系统安全配置技术规范—Windows
212211文档说明(一)变更信息
(二)文档审核人
目录
1.适用范围 (5)
2.帐号管理与授权 (5)
2.1【基本】删除或锁定可能无用的帐户 (5)
2.2【基本】按照用户角色分配不同权限的帐号 (5)
2.3【基本】口令策略设置不符合复杂度要求 (6)
2.4【基本】设定不能重复使用口令 (6)
2.5不使用系统默认用户名 (6)
2.6口令生存期不得长于90天 (6)
2.7设定连续认证失败次数 (7)
2.8远端系统强制关机的权限设置 (7)
2.9关闭系统的权限设置 (7)
2.10取得文件或其它对象的所有权设置 (7)
2.11将从本地登录设置为指定授权用户 (8)
2.12将从网络访问设置为指定授权用户 (8)
3.日志配置要求 (8)
3.1【基本】审核策略设置中成功失败都要审核 (8)
3.2【基本】设置日志查看器大小 (9)
4.IP协议安全要求 (9)
4.1开启TCP/IP筛选 (9)
4.2启用防火墙 (10)
4.3启用SYN攻击保护 (10)
5.服务配置要求 (11)
5.1【基本】启用NTP服务 (11)
5.2【基本】关闭不必要的服务 (11)
5.3【基本】关闭不必要的启动项 (11)
5.4【基本】关闭自动播放功能 (12)
5.5【基本】审核HOST文件的可疑条目 (12)
5.6【基本】存在未知或无用的应用程序 (12)
5.7【基本】关闭默认共享 (13)
5.8【基本】非EVERYONE的授权共享 (13)
5.9【基本】SNMP C OMMUNITY S TRING设置 (13)
5.10【基本】删除可匿名访问共享 (13)
5.11关闭远程注册表 (14)
5.12对于远程登陆的帐号,设置不活动断开时间为1小时 (14)
5.13IIS服务补丁更新 (14)
6.其它配置要求 (14)
6.1【基本】安装防病毒软件 (14)
6.2【基本】配置WSUS补丁更新服务器 (15)
6.3【基本】S ERVICE P ACK补丁更新 (15)
6.4【基本】H OTFIX补丁更新 (15)
6.5设置带密码的屏幕保护 (16)
6.6交互式登录不显示上次登录用户名 (16)
1.适用范围
如无特殊说明,本规范所有配置项适用于Windows操作系统2003、2008系列版本。其中标示为“基本”字样的配置项,均为本公司对此类系统的基本安全配置要求;未标示“基本”字样的配置项,请各系统管理员视实际需求酌情遵从。
2.帐号管理与授权
2.1【基本】删除或锁定可能无用的帐户
2.2【基本】按照用户角色分配不同权限的帐号
2.3【基本】口令策略设置不符合复杂度要求
2.4【基本】设定不能重复使用口令
2.5不使用系统默认用户名
2.6口令生存期不得长于90天
2.7设定连续认证失败次数
2.8远端系统强制关机的权限设置
2.9关闭系统的权限设置
2.10取得文件或其它对象的所有权设置
2.11将从本地登录设置为指定授权用户
2.12将从网络访问设置为指定授权用户
3.日志配置要求
3.1【基本】审核策略设置中成功失败都要审核
3.2【基本】设置日志查看器大小
4.IP协议安全要求
4.1开启TCP/IP筛选
4.2启用防火墙
4.3启用SYN攻击保护
5.服务配置要求
5.1【基本】启用NTP服务
5.2【基本】关闭不必要的服务
5.3【基本】关闭不必要的启动项
5.4【基本】关闭自动播放功能
5.5【基本】审核HOST文件的可疑条目
5.6【基本】存在未知或无用的应用程序
5.7【基本】关闭默认共享
5.8【基本】非everyone的授权共享
SNMP Community String设置
5.9【基本】
5.10【基本】删除可匿名访问共享
5.11关闭远程注册表
5.12对于远程登陆的帐号,设置不活动断开时间为1小时
5.13I IS服务补丁更新
6.其它配置要求
6.1【基本】安装防病毒软件
6.2【基本】配置WSUS补丁更新服务器
6.3【基本】Service Pack补丁更新
6.4【基本】Hotfix补丁更新
6.5设置带密码的屏幕保护
6.6交互式登录不显示上次登录用户名
