Microsoft Windows安全配置基线
Windows 系统安全配置基线
中国移动通信有限公司 管理信息系统部
2012年 04月
备注:
1. 若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目 录
第1章 概述 ......................................................................................................................................... 5 1.1 1.2 1.3 1.4 1.5
目的 ......................................................................................................................................... 5 适用范围 ................................................................................................................................. 5 适用版本 ................................................................................................................................. 5 实施 ......................................................................................................................................... 5 例外条款 ................................................................................................................................. 5
第2章 帐户管理、认证授权 ............................................................................................................. 6 2.1
帐户 ......................................................................................................................................... 6
2.1.1 管理缺省帐户 . ....................................................................................................................... 6 2.1.2 按照用户分配帐户* . ............................................................................................................. 6 2.1.3 删除与设备无关帐户* . ......................................................................................................... 7 2.2
口令 ......................................................................................................................................... 7 2.2.1密码复杂度 . ............................................................................................................................ 7 2.2.2密码最长留存期 . .................................................................................................................... 8 2.2.3帐户锁定策略 . ........................................................................................................................ 8 2.3
授权 ......................................................................................................................................... 8 2.3.1远程关机 . ................................................................................................................................ 8 2.3.2本地关机 . ................................................................................................................................ 9 2.3.3用户权利指派* . ...................................................................................................................... 9 2.3.4授权帐户登陆* . .................................................................................................................... 10 2.3.5授权帐户从网络访问* . ........................................................................................................ 10 第3章 日志配置操作 ....................................................................................................................... 11 3.1
日志配置 ............................................................................................................................... 11
3.1.1审核登录 . .............................................................................................................................. 11 3.1.2审核策略更改 . ...................................................................................................................... 11 3.1.3审核对象访问 . ...................................................................................................................... 11 3.1.4审核事件目录服务器访问 . .................................................................................................. 12 3.1.5审核特权使用 . ...................................................................................................................... 12 3.1.6审核系统事件 . ...................................................................................................................... 13 3.1.7审核帐户管理 . ...................................................................................................................... 13 3.1.8审核过程追踪 . ...................................................................................................................... 13 3.1.9日志文件大小 . ...................................................................................................................... 14 第4章 4.1
IP 协议安全配置 .............................................................................................................. 15 IP 协议 . .................................................................................................................................. 15
4.1.1启用SYN 攻击保护 . ............................................................................................................. 15 第5章 设备其他配置操作 ............................................................................................................... 17 5.1
共享文件夹及访问权限 ....................................................................................................... 17
5.1.1关闭默认共享 . ...................................................................................................................... 17
5.1.2共享文件夹授权访问* . ........................................................................................................ 17 5.2 5.3
防病毒管理 ........................................................................................................................... 18 W INDOWS 服务 ...................................................................................................................... 18 5.2.1数据执行保护 . ...................................................................................................................... 18 5.3.1 SNMP服务管理 ................................................................................................................... 18 5.3.2系统必须服务列表管理* . .................................................................................................... 19 5.3.3系统启动项列表管理* . ........................................................................................................ 19 5.3.4远程控制服务安全* . ............................................................................................................ 19 5.3.5 IIS安全补丁管理* ............................................................................................................... 20 5.3.6活动目录时间同步管理* . .................................................................................................... 20 5.4 5.5 5.6 5.7
启动项 ................................................................................................................................... 21 屏幕保护 ............................................................................................................................... 21 远程登录控制 ....................................................................................................................... 22 补丁管理 ............................................................................................................................... 23 5.4.1关闭Windows 自动播放功能 .............................................................................................. 21 5.5.1设置屏幕保护密码和开启时间* ......................................................................................... 21 5.6.1限制远程登陆空闲断开时间 . .............................................................................................. 22 5.7.1操作系统补丁管理* . ............................................................................................................ 23 5.7.2操作系统最新补丁管理* . .................................................................................................... 23 第6章 评审与修订 ........................................................................................................................... 24
第1章 概述
1.1 目的
本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的WINDOWS 操作系统的主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进行WINDOWS 操作系统的安全合规性检查和配置。
1.2 适用范围
本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的WINDOWS 服务器系统。
1.3 适用版本
WINDOWS 系列服务器。
1.4 实施
本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。
本标准发布之日起生效。
1.5 例外条款
欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
第2章 帐户管理、认证授权
2.1 帐户
2.1.1 管理缺省帐户
2.1.2 按照用户分配帐户*
2.1.3 删除与设备无关帐户*
2.2 口令 2.2.1密码复杂度
2.2.2密码最长留存期
2.2.3帐户锁定策略
2.3 授权 2.3.1远程关机
2.3.2本地关机
2.3.3用户权利指派*
2.3.4授权帐户登陆*
2.3.5授权帐户从网络访问*
第3章 日志配置操作
3.1 日志配置
3.1.1审核登录
3.1.2审核策略更改
3.1.3审核对象访问
3.1.4审核事件目录服务器访问
3.1.5审核特权使用
3.1.6审核系统事件
3.1.7审核帐户管理
3.1.8审核过程追踪
3.1.9日志文件大小
第4章 IP 协议安全配置
4.1 IP 协议
4.1.1启用SYN 攻击保护
第5章 设备其他配置操作
5.1 共享文件夹及访问权限
5.1.1关闭默认共享
5.1.2共享文件夹授权访问*
5.2 防病毒管理
5.2.1数据执行保护
5.3 Windows 服务
5.3.1 SNMP服务管理
5.3.2系统必须服务列表管理*
5.3.3系统启动项列表管理*
5.3.4远程控制服务安全*
5.3.5 IIS安全补丁管理*
5.3.6活动目录时间同步管理*
5.4 启动项
5.4.1关闭Windows 自动播放功能
5.5 屏幕保护
5.5.1设置屏幕保护密码和开启时间*
5.6 远程登录控制
5.6.1限制远程登陆空闲断开时间
5.7 补丁管理
5.7.1操作系统补丁管理*
5.7.2操作系统最新补丁管理*
第6章 评审与修订
本标准由中国移动通信有限公司管理信息系统部定期进行审查,根据审视结果修订标准,并颁发执行。