计算机终端安全配置手册(Windows平台)

合集下载

计算机终端用户使用手册

计算机终端用户使用手册

一、总则1.为了提高员工信息安全防范意识和操作技能,保障公司信息安全,根据公司信息安全管理制度的要求,制定本守则。

2.公司全体员工须遵守公司信息安全制度和本守则,共同维护和保障公司信息安全,确保公司各项业务正常开展。

3.本守则遵循“信息安全,人人有责”、“谁使用,谁负责”的原则。

公司全体员工人人行动起来,积极学习信息安全知识,提高防范意识和操作技能,自觉遵守信息安全制度,共同保障公司信息系统的安全运行。

4.本守则是对员工日常操作公司信息系统的基本要求,在公司信息安全制度高于本守则要求或发生冲突时,应以公司信息安全制度为准。

二、口令使用1.员工应为个人使用电脑设置好开机、屏幕保护口令,为各类帐户设置好登录口令,口令设置遵循以下基本原则:(1)用户口令长度不得低于6位,必须包含字母和数字,最近2个口令不可重复;管理员和超级管理员账号口令长度不得低于6位,必须包含字母、数字和特殊符号,最近3个口令不可重复;(2)要便于自己记忆;(3)不使用别人容易利用个人相关信息便于自己记忆猜测的信息。

例如生日、电话号码、身份证号码以及其它系统已使用的口令等;(4)避免使用连续的相同数字,或者全是数字或全是字母的字符组;(5)不使用字典中完整单词,避免字典攻击;(6)不同安全等级、不同应用用途的用户应设置不同口令。

例如:业务用户和非业务用户、公司内部用户和普通上网用户等应分别设置不同口令。

2.注意口令保密。

不得将个人用户口令泄露给他人,也不得打听或猜测他人用户口令。

避免将口令记录在他人可能容易获取的地方,例如笔记本、纸条、电子文件等;避免在自动登录过程中以不安全的方式保存口令。

3.新用户在第一次登录时应修改其临时设置的口令;设置缺省口令的新用户,用户生效后及时登录并修改口令。

4.定期修改口令。

应定期修改口令,间隔小于6个月;用户要求口令修改的前提必须经用户身份验证,且必须有记录。

三、病毒防范1.计算机病毒及木马等恶意程序能导致系统破坏、数据泄露、网络中断等严重安全事件发生,是信息系统的最大安全威胁之一。

Windows办公网客户端操作系统安全配置基线V1.0

Windows办公网客户端操作系统安全配置基线V1.0

Windows办公网客户端操作系统安全配置基线V1.0错误!未找到引用源。

XXXX公司二〇一二年一月十日■版本变更记录时间版本说明2012-1-1 V1.0 文档创建■适用性声明本文档用于说明如何配置安全的Windows办公网客户端。

目录一. 概述 (1)1.1适用范围 (1)1.2注意事项 (1)二. 基本安全配置 (1)2.1账号管理 (1)2.1.1 可疑账号检查 (1)2.1.2 来宾账户(Guest)检查 (1)2.1.3 用户使用域帐号登录 (2)2.2口令配置 (2)2.2.1 口令复杂度策略 (2)2.2.2 口令最长生存期策略 (3)2.3日志审计 (3)2.4安全防护 (3)2.4.1 防病毒管理 (3)2.4.2 补丁分发管理 (4)2.5服务安全 (4)2.5.1 屏保密码保护 (4)2.5.2 自动播放关闭 (5)一. 概述1.1 适用范围本配置规范适用于银河证券办公网的Windows客户端系统,主要涉及Windows 客户端操作系统安全配置方面的基本要求,用于指导安全例行工作、新系统入网安全配置和检查等场合。

本文档适用于微软Windows操作系统,包括Windows XP、Windows VISTA、Windows 7版本。

1.2 注意事项根据银河证券目前办公网Windows客户端操作系统的安全现状,综合参考建议,本配置规范中主要为指导办公网客户端的安全配置。

二. 基本安全配置该部分定义Windows操作系统安全配置的基本要求,分为账号管理、口令配置、认证授权、日志审计、登录管理、共享安全、安全防护、服务安全等8个方面。

针对每一项配置详细描述配置要求内容,在操作指南部分给出参考配置操作,在检查方法部分给出手工检查所对应的检查项。

2.1 账号管理2.1.1 可疑账号检查安全配置编号操作系统--WINDOWS--配置-1配置名称可疑账号检查配置要求内容检查本地账号,将可疑账号删除;操作指南参考配置操作“开始->运行->输入“compmgmt.msc”,点确定->本地用户和组”。

终端配置方案

终端配置方案
5.对员工进行设备使用培训,确保员工能够正确使用和维护设备;
6.员工签署《终端设备使用责任书》,明确设备使用规范。
五、维护与管理
1.定期进行设备检查与维护;
2.建立设备故障响应机制,确保快速修复;
3.持续监控设备安全状态,及时应对安全威胁;
4.定期更新安全策略和软件版本;
5.对违规使用设备的行为进行记录并采取相应措施。
2.定期开展信息安全培训,提高员工安全意识;
3.建立终端设备使用档案,实现设备全生命周期管理;
4.对违反规定的终端设备使用行为进行处罚。
六、总结
本方案从硬件、软件、网络、安全等方面对终端设备进行配置,旨在为XX公司提供一套合法合规、高效安全的终端配置方案。通过实施本方案,将有助于提高公司业务运行效率,降低信息安全风险,为公司持续发展奠定坚实基础。
3.网络配置
(1)有线网络
-速率:至少提供100Mbps接入能力;
-网络接口:支持千兆以太网。
(2)无线网络
-速率:至少提供Wi-Fi 5(802.11ac)标准;
-安全:采用WPA3加密协议,确保无线网络安全。
4.安全策略
(1)访问控制
-设置复杂度要求高的登录密码;
-实施双因素认证机制;
-定期更新密码策略。
六、结论
本终端配置方案旨在为XX公司提供一个全面、高效、安全的终端设备配置与管理框架。通过本方案的实施,将显著提升公司信息技术基础设施的性能与安全性,为公司的稳定发展提供坚实的技术支持。
-移动端:Android 9.0或iOS 13.0及以上版本。
(2)办公软件
- Microsoft Office套件或等效替代软件;
-专业PDF阅读器;
-其他业务特定软件。

Windows主机安全配置手册

Windows主机安全配置手册

Wind ows主机安全配置手册1. 适用范围本文档的适用操作系统为Microsoft Windows 2000 Server/Advanced ServerMicrosoft Windows 2003 Server/Advanced Server2 更新要求本文档每年必须由负责人员重新审查内容,并按照需求修正。

各操作系统厂商推出新版本时,亦必须重新审查内容及修正。

3.1用户、用户组及其权限管理描述:创建用户组和用户,并对其分配合适的权限是WINDOWS安全机制的核心内容之一。

3.1.1对系统管理员账号进行限制3.1.2 密码策略3.1.3 账户锁定策略3.2远程访问主机系统描述:被配置为接受远程访问连接的任何基于 Windows的计算机用户。

3.2.1 对可以远程使用telnet服务的用户进行限定3.2.2 Pcanywhere远程接入3.3系统补丁描述:补丁是实现Windows主机系统安全的重要途径。

3.3.1安装Windows补丁3.4文件系统增强描述:NTFS支持细致的文件权限控制,磁盘配额管理、文件加密等特性。

NTFS可为用户提供更高层次的安全保证。

而FAT和FAT32系统则不具备上述特性。

3.4.1使用NTFS文件系统3.4.2删除OS/2和POSIX子系统3.4.3移动和对关键文件进行访问控制3.4.4关闭 NTFS 生成 8.3 文件名格式3.4.5设置 NTFS 的访问控制列表3.5防病毒描述:计算机病毒是具有传染性的恶意计算机代码。

病毒成为危害windows系统的安全主要威胁之一。

防止计算机病毒必须根据系统的实际制定防病毒策略、部署多层防御、定期更新防病毒定义文件和引擎、定期备份文件,及时获得来自安全服务提供商的病毒信息。

3.5.1安装防病毒软件及其更新3.5.2 对web浏览器和电子邮件客户端的策略3.6系统服务调整描述:Windows提供的服务种类繁多,不同服务对安全的要求不一,如通过注册表、修改服务配置、停掉不必要的服务和组件等。

win2021021终端服务配置

win2021021终端服务配置

win2021021终端服务配置呵呵,大家好!这个攻略总算有空做了!终端服务可能有些人听说过,但是真正去用的怕还不是很多,大多只是使用它的远程管理。

想真正用到终端的怕又不明白怎么去管理与调整。

而且更可恶的是,微软竟有30天的使用限制,就算加了临时授权也只能是90天使用的期限。

而这些个问题在本攻略里都将一一解决。

为了让大家看的懂,俺使用了图解的模式,占空间会大些俊俊不要哭撒!首先是安装操作系统,使用win2000server、2000ADV.Server或者2003除web server以外的任何一个服务器版本均可,俺这里使用的win2000 Server。

但是需要注意下列几点。

1、该机器不可同时作为AD服务器;2、在安装时授权一项务必是每服务器方式,且需要把许可证数量调整的100个。

若在安装时调整应在下图所示步骤更换,授权模式为每服务器,同时连接数里请填写上100 上传的缩略图其他的按默认安装即可,安装完记得最少要打上sp2,不然你的终端服务会很不好用的哦。

有人问,要是安装时选择的是每客户方式不行么?能够,但是这样的话下边的客户端就务必有独立的操作系统,同时这个操作系统还务必是微软的win系列。

这样客户端才能拥有一个内嵌的且被NT类服务器认可的CA认证。

只是这这里俺还是推荐使用每服务器,不管你的客户端是什么样的,这样可避免一些不必要的问题。

事实上在安装的时候选择了每客户也不是不可更换的,你能够在安装完毕后打开操纵面板找到“授权”一项,打开它。

上传的缩略图这时会弹出一个授权对话框请在授权对话框里选择每服务器后选择添加许可证。

确定后会出现下图界面,请在我同意处打钩,然后选择确定之后就是下图这个样子了,再然后一路确定就ok了。

值得注意的是微软的协议为安装完毕后只提供一次授权模式更换。

但我们还是能够改,只要忽略它的提示就能够了。

后果么?俺不明白哦~~OK!现在我们能够安装终端服务了,在安装之前俺还想罗嗦一句,在完全安装完毕终端服务与终端服务授权激活之前千万不要让任何一台设备用终端方式登入本服务器,不然你哭都哭不出来。

终端安全管理系统使用手册

终端安全管理系统使用手册

可信终端安全管理系统使用手册2010年12月目录1.系统登录 (4)2.产品注册 (5)3.系统应用 (6)3.1.界面介绍 (6)3.2.主机列表 (7)3.2.1.增加工作组 (7)3.2.2.删除工作组 (7)3.2.3.修改工作组 (8)3.2.4.计算机分组 (8)3.2.5.主机信息管理 (8)3.2.6.主机修改与删除 (8)3.3.主机拓扑 (9)3.4.可信域 (10)3.4.1.可信域介绍 (10)3.4.2.使用可信域 (11)3.5.用户管理 (11)3.5.1.用户权限 (11)3.5.2.增加用户 (11)3.5.3.修改用户 (12)3.5.4.删除用户 (12)3.6.系统信息 (12)3.6.1.基本配置 (12)3.6.2.磁盘信息 (13)3.6.3.用户信息 (14)3.6.4.进程信息 (14)3.6.5.服务信息 (15)3.6.6.硬件设备 (15)3.6.7.系统资源 (16)3.6.8.网卡信息 (17)3.7.远程协助 (17)3.7.1.打开屏幕 (18)3.7.2.关闭屏幕 (19)3.7.3.远程协助 (19)3.8.主机策略 (19)3.8.1.文件策略 (20)3.8.2.打印策略 (22)3.8.3.网络策略 (22)3.8.4.拨号连接 (24)3.8.5.URL规则 (24)3.8.6.邮件策略 (25)3.8.7.地址绑定 (26)3.8.8.域访问策略 (27)3.8.9.域黑白名单策略 (27)3.8.10.U盘策略 (28)3.8.11.U盘授权 (29)3.8.12.进程监控 (30)3.8.13.文件防篡改 (31)3.8.14.设备管理 (32)3.8.15.系统资源 (33)3.9.主机日志 (34)3.9.1.文件日志 (34)3.9.2.打印日志 (35)3.9.3.网络日志 (35)3.9.4.拨号日志 (36)3.9.5.URL日志 (36)3.9.6.邮件日志 (36)3.9.7.地址绑定日志 (37)3.9.8.U盘日志 (37)3.9.9.进程日志 (37)3.9.10.文件防篡改日志 (37)3.9.11.系统资源日志 (38)3.10.在线升级 (38)3.11.关于我们 (39)3.12.系统退出 (40)1.系统登录请按照《安装手册》安装好终端安全管理系统。

PC机及笔记本电脑Windows系统安全配置标准

PC机及笔记本电脑Windows系统安全配置标准

XX公司PC机及笔记本电脑Windows系统安全配置标准1 目的为保证XX公司IT支撑系统的信息安全,规范个人桌面PC机及移动笔记本的Windows操作系统安全配置,特制定此标准。

2 范围本标准适用于XX公司个人办公PC机及笔记本电脑上所用的Windows 2000系统、Windows XP 系统及Windows 7系统。

3 Windows 2000 安全配置标准3.1系统补丁安装标准3.1.1 系统补丁分类Windows 2000系统与安全相关的补丁大致分三类:⏹Service Pack(补丁包): Service Pack 是经过测试的所有修复程序、安全更新程序、关键更新程序以及更新程序的累积的集合。

Service Pack 还可能包含自产品发布以来针对内部发现问题的其他修复以及设计上的更改或功能上的增加。

Service Pack补丁包涵盖了自发布之前的所有补丁,是重要的补丁集合。

⏹Security Patch(安全补丁):Security Patch是针对特定问题广泛发布的修复程序,用于修复特定产品的与安全相关的漏洞。

Microsoft在发布的安全公告中将Security Patch分级为严重、重要、中等、低四个等级。

严重的安全补丁缺失,会造成蠕虫快速传播(如振荡波,冲击波),对系统本身和网络造成重大影响,这类补丁需要及时应用到操作系统。

⏹Hotfix(修补程序):Hotfix是针对某一个具体的系统漏洞或安全问题而发布的专门解决该漏洞或安全问题的小程序,通常称为修补程序,如果在最近发布的Service Pack后面,出现安全方面的漏洞,通常对应的补丁会以Hotfix修补程序的形式发布。

3.1.2 补丁安装原则1、新安装或者重新安装Windows 2000操作系统,必须安装最新的Service Pack补丁集。

2、必须安装等级为严重和重要的Security Patch。

3、有关安全方面的Hotfixes补丁应当及时安装。

计算机终端用户使用手册-安全防护11招

计算机终端用户使用手册-安全防护11招

个人信息安全防护“十一招”第1招:口令要强口令和密码是通往计算机上宝贵财富的大门,它可能是计算机安全方案中最薄弱的环节。

随着口令破解工具功能的不断增强,用来破解口令的计算机更加强大,设置难以猜测、难以破解的强口令就更重要了。

●背景知识:什么口令是强口令一个足够强、足够好的口令应满足一下方面的要求,通常我们将这种口令称为强口令:1.令长度至少8位字符长;2.口令应混合字母、数字和符号;3.口令应难以猜测,例如,不要使用用户的姓名、用户名、手机号码、生日、配偶/孩子姓名和生日等。

●实用操作:如何设置一个好记的强口令简单地说,一个好的强口令就是足够长、足够复杂、没有规律、难以猜测。

但在现实生活中,好的强口令不仅仅是令黑客和别有用心的人难以猜测,在提供安全性的同时,由于其复杂性有时也会给我们带来麻烦,在计算机用户日常工作中最经常碰到的问题就是忘记口令。

使用8个字符以上不包含姓名、用户名、手机号码、生日等的强口令,不同资源应用使用不同口令,而且还需要定期更换,对于普通计算机用户来说,这是一件非常苦恼的事情。

下面,我们将介绍一些帮助大家创建记忆,但难以猜测的强口令的小技巧。

例子1:中国信息安全测评中心的缩写为cnitsec,很多人喜欢用它和一些数字混合来设置口令,比如cnitsec123,这是个不安全的口令。

但如果取其中几个字母(通常有特殊意义且好记,尤其是对自己来讲,如ct、cn、it等)改成大写,把某个数字与它的对应的字符交换,如(2→@),其则中的变化为CniTsec1@3,这就符合强口令的要求。

例子2:可以找一个句子,然后由规律地从中选择出字符组成口令。

“我是一名光荣的北京2008奥运会志愿者”,选择中文汉字的拼音首字母,并把zyz改成大写成“wsymgrdbj2008ZYZ”。

这个口令就不错。

再如,取古诗词“床前明月光,疑是地上霜”成“cqmyg,ysdss”。

●温馨提示:口令使用良好的习惯不仅对于操作系统,对于其他所有需要口令访问的应用和资源来说,我们需要确保以下良好的口令使用习惯:1.对不同资源使用不同口令;2.为屏保程序设置口令,离开机器时要注销或切换用户(锁屏);3.不要把口令写在纸上或其他可能被他人容易得到的地方;4.定期修改口令。

终端服务的安装与设置

终端服务的安装与设置

终端服务的安装与设置终端服务(Terminal Service)是一种在网络环境下提供远程访问计算机操作系统及应用程序的服务。

通过终端服务,用户可以在任何地方通过安全的网络连接访问远程计算机,并使用其中的应用程序和资源。

本文将介绍终端服务的安装和设置步骤。

安装终端服务步骤一:检查系统要求在安装终端服务之前,首先要检查操作系统的版本和硬件要求是否满足。

以下是一些要求的示例:•操作系统:Windows Server 2016或更高版本•CPU:2 GHz或更快的64位处理器•内存:4 GB或更多•硬盘空间:至少40 GB的可用空间步骤二:安装终端服务角色1.打开服务器管理器。

2.在左侧导航栏中,选择“角色”。

3.在右侧窗口中,点击“添加角色”。

4.在“添加角色向导”中,点击“下一步”。

5.在“选择服务器角色”页面中,选择“远程桌面服务”。

6.在“选择服务角色”页面中,选择“远程桌面会话主机”或“远程桌面服务”(根据需求选择)。

7.在“选择功能”页面中,选择所需的功能,如“远程桌面许可证”,然后点击“下一步”。

8.在“配置远程桌面许可证服务器”页面中,选择许可证类型,然后点击“下一步”。

9.在“选择安装位置”页面中,选择安装位置,然后点击“下一步”。

10.在“配置已选角色服务”页面中,点击“下一步”。

11.在“确认安装选项”页面中,点击“安装”。

12.等待安装完成,然后点击“完成”。

步骤三:配置终端服务1.在服务器管理器中,点击“远程桌面服务”。

2.在右侧窗口中,点击“任务”>“配置域”或“配置工作组设置”(视网络环境而定)。

3.在“远程桌面服务配置”中,选择“证书”选项,配置许可证服务器。

4.在“远程桌面会话主机配置”中,配置会话模式、连接限制和用户体验选项。

5.在“通过 RD 集合访问 RD 会话主机”中,创建一个终端服务集合并设置连接属性。

6.在“远程控制”中,设置对终端服务会话的远程控制权限。

IT终端用户安全手册-中文版

IT终端用户安全手册-中文版

IT终端用户安全手册公司的电脑和内部相关系统是公司资产的一部分,公司所有的用户有义务来确保系统和信息的安全性。

在这篇文档中,将对如何使用内部系统给予指导,并着重对使用系统过程当中的限制作出了定义。

索引⏹对计算机及相关系统硬件的保护 (2)⏹终端用户对个人帐号的安全保护 (3)⏹终端用户进入系统后对系统内个人工作信息的保护 (4)⏹对终端用户使用个人电脑的定义 (5)⏹终端用户使用外来介质的定义 (6)⏹终端用户使用公司邮件系统的定义 (7)⏹终端用户接入INTERNET的定义 (8)⏹终端用户对网络硬盘的使用 (9)⏹终端用户对备份系统的使用 (10)⏹终端用户对病毒防护系统的使用 (11)⏹漫游用户对VPN的使用 (12)对计算机及相关系统硬件的保护计算机及相关系统的硬件是公司商业值息及内部系统运作的载体,这主要包括以下几个部分:服务器,路由器及交换机等关键网络设备。

分布到名办公室的网络线缆,用户工作站,用户手提电脑等。

这些硬件设备构成了公司内部系统信息储存和流通的路径,对这些硬件的保护是系统能正常和安全运作的最重要工作,以下将分类予以说明:A.对于服务器,路由器及交换机等关键网络设备:这些设备都被安装在公司的机房,它们的安全检查和保护工作由IT来负责,而不对公司终端用户做要求。

B.对于分布到各办公室的网络线缆:这些线缆负责终端用户之间的互连以及终端用户和公司内部系统之间的互联,所以我们要终端用户在任何情况下都不能挤压或者切断这些线缆,更不能尝试自己去修理线缆,当终端用户怀疑这些线缆有问题时可以和IT联系,由IT来处理。

C.用户工作站:用户工作站是指在办公室固定办公的终端用户使用的计算机设备,这些工作站存放的是终端用户工作相关的部分商业数据,更是终端用户工作的平台。

所以我们要求终端用户在任何情况之下都不得人为破坏这些硬件,更不能尝试打开机箱做任何操作,当终端用户怀疑个人的工作站有问题时,请联系IT处理。

Windows终端安全配置手册

Windows终端安全配置手册

目录1 用户账号策略 (1)1.1 修改缺省帐户名称 (1)1.2 禁用其他用户 (2)1.3 账号锁定策略 (3)2 用户密码策略 (6)3 屏幕保护锁屏 (8)4 审核策略 (10)5 用户权利分配 (13)5.1 从远端系统强制关机 (13)5.2 关闭系统 (14)5.3 取得文件或其它对象的所有权 (15)6 关闭系统默认共享 (15)7 关闭自动播放 (17)8 关闭不必要的服务 (19)8.1 关闭不必要的windows系统服务 (19)8.2 关闭其他软件安装的不必要服务 (21)9 补丁更新 (22)10 防病毒软件 (23)11 终端监控软件 (25)12 卸载不必要软件 (28)13 配置合规检查 (29)1用户账号策略1.1修改缺省帐户名称按住“win”键+“R”键,打开“运行”窗口,输入lusrmgr.msc,点击“确定”。

选择->“用户”->右击“Administrator”账号->选择“重命名”。

1.2禁用其他用户选择->“用户”->右击“guest”账号->“属性”->“常规”->勾取“账号已禁用”。

点击“确定”后,在guest账号上会出现一个向下的箭头号,表明操作成功。

(禁止其他不用的账户,可按此方法操作)1.3账号锁定策略按住“Win”键+“R”键,打开“运行”窗口,输入“gpedit.msc”,打开“组策略”窗口。

在“组策略”窗口中,选择“计算机配置”->“Windows设置”->“安全设置”->“账户策略”->“账户锁定策略”,进入“账户锁定策略”窗口。

在此窗口中,双击“帐户锁定阈值”,设置错误密码输入次数后点击“确定”,同时会弹出提醒,点击确定。

同样在“账户锁定策略”窗口,双击“账户锁定时间”,设置锁定时间后,点击“确定”。

备注:锁定策略对administrator这个内置账户无效。

操作系统安全配置指南

操作系统安全配置指南

操作系统安全配置指南一、目的为提高XXXX单位信息系统中业务主机的安全性,优化安全配置,制定本指南。

二、适用范围适用于XXXX单位信息系统中业务主机操作系统的基本安全加固。

三、加固指南1、Windows系统安全配置管理策略在应用以下安全策略之前应根据业务系统的实际情况进行操作,注意实施操作后对业务的风险。

(1)物理安全策略①应设置BIOS 口令以增加物理安全。

②应禁止远程用户使用光驱和软驱。

(2)补丁管理策略①应启动Windows 自动更新功能,及时安装Windows 补丁(SP、hotfix)。

②对于不能访问Internet 的Windows 系统,应采用手工打补丁的方式。

(3)帐户与口令策略①所有帐户均应设置口令。

②应将系统管理员账号administrator 重命名。

③应禁止Guest 账号。

④应启用“密码必须符合复杂性要求”,设置“密码长度最小值”、“密码最长存留期”、“密码最短存留期”、“密码强制历史”,停用“为域中用户使用可还原的加密来存储”。

⑤应设置“账户锁定时间”,“账户锁定阈值”,“复位账户锁定计数器”来防止远程密码猜测攻击。

⑥在信息安全组批准下,应定期利用口令破解软件进行口令模拟破解测试,在发现脆弱性口令后及时通告并采取强制性的补救修改措施。

(4)网络服务策略①应尽可能减少网络服务,关闭不必要的服务。

②应通过修改注册表项,调整优化TCP/IP 参数,来提高系统抵抗DOS 攻击的能力。

③应限制使用SNMP 服务。

如果的确需要,应使用V3 版本替代V1、V2 版本,并启用MD5 校验等功能。

(5)文件系统策略①所有分区均应使用NTFS。

②尽量使用磁盘配额管理、文件加密(EFS)等功能。

③应卸载OS/2 和POSIX 操作环境子系统。

④应将所有常用的管理工具放在%systemroot% 外的特殊目录下,并对其进行严格的访问控制,保证只有管理员才具有执行这些工具的权限。

⑤应关闭NTFS 生成8.3 文件名格式。

Windows-安全配置规范标准[详]

Windows-安全配置规范标准[详]

. Windows 安全配置规
2010年11月
第1章概述
1.1适用围
本规明确了Windows操作系统在安全配置方面的基本要求,可作为编制设备入网测试、安全验收、安全检查规等文档的参考。

适用于中国电信所有运行的Windows操作系统,包括Windows 2000、Windows XP、Windows2003, Windows7 , Windows 2008以及各版本中的Sever、Professional版本。

第2章安全配置要求
2.1账号
编号:1
编号:2
编号:3
2.2口令编号:1
编号:3
2.3授权编号:1
编号:2
编号:3
2.4补丁编号:1
2.5防护软件编号:1(可选)
2.6防病毒软件编号:1
2.8日志安全要求编号:1
编号:2
编号:3
2.7Windows服务编号:1
编号: 2
编号: 3
2.8启动项
2.9关闭自动播放功能编号:1
2.10共享文件夹
编号:1
编号:2
2.11使用NTFS文件系统
2.12会话超时设置(可选)编号:1
2.13注册表:(可选)
附表:端口及服务
.
WORD版本。

Windows主机安全配置手册

Windows主机安全配置手册

Wind ows主机安全配置手册1. 适用范围本文档的适用操作系统为Microsoft Windows 2000 Server/Advanced ServerMicrosoft Windows 2003 Server/Advanced Server2 更新要求本文档每年必须由负责人员重新审查内容,并按照需求修正。

各操作系统厂商推出新版本时,亦必须重新审查内容及修正。

3.1用户、用户组及其权限管理描述:创建用户组和用户,并对其分配合适的权限是WINDOWS安全机制的核心内容之一。

3.1.1对系统管理员账号进行限制3.1.2 密码策略3.1.3 账户锁定策略3.2远程访问主机系统描述:被配置为接受远程访问连接的任何基于 Windows的计算机用户。

3.2.1 对可以远程使用telnet服务的用户进行限定3.2.2 Pcanywhere远程接入3.3系统补丁描述:补丁是实现Windows主机系统安全的重要途径。

3.3.1安装Windows补丁3.4文件系统增强描述:NTFS支持细致的文件权限控制,磁盘配额管理、文件加密等特性。

NTFS可为用户提供更高层次的安全保证。

而FAT和FAT32系统则不具备上述特性。

3.4.1使用NTFS文件系统3.4.2删除OS/2和POSIX子系统3.4.3移动和对关键文件进行访问控制3.4.4关闭 NTFS 生成 8.3 文件名格式3.4.5设置 NTFS 的访问控制列表3.5防病毒描述:计算机病毒是具有传染性的恶意计算机代码。

病毒成为危害windows系统的安全主要威胁之一。

防止计算机病毒必须根据系统的实际制定防病毒策略、部署多层防御、定期更新防病毒定义文件和引擎、定期备份文件,及时获得来自安全服务提供商的病毒信息。

3.5.1安装防病毒软件及其更新3.5.2 对web浏览器和电子邮件客户端的策略3.6系统服务调整描述:Windows提供的服务种类繁多,不同服务对安全的要求不一,如通过注册表、修改服务配置、停掉不必要的服务和组件等。

Windows安全配置指南要点

Windows安全配置指南要点

Windows系统安全配置指南中国联通讯息化事业部2012 年 09 月版本版本控制信息更新日期更新人审批人创立2012 年 9 月备注:1.若此文档需要往后更新,请创立人填写版本控制表格,不然删除版本控制表格。

目录第 1章归纳 (1)目的 .......................................................................................................错误!不决义书签。

合用范围 ...............................................................................................错误!不决义书签。

合用版本 ...............................................................................................错误!不决义书签。

实行 .......................................................................................................错误!不决义书签。

例外条款 ...............................................................................................错误!不决义书签。

第 2章账号管理、认证受权 . (2)账号 (2)管理缺省账户 (2)口令 (2)密码复杂度 (2)密码历史 (3)2.2.3 帐户锁定策略 (4)受权 (4)远程关机 (4)当地关机 (5)用户权益指派 (5)第 3章日记配置操作 (7)日记配置 (7)审察登录 (7)审察策略改正 (7)审察对象接见 (8)审察事件目录服务器接见 (8)审察特权使用 (9)审察系统事件 (9)审察账户管理 (10)审察过程追踪 (10)日记文件大小 (11)第 4章IP 协议安全配置 (12)IP 协议 (12)启用 SYN 攻击保护 (12)第 5章设备其余配置操作 (14)共享文件夹及接见权限 (14)关闭默认共享 (14)防病毒管理 (14)数据履行保护 (14)W INDOWS服务 (15)5.3.1 SNMP 服务管理 (15)启动项 (16)关闭 Windows 自动播放功能 (16)第 6 章评审与订正 (17)第1章归纳1.1 目的本文档规定了中国联统统讯有限公司管信息化事业部所保护管理的WINDOWS操作系统的主机应该依照的操作系统安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进行 WINDOWS操作系统的安全合规性检查和配置。

window-操作系统安全配置手册

window-操作系统安全配置手册

WINDOWS 操作系统安全配置手册
目录
WINDOWS 操作系统安全配置手册 (1)
1概述 (2)
适用范围 (2)
2WINDOWS设备安全配置要求 (2)
2.1账号管理、认证授权 (2)
2.2口令 (3)
2.3授权 (5)
2.4日志配置操作 (8)
2.5IP协议安全配置操作 (13)
2.6设备其他配置操作 (13)
2.7共享文件夹及访问权限 (14)
2.8补丁管理 (16)
2.9防病毒管理 (16)
2.10Windows服务 (17)
2.11启动项 (17)
1概述
适用范围
本规范所指的设备为Windows系统设备。

本规范明确了运行Windows操作系统的设备在安全配置方面的基本要求。

在未特别说明的情况下,均适用于所有运行的Windows操作系统。

2WINDOWS设备安全配置要求
本手册从Windows系统设备的认证授权功能、安全日志功能以及IP网络安全功能,和其他自身安全配置功能四个方面提出安全要求。

2.1账号管理、认证授权
认证功能用于确认登录系统的用户真实身份。

认证功能的具体实现方式包括静态口令、动态口令、指纹等生物鉴别技术等。

授权功能赋予系统账号的操作权限,并限制用户进行超越其账号权限的操作。

2.2口令
2.3授权
2.4日志配置操作
2.5 IP协议安全配置操作
2.6设备其他配置操作
2.7共享文件夹及访问权限
2.8补丁管理
2.9防病毒管理
2.10Windows服务
2.11启动项。

个人电脑安全设置手册

个人电脑安全设置手册

个人电脑安全设置手册前言本部个人电脑安全设置手册主要针对的对象是个人电脑一般操作用户而非专业人士,所针对的操作系统是Windows XP,所涉及的安全设置问题包括操作系统安全和常用软件应用安全两个大方面,在手册最后也献上了一些养成良好上网习惯的建议,希望该手册能为打造我们身边安全个人电脑环境贡献一点力量。

一、操作系统安全安全一直是一个不容忽视的问题,如果发生了黑客攻击、被入侵、宝贵的资料被盗、密码被破解,想想这些事情就叫人害怕!应该说在默认情况下Windows XP是存在很多安全设计方面的缺陷的,而只要我们能够将这些缺陷弥补,对其进行正确的设置,是有可能提高系统安全性能的。

★用户安全设置1、禁用Guest账号在计算机管理的用户里面把Guest账号禁用。

右击“我的电脑”-->管理-->计算机管理(本地)-->系统工具-->本地用户和组-->用户,左击“用户”-->guest-->“属性”,将“用户不能更改密码”,“密码永不过期”,“账户已停用”这三项全部勾选上。

为了保险起见,最好给Guest加一个复杂的密码。

你可以打开记事本,在里面输入一串包含特殊字符、数字、字母的长字符串,然后把它作为Guest用户的密码拷进去。

2、限制不必要的用户同上在用户选项里把不用的用户给禁用或是删除了。

这些用户很多时候都是黑客们入侵系统的突破口。

3、创建两个管理员账号创建一个一般权限用户用来收信以及处理一些日常事物,另一个拥有Administrators权限的用户只在需要的时候使用。

同上在用户里单击右键---->新用户,就可以创建新用户及创建密码了,同时把系统Administrator账号改名尽量把它伪装成普通用户并创建一个陷阱用户。

4、创建一个陷阱用户创建一个名为“Administrator”的本地用户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。

相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

计算机终端安全配置手册(Windows 平台)目录1审核策略设置 (3)1.1开启密码策略 (3)1.2开启帐户锁定策略 (4)1.3开启审核策略 (4)2帐户设置 (5)2.1UAC(用户帐户控制)提醒 (5)2.2禁用Guest 帐户 (6)2.3取消“密码永不过期” (7)2.4修改密码 (8)3系统设置 (8)3.1设置计算机名 (8)3.2设置屏幕保护程序 (13)3.3防病毒软件设置 (16)3.4设置时钟同步 (19)3.5系统补丁自动更新 (20)3.6设置防火墙 (23)3.7日志文件设置 (24)4FAQ (25)附录 (27)1.常见的服务和功能说明 (27)2.常见端口说明 (30)1审核策略设置1.1开启密码策略计算机终端启用密码策略,设置帐户密码时会依据密码策略校验密码是否符合要求,以避免设置帐户密码为非强密码对计算机终端造成安全风险。

设置要求:必须设置方法:1、打开『控制面板』->『所有控制面板项』->『管理工具』,双击“本地安全策略” ,或在『运行』->输入secpol.msc,并确认。

2、在『安全设置』->『帐户策略』->『密码策略』下,进行密码策略的设置。

密码策略包括:∙密码必须符合复杂性要求:已启用∙密码长度最小值:8 位∙密码最长留存期:90 天∙强制密码历史:3 个记住的密码1.2开启帐户锁定策略计算机终端启用帐户锁定策略,可以有效防止攻击者使用暴力破解方式猜测用户密码。

设置要求:必须设置方法:1、打开『控制面板』->『所有控制面板项』->『管理工具』,双击“本地安全策略”,或在『运行』-> 输入secpol.msc,并确认。

2、在『安全设置』->『帐户策略』->『帐户锁定策略』下,进行帐户锁定策略的设置。

先修改“帐户锁定阈值”设置,其它两项会自动提示修改∙帐户锁定阈值:10 次无效登录∙帐户锁定时间:30 分钟∙重置帐户锁定计数器:30 分钟之后1.3开启审核策略审核策略是计算机终端最基本的入侵检测方法,当尝试对系统进行某些方式(如尝试用户密码、改变帐户策略、未经许可的文件访问等)入侵时审核策略会进行系统日志记录。

各审核策略含义如下:1.审核策略更改:可查看更改本地安全策略的尝试,以及查看某个用户是否更改了用户权限分配、审核策略或信任策略。

2.审核登录事件:可查看某个用户登录或注销计算机(包括本地和网络登录)的事件。

3.审核对象访问:可查看用户对Windows 对象(包括注册表、服务、打印机、文件/文件夹等)的访问事件。

4.审核过程跟踪:可查看事件(如程序运行或进程退出)发生的时间,包括由用户执行和系统自动执行的事件。

5.审核目录服务访问:可查看某个用户访问具有其自身系统访问控制列表的AD 对象的事件。

6.审核特权使用:可查看某个用户在其拥有执行权限的计算机上执行任务的时间,即用户使用分配的特权事件,特权指在本地安全策略中分配给用户的权限。

7.审核系统事件:可查看某个用户关闭或重新启动计算机的时间,或者某个进程或程序尝试执行其没有权限的某项操作的事件。

8.审核帐户登录事件:可查看在这台计算机用于验证帐户时,用户登录到其它计算机或者从其它计算机注销的事件。

9.审核帐户管理:可查看某个用户更改帐户名、启用或禁用帐户、创建或删除帐户、更改密码或更改用户组的时间,也包含用户组、DC 中域用户、域用户组等对象的管理、密码设置等事件。

设置要求:必须设置方法:1、打开『控制面板』->『所有控制面板项』->『管理工具』,双击“本地安全策略”,或在『运行』->输入secpol.msc,并确认。

2、在『安全设置』->『本地策略』->『审核策略』下,进行审核策略的设置。

要求开启的审核策略包括:∙审核策略更改:成功,失败∙审核登录事件:成功,失败∙审核系统事件:成功,失败∙审核帐户登录事件:成功,失败∙审核帐户管理:成功,失败2帐户设置2.1UAC(用户帐户控制)提醒UAC(User Account Control)用户帐户控制,是Windows Vista 以上操作系统中一种特殊的提高授权的运行模式,即平时运行软件在普通用户权限,需要管理员特权操作时,系统会弹出提示(或称为警告),要求用户确认或输入管理员权限密码。

UAC 提醒功能可以对恶意软件的运行制造人为障碍,在使用未经签名的软件时,也会出现相应的授权提示。

为确保计算机安全稳定运行,当系统自动弹出“用户帐户控制”,应谨慎点“是”。

UAC 提醒通知设置建议保留缺省项“仅当应用尝试更改我的计算机时通知我”。

例如普通用户模式运行注册表编辑器时会出现提示:当普通用户运行远程设置管理时,需要输入管理员口令:2.2禁用Guest 帐户通过Guest 帐户身份,非法用户可以操纵并破坏计算机终端,因此任何时候都应禁止开启计算机终端的Guest 帐户。

设置要求:必须设置方法:1、打开『控制面板』->『所有控制面板项』->『管理工具』->『计算机管理』菜单。

2、打开『系统工具』->『本地用户和组』->『用户』,显示系统中所有帐户的信息。

3、在Guest 帐户上右键单击选择『属性』菜单。

4、弹出的窗口中,复选『帐户已禁用』,点击【确定】按钮。

2.3取消“密码永不过期”所有版本的Windows 操作系统,缺省设置都是用户密码永不过期;当密码使用时间过长,容易造成密码的泄露,因此要求取消帐户“密码永不过期”选项。

设置要求:必须设置方法:1、打开『控制面板』->『所有控制面板项』->『管理工具』->『计算机管理』2、打开『系统工具』->『本地用户和组』->『用户』,选择指定用户,右键点击指定用户,选择“属性”3、去掉“密码永不过期”选项,并确定。

============================================== 注意:当存在多个帐户时,应对所有帐户均取消“密码永不过期”设置。

============================================== 2.4修改密码密码是保护计算机终端安全的一个基本途径,通常的破坏行为或暴力破解都需要猜测帐户的密码。

计算机终端密码必须符合公司强密码策略要求。

设置要求:必须强密码策略如下:1)不能包含用户的帐户名和显示名2)密码最小长度:8 个字符3)必需包含以下四类字符中的三类字符:a)英文大写字母(A 到Z)b)英文小写字母(a 到z)c)10 个基本数字(0 到9)d)非字母字符(如!、*、@等)4)密码有效期:90 天5)密码失效通知期:15 天6)传达失效通知的模式:通过邮件通知7)密码历史记录:3 个公司最新要求请参见《IT 服务手册》。

设置方法:按下CTRL+ALT+DELETE 组合键,并单击“更改密码”,输入旧密码后,进行密码修改。

3系统设置3.1设置计算机名设置规范的计算机终端名称,方便管理员借助计算机名称来识别计算机。

Windows 7 设置方法:1、在win7 桌面上,右键点击“计算机”,选择“属性”,在弹出的界面中选择“高级系统设置”。

2、选择“计算机名”,点击“更改”按钮。

3、输入合法的计算名后,点击“确定”按钮。

4、提示需要重启计算机,点击确定。

Windows 10 设置方法:1、在win10 系统桌面上,右键单击此电脑,选择“属性”。

2、点击“更改设置”。

3、点击“更改”。

4、输入符合命名规则的计算机名,点击“确定”按钮。

4、选择“确定”按钮,重启后计算机名称即修改完成。

3.2设置屏幕保护程序设置计算机终端屏幕保护程序,保证员工在离开时的操作系统安全,启用屏幕保护程序的等待时间应小于等于5 分钟。

设置要求:必须Windows 7 设置方法:1、打开『控制面板』->『外观和个性化』->『更改屏幕保护程序』,进行设置屏幕保护程序。

2、在屏幕保护程序下拉列表中选择屏幕保护程序,等待时间设置成小于或等于5 分钟,复选『在恢复时使用密码保护』,点击【确定】按钮。

Windows 10 设置方法:1、在电脑桌面空白处单机鼠标右键,选择“个性化”。

2、选择“锁屏界面”,再选择“屏幕保护程序设置”。

3、在屏幕保护程序下拉列表中选择屏幕保护程序,等待时间设置成小于或等于5 分钟,复选『在恢复时使用密码保护』,点击【确定】按钮。

3.3防病毒软件设置公司实施了集中式病毒防护,要求所有计算机终端安装集中式病毒防护软件Symantec Endpoint Protection(简称SEP)。

============================================== 注意:1.由于公司对SEP 采用分组管理模式,安装前请务必同部门信息安全专员确认使用本部门的安装包。

2.计算机终端至少每月执行一次病毒活动扫描,如在活动扫描中发现病毒或安全风险,须及时进行完整的病毒全面扫描。

============================================== 设置要求:必须设置方法:1、双击任务栏右下角的SEP 图。

2、点击左侧的『扫描威胁』菜单,点击『创建新扫描』菜单。

3、单选『活动扫描』选项,点击【下一步】按钮。

4、选择扫描文件的类型『文件类型』为“所有类型”,点击【下一步】按钮。

5、单选扫描属性为“在指定时间”,点击【下一步】按钮。

6、设置自动扫描的频率及每次扫描的启动日期和时间,点击【下一步】按钮。

7、设置扫描的名称信息,点击【完成】按钮,完成自动扫描任务的设置。

3.4设置时钟同步设置时钟同步可以使公司所有计算机终端的系统时间保持一致,从而准确记录系统操作时间,并实现对事件的回溯。

设置要求:必须设置方法:1、『控制面板』->『所有控制面板项』->『日期和时间』,选择“Internet 时间”标签。

2、单击“更改设置”按钮,在Internet 时间设置对话框,复选『与Internet 时间服务器同步』,并在服务器下拉列表中输入“”,点击【立即更新】按钮,更新之后点击【确定】按钮。

3.5系统补丁自动更新公司部署WSUS(Windows Server Update Services)服务器,用于及时下载系统补丁,统一向公司内计算机终端提供下载源。

设置要求:必须设置方法:1、在『运行』中输入“gpedit.msc”回车,弹出本地组策略编缉器窗口。

==============================================注意:运行“gpedit.msc”时,如果系统提示找不到该程序,说明操作系统版本不支持组策略组件。

相关文档
最新文档