一:共用賬號檢查 二:來賓賬戶檢查 三:口令複雜度策略 四:口令最長生存期策略 五:遠程關機授權 六:系統關閉授權 七:文件許可權指派 八:匿名許可權限制 八:登陸日誌檢查 九:系統日誌完備性檢查 十:日誌大小設置 十一:遠程登錄超時配置 十二:預設共用檢查 十三:共用許可權檢查 十四:防範病毒管理 十五 ...
一:共用賬號檢查
配置名稱:賬號分配檢查,避免共用賬號存在
配置要求: 1、系統需按照實際用戶分配賬號;
2、根據系統的使用需求,設定不同的賬戶和賬戶組,包括管理員用戶,資料庫用戶,審計用戶,來賓用戶等;
3、避免出現共用賬號情況;
操作指南:參考配置操作(適用2000、2003)
”控制面板->管理工具->電腦管理->系統工具->本地用戶和組”。
參考配置操作(適用2008 x64)
”管理工具->伺服器管理->配置->本地用戶和組”。
檢查方法:查看已創建賬戶和賬戶組,與管理員確認有無無用的或共用的賬戶,如果每一賬戶都按需創建和劃分賬戶組的則符合要求。
配置方法:根據系統實際使用需求,設定不同的賬戶和賬戶組,如:管理員用戶,資料庫用戶,審計用戶,來賓用戶。
使用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64。二:來賓賬戶檢查
配置名稱:禁用來賓賬戶
配置要求:禁用guest(來賓)用戶
操作指南:參考配置操作(適用2000、2003)
”控制面板->管理工具->電腦管理”,在”系統工具->本地用戶和組->Guest賬戶>屬性->“常規”頁
參考配置操作(適用2008 x64)
”管理工具->伺服器管理”,在”配置->本地用戶和組->Guest賬戶->屬性-> “常規”頁
檢查方法:檢查覆選框”賬戶已禁用”項狀態,勾選為已禁用來賓賬號
配置方法:勾選覆選框”賬戶已禁用”項,禁用來賓賬號。
適用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64。三:口令複雜度策略
配置名稱:口令複雜度策略
配置要求:1、最短密碼長度 12個字元;
2、啟用本機組策略中密碼必須符合複雜性要求的策略,即密碼至少包含以下四種類別的字元中的三種:
英語大寫字母 A, B, C, … Z
英語小寫字母 a, b, c, … z
西方阿拉伯數字 0, 1, 2, … 9
非字母數字字元,如標點符號,@, #, $, %, &, *等
操作指南:參考配置操作(適用2000、2003)
1、”控制面板->管理工具->本地安全策略->帳戶策略->密碼策略->密碼長度最小值->屬性”
2、”控制面板->管理工具->本地安全策略->帳戶策略->密碼策略->密碼必須符合複雜性要求->屬性”
參考配置操作(適用2008 x64)
1、”管理工具->本地安全策略->帳戶策略->密碼策略->密碼長度最小值->屬性”
2、”管理工具->本地安全策略->帳戶策略->密碼策略->密碼必須符合複雜性要求->屬性”
檢查方法:1、檢查最小值設置,大於等於12為符合要求;
2、檢查單選框”已啟動”狀態,選中”已啟動”為符合。
配置方法:1、將密碼最小值設置為大於等於12;
2、將”密碼必須符合複雜性要求”項,選中”已啟動”。
使用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64四:口令最長生存期策略
配置名稱:口令最長生存期策略
配置要求:要求操作系統的賬戶口令的最長生存期不長於90天。
操作指南:參考配置操作(適用2000、2003)
”控制面板->管理工具->本地安全策略->帳戶策略->密碼策略->密碼最長存留期->屬性”
參考配置操作(適用2008 x64)
”管理工具->本地安全策略->帳戶策略->密碼策略->密碼最長存留期->屬性”
檢查方法:檢查”密碼最長使用期限”小於等於90為符合。
配置方法:檢查”密碼最長使用期限”小於等於90為符合。
使用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64五:遠程關機授權
配置名稱:本地安全設置中遠程關機授權只指派給Administrators組
配置要求:在本地安全設置中從遠端系統強制關機只指派給Administrators組。
操作指南:參考配置操作(適用2000、2003)
”控制面板->管理工具->本地安全策略->本地策略->用戶權利指派->從遠端系統強制關機->屬性”
參考配置操作(適用2008 x64)
”管理工具->本地安全策略->本地策略->用戶許可權分配->從遠程系統強制關機->屬性”
檢查方法:查看”從遠端系統強制關機”許可權指派情況”,僅指派給 administrators,符合要求。
配置方法:設置為”只指派給Administrators組”
使用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64六:系統關閉授權
配置名稱:本地安全設置中關閉系統僅指派給Administrators組
配置要求:檢測本地安全設置中關閉系統僅指派給Administrators組
操作指南:參考配置操作(適用2003)
”控制面板->管理工具->本地安全策略->本地策略->用戶權利指派->關閉系統->屬性”
參考配置操作(適用2008 x64)
”管理工具->本地安全策略->本地策略->用戶許可權分配->關閉系統->屬性”
檢查方法:查看”關閉系統”許可權指派情況,內容為administrators,表示符合要求。
配置方法:設置為”只指派給Administrators組”
使用版本:Windows Server 2003、Windows Server 2008 X64七:文件許可權指派
配置名稱:文件許可權指派
配置要求:在本地安全設置中取得文件或其它對象的所有權僅指派給Administrators。
操作指南:參考配置操作(適用2003)
”控制面板->管理工具->本地安全策略->本地策略->用戶權利指派->取得文件或其它
對象的所有權->屬性”
參考配置操作(適用2008 x64)
”管理工具->本地安全策略->本地策略->用戶許可權分配->用戶權利指派->取得文件或其它對象的所有權->屬性”
檢查方法:查看“取得文件或其它對象”的僅限指情況,指派給Administrators”為符合要求。
配置方法:設置為”只指派給Administrators組”
使用版本:Windows Server 2003、Windows Server 2008 X64八:匿名許可權限制
配置名稱:網路連接中限制匿名用戶連接許可權
配置要求:在組策略中只允許授權帳號從網路訪問(包括網路共用等,但不包括終端服務)此電腦。
操作指南:參考配置操作(適用2003)
”控制面板->管理工具->本地安全策略->本地策略->用戶權利指派->從網路訪問此電腦->屬性”
參考配置操作(適用2008 x64)
”管理工具->本地安全策略->本地策略->用戶許可權分配->從網路訪問此電腦->屬性”
檢查方法:檢查屬性列表,不包括”Users”和”Everyone”組和其他無用組為符合要求.
配置方法:根據需求添加訪問組。
適用版本:Windows Server 2003、Windows Server 2008 X64八:登陸日誌檢查
配置名稱:檢測是否設置審核賬戶登錄事件
配置要求:系統應啟用日誌功能,對用戶登錄進行記錄,記錄內容包括用戶登錄使用的賬號,登錄是否成功,登錄時間,以及遠程登錄時,用戶使用的IP地址。
操作指南:參考配置操作(適用2000、2003)
”控制面板->管理工具->本地安全策略->審核策略->審核登錄事件->屬性”。
參考配置操作(適用2008 x64)
”管理工具->本地安全策略->審核策略->審核登錄事件->屬性”。
檢查方法:檢查是否同時勾選了”成功”和”失敗”,同時勾選為符合要求。
配置方法:設置為成功和失敗都審核。
適用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64九:系統日誌完備性檢查
配置名稱:系統日誌完備性檢查,檢查是否啟用系統多項審核策略
配置要求:系統應配置完整的審核策略,啟用本地策略中審核策略中如下項。每項都需要設置為”成功”和”失敗”都要審核。
參考配置操作(適用2000、2003)
”控制面板->管理工具->本地安全策略->需要配置的策略:
參考配置操作(適用2008 x64)
”管理工具->本地安全策略->需要配置的策略:
審核策略更改
審核對象訪問
審核進程跟蹤
審核目錄服務訪問
審核特權使用
審核系統事件
審核賬戶管理
操作指南:參考配置操作
進入”控制面板->管理工具->本地安全策略->本地策略->審核策略”中。進入如下項的”屬性頁”
審核策略更改
審核對象訪問
審核進程跟蹤
審核目錄服務訪問
審核特權使用
審核系統事件
審核賬戶管理
檢查方法:檢查項包括以下7子項:
檢測是否啟用對Windows系統的審核策略更改
檢測是否啟用對Windows系統的審核對象訪問
檢測是否啟用Windows系統審核目錄服務訪問
檢測是否啟用Windows系統審核特權使用
檢測是否啟用Windows系統審核系統事件
檢測是否啟用Windows系統的審核賬戶管理
檢測是否啟用Windows系統的審核過程追蹤
以上每一項都要勾選”成功”和”失敗”項,才符合要求。
配置方法:分別進入以上7個子項配置頁,勾選”成功”和”失敗”覆選框。
適用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64十:日誌大小設置
配置名稱:檢測系統日誌、應用日誌、安全日誌的大小以及擴展設置是否符合規範
配置要求:1、設置系統日誌文件大小至少為32MB,設置當達到最大的日誌尺寸時,按需要改寫事件。
2、設置應用日誌文件大小至少為32M B,設置當達到最大的日誌尺寸時,按需要改寫事件。
3、設置安全日誌文件大小至少為32M B,設置當達到最大的日誌尺寸時,按需要改寫事件。
操作指南:參考配置操作(適用2000、2003)
進入”控制面板->管理工具->事件查看器”,在”事件查看器(本地)”中的:
“系統日誌”屬性頁;
“應用日誌”屬性頁;
“安全日誌”屬性頁。
參考配置操作(適用2008 x64)
進入”管理工具->伺服器管理”, 在”診斷->事件查看器->windows日誌”中的:
“系統日誌”屬性頁;
“應用日誌”屬性頁;
“安全日誌”屬性頁。
檢查方法:檢查包括以下6子項
應用日誌文件大小至少為32M B
當達到最大的應用日誌尺寸時,按需要改寫事件
系統日誌文件大小至少為32M B
當達到最大的應用日誌尺寸時,按需要改寫事件
安全日誌文件大小至少為32M B
當達到最大的安全日誌尺寸時,按需要改寫事件
以上檢查內容符合,整體才符合要求。
配置方法:1、設置應用日誌文件大小至少為32M B
設置當達到最大的應用日誌尺寸時,按需要改寫事件
2、設置系統日誌文件大小至少為32M B
設置當達到最大的應用日誌尺寸時,按需要改寫事件
3、設置安全日誌文件大小至少為32M B
設置當達到最大的安全日誌尺寸時,按需要改寫事件
適用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64十一:遠程登錄超時配置
配置名稱:遠程登陸超時配置
配置要求:檢查設置:對於遠程登陸的帳號,設置不活動斷連時間15分鐘
操作指南:參考配置操作(適用2003)
”控制面板->管理工具->本地安全策略->本地策略->安全選項->Microsoft網路伺服器”
參考配置操作(適用2008 x64)
”管理工具->本地安全策略->本地策略->安全選項->Microsoft網路伺服器”
檢查方法:檢查”對於遠程登陸的帳號設置”,不活動斷連時間15分鐘或小於15分鐘為符合要求。
配置方法:設置為”在掛起會話之前所需的空閑時間”為15分鐘或更小。
適用版本:Windows Server 2003、Windows Server 2008 X64十二:預設共用檢查
配置名稱:預設共用檢查
配置要求:非域環境中,關閉Windows硬碟預設共用,例如C$,D$。
操作指南:參考配置操作
”開始->運行->net share”
檢查方法:檢查有無預設共用,無任何預設共用為符合要求。
配置方法:”開始->運行->Regedit”,進入註冊表編輯器,
定位到HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\下,
增加REG_DWORD類型的AutoShareServer 鍵,值為 0。
Windows Server 2008X64環境配置檢查位置:HKEY_LOCAL_MACHINE//SYSTEM//CurrentControlSet//Services//lanmanserver//parameters”
適用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64十三:共用許可權檢查
配置名稱:共用許可權檢查
配置要求:查看每個共用文件夾的共用許可權,只允許授權的賬戶擁有許可權共用此文件夾,禁止使用共用許可權為”everyone”
操作指南:參考配置操作(適用2000、2003)
”控制面板->管理工具->電腦管理->系統工具->共用文件夾”
參考配置操作(適用2008 x64)
”管理工具->共用和存儲管理”
檢查方法:1、查看每個共用文件夾的共用許可權僅限於業務需要,不設置成為”everyone”
2、輸出所有共用文件夾信息和具體許可權信息;但許可權是否符合需求需要後期處理確認
配置方法:在”共用文件”屬性頁中,只保留需要的賬戶。
適用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64十四:防範病毒管理
配置名稱:防病毒管理
配置要求:安裝防病毒軟體,並及時更新。
操作指南:參考配置操作
定位到殺毒軟體版本信息頁面。
檢查方法:檢查防病毒進程運行是否正常及當前病毒庫版本是否為最新。
配置方法:安裝防病毒軟體,並檢查是否更新到最新病毒定義。
適用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64十五:補丁分發管理
配置名稱:補丁分發管理
配置要求:加入網上交易WSUS系統,及時更新系統補丁。
操作指南:參考配置操作
1、定位到註冊表項:
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate WUServer鍵
2、”開始->運行->services.msc->Automatic Updates”
檢查方法:1、鍵值是否為http://10.1.30.233。若是,則表明加入了網上交易WSUS,否則沒有正確加入網上交易WSUS系統。
2、檢查服務項Automatic Updates服務是否開啟,啟動類型是否設置為自動。
以上2項都滿足為符合要求。
配置方法:登錄http://10.1.30.233,下載並運行網上交易伺服器補丁註冊腳本。在導入註冊表後檢查自動更新選項是否顯示為灰色不可選,
如是則表明註冊表導入成功,之後重啟Automatic Updates服務。
適用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64十六:server pack 管理
配置名稱:Service Pack管理
配置要求:安裝最新的Service Pack
操作指南:參考配置操作
右鍵”我的電腦->屬性->常規頁”
檢查方法:檢查是否安裝了最新的Service Pack。
目前Windows 2000 server最新版本Service Pack為SP4,Windows Server 2003
最新的Service Pack為SP2
配置方法:安裝最新的Service Pack,並及時更新。
登錄http://10.1.30.233,下載並安裝最新的Service Pack。
適用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64十七:屏保密碼保護
配置名稱:密碼屏幕保護
配置要求:設置帶密碼的屏幕保護,並將時間設定為15分鐘。
操作指南:參考配置操作(適用2000、2003)
”控制面板->顯示->屏幕保護程式”:
參考配置操作(適用2008 x64)
”控制面板->外觀->顯示->屏幕保護程式”:
檢查方法:檢查是否啟用了”在恢復時使用密碼保護”,並設置等待時間為15分鐘或者更短,兩項都滿足為符合要求。
配置方法:1、設置等待時間為”15分鐘”;
2、勾選”在恢復時使用密碼保護”選擇框。
適用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64十八:自動播放關閉
配置名稱:自動播放關閉
配置要求:關閉Windows自動播放功能
操作指南:參考配置操作(適用2000)
”開始->運行->Regedit”,進入註冊表編輯器,定位到註冊表:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CDRom
參考配置操作(適用2003)
點擊開始→運行→輸入gpedit.msc,打開組策略編輯器,瀏覽到電腦配置→管理模板→系統”
參考配置操作(適用2008 x64)
點擊開始->運行→輸入gpedit.msc,打開組策略編輯器,瀏覽到電腦配置->管理模板->Windows 組件->自動播放策略”
檢查方法:Windows2000:檢查”Autorun”鍵值,為0符合要求;
Windows 2003:檢查”關閉自動播放”對話框,選擇了所有驅動器為符合要求;
Windows 2008:檢查”關閉自動播放”對話框,選擇了所有驅動器,為符合要求。
配置方法:Windows 2000:將”Autorun”鍵值更改為0。
Windows2003:在右邊窗格中雙擊”關閉自動播放”,對話框中選擇所有驅動器,確定即可。
Windows2008:,在右邊窗格中雙擊”關閉自動播放”,對話框中選擇所有驅動器,確定即可。
適用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64十九:SNMP預設口令修改
配置名稱:SNMP預設口令修改
配置要求:如需啟用SNMP服務,則修改預設的SNMP Community String設置。
操作指南:參考配置操作(適用2003)
打開”控制面板”,打開”管理工具”中的”服務”,找到”SNMP Service”,單擊右鍵打開”屬性”面板中的”安全”選項卡。
參考配置操作(適用2008 x64)
進入”管理工具->伺服器管理”,在”配置->服務”,找到”SNMP Service”,單擊右鍵打開”屬性”面板中的”安全”選項卡
檢查方法:1、確認SNMP 服務已啟動;
2、服務如啟動,檢查Community String是否使用預設public和private,如果沒使用為符合要求
配置方法:在這個配置界面中,修改community strings,避免使用預設密碼。
適用版本:Windows Server 2003、Windows Server 2008 X64二十:啟動項檢查
配置名稱:啟動項檢查
配置要求:列出系統啟動時自動載入的進程和服務列表,不在此列表的需關閉。
操作指南:參考配置操作
“開始->運行->MSconfig”啟動系統配置實用程式。
檢查方法:查看是否有可疑啟動項,對於無法確認程式,需要與管理員進行確認。
配置方法:直接將可以啟動項前的勾選框勾選掉。
適用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64二十一:管理員賬號更名
配置名稱:管理員賬號更改名稱
配置要求:對於管理員帳號,要求更改預設帳戶名稱administrator
操作指南:參考配置操作(適用2003)
進入”控制面板->管理工具->電腦管理”,在”系統工具->本地用戶和組”
參考配置操作(適用2008 x64)
進入”管理工具->伺服器管理->配置->本地用戶和組”
檢查方法:檢測管理員帳戶是否改名,已更名為符合要求
配置方法:“右鍵Administrator->屬性”,更改名稱即可
適用版本:Windows Server 2003、Windows Server 2008 X64二十二:登錄失敗賬戶鎖定策略
配置名稱:配置登錄失敗賬戶鎖定策略,超過8次登錄失敗鎖定賬號策略
配置要求:應配置當用戶短時間內連續認證失敗次數超過8次(不含8次),鎖定該用戶使用的賬號;設置賬戶鎖定時間為30分鐘。
操作指南:參考配置操作(適用2003)
進入”控制面板->管理工具->本地安全策略->帳戶策略->帳戶鎖定策略->賬戶鎖定時間->屬性頁”
參考配置操作(適用2008 x64)
進入”管理工具->伺服器管理->帳戶策略->帳戶鎖定策略->賬戶鎖定閥值->屬性頁”
檢查方法:1、”靜態口令認證技術的設備用戶是否連續認證失敗次數超過8次(不含8次),鎖定該用戶的賬號”;
2、檢查是否設置賬號鎖定時間為30分鐘或更長;
符合以上2項檢查為符合要求。
配置方法:1、在”賬戶鎖定閥值”屬性頁中,設置為 8次;
2、在”賬戶鎖定時間”屬性頁中,設置為30分鐘
適用版本:Windows Server 2003、Windows Server 2008 X64二十三:本機防火牆設置
配置名稱:檢查Windows是否啟用自帶防火牆
配置要求:啟用Windows 自帶防火牆。根據業務需要限定允許訪問網路的應用程式,和允許遠程登陸該設備的IP地址範圍。
操作指南:參考配置操作(適用2003)
”控制面板->網路連接->本地連接->高級選項”
參考配置操作(適用2008 x64)
”控制面板->系統和安全->Windows防火牆->打開或關閉Windows防火牆選項”
檢查方法:檢查Windows是否啟用自帶防火牆”.
配置方法:1、啟用Windows防火牆。
在”例外”中配置允許業務所需的程式接入網路。
在”例外->編輯->更改範圍”編輯允許接入的網路地址範圍。
適用版本:Windows Server 2003、Windows Server 2008 X64二十四:DEP功能啟用
配置名稱:DEP功能啟用
配置要求:對於Windows 2003及Windows 2008對Windows操作系統程式和服務啟用系統自帶DEP功能(數據執行保護),防止在受保護記憶體位置運行有害代碼。
操作指南:參考配置操作(適用2003、2008 x64)
進入”控制面板->系統”,在”高級”選項卡的”性能”下的”設置”。進入 “數據執行保護”選項卡。
檢查方法:檢測Windows是否啟用數據執行保護,啟動為符合要求。
配置方法:在“數據執行保護”選項卡中,設置為”僅為基本 Windows 操作系統程式和服務啟用DEP”。
適用版本:Windows Server 2003、Windows Server 2008 X64二十五:服務檢查
配置名稱:Windows服務輸出
配置要求:列出所需要服務的列表(包括所需的系統服務),通過與系統管理員確認無異常服務存在。一般情況下,如無特殊必要,
不應安裝IIS、DNS、WINS、DHCP等服務或組件。
配置指南:參考配置操作(適用2000、2003)
進入”控制面板->管理工具->電腦管理”,進入”服務和應用程式”:
查看所有服務,輸出所有服務列表,查看是否有異常服務。
參考配置操作(適用2008 x64)
進入”管理工具->伺服器管理”,在”配置->服務”:
查看所有服務,輸出所有服務列表,查看是否有異常服務。
檢查方法:1、系統管理員應出具系統所必要的服務列表。
2、查看所有服務,不在此列表的服務需關閉。
或建議關閉Task Scheduler 計劃任務,Routing and Remote Access在區域網以及廣域網環境中為企業提供路由服務。
RemoteRegistry使遠程用戶能修改此電腦上的註冊表設置。Print Spooler將文件載入到記憶體中以便遲後列印。關閉無線服務和telnet服務。
配置方法:進入”控制面板->管理工具->電腦管理”,進入”服務和應用程式”:
查看所有服務,不在此列表的服務是否已關閉。
適用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64
