管理制度-中国移动Windows操作系统安全配置规范正式下发版精品.doc

上传人：lao****ou

文档编号：27877

上传时间：2022-11-07

格式：DOC

页数：28

大小：187.73KB

《管理制度-中国移动Windows操作系统安全配置规范正式下发版精品.doc》由会员分享，可在线阅读，更多相关《管理制度-中国移动Windows操作系统安全配置规范正式下发版精品.doc（28页珍藏版）》请在第一文库网上搜索。

1、20XX-01-01实施20XX-12-18发布中国移动WINDOWS操作系统安全配置规范Specification for Windows OS Configuration Used in China Mobile版本号：.0.0 中国移动通信集团公司发布目录1概述11.1适用范围11.2内部适用性说明11.3外部引用说明21.4术语和定义31.5符号和缩略语32WINDOWS设备安全配置要求32.1账号管理、认证授权32.1.1账号42.1.2口令52.1.3授权72.2日志配置操作112.3IP协议安全配置操作172.4设备其他配置操作202.4.1屏幕保护202.4.2共享文件夹及访问

2、权限212.4.3补丁管理222.4.4防病毒管理232.4.5Windows服务242.4.6启动项25前言本标准由中国移动通信有限公司网络部提出并归口。本标准由标准提出并归口部门负责解释。本标准起草单位：中国移动通信有限公司网络部。本标准解释单位：同提出单位。本标准主要起草人：中国移动通信集团浙江公司朱国萃 13957181776 中国移动集团公司陈敏时 139117738021 概述1.1 适用范围本规范所指的设备为Windows系统设备。本规范明确了运行Windows操作系统的设备在安全配置方面的基本要求。在未特别说明的情况下，均适用于所有运行的Windows操作系统，包括Windo

3、ws 2000、Windows XP、Windows20XX以及各版本中的Sever、Professional版本。1.2 内部适用性说明配置要求说明编号采纳意见补充说明安全要求-设备-通用-配置-1-可选增强安全要求-设备-WINDOWS-配置-1安全要求-设备-通用-配置-2-可选增强安全要求-设备-WINDOWS-配置-2-可选安全要求-设备-通用-配置-3-可选不采纳Windows无法在远程登陆时通过切换用户提升权限安全要求-设备-通用-配置-4增强安全要求-设备-WINDOWS-配置-4安全要求-设备-通用-配置-5完全采纳安全要求-设备-通用-配置-6-可选完全采纳安全要求-设备-

4、通用-配置-7-可选完全采纳安全要求-设备-通用-配置-9增强安全要求-设备-WINDOWS-配置-5安全要求-设备-WINDOWS-配置-6安全要求-设备-WINDOWS-配置-7安全要求-设备-WINDOWS-配置-8安全要求-设备-WINDOWS-配置-9安全要求-设备-通用-配置-12完全采纳安全要求-设备-通用-配置-13-可选增强安全要求-设备-WINDOWS-配置-11安全要求-设备-通用-配置-24-可选增强安全要求-设备-WINDOWS-配置-10安全要求-设备-WINDOWS-配置-12安全要求-设备-WINDOWS-配置-13安全要求-设备-WINDOWS-配置-14安全

5、要求-设备-WINDOWS-配置-15安全要求-设备-WINDOWS-配置-16安全要求-设备-WINDOWS-配置-17安全要求-设备-WINDOWS-配置-18安全要求-设备-WINDOWS-配置-19安全要求-设备-通用-配置-14-可选不采纳Windows日志储存在本地安全要求-设备-通用-配置-16-可选增强安全要求-设备-WINDOWS-配置-20-可选安全要求-设备-WINDOWS-配置-21-可选安全要求-设备-通用-配置-17-可选不采纳Windosw远程管理采用了自有协议，不支持SSH 安全要求-设备-通用-配置-19-可选不采纳WIN系统不具备字符交互界面安全要求-设备-

6、通用-配置-20-可选增强安全要求-设备-WINDOWS-配置-22安全要求-设备-通用-配置-27-可选不采纳Windows不支持CONSOLE访问1.3 外部引用说明中国移动通用安全功能和配置规范1.4 术语和定义1.5 符号和缩略语缩写英文描述中文描述2 WINDOWS设备安全配置要求本规范从Windows系统设备的认证授权功能、安全日志功能以及IP网络安全功能，和其他自身安全配置功能四个方面提出安全要求。2.1 账号管理、认证授权认证功能用于确认登录系统的用户真实身份。认证功能的具体实现方式包括静态口令、动态口令、指纹等生物鉴别技术等。授权功能赋予系统账号的操作权限，并限制用户进行超越

7、其账号权限的操作。2.1.1 账号编号：安全要求-设备-通用-配置-1要求内容按照用户分配账号。根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户，审计用户，来宾用户等。操作指南1、参考配置操作进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户，审计用户，来宾用户。检测方法1、判定条件结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户，审计用户，来宾用户。2、检测操作进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：查看根据系统的要

8、求，设定不同的账户和账户组，管理员用户，数据库用户，审计用户，来宾用户。编号：安全要求-设备-WINDOWS-配置-2-可选要求内容删除或锁定与设备运行、维护等与工作无关的账号。操作指南1、参考配置操作进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：删除或锁定与设备运行、维护等与工作无关的账号。检测方法1、判定条件结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的账号。2、检测操作进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：查看是否删除或锁定与设备运行、维护等与工作无关的账号。编号：安全要求-设备-WINDOWS-配置-

9、3-可选要求内容对于管理员帐号，要求更改缺省帐户名称；禁用guest（来宾）帐号。操作指南1、参考配置操作进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：Administrator属性更改名称Guest帐号-属性已停用检测方法1、判定条件缺省账户Administrator名称已更改。Guest帐号已停用。2、检测操作进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：缺省帐户属性更改名称Guest帐号-属性已停用2.1.2 口令编号：安全要求-设备-WINDOWS-配置-4要求内容最短密码长度 6个字符，启用本机组策略中密码必须符合复杂性要求的策

10、略。即密码至少包含以下四种类别的字符中的三种：l 英语大写字母 A, B, C, Z l 英语小写字母 a, b, c, z l 西方阿拉伯数字 0, 1, 2, 9 非字母数字字符，如标点符号，, #, $, %, &, *等操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：“密码必须符合复杂性要求”选择“已启动”检测方法1、判定条件“密码必须符合复杂性要求”选择“已启动”2、检测操作进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：查看是否“密码必须符合复杂性要求”选择“已启动”编号：安全要求-设备-WINDOWS-配置-35要求

11、内容对于采用静态口令认证技术的设备，账户口令的生存期不长于90天。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：“密码最长存留期”设置为“90天”检测方法1、判定条件“密码最长存留期”设置为“90天”2、检测操作进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：查看是否“密码最长存留期”设置为“90天”编号：安全要求-设备-WINDOWS-配置-36-可选要求内容对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“帐户

12、策略-密码策略”：“强制密码历史”设置为“记住5个密码”检测方法1、判定条件“强制密码历史”设置为“记住5个密码”2、检测操作进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：查看是否“强制密码历史”设置为“记住5个密码”编号：安全要求-设备-WINDOWS-配置-37要求内容对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“帐户策略-帐户锁定策略”：“账户锁定阀值”设置为 6次检测方法1、判定条件“账户锁定阀值”设置为小于或等于 6次2、检测操作进入“

13、控制面板-管理工具-本地安全策略”，在“帐户策略-帐户锁定策略”：查看是否“账户锁定阀值”设置为小于等于 6次2.1.3 授权编号：安全要求-设备-WINDOWS-配置-5要求内容在本地安全设置中从远端系统强制关机只指派给Administrators组。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”:“从远端系统强制关机”设置为“只指派给Administrators组”检测方法1、判定条件“从远端系统强制关机”设置为“只指派给Administrtors组”2、检测操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”:查看是否

14、“从远端系统强制关机”设置为“只指派给Administrators组”编号：安全要求-设备-WINDOWS-配置-6要求内容在本地安全设置中关闭系统仅指派给Administrators组。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”:“关闭系统”设置为“只指派给Administrators组”检测方法1、判定条件“关闭系统”设置为“只指派给Administrators组”2、检测操作进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”:查看“关闭系统”设置为“只指派给Administrators组”编号：安全要求-设备-WINDOWS-配置-7要求内容在本地安全设置中取得文件或其它对象的所有权仅指派给Administ