安全配置基线 – 操作系统类
Microsoft Windows Server操作系统 V1.0
本文档针对安装运行Microsoft Windows Server 2008 R2/2012 R2/2016的服务器操作系统所应当遵循的通用基本安全设置要求提供了参考建议,用于安装配置操作系统过程中进行安全配置合规性自查,以及实施安全评估或安全加固时提供标准依据与操作指导。
目录
一、 账户管理... 2
1.1 默认账号... 2
1.2 密码复杂度... 2
1.3 密码生存期... 2
1.4 密码历史... 2
1.5 账户锁定策略... 3
1.6 不显示上次登录名... 3
1.7 远程登录超时配置... 3
二、 权限... 3
2.1 远程关机授权... 3
2.2 本地关机授权... 4
2.3 文件权限指派... 4
2.4 网络访问用户授权... 4
2.5 远程访问注册表权限... 4
三、 日志审核... 4
3.1 审核登录日志... 4
3.2 审核日志完备性... 5
3.3 审核日志大小... 5
四、 安全防护要求... 6
4.1 防病毒... 6
4.2 补丁更新... 6
4.3 本机防火墙... 6
五、 系统服务与功能... 6
5.1 系统服务... 6
5.2 远程桌面服务端口管理... 7
5.3 SNMP默认口令修改... 7
5.4 关闭自动播放功能... 7
5.5 默认共享检查... 7
5.6 共享权限检查... 8
5.7 数据执行保护... 8
5.8 虚拟内存管理... 8
一、 账户管理
1.1 默认账号
|
编号 |
MS_WinSrv-V1-1-1 |
|
控制要求 |
重命名管理员帐户;禁用 guest(来宾)帐户 |
|
操作指南 |
开始->运行->lusrmgr.msc,重命名administrator,禁用guest |
|
检测方法 |
开始->运行->lusrmgr.msc,查看本地用户 |
|
判定依据 |
缺省账户 administrator 已更名、guest 已停用 |
1.2 密码复杂度
|
编号 |
MS_WinSrv-V1-1-2 |
|
控制要求 |
1、最短密码长度 12个字符;密码至少包含以下四种类别的字符中的三种: 英语大写字母 A, B, C, … Z 英语小写字母 a, b, c, … z 西方阿拉伯数字 0, 1, 2, … 9 非字母数字字符,如标点符号,@, #, $, %, &, * |
|
操作指南 |
1、控制面板->管理工具->本地安全策略->帐户策略->密码策略,选项“密码长度最小值”设置为12 2、控制面板->管理工具->本地安全策略->帐户策略->密码策略,选项“密码必须符合复杂性要求”设置为启用 |
|
检测方法 |
1、检查最小值设置 2、检查单选框状态 |
|
判定依据 |
1、 最小值大于等于8为符合要求 2、 单选框选中”已启动”为符合 |
1.3 密码生存期
|
编号 |
MS_WinSrv-V1-1-3 |
|
控制要求 |
对于采用静态口令认证技术的系统,账户口令的生存期需设置使用期限 |
|
操作指南 |
控制面板->管理工具->本地安全策略->帐户策略->密码策略,选项“密码最长使用期限”设置为90,“密码最短使用期限”设置为1 |
|
检测方法 |
检查选项值 |
|
判定依据 |
“密码最长使用期限”小于等于90为符合,“密码最短使用期限”大于等于1为符合 |
1.4 密码历史
|
编号 |
MS_WinSrv-V1-1-4 |
|
控制要求 |
对于采用静态口令认证技术的系统,强制限制使用历史密码,以确保旧密码不被连续重新使用来增强安全性。 |
|
操作指南 |
控制面板->管理工具->本地安全策略->帐户策略->密码策略,选项“强制密码历史”设置为5 |
|
检测方法 |
检查选项值 |
|
判定依据 |
大于等于5为符合 |
1.5 账户锁定策略
|
编号 |
MS_WinSrv-V1-1-5 |
|
控制要求 |
对于采用静态口令认证技术的系统,应配置当用户连续认证失败次数超过 5 次(不含 5 次)后,锁定该用户使用的账号 |
|
操作指南 |
控制面板->管理工具->本地安全策略->帐户策略->账户锁定策略,选项“账户锁定阈值”设置为5,“账户锁定时间”设置为30分钟 |
|
检测方法 |
检查“账户锁定阈值”和“账户锁定时间”值 |
|
判定依据 |
“账户锁定阈值”小于等于5为符合,“账户锁定时间”大于等于30分钟为符合 |
1.6 不显示上次登录名
|
编号 |
MS_WinSrv-V1-1-6 |
|
控制要求 |
启用“交互式登录:不显示最后的用户名” |
|
操作指南 |
控制面板->管理工具->本地安全策略->本地策略->安全选项,选项“交互式登录:不显示上次登录” |
|
检测方法 |
检查选项状态 |
|
判定依据 |
“已启用”为符合 |
1.7 远程登录超时配置
|
编号 |
MS_WinSrv-V1-1-7 |
|
控制要求 |
对于远程登陆的帐号,设置不活动断连时间,强制终结会话 |
|
操作指南 |
控制面板->管理工具->本地安全策略->本地策略->安全选项,打开选项“Microsoft 网络服务器: 暂停会话前所需的空闲时间量”的属性页,设置“中断连接如果空闲时间超过”15 |
|
检测方法 |
检查属性页参数值 |
|
判定依据 |
非0,小于15分钟为符合 |
二、 权限
2.1 远程关机授权
|
编号 |
MS_WinSrv-V1-2-1 |
|
控制要求 |
关机授权只指派给Administrators组 |
|
操作指南 |
控制面板->管理工具->本地安全策略->本地策略->用户权限指派,选项“从远程系统强制关机”设置为administrators |
|
检测方法 |
检查属性列表 |
|
判定依据 |
仅有“administrators”为符合 |
2.2 本地关机授权
|
编号 |
MS_WinSrv-V1-2-2 |
|
控制要求 |
关机授权只指派给Administrators组 |
|
操作指南 |
控制面板->管理工具->本地安全策略->本地策略->用户权限指派,选项 “关闭系统”设置为administrators |
|
检测方法 |
检查属性列表 |
|
判定依据 |
仅有“administrators”为符合 |
2.3 文件权限指派
|
编号 |
MS_WinSrv-V1-2-3 |
|
控制要求 |
操作系统文件或其它对象的所有权仅指派给Administrators |
|
操作指南 |
控制面板->管理工具->本地安全策略->本地策略->用户权限指派,选项 “取得文件或其他对象的所有权”设置为administrators |
|
检测方法 |
检查属性列表 |
|
判定依据 |
仅有“administrators”为符合 |
2.4 网络访问用户授权
|
编号 |
MS_WinSrv-V1-2-4 |
|
控制要求 |
只允许授权帐号从网络访问此计算机 |
|
操作指南 |
控制面板->管理工具->本地安全策略->本地策略->用户权限指派,选项 “从网络访问此计算机”去掉“User”和“Everyone” |
|
检测方法 |
检查属性列表 |
|
判定依据 |
不包括”Users”和”Everyone”组和其他无用组为符合要求 |
2.5 远程访问注册表权限
|
编号 |
MS_WinSrv-V1-2-5 |
|
控制要求 |
禁用可远程访问的注册表路径和子路径 |
|
操作指南 |
控制面板->管理工具->本地安全策略->本地策略->安全选项,选项 “网络访问: 可远程访问的注册表路径”和“网络访问: 可远程访问的注册表路径和子路径”列表全部删除 |
|
检测方法 |
检查选项的属性列表 |
|
判定依据 |
列表为空即符合 |
三、 日志审核
3.1 审核登录日志
|
编号 |
MS_WinSrv-V1-3-1 |
|
控制要求 |
系统应启用日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址 |
|
操作指南 |
控制面板->管理工具->本地安全策略->本地策略->审核策略,选项“审核登录事件”,同时勾选“成功”和“失败” |
|
检测方法 |
检查属性值 |
|
判定依据 |
“成功”和“失败”同时勾选为符合要求 |
3.2 审核日志完备性
|
编号 |
MS_WinSrv-V1-3-2 |
|
控制要求 |
系统应配置完整的审核策略,启用本地策略中审核策略中如下项,包括成功和失败日志: 审核策略更改 审核对象访问 审核进程跟踪 审核目录服务访问 审核特权使用 审核系统事件 审核账户管理 |
|
操作指南 |
控制面板->管理工具->本地安全策略->本地策略->审核策略,上述选项,同时勾选“成功”和“失败” |
|
检测方法 |
检查属性值 |
|
判定依据 |
“成功”和“失败”同时勾选为符合要求 |
3.3 审核日志大小
|
编号 |
MS_WinSrv-V1-3-3 |
|
控制要求 |
设置系统日志、应用日志、安全日志文件大小至少为51200KB,改写事件 |
|
操作指南 |
开始->运行-> eventvwr.msc,在Windows日志中的 “系统日志”属性页 “应用日志”属性页 “安全日志”属性页 设置“日志最大大小”为51200KB,“达到事件日志最大大小时”,选择“按需要覆盖日志” |
|
检测方法 |
检查“系统日志”属性页、“应用日志”属性页、“安全日志”属性页 |
|
判定依据 |
属性页设置如下状态为符合: 应用日志文件大小至少为50MB 当达到最大的应用日志尺寸时,按需要改写事件 系统日志文件大小至少为50MB 当达到最大的应用日志尺寸时,按需要改写事件 安全日志文件大小至少为50MB 当达到最大的安全日志尺寸时,按需要改写事件 |
四、 安全防护要求
4.1 防病毒
|
编号 |
MS_WinSrv-V1-4-1 |
|
控制要求 |
安装防病毒客户端软件,并及时更新。 |
|
操作指南 |
按照操作指引,安装防病毒软件 |
|
检测方法 |
检查系统进程和程序安装列表,确认是否已安装防病毒软件 打开防病毒软件客户端信息界面,查看上一次安全更新时间。 |
|
判定依据 |
已安装为符合,上次病毒库更新时间在一个月以内为符合 |
4.2 补丁更新
|
编号 |
MS_WinSrv-V1-4-2 |
|
控制要求 |
服务器操作系统补丁,由WSUS统一管理,需按计划测试、安装关键和重要系统补丁 |
|
操作指南 |
开始->运行->gpedit.msc, 打开“本地组策略编辑器”窗口中依次选择“计算机配置->管理模板->Windows组件->Windows更新”,设置“指定Intranet Microsoft更新服务位置”指向内网WSUS服务器,“配置自动更新”设置为启用,并选择“3- 允许自动下载并通知安装” |
|
检测方法 |
检查设置项值 |
|
判定依据 |
已指定更新源并配置自动更新启用为符合。 |
4.3 本机防火墙
|
编号 |
MS_WinSrv-V1-4-3 |
|
控制要求 |
启用Windows 自带防火墙。根据业务需要限定允许访问网络的应用程序,和允许远程登陆该设备的IP地址范围。 |
|
操作指南 |
开始->运行-> firewall.cpl,启用Windows Defender防火墙 |
|
检测方法 |
检查防火墙设置 |
|
判定依据 |
启用状态为符合 |
五、 系统服务与功能
5.1 系统服务
|
编号 |
MS_WinSrv-V1-5-1 |
|
控制要求 |
关闭不必要的系统服务 |
|
操作指南 |
开始->运行-> services.msc, 检查服务清单,不影响系统正常使用的前提下,建议关闭如下几项服务: Downloaded Maps Manager Print Spooler Routing and Remote Access Remote Registry SSDP Discovery Telnet Windows Error Reporting Service Windows Event Collector Xbox Accessory Management Service |
|
检测方法 |
查看所有服务,输出所有服务列表,查看是否有异常服务。 |
|
判定依据 |
确认可以关闭的服务,已设置为禁用状态为符合 |
5.2 远程桌面服务端口管理
|
编号 |
MS_WinSrv-V1-5-2 |
|
控制要求 |
修改远程桌面服务默认端口 |
|
操作指南 |
开 始->运 行->Regedit, 查 找 注 册 表 项 : HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlT erminal ServerWinStationsRDP-Tcp HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlT erminal ServerWds dpwdTds cp 找到“PortNumber”子项,默认值 00000D3D,是 3389 的十六进制表示形式。切换到十进制,修改成除 3389 外的其他任何 值,并保存新值,重新启动系统。 |
|
检测方法 |
查看注册表“PortNumber”值 |
|
判定依据 |
非默认3389为符合。 |
5.3 SNMP默认口令修改
|
编号 |
MS_WinSrv-V1-5-3 |
|
控制要求 |
如需启用SNMP服务,则修改默认的SNMP Community String设置 |
|
操作指南 |
开始->运行-> services.msc,找到”SNMP Service”,单击右键打开”属性”面板中的”安全”选项卡。配置界面中,修改community strings,避免使用默认密码 |
|
检测方法 |
检查Community String |
|
判定依据 |
非默认“public”和“private”为符合 |
5.4 关闭自动播放功能
|
编号 |
MS_WinSrv-V1-5-4 |
|
控制要求 |
关闭Windows自动播放功能 |
|
操作指南 |
开始->运行->gpedit.msc, 打开“本地组策略编辑器”窗口中依次选择“计算机配置->管理模板->Windows组件->自动播放策略”,选择“关闭自动播放”选项,选择“已启用”,并设置关闭“所有驱动器” |
|
检测方法 |
检查策略选项设置 |
|
判定依据 |
“已启用”,并设置关闭“所有驱动器”为符合 |
5.5 默认共享检查
|
编号 |
MS_WinSrv-V1-5-5 |
|
控制要求 |
非域环境中,关闭Windows硬盘默认共享,例如C$,D$。 |
|
操作指南 |
开始->运行->regedit,进入注册表编辑器,定位到HKLMSystemCurrentControlSetServicesLanmanServerParameters下,增加REG_DWORD类型的AutoShareServer 键,值为 0。 |
|
检测方法 |
开始->运行->cmd,进入命令提示符,输入net share |
|
判定依据 |
确认已无C$、D$等默认共享为符合 |
5.6 共享权限检查
|
编号 |
MS_WinSrv-V1-5-6 |
|
控制要求 |
查看每个共享文件夹的共享权限,只允许授权的账户拥有权限共享此文件夹,禁止使用共享权限为”everyone”。 |
|
操作指南 |
开始->运行->fsmgmt.msc,打开“共享”,查看当前已共享的路径,右键属性,查看“共享权限”,将everyone从已共享用户和组删掉。 |
|
检测方法 |
查看“共享权限”用户和组清单 |
|
判定依据 |
无everyone,只保留需要的账户为符合 |
5.7 数据执行保护
|
编号 |
MS_WinSrv-V1-5-7 |
|
控制要求 |
在操作系统程序和服务启用系统自带DEP功能(数据执行保护),防止在受保护内存位置运行有害代码。 |
|
操作指南 |
参考配置操作(适用2003、2008 x64) 控制面板->系统,在“高级”选项卡的“性能”下的“设置”。进入 “数据执行保护”选项卡,设置为“仅为基本 Windows 操作系统程序和服务启用DEP”。 |
|
检测方法 |
检查选项设置 |
|
判定依据 |
设置为“仅为基本 Windows 操作系统程序和服务启用DEP”为符合 |
5.8 虚拟内存管理
|
编号 |
MS_WinSrv-V1-5-8 |
|
控制要求 |
操作系统启用“关机:清除虚拟内存页面文件”,防止非法用户从虚拟内存中获取数据。 |
|
操作指南 |
控制面板->管理工具->本地安全策略->本地策略->安全选项,设置选项“关机: 清除虚拟内存页面文件”为“已启用”。 |
|
检测方法 |
检查属性值 |
|
判定依据 |
“已启用”为符合 |