window-操作系统安全配置手册教学文案

2024年1月8日发(作者：)

精品文档

WINDOWS 操作系统安全配置手册

目录

WINDOWS 操作系统安全配置手册 ....................................................................................... 1

1

概述 ................................................................................................................................... 2

适用范围 ............................................................................................................................... 2

2

WINDOWS设备安全配置要求 ............................................................................................ 2

2.1

2.2

2.3

2.4

2.5

2.6

2.7

2.8

2.9

账号管理、认证授权 ................................................................................................ 2

口令 ............................................................................................................................ 3

授权 ............................................................................................................................ 5

日志配置操作 ............................................................................................................ 8

IP协议安全配置操作 ............................................................................................. 13

设备其他配置操作 .................................................................................................. 14

共享文件夹及访问权限 .......................................................................................... 15

补丁管理 .................................................................................................................. 16

防病毒管理 .............................................................................................................. 16

2.10

Windows服务 .......................................................................................................... 17

2.11

启动项 ...................................................................................................................... 17

精品文档

精品文档

1 概述

适用范围

本规范所指的设备为Windows系统设备。本规范明确了运行Windows操作系统的设备在安全配置方面的基本要求。在未特别说明的情况下，均适用于所有运行的Windows操作系统。

2 WINDOWS设备安全配置要求

本手册从Windows系统设备的认证授权功能、安全日志功能以及IP网络安全功能，和其他自身安全配置功能四个方面提出安全要求。

2.1 账号管理、认证授权

认证功能用于确认登录系统的用户真实身份。认证功能的具体实现方式包括静态口令、动态口令、指纹等生物鉴别技术等。授权功能赋予系统账号的操作权限，并限制用户进行超越其账号权限的操作。

要求内容

按照用户分配账号。根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户，审计用户，来宾用户等。

操作指南

1、参考配置操作

进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：

根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户，审计用户，来宾用户。

检测方法

1、 判定条件

结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户，审计用户，来宾用户。

精品文档

精品文档

2、检测操作

进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：

查看根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户，审计用户，来宾用户。

要求内容

操作指南

对于管理员帐号，要求更改缺省帐户名称；禁用guest（来宾）帐号。

1、参考配置操作

进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：

Administrator－>属性－> 更改名称

Guest帐号->属性－> 已停用

检测方法

1、判定条件

缺省账户Administrator名称已更改。

Guest帐号已停用。

2、检测操作

进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：

缺省帐户－>属性－> 更改名称

Guest帐号->属性－> 已停用

2.2 口令

要求内容

最短密码长度 8个字符，启用本机组策略中密码必须符合复杂性要求的策略。即密码至少包含以下四种类别的字符中的三种：







英语大写字母 A, B, C, … Z

英语小写字母 a, b, c, … z

西方阿拉伯数字 0, 1, 2, … 9

非字母数字字符，如标点符号，@, #, $, %, &, *等

操作指南

精品文档

1、参考配置操作

精品文档

进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：

“密码必须符合复杂性要求”选择“已启动”

检测方法

1、判定条件

“密码必须符合复杂性要求”选择“已启动”

2、检测操作

进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：

查看是否“密码必须符合复杂性要求”选择“已启动”

要求内容

操作指南

对于采用静态口令认证技术的设备，账户口令的生存期不长于90天。

1、参考配置操作

进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：

“密码最长存留期”设置为“90天”

检测方法

1、判定条件

“密码最长存留期”设置为“90天”

2、检测操作

进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：

查看是否“密码最长存留期”设置为“90天”

要求内容

对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。

操作指南

1、参考配置操作

进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：

“强制密码历史”设置为“记住5个密码”

检测方法

1、判定条件

“强制密码历史”设置为“记住5个密码”

精品文档

精品文档

2、检测操作

进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：

查看是否“强制密码历史”设置为“记住5个密码”

要求内容

对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。

操作指南

1、参考配置操作

进入“控制面板->管理工具->本地安全策略”，在“帐户策略->帐户锁定策略”：

“账户锁定阀值”设置为 6次

检测方法

1、判定条件

“账户锁定阀值”设置为小于或等于 6次

2、检测操作

进入“控制面板->管理工具->本地安全策略”，在“帐户策略->帐户锁定策略”：

查看是否“账户锁定阀值”设置为小于等于 6次

2.3 授权

要求内容

操作指南

在本地安全设置中从远端系统强制关机只指派给Administrators组。

1、参考配置操作

进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”:

“从远端系统强制关机”设置为“只指派给Administrators组”

检测方法

1、判定条件

“从远端系统强制关机”设置为“只指派给Administrtors组”

2、检测操作

进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”:

精品文档

精品文档

查看是否“从远端系统强制关机”设置为“只指派给Administrators组”

要求内容

操作指南

在本地安全设置中关闭系统仅指派给Administrators组。

1、参考配置操作

进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”:

“关闭系统”设置为“只指派给Administrators组”

检测方法

1、判定条件

“关闭系统”设置为“只指派给Administrators组”

2、检测操作

进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”:

查看“关闭系统”设置为“只指派给Administrators组”

要求内容

在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。

操作指南

1、参考配置操作

进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”：

“取得文件或其它对象的所有权”设置为“只指派给Administrators组”

检测方法

1、判定条件

“取得文件或其它对象的所有权”设置为“只指派给Administrators组”

2、检测操作

进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”：

精品文档

精品文档

查看是否“取得文件或其它对象的所有权”设置为“只指派给Administrators组”

要求内容

操作指南

在本地安全设置中配置指定授权用户允许本地登陆此计算机。

1、参考配置操作

进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”

“从本地登陆此计算机”设置为“指定授权用户”

检测方法

1、判定条件

“从本地登陆此计算机”设置为“指定授权用户”

2、检测操作

进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”

查看是否“从本地登陆此计算机”设置为“指定授权用户”

要求内容

在组策略中只允许授权帐号从网络访问(包括网络共享等，但不包括终端服务)此计算机。

操作指南

1、参考配置操作

进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”

“从网络访问此计算机”设置为“指定授权用户”

检测方法

1、判定条件

“从网络访问此计算机”设置为“指定授权用户”

2、检测操作

进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”

查看是否“从网络访问此计算机”设置为“指定授权用户”

精品文档

精品文档

2.4 日志配置操作

要求内容

设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。

操作指南

1、参考配置操作

开始->运行-> 执行“ 控制面板->管理工具->本地安全策略->审核策略”

审核登录事件，双击，设置为成功和失败都审核。

检测方法

1、判定条件

审核登录事件，设置为成功和失败都审核。

2、检测操作

开始->运行-> 执行“ 控制面板->管理工具->本地安全策略->审核策略”

审核登录事件，双击，查看是否设置为成功和失败都审核。

要求内容

操作指南

启用组策略中对Windows系统的审核策略更改，成功和失败都要审核。

1、参考配置操作

进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中

“审核策略更改”设置为“成功” 和“失败”都要审核

检测方法

1、判定条件

“审核策略更改”设置为“成功” 和“失败”都要审核

2、检测操作

进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中

查看是否“审核策略更改”设置为“成功” 和“失败”都要审核

精品文档

精品文档

要求内容

操作指南

启用组策略中对Windows系统的审核对象访问，成功和失败都要审核。

1、参考配置操作

进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：

“审核对象访问”设置为“成功”和“失败”都要审核

检测方法

1、判定条件

“审核对象访问”设置为“成功”和“失败”都要审核

2、检测操作

进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：

查看是否“审核对象访问”设置为“成功”和“失败”都要审核

要求内容

操作指南

启用组策略中对Windows系统的审核目录服务访问，失败。

1、参考配置操作

进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：

“审核目录服务器访问”设置为“成功” 和“失败”都要审核

检测方法

1、判定条件

“审核目录服务器访问”设置为“成功” 和“失败”都要审核

2、检测操作

进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：

查看是否“审核目录服务器访问”设置为“成功” 和“失败”都要审核

要求内容

操作指南

启用组策略中对Windows系统的审核特权使用，成功和失败都要审核。

1、参考配置操作

精品文档

精品文档

进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：

“审核特权使用”设置为“成功” 和“失败”都要审核

检测方法

1、判定条件

“审核目录服务器访问”设置为“成功” 和“失败”都要审核

2、检测操作

进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：

查看是否“审核目录服务器访问”设置为“成功” 和“失败”都要审核

要求内容

操作指南

启用组策略中对Windows系统的审核系统事件，成功和失败都要审核。

1、参考配置操作

进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：

“审核系统事件”设置为“成功” 和“失败”都要审核

检测方法

1、判定条件

“审核系统事件”设置为“成功” 和“失败”都要审核

2、检测操作

进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：

查看是否“审核系统事件”设置为“成功” 和“失败”都要审核

精品文档

精品文档

要求内容

操作指南

启用组策略中对Windows系统的审核帐户管理，成功和失败都要审核。

1、参考配置操作

进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：

“审核账户管理”设置为“成功” 和“失败”都要审核

检测方法

1、判定条件

“审核账户管理”设置为“成功” 和“失败”都要审核

2、检测操作

进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：

查看是否“审核账户管理”设置为“成功” 和“失败”都要审核

要求内容

操作指南

启用组策略中对Windows系统的审核过程追踪，失败。

1、参考配置操作

进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：

“审核过程追踪”设置为 “失败”需要审核

检测方法

1、判定条件

“审核过程追踪”设置为 “失败”需要审核

2、检测操作

进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：

查看是否“审核过程追踪”设置为 “失败”需要审核

要求内容

设置应用日志文件大小至少为8192KB，设置当达到最大的日志尺寸时，按需要改写事件。

操作指南

1、参考配置操作

进入“控制面板->管理工具->事件查看器”，在“事件查看器（本地）”中：

精品文档

精品文档

“应用日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”

检测方法

1、判定条件

“应用日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”

2、检测操作

进入“控制面板->管理工具->事件查看器”，在“事件查看器（本地）”中：

查看是否“应用日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”

要求内容

设置系统日志文件大小至少为8192KB，设置当达到最大的日志尺寸时，按需要改写事件。

操作指南

1、参考配置操作

进入“控制面板->管理工具->事件查看器”，在“事件查看器（本地）”中：

“系统日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”

检测方法

1、判定条件

“系统日志”属性中的日志大小设置不小于“8192KB” , 设置当达到最大的日志尺寸时，“按需要改写事件”

2、检测操作

进入“控制面板->管理工具->事件查看器”，在“事件查看器（本地）”中：

查看是否“系统日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”

要求内容

设置安全日志文件大小至少为8192KB，设置当达到最大的日志尺寸时，按需要改写事件。

操作指南

精品文档

1、参考配置操作

精品文档

进入“控制面板->管理工具->事件查看器”，在“事件查看器（本地）”中：

“安全日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”

检测方法

1、判定条件

“安全日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”

2、检测操作

进入“控制面板->管理工具->事件查看器”，在“事件查看器（本地）”中：

查看是否“安全日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”

2.5 IP协议安全配置操作

要求内容

对没有自带防火墙的Windows系统，启用Windows系统的IP安全机制(IPSec)或网络连接上的TCP/IP筛选，只开放业务所需要的TCP，UDP端口和IP协议。

操作指南

1、参考配置操作

进入“控制面板－>网络连接－>本地连接”，进入“Internet协议（TCP/IP）属性－>高级TCP/IP设置”，在“选项”的属性中启用网络连接上的TCP/IP筛选，只开放业务所需要的TCP，UDP端口和IP协议。

检测方法

1、判定条件

系统管理员出示业务所需端口列表。

根据列表只开放系统与业务所需端口。

2、检测操作

进入“控制面板－>网络连接－>本地连接”，进入“Internet协议精品文档

精品文档

（TCP/IP）属性－>高级TCP/IP设置”，在“选项”的属性中启用网络连接上的TCP/IP筛选，查看是否只开放业务所需要的TCP，UDP端口和IP协议。

2.6 设备其他配置操作

要求内容

操作指南

设置带密码的屏幕保护，并将时间设定为5分钟。

1、参考配置操作

进入“控制面板－>显示－>屏幕保护程序”：

启用屏幕保护程序，设置等待时间为“5分钟”，启用“在恢复时使用密码保护”

检测方法

1、判定条件

启用屏幕保护程序，设置等待时间为“5分钟”，启用“在恢复时使用密码保护”。

2、检测操作

进入“控制面板－>显示－>屏幕保护程序”：

查看是否启用屏幕保护程序，设置等待时间为“5分钟”，启用“在恢复时使用密码保护”

要求内容

操作指南

对于远程登陆的帐号，设置不活动断连时间15分钟。

1、参考配置操作

进入“控制面板->管理工具->本地安全策略”，在“本地策略->安全选项”：

“Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟

检测方法

1、判定条件

“Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟。

2、检测操作

精品文档

精品文档

进入“控制面板->管理工具->本地安全策略”，在“本地策略->安全选项”：

查看是否“Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟

2.7 共享文件夹及访问权限

要求内容

操作指南

非域环境中，关闭Windows硬盘默认共享，例如C$，D$。

1、参考配置操作

进入“开始－>运行－>Regedit”，进入注册表编辑器，

更改注册表键值：在HKLMSystemCurrentControlSet

ServicesLanmanServerParameters下，增加REG_DWORD类型的AutoShareServer 键，值为 0。

检测方法

1、判定条件

HKLMSystemCurrentControlSet ServicesLanmanServerParameters增加了REG_DWORD类型的AutoShareServer 键，值为 0。

2、检测操作

进入“开始－>运行－>Regedit”，进入注册表编辑器，更改注册表键值：在HKLMSystemCurrentControlSet

ServicesLanmanServerParameters下，增加REG_DWORD类型的AutoShareServer 键，值为 0。

要求内容

查看每个共享文件夹的共享权限，只允许授权的账户拥有权限共享此文件夹。

操作指南

1、参考配置操作

进入“控制面板->管理工具->计算机管理”，进入“系统工具－>共享文件夹”：

查看每个共享文件夹的共享权限，只将权限授权于指定账户。

精品文档

精品文档

检测方法

1、判定条件

查看每个共享文件夹的共享权限仅限于业务需要，不设置成为“everyone”。

2、检测操作

进入“控制面板->管理工具->计算机管理”，进入“系统工具－>共享文件夹”：

查看每个共享文件夹的共享权限。

2.8 补丁管理

应安装最新的Hotfix补丁。对服务器系统应先进行兼容性测试。

要求内容

操作指南

1、参考配置操作

安装最新的Hotfix补丁。对服务器系统应先进行兼容性测试。

检测方法

1、判定条件

已安装最新的Hotfix补丁，并经过兼容性测试。

2、检测操作

控制面板->添加或删除程序->显示更新打钩，查看最近安装的Hotfix补丁是否为微软最新发布。

2.9 防病毒管理

精品文档

精品文档

要求内容

操作指南

安装防病毒软件，并及时更新。

1、参考配置操作

安装防病毒软件，并及时更新。

检测方法

1、判定条件

已安装放病毒软件，病毒码更新时间不早于1个月，各系统病毒码升级时间要求参见各系统相关规定。

2、检测操作

控制面板->添加或删除程序，是否安装有防病毒软件。打开防病毒软件控制面板，查看病毒码更新日期。

2.10 Windows服务

要求内容

列出所需要服务的列表(包括所需的系统服务)，不在此列表的服务需关闭。

操作指南

1、参考配置操作

进入“控制面板->管理工具->计算机管理”，进入“服务和应用程序”：

查看所有服务，不在此列表的服务需关闭。

检测方法

1、判定条件

系统管理员应出具系统所必要的服务列表。

查看所有服务，不在此列表的服务需关闭。

2、检测操作

进入“控制面板->管理工具->计算机管理”，进入“服务和应用程序”：

查看所有服务，不在此列表的服务是否已关闭。

2.11 启动项

要求内容

操作指南

关闭Windows自动播放功能

1、参考配置操作

点击开始→运行→输入，打开组策略编辑器，浏览到计算机精品文档

精品文档

配置→管理模板→系统，在右边窗格中双击“关闭自动播放”，对话框中选择所有驱动器，确定即可。

检测方法

1、判定条件

所有驱动器均“关闭自动播放”

2、检测操作

“关闭自动播放”配置已启用，启用范围：所有驱动器。

精品文档