Windows系统安全系统配置基线

CheckPoint防火墙安全配置基线要点实用资料(可以直接使用，可编辑优秀版资料，欢迎下载）CheckPoint防火墙安全配置基线备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 01.1 目的 01.2 适用范围 01.3 适用版本 01.4 实施 01.5 例外条款 0第2章帐号管理、认证授权安全要求 (1)2.1 帐号管理 (1)用户帐号分配* (1)删除无关的帐号* (2)帐户登录超时* (3)帐户密码错误自动锁定* (4)2.2 口令 (5)口令复杂度要求 (5)2.3 授权 (6)远程维护的设备使用加密协议 (6)第3章日志与配置安全要求 (8)3.1 日志安全 (8)记录用户对设备的操作 (8)开启记录NAT日志* (9)开启记录VPN日志* (10)配置记录流量日志 (11)配置记录拒绝和丢弃报文规则的日志 (12)3.2 安全策略配置要求 (13)访问规则列表最后一条必须是拒绝一切流量 (13)配置访问规则应尽可能缩小范围 (13)配置OPSEC类型对象* (14)配置NAT地址转换* (16)限制用户连接数* (17)Syslog转发SmartCenter日志* (18)3.3 攻击防护配置要求 (22)定义执行IPS的防火墙* (22)定义IPS Profile* (23)第4章防火墙备份与恢复 (25)SmartCenter备份和恢复(upgrade_tools)* (25)第5章评审与修订 (27)第1章概述1.1 目的本文档旨在指导系统管理人员进行CheckPoint防火墙的安全配置。

1.2 适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

1.3 适用版本CheckPoint防火墙。

1.4 实施1.5 例外条款第2章帐号管理、认证授权安全要求2.1 帐号管理2.1.1用户帐号分配*2.1.2删除无关的帐号*2.1.3帐户登录超时*2.1.4帐户密码错误自动锁定*2.2 口令2.2.1口令复杂度要求2.3 授权2.3.1远程维护的设备使用加密协议第3章日志与配置安全要求3.1 日志安全3.1.1记录用户对设备的操作1.判定条件SmartView Tracker2.检测操作可以通过“开始”“程序”“Check Point SmartCosole R75”“SmartView Tracker”或登录“SmartDashboard”“Windows”“SmartViewTracker”打开该工具，Management：显示审计相关的数据，记录管理员、应用和操作详细信息。

中国石油Windows基线检查评估报告1.设备概况IP地址10.212.70.105用户姓名刘玉峰用户单位工程管理部（质监站）平均符合度100.00%操作系统当前操作系统版本：Windows 7 Professional当前系统版本号：76012.检查结果检查配置项基线编号描述结果账户管理SBL-System-Windows-01-01 重命名管理员账户AdministratorSBL-System-Windows-01-01 禁用来宾账户Guest口令管理SBL-System-Windows-02-01 开启本地安全策略中的密码复杂性策略SBL-System-Windows-02-02 开启本地安全策略中的密码长度最小值策略SBL-System-Windows-02-03 开启本地安全策略中的密码最长使用期限策略SBL-System-Windows-02-04 开启本地安全策略中的强制密码历史策略SBL-System-Windows-02-05 开启本地安全策略中的账户锁定阀值策略认证授权SBL-System-Windows-03-01 远程系统强制关机仅指派给Administrator组SBL-System-Windows-03-02 取得文件或其他对象的所有权仅指派给Administrator组日志审计SBL-System-Windows-04-01 已配置日志功能，对用户登录事件进行记录SBL-System-Windows-04-02 已启动Windows系统的审核策略更改，成功与失败都要审核SBL-System-Windows-04-03 已启动Windows系统的审核对象访问，成功与失败都要审核SBL-System-Windows-04-04 已启动Windows系统的审核目录访问，成功与失败都要审核SBL-System-Windows-04-05 已启动Windows系统的审核特权使用，成功与失败都要审核SBL-System-Windows-04-06 已启动Windows系统的审核系统事件，成功与失败都要审核SBL-System-Windows-04-07 已启动Windows系统的审核账户管理，成功与失败都要审核SBL-System-Windows-04-08 已启动Windows系统的审核过程追踪，失败需要审核SBL-System-Windows-04-09 设置日志容量和覆盖规则，保障日志存储系统服务SBL-System-Windows-05-01 已启动Windows系统自带防火墙SBL-System-Windows-05-02 已关闭Windows自动播放，防止从移动设备或光盘感染恶意代码补丁与防护软件SBL-System-Windows-06-02 已部署中石油防病毒软件360天擎并处于运行状态SBL-System-Windows-06-02 已部署中石油防桌面管理软件VRV并处于运行状态默认共享SBL-System-Windows-07-01 已在非域环境下关闭Windows硬盘默认共享远程维护SBL-System-Windows-08-01 已关闭计算机远程协助（必要时可开启）SBL-System-Windows-08-02 已关闭计算机远程桌面（必要时可开启）。

windows网络准入规则1、网络准入控制功能介绍1）终端强制准入控制与入网流程化管理通过在公司网络核心交换机上旁路部署网络准入控制设备，通过策略路由与交换机联动，且不会影响流量，实现对全网的强制准入控制。

入网终端必须按照单位的安全要求，完成人员身份认证---终端注册---管理员审核---终端安全检查---终端访问权限授权与管理等一系列的入网流程，只有符合单位各项安全规范制度才能接入网络。

而对于不符合单位安全规范要求的终端，能够提供友好的web重定向，引导其快速完成入网流程，成功入网，如下图：2）双实名制强认证通过实名身份将用户（人）和终端（机器）计算机分离开来，对使用人员需要进行身份认证（可支持多样化认证方式：用户名密码、Ukey认证、短信网关系统联动认证等），对终端需要进行注册审核，保障了接入网络的人员合法的同时，又保障终端设备的合法性，从而加强内部网络的可控性，方便管理员对网络的统一管理。

3）可强制配置的终端安全基线配置检查与智能修复针对当前终端的安全现状与集团检查要求，终端在入网后需按照单位自主制定的安全规范进行安全检查，对杀毒软件、系统补丁、计算机名称、双网卡连接、屏幕保护、共享账户、Guest等等安全基线配置进行检查，并提供一键式智能修复功能，提供终端运维效率。

4）终端快速定位管理与网络透视功能项目实现了一个全网安全管理和展示的平台，能够对全网拓扑进行展示。

在拓扑图上可以全面展示网络中的各种系统设备、网络连接等信息。

能够从整体上首先把握网络的运行和安全状况。

在拓扑展示图上可以进一步向下细化定位，直至每台终端设备。

也可以通过设备向上检索，找到其连接的交换机，及该交换机在网络中的位置、运行情况和安全状态等信息。

如下图：5）网络边界管理NAC设备可以充分维护网络边界的完整性。

当网络中有非法接入的NAT设备、HUB设备、WIFI设备时，ASM通过网络中的网络数据进行分析，对网络设备进行信息采集，可以快速展示出当前网络中的边界设备连接状态。

1.前言1.1.术语、定义(1)合规性（Compliance）企业或者组织为了履行遵守法律法规要求的承诺,建立、实施并保持一个或多个程序，以定期评价对适用法律法规的遵循情况的一项管理措施。

(2)资产（Asset）信息系统安全策略中所保护的信息或资源。

(3)计算机信息系统（Computer information system）由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

(4)保密性（Confidentiality）使信息不泄露给未授权的个人、实体、进程，或不被其利用的特性。

(5)安全服务（Security service）根据安全策略，为用户提供的某种安全功能及相关的保障。

2.服务概述2.1.服务概念基线核查服务是根据相关标准或规范，结合最佳实践，对客户的硬件资产（如：主机设备、网络设备、安全设备、办公终端等）和软件系统（如：操作系统、数据库、中间件和常用服务协议等）进行安全配置的核查，识别出现有安全配置与普适性规范或行业规范的安全配置要求之间的差距，并提供相关优化建议。

2.2.服务必要性基线核查是检验信息系统安全措施中的一种检查方式，信息系统拥有者往往需要在达到相对安全状态下所需要付出的成本与承受安全风险带来的损失之间寻找平衡。

而安全基线正是这个平衡的合理分界线。

基线核查服务，一方面可以根据基线核查的结果进行安全加固提升安全防护能力，减少信息系统的脆弱性，进而降低信息系统面临的安全风险；一方面可以满足合规性检查和国家政策要求。

2.3.服务收益通过以工具为主，人工为辅的方法，对客户的硬件资产和软件系统的安全策略配置进行科学、全面、认真地检查，输出专业的基线核查安全评估报告，通过该服务可以实现包括但不限于以下价值：●帮助客户充分掌握当前 IT 设备的配置情况，了解潜在的 IT 设备、系统的配置隐患和安全风险。

linux系统安全配置基线Linux系统安全配置基线一、概述Linux系统是广泛应用于服务器和个人计算机的操作系统，为了保障系统的安全性，需要进行安全配置。

本文将介绍Linux系统安全配置的基线要求，包括密码策略、用户权限管理、网络安全、日志审计等方面。

二、密码策略1. 密码长度：设置密码最小长度为8个字符，建议包括大小写字母、数字和特殊字符，并定期更换密码。

2. 密码复杂度：要求密码包含大小写字母、数字和特殊字符，不允许使用常见的弱密码。

3. 密码锁定：设置密码锁定策略，限制密码输入错误次数，并设置锁定时间，以防止暴力破解。

三、用户权限管理1. 最小权限原则：给予用户最小权限，避免赋予过高的权限，以减少潜在的安全风险。

2. 禁用不必要的账户：禁用或删除不再使用的账户，避免被攻击者利用。

3. 定期审核权限：定期审查用户的权限，及时撤销不必要的权限。

四、网络安全1. 防火墙配置：配置防火墙规则，只开放必要的端口，限制对系统的非法访问。

2. 网络服务安全：关闭不必要的网络服务，只保留必要的服务，并对其进行定期更新和安全加固。

3. 网络连接监控：监控网络连接情况，及时发现异常连接，并采取相应的安全措施。

4. 网络流量分析：对网络流量进行分析，发现异常流量和攻击行为，采取相应的防御措施。

五、日志审计1. 启用日志功能：启用系统日志功能，记录关键事件和操作，以便后期审计和溯源。

2. 日志存储和保护：将日志存储在安全的地方，并设置合适的权限，防止被篡改或删除。

3. 日志监控和告警：监控日志内容，及时发现异常事件，并设置告警机制，及时采取应对措施。

六、软件更新和补丁管理1. 及时更新软件：定期更新操作系统和应用软件，及时修补已知漏洞，以提高系统的安全性。

2. 自动更新设置：配置自动更新策略，保证系统能够及时获取最新的安全补丁。

七、文件和目录权限控制1. 文件权限设置：合理设置文件和目录的权限，避免敏感文件被非授权用户访问。

安全加固方案1安全加固概述随着网络技术的飞速发展，网络安全逐渐成为影响信息系统业务发展的关键问题。

由于信息系统拥有各种网络设备、操作系统、数据库和应用系统，存在大量的安全漏洞，对其进行安全加固增加其安全性是十分必要的。

安全加固是指参考国内国际权威的系统安全配置标准，并结合用户信息系统实际情况，对信息系统涉及的主机、网络设备、应用及数据库的脆弱性进行分析并修补，包括安全配置加固和漏洞修补，增强用户信息系统抗攻击能力，有效减轻系统总体安全风险，提升信息系统安全防范水平，可以建立起一套适应性更强的安全保障基线，有效构建起信息系统安全堤坝。

2安全加固内容安全加固是参考国内国际权威的系统安全配置标准，并结合用户信息系统实际情况，在用户允许的前提下，对重要服务器的操作系统和应用服务进行适度安全配置加固和系统安全优化，包括打补丁、停止不必要的服务、升级或更换程序、修改配置及权限等，包括操作系统安全加固和优化、应用软件安全加固和优化、网络设备安全加固和优化，加固服务内容包括基线加固、漏洞修复和安全设备调优。

2.1基线加固2.1.1主机加固针对目前使用的操作系统，如Windows、Linux、AIX等进行加固。

Windows设备安全加固内容：账号、口令、授权、日志配置操作、日志保护配置、共享文件夹及访问权限、Windows服务、防病毒管理、自动播放、屏幕保护、远程登录控制、补丁管理、IP协议安全配置操作、时间同步服务。

Linux操作系统安全加固内容：账号、口令、文件权限、IP协议安全、日志审计、关闭不必要的服务、资源控制。

AIX操作系统安全加固内容：账号、口令、授权、日志配置、IP协议安全、路由协议安全、补丁管理、内核调整、服务进程和启动、AIX可被利用的漏洞。

2.1.2数据库加固针对不同数据库类型的数据库如Oracle、SQL Server、MySQL等进行加固，加固服务的内容包括：身份鉴别、访问控制、安全审计、资源控制等安全项加固。