Windows安全配置规范
操作系统安全配置
操作系统安全配置1.更新操作系统和软件:保持操作系统和安装的软件及驱动程序处于最新状态,及时安装官方发布的安全补丁和更新,以修复已经发现的漏洞。
2.启用防火墙:操作系统内置的防火墙是保护计算机免受网络攻击的重要工具。
确保防火墙处于打开状态,并且配置规则以限制对系统的访问。
3.安装杀毒软件:选择一个可信赖的杀毒软件,及时更新病毒库,并对系统进行定期全盘扫描,以便检测和清除病毒、恶意软件和间谍软件。
4.配置密码策略:设置密码策略要求用户使用强大的密码,比如至少包含8个字符,包括大写和小写字母、数字和特殊字符。
此外,还应设置密码过期时间、最小密码长度和密码复杂性要求。
5.禁用不必要的服务和端口:默认情况下,操作系统会开启大量的服务和端口,但很多不是必需的。
检查系统服务和端口使用情况,禁用未使用的服务和关闭不必要的端口,以减少系统暴露在网络上的攻击面。
6.设置用户权限:限制用户权限可以防止未经授权的访问和恶意软件的传播。
管理员账户应该仅用于系统管理任务,普通用户应该使用受限账户。
7.加密敏感数据:对于保存在计算机上的敏感数据,如个人身份信息、银行账户信息等,使用加密技术保护其机密性。
操作系统提供了各种加密文件和文件夹的功能。
8.定期备份数据:定期备份计算机中的重要数据,以防止因病毒、硬件故障或其他意外事件导致的数据丢失。
备份数据应存储在安全的地方,以防止未经授权的访问。
9.启用安全日志记录:操作系统提供了安全日志记录功能,记录系统的各种活动,包括登录尝试、安全事件等。
启用安全日志记录,可以帮助发现和追踪潜在的安全问题。
10.定期审查系统和应用程序设置:定期审查操作系统和应用程序的设置,以确保其安全性和保护性能。
同时还要确保所有安全措施的有效性,并根据需要进行修正和优化。
总结起来,操作系统安全配置是确保计算机系统安全的关键措施。
通过更新系统和软件、启用防火墙、安装杀毒软件、配置密码策略、禁用不必要的服务和端口、设置用户权限、加密敏感数据、定期备份数据、启用安全日志记录和定期审查系统设置,可以提高系统的安全性,防止未经授权的访问、恶意软件和网络攻击。
《Windows操作系统安全配置》课程标准
《Windows操作系统安全配置》课程标准一、课程定位本课程属于信息安全与管理专业核心能力学习领域课程,是专业核心课程。
主要目标是让学生掌握Windows操作系统的安装及安全配置的知识,包括了解Windows的发展历程及现状,安全策略的制定与实施方法,掌握Windows操作系统的安装及安全配置方法,掌握账户安全策略、数据安全策略、服务券策略等的设置。
本课程培养学生具有网络安全管理相关岗位或个人计算机实施安全配置管理的能力、提高计算机抵抗安全风险的能力等。
二、课程目标(一)素质目标(1)具有科学的世界观、人生观和价值观,践行社会主义荣辱观;具有爱国主义精神;具有责任心和社会责任感;具有法律意识。
(2)具有合理的知识结构和一定的知识储备;具有不断更新知识和自我完善的能力;具有持续学习和终身学习的能力;具有一定的创新意识、创新精神及创新能力;具有一定的人文和艺术修养;具有良好的人际沟通能力。
(3)掌握必需的信息安全与管理专业知识,能够从事企业信息安全工程设计与实施、具备各种常规安全设备的安装、管理、维护和使用的能力;能够协助管理层,完成企业常规信息安全管理工作;具有一定的数理与国际思维能力;具有一定的工程意识和效益意识。
(4)具有良好的职业道德和职业操守;具有较强的祖师观念和集体意识;具有较强的执行能力以及较高的工作效率和安全意识。
(5)具有健康的体魄和良好的身体素质;拥有积极的人生态度;具有良好的心理调试能力。
(二)能力目标(1)具备安全配置需求分析能力;(2)具备操作系统安装能力;(3)具备操作系统用户管理能力;(4)具备安全配置策略设计能力;(5)具备资源配置与管理能力;(6)具备各种服务的部署能力;(7)具备安全配置实施能力;(8)具备安全配置测试与运维能力。
(三)知识目标(1)理解Windows系统安全要素;(2)掌握Windows操作系统的安装与配置(3)掌握Windows操作系统的管理能力;(4)掌握Windows系统账户安全设置;(5)掌握Windows系统资源的安全防护方法;(6)熟知安全配置的意义和特征;(7)熟知安全配置的主要技术;(8)掌握windows系统受到的威胁和解决策略;(9)熟悉操作系统安全加固知识;三、课程内容组织表1 课程内容组织表四、教学实施建议教学实施建议采用线上线下混合式教学模式。
Windows操作系统的安全配置
1
物理安全
账号、密码安全
本地安全策略
查看键盘、主机、显示器、计算机桌等与计算机环境相关的设备 是否有多余的东西
信息安全
3
账号、密码安全
停掉Guest 帐号 在计算机管理的用户里面把guest帐号停用掉, 任何时候都不允许guest帐号登陆系统。为了保险 起见,最好给guest 加一个复杂的密码。 如果要启动Guest 帐号,一定要查看该账号的 权限,只能以受限权限运行。
信息安全
6
账号、密码安全
不让系统显示上次登陆的用户名 默认情况下,终端服务接入服务器时,登陆对话 框中会显示上次登陆的帐户,本地的登陆对话框也 是一样。这使得别人可以很容易的得到系统的一些 用户名,进而作密码猜测。修改注册表可以不让对 话框里显示上次登陆的用户名,具体是: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUser Name把 REG_SZ 的键值改成 1 .
创建一个陷阱帐号 什么是陷阱帐号? 创建一个名为” Administrator”的本地 帐户,把它的权限设置成最低,什么事也干不了的那种,并且 加上一个超过10位的超级复杂密码。这样可以让那些 Scripts 忙上一段时间了,并且可以借此发现它们的入侵企图。或者在 它的login scripts上面做点手脚。
操作系统通用配置规范
安全要求-设备-通用-配置--1 账号 安全要求-设备-WINDOWS-配 置-2-可选 安全要求-设备-WINDOWS-配 置-3-可选 安全要求-设备-WINDOWS-配 置-4 安全要求-设备-WINDOWS-配 置-35 口令 安全要求-设备-WINDOWS-配 置-36-可选 安全要求-设备-WINDOWS-配 置-37 安全要求-设备-WINDOWS-配 置-5 安全要求-设备-WINDOWS-配 置-6 安全要求-设备-WINDOWS-配 置-7 安全要求-设备-WINDOWS-配 置-8 安全要求-设备-WINDOWS-配 置-9 安全要求-设备-WINDOWS-配 置-38 安全要求-设备-WINDOWS-配 置-10 安全要求-设备-WINDOWS-配 置-11 安全要求-设备-WINDOWS-配 置-12 安全要求-设备-WINDOWS-配 置-13 安全要求-设备-WINDOWS-配 置-14 安全要求-设备-WINDOWS-配 置-15 安全要求-设备-WINDOWS-配 置-16 安全要求-设备-WINDOWS-配 置-17-可选 安全要求-设备-WINDOWS-配 置-18-可选 安全要求-设备-WINDOWS-配 置-19-可选
符合 符合 符合 符合
符合
授权
Байду номын сангаас
日志配置操作
对没有自带防火墙的Windows系统,启用 安全要求-设备-WINDOWS-配 Windows系统的IP安全机制(IPSec)或网络连 置-20-可选 接上的TCP/IP筛选,只开放业务所需要的 TCP,UDP端口和IP协议。 安全要求-设备-WINDOWS-配 启用Windows XP和Windows 2003 自带防火墙 IP协议安全配置 。根据业务需要限定允许访问网络的应用程 置-21-可选 操作 序,和允许远程登陆该设备的IP地址范围。 启用SYN攻击保护;指定触发SYN洪水攻击保 护所必须超过的TCP连接请求数阀值为5;指 安全要求-设备-WINDOWS-配 定处于 SYN_RCVD 状态的 TCP 连接数的阈值 置-22-可选 为500;指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值为400 安全要求-设备-WINDOWS-配 设置带密码的屏幕保护,并将时间设定为5分 屏幕保护 安全要求-设备-WINDOWS-配 对于远程登陆的帐号,设置不活动断连时间 15分钟。 置-24 安全要求-设备-WINDOWS-配 非域环境中,关闭Windows硬盘默认共享,例 共享文件夹及访 置-25-可选 如C$,D$。 问权限 安全要求-设备-WINDOWS-配 查看每个共享文件夹的共享权限,只允许授 权的账户拥有权限共享此文件夹。 置-26 安全要求-设备-WINDOWS-配 应安装最新的Service Pack补丁集。对服务 器系统应先进行兼容性 置-27 补丁管理 安全要求-设备-WINDOWS-配 应安装最新的Hotfix补丁。对服务器系统应 先进行兼容性测试。 置-28-可选 安全要求-设备-WINDOWS-配 安装防病毒软件,并及时更新。 对于Windows XP SP2及Windows 2003对 防病毒管理 安全要求-设备-WINDOWS-配 Windows操作系统程序和服务启用系统自带 置-30-可选 DEP功能(数据执行保护),防止在受保护内存 位置运行有害代码。 安全要求-设备-WINDOWS-配 列出所需要服务的列表(包括所需的系统服 务),不在此列表的服务需关闭。 置-31 安全要求-设备-WINDOWS-配 如需启用SNMP服务,则修改默认的SNMP Windows服务 Community String设置 置-32-可选 安全要求-设备-WINDOWS-配 如需启用IIS服务,则将IIS升级到最新补丁 。 置-33-可选 安全要求-设备-WINDOWS-配 列出系统启动时自动加载的进程和服务列 启动项 表,不在此列表的需关闭。 置-34 安全要求-设备-WINDOWS-配 关闭Windows自动播放功能
win主机安全配置
windows审计策略一、对Windows操作系统的账户策略管理和文件操作的审计策略1、进行Windows操作系统的账户策略管理(1)操作者以管理员身份登录系统:打开“控制面板|管理工具”,运行“本地安全策略”;打开“本地安全设置”对话框,选择“帐户策略|密码策略|密码长度最小值”,通过此窗口设置密码长度的最小值,如下图所示。
选择“密码必须符合复杂性要求”,通过此窗口可以启用此功能,如图所示:(2)操作者以管理员身份登录系统:打开“控制面板|管理工具”,运行“本地安全策略”;打开“本地安全设置”对话框,选择“帐户策略|帐户锁定策略|帐户锁定阀值”,如图所示。
2、Windows操作系统中文件操作的审计策略(1)操作者以管理员身份登录系统:打开“控制面板|管理工具”,运行“本地安全策略”;打开“本地安全设置”对话框,选择“本地策略|审核策略”,双击“审核对象访问”,选“成功”和“失败”,如图所示。
(2)在硬盘上新建一个名为“test.doc”文件,右键单击该文件,单击“属性”,然后单击“安全”选项卡。
如图所示。
(3)单击“高级”,然后单击“审核”选项卡。
如图所示。
(4)单击“添加”;在“输入要选择的对象名称”中,键入“Everyone”,然后单击“确定”。
如图所示。
单击“高级”,选择“Everyone”如图所示:(5)在“test.doc 的审核项目”对话框中,选择访问中的“删除”和“更改权限”的功能;如图所示。
至此,对“test.doc”的审计设置完后,删除此文件。
如图所示。
(6)右键单击桌面上“我的电脑”,选择“管理”,在计算机管理中,选择“系统工具|事件查看器|安全性”,或在“开始|运行”中执行eventvwr.exe,应该能看到。
如图所示。
二、对Windows用户账号管理和登录事件进行审计1、对Windows用户账号管理进行审计(1)打开“控制面板|管理工具”,运行“本地安全设置”;选择“安全设置|本地策略|审核管理”,双击“审核帐户管理”,选“成功”和“失败”。
windows操作系统的安全配置方案
Windows操作系统的安全配置方案1. 强化用户账户安全为了提高Windows操作系统的安全性,我们可以从以下几个方面强化用户账户的安全配置:1.1 使用强密码和定期更改密码为所有用户设置强密码策略,要求密码长度至少为8个字符,并包含字母、数字和特殊字符。
此外,建议定期要求用户更改密码,以防止密码泄漏。
1.2 限制用户权限按照用户的实际需求,设置最低权限原则。
避免给予用户过高的权限,以防止恶意软件或攻击者利用高权限账户进行系统入侵或文件损坏。
1.3 启用多因素认证在重要的系统和应用程序中启用多因素认证,这样即使密码被盗也难以越过多重认证的保护。
多因素认证可以使用硬件令牌、短信验证码、指纹等多种方式。
2. 安全更新和补丁管理应及时更新最新的Windows安全更新和补丁,以修复已知的漏洞和弥补系统中的安全缺陷。
2.1 自动更新为了不错过任何重要的安全更新,应设置自动更新功能,确保系统自动下载并安装最新的安全更新。
2.2 定期手动更新除了自动更新外,还应定期进行手动更新,特别是在关键系统或网络环境中,定期检查并更新Windows操作系统的安全补丁。
3. 防火墙和网络安全策略使用Windows系统自带的防火墙或第三方防火墙软件,配置适当的网络安全策略。
3.1 启用Windows防火墙Windows操作系统自带防火墙,可以通过控制面板或组策略进行配置。
启用防火墙可以限制外部访问和入侵。
3.2 过滤不必要的端口和服务配置防火墙策略,过滤掉不必要的端口和服务,只开放必要的端口和服务,以减少攻击者的攻击面。
3.3 使用虚拟专用网络(VPN)对于需要远程访问公司网络的用户,要贯彻远程工作安全准则,并使用VPN加密隧道来确保数据传输的安全性。
4. 安全策略和日志管理配置合适的安全策略和日志管理,以便及时发现和解决潜在的安全问题。
4.1 安全策略配置通过使用组策略编辑器或其他相关工具,配置合适的安全策略,包括账户策略、密码策略、访问控制策略等。
Windows安全配置
1.3 安全信息通信配置
操作系统安全信息通信配置包括: (1)关闭DirectDraw (2)停止共享 (3)禁用Dump 文件 (4)文件加密系统 (5)关机时清除页面文件 (6)禁止从光盘启动 (7)禁止判断主机类型 (8)禁止Guest账户访问日志文件
Windows安全配置
1.2 安全策略配置
操作系统的安全策略配置包括: (1)配置操作系统安全策略 (2)关闭不必要的服务 (3)关闭不必要的端口 (4)开启审核策略 (5)开启密码策略 (6)开启账户锁定策略 (7)备份敏感数据文件 (8)不显示上次登录的账户 (9)禁止建立空连接
Windows安全配置
Windows安全配置
操作系统的安全决定着网络的安全,有相 当一部分的恶意攻击都是利用Windows操作系 统的安全配置不当而进行攻击的。从保护级别 上我们可以将Windows的安全配置分为:
(1)操作系统常规的安全配置; (2)操作系统的安全策略配置; (3)操作系统安全信息通信配置。
Windows安全配置
class for windows 配置规则 -回复
class for windows 配置规则-回复如何为Windows配置规则Windows配置规则是为了确保操作系统的正常运行和安全性而必需的。
下面将逐步介绍如何为Windows配置规则以确保最佳性能和安全性。
第一步:更新操作系统首先,确保您的Windows操作系统处于最新状态。
这可以通过打开Windows更新进行检查和安装补丁来完成。
更新操作系统可以解决已知的漏洞和错误,并提供新的特性和功能。
请定期检查和安装更新以保持您的系统安全和最新。
第二步:安装安全软件为保护您的计算机免受病毒、恶意软件和网络攻击,安装并定期更新安全软件是非常重要的。
选择一款受信任的杀毒软件,并确保您的计算机定期进行全面的系统扫描。
另外,安装防火墙软件可以帮助您监控网络流量,并防止未经授权的访问。
第三步:创建用户账户为了确保安全性,应该为每个用户创建一个独立的账户。
管理员账户应该仅用于需要进行系统更改和管理的操作。
普通用户账户应该用于日常使用,可以减少受到恶意软件和网络攻击的风险。
确保每个用户使用一个强密码,并定期更改密码,以保护您的账户安全。
第四步:启用防病毒保护Windows操作系统自带了一个防病毒软件Windows Defender。
您应该确保这个防病毒软件已经启用,并定期更新它的病毒库。
此外,您还可以考虑安装其他第三方防病毒软件来增强您的计算机的安全性。
请记住,不同的防病毒软件可能会相互冲突,因此在安装其他防病毒软件之前,请确保它们与Windows Defender兼容。
第五步:加密数据为了保护您的个人数据免受未经授权的访问,您应该考虑使用数据加密技术。
Windows操作系统提供了BitLocker功能,可以对您的硬盘进行加密。
启用BitLocker后,只有授权的用户才能在启动时解密和访问数据。
这样可以确保即使在丢失或被盗的情况下,您的数据也不会被泄露。
第六步:备份数据无论您有多么小心,您的计算机数据始终有可能丢失或损坏。
操作系统安全设置与更新规范
操作系统安全设置与更新规范在现代数字化时代,操作系统安全设置与更新成为了保护计算机和网络安全的重要手段。
本文将详细介绍操作系统安全设置与更新规范,帮助用户保障计算机和网络的安全。
一、操作系统安全设置规范良好的操作系统安全设置可以最大程度地减少潜在的安全风险,保护系统免受恶意攻击和未经授权的访问。
以下是一些操作系统安全设置规范的建议:1. 使用强密码:选择一个包含字母、数字和特殊字符的复杂密码,并定期更改密码,避免使用易被猜测或泄露的密码。
2. 开启防火墙:操作系统自带的防火墙可以过滤和监控网络流量,防止未经授权的访问。
确保防火墙开启并正确配置。
3. 定期更新操作系统:及时应用操作系统提供的安全更新和补丁,修复已知的漏洞,以保持操作系统的安全性。
4. 限制权限和访问:设置用户账户的权限,仅为必要的用户提供合适的权限,并限制访问敏感文件和系统功能。
5. 禁用不必要的服务和功能:关闭不需要的网络服务和功能,减少攻击者利用的漏洞机会。
6. 安装可信的杀毒软件:选择可信的杀毒软件进行安装,并保持其及时更新,以检测和清除潜在的恶意软件。
二、操作系统更新规范操作系统的持续更新是保持系统安全的关键步骤之一,及时安装最新的操作系统更新和补丁可以修复已知的漏洞和弥补系统的安全缺陷。
以下是一些操作系统更新规范的建议:1. 开启自动更新:确保操作系统的自动更新功能处于打开状态,以便及时获取并安装最新的安全更新和补丁。
2. 定期检查更新:即使开启了自动更新,也应定期检查系统是否已安装最新的更新。
如发现遗漏的更新,及时手动进行安装。
3. 关注官方公告和漏洞通告:关注操作系统厂商发布的官方公告和漏洞通告,及时了解已知漏洞和提供的修复方案,进行相应的更新。
4. 检查第三方软件更新:不仅操作系统需要更新,还应关注已安装的第三方软件的更新,及时安装最新版本,以避免因软件漏洞而导致的安全风险。
5. 谨慎下载和安装更新:只从官方和可信的来源下载和安装更新,避免使用非官方渠道或未经验证的更新文件,以防陷入恶意软件的陷阱。
Windows安全配置
Windows安全配置基线说明1.1.身份鉴别
1.1.1用户账号要求
1.1.2用户账号设置
1.1.3配置密码策略
1.1.4账号锁定策略
1.2.访问控制
1.2.1重命名系统管理员账号,禁用GUEST账号
1.2.2“取得文件或其它对象的所有权”设置
1.2.3关闭默认共享
1.2.4设置共享文件夹访问权限
1.3.安全审计
1.3.1审核策略设置
1.3.2日志文件大小设置
1.4.入侵防范
1.4.1系统补丁安装
1.4.2关闭多余服务
1.4.3关闭多余启动项
1.5.恶意代码防范1.5.1开启系统防火墙
1.5.2安装、更新杀毒软件
1.6.资源控制
1.6.1启用TCP/IP筛选
1.6.2屏幕保护程序
1.6.3设置Microsoft网络服务器挂起时间
1.7.其他安全要求
1.7.1关闭Windows自动播放功能。
操作系统安全配置方案
操作系统安全配置方案一、用户账户管理1、减少不必要的用户账户操作系统中应只保留必要的用户账户,删除或禁用默认的、未使用的以及测试账户。
这样可以降低潜在的攻击面。
2、强密码策略要求用户设置复杂且长度足够的密码,并定期更改。
密码应包含字母、数字、特殊字符,避免使用常见的单词或生日等容易猜测的信息。
3、账户权限分配根据用户的工作需求,为其分配最小必要的权限。
例如,普通用户不应具有管理员权限,以防止误操作或恶意行为对系统造成损害。
二、系统更新与补丁管理1、自动更新设置确保操作系统的自动更新功能处于启用状态,以便及时获取最新的安全补丁和修复程序。
2、定期检查更新即使启用了自动更新,也应定期手动检查是否有遗漏的更新,并及时安装。
3、测试补丁兼容性在大规模部署补丁之前,先在测试环境中进行测试,以确保补丁不会对关键业务应用造成不良影响。
三、防火墙与网络配置1、启用防火墙操作系统自带的防火墙应始终处于启用状态,并根据实际需求配置允许通过的端口和应用程序。
2、网络访问控制限制对敏感网络资源的访问,例如仅允许特定 IP 地址或网段访问关键服务。
3、禁用不必要的网络服务关闭操作系统中不需要的网络服务,如远程桌面服务(除非确实需要),以减少潜在的攻击途径。
四、防病毒和恶意软件防护1、安装可靠的防病毒软件选择知名的、经过测试的防病毒软件,并保持其病毒库为最新状态。
2、定期扫描设定定期的全系统扫描计划,及时发现和清除潜在的恶意软件。
3、实时监测启用防病毒软件的实时监测功能,对文件的访问和下载进行实时监控。
五、文件系统与权限设置1、敏感文件加密对重要的文件和数据进行加密存储,以防止数据泄露。
2、合理的文件夹权限为文件夹设置适当的权限,确保只有授权用户能够访问和修改其中的文件。
3、定期审查文件权限定期检查文件系统的权限设置,确保没有异常的权限授予。
六、日志管理与审计1、启用系统日志启用操作系统的各种日志功能,包括系统事件日志、安全日志等。
Windows2021安全配置规则
Windows2021安全配置规则这篇Windows 2021安全配置规则是学习啦我特地为大家整理的,希望对大家有所关怀!一、物理安全服务器应当放置在安装了监视器的隔离房间内,并且监视器应当保存15天以内的录像记录。
另外,机箱、键盘、抽屉等要上锁,以保证旁人即使在无人值守时也无法使用此计算机,钥匙要放在安全的地方。
二、停止Guest帐号在[计算机管理]中将Guest帐号停止掉,任何时候不允许Guest帐号登录系统。
为了〔保险〕起见,最好给Guest帐号加上一个冗杂的密码,并且修改Guest 帐号属性,设置拒绝远程访问。
三、限制用户数量去掉全部的测试帐户、共享帐号和一般部门帐号,等等。
用户组策略设置相应权限、并且经常检查系统的帐号,删除已经不适用的帐号。
很多帐号不利于管理员管理,而黑客在帐号多的系统中可利用的帐号也就更多,所以合理规划系统中的帐号支配。
四、多个管理员帐号管理员不应当经常使用管理者帐号登录系统,这样有可能被一些能够察看Winlogon进程中密码的软件所窥探到,应当为自己建立一般帐号来进行日常工作。
同时,为了防止管理员帐号一旦被入侵者得到,管理员拥有备份的管理员帐号还可以有机会得到系统管理员权限,不过因此也带来了多个帐号的潜在安全问题。
五、管理员帐号改名在Windows 2000系统中管理员Administrator帐号是不能被停用的,这意味着攻击者可以一再尝试猜测此帐户的密码。
把管理员帐户改名可以有效防止这一点。
不要将名称改为类似Admin之类,而是尽量将其假装为一般用户。
六、陷阱帐号和第五点类似、在更改了管理员的名称后,可以建立一个Administrator的一般用户,将其权限设置为最低,并且加上一个10位以上的冗杂密码,借此花费入侵者的大量时间,并且觉察其入侵企图。
七、更改文件共享的默认权限将共享文件的权限从“Everyone更改为授权用户”,”Everyone意味着任何有权进入网络的用户都能够访问这些共享文件。
中国移动Windows操作系统安全配置规范标准
中国移动W I N D O W S操作系统安全配置规范S p e c i f i c a t i o n f o r W i n d o w s O SC o n f i g u r a t i o n U s e d i n C h i n a M o b i l e版本号:1.0.0网络与信息安全规范编号:【网络与信息安全规范】·【第四层:技术规范·Windows操作系统】·【第4504号】2007-12-18发布2008-01-01实施中国移动通信集团公司发布目录1概述 (1)1.1适用围 (1)1.2部适用性说明 (1)1.3外部引用说明 (2)1.4术语和定义 (3)1.5符号和缩略语 (3)2WINDOWS设备安全配置要求 (3)2.1账号管理、认证授权 (3)2.1.1账号 (4)2.1.2口令 (5)2.1.3授权 (7)2.2日志配置操作 (11)2.3IP协议安全配置操作 (17)2.4设备其他配置操作 (20)2.4.1屏幕保护 (20)2.4.2共享文件夹及访问权限 (21)2.4.3补丁管理 (22)2.4.4防病毒管理 (23)2.4.5Windows服务 (24)2.4.6启动项 (25)前言本标准由中国移动通信网络部提出并归口。
本标准由标准提出并归口部门负责解释。
本标准起草单位:中国移动通信网络部。
本标准解释单位:同提出单位。
本标准主要起草人:中国移动通信集团公司朱国萃中国移动集团公司敏时1概述1.1适用围本规所指的设备为Windows系统设备。
本规明确了运行Windows操作系统的设备在安全配置方面的基本要求。
在未特别说明的情况下,均适用于所有运行的Windows操作系统,包括Windows 2000、Windows XP、Windows2003以及各版本中的Sever、Professional版本。
1.2部适用性说明配置要求说明1.3外部引用说明《中国移动通用安全功能和配置规》1.4术语和定义1.5符号和缩略语2WINDOWS设备安全配置要求本规从Windows系统设备的认证授权功能、安全日志功能以及IP网络安全功能,和其他自身安全配置功能四个方面提出安全要求。
Windows-安全配置规范标准[详]
![Windows-安全配置规范标准[详]](https://img.taocdn.com/s3/m/25eb70d3a45177232e60a27f.png)
. Windows 安全配置规
2010年11月
第1章概述
1.1适用围
本规明确了Windows操作系统在安全配置方面的基本要求,可作为编制设备入网测试、安全验收、安全检查规等文档的参考。
适用于中国电信所有运行的Windows操作系统,包括Windows 2000、Windows XP、Windows2003, Windows7 , Windows 2008以及各版本中的Sever、Professional版本。
第2章安全配置要求
2.1账号
编号:1
编号:2
编号:3
2.2口令编号:1
编号:3
2.3授权编号:1
编号:2
编号:3
2.4补丁编号:1
2.5防护软件编号:1(可选)
2.6防病毒软件编号:1
2.8日志安全要求编号:1
编号:2
编号:3
2.7Windows服务编号:1
编号: 2
编号: 3
2.8启动项
2.9关闭自动播放功能编号:1
2.10共享文件夹
编号:1
编号:2
2.11使用NTFS文件系统
2.12会话超时设置(可选)编号:1
2.13注册表:(可选)
附表:端口及服务
.
WORD版本。
Windows系统安全设置应如何配置
Windows系统安全设置应如何配置在当今数字化的时代,计算机已经成为我们生活和工作中不可或缺的一部分。
而 Windows 系统作为全球广泛使用的操作系统之一,其安全设置的重要性不言而喻。
正确配置 Windows 系统的安全设置,可以有效地保护我们的个人隐私、数据安全以及防止恶意软件和黑客的攻击。
下面,让我们一起来了解一下Windows 系统安全设置应如何配置。
一、用户账户控制(UAC)用户账户控制是 Windows 系统中的一项重要安全功能。
它可以在程序需要管理员权限进行更改时提醒用户,防止恶意软件在未经授权的情况下进行系统更改。
建议将 UAC 级别设置为“始终通知”,这样可以最大程度地保障系统安全。
虽然这可能会导致在进行一些操作时频繁弹出提示框,但为了安全起见,这点小小的麻烦是值得的。
二、更新和补丁保持 Windows 系统的更新是至关重要的。
微软会定期发布安全补丁来修复系统中发现的漏洞。
确保您的系统设置为自动下载和安装更新,这样可以及时修复可能被攻击者利用的安全漏洞。
同时,也要注意更新驱动程序,因为过时的驱动程序也可能会带来安全隐患。
三、防火墙Windows 防火墙是系统自带的一道防线,可以阻止未经授权的网络访问。
确保防火墙处于启用状态,并根据您的网络环境进行适当的配置。
例如,如果您在家庭网络中,可以设置为“家庭网络”模式,允许一些常见的网络服务通过。
如果您连接到公共网络,如咖啡店的WiFi,建议设置为“公共网络”模式,以提高安全性。
四、防病毒和恶意软件防护安装可靠的防病毒软件和恶意软件防护工具是必不可少的。
市面上有许多免费和付费的选择,如 Windows Defender(Windows 10 及以上系统自带)、360 安全卫士、腾讯电脑管家等。
定期进行全盘扫描,及时清除检测到的威胁。
五、密码策略设置一个强密码是保护账户安全的第一步。
密码应包含字母、数字、符号,并且长度不少于 8 位。
同时,启用密码过期策略,定期要求用户更改密码。
Windows安全配置规范
“强制密码历史”设置为“记住 5 个密码”
1、判定条件 “强制密码历史”设置为“记住
5 个密码”
2、检测操作 进入 “控制面板 ->管理工具 ->本地安全策略” ,在“帐户策略 ->密码
策略”: 查看是否“强制密码历史”设置为“记住
5 个密码”
对于采用静态口令认证技术的设备, 应配置当用户连续认证失败次
2、检测操作 进入 “控制面板 ->管理工具 ->本地安全策略” ,在“帐户策略 ->密码
策略”: 查看是否“密码最长存留期”设置为“
90 天”
对于采用静态口令认证技术的设备, 应配置设备, 使用户不能重复
使用最近 5 次(含 5 次)内已使用的口令。
1、参考配置操作
进入 “控制面板 ->管理工具 ->本地安全策略” ,在“帐户策略 ->密码 策略”:
编号: 2 要求内容 操作指南
检测方法
查看根据系统的要求,设定不同的账户和账户组
应删除与运行、维护等工作无关的账号。 1.参考配置操作 A )可使用用户管理工具: 开始 -运行 -compmgmt.msc- 本地用户和组 -用户 B )也可以通过 net 命令: 删除账号: net user account/de1 停用账号: net user account/active:no
对于采用静态口令认证技术的设备,账户口令的生存期不长于
90
天。
1、参考配置操作
进入 “控制面板 ->管理工具 ->本地安全策略” ,在“帐户策略 ->密码
策略”:
“密码最长存留期”设置为“ 90 天”
1、判定条件
编号: 3 要求内容 操作指南
Windows系统安全配置基线
备注
4.2
密码复杂度
安全基线项目名称
操作系统密码复杂度安全基线要求项
安全基线项说明
最短密码长度12个字符,启用本机组策略中密码必须符合复杂性要求的策略。即密码需要包含以下四种类别的字符:
英语大写字母A, B, … Z
Windows系统安全配置基线
Windows系统安全配置基线
第1章
1.1
本文规定了WINDOWS操作系统主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进行WINDOWS操作系统的安全合规性检查和配置。
1.2
本配置标准的使用者包括:服务器系统管理员、安全管理员和相关使用人员。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->帐户锁定策略”:
查看“账户锁定阀值”设置
基线符合性判定依据
“账户锁定阀值”设置为小于或等于3次,锁定时间1分钟。
备注
4.3
远程关机
安全基线项目名称
操作系统远程关机策略安全基线要求项
安全基线项说明
在本地安全设置中从远端系统强制关机只指派给Administrators组。
检测操作步骤
运行输入“”本地计算机策略windows设置安全设置本地策略安全选项下:
备注
密码
安全基线项目名称
操作系统密码最长生存期要求项
安全基线项说明
对于采用静态口令认证技术的系统,账户口令的生存期不长于90天。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Windows 安全配置规范2010年11月第1章概述1.1适用范围本规范明确了Windows操作系统在安全配置方面的基本要求,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。
适用于中国电信所有运行的Windows操作系统,包括Windows 2000、Windows XP、Windows2003, Windows7 , Windows 2008以及各版本中的Sever、Professional版本。
第2章安全配置要求2.1账号编号:1要求内容应按照不同的用户分配不同的账号,避免不同用户间共享账号,避免用户账号和设备间通信使用的账号共享。
操作指南1、参考配置操作进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:根据系统的要求,设定不同的账户和账户组。
检测方法1、判定条件结合要求和实际业务情况判断符合要求,根据系统的要求,设定不同的账户和账户组2、检测操作进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:查看根据系统的要求,设定不同的账户和账户组编号:2要求内容应删除与运行、维护等工作无关的账号。
操作指南1.参考配置操作A)可使用用户管理工具:开始-运行-compmgmt.msc-本地用户和组-用户B)也可以通过net命令:删除账号:net user account/de1停用账号:net user account/active:no检测方法1.判定条件结合要求和实际业务情况判断符合要求,删除或锁定与设备运行、维护等与工作无关的账号。
注:主要指测试帐户、共享帐号、已经不用账号等2.检测操作开始-运行-compmgmt.msc-本地用户和组-用户编号:3要求内容重命名Administrator;禁用guest(来宾)帐号。
操作指南1、参考配置操作进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:Administrator->属性-> 更改名称Guest帐号->属性-> 已停用检测方法1、判定条件缺省账户Administrator名称已更改。
Guest帐号已停用。
2、检测操作进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:缺省帐户->属性-> 更改名称Guest帐号->属性-> 已停用2.2口令编号:1要求内容密码长度要求:最少8位密码复杂度要求:至少包含以下四种类别的字符中的三种:●英语大写字母A, B, C, … Z●英语小写字母a, b, c, … z●阿拉伯数字0, 1, 2, (9)●非字母数字字符,如标点符号,@, #, $, %, &, *等操作指南1、参考配置操作进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:“密码必须符合复杂性要求”选择“已启动”检测方法1、判定条件“密码必须符合复杂性要求”选择“已启动”2、检测操作进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:查看是否“密码必须符合复杂性要求”选择“已启动”编号:2要求内容对于采用静态口令认证技术的设备,账户口令的生存期不长于90天。
操作指南1、参考配置操作进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:“密码最长存留期”设置为“90天”检测方法1、判定条件“密码最长存留期”设置为“90天”2、检测操作进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:查看是否“密码最长存留期”设置为“90天”编号:3要求内容对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令。
操作指南1、参考配置操作进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:“强制密码历史”设置为“记住5个密码”检测方法1、判定条件“强制密码历史”设置为“记住5个密码”2、检测操作进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:查看是否“强制密码历史”设置为“记住5个密码”编号:4要求内容对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。
操作指南1、参考配置操作进入“控制面板->管理工具->本地安全策略”,在“帐户策略->帐户锁定策略”:“账户锁定阀值”设置为6次检测方法1、判定条件“账户锁定阀值”设置为小于或等于6次2、检测操作进入“控制面板->管理工具->本地安全策略”,在“帐户策略->帐户锁定策略”:查看是否“账户锁定阀值”设置为小于等于6次补充说明:设置不当可能导致账号大面积锁定,在域环境中应小心设置,Administrator 账号本身不会被锁定。
2.3授权编号:1要求内容本地、远端系统强制关机只指派给Administrators组。
操作指南1、参考配置操作进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:“关闭系统”设置为“只指派给Administrators组”“从远程系统强制关机”设置为“只指派给Administrators组”检测方法1、判定条件“关闭系统”设置为“只指派给Administrators组”“从远端系统强制关机”设置为“只指派给Administrtors组”2、检测操作进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:查看“关闭系统”设置为“只指派给Administrators组”查看是否“从远端系统强制关机”设置为“只指派给Administrators组”编号:2要求内容在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。
操作指南1、参考配置操作进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:“取得文件或其它对象的所有权”设置为“只指派给Administrators组”检测方法1、判定条件“取得文件或其它对象的所有权”设置为“只指派给Administrators组”2、检测操作进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:查看是否“取得文件或其它对象的所有权”设置为“只指派给Administrators组”编号:3要求内容在本地安全设置中只允许授权帐号本地、远程访问登陆此计算机。
操作指南1、参考配置操作进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”“从本地登陆此计算机”设置为“指定授权用户”“从网络访问此计算机”设置为“指定授权用户”检测方法1、判定条件“从本地登陆此计算机”设置为“指定授权用户”“从网络访问此计算机”设置为“指定授权用户”2、检测操作进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”查看是否“从本地登陆此计算机”设置为“指定授权用户”查看是否“从网络访问此计算机”设置为“指定授权用户”2.4补丁编号:1要求内容在不影响业务的情况下,应安装最新的Service Pack补丁集。
对服务器系统应先进行兼容性测试。
操作指南1、参考配置操作安装最新的Service Pack补丁集,以及最新的Hotfix补丁。
目前Windows XP的Service Pack为SP3。
Windows2000的Service Pack为SP4,Windows 2003的ServicePack为SP2检测方法1、判定条件2、检测操作进入控制面板->添加或删除程序->显示更新打钩,查看是否XP系统已安装SP3,Win2000系统已安装SP4,Win2003系统已安装SP2。
同时检查所有的hotfix,并查看系统安装的最后一个补丁的发布日期是否与最近最新发布的补丁日期一致。
2.5防护软件编号:1(可选)要求内容启用自带防火墙或安装第三方威胁防护软件。
根据业务需要限定允许访问网络的应用程序,和允许远程登陆该设备的IP地址范围。
操作指南1、参考配置操作(以启动自带防火墙为例)进入“控制面板->网络连接->本地连接”,在高级选项的设置中启用Windows防火墙。
在“例外”中配置允许业务所需的程序接入网络。
在“例外->编辑->更改范围”编辑允许接入的网络地址范围。
检测方法1、判定条件启用Windows防火墙。
“例外”中允许接入网络的程序均为业务所需。
2、检测操作进入“控制面板->网络连接->本地连接”,在高级选项的设置中,查看是否启用Windows防火墙。
查看是否在“例外”中配置允许业务所需的程序接入网络。
查看是否在“例外->编辑->更改范围”编辑允许接入的网络地址范围。
2.6防病毒软件编号:1要求内容安装防病毒软件,并及时更新。
操作指南1、参考配置操作安装防病毒软件,并及时更新。
检测方法1、判定条件已安装放病毒软件,病毒码更新时间不早于1个月,各系统病毒码升级时间要求参见各系统相关规定。
2、检测操作控制面板->添加或删除程序,是否安装有防病毒软件。
打开防病毒软件控制面板,查看病毒码更新日期。
2.8日志安全要求编号:1要求内容设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。
操作指南1、参考配置操作开始->运行-> 执行“控制面板->管理工具->本地安全策略->审核策略”审核登录事件,双击,设置为成功和失败都审核。
检测方法1、判定条件审核登录事件,设置为成功和失败都审核。
2、检测操作开始->运行-> 执行“控制面板->管理工具->本地安全策略->审核策略”审核登录事件,双击,查看是否设置为成功和失败都审核。
编号:2要求内容开启审核策略,以便出现安全问题后进行追查操作指南1、参考配置操作对审核策略进行检查:开始-运行-gpedit.msc计算机配置-Windows设置-安全设置-本地策略-审核策略以下审核是必须开启的,其他的可以根据需要增加:•审核系统登陆事件成功,失败•审核帐户管理成功,失败•审核登陆事件成功,失败•审核对象访问成功•审核策略更改成功,失败•审核特权使用成功,失败•审核系统事件成功,失败2、补充说明可能会使日志量猛增检测方法1、判定条件尝试对被添加了访问审核的对象进行访问,然后查看安全日志中是否会有相关记录,或通过其他手段激化以配置的审核策略,并观察日志中的记录情况,如果存在记录条目,则配置成功。