操作系统安全配置手册.docx

《操作系统安全配置手册.docx》由会员分享，可在线阅读，更多相关《操作系统安全配置手册.docx（18页珍藏版）》请在第一文库网上搜索。

1、WINDOWS操作系统安全配置手册目录WINDOWS操作系统安全配置手册11概述2合用范围22WINDOWS设备安全配置规定22.1 账号管理、认证授权22.2 口令32.3 授权52.4 日志配置操作82.5 IP协议安全配置操作132.6 设备其他配置操作132.7 共享文献夹及访问权限152.8 补丁管理162.9 防病毒管理162.10 Windows服务172.11 启动项171概述合用范围本规范所指的设备为Windows系统设备。本规范明确了运行Windows操作系统的设备在安全配置方面0基本规定。在未尤其阐明0状况下，均合用于所有运行BWindows操作系统。2WINDOWS设备

2、安全配置规定本手册从Windows系统设备的认证授权功能、安全日志功能以及IP网络安全功能，和其他自身安全配置功能四个方面提出安全规定。2.1 账号管理、认证授权认证功能用于确认登录系统B顾客真实身份。认证功能的详细实现方式包括静态口令、动态口令、指纹等生物鉴别技术等。授权功能赋予系统账号的操作权限，并限制顾客进行超越其账号权限的操作。规定内容按照顾客分派账号。根据系统的规定，设定不一样的账户和账户组，管理员顾客，数据库顾客，审计顾客，来宾顾客等。操作指南1、参照配置操作进入“控制面板-管理工具-计算机管理”，在“系统工具-当地顾客和组”：根据系统的规定，设定不一样的账户和账户组，管理员顾客，

3、数据库顾客，审计顾客，来宾顾客。检测措施1、鉴定条件结合规定和实际业务状况判断符合规定，根据系统的规定，设定不一样的账户和账户组，管理员顾客，数据库顾客，审计顾客，来宾顾客。2、检测操作进入“控制面板-管理工具-计算机管理”，在“系统工具-当地顾客和组”：查看根据系统H勺规定，设定不一样口勺账户和账户组，管理员顾客，数据库顾客，审计顾客，来宾顾客。规定内容对于管理员帐号，规定更改缺省帐户名称：禁用guest（来宾）帐号。操作指南1参照配置操作进入“控制面板-管理工具-计算机管理”，在“系统工具，当地顾客和组”：AdminiStrator属性一更更名称GUeSt帐号属性一已停用检测措施1、鉴定条

4、件缺省账户Administrator名称己更改。Guest帐号己停用。2、检测操作进入“控制面板-管理工具-计算机管理”，在“系统工具，当地顾客和组”：缺省帐户一属性一更更名称Guest帐号属性一已停用2.2口令规定内容最短密码长度8个字符，启用本机组方略中密码必须符合复杂性规定的方略。即密码至少包括如下四种类别的字符中的三种： 英语大写字母A,B,C,.Z 英语小写字母a,b,c,.z西方阿拉伯数字0,1,2,.9非字母数字字符，如标点符号，等操作指南1、参照配置操作进入“控制面板-管理工具，当地安全方略”，在“帐户方略，密码方略”：“密码必须符合复杂性规定”选择“已启动”检测措施1、鉴定条

5、件“密码必须符合及杂性规定”选择“已启动”2、检测操作进入“控制面板-管理工具，当地安全方略”，在“帐户方略-密码方略”：查看与否“密码必须符合复杂性规定”选择“已启动”规定内容对于采用静态口令认证技术的设备，账户口令的生存期不长于90天。操作指南1、参照配置操作进入“控制面板-管理工具-当地安全方略”，在“帐户方略，密码方略”：“密码最长存留期”设置为“90天”检测措施1、鉴定条件“密码最长存留期”设置为“90天”2、检测操作进入“控制面板-管理工具，当地安全方略”，在“帐户方略，密码方略”：查看与否“密码最长存留期”设置为“90天”规定内容对于采用静态口令认证技术的J设备，应配置设备，使顾

6、客不能反复使用近来5次（含5次）内已使用的口令。操作指南1、参照配置操作进入“控制面板-管理工具，当地安全方略”，在“帐户方略-密码方略”：“强制密码历史”设置为“记住5个密码”检测措施1、鉴定条件“强制密码历史”设置为“记住5个密码”2、检测操作进入“控制面板-管理工具-当地安全方略”，在“帐户方略-密码方略”：查看与否“强制密码历史”设置为“记住5个密码”规定内容对于采用静态口令认证技术的设备，应配置当顾客持续认证失败次数超过6次（不含6次），锁定该顾客使用的账号。操作指南1、参照配置操作进入“控制面板-管理工具-当地安全方略”，在“帐户方略-帐户锁定方略”：“账户锁定阀值”设置为6次检测

7、措施1、鉴定条件“账户锁定阀值”设置为不大于或等于6次2、检测操作进入“控制面板，管理工具，当地安全方略”，在“帐户方略，帐户锁定方略”：查看与否“账户锁定阀值”设置为不大于等于6次2.3授权规定内容在当地安全设置中从远端系统强制关机只指派给Administrators组。操作指南1、参照配置操作进入“控制面板-管理工具-当地安全方略”，在“当地方略-顾客权利指派”：“从远端系统强制关机”设置为“只指派给AdnIiniStratOrS组”检测措施1、鉴定条件“从远端系统强制关机”设置为“只指派给AdminiStrtorS组”2、检测操作进入“控制面板-管理工具-当地安全方略”，在“当地方略-顾

8、客权利指派”：查看与否“从远端系统强制关机”设置为“只指派给AdnIiniStratOrS组”规定内容在当地安全设置中关闭系统仅指派给Administrators组。操作指南1参照配置操作进入“控制面板-管理工具-当地安全方略”,在“当地方略-顾客权利指派”：“关闭系统”设置为“只指派给AdminiStratOrS组”检测措施1、鉴定条件“关闭系统”设置为“只指派给AdminiStratOrS组”2、检测操作进入“控制面板-管理工具-当地安全方略”，在“当地方略-顾客权利指派”：查看“关闭系统”设置为“只指派给AdminiStratOrS组”规定内容在当地安全设置中获得文献或其他对象的所有权仅

9、指派给dminiStratorso操作指南1、参照配置操作进入“控制面板-管理工具当地安全方略”，在“当地方略-顾客权利指派”：“获得文献或其他对象所有权”设置为“只指派给AdminiStratOrS组”检测措施1、鉴定条件“获得文献或其他对象的所有权”设置为“只指派给AdminiStratorS组”2、检测操作进入“控制面板-管理工具-当地安全方略”，在“当地方略-顾客权利指派”：查看与否“获得文献或其他对象的所有权”设置为“只指派给Administrators组”规定内容在当地安全设置中配置指定授权顾客容许当地登陆此计算机。操作指南1参照配置操作进入“控制面板-管理工具-当地安全方略”,在

10、“当地方略-顾客权利指派”“从当地登陆此计算机”设置为“指定授权顾客”检测措施1、鉴定条件“从当地登陆此计算机”设置为“指定授权顾客”2、检测操作进入“控制面板-管理工具-当地安全方略”，在“当地方略-顾客权利指派”查看与否“从当地登陆此计算机”设置为“指定授权顾客”规定内容在组方略中只容许授权帐号从网络访问（包括网络共享等，但不包括终端服务）此计算机。操作指南1、参照配置操作进入“控制面板-管理工具当地安全方略”，在“当地方略-顾客权利指派”“从网络访问此计算机”设置为“指定授权顾客”检测措施1、鉴定条件“从网络访问此计算机”设置为“指定授权顾客”2、检测操作进入“控制面板管理工具当地安全方

11、略”，在“当地方略-顾客权利指派”查看与否“从网络访问此计算机”设置为“指定授权顾客”2.4日志配置操作规定内容设备应配置日志功能，对顾客登录进行记录，记录内容包括顾客登录使用的账号，登录与否成功，登录时间，以及远程登录时，顾客使用的IP地址。操作指南1、参照配置操作开始-运行-执行控制面板-管理工具-当地安全方略-审核方略”审核登录事件，双击，设置为成功和失败都审核。检测措施1、鉴定条件审核登录事件，设置为成功和失败都审核。2、检测操作开始-运行-执行控制面板-管理工具-当地安全方略-审核方略”审核登录事件，双击，查看与否设置为成功和失败都审核。规定内容启用组方略中对WindoWS系统於J审

12、核方略更改,成功和失败都要审核。操作指南1、参照配置操作进入“控制面板，管理工具，当地安全方略”，在“当地方略，审核方略”中“审核方略更改”设置为“成功”和“失败”都要审核检测措施1、鉴定条件“审核方略更改”设置为“成功”和“失败”都要审核2、检测操作进入“控制面板，管理工具，当地安全方略”，在“当地方略-审核方略”中查看与否“审核方略更改”设置为“成功”和“失败”都要审核规定内容启用组方略中对WindOWS系统口勺审查对象访问，成功和失败都要审核。操作指南1参照配置操作进入“控制面板，管理工具，当地安全方略”，在“当地方略-审核方略”中：“审查对象访问”设置为“成功”和“失败”都要审核检测措

13、施1、鉴定条件“审查对象访问”设置为“成功”和“失败”都要审核2、检测操作进入“控制面板-管理工具-当地安全方略”，在“当地方略-审核方略”中：查看与否“审查对象访问”设置为“成功”和“失败”都要审核规定内容启用组方略中对Windows系统的审核目录服务访问，失败。操作指南1、参照配置操作进入“控制面板，管理工具，当地安全方略”，在“当地方略，审核方略”中：“审核目录服务器访问”设置为“成功”和“失败”都要审核检测措施1、鉴定条件“审核目录服务器访问”设置为“成功”和“失败”都要审核2、检测操作进入“控制面板，管理工具-当地安全方略”，在“当地方略，审核方略”中：杳看与否“审核目录服务器访问”

14、设置为“成功”和“失败”都要审核规定内容启用组方略中对WindoWS系统於J审核特权使用，成功和失败都要审核。操作指南1、参照配置操作进入“控制面板，管理工具-当地安全方略”，在“当地方略，审核方略”中：“审核特权使用”设置为“成功”和“失败”都要审核检测措施1、鉴定条件“审核目录服务器访问”设置为“成功”和“失败”都要审核2、检测操作进入“控制面板，管理工具，当地安全方略”，在“当地方略-审核方略”中：查看与否“审核目录服务器访问”设置为“成功”和“失败”都要审核规定内容启用组方略中对WindOWS系统的T审核系统事件,成功和失败都要审核。操作指南1、参照配置操作进入“控制面板，管理工具，当地安全方略”，在“当地方略-审核方略”中：“审核系统事件”设置为“成功”和“失败”都要审核检测措施1、鉴定条件“审核系统事件”设置为“成功”和“失败”都要审核2、检测操作进入“控制面板，