各类操作系统安全基线配置及操作指南

很全很强大的Windows,linux,unix,aix,solaris等各种操作系统 安全配置及操作指南。

各类操作系统安全配 置要求及操作指南

很全很强大的Windows,linux,unix,aix,solaris等各种操作系统 安全配置及操作指南。

检查模块 支持系统版本号 Windows Windows 2000 以上 Solaris Solaris 8 以上 AIX AIX 5.X以上

HP-UNIX HP-UNIX 11i以上 Linux 内核版本 2.6以上 Oracle Oracle 8i以上 SQL Server

Microsoft SQL Server 2000 以上 MySQL MySQL 5.x以上 IIS IIS 5.x以上

Apache Apache 2.x 以上 Tomcat Tomcat 5.x以上 WebLogic WebLogic 8.X以上

很全很强大的Windows,linux,unix,aix,solaris等各种操作系统 安全配置及操作指南。

Windows操作系统 安全配置要求及操作指南

很全很强大的Windows,linux,unix,aix,solaris等各种操作系统 安全配置及操作指南。

目 录

目 录 ..................................................................... I

前 言 .................................................................... II

1 范围 ....................................................................... 1 2

规

范

性

引

用

文

件 ............................................................. 1

3 缩略语 ..................................................................... 1 4

安

全

配

置

要

求 ............................................................... 2

4.1 账号 ..................................................................... 2 4.2 口令 ..................................................................... 3 4.3 授权 ..................................................................... 5 4.4 补丁 ..................................................................... 7 4.5 防护软件 ................................................................. 8 4.6

防

病

毒

软

件 ............................................................... 8

很全很强大的Windows,linux,unix,aix,solaris等各种操作系统 安全配置及操作指南。

4.7 4.8

日不

志必

安要

全的

要服

求 ............................................................. 9 务 ............................................................ 11

4.9 启动项 .................................................................. 12 4.10 4.11 4.12

使关

闭共用

自

动享NTFS

播文文

件放

功件系

能 ....................................................... 13 夹 ............................................................. 13 统 ..................................................... 14

4.13 网络访问 ............................................................... 15 4.14 4.15 附

录

A会注：话

册端

口超

时表及

设设服

置 ........................................................... 16 置 ............................................................. 17 务 .......................................................... 18

很全很强大的Windows,linux,unix,aix,solaris等各种操作系统 安全配置及操作指南。

II 前 言

为了在工程验收、运行维护、安全检查等环节，规范并落实安全配置要求，

编制了一系列的安全配置要求及操作指南，明确了操作系统、数据库、应用中间件在内的通 用安全配置要求及参考操作。

该系列安全配置要求及操作指南的结构及名称预计如下：

（1） 《 Windows 操作系统安全配置要求及操作指南》 （本规范）

（2） 《 AIX操作系统安全配置要求及操作指南》 （3） 《 HP-UX 操作系统安全配置要求及操作指南》 （4） 《 Linux操作系统安全配置要求及操作指南》 （5） 《 Solaris操作系统安全配置要求及操作指南》 （6） 《 MS SQL server数据库安全配置要求及操作指南》

（7） 《 MySQL 数据库安全配置要求及操作指南》 （8） 《 Oracle数据库安全配置要求及操作指南》 （9） 《 Apache安全配置要求及操作指南》 （10） 《 IIS安全配置要求及操作指南》 （11） 《 Tomcat 安全配置要求及操作指南》

很全很强大的Windows,linux,unix,aix,solaris等各种操作系统 安全配置及操作指南。

（12） 《 WebLogic 安全配置要求及操作指南》 1 1 范围

适用于使用 Windows 操作系统的设备。在未特别说明的情况下，均适用于所

有运行的 Windows 操作系统，包括 Windows 2000、Windows XP、Windows2003, Windows7 ,

Windows 2008 以及各版本中的 Sever、Professional版本。

本规范明确了 Windows操作系统在安全配置方面的基本要求， 适用于所有的安全等级，

可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。

由于版本不同，配置操作有所不同，本规范以 Windows 2003 为例，给出参考配置操作。 2 规范性引用文件

很全很强大的Windows,linux,unix,aix,solaris等各种操作系统 安全配置及操作指南。

GB/T22239-2008《信息安全技术 信息系统安全等级保护基本要求》

YD/T 1732-2008《固定通信网安全防护要求》 YD/T 1734-2008《移动通信网安全防护要求》 YD/T 1736-2008《互联网安全防护要求》

YD/T 1738-2008《增值业务网—消息网安全防护要求》 YD/T 1740-2008《增值业务网—智能网安全防护要求》 YD/T 1758-2008《非核心生产单元安全防护要求》 YD/T 1742-2008《接入网安全防护要求》 YD/T 1744-2008《传送网安全防护要求》 YD/T 1746-2008《IP 承载网安全防护要求》 YD/T 1748-2008《信令网安全防护要求》 YD/T 1750-2008《同步网安全防护要求》 YD/T 1752-2008《支撑网安全防护要求》

YD/T 1756-2008《电信网和互联网管理安全等级保护要求》 3 缩略语

UDP User Datagram Protocol 用户数据包协议 TCP Transmission Control Protocol 传输控制协议 2

NTFS New Technology File System 新技术文件系统

很全很强大的Windows,linux,unix,aix,solaris等各种操作系统 安全配置及操作指南。

4 安全配置要求 4.1 账号 编号：1

要求内容 应按照不同的用户分配不同的账号，避免不同用户间共享账号。避

免用户账号和设备间通信使用的账号共享。 操作指南 1、参考配置操作

进入“控制面板->管理工具->计算机管理” ，在“系统工具->本地用 户和组” ：

根据系统的要求，设定不同的账户和账户组。 检测方法 1、 判定条件

结合要求和实际业务情况判断符合要求，根据系统的要求，设定不 同的账户和账户组 2、检测操作

进入“控制面板->管理工具->计算机管理” ，在“系统工具->本地用 户和组” ：

查看根据系统的要求，设定不同的账户和账户组

很全很强大的Windows,linux,unix,aix,solaris等各种操作系统 安全配置及操作指南。

编号：2 要求内容

应删除与运行、维护等工作无关的账号。 操作指南 1．参考配置操作

A）可使用用户管理工具：

开始-运行-compmgmt.msc-本地用户和组-用户 B）也可以通过 net 命令： 删除账号： net user account/de1 停用账号：net user account/active:no

检测方法 1.判定条件

结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护 等与工作无关的账号。 3

注：无关的账号主要指测试帐户、共享帐号、长期不用账号（半年以上 不用）等 2.检测操作

开始-运行-compmgmt.msc-本地用户和组-用户

很全很强大的Windows,linux,unix,aix,solaris等各种操作系统 安全配置及操作指南。

编号：3

要求内容 重命名 Administrator；禁用 guest（来宾）帐号。

操作指南 1、参考配置操作

进入“控制面板->管理工具->计算机管理”统工具->本地用 户和组” ：

Administrator－>属性－> 更改名称 Guest 帐号->属性－> 已停用 检测方法 1、判定条件

缺省账户 Administrator名称已更改。 Guest 帐号已停用。 2、检测操作

进入“控制面板->管理工具->计算机管理”统工具->本地用 户和组” ：

缺省帐户－>属性－> 更改名称 Guest 帐号->属性－> 已停用 4.2 口令

，在“系，在“系

很全很强大的Windows,linux,unix,aix,solaris等各种操作系统 安全配置及操作指南。

要求内容 密码长度要求：最少 8位

密码复杂度要求：至少包含以下四种类别的字符中的三种：

z 英语大写字母 A, B, C, Z z 英语小写字母 a, b, c, z z 阿拉伯数字 0, 1, 2, 9

z 非字母数字字符，如标点符号，@, #, $, %, &, *等 4

操作指南 1、参考配置操作

进入“控制面板->管理工具->本地安全策略” ，在“帐户策略->密码 策略” ：

“密码必须符合复杂性要求”选择“已启动” 检测方法 1、判定条件

“密码必须符合复杂性要求”选择“已启动” 2、检测操作

进入“控制面板->管理工具->本地安全策略” ，在“帐户策略->密码 策略” ：

查看是否“密码必须符合复杂性要求”选择“已启动”

很全很强大的Windows,linux,unix,aix,solaris等各种操作系统 安全配置及操作指南。

要求内容 对于采用静态口令认证技术的设备，账户口令的生存期不长于 90 天。

操作指南 1、参考配置操作

进入“控制面板->管理工具->本地安全策略” ，在“帐户策略->密码 策略” ：

“密码最长存留期”设置为“90 天” 检测方法 1、判定条件

“密码最长存留期”设置为“90 天” 2、检测操作

进入“控制面板->管理工具->本地安全策略” ，在“帐户策略->密码 策略” ：

查看是否“密码最长存留期”设置为“90 天” 编号：3

要求内容 对于采用静态口令认证技术的设备，应配置设备，使用户不能重复

使用最近 5次（含 5 次）内已使用的口令。 操作指南 1、参考配置操作

很全很强大的Windows,linux,unix,aix,solaris等各种操作系统 安全配置及操作指南。

5

进入“控制面板->管理工具->本地安全策略” ，在“帐户策略->密码 策略” ：

“强制密码历史”设置为“记住 5个密码” 检测方法 1、判定条件

“强制密码历史”设置为“记住 5个密码” 2、检测操作

进入“控制面板->管理工具->本地安全策略” ，在“帐户策略->密码 策略” ：

查看是否“强制密码历史”设置为“记住 5 个密码” 编号：4

要求内容 对于采用静态口令认证技术的设备，应配置当用户连续认证失败次

数超过 6 次（不含 6 次） ，锁定该用户使用的账号。 操作指南 1、参考配置操作

进入“控制面板->管理工具->本地安全策略” ，在“帐户策略->帐户 锁定策略” ：

“账户锁定阀值”设置为 6 次

很全很强大的Windows,linux,unix,aix,solaris等各种操作系统 安全配置及操作指南。

设置解锁阀值：30 分钟 检测方法 1、判定条件

“账户锁定阀值”设置为小于或等于 6 次 2、检测操作

进入“控制面板->管理工具->本地安全策略” ，在“帐户策略->帐户 锁定策略” ：

查看是否“账户锁定阀值”设置为小于等于 6次 补充说明：

设置不当可能导致账号大面积锁定，在域环境中应小心设置，

Administrator 账号本身不会被锁定。 4.3 授权 编号：1 6

要求内容 本地、远端系统强制关机只指派给 Administrators 组。

操作指南 1、参考配置操作

进入“控制面板->管理工具->本地安全策略” ，在“本地策略->用 户权利指派”:

“关闭系统”设置为“只指派给 Administrators组”

很全很强大的Windows,linux,unix,aix,solaris等各种操作系统 安全配置及操作指南。

“从远端系统强制关机”设置为“只指派给 Administrators组” 检测方法 1、判定条件

“关闭系统”设置为“只指派给 Administrators组” “从远端系统强制关机”设置为“只指派给 Administrtors组” 2、检测操作

进入“控制面板->管理工具->本地安全策略” ，在“本地策略->用 户权利指派”:

查看“关闭系统”设置为“只指派给 Administrators 组” 查看是否“从远端系统强制关机”设置为“只指派给 Administrators 组” 编号：2

要求内容 在本地安全设置中取得文件或其它对象的所有权仅指派给 Administrators。

操作指南 1、参考配置操作

进入“控制面板->管理工具->本地安全策略” ，在“本地策略->用 户权利指派” ：

很全很强大的Windows,linux,unix,aix,solaris等各种操作系统 安全配置及操作指南。

“取得文件或其它对象的所有权”设置为“只指派给 Administrators 组” 检测方法 1、判定条件

“取得文件或其它对象的所有权”设置为“只指派给 Administrators 组” 2、检测操作

进入“控制面板->管理工具->本地安全策略” ，在“本地策略->用 7

户权利指派” ：

查看是否“取得文件或其它对象的所有权”设置为“只指派给

Administrators 组” 编号：3

要求内容 在本地安全设置中只允许授权帐号本地、远程访问登陆此计算机。 操作指南 1、参考配置操作

进入“控制面板->管理工具->本地安全策略” ，在“本地策略->用 户权利指派”

“从本地登陆此计算机”设置为“指定授权用户” “从网络访问此计算机”设置为“指定授权用户”

很全很强大的Windows,linux,unix,aix,solaris等各种操作系统 安全配置及操作指南。

检测方法 1、判定条件

“从本地登陆此计算机”设置为“指定授权用户” “从网络访问此计算机”设置为“指定授权用户” 2、检测操作

进入“控制面板->管理工具->本地安全策略” ，在“本地策略->用 户权利指派”

查看是否“从本地登陆此计算机”设置为“指定授权用户”

查看是否“从网络访问此计算机”设置为“指定授权用户” 4.4 补丁 编号：1

要求内容 在不影响业务的情况下，应安装最新的 Service Pack 补丁集。对

服务器系统应先进行兼容性测试。 操作指南 1、参考配置操作 安装最新的 Service Pack补丁集。

例如截止到 2010 年最新版本： Windows XP 的 Service Pack 为 SP3。

Windows2000 的 Service Pack为 SP4,Windows 2003

很全很强大的Windows,linux,unix,aix,solaris等各种操作系统 安全配置及操作指南。

的 Service Pack 为 SP2

检测方法 1、判定条件 8

2、检测操作

进入控制面板->添加或删除程序->显示更新打钩，查看是否 XP 系

统已安装SP3， Win2000系统已安装SP4， Win2003系统已安装SP2。 4.5 防护软件 编号：1

要求内容 启用自带防火墙或安装第三方威胁防护软件。根据业务需要限定允

许访问网络的应用程序，和允许远程登陆该设备的 IP地址范围。

操作指南 1、参考配置操作（以启动自带防火墙为例） 进入“控制面板－>网络连接－>本地连接” ，在高级选项的设置中

启用 Windows 防火墙。

在“例外”中配置允许业务所需的程序接入网络。 在“例外->编辑->更改范围”编辑允许接入的网络地

很全很强大的Windows,linux,unix,aix,solaris等各种操作系统 安全配置及操作指南。

址范围。

说明：分为服务器和操作终端两种情况： 服务器该项为可选，操作终端该项为必选 检测方法 1、判定条件 启用 Windows 防火墙。

“例外”中允许接入网络的程序均为业务所需。 2、检测操作

进入“控制面板－>网络连接－>本地连接” ，在高级选项的设置中，

查看是否启用 Windows 防火墙。

查看是否在“例外”中配置允许业务所需的程序接入网络。

查看是否在“例外->编辑->更改范围”编辑允许接入的网络地址范 围。

4.6 防病毒软件 编号：1

要求内容 安装防病毒软件，并及时更新。 操作指南 1、参考配置操作 9

安装防病毒软件，并及时更新。

很全很强大的Windows,linux,unix,aix,solaris等各种操作系统 安全配置及操作指南。

检测方法 1、判定条件

已安装防病毒软件，病毒码更新时间不早于 1个月，各系统病毒码

升级时间要求参见各系统相关规定。

注：对于操作终端该项为必选项，对于服务器该项为可选项 2、检测操作

控制面板->添加或删除程序，是否安装有防病毒软件。打开防病

毒软件控制面板，查看病毒码更新日期。

4.7 日志安全要求 编号：1

要求内容 设备应配置日志功能，对用户登录进行记录，记录内容包括用户登

录使用的账号，登录是否成功，登录时间，以及远程登录时，用户 使用的 IP地址。

操作指南 1、参考配置操作

开始->运行-> 执行“ 控制面板->管理工具->本地安全策略->审核 策略”

本文来源：https://www.bwwdw.com/article/fwem.html