Windows通用安全基线.docx

Windows 通用安全基线配置指南 titre概述：本文档旨在提供 Windows 通用安全基线的配置指南，为企业中的网络安全管理员提供实用的指南，以确保 Windows 系统的安全运行。 1. 共享账号检查配置 Windows 系统中的共享账号可能会导致安全风险，因此需要对共享账号进行检查和配置。配置要求包括： * 系统需按照实际用户分配账号 * 根据系统的使用需求，设定不同的账户和账户组，包括管理员用户、数据库用户、审计用户、来宾用户等 * 避免出现共享账号情况 操作指南： * 对于 Windows 2000 和 2003，查看控制面板 -> 管理工具 -> 计算机管理 -> 系统工具 -> 本地用户和组 * 对于 Windows 2008 x64，查看管理工具 -> 服务器管理 -> 配置 -> 本地用户和组 检查方法： * 查看已创建账户和账户组，与管理员确认有无无用的或共用的账户 * 如果每一账户都按需创建和划分账户组的，则符合要求 配置方法： * 根据系统实际使用需求，设定不同的账户和账户组，如管理员用户、数据库用户、审计用户、来宾用户 * 避免出现共享账号情况 适用版本：Windows Server 2003、Windows 2000 Server、Windows Server 2008 X64 2. 来宾账户检查配置 Windows 系统中的来宾账户可能会导致安全风险，因此需要对来宾账户进行检查和配置。配置要求包括： * 禁用来宾账户 操作指南： * 对于 Windows 2000 和 2003，查看控制面板 -> 管理工具 -> 计算机管理 -> 系统工具 -> 本地用户和组 -> Guest 账户 -> 属性 -> 常规页 * 对于 Windows 2008 x64，查看管理工具 -> 服务器管理 -> 配置 -> 本地用户和组 -> Guest 账户 -> 属性 -> 常规页 检查方法： * 查看“账户已禁用”项状态，勾选为已禁用来宾账号 配置方法： * 勾选“账户已禁用”项，禁用来宾账号 适用版本：Windows Server 2003、Windows 2000 Server、Windows Server 2008 X64 3. 口令复杂度策略配置 Windows 系统中的口令复杂度策略可以提高系统的安全性。配置要求包括： * 最短密码长度为 12 个字符 * 启用本机组策略中密码必须符合复杂性要求的策略，即密码至少包含以下四种类别的字符中的三种： + 英语大写字母 A, B, C, … Z + 英语小写字母 a, b, c, … z + 西方阿拉伯数字 0, 1, 2, … 9 + 非字母数字字符，如标点符号、@、#、$、%、&、* 等 操作指南： * 对于 Windows 2000 和 2003，查看控制面板 -> 管理工具 -> 本地安全策略 -> 帐户策略 -> 密码策略 -> 密码长度最小值 -> 属性 * 对于 Windows 2008 x64，查看管理工具 -> 本地安全策略 -> 帐户策略 -> 密码策略 -> 密码长度最小值 -> 属性 检查方法： * 查看密码最小值设置，大于等于 12 为符合要求 * 查看单选框“已启动”状态，选中“已启动”为符合 配置方法： * 将密码最小值设置为大于等于 12 * 将“密码必须符合复杂性要求”项，选中“已启动” 适用版本：Windows Server 2003、Windows 2000 Server、Windows Server 2008 X64 4. 口令最长生存期策略配置 Windows 系统中的口令最长生存期策略可以提高系统的安全性。配置要求包括： * 操作系统的账户口令的最长生存期不长于 90 天 操作指南： * 对于 Windows 2000 和 2003，查看控制面板 -> 管理工具 -> 本地安全策略 -> 帐户策略 -> 密码策略 -> 密码最长存留期 -> 属性 * 对于 Windows 2008 x64，查看管理工具 -> 本地安全策略 -> 帐户策略 -> 密码策略 -> 密码最长存留期 -> 属性 检查方法： * 查看“密码最长使用期限”小于等于 90 为符合 配置方法： * 查看“密码最长使用期限”小于等于 90 为符合 适用版本：Windows Server 2003、Windows 2000 Server、Windows Server 2008 X64 5. 远程关机授权配置 Windows 系统中的远程关机授权可以提高系统的安全性。配置要求包括： * 在本地安全设置中从远端系统强制关机只指派给 Administrators 组 操作指南： * 对于 Windows 2000 和 2003，查看控制面板 -> 管理工具 -> 本地安全策略 -> 本地策略 -> 用户权利指派 -> 从远端系统强制关机 -> 属性 * 对于 Windows 2008 x64，查看管理工具 -> 本地安全策略 -> 本地策略 -> 用户权限分配 -> 从远程系统强制关机 -> 属性 检查方法： * 查看“从远端系统强制关机”权限指派情况，仅指派给 Administrators，符合要求 配置方法： * 设置为“只指派给 Administrators 组” 适用版本：Windows Server 2003、Windows 2000 Server、Windows Server 2008 X64