住5个密码密码最长期限42 天90 天密码最短期限0 天2 天最短密码长度0 个字符8 个字符密码必须符合复杂性要求禁用启用为域中所有用户使用可复原的加密来储存密码禁用禁用回退方案复原密码策略到加固之前配置判断依据进入“控制面板->管理工具->本地安全策略〞，在“帐户策略->密码策略〞：查看“密码必须符合复杂性要求〞 是否选择“已启动〞。

实施风险低重要等级★★★备注1.2.2 SHG-Windows-01-02-02编号SHG-Windows-01-02-02名称配置账户锁定策略实施目的设置有效的账户锁定策略有助于防止攻击者猜出系统账户的密码问题影响增加系统密码被暴力破解的成功率系统当前状态进入“控制面板->管理工具->本地安全策略〞，在“帐户策略->账户锁定策略〞：记录当前账户锁定策略情况实施步骤参考配置操作：进入“控制面板->管理工具->本地安全策略〞，在“帐户策略->账户锁定策略〞设置如下策略：策略默认设置推荐最低设置账户锁定时间未定义30 分钟账户锁定阈值06 次无效登录复位账户锁定计数器未定义30 分钟回退方案复原账户锁定策略到加固之前配置判断依据进入“控制面板->管理工具->本地安全策略〞，在“帐户策略->账户锁定策略〞：查看安全策略是否设置为已启动和按要求配置实施风险低重要等级★★★备注1.3 授权1.3.1 SHG-Windows-01-03-01编号SHG-Windows-01-03-01名称远端系统强制关机设置实施目的防止远程用户非法关机，在本地安全设置中从远端系统强制关机只指派给Administrators组问题影响增加系统被管理员以外的用户非法关闭的风险系统当前状态进入“控制面板->管理工具->本地安全策略〞，在“本地策略->用户权利指派〞:查看并记录“从远端系统强制关机〞的当前设置。

实施步骤参考配置操作：进入“控制面板->管理工具->本地安全策略〞，在“本地策略->用户权利指派〞从远端系统强制关机〞设置为“只指派给Administrators组〞回退方案复原“从远端系统强制关机〞的设置到加固之前配置判断依据进入“控制面板->管理工具->本地安全策略〞，在“本地策略->用户权利指派〞:查看“从远端系统强制关机〞是否设置为“只指派给Administrators组〞实施风险低重要等级★★★备注1.3.2 SHG-Windows-01-03-02编号SHG-Windows-01-03-02名称关闭系统设置实施目的防止管理员以外的用户非法关机，在本地安全设置中关闭系统仅指派给Administrators组问题影响增加系统被管理员以外的用户非法关闭的风险系统当前状态进入“控制面板->管理工具->本地安全策略〞，在“本地策略->用户权利指派〞:查看并记录“关闭系统〞的当前设置实施步骤参考配置操作：进入“控制面板->管理工具->本地安全策略〞，在“本地策略->用户权利指派〞关闭系统〞设置为“只指派给Administrators组〞回退方案复原“关闭系统〞的设置到加固之前配置判断依据进入“控制面板->管理工具->本地安全策略〞，在“本地策略->用户权利指派〞:查看“关闭系统〞是否设置为“只指派给Administrators组〞。

实施风险低重要等级★★★备注1.3.3 SHG-Windows-01-03-03编号SHG-Windows-01-03-03名称“取得文件或其它对象的所有权〞设置实施目的防止用户非法获取文件，在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators问题影响增加系统除管理员以外的用户非法获取文件的风险系统当前状态进入“控制面板->管理工具->本地安全策略〞，在“本地策略->用户权利指派〞:查看并记录“取得文件或其它对象的所有权〞的当前设置实施步骤参考配置操作：进入“控制面板->管理工具->本地安全策略〞，在“本地策略->用户权利指派〞取得文件或其它对象的所有权〞设置为“只指派给Administrators组〞回退方案复原“取得文件或其它对象的所有权〞的设置到加固之前配置判断依据进入“控制面板->管理工具->本地安全策略〞，在“本地策略->用户权利指派〞：查看是否“取得文件或其它对象的所有权〞设置为“只指派给Administrators组〞实施风险低重要等。