windows安全配置规范

Windows 安全配置规范

2010年11月

第1章概述

适用范围

本规范明确了Windows操作系统在安全配置方面的基本要求，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。

适用于中国电信所有运行的Windows操作系统，包括Windows 2000、Windows XP、Windows2003, Windows7 , Windows 2008以及各版本中的Sever、Professional版本。

第2章安全配置要求

2.1账号

编号：1

编号：2

2.2口令

编号：1

密码长度要求：最少8位

密码复杂度要求：至少包含以下四种类别的字符中的三种：

英语大写字母A, B, C, … Z

英语小写字母a, b, c, … z

阿拉伯数字0, 1, 2, (9)

非字母数字字符，如标点符号，@, #, $, %, &, *等

编号：2

编号：3

编号：4

2.3授权编号：1

编号：2

编号：3

2.4补丁

编号：1

2.5防护软件编号：1（可选）

2.6防病毒软件编号：1

日志安全要求

编号：2

1、参考配置操作

对审核策略进行检查：

开始-运行

计算机配置-Windows设置-安全设置-本地策略-审核策略

以下审核是必须开启的，其他的可以根据需要增加：

审核系统登陆事件成功，失败

审核帐户管理成功，失败

审核登陆事件成功，失败

审核对象访问成功

审核策略更改成功，失败

审核特权使用成功，失败

审核系统事件成功，失败

2、补充说明

可能会使日志量猛增

2.7Windows服务编号：1

编号：2

编号：3

2.8启动项

2.9关闭自动播放功能编号：1

2.10共享文件夹

2.11使用NTFS文件系统

2.12会话超时设置（可选）

2.13注册表：（可选）

编号：1

1、参考配置操作

自动登录：

HKLM\Software\Microsoft\WindowsNT\

CurrentVersion\Winlogon\AutoAdminLogon (REG_DWORD) 0

源路由欺骗保护：

HKLM\System\CurrentControlSet\

Services\Tcpip\Parameters\DisableIPSourceRouting

(REG_DWORD) 2

删除匿名用户空链接

HKEY_LOCAL_MACHINE

SYSTEM\Current\Control\Set\Control\Lsa

将restrictanonymous 的值设置为1，若该值不存在，可

以自己创建，类型为REG_DWORD

修改完成后重新启动系统生效

碎片攻击保护：

HKLM\System\CurrentControlSet\

Services\Tcpip\Parameters\EnablePMTUDiscovery

(REG_DWORD) 1

Syn flood 攻击保护：

HKLM\System\CurrentControlSet\

Services\Tcpip\Parameters\SynAttackProtect (REG_DWORD)

2

SYN攻击保护-管理TCP半开sockets的最大数目:

HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\

附表：端口及服务