2022年Windows-操作系统安全配置基线和操作说明 .pdf

《2022年Windows-操作系统安全配置基线和操作说明 .pdf》由会员分享，可在线阅读，更多相关《2022年Windows-操作系统安全配置基线和操作说明 .pdf（32页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、Windows 7 操作系统安全配置基线与配置说明2017 年 3 月名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 32 页 - - - - - - - - - 1、账户管理1.1 Administrator 账户管理安全判定依据1）进入“控制面板- 管理工具 - 计算机管理”，在弹出框中选择“系统工具- 本地用户和组 - 用户”，2）如果存在Administrator 账号，并且隶属于Administrators 组，表明不符合安全要求。安全配置参考重命名账户：鼠标右

2、键- 重命名，键入新的账户名称配置截图参考：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 32 页 - - - - - - - - - 右键点击administrator 用户重命名为其它名称（注意，不要改为admin）名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 32 页 - - - - - - - - - 1.2 Guest 账户管理安全判定

3、依据进入“控制面板 - 管理工具 - 计算机管理”，在弹出框中选择“系统工具- 本地用户和组 - 用户”，在右侧选择Guest ，双击鼠标左键查看，如果勾选了“账户已禁用”选项，表明符合安全要求。双击 guest账户，确保账户已禁用选项是被选中的则为符合要求。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 32 页 - - - - - - - - - 1.3 无关账户管理安全判定依据1）进入“控制面板- 管理工具 - 计算机管理”，在弹出框中选择“系统工具- 本地用户和组

4、 - 用户”，2）如果不存在无关账户，或无关账户处于禁用状态，表明符合安全要求。参考操作删除无关账户：鼠标史键- 删除；如果用户里面存在guest 和 administrator （已改名账户）以外的其它账户则不符合安全要求须对其它用户进行右键删除操作名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 32 页 - - - - - - - - - 2、密码管理2.1 密码复杂度安全基线要求密码复杂度要求：8位以上至少包含以下四种类别的字符中的三种：英文大写字母（ A 到 Z）

5、英文小写字母 ( a 到 z ) 阿拉伯数字 ( 0 到 9 ) 非字母字符（例如!、$、# 、%）安全判定依据进入“控制面板 - 管理工具 - 本地安全策略”，在“账户策略- 密码策略”中，选择“密码必须符合复杂性要求”，查看其“安全设置“，如果显示”已启用“，表明符合安全要求。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 32 页 - - - - - - - - - 2.2 密码长度最小值安全基线要求对亍采用静态口令认证技术的设备，密码最小长度不少于8 位安全判定依

6、据进入“控制面板 - 管理工具 - 本地安全策略”，在“账户策略- 密码策略”中，选择“密码长度最小值”，查看其“安全设置“，如果显示”8 个字符“，表明符合安全要求。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 32 页 - - - - - - - - - 2.3 密码最长使用期限安全基线要求对于采用静态口令认证技术的设备，口令生存期不长于90 天安全判定依据进入“控制面板 - 管理工具 - 本地安全策略”，在“账户策略- 密码策略”中，选择“密码最长使用期限，查看其

7、“安全设置”，如果显示“90 天“，表明符合安全要求。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 32 页 - - - - - - - - - 2.4 强制密码历史安全基线要求对于采用静态口令认证技术的设备，应配置设备使用户不能重复使用最近5 次（含5 次）内已使用的口令检测操作参考进入“控制面板 - 管理工具 - 本地安全策略”，在“账户策略- 密码策略 - 强制密码历史”，鼠标右键- 属性- 5 -确定。安全判定依据进入“控制面板 - 管理工具 - 本地安全策略”

8、，在“账户策略- 密码策略”中，选择“强制密码历史，查看其“安全设置“，如果显示“5 个记住的密码“，表名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 32 页 - - - - - - - - - 2.5 账户锁定阈值（可选）安全基线要求对亍采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过5 次（不含 5次），锁定该用户使用的账户，锁定时间30 分钟检测操作参考进入“控制面板 - 管理工具 - 本地安全策略”，在“账户策略- 账户锁定策略 - 账户锁定阈值”，

9、鼠标史键- 属性 - 5 -确定。安全判定依据进入“控制面板 - 管理工具 - 本地安全策略”，在“账户策略- 账户锁定策略”中，选择“账户锁定阈值”，查看其“安全设置“，如果显示“5 次无效登录“，名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 32 页 - - - - - - - - - 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 32

10、页 - - - - - - - - - 3、认证授权3.1 远程强制关机授权安全基线要求非域环境的计算机，“从远程系统强制关机“的权限只指派给Administrators 组检测操作参考进入“控制面板 - 管理工具 - 本地安全策略”，在“本地策略- 用户权限分配 - 从远程系统强制关机”，鼠标右键- 属性 - 设置为只指派给Administrators 组。安全判定依据进入“控制面板 - 管理工具 - 本地安全策略”，在“本地策略- 用户权限分配”中，鼠标左键双击“从远程系统强制关机”，如果弹出的对话框中仅显示” Administrators”组，表明符合安全要求。3.2 文件所有权授权安全

11、基线要求“取得文件或其他对象的所有权“只指派给Administrators 组检测操作参考进入“控制面板 - 管理工具 - 本地安全策略”，在“本地策略- 用户权限分配 -取 得 文 件 或 其 他 对 象 的 所 有 权 ” ， 鼠 标 史 键 - 属 性 - 设置 为 只 指 派 给安全判定依据进入“控制面板 - 管理工具 - 本地安全策略”，在“本地策略- 用户权限分配”中，鼠标左键双击“取得文件或其他对象的所有权”，如果弹出的对话框中仅显示” Administrators”组，表明符合安全要求。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - -

12、 - - - - - 名师精心整理 - - - - - - - 第 12 页，共 32 页 - - - - - - - - - 4、日志审计4.1 审核策略更改安全基线要求启用对Windows 系统的审核策略更改，成功不失败都要审核检测操作参考进入“控制面板 - 管理工具 - 本地安全策略”，在“本地策略- 审核策略 - 审核策略更改”，鼠标右键- 属性- 勾选“成功”与“失败”两项。安全判定依据进入“控制面板 - 管理工具 - 本地安全策略”，在“本地策略- 审核策略“中，选择”审核策略更改”，查看其“安全设置“，默认为无审核，如果显示为“成功，失败”，表明符合安全要求。名师资料总结 - -

13、 -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页，共 32 页 - - - - - - - - - 4.2 审核登录事件安全基线要求应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账户，登录是否成功，登录时间，以及远程登录时使用的IP 地址检测操作参考进入“控制面板 - 管理工具 - 本地安全策略”，在“本地策略- 审核策略 - 审核登录事件”，鼠标史键- 属性- 勾选“成功”和“失败”两项。安全判定依据进入“控制面板 - 管理工具 - 本地安全策略“，在“本地策略- 审核策略“中

14、，选择”审核登录事件”，查看其“安全设置“，默认为无审核，如果显示为“成名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页，共 32 页 - - - - - - - - - 4.3 审核对象访问安全基线要求启用对Windows 系统的审核对象访问，成功不失败都要审核检测操作参考进入“控制面板 - 管理工具 - 本地安全策略”，在“本地策略- 审核策略 - 审核对象访问”，鼠标右键- 属性- 勾选“成功”和“失败”两项。安全判定依据进入“控制面板 - 管理工具 - 本地安全策略”

15、，在“本地策略- 审核策略“中，选择”审核对象访问”，查看其“安全设置“，默认为无审核，如果显示为“成功，失败”，表明符合安全要求。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页，共 32 页 - - - - - - - - - 4.4 审核进程跟踪安全基线要求启用对Windows 系统的审核特权使用，成功不失败都要审核检测操作参考进入“控制面板 - 管理工具 - 本地安全策略”，在“本地策略- 审核策略 - 审核特权使用”，鼠标右键- 属性- 勾选“成功”与“失败”两项。

16、安全判定依据进入“控制面板 - 管理工具 - 本地安全策略”，在“本地策略- 审核策略“中，选择”审核特权使用”，查看其“安全设置“，默认为无审核，如果显示为“成功，失败”，表明符合安全要求。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页，共 32 页 - - - - - - - - - 对审核策略中的所有项均进行以上配置操作名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - -

17、 - 第 17 页，共 32 页 - - - - - - - - - 4.5 日志文件大小安全基线要求设置日志容量和覆盖规则，保证日志存储检测操作参考进入“控制面板- 管理工具-事件查看器”，选择“事件查看器（本地）-Windows 日志”，1）在“应用程序”中，鼠标史键单击选择“属性”，将“日志最大大小”设置为“40960KB ”，“达到事件日志最大大小时“选择“按需要覆盖事件（旧事件优先）”。2）在“安全”中，鼠标右键单击选择“属性”，将“日志最大大小”设置为“40960KB ”，“达到事件日志最大大小时“选择“按需要覆盖事件（旧事件优先）”。3）在“系统”中，鼠标右键单击选择“属性”，将

18、“日志最大大小”设置为“40960KB ”，“达到事件日志最大大小时“选择“按需要覆盖事件（旧事件优先）”。安全判定依据进入“控制面板- 管理工具- 事件查看器，选择“事件查看器（本地） - Windows 日志”，鼠标史键点击“应用程序“、“安全”、“系统”，选择“属性“，查看这三项的“日志最大大小”和“达到事件日志最大大小时“的选项，如果显示为” 40960 ”和“按需要覆盖事件（旧事件优先）“，表明符合安全要求。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 18 页，共 32

19、 页 - - - - - - - - - 对 windows日志中的应用程序安全 系统三项均进行上图配置名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 19 页，共 32 页 - - - - - - - - - 5、系统服务5.1 启用Windows 防火墙安全基线要求启用 Windows 防火墙检测操作参考进入“控制面板 -Windows 防火墙 - 打开或关闭Windows 防火墙”，查看“家庭或工作（专用）网络位置设置“与”公用网络位置设置“中防火墙的配置情况。安全判定依据进入

20、“控制面板 -Windows 防火墙 - 打开或关闭Windows 防火墙”，查看“家庭或工作（专用）网络位置设置“与”公用网络位置设置“，如果均选择”启用Windows 防火墙“，并勾选“Windows 防火墙阻止新程序时通知我”，表明符合安全要求。5.2 关闭自劢播放功能安全基线要求关闭 Windows 自劢播放，防止从移劢设备不光盘感染恶意代码检测操作参考开始 - 运行 - gpedit.msc，打开本地组策略编辑器，在“计算机配置- 管理模板-Windows 组件 - 自劢播放策略”中，选择“关闭自劢播放”，查看其状态。安全判定依据开始 - 运行 - gpedit.msc，打开本地组策

21、略编辑器，在“计算机配置- 管理模板-Windows 组件 - 自动播放策略”中，选择“关闭自劢播放”，查看其状态，默认为“未配置“，如果为”已启用“，表明符合安全要求。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 20 页，共 32 页 - - - - - - - - - 6、补丁不防护软件6.1 系统安全补丁管理安全基线要求所有联网终端计算机统一部署桌面安全管理软件，由该软件统一进行系统安全补丁更新检测操作参考按照集团公司信息管理部要求，集中部署桌面安全管理系统，监督未部署的终

22、端计算机并进行整改，保证所有联网终端计算机全部安装统一的桌面安全管理系统软件。安全判定依据开始 - 运行 - cmd.exe，输入systeminfo，查看系统补丁的安装情况。6.2 防病毒管理安全基线要求所有联网终端计算机统一部署中国石油统一部署的防病毒软件检测操作参考按照集团公司信息管理部要求，集中部署桌面安全管理系统，监督未部署的终端计算机并进行整改，保证所有联网终端计算机全部安装统一的桌面安全管理系统软件。安全判定依据瑞星防病毒系统、桌面统一管理系统名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - -

23、 - - - - 第 21 页，共 32 页 - - - - - - - - - 7、共享文件夹及访问权限7.1 关闭默认共享安全基线要求在非域环境下，关闭Windows 硬盘默认共享，例如C$,D$ 检测操作参考开始 - 运行 - regedit.exe，进入注册表编辑器，更改注册表键值：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanSer 下，增加 REG_DWORD 类型的AutoShareServer 键，值为 0。安全判定依据开始 - 运行 - regedit.exe，进入注册表编辑器，查看注册表键值：HKEY_LOCA

24、L_MACHINESYSTEMCurrentControlSetServicesLanmanSer 下，如果有AutoShareServer 项，并且值为0，表明符合安全要求。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 22 页，共 32 页 - - - - - - - - - 7.2 设置共享文件夹访问权限安全基线要求设置共享文件夹访问权限，只允许授权的账户拥有权限共享此文件夹检测操作参考进入“控制面板 - 管理工具 - 计算机管理”，在“系统工具- 共享文件夹”下，查看每个共

25、享文件夹的共享权限，只将权限授权于指定账户。安全判定依据进入“控制面板 - 管理工具 - 计算机管理”，在“系统工具- 共享文件夹”下，查看每个共享文件夹的共享权限。8、远程维护8.1 远程协助安全管理安全基线要求如无特别需要，关闭远程协助检测操作参考鼠标右键点击“我的电脑”，选择“属性”，选中“远程设置”，查看“远程协助”的状态。安全判定依据鼠标右键点击“我的电脑”，选择“属性”，选中“远程设置”，在”远程协助“的下方查看，如果勾选了“允许远程协助连接这台计算机”，表明开启了远程协助，不符合安全要求。8.2 远程桌面安全管理安全基线要求终端计算机如无特别需要，关闭远程桌面检测操作参考鼠标右键

26、点击“我的电脑”，选择“属性”，选中“远程设置”，查看“远程桌面”的状态。安全判定依据鼠标右键点击“我的电脑”，选择“属性”，选择“远程设置”，在“远程桌面”的下方查看，如果勾选了“不允许连接到这台计算机”，表明关闭了远程桌面，符合安全要求。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 23 页，共 32 页 - - - - - - - - - 9、其他9.1 数据执行保护安全基线要求配置系统核心的数据执行保护，提高系统抵抗非法修改文件的能力检测操作参考进入“控制面板 - 系统”，

27、在“高级系统设置”选项卡的“性能”下点击设置，选择“数据执行保护”选项卡，选择“仅为基本Windows 程序和服务启用DEP”。安全判定依据进入“控制面板 - 系统”，在“高级系统设置”选项卡的“性能”下点击设置，选择“数据执行保护”选项卡，如果设置为“仅为基本Windows 程序和服务启用 DEP”，表明符合安全要求。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 24 页，共 32 页 - - - - - - - - - 10、关闭 135 等端口 1 ）打开电 - 脑- 控-

28、制- 面板 2 ）打开系统和安全选项名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 25 页，共 32 页 - - - - - - - - - 3 ）打开 Windows防火墙 4 ）点击左侧高级设置名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 26 页，共 32 页 - - - - - - - - - 5 ）点击入站规则 6 ）点击右侧新建规则名师资料总结 - - -精

29、品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 27 页，共 32 页 - - - - - - - - - 7 ）选择端口（ O ），点击下一步 8 ）选择特定本地端口，输入135,137,138,139,445 ，中间用逗号隔开，逗号为英文输入的逗号名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 28 页，共 32 页 - - - - - - - - - 9 ）选择阻止连接，点击下一步 10 ）点

30、击下一步名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 29 页，共 32 页 - - - - - - - - - 11 ）名称一栏输入关闭端口，点击完成 12 ）双击关闭端口，查看端口设置名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 30 页，共 32 页 - - - - - - - - - 13 ）可以看到阻止连接 14 ）点击协议和端口，可以看到阻止连接的本地端口是之前设置的135,137,138,139,445 ，说明网络端口 135,137,138,139,445已经阻止连接名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 31 页，共 32 页 - - - - - - - - - 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 32 页，共 32 页 - - - - - - - - -