Microsoft Windows安全配置基线
操作系统安全基线检查表
检查结果
开始->运行->net share 或我的电脑右击->管理->共享文件夹->共享
检查共享文件夹中的授权用户。
开始->运行->services.msc telnet 关闭 Automatic Updates 关闭 Background Intelligent Transfer Service 关闭 DHCP Client 关闭 Messenger 关闭 Remote Registry 关闭 Print Spooler 关闭 Server 关闭 SNMP Service 关闭 Task Schedule 关闭 TCP/IP NetBIOS Helper 关闭 对于已加入域的服务器,系统将自动与域控服务器同步时钟; 对于未加入域的服务器,需按以下步骤 点击桌面右下角时钟栏,开启“更改日期和时钟 设置”-“internet时间” 开启“自动与internet时间服务器同步”选型, 在服务器栏中填写NTP server的 IP地址,然后点 击“立即更新”。 进入“控制面板->管理工具->计算机管理”,进入“服务和应用程序”,检查“ SNMP Service”, “属性”面板中的“安全”选项卡的community strings设置。 修改默认“public”
要求
易被黑客破译。
8 设定不能重复使用口令
设定不能重复使用最近5次(含5次)内已使用的口 令。
9 口令生存期不得长于90天 口令生存期不得长于90天,应定期更改用户口令。
二、登录与授权
10 查看登录方式类型
远程登录可能造成信息泄露
11 远程登录的IP地址范围设定
12
将从本地登录设置为指定授 权用户
13
序 号
配置Windows安全基线
■ 大庆 时炜随着息化的不入,信息安重要性越显。
其中计算机系统的安全是信息安全的基础,安全基桶理论”,板,是最基本的安全要求。
配置使用计算机系统的安全基线,受到不法分子恶意攻击、意软件、木马及蠕虫病毒等攻击时能够起到主动防御的【上接第135页】仅仅有了的,还必须在其中添加相关的账户。
例如,就需要httpd、的支持。
执行“useradd –d /var /chapa -s /usr/local/bin/ jail httpd”系统中创建名为账户,其Home图1Edge、图2 配置安全基线前soft Office 2016的安全基Version 1909 and WindowsVersion 1909 SeBaseline.zip解压至然后将LGPO.c:\1909\Scripts\身份运行并进入PS C:\1909\scripts>,然后执行Baseline-LocalInstall.ps1脚本加相应的参数。
的Windows“Baseline-LocalInstall.ps1-Win10Domain系统执行“Baseline-L o c a lp s1-W i mainJoined”已加员Win dows Server统执行“BaseLocalInstall.ps1-WS Member”。
而没Windows“Baseline-LocalInstall. ps1-WSNonDomainJoined”在域Server系统执行Local Install.ps1-WS mainController”以未加入版本1909PS C:\1909\scri pts>. \Baseline-Localps1-Win10Non DomainJoined 提示\1909\scripts\Baseline-LocalInstall.ps1。
查看1909\s ccutionpolicycted。
这是因为在此系统默认图3 配置安全基线后C:\1909\scripts> set-e x e c u t i o n p o l i c y-e x e身的需要,。
信息安全配置基线(整理)
Win2003 & 2008操作系统安全配置要求2、1、帐户口令安全帐户分配:应为不同用户分配不同的帐户,不允许不同用户间共享同一帐户。
帐户锁定:应删除或锁定过期帐户、无用帐户。
用户访问权限指派:应只允许指定授权帐户对主机进行远程访问。
帐户权限最小化:应根据实际需要为各个帐户分配最小权限。
默认帐户管理:应对Administrator帐户重命名,并禁用Guest(来宾)帐户。
口令长度及复杂度:应要求操作系统帐户口令长度至少为8位,且应为数字、字母与特殊符号中至少2类的组合。
口令最长使用期限:应设置口令的最长使用期限小于90天。
口令历史有效次数:应配置操作系统用户不能重复使用最近 5 次(含 5 次)已使用过的口令。
口令锁定策略:应配置当用户连续认证失败次数为5次,锁定该帐户30分钟。
2、2、服务及授权安全服务开启最小化:应关闭不必要的服务。
SNMP服务接受团体名称设置:应设置SNMP接受团体名称不为public或弱字符串。
系统时间同步:应确保系统时间与NTP服务器同步。
DNS服务指向:应配置系统DNS指向企业内部DNS服务器。
2、3、补丁安全系统版本:应确保操作系统版本更新至最新。
补丁更新:应在确保业务不受影响的情况下及时更新操作系统补丁。
2、4、日志审计日志审核策略设置:应合理配置系统日志审核策略。
日志存储规则设置:应设置日志存储规则,保证足够的日志存储空间。
日志存储路径:应更改日志默认存放路径。
日志定期备份:应定期对系统日志进行备份。
2、5、系统防火墙:应启用系统自带防火墙,并根据业务需要限定允许通讯的应用程序或端口。
2、6、防病毒软件:应安装由总部统一部署的防病毒软件,并及时更新。
2、7、关闭自动播放功能:应关闭Windows 自动播放功能。
2、8、共享文件夹删除本地默认共享:应关闭Windows本地默认共享。
共享文件权限限制:应设置共享文件夹的访问权限,仅允许授权的帐户共享此文件夹。
Windows系统安全配置基线
安全基线项目名称
操作系统审核对象访问安全基线要求项
安全基线项说明
启用组策略中对Windows系统的审核对象访问,成功和失败都要审核。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
查看“审核对象访问”设置。
基线符合性判定依据
“审核对象访问”设置为“成功”和“失败”都要审核。
基线符合性判定依据
HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer键,值为0。
备注
6.2
防病毒软件保护
安全基线项目名称
操作系统防病毒保护安全基线要求项
安全基线项说明
对Windows2003服务器主机应当安装部署服务器专版杀毒软件,并打开自动升级病毒库选项。
基线符合性判定依据
“应用日志”“系统日志”“安全日志”属性中的日志大小设置不小于“8M”,设置当达到最大的日志尺寸时,“按需要改写事件”。
备注
第6章
6.1
关闭默认共享
安全基线项目名称
操作系统默认共享安全基线要求项
安全基线项说明
非域环境中,关闭Windows硬盘默认共享,例如C$,D$。
检测操作步骤
进入“开始->运行->Regedit”,进入注册表编辑器,查看HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer;
备注
日志文件大小
安全基线项目名称
操作系统日志容量安全基线要求项
操作系统安全基线配置
操作系统安全基线配置操作系统安全基线配置1、系统基本配置1.1、设置强密码策略1.1.1、密码复杂度要求1.1.2、密码长度要求1.1.3、密码历史记录限制1.2、禁用默认账户1.3、禁用不必要的服务1.4、安装最新的操作系统补丁1.5、配置防火墙1.6、启用日志记录功能1.7、安装安全审计工具2、访问控制2.1、确定用户账户和组织结构2.2、分配最小特权原则2.3、管理账户权限2.3.1、内置管理员账户2.3.2、各类用户账户2.4、用户认证和授权2.4.1、双因素身份验证2.4.2、权限管理2.5、用户追踪和监管2.5.1、记录登录和注销信息2.5.2、监控用户活动3、文件和目录权限管理3.1、配置文件和目录的ACL3.2、禁止匿名访问3.3、确保敏感数据的安全性3.4、审计文件和目录访问权限4、网络安全设置4.1、配置安全网络连接4.1.1、使用SSL/TLS加密连接4.1.2、配置安全的网络协议 4.2、网络隔离设置4.2.1、网络分段4.2.2、VLAN设置4.3、防御DDoS攻击4.4、加密网络通信4.5、网络入侵检测和预防5、应用程序安全配置5.1、安装可靠的应用程序5.2、更新应用程序到最新版本 5.3、配置应用程序的访问权限 5.4、定期备份应用程序数据5.5、应用程序安全策略6、数据保护与恢复6.1、定期备份数据6.2、加密敏感数据6.3、完整性保护6.4、数据恢复7、安全审计与监控7.1、审计日志管理7.1.1、配置日志记录7.1.2、日志监控和分析7.2、安全事件响应7.2.1、定义安全事件7.2.2、响应安全事件7.2.3、安全事件报告8、物理安全8.1、服务器和设备安全8.1.1、物理访问控制8.1.2、设备保护措施8.2、网络设备安全8.2.1、路由器和交换机的安全配置 8.2.2、网络设备的物理保护8.3、数据中心安全8.3.1、安全区域划分8.3.2、访问控制措施附件:无法律名词及注释:1、双因素身份验证:双因素身份验证是指通过两个或多个不同的身份验证要素来确认用户身份的一种安全措施。
各类操作系统安全基线配置及操作指南
置要求及操作指南
检查模块 支持系统版本号 Windows Windows 2000 以上 Solaris Solaris 8 以上 AIX AIX 5.X以上 HP-UNIX HP-UNIX 11i以上 Linux 内核版本 2.6 以上 Oracle Oracle 8i 以上 SQL Server Microsoft SQL Server 2000以上 MySQL MySQL 5.x以上 IIS IIS 5.x以上 Apache Apache 2.x 以上 Tomcat Tomcat 5.x 以上 WebLogic WebLogic 8.X以上
Windows 操作系统 安全配置要求及操作指南
I
目录
目
录 ..................................................................... I
前
言 .................................................................... II
4 安全配置要求 ............................................................... 2
4.1 账号 ..................................................................... 2
4.2 口令 编号: 1 要求内容 密码长度要求:最少 8 位 密码复杂度要求:至少包含以下四种类别的字符中的三种: z 英语大写字母 A, B, C, , Z z 英语小写字母 a, b, c, , z z 阿拉伯数字 0, 1, 2, , 9 z 非字母数字字符,如标点符号, @, #, $, %, &, *等
终端安全配置指南v1.4
终端安全配置指南一、基线配置
下表为基线配置的必选项,根据配置方法修改配置项
二、防毒软件安装(先到第三步安装天珣,再安装趋势防毒)
通过终端IE浏览器登陆http://10.201.94.225/download下载趋势防毒软件,如图,根据
相应的系统下载安装。
安装完后右下角出现如下图标
右键点击图标选择组件版本可以查看是否更新为最新
看看发布日期,如果为最近几天便为最新版本。
三、天珣安装
通过终端IE浏览器登陆http://188.1.50.132:8833/download下载趋势防毒软件,如图,根据相应的系统下载安装。
下载安装完毕后,需要确定软件联网。
四、终端补丁更新
从开始>运行输入gpedit.msc打开组策略管理器,如图:
确定就打开了组策略窗口
再从计算机配置>管理模板>Windows组件>Windows Update 展开设置条目,用红线框着的是需要设置的项目,具体设置后面详细说明。
双击配置自动更新打开属性并按下图设置好。
3 –自动下载并通知安装
双击指定Intranet Microsoft更新服务位置,打开属性并按下图设置好。
开始->运行输入services.msc打开服务管理器,把Automatic Updates服务启动
手工启动首次更新,方法如下图:
从开始>运行输入CMD打开命令提示符
从命令提示符输入wuauclt.exe /detectnow启动首次更新
右下角出现表示更新已启动。
更新下载完后,手动点击进行安装。
更新正确安装后提示重新启动。
资料1:安全基线配置核查使用工具说明.doc
1.下载基线配置核查工具(附件2)
2.下载完成后,运行安装SblCheckTool.msi。
注:若系统未安装.Net Framework 4.0,会提示安装该软件。
在基线配置核查工具下载页面下载.Net Framework 4.0并安装,该软件为微软公司推出的系统组件。
3.安装完成后,双击打开桌面“基线加固工具”快捷方式,进入软件界面。
4.首先输入自己的姓名,工作单位以及网络管理员提供的IP地址。
5. 资料填写完毕请点击测试连接,若无错误将提示“连接成功”,点击“确认”。
6. 点击开始检查,系统将展示出终端计算机的安全配置(检查过程依据计算机性能存在查
别,请耐心等待,一般不超过1分钟)。
Windows操作系统安全防护基线配置要求
可能会使日志量猛增。
编号:OS-Windows-日志-03
要求内容:设置日志容量和覆盖规则,保证日志存储
操作指南:
开始-运行-eventvwr
右键选择日志,属性,根据实际需求设置;
日志文件大小:可根据需要制定。
超过上限时的处理方式(建议日志记录天数不小于90天)
检测方法:
开始-运行-eventvwr,右键选择日志,属性,查看日志上限及超过上线时的处理方式。
查看是否“从本地登陆此计算机”设置为“指定授权用户”
查看是否“从网络访问此计算机”设置为“指定授权用户”
判定条件:
“从本地登陆此计算机”设置为“指定授权用户”
“从网络访问此计算机”设置为“指定授权用户”
三、
编号:OS-Windows-口令-01
要求内容:密码长度最少8位,密码复杂度至少包含以下四种类别的字符中的三种:
英语大写字母A, B, C, … Z
英语小写字母a, b, c, … z
阿拉伯数字0, 1, 2, … 9
非字母数字字符,如标点符号,@, #, $, %, &, *等
操作指南:
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:“密码必须符合复杂性要求”选择“已启动”。
检测方法:
检测方法:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:查看“关闭系统”设置为“只指派给Administrators组”;查看是否“从远端系统强制关机”设置为“只指派给Administrators组”。
判定条件:
“关闭系统”设置为“只指派给Administrators组”;
Windows操作系统安全防护基线配置要求
打开“控制面板”,打开“管理工具”中的“服务”,找到“SNMP Service”,单击右键打开“属性”面板中的“安全”选项卡,在这个配置界面中,查看community strings,也就是微软所说的“团体名称”。
判定条件:
community strings已改,不是默认的“public”。
要求内容:在保证业务可用性的前提下,经过分析测试后,可以选择更新使用最新版本的补丁;
操作指南:
例如截止到2010年最新版本:Windows XP的Service Pack为SP3。
Windows2000的Service Pack为SP4,Windows 2003的Service Pack为SP2。
检测方法:
进入控制面板->添加或删除程序->显示更新打钩,查看是否XP系统已安装SP3,Win2000系统已安装SP4,Win2003系统已安装SP2。
五、
编号:OS-Windows-防护软件-01
要求内容:启用自带防火墙或安装第三方威胁防护软件。根据业务需要限定允许访问网络的应用程序,和允许远程登陆该设备的IP地址范围
判定条件:
缺省账户Administrator名称已更改。Guest帐号已停用。
二、
编号:OS-Windows-授权-01
要求内容:本地、远端系统强制关机只指派给Administrators组
操作指南:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:“关闭系统”设置为“只指派给Administrators组”;“从远端系统强制关机”设置为“只指派给Administrators组”。
补充说明:
可能会使日志量猛增。
Windows安全配置
Windows安全配置基线说明1.1.身份鉴别
1.1.1用户账号要求
1.1.2用户账号设置
1.1.3配置密码策略
1.1.4账号锁定策略
1.2.访问控制
1.2.1重命名系统管理员账号,禁用GUEST账号
1.2.2“取得文件或其它对象的所有权”设置
1.2.3关闭默认共享
1.2.4设置共享文件夹访问权限
1.3.安全审计
1.3.1审核策略设置
1.3.2日志文件大小设置
1.4.入侵防范
1.4.1系统补丁安装
1.4.2关闭多余服务
1.4.3关闭多余启动项
1.5.恶意代码防范1.5.1开启系统防火墙
1.5.2安装、更新杀毒软件
1.6.资源控制
1.6.1启用TCP/IP筛选
1.6.2屏幕保护程序
1.6.3设置Microsoft网络服务器挂起时间
1.7.其他安全要求
1.7.1关闭Windows自动播放功能。
Windows-7操作系统安全配置基线和操作说明
Windows 7 操作系统安全配置基线与配置说明2017年3月1、账户管理1.1Administrator 账户管理配置截图参考:右键点击administrator用户重命名为其它名称(注意,不要改为admin)双击guest账户,确保账户已禁用选项是被选中的则为符合要求。
如果用户里面存在guest和administrator(已改名账户)以外的其它账户则不符合安全要求须对其它用户进行右键——删除操作2、密码管理2.1 密码复杂度2.2 密码长度最小值2.3 密码最长使用期限2.4 强制密码历史2.5 账户锁定阈值(可选)3、认证授权3.1 远程强制关机授权3.2 文件所有权授权4、日志审计4.1 审核策略更改4.2 审核登录事件4.3 审核对象访问4.4 审核进程跟踪对审核策略中的所有项均进行以上配置操作4.5日志文件大小对windows日志中的‘应用程序’‘安全’‘系统’三项均进行上图配置5、系统服务5.1 启用Windows 防火墙5.2 关闭自劢播放功能6、补丁不防护软件6.1 系统安全补丁管理6.2 防病毒管理7.1 关闭默认共享8、远程维护8.1 远程协助安全管理8.2 远程桌面安全管理9、其他9.1 数据执行保护10、关闭135等端口• 1)打开电-脑-控-制-面板• 2)打开系统和安全选项• 3)打开Windows防火墙• 4)点击左侧高级设置• 5)点击入站规则• 6)点击右侧新建规则• 7)选择端口(O),点击下一步• 8)选择特定本地端口,输入135,137,138,139,445,中间用逗号隔开,逗号为英文输入的逗号• 9)选择阻止连接,点击下一步• 10)点击下一步• 11)名称一栏输入关闭端口,点击完成• 12)双击关闭端口,查看端口设置• 13)可以看到阻止连接• 14)点击协议和端口,可以看到阻止连接的本地端口是之前设置的135,137,138,139,445,说明网络端口135,137,138,139,445已经阻止连接。
SEC-W01-002.1-使用Windows系统基线安全分析器
SEC-W01-002.1使用Windows系统基线安全分析器2010年4月技术背景管理员使用微软安全产品时,经常抱怨的事缺少能够分析检查整个系统安全配置缺陷的工具。
微软用他们的Baseline Security Analyzer(基线分析器,简称MBSA)对这个问题做出了回应。
MBSA能够扫描本地和远程计算机上的Windows NT、Windows 2000、Windows XP、IIS、SQL Server、Internet Explorer和Office的安全问题。
在扫描后产生一个详细报告。
实验目的安装MBSA扫描实验机,浏览MBSA报告实验平台客户端:Windows2000/XP/2003服务端:Windows 2000 Server实验工具Windows 远程桌面客户端工具mstsc.exeMicrosoft MBSA 1.2实验要点Microsoft MBSA安装及使用实验步骤指导实验准备实验概要:连接实验服务器主机;1.运行远程桌面客户端程序mstsc.exe,输入实验服务器IP地址,点击Connect连接,如图1:图12.以Administrator(管理员)(口令:1qaz@WSX)身份登实验陆服务器桌面。
安装MBSA工具实验概要:安装MBSA工具。
3.按照"实验准备"步骤远程登录实验服务器,在实验服务器桌面,点击运行MBSASetup-EN.msi,如:图2图24.在随后出现的界面,单击Next(下一步)启动安装向导程序。
如:图3图35.在随后出现的界面,选择I accept the license agreement,单击Next(下一步),如:图4图46.在随后出现的界面,单击Next(下一步),如:图5图57.在随后出现的界面,单击Install(安装),开始安装,如:图6图68.安装结束后,当出现如下窗口时点击ok(确定),如:图7,实验服务器桌面上会产生“Microsoft Baseline Security Analyzer 1.2.1”图标,如:图8图89.关闭所有窗口,实验结束并注销Administrator。
最全的Windows基线配置
清除虚拟内存页面文件 已禁用
允许系统在未登录的情况下关闭 已禁用
中
15
恢复控制台
安全选项-恢复控制台
打开“开始-控制面板-管理工具”在“本地安全策略-本地策略-安全选项-恢复控制台”中
检查是否符合操作步骤中提到的各种标准。
将不符合检查内容项进行加固,安全标准配置如下:
将不符合检查内容项进行加固,安全标准配置如下:
密码策略:
密码必须符合复杂度要求已启用
密码长度最小值8个字符
密码最短使用期限1天
密码最长使用期限90天
强制密码历史5个记住的密码
用可还原的加密来储存密码 已禁用
账户锁定策略:
账户锁定时间5分钟
账户锁定阈值6次无效登录
重置账户锁定计时器5分钟
低
4
不使用系统默认用户名
以管理员批准模式运行所有管理员 已启用
用于内置管理员账户的管理员批准模式 已启用
中
25
账户
安全选项-账户
打开“开始-控制面板-管理工具”在“本地安全策略-本地策略-安全选项-账户”中
检查是否符合操作步骤中提到的各种标准。
将不符合检查内容项进行加固,安全标准配置如下:
来宾账户状态 已禁用
使用空白密码的本地账户只允许进行控制台登录 已启用;
记录系统的所有审核信息,审核策略设置中成功失败都要审核。
进入”控制面板->管理工具->本地安全策略“,在”本地策略->审核策略:中;
检查是否符合操作步骤中提到的各项标准。
将不符合检查内容项进行加固,安全标准配置如下:
审核策略更改:成功,失败
审核登录事件:成功,失败
Windows Server 2008 操作系统安全基线
邮件服务器 可开启,需 在网络防火 墙上做好防 护措施 集中监控代 理可开启此 服务,需做 到:将SNMP 升级到V3或 更高版本, 在网络防火 墙上做好防 护措施
利用SNMP协议漏洞攻击; SNMP2.0和SNMP1.0的安全 机制比较脆弱,通信不加 密,攻击者可以利用各种 嗅探工具直接获取通信字 符串,可以进行拒绝服务 攻击等
安全配置要 求项缺省为 开启状态, 要求关闭的 必须执行, 如有特殊情 通 况必须申请 信 、审批后方 安 可执行。 全
关闭匿名枚举SAM(Security Accounts Manager 安全账户管理 器) 帐户和共享 网络 访问
可以远程匿名列出账户名 称和共享资源列表,攻击 者使用此信息尝试猜测密 码
集中监控代 理可开启此 服务,需做 到:将SNMP 升级到V3或 更高版本, 在网络防火 墙上做好防 护措施 IIS Web应 用服务器可 开启,需做 好防护措施
利用Web服务漏洞攻击
防止从移动设备上感染病 毒
清理 虚拟 启用“关机:清理虚拟内存页面文 避免虚拟内存页面文件过 内存 件”策略 大,影响系统性能 页面 文件 其 他 安 全 要 求 安全配置要 求项缺省关 闭,要求开 启,如有特 殊情况必须 申请、审批 后方可执行 。 屏幕 启用屏幕保护策略,屏保时间设定 保护 10分钟以内 防止管理员忘记锁定机器 被非法攻击
备注
进入“控制面板->管理工具->计算机 管理”,在“系统工具->本地用户和 组”: Guest –> 属性 ->已停用 进入“控制面板->管理工具->本地安 全策略->本地策略->安全选项”: “帐户: 来宾帐户状态”设置为禁用 。 进入“控制面板->管理工具->本地安 全策略”,进入“本地策略->安全选 项”: “交互式登录:不显示最后的用户名 ”设置为启用; 进入“控制面板->管理工具->本地安 全策略”,在“账户策略->密码策略 ”: “密码必须符合复杂度要求”设置启 此项针对的 用状态; “密码长度最小值”设为8个字符; 是系统管理 用户 “密码最长使用期限”设为90天; “密码最短使用期限”设为0天; “强制密码历史”设为3个记住的密 码 “用可还原的加密来存储密码”设为 进入“控制面板->管理工具->本地安 全策略”,在“本地策略->用户权限 指派”: “从远程系统强制关机”设置为“只 指派给Administrators组”。 进入“控制面板->管理工具->本地安 全策略”,在“本地策略->用户权限 指派”: “关闭系统”设置为“只指派给 Administrators组”。 进入“控制面板->管理工具->本地安 全策略”,进入“本地策略->安全选 项”: “故障恢复控制台:允许自动管理 登录”设置为禁用; 进入“我的电脑” ,右键点击磁盘 分区,进入“属性->安全”: 查看每个磁盘分区Everyone用户的访 问权限,只允许Everyone用户有读的 权限。
Windows-7操作系统安全配置基线和操作说明
Windows 7 操作系统安全配置基线与配置说明2017年3月1、账户管理1.1Administrator 账户管理配置截图参考:右键点击administrator用户重命名为其它名称(注意,不要改为admin)双击guest账户,确保账户已禁用选项是被选中的则为符合要求。
如果用户里面存在guest和administrator(已改名账户)以外的其它账户则不符合安全要求须对其它用户进行右键——删除操作2、密码管理2.1 密码复杂度2.2 密码长度最小值2.3 密码最长使用期限2.4 强制密码历史2.5 账户锁定阈值(可选)3、认证授权3.1 远程强制关机授权3.2 文件所有权授权4、日志审计4.1 审核策略更改4.2 审核登录事件4.3 审核对象访问4.4 审核进程跟踪对审核策略中的所有项均进行以上配置操作4.5日志文件大小对windows日志中的‘应用程序’‘安全’‘系统’三项均进行上图配置5、系统服务5.1 启用Windows 防火墙5.2 关闭自劢播放功能6、补丁不防护软件6.1 系统安全补丁管理6.2 防病毒管理7.1 关闭默认共享8、远程维护8.1 远程协助安全管理8.2 远程桌面安全管理9、其他9.1 数据执行保护10、关闭135等端口• 1)打开电-脑-控-制-面板• 2)打开系统和安全选项• 3)打开Windows防火墙• 4)点击左侧高级设置• 5)点击入站规则• 6)点击右侧新建规则• 7)选择端口(O),点击下一步• 8)选择特定本地端口,输入135,137,138,139,445,中间用逗号隔开,逗号为英文输入的逗号• 9)选择阻止连接,点击下一步• 10)点击下一步• 11)名称一栏输入关闭端口,点击完成• 12)双击关闭端口,查看端口设置• 13)可以看到阻止连接• 14)点击协议和端口,可以看到阻止连接的本地端口是之前设置的135,137,138,139,445,说明网络端口135,137,138,139,445已经阻止连接。
Windows系统安全配置基线
备注
4.2
密码复杂度
安全基线项目名称
操作系统密码复杂度安全基线要求项
安全基线项说明
最短密码长度12个字符,启用本机组策略中密码必须符合复杂性要求的策略。即密码需要包含以下四种类别的字符:
英语大写字母A, B, … Z
Windows系统安全配置基线
Windows系统安全配置基线
第1章
1.1
本文规定了WINDOWS操作系统主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进行WINDOWS操作系统的安全合规性检查和配置。
1.2
本配置标准的使用者包括:服务器系统管理员、安全管理员和相关使用人员。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->帐户锁定策略”:
查看“账户锁定阀值”设置
基线符合性判定依据
“账户锁定阀值”设置为小于或等于3次,锁定时间1分钟。
备注
4.3
远程关机
安全基线项目名称
操作系统远程关机策略安全基线要求项
安全基线项说明
在本地安全设置中从远端系统强制关机只指派给Administrators组。
检测操作步骤
运行输入“”本地计算机策略windows设置安全设置本地策略安全选项下:
备注
密码
安全基线项目名称
操作系统密码最长生存期要求项
安全基线项说明
对于采用静态口令认证技术的系统,账户口令的生存期不长于90天。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:
windowsserver2016安全基线设置脚本
windowsserver2016安全基线设置脚本:: 账号安全@prompt #echo [version] >account.infecho signature="$CHICAGO$" >>account.infecho [System Access] >>account.infREM 设置帐户密码最短为10echo MinimumPasswordLength=10 >>account.infREM 开启帐户密码复杂性要求echo PasswordComplexity=1 >>account.infREM 设置帐户密码最长使⽤期限为120天echo MaximumPasswordAge=120 >>account.infREM 禁⽤Guest帐户echo EnableGuestAccount=0 >>account.infREM 设定帐户锁定阀值为6次echo LockoutBadCount=6 >>account.infsecedit /configure /db account.sdb /cfg account.inf /log account.log /quietdel account.*:: 授权权限设置@prompt #REM 授权配置echo [version] >rightscfg.infecho signature="$CHICAGO$" >>rightscfg.infecho [Privilege Rights] >>rightscfg.infREM 从远端系统强制关机只指派给Administrators组echo seremoteshutdownprivilege=Administrators >>rightscfg.infREM 关闭系统仅指派给Administrators组echo seshutdownprivilege=Administrators >>rightscfg.infREM 取得⽂件或其它对象的所有权仅指派给Administratorsecho setakeownershipprivilege=Administrators >>rightscfg.infREM 在本地登陆权限仅指派给Administratorsecho seinteractivelogonright=Administrators >> rightscfg.infsecedit /configure /db rightscfg.sdb /cfg rightscfg.inf /log rightscfg.log /quietdel rightscfg.*:: 认证安全@prompt #echo [version] >audit.infecho signature="$CHICAGO$" >>audit.infecho [Event Audit] >>audit.infREM 开启审核系统事件echo AuditSystemEvents=3 >>audit.infREM 开启审核对象访问echo AuditObjectAccess=3 >>audit.infREM 开启审核特权使⽤echo AuditPrivilegeUse=3 >>audit.infREM 开启审核策略更改echo AuditPolicyChange=3 >>audit.infREM 开启审核帐户管理echo AuditAccountManage=3 >>audit.infREM 开启审核过程跟踪echo AuditProcessTracking=2 >>audit.infREM 开启审核⽬录服务访问echo AuditDSAccess=3 >>audit.infREM 开启审核登陆事件echo AuditLogonEvents=3 >>audit.infREM 开启审核帐户登陆事件echo AuditAccountLogon=3 >>audit.infecho AuditLog >>audit.infsecedit /configure /db audit.sdb /cfg audit.inf /log audit.log /quietdel audit.*:: 系统⽇志@prompt #echo [version] >logcfg.infecho signature="$CHICAGO$" >>logcfg.infREM 设置系统⽇志echo [System Log] >>logcfg.infREM 设置系统⽇志⽂件最⼤8192KBecho MaximumLogSize=8192 >>logcfg.infREM 设置当达到最⼤的⽇志尺⼨时按需要改写事件echo AuditLogRetentionPeriod=0 >>logcfg.infREM 设置限制GUEST访问应⽤⽇志echo RestrictGuestAccess=1 >>logcfg.infREM 设置安全⽇志echo [Security Log] >>logcfg.infREM 设置安全⽇志⽂件最⼤8192KBecho MaximumLogSize=8192 >>logcfg.infREM 设置当达到最⼤的⽇志尺⼨时按需要改写事件echo AuditLogRetentionPeriod=0 >>logcfg.infREM 设置限制GUEST访问安全⽇志echo RestrictGuestAccess=1 >>logcfg.infecho [Application Log] >>logcfg.inf REM 设置应⽤程序⽇志REM 设置应⽤程序⽇志⽂件最⼤8192KBecho MaximumLogSize=8192 >>logcfg.infREM 设置当达到最⼤的⽇志尺⼨时按需要改写事件echo AuditLogRetentionPeriod=0 >>logcfg.infREM 设置限制GUEST访问应⽤程序⽇志echo RestrictGuestAccess=1 >>logcfg.infsecedit /configure /db logcfg.sdb /cfg logcfg.inf /log logcfg.logdel logcfg.*REM 关闭⾃动播放reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers" /v DisableAutoplay /t REG_DWORD /d 1 /freg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 255 /f@Rem 启⽤“不显⽰最后⽤户名”策略echo **** 配置登录屏幕上不要显⽰上次登录的⽤户名reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v DontDisplayLastUserName /t REG_DWORD /d 1 /f :: 删除默认共享,请⾃⾏增删盘符@prompt #REM 删除当前默认共享net share c$ /deletenet share admin$ /deletesc stop browsersc stop dfssc stop lanmanserversc config browser start= demandsc config dfs start= demandsc config lanmanserver start= demandREM 修改共享的注册表@echo Windows Registry Editor Version 5.00>>share.reg@echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]>>share.reg@echo "AutoShareWks"=dword:0>>share.reg@echo "AutoShareServer"=dword:0>>share.reg@regedit /s share.reg@del share.regREM 限制IPC共享(禁⽌SAM帐户和共享的匿名枚举)@echo Windows Registry Editor Version 5.00>>ipc.reg@echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]>>ipc.reg@echo "RestrictAnonymous"=dword:1>>ipc.reg@echo "restrictanonymoussam"=dword:1>>ipc.reg@regedit /s ipc.reg@del ipc.reg@Rem 启⽤并正确配置WSUS(⾃定义WSUS地址)echo **** 启⽤并正确配置WSUS(⾃动下载并通知安装)::--启⽤策略组“配置⾃动更新”reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" /v AUOptions /t REG_DWORD /d 3 /freg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" /v NoAutoUpdate /t REG_DWORD /d 0 /freg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" /v ScheduledInstallDay /t REG_DWORD /d 0 /freg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" /v ScheduledInstallTime /t REG_DWORD /d 3 /f::--启⽤策略组(指定Intranet Microsoft更新服务位置)reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" /v UseWUServer /t REG_DWORD /d 1 /freg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v WUServer /t REG_SZ /d http://10.10.100.10 /freg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v WUStatusServer /t REG_SZ /d http://10.10.100.10 /f@Rem 只允许运⾏带⽹络级⾝份验证的远程桌⾯的计算机连接reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /freg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 1 /f@Rem 启⽤windows防⽕墙netsh advfirewall set allprofiles state onreg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile" /v EnableFirewall /t REG_DWORD /d 1 /freg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\PublicProfile" /v EnableFirewall /t REG_DWORD /d 1 /f@Rem 防⽕墙⼊站规则启⽤“回显请求-ICMPv4-In”和“远程桌⾯服务”reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules" /v FPS-ICMP4-ERQ-In /t REG_SZ /d "v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=1|ICMP4=8:*|Name=@Fi reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules" /v RemoteDesktop-In-TCP /t REG_SZ /d "v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|LPort=3389|App=Sy reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules" /v RemoteDesktop-UserMode-In-TCP /t REG_SZ /d "v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|LPort=33::-------------上⾯为原基线配置END::-------------下⾯是新增部分REM 禁⽤匿名访问命名管道和共享@echo Windows Registry Editor Version 5.00>>nss.reg@echo [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters]>>nss.reg@echo "NullSessionShares"=->>nss.reg@regedit /s nss.reg@del nss.regreg add "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters" /v NullSessionShares /t REG_MULTI_SZ /d "" /fREM 禁⽤可远程访问的注册表路径和⼦路径@echo Windows Registry Editor Version 5.00>>aep.reg@echo [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedExactPaths]>>aep.reg@echo "Machine"=->>aep.reg@echo [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedPaths]>>aep.reg@echo "Machine"=->>aep.reg@regedit /s aep.reg@del aep.regreg add "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedExactPaths" /v Machine /t REG_MULTI_SZ /d "" /freg add "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedPaths" /v Machine /t REG_MULTI_SZ /d "" /fREM 源路由欺骗保护@echo Windows Registry Editor Version 5.00>>route.reg@echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters]>>route.reg@echo "DisableIPSourceRouting"=dword:2>>route.reg@regedit /s route.reg@del route.regREM 碎⽚攻击保护@echo Windows Registry Editor Version 5.00>>sp.reg@echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters]>>sp.reg@echo "EnablePMTUDiscovery"=dword:1>>sp.reg@regedit /s sp.reg@del sp.regREM 防syn洪⽔攻击@prompt #@echo Windows Registry Editor Version 5.00>>SynAttack.reg@echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]>>SynAttack.reg@echo "SynAttackProtect"=dword:2>>SynAttack.reg@echo "TcpMaxPortsExhausted"=dword:5>>SynAttack.reg@echo "TcpMaxHalfOpen"=dword:500>>SynAttack.reg@echo "TcpMaxHalfOpenRetried"=dword:400>>SynAttack.reg@REM DDOS@echo "EnableICMPRedirect"=dword:0>>SynAttack.reg@regedit /s SynAttack.reg@del SynAttack.regecho ">>更改完成任意键退出"pause将上述代码复制到xxx.bat⽂件运⾏即可。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Windows 系统安全配置基线中国移动通信有限公司管理信息系统部2012年 04月版本版本控制信息更新日期更新人审批人V1.0 创建2009年1月V2.0 更新2012年4月备注:1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录第1章概述 (5)1.1目的 (5)1.2适用范围 (5)1.3适用版本 (5)1.4实施 (5)1.5例外条款 (5)第2章帐户管理、认证授权 (6)2.1帐户 (6)2.1.1 管理缺省帐户 (6)2.1.2 按照用户分配帐户* (6)2.1.3 删除与设备无关帐户* (7)2.2口令 (7)2.2.1密码复杂度 (7)2.2.2密码最长留存期 (8)2.2.3帐户锁定策略 (8)2.3授权 (8)2.3.1远程关机 (8)2.3.2本地关机 (9)2.3.3用户权利指派* (9)2.3.4授权帐户登陆* (10)2.3.5授权帐户从网络访问* (10)第3章日志配置操作 (11)3.1日志配置 (11)3.1.1审核登录 (11)3.1.2审核策略更改 (11)3.1.3审核对象访问 (11)3.1.4审核事件目录服务器访问 (12)3.1.5审核特权使用 (12)3.1.6审核系统事件 (13)3.1.7审核帐户管理 (13)3.1.8审核过程追踪 (13)3.1.9日志文件大小 (14)第4章IP协议安全配置 (15)4.1IP协议 (15)4.1.1启用SYN攻击保护 (15)第5章设备其他配置操作 (17)5.1共享文件夹及访问权限 (17)5.1.1关闭默认共享 (17)5.1.2共享文件夹授权访问* (17)5.2防病毒管理 (18)5.2.1数据执行保护 (18)5.3W INDOWS服务 (18)5.3.1 SNMP服务管理 (18)5.3.2系统必须服务列表管理* (19)5.3.3系统启动项列表管理* (19)5.3.4远程控制服务安全* (19)5.3.5 IIS安全补丁管理* (20)5.3.6活动目录时间同步管理* (20)5.4启动项 (21)5.4.1关闭Windows自动播放功能 (21)5.5屏幕保护 (21)5.5.1设置屏幕保护密码和开启时间* (21)5.6远程登录控制 (22)5.6.1限制远程登陆空闲断开时间 (22)5.7补丁管理 (23)5.7.1操作系统补丁管理* (23)5.7.2操作系统最新补丁管理* (23)第6章评审与修订 (24)第1章概述1.1 目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的WINDOWS 操作系统的主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进行WINDOWS 操作系统的安全合规性检查和配置。
1.2 适用范围本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。
本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的WINDOWS 服务器系统。
1.3 适用版本WINDOWS系列服务器。
1.4 实施本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。
本标准发布之日起生效。
1.5 例外条款欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
第2章帐户管理、认证授权2.1 帐户2.1.1 管理缺省帐户安全基线项目名称操作系统缺省帐户安全基线要求项安全基线编号SBL-Windows-02-01-01安全基线项说明对于管理员帐号,要求更改缺省帐户名称;禁用guest(来宾)帐号。
检测操作步骤进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:缺省帐户Administrator->属性Guest帐号->属性基线符合性判定依据缺省帐户Administrator名称已更改。
Guest帐号已停用。
备注2.1.2 按照用户分配帐户*安全基线项目名称操作系统用户帐户划分安全基线要求项安全基线编号SBL-Windows-02-01-02安全基线项说明按照用户分配帐户。
根据系统的要求,设定不同的帐户和帐户组,管理员用户,数据库用户,审计用户,来宾用户等。
检测操作步骤进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:根据系统的要求,设定不同的帐户和帐户组,管理员用户,数据库用户,审计用户,来宾用户。
基线符合性判定依据结合要求和实际业务情况判断符合要求,根据系统的要求,设定不同的帐户和帐户组,管理员用户,数据库用户,审计用户,来宾用户。
备注手工判断,需要根据实际情况判断帐户用途2.1.3 删除与设备无关帐户*安全基线项目名称操作系统与设备无关帐户安全基线要求项安全基线编号SBL-Windows-02-01-03安全基线项说明删除或锁定与设备运行、维护等与工作无关的帐户检测操作步骤进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:删除或锁定与设备运行、维护等与工作无关的帐户。
基线符合性判定依据结合要求和实际业务情况判断符合要求,删除或锁定与设备运行、维护等与工作无关的帐户。
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:查看是否删除或锁定与设备运行、维护等与工作无关的帐户。
备注手工判断,需要根据实际情况判断帐户是否为无关帐户2.2 口令2.2.1密码复杂度安全基线项目名称操作系统密码复杂度安全基线要求项安全基线编号SBL-Windows-02-02-01安全基线项说明最短密码长度8个字符,启用本机组策略中密码必须符合复杂性要求的策略。
即密码至少包含以下四种类别的字符中的2种:英语大写字母A, B, C, … Z英语小写字母a, b, c, … z西方阿拉伯数字0, 1, 2, (9)非字母数字字符,如标点符号,@, #, $, %, &, *等检测操作步骤进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:查看是否“密码必须符合复杂性要求”选择“已启动”基线符合性判定依据“密码最小长度”大于等于8“密码必须符合复杂性要求”选择“已启动”备注2.2.2密码最长留存期安全基线项操作系统密码历史安全基线要求项目名称安全基线编SBL-Windows-02-02-02号安全基线项对于采用静态口令认证技术的设备,帐户口令的生存期不长于90天。
说明检测操作步进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:骤查看“密码最长存留期”“密码最长存留期”设置不大于“90天”基线符合性判定依据备注2.2.3帐户锁定策略安全基线项操作系统帐户锁定策略安全基线要求项目名称安全基线编SBL-Windows-02-02-03号安全基线项对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过10说明次,锁定该用户使用的帐户。
检测操作步进入“控制面板->管理工具->本地安全策略”,在“帐户策略->帐户锁定策略”:骤查看“帐户锁定阀值”设置“帐户锁定阀值”设置为小于或等于10次基线符合性判定依据备注2.3 授权2.3.1远程关机安全基线项操作系统远程关机策略安全基线要求项目名称安全基线编SBL-Windows-02-03-01号安全基线项在本地安全设置中从远端系统强制关机只指派给Administrators组。
说明检测操作步进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”: 骤查看“从远端系统强制关机”设置“从远端系统强制关机”设置为“只指派给Administrtors组”基线符合性判定依据备注2.3.2本地关机安全基线项操作系统本地关机策略安全基线要求项目名称安全基线编SBL-Windows-02-03-02号安全基线项在本地安全设置中关闭系统仅指派给Administrators组。
说明检测操作步进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”: 骤查看“关闭系统”设置基线符合性“关闭系统”设置为“只指派给Administrators组”判定依据备注2.3.3用户权利指派*安全基线项操作系统用户权力指派策略安全基线要求项目名称安全基线编SBL-Windows-02-03-03号安全基线项在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。
说明检测操作步进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:骤查看是否“取得文件或其它对象的所有权”设置“取得文件或其它对象的所有权”设置为“只指派给Administrators组”基线符合性判定依据备注手工检查2.3.4授权帐户登陆*安全基线项操作系统用户授权登陆安全基线要求项目名称安全基线编SBL-Windows-02-03-04号安全基线项在本地安全设置中配置指定授权用户允许本地登陆此计算机。
说明检测操作步进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”骤“从本地登陆此计算机”设置为“指定授权用户”基线符合性“从本地登陆此计算机”设置为“指定授权用户”,进入“控制面板->管理工判定依据具->本地安全策略”,在“本地策略->用户权利指派”查看是否“从本地登陆此计算机”设置为“指定授权用户”备注手工判断是否授权2.3.5授权帐户从网络访问*安全基线项操作系统用户授权从网络访问安全基线要求项目名称安全基线编SBL-Windows-02-03-05号安全基线项在组策略中只允许授权帐号从网络访问(包括网络共享等,但不包括终端服说明务)此计算机。
检测操作步进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”骤“从网络访问此计算机”设置为“指定授权用户”基线符合性“从网络访问此计算机”设置为“指定授权用户”,进入“控制面板->管理工判定依据具->本地安全策略”,在“本地策略->用户权利指派”查看是否“从网络访问此计算机”设置为“指定授权用户”备注手工判断是否授权第3章日志配置操作3.1 日志配置3.1.1审核登录安全基线项操作系统审核登录策略安全基线要求项目名称安全基线编SBL-Windows-03-01-01号安全基线项设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的说明帐户,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。