主机安全基线检查windows系统操作手册

主机安全基线检查示范文档

4． Windows操作系统

4.1账号管理、认证授权

认证功能用于确认登录系统的用户真实身份。认证功能的具体实现方式包括静态口令、动态口令、指纹等生物鉴别技术等。授权功能赋予系统账号的操作权限，并限制用户进行超越其账号权限的操作。

4.1.1账号

要求内容 按照用户分配账号。根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户，审计用户，来宾用户等。 操作指南 1、参考配置操作 进入“控制面板->管理工具-有>计算机管理”，在“系统工具->本地用户和组”： 根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户，审计用户，来宾用户。 检测方法 1、 判定条件 结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户，审计用户，来宾用户。 2、检测操作 进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”： 查看根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户，审计用户，来宾用户。

要求内容 操作指南 删除或锁定与设备运行、维护等与工作无关的账号。 1、参考配置操作 进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”： 删除或锁定与设备运行、维护等与工作无关的账号。 检测方法 1、判定条件 结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的账号。 2、检测操作 进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”： 查看是否删除或锁定与设备运行、维护等与工作无关的账号。

4.1.2口令

要求内容 最短密码长度 8个字符，启用本机组策略中密码必须符合复杂性要求的策略。即密码至少包含以下四种类别的字符中的三种： 英语大写字母，英语小写字母，西方阿拉伯数字，非字母数字字符 操作指南 1、参考配置操作 进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”： “密码必须符合复杂性要求”选择“已启动” 检测方法 1、判定条件 “密码必须符合复杂性要求”选择“已启动” 2、检测操作 进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”： 查看是否“密码必须符合复杂性要求”选择“已启动”

要求内容 对于采用静态口令认证技术的设备，账户口令的生存期不长于180天，历史使用次数10次 操作指南 1、参考配置操作 进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”： “密码最长存留期”设置为“180天” 检测方法 1、判定条件 “密码最长存留期”设置为“180天” 2、检测操作 进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”： 查看是否“密码最长存留期”设置为“180天”

要求内容 对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。 操作指南 1、参考配置操作 进入“控制面板->管理工具->本地安全策略”，在“帐户策略->帐户锁定策略”： “账户锁定阀值”设置为 6次 检测方法 1、判定条件 “账户锁定阀值”设置为小于或等于 6次 2、检测操作 进入“控制面板->管理工具->本地安全策略”，在“帐户策略->帐户锁定策略”： 查看是否“账户锁定阀值”设置为小于等于 6次

4.1.3授权

要求内容 在本地安全设置中从远端系统强制关机只指派给Administrators组。 操作指南 1、参考配置操作 进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”: “从远端系统强制关机”设置为“只指派给Administrators组” 检测方法 1、判定条件 “从远端系统强制关机”设置为“只指派给Administrtors组” 2、检测操作 进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”: 查看是否“从远端系统强制关机”设置为“只指派给Administrators组”

要求内容 操作指南 在本地安全设置中关闭系统仅指派给Administrators组。 1、参考配置操作 进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”: “关闭系统”设置为“只指派给Administrators组” 检测方法 1、判定条件 “关闭系统”设置为“只指派给Administrators组” 2、检测操作 进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”: 查看“关闭系统”设置为“只指派给Administrators组”

要求内容 在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。 操作指南 1、参考配置操作 进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”： “取得文件或其它对象的所有权”设置为“只指派给Administrators组” 检测方法 1、判定条件 “取得文件或其它对象的所有权”设置为“只指派给Administrators组” 2、检测操作 进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”： 查看是否“取得文件或其它对象的所有权”设置为“只指派给Administrators组” 4.2日志配置操作

要求内容 设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。 操作指南 1、参考配置操作 开始->运行-> 执行“ 控制面板->管理工具->本地安全策略->审核策略”审核登录事件，双击，设置为成功和失败都审核。 检测方法 1、判定条件 审核登录事件，设置为成功和失败都审核。 2、检测操作 开始->运行-> 执行“ 控制面板->管理工具->本地安全策略->审核策略” 审核登录事件，双击，查看是否设置为成功和失败都审核。

要求内容 设置应用日志文件大小至少为8192KB，设置当达到最大的日志尺寸时，按需要改写事件。 操作指南 1、参考配置操作 进入“控制面板->管理工具->事件查看器”，在“事件查看器（本地）”中： “应用日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件” 检测方法 1、判定条件 “应用日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件” 2、检测操作 进入“控制面板->管理工具->事件查看器”，在“事件查看器（本地）”中： 查看是否“应用日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”

4.3 IP协议安全配置操作

要求内容 对没有自带防火墙的Windows系统，启用Windows系统的IP安全机制(IPSec)或网络连接上的TCP/IP筛选，只开放业务所需要的TCP，UDP端口和IP协议。 操作指南 1、参考配置操作 进入“控制面板－>网络连接－>本地连接”，进入“Internet协议（TCP/IP）属性－>高级TCP/IP设置”，在“选项”的属性中启用网络连接上的TCP/IP筛选，只开放业务所需要的TCP，UDP端口和IP协议。 检测方法 1、判定条件 系统管理员出示业务所需端口列表。 根据列表只开放系统与业务所需端口。 2、检测操作 进入“控制面板－>网络连接－>本地连接”，进入“Internet协议（TCP/IP）属性－>高级TCP/IP设置”，在“选项”的属性中启用网络连接上的TCP/IP筛选，查看是否只开放业务所需要的TCP，UDP端口和IP协议。

要求内容 启用Windows sever2008和Windows 2003 自带防火墙。根据业务需要限定允许访问网络的应用程序，和允许远程登陆该设备的IP地址范围。 操作指南 1、参考配置操作 进入“控制面板－>网络连接－>本地连接”，在高级选项的设置中 启用Windows防火墙。 在“例外”中配置允许业务所需的程序接入网络。 在“例外->编辑->更改范围”编辑允许接入的网络地址范围。 检测方法 1、判定条件 启用Windows防火墙。 “例外”中允许接入网络的程序均为业务所需。 2、检测操作 进入“控制面板－>网络连接－>本地连接”，在高级选项的设置中，查看是否启用Windows防火墙。 查看是否在“例外”中配置允许业务所需的程序接入网络。 查看是否在“例外->编辑->更改范围”编辑允许接入的网络地址范围。

4.4设备其他配置操作 4.4.1屏幕保护

要求内容 操作指南 对于远程登陆的帐号，设置不活动断连时间15分钟。 1、参考配置操作 进入“控制面板->管理工具->本地安全策略”，在“本地策略->安全选项”： “Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟 检测方法 1、判定条件 “Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟。 2、检测操作 进入“控制面板->管理工具->本地安全策略”，在“本地策略->安全选项”： 查看是否“Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟

4.4.2共享文件夹及访问权限

要求内容 操作指南 非域环境中，关闭Windows硬盘默认共享，例如C$，D$。 1、参考配置操作 进入“开始－>运行－>Regedit”，进入注册表编辑器， SYSTEM\\CurrentControlSet\\Services\\lanmanserver\\parameter 更改注册表键值：在HKLM\\System\\CurrentControlSet\\ Services\\LanmanServer\\Parameters\\下，增加REG_DWORD类型的AutoShareServer 键，值为 0。 检测方法 1、判定条件 HKLM\\System\\CurrentControlSet\\ Services\\LanmanServer\\Parameters\\增加了REG_DWORD类型的AutoShareServer 键，值为 0。 2、检测操作 进入“开始－>运行－>Regedit”，进入注册表编辑器，更改注册表键值：在HKLM\\System\\CurrentControlSet\\ Services\\LanmanServer\\Parameters\\下，增加REG_DWORD类型的AutoShareServer 键，值为 0。

要求内容 查看每个共享文件夹的共享权限，只允许授权的账户拥有权限共享此文件夹。 操作指南 1、参考配置操作 进入“控制面板->管理工具->计算机管理”，进入“系统工具－>共享文件夹”： 查看每个共享文件夹的共享权限，只将权限授权于指定账户。 检测方法 1、判定条件 查看每个共享文件夹的共享权限仅限于业务需要，不设置成为“everyone”。 2、检测操作 进入“控制面板->管理工具->计算机管理”，进入“系统工具－>共享文件夹”： 查看每个共享文件夹的共享权限。

4.4.3补丁管理

要求内容 应安装最新的Service Pack补丁集。对服务器系统应先进行兼容性测试。 操作指南 1、参考配置操作 安装最新的Service Pack补丁集，目前Windows XP的Service Pack为SP2。 Windows2000的Service Pack为SP4,Windows 2003的Servoce Pack为SP1 检测方法 1、判定条件 显示XP系统已安装SP2，Win2000系统已安装SP4。 2、检测操作 控制面板->添加或删除程序->显示更新打钩，查看是否XP系统已安装SP2，Win2000系统已安装SP4。

要求内容 操作指南 应安装最新的Hotfix补丁。对服务器系统应先进行兼容性测试。 1、参考配置操作 安装最新的Hotfix补丁。对服务器系统应先进行兼容性测试。 检测方法 1、判定条件 已安装最新的Hotfix补丁，并经过兼容性测试。 2、检测操作 控制面板->添加或删除程序->显示更新打钩，查看最近安装的Hotfix补丁是否为微软最新发布。

4.4.4防病毒管理

要求内容 操作指南 安装防病毒软件，并及时更新。 1、参考配置操作 安装防病毒软件，并及时更新。 检测方法 1、判定条件 已安装放病毒软件，病毒码更新时间不早于1个月，各系统病毒码升级时间要求参见各系统相关规定。 2、检测操作 控制面板->添加或删除程序，是否安装有防病毒软件。打开防病

毒软件控制面板，查看病毒码更新日期。

4.4.5Windows服务

要求内容 列出所需要服务的列表(包括所需的系统服务)，不在此列表的服务需关闭。 操作指南 1、参考配置操作 进入“控制面板->管理工具->计算机管理”，进入“服务和应用程序”： 查看所有服务，不在此列表的服务需关闭。 检测方法 1、判定条件 系统管理员应出具系统所必要的服务列表。 查看所有服务，不在此列表的服务需关闭。 2、检测操作 进入“控制面板->管理工具->计算机管理”，进入“服务和应用程序”： 查看所有服务，不在此列表的服务是否已关闭。

要求内容 操作指南 如需启用SNMP服务，则修改默认的SNMP Community String设置。 1、参考配置操作 打开“控制面板”，打开“管理工具”中的“服务”，找到“SNMP Service”，单击右键打开“属性”面板中的“安全”选项卡，在这个配置界面中，可以修改community strings，也就是微软所说的“团体名称”。 检测方法 1、判定条件 community strings已改，不是默认的“public” 2、检测操作 打开“控制面板”，打开“管理工具”中的“服务”，找到“SNMP Service”，单击右键打开“属性”面板中的“安全”选项卡，在这个配置界面中，查看community strings，也就是微软所说的“团体名称”。

要求内容 如需启用IIS服务，则将IIS升级到最新补丁。 操作指南 1、参考配置操作 下载IIS补丁包 IIS4.0 http://www.microsoft.com/Downloads/Release.asp?ReleaseID=23667 IIS5.0 http://www.microsoft.com/Downloads/Release.asp?ReleaseID=23665 并安装，或升级到IIS6.0 检测方法 1、判定条件 已安装IIS 补丁包或升级到IIS6.0。 2、检测操作 控制面板->添加或删除程序->显示更新打钩，查看是否安装IIS补丁包。

4.4.6启动项

要求内容 列出系统启动时自动加载的进程和服务列表，不在此列表的需关闭。 操作指南 1、参考配置操作 “开始->运行->MSconfig”启动菜单中，取消不必要的启动项。 检测方法 1、判定条件 不需要的自动加载进程通过“开始->运行->MSconfig”启动菜单中取消。 2、检测操作 系统管理员提供业务必须的自动加载进程和服务列表文档。 查看 “开始->运行->MSconfig”启动菜单。

要求内容 操作指南 关闭Windows自动播放功能 1、参考配置操作 点击开始→运行→输入gpedit.msc，打开组策略编辑器，浏览到计算机配置→管理模板→系统，在右边窗格中双击“关闭自动播放”，对话框中选择所有驱动器，确定即可。 检测方法 1、判定条件 所有驱动器均“关闭自动播放” 2、检测操作 “关闭自动播放”配置已启用，启用范围：所有驱动器。

本文来源：https://www.bwwdw.com/article/nou2.html