Windows 通用安全基线配置指南
titre概述:本文档旨在提供 Windows 通用安全基线的配置指南,为企业中的网络安全管理员提供实用的指南,以确保 Windows 系统的安全运行。
1. 共享账号检查配置
Windows 系统中的共享账号可能会导致安全风险,因此需要对共享账号进行检查和配置。配置要求包括:
* 系统需按照实际用户分配账号
* 根据系统的使用需求,设定不同的账户和账户组,包括管理员用户、数据库用户、审计用户、来宾用户等
* 避免出现共享账号情况
操作指南:
* 对于 Windows 2000 和 2003,查看控制面板 -> 管理工具 -> 计算机管理 -> 系统工具 -> 本地用户和组
* 对于 Windows 2008 x64,查看管理工具 -> 服务器管理 -> 配置 -> 本地用户和组
检查方法:
* 查看已创建账户和账户组,与管理员确认有无无用的或共用的账户
* 如果每一账户都按需创建和划分账户组的,则符合要求
配置方法:
* 根据系统实际使用需求,设定不同的账户和账户组,如管理员用户、数据库用户、审计用户、来宾用户
* 避免出现共享账号情况
适用版本:Windows Server 2003、Windows 2000 Server、Windows Server 2008 X64
2. 来宾账户检查配置
Windows 系统中的来宾账户可能会导致安全风险,因此需要对来宾账户进行检查和配置。配置要求包括:
* 禁用来宾账户
操作指南:
* 对于 Windows 2000 和 2003,查看控制面板 -> 管理工具 -> 计算机管理 -> 系统工具 -> 本地用户和组 -> Guest 账户 -> 属性 -> 常规页
* 对于 Windows 2008 x64,查看管理工具 -> 服务器管理 -> 配置 -> 本地用户和组 -> Guest 账户 -> 属性 -> 常规页
检查方法:
* 查看“账户已禁用”项状态,勾选为已禁用来宾账号
配置方法:
* 勾选“账户已禁用”项,禁用来宾账号
适用版本:Windows Server 2003、Windows 2000 Server、Windows Server 2008 X64
3. 口令复杂度策略配置
Windows 系统中的口令复杂度策略可以提高系统的安全性。配置要求包括:
* 最短密码长度为 12 个字符
* 启用本机组策略中密码必须符合复杂性要求的策略,即密码至少包含以下四种类别的字符中的三种:
+ 英语大写字母 A, B, C, … Z
+ 英语小写字母 a, b, c, … z
+ 西方阿拉伯数字 0, 1, 2, … 9
+ 非字母数字字符,如标点符号、@、#、$、%、&、* 等
操作指南:
* 对于 Windows 2000 和 2003,查看控制面板 -> 管理工具 -> 本地安全策略 -> 帐户策略 -> 密码策略 -> 密码长度最小值 -> 属性
* 对于 Windows 2008 x64,查看管理工具 -> 本地安全策略 -> 帐户策略 -> 密码策略 -> 密码长度最小值 -> 属性
检查方法:
* 查看密码最小值设置,大于等于 12 为符合要求
* 查看单选框“已启动”状态,选中“已启动”为符合
配置方法:
* 将密码最小值设置为大于等于 12
* 将“密码必须符合复杂性要求”项,选中“已启动”
适用版本:Windows Server 2003、Windows 2000 Server、Windows Server 2008 X64
4. 口令最长生存期策略配置
Windows 系统中的口令最长生存期策略可以提高系统的安全性。配置要求包括:
* 操作系统的账户口令的最长生存期不长于 90 天
操作指南:
* 对于 Windows 2000 和 2003,查看控制面板 -> 管理工具 -> 本地安全策略 -> 帐户策略 -> 密码策略 -> 密码最长存留期 -> 属性
* 对于 Windows 2008 x64,查看管理工具 -> 本地安全策略 -> 帐户策略 -> 密码策略 -> 密码最长存留期 -> 属性
检查方法:
* 查看“密码最长使用期限”小于等于 90 为符合
配置方法:
* 查看“密码最长使用期限”小于等于 90 为符合
适用版本:Windows Server 2003、Windows 2000 Server、Windows Server 2008 X64
5. 远程关机授权配置
Windows 系统中的远程关机授权可以提高系统的安全性。配置要求包括:
* 在本地安全设置中从远端系统强制关机只指派给 Administrators 组
操作指南:
* 对于 Windows 2000 和 2003,查看控制面板 -> 管理工具 -> 本地安全策略 -> 本地策略 -> 用户权利指派 -> 从远端系统强制关机 -> 属性
* 对于 Windows 2008 x64,查看管理工具 -> 本地安全策略 -> 本地策略 -> 用户权限分配 -> 从远程系统强制关机 -> 属性
检查方法:
* 查看“从远端系统强制关机”权限指派情况,仅指派给 Administrators,符合要求
配置方法:
* 设置为“只指派给 Administrators 组”
适用版本:Windows Server 2003、Windows 2000 Server、Windows Server 2008 X64