windows 操作系统安全运维所考虑的安全基线内容（windows xp）

windows 操作系统安全运维所考虑的安全基线内容（windows xp）

安全配置要求 账号 编号：1 要求内容 应按照不同的用户分配不同的账号，避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。 操作指南 1、参考配置操作 进入“控制面板->管理工具->计算机管理” ，在“系统工具->本地用户和组” ： 根据系统的要求，设定不同的账户和账户组。 检测方法 1、 判定条件 结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的账户和账户组 2、检测操作 进入“控制面板->管理工具->计算机管理” ，在“系统工具->本地用户和组” ： 查看根据系统的要求，设定不同的账户和账户组

编号：2 要求内容 应删除与运行、维护等工作无关的账号。 操作指南 1．参考配置操作 A）可使用用户管理工具： 开始-运行-compmgmt.msc-本地用户和组-用户 B）也可以通过 net 命令： 删除账号： net user account/de1 停用账号：net user account/active:no

检测方法 1.判定条件 结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的账号。 3 注：无关的账号主要指测试帐户、共享帐号、长期不用账号（半年以上不用）等 2.检测操作 开始-运行-compmgmt.msc-本地用户和组-用户

编号：3 要求内容 重命名 Administrator；禁用 guest（来宾）帐号。 操作指南 1、参考配置操作 进入“控制面板->管理工具->计算机管理” ，在“系统工具->本地用户和组” ： Administrator－>属性－> 更改名称 Guest 帐号->属性－> 已停用 检测方法 1、判定条件 缺省账户 Administrator名称已更改。 Guest 帐号已停用。 2、检测操作 进入“控制面板->管理工具->计算机管理” ，在“系统工具->本地用户和组” ： 缺省帐户－>属性－> 更改名称 Guest 帐号->属性－> 已停用

口令 编号：1 要求内容 密码长度要求：最少 8位 密码复杂度要求：至少包含以下四种类别的字符中的三种： z 英语大写字母 A, B, C, … Z z 英语小写字母 a, b, c, … z z 阿拉伯数字 0, 1, 2, … 9 z 非字母数字字符，如标点符号，@, #, $, %, &, *等 4 操作指南 1、参考配置操作 进入“控制面板->管理工具->本地安全策略” ，在“帐户策略->密码策略” ： “密码必须符合复杂性要求”选择“已启动” 检测方法 1、判定条件 “密码必须符合复杂性要求”选择“已启动” 2、检测操作 进入“控制面板->管理工具->本地安全策略” ，在“帐户策略->密码策略” ： 查看是否“密码必须符合复杂性要求”选择“已启动”

编号：2 要求内容 对于采用静态口令认证技术的设备，账户口令的生存期不长于 90天。 操作指南 1、参考配置操作 进入“控制面板->管理工具->本地安全策略” ，在“帐户策略->密码策略” ： “密码最长存留期”设置为“90 天” 检测方法 1、判定条件 “密码最长存留期”设置为“90 天” 2、检测操作 进入“控制面板->管理工具->本地安全策略” ，在“帐户策略->密码策略” ： 查看是否“密码最长存留期”设置为“90 天”

编号：3 要求内容 对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近 5次（含 5 次）内已使用的口令。 操作指南 1、参考配置操作

进入“控制面板->管理工具->本地安全策略” ，在“帐户策略->密码策略” ： “强制密码历史”设置为“记住 5个密码” 检测方法 1、判定条件 “强制密码历史”设置为“记住 5个密码” 2、检测操作 进入“控制面板->管理工具->本地安全策略” ，在“帐户策略->密码策略” ： 查看是否“强制密码历史”设置为“记住 5 个密码”

编号：4 要求内容 对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过 6 次（不含 6 次） ，锁定该用户使用的账号。 操作指南 1、参考配置操作 进入“控制面板->管理工具->本地安全策略” ，在“帐户策略->帐户锁定策略” ： “账户锁定阀值”设置为 6 次 设置解锁阀值：30 分钟 检测方法 1、判定条件 “账户锁定阀值”设置为小于或等于 6 次 2、检测操作 进入“控制面板->管理工具->本地安全策略” ，在“帐户策略->帐户锁定策略” ： 查看是否“账户锁定阀值”设置为小于等于 6次 补充说明： 设置不当可能导致账号大面积锁定，在域环境中应小心设置，Administrator 账号本身不会被锁定。 授权 编号：1 6 要求内容 本地、远端系统强制关机只指派给 Administrators 组。 操作指南 1、参考配置操作 进入“控制面板->管理工具->本地安全策略” ，在“本地策略->用户权利指派”: “关闭系统”设置为“只指派给 Administrators组” “从远端系统强制关机”设置为“只指派给 Administrators组”检测方法 1、判定条件 “关闭系统”设置为“只指派给 Administrators组” “从远端系统强制关机”设置为“只指派给 Administrtors组” 2、检测操作 进入“控制面板->管理工具->本地安全策略” ，在“本地策略->用户权利指派”: 查看“关闭系统”设置为“只指派给 Administrators 组” 查看是否“从远端系统强制关机”设置为“只指派给Administrators 组”

编号：2 要求内容 在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。 操作指南 1、参考配置操作 进入“控制面板->管理工具->本地安全策略” ，在“本地策略->用户权利指派” ： “取得文件或其它对象的所有权”设置为“只指派给Administrators 组” 检测方法 1、判定条件 “取得文件或其它对象的所有权”设置为“只指派给Administrators 组” 2、检测操作 进入“控制面板->管理工具->本地安全策略” ，在“本地策略->用 7 户权利指派” ： 查看是否“取得文件或其它对象的所有权”设置为“只指派给Administrators 组” 编号：3 要求内容 在本地安全设置中只允许授权帐号本地、远程访问登陆此计算机。操作指南 1、参考配置操作 进入“控制面板->管理工具->本地安全策略” ，在“本地策略->用户权利指派” “从本地登陆此计算机”设置为“指定授权用户” “从网络访问此计算机”设置为“指定授权用户” 检测方法 1、判定条件 “从本地登陆此计算机”设置为“指定授权用户” “从网络访问此计算机”设置为“指定授权用户” 2、检测操作 进入“控制面板->管理工具->本地安全策略” ，在“本地策略->用户权利指派” 查看是否“从本地登陆此计算机”设置为“指定授权用户” 查看是否“从网络访问此计算机”设置为“指定授权用户”

补丁 编号：1 要求内容 在不影响业务的情况下，应安装最新的 Service Pack 补丁集。对服务器系统应先进行兼容性测试。 操作指南 1、参考配置操作 安装最新的 Service Pack补丁集。 例如截止到 2010 年最新版本： Windows XP 的 Service Pack 为 SP3。Windows2000 的 Service Pack为 SP4,Windows 2003的 Service Pack 为 SP2 检测方法 1、判定条件

2、检测操作 进入控制面板->添加或删除程序->显示更新打钩，查看是否 XP 系统已安装SP3， Win2000系统已安装SP4， Win2003系统已安装SP2。防护软件 编号：1

要求内容 启用自带防火墙或安装第三方威胁防护软件。根据业务需要限定允许访问网络的应用程序，和允许远程登陆该设备的 IP地址范围。操作指南 1、参考配置操作（以启动自带防火墙为例） 进入“控制面板－>网络连接－>本地连接” ，在高级选项的设置中启用 Windows 防火墙。 在“例外”中配置允许业务所需的程序接入网络。 在“例外->编辑->更改范围”编辑允许接入的网络地址范围。 说明：分为服务器和操作终端两种情况： 服务器该项为可选，操作终端该项为必选 检测方法 1、判定条件 启用 Windows 防火墙。 “例外”中允许接入网络的程序均为业务所需。 2、检测操作 进入“控制面板－>网络连接－>本地连接” ，在高级选项的设置中，查看是否启用 Windows 防火墙。 查看是否在“例外”中配置允许业务所需的程序接入网络。 查看是否在“例外->编辑->更改范围”编辑允许接入的网络地址范围。

防病毒软件 编号：1 要求内容 安装防病毒软件，并及时更新。 操作指南 1、参考配置操作 9 安装防病毒软件，并及时更新。 检测方法 1、判定条件 已安装防病毒软件，病毒码更新时间不早于 1个月，各系统病毒码升级时间要求参见各系统相关规定。 注：对于操作终端该项为必选项，对于服务器该项为可选项 2、检测操作 控制面板->添加或删除程序，是否安装有防病毒软件。打开防病毒软件控制面板，查看病毒码更新日期。

日志安全要求 编号：1 要求内容 设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的 IP地址。 操作指南 1、参考配置操作 开始->运行-> 执行“ 控制面板->管理工具->本地安全策略->审核策略” 审核登录事件，双击，设置为成功和失败都审核。 检测方法 1、判定条件 审核登录事件，设置为成功和失败都审核。 2、检测操作 开始->运行-> 执行“ 控制面板->管理工具->本地安全策略->审核策略” 审核登录事件，双击，查看是否设置为成功和失败都审核。

编号：2 要求内容 开启审核策略，以便出现安全问题后进行追查 操作指南 1、参考配置操作 对审核策略进行检查：

开始-运行-gpedit.msc 计算机配置-Windows 设置-安全设置-本地策略-审核策略 以下审核是必须开启的，其他的可以根据需要增加： y 审核系统登陆事件 成功，失败 y 审核帐户管理 成功，失败 y 审核登陆事件 成功，失败 y 审核对象访问 成功 y 审核策略更改 成功，失败 y 审核特权使用 成功，失败 y 审核系统事件 成功，失败 2、补充说明 可能会使日志量猛增 检测方法 1、判定条件 尝试对被添加了访问审核的对象进行访问，然后查看安全日志中是否会有相关记录，或通过其他手段激化以配置的审核策略，并观察日志中的记录情况，如果存在记录条目，则配置成功。 2、检测操作

编号：3 要求内容 设置日志容量和覆盖规则，保证日志存储 操作指南 1、参考配置操作 开始-运行-eventvwr 右键选择日志，属性，根据实际需求设置： 日志文件大小：可根据需要制定 超过上限时的处理方式（建议日志记录天数不小于 90天） 2、 补充说明 建议对每个日志均进行如上操作，同时应保证磁盘空间 检测方法 1、判定条件 2、检测操作

开始-运行-eventvwr，右键选择日志，属性，查看日志上限及超过上线时的处理方式

不必要的服务、端口 编号：1 要求内容 关闭不必要的服务 操作指南 1、参考配置操作 进入“控制面板->管理工具->计算机管理” ，进入“服务和应用程序” ： 可根据具体应用情况参考附录 A，筛选不必要的服务。 检测方法 1、判定条件 系统管理员应出具系统所必要的服务列表。 查看所有服务，不在此列表的服务需关闭。 2、检测操作 进入“控制面板->管理工具->计算机管理” ，进入“服务和应用程序” ： 查看所有服务，不在此列表的服务是否已关闭。

编号： 2 要求内容 如需启用SNMP服务， 则修改默认的SNMP Community String设置。操作指南 1、参考配置操作 打开“控制面板”，打开“管理工具”中的“服务”，找到“SNMP Service”，单击右键打开“属性”面板中的“安全”选项卡，在这个配置界面中，可以修改 community strings，也就是微软所说的“团体名称”。 检测方法 1、判定条件 community strings已改，不是默认的“public” 2、检测操作 打开“控制面板”，打开“管理工具”中的“服务”，找到“SNMP

Service”，单击右键打开“属性”面板中的“安全”选项卡，在这个配置界面中，查看 community strings，也就是微软所说的“团体名称”。

编号： 3 要求内容 如对互联网开放 WindowsTerminial 服务(Remote Desktop)，需修改默认服务端口。 操作指南 1、参考配置操作 开始->运行 Regedt32 并转到此项:

HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp 找到 “PortNumber” 子项， 会看到默认值 00000D3D， 它是 3389 的十六进制表示形式。使用十六进制数值修改此端口号，并保存新值。 检测方法 1、判定条件 找到“PortNumber”子项，设定值非 00000D3D，即十进制 3389 2、检测操作 运行 Regedt32 ,找到此项并判断。

启动项 要求内容 关闭无效启动项 操作指南 1、参考配置操作 “开始->运行->MSconfig”启动菜单中，取消不必要的启动项。 检测方法 1、判定条件 2、检测操作 系统管理员提供业务必须的自动加载进程和服务列表文档。 查看“开始->运行->MSconfig”启动菜单： 不需要的自动加载进程是否已禁用和取消。

关闭自动播放功能 编号：1

要求内容 关闭 Windows自动播放功能 操作指南 1、参考配置操作 开始→运行→gpedit.msc，打开组策略编辑器，浏览到计算机配置→管理模板→系统，在右边窗格中双击“关闭自动播放”，对话框中选择所有驱动器，确定即可。 检测方法 1、判定条件 所有驱动器均“关闭自动播放” 2、检测操作 “关闭自动播放”配置已启用，启用范围：所有驱动器。

共享文件夹 编号：1 要求内容 在非域环境下，关闭 Windows 硬盘默认共享，例如 C$，D$。 操作指南 1、参考配置操作 进入“开始－>运行－>Regedit” ，进入注册表编辑器，更改注册表键值： HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\下，增加 REG_DWORD 类型的 AutoShareServer 键，值为 0。 检测方法 1、判定条件 HKLM\System\CurrentControlSet\ Services\LanmanServer\Parameters\增加了 REG_DWORD 类型的AutoShareServer 键，值为 0。 2、检测操作 进入“开始－>运行－>Regedit” ，进入注册表编辑器，更改注册表键值：

HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\，增加 REG_DWORD类型的 AutoShareServer 键，值为 0。

编号：2 要求内容 设置共享文件夹的访问权限，只允许授权的账户拥有权限共享此文件夹。 操作指南 1、参考配置操作 进入“控制面板->管理工具->计算机管理” ，进入“系统工具－>共享文件夹” ： 查看每个共享文件夹的共享权限，只将权限授权于指定账户。 检测方法 1、判定条件 查看每个共享文件夹的共享权限仅限于业务需要，不设置成为“everyone” 。 2、检测操作 进入“控制面板->管理工具->计算机管理” ，进入“系统工具－>共享文件夹” ： 查看每个共享文件夹的共享权限。 使用NTFS文件系统 要求内容 在不毁坏数据的情况下，将ＦＡＴ分区改为ＮＴＦＳ格式 操作指南 1、参考配置操作 将 FAT 卷转换成 NTFS 分区 CONVERT volume /FS:NTFS[/V] [/CvtArea:filename][/NoSecurity] [/X] Vo l ume 指定驱动器号（后面加一个冒号） 、装载点或卷名 /FS:NTFS 指定要被转换成 NTFS 的卷 /V 指定 CONVERT 应该用详述模式运行 /CvtArea:filename 将根目录中的一个接续文件指定为NTFS系统文件的占位符 15 /NoSecurity 指定每个人都可以访问转换的文件和目录的安全设置 /X 如果必要，先强行卸载卷，有打开的句柄则无效 例如： Covert C：/FS:NTFS 备注： 1、新上线系统必须要求 NTFS 分区，已上线系统在不损坏数据的情况下应用 2、在有其他非 WIN系统访问、存在数据共享的情况下，不建议将ＦＡＴ分区改为ＮＴＦＳ格式 检测方法 1、判定条件 2、检测操作

网络访问 编号：1

要求内容 禁用匿名访问命名管道和共享 16 操作指南 1、参考配置操作 “控制面板->管理工具->本地安全策略” ，在“本地策略->安全选项”:网络访问：可匿名访问的共享设置为全部删除 “控制面板->管理工具->本地安全策略” ，在“本地策略->安全选项”:网络访问：可匿名访问的命名管道 设置为全部删除 检测方法 1、判定条件 全部删除匿名访问命名管道和共享 2、 检测操作 查看“控制面板->管理工具->本地安全策略” ，在“本地策略->安全选项”:网络访问：可匿名访问的共享、可匿名访问的命名管道是否设置为全部删除

编号：2

要求内容 禁用可远程访问的注册表路径和子路径 操作指南 1、参考配置操作 “控制面板->管理工具->本地安全策略” ，在“本地策略->安全选项”:网络访问：可远程访问的注册表路径 设置为全部删除 “控制面板->管理工具->本地安全策略” ，在“本地策略->安全选项”:网络访问：可远程访问的注册表路径和子路径 设置为全部删除 检测方法 1、判定条件 全部删除可远程访问的注册表路径和子路径 3、 检测操作 查看“控制面板->管理工具->本地安全策略” ，在“本地策略->安全选项”:网络访问中，查看，可远程访问的注册表路径、可远程访问的注册表路径和子路径是否设置为全部删除

会话超时设置 编号：1 17 要求内容 对于远程登录的账户，设置不活动所连接时间 15 分钟 操作指南 1、参考配置操作 进入“控制面板—管理工具—本地安全策略” ，在“安全策略—安全选项” ： “Microsoft 网络服务器”设置为“在挂起会话之前所需的空闲时间”为 15 分钟 检测方法 1、判定条件 “Microsoft 网络服务器”设置为“在挂起会话之前所需的空闲时间”为 15 分钟 2、检测操作 进入“控制面板—管理工具—本地安全策略” ，在“安全策略—安全选项” ：查看“Microsoft 网络服务器”设置

附录 A：端口及服务 服务名称 端口 服务说明 关闭方法 处置建议 系统服务部分 echo 7/TCP RFC862_回声协议 关闭"Simple TCP/IP Services"服务。 建议关闭 echo 7/UDP RFC862_回声协议 discard 9/UDP RFC863 废除协议 discard 9/TCP RFC863 废除协议 daytime 13/UDP RFC867 白天协议 daytime 13/TCP RFC867 白天协议 qotd 17/TCP RFC865 白天协议的引用 qotd 17/UDP RFC865 白天协议的引用 chargen 19/TCP RFC864 字符产生协议 19 chargen 19/UDP RFC864 字符产生协议 ftp 21/TCP 文件传输协议(控制) 关闭"FTP Publishing Service"服务。 根据情况选择开放 smtp 25/TCP 简单邮件发送协议 关闭"Simple Mail Transport Protocol"服务。 建议关闭 nameserver 42/TCP WINS 主机名服务 关闭"Windows Internet Name Service"服务。 建议关闭 42/UDP domain 53/UDP 域名服务器 关闭"DNS Server"服务。 根据情况选择开放 53/TCP 根据情况选择开放 dhcps 67/UDP DHCP 服务器/Internet 连接共享 关闭"Simple TCP/IP Services"服务。 建议关闭 dhcpc 68/UDP DHCP协议客户端 关闭"DHCP Client"服务。 建议关闭 80/TCP HTTP 万维网发布服务 关闭"World Wide Web Publishing Service"服务。 根据情况选择开放 epmap 135/TCP RPC服务 系统基本服务 无法关闭 135/UDP 无法关闭 netbios-ns 137/UDP NetBIOS 名称解析 在网卡的 TCP/IP选项中"WINS"页勾选"禁用 TCP/IP上的NETBIOS" 根据情况选择开放 netbios-dgm 138/UDP NetBIOS 数据报服务 根据情况选择开放 netbios-ssn 139/TCP NetBIOS 会话服务 系统基本服务 无法关闭 snmp 161/UDP SNMP 服务 关闭"SNMP "服务 根据情况选择开放 443/TCP 安全超文本传输协议 关闭"World Wide Web Publishing Service"服务 根据情况选择开放 20 microsoft-ds 445/UDP SMB 服务器 运行regedit，打开HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters 添加名为"SMBDeviceEnabled"的子键，类型dword，值为0 重新启动计算机 根据情况选择开放 445/TCP isakmp 500/UDP IPSec ISAKMP 本地安全机构 关闭"IPSEC Policy Agent"服务 很少使用的服务，如不使用ipsec，建议关闭 RADIUS 1645/UDP 旧式 RADIUS Internet 身份验证服务 关闭"Remote Access Connection Manager"服务 建议关闭 RADIUS 1646/UDP 旧式 RADIUS Internet 身份验证服务 建议关闭 radius 1812/UDP 身份验证 Internet 身份验证服务 建议关闭 radacct 1813/UDP 计帐 Internet 身份验证服务 建议关闭 MSMQ-RPC 2105/TCP MSMQ-RPC 消息队列 关闭"Message Queuing"服务。 建议关闭 Termsrv 3389/TCP 终端服务 关闭"Terminal Services"服务。 根据情况选择开放 其他常用服务 Apache 80/TCP 8000/TCP Apache HTTP 服务器 关闭"Apache2"服务。 根据情况选择开放 ms-sql-s 1433/TCP 1434/UDP 微软公司数据库 关闭"MSSQLServer"服务。 根据情况选择开放 ORACLE 1521/TCP 甲骨文公司数据库 关闭"OracleOraHome90TNSListener"服务。 根据情况选择开放 21 remote administrator 4899/TCP Famatech公司远程控制软件 关闭"Remote Administrator Service "服务。 根据情况选择开放 sybase 5000/TCP Sybase公司数据库 关闭"Sybase SQLServer"字样开始的服务。 根据情况选择开放 pcAnywhere 5631/TCP 5632/UDP Symantec公司远程控制软件 关闭"pcAnywhere Host Service"字样开始的服务。 根据情况选择开放

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。