Windows 7操作系统安全配置基线

各类操作系统安全配置要求及操作指南检查模块支持系统版本号Windows Windows 2000 以上Solaris Solaris 8 以上AIX AIX 5.X以上HP-UNIX HP-UNIX 11i以上Linux 内核版本2.6以上Oracle Oracle 8i以上SQLServerMicrosoft SQL Server 2000 以上MySQL MySQL 5.x以上IIS IIS 5.x以上Apache Apache 2.x 以上Tomcat Tomcat 5.x以上WebLogic WebLogic 8.X以上Windows操作系统安全配置要求及操作指南I目录目录 (I)前言 (II)1 范围 (1)2 规范性引用文件 (1)3 缩略语 (1)4 安全配置要求 (2)4.1 账号 (2)4.2 口令 (3)4.3 授权 (5)4.4 补丁 (7)4.5 防护软件 (8)4.6 防病毒软件 (8)4.7 日志安全要求 (9)4.8 不必要的服务 (11)4.9 启动项 (12)4.10 关闭自动播放功能 (13)4.11 共享文件夹 (13)4.12 使用NTFS 文件系统 (14)4.13 网络访问 (15)4.14 会话超时设置 (16)4.15 注册表设置 (17)附录A：端口及服务 (18)II前言为了在工程验收、运行维护、安全检查等环节，规范并落实安全配置要求，编制了一系列的安全配置要求及操作指南，明确了操作系统、数据库、应用中间件在内的通用安全配置要求及参考操作。

该系列安全配置要求及操作指南的结构及名称预计如下：（1）《Windows 操作系统安全配置要求及操作指南》（本规范）（2）《AIX操作系统安全配置要求及操作指南》（3）《HP-UX 操作系统安全配置要求及操作指南》（4）《Linux操作系统安全配置要求及操作指南》（5）《Solaris操作系统安全配置要求及操作指南》（6）《MS SQL server数据库安全配置要求及操作指南》（7）《MySQL 数据库安全配置要求及操作指南》（8）《Oracle数据库安全配置要求及操作指南》（9）《Apache安全配置要求及操作指南》（10）《IIS安全配置要求及操作指南》（11）《Tomcat 安全配置要求及操作指南》（12）《WebLogic 安全配置要求及操作指南》11 范围适用于使用Windows 操作系统的设备。

Windows系统安全配置基线目录第1章 ............................................................................................................................ 概述11.1目的 (1)1.2适用范围 (1)1.3适用版本 (1)第2章 .......................................................................................................... 安装前准备工作12.1需准备的光盘 (1)第3章 ................................................................................................... 操作系统的基本安装13.1基本安装 (1)第4章 ................................................................................................... 账号管理、认证授权24.1账号 (2)4.1.1管理缺省账户 (2)4.1.2删除无用账户 (2)4.1.3用户权限分离 (3)4.2 .............................................................................................................................. 口令34.2.1密码复杂度 (3)4.2.2密码最长生存期 (4)4.2.3密码历史 (4)4.2.4帐户锁定策略 (5)4.3 .............................................................................................................................. 授权54.3.1远程关机 (5)4.3.2本地关机 (6)4.3.3隐藏上次登录名 (6)4.3.4关机清理内存页面 (7)4.3.5用户权利指派 (7)第5章 .............................................................................................................. 日志配置操作85.1日志配置 (8)5.1.1审核登录 (8)5.1.2审核策略更改 (8)5.1.3审核对象访问 (8)5.1.4审核事件目录服务器访问 (9)5.1.5审核特权使用 (9)5.1.6审核系统事件 (10)5.1.7审核账户管理 (10)5.1.8审核过程追踪 (10)5.1.9日志文件大小 (11)第6章 .............................................................................................................. 其他配置操作116.1共享文件夹及访问权限 (11)6.1.1关闭默认共享 (11)6.2 ................................................................................................................... 防病毒管理126.2.1防病毒软件保护 (12)6.3 ................................................................................................................... W INDOWS服务126.3.1 系统服务管理 (12)6.4 ....................................................................................................................... 访问控制136.4.1 限制Radmin管理地址 (13)6.5 ........................................................................................................................... 启动项136.4.1关闭Windows自动播放功能 (13)6.4.3配置屏保功能 (14)6.4.4补丁更新 (14)持续改进 (15)最短密码长度12个字符，启用本机组策略中密码必须符合复杂性要求的策略。

Windows 系统安全配置基线备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (5)1.1目的 (5)1.2适用范围 (5)1.3适用版本 (5)1.4实施 (5)1.5例外条款 (5)第2章帐户管理、认证授权 (6)2.1帐户 (6)2.1.1 管理缺省帐户 (6)2.1.2 按照用户分配帐户* (6)2.1.3 删除与设备无关帐户* (7)2.2口令 (7)2.2.1密码复杂度 (7)2.2.2密码最长留存期 (8)2.2.3帐户锁定策略 (8)2.3授权 (8)2.3.1远程关机 (8)2.3.2本地关机 (9)2.3.3用户权利指派* (9)2.3.4授权帐户登陆* (10)2.3.5授权帐户从网络访问* (10)第3章日志配置操作 (11)3.1日志配置 (11)3.1.1审核登录 (11)3.1.2审核策略更改 (11)3.1.3审核对象访问 (11)3.1.4审核事件目录服务器访问 (12)3.1.5审核特权使用 (12)3.1.6审核系统事件 (13)3.1.7审核帐户管理 (13)3.1.8审核过程追踪 (13)3.1.9日志文件大小 (14)第4章IP协议安全配置 (15)4.1IP协议 (15)4.1.1启用SYN攻击保护 (15)第5章设备其他配置操作 (17)5.1共享文件夹及访问权限 (17)5.1.1关闭默认共享 (17)5.1.2共享文件夹授权访问* (17)5.2防病毒管理 (18)5.2.1数据执行保护 (18)5.3W INDOWS服务 (18)5.3.1 SNMP服务管理 (18)5.3.2系统必须服务列表管理* (19)5.3.3系统启动项列表管理* (19)5.3.4远程控制服务安全* (19)5.3.5 IIS安全补丁管理* (20)5.3.6活动目录时间同步管理* (20)5.4启动项 (21)5.4.1关闭Windows自动播放功能 (21)5.5屏幕保护 (21)5.5.1设置屏幕保护密码和开启时间* (21)5.6远程登录控制 (22)5.6.1限制远程登陆空闲断开时间 (22)5.7补丁管理 (23)5.7.1操作系统补丁管理* (23)5.7.2操作系统最新补丁管理* (23)第6章评审与修订 (24)第1章概述1.1 目的本文档旨在指导系统管理人员或安全检查人员进行WINDOWS 操作系统的安全合规性检查和配置。

windows基线检查项目的范围和内容1.引言1.1 概述概述部分的内容可以是对整篇文章主题的简要介绍和解释。

可以提及以下内容：在计算机技术的发展和广泛应用的背景下，保障计算机系统的安全性和可靠性变得尤为重要。

而在Windows操作系统中，基线检查项目作为一种常见的安全评估手段，被广泛采用。

本文将对Windows基线检查项目的范围和内容进行详细探讨。

首先，我们将介绍本文的结构和内容安排，以及各个部分的内容提要。

随后，我们将详细解释什么是Windows基线检查项目以及它的重要性，为读者提供一个全面的认识。

同时，我们还将讨论Windows基线检查项目的具体范围，包括它所涵盖的安全控制和目标。

通过本文的阅读，读者将能了解到Windows基线检查项目的定义、作用和实施的重要性，并对其范围和内容有一个清晰的认识。

随着计算机系统的安全性要求不断提高，Windows基线检查项目的重要性也越发凸显。

因此，本文还将展望Windows基线检查项目的未来发展趋势，并给出一些对其优化和改进的建议。

通过本文的研究，希望能够为读者提供一个全面了解Windows基线检查项目的视角，为计算机系统的安全性保障提供一定的指导和参考。

1.2文章结构文章结构部分的内容（1.2 文章结构）应该包括如下内容：本篇长文分为引言、正文和结论三个部分。

引言部分包括概述、文章结构和目的三个方面。

首先，我们将对Windows基线检查项目进行概述，介绍其定义、重要性和应用领域。

其次，我们将说明本篇长文的结构，明确各个章节的内容和次序。

最后，我们将明确本篇长文的目的，即通过对Windows基线检查项目的范围和内容的研究，提供相关领域的参考和指导。

正文部分包括窗口基线检查项目的定义和重要性以及窗口基线检查项目的范围两个方面。

首先，我们将详细阐述Windows基线检查项目的定义和其在计算机系统安全中的重要性。

我们将介绍该项目的基本概念、参考标准和工作原理，以及其在企业和组织中的应用情况。

操作系统安全基线配置要求为不同用户分配独立的帐户，不允许多个用户共享同一帐户。

应删除或锁定过期或无用的帐户。

只允许指定授权帐户对主机进行远程访问。

应根据实际需要为各个帐户分配最小权限。

应对Administrator帐户进行重命名，并禁用Guest（来宾）帐户。

要求操作系统帐户口令长度至少为8位，且应为数字、字母和特殊符号中至少2类的组合。

设置口令的最长使用期限小于90天，并配置操作系统用户不能重复使用最近5次（含5次）已使用过的口令。

当用户连续认证失败次数为5次时，应锁定该帐户30分钟。

2.2.服务及授权安全应关闭不必要的服务。

应设置SNMP接受团体名称不为public或弱字符串。

确保系统时间与NTP服务器同步。

配置系统DNS指向企业内部DNS服务器。

2.3.补丁安全应确保操作系统版本更新至最新。

应在确保业务不受影响的情况下及时更新操作系统补丁。

2.4.日志审计应合理配置系统日志审核策略。

应设置日志存储规则，保证足够的日志存储空间。

更改日志默认存放路径，并定期对系统日志进行备份。

2.5.系统防火墙应启用系统自带防火墙，并根据业务需要限定允许通讯的应用程序或端口。

2.6.防病毒软件应安装由总部统一部署的防病毒软件，并及时更新。

2.7.关闭自动播放功能应关闭Windows自动播放功能。

2.8.共享文件夹应关闭Windows本地默认共享。

设置共享文件夹的访问权限，仅允许授权的帐户共享此文件夹。

2.9.登录通信安全应禁止远程访问注册表路径和子路径。

设置远程登录帐户的登录超时时间为30分钟。

禁用匿名访问命名管道和共享。

1.帐户共用：每个用户应分配一个独立的系统帐户，不允许多个用户共享同一个帐户。

2.帐户锁定：过期或无用的帐户应该被删除或锁定。

3.超级管理员远程登录限制：应限制root帐户的远程登录。

4.帐户权限最小化：为每个帐户设置最小权限，以满足其实际需求。

5.口令长度及复杂度：操作系统帐户口令长度应至少为8位，且应包含数字、字母和特殊符号中的至少2种组合。

Windows 7 操作系统安全配置基线与配置说明2017年3月1、账户管理1.1Administrator 账户管理配置截图参考：右键点击administrator用户重命名为其它名称（注意，不要改为admin）双击guest账户，确保账户已禁用选项是被选中的则为符合要求。

如果用户里面存在guest和administrator（已改名账户）以外的其它账户则不符合安全要求须对其它用户进行右键——删除操作2、密码管理2.1 密码复杂度2.2 密码长度最小值2.3 密码最长使用期限2.4 强制密码历史2.5 账户锁定阈值（可选）3、认证授权3.1 远程强制关机授权3.2 文件所有权授权4、日志审计4.1 审核策略更改4.2 审核登录事件4.3 审核对象访问4.4 审核进程跟踪对审核策略中的所有项均进行以上配置操作4.5日志文件大小对windows日志中的‘应用程序’‘安全’‘系统’三项均进行上图配置5、系统服务5.1 启用Windows 防火墙5.2 关闭自劢播放功能6、补丁不防护软件6.1 系统安全补丁管理6.2 防病毒管理7.1 关闭默认共享8、远程维护8.1 远程协助安全管理8.2 远程桌面安全管理9、其他9.1 数据执行保护10、关闭135等端口• 1）打开电-脑-控-制-面板• 2）打开系统和安全选项• 3）打开Windows防火墙• 4）点击左侧高级设置• 5）点击入站规则• 6）点击右侧新建规则• 7）选择端口（O），点击下一步• 8）选择特定本地端口，输入135,137,138,139,445，中间用逗号隔开，逗号为英文输入的逗号• 9）选择阻止连接，点击下一步• 10）点击下一步• 11）名称一栏输入关闭端口，点击完成• 12）双击关闭端口，查看端口设置• 13）可以看到阻止连接• 14）点击协议和端口，可以看到阻止连接的本地端口是之前设置的135,137,138,139,445，说明网络端口135,137,138,139,445已经阻止连接。

windows安全配置基准Windows安全配置基准是一套详细的指南，旨在帮助企业评估和优化其Windows操作系统的安全性。

基准提供了多种配置选项，以确保操作系统和应用程序的安全性，同时提供了一系列的建议和最佳实践，以降低潜在的安全风险。

以下是一些关键的Windows安全配置基准建议：1. 更新操作系统和应用程序：保持操作系统和应用程序的最新版本是至关重要的，因为它们包含安全补丁和改进，可以防止恶意软件的攻击。

2. 实施强密码策略：要求用户使用复杂的密码，并定期更改密码。

禁用默认密码，并使用强密码策略来限制未经授权的访问。

3. 配置安全的防火墙：配置Windows防火墙以仅允许必要的网络流量通过，并阻止未授权的访问。

4. 安装防病毒软件：使用可靠的防病毒软件来检测和清除恶意软件，并定期更新防病毒软件以应对新的威胁。

5. 限制不必要的服务：禁用不必要的服务以减少潜在的安全风险。

仅运行必要的服务，并确保它们受到适当的安全保护。

6. 配置安全的远程访问：使用安全的远程访问协议（如VPN）来远程访问企业网络。

限制远程访问的权限，并确保远程用户使用强密码策略。

7. 实施安全的文件共享和权限：使用安全的文件共享设置，并限制对敏感数据的访问。

使用适当的权限和访问控制列表（ACL）来控制对文件和文件夹的访问。

8. 监控系统活动和事件日志：定期检查系统活动和事件日志以检测可疑行为。

配置警报和自动响应措施以应对潜在的安全威胁。

以上是Windows安全配置基准的一些关键建议，但并不是全部内容。

企业应该根据其特定的需求和环境制定适合的安全策略，并定期进行安全评估和审计，以确保系统的安全性。

1。

Windows 7 操作系统安全配置基线与配置说明2017年3月1、账户管理1.1Administrator 账户管理配置截图参考：右键点击administrator用户重命名为其它名称（注意，不要改为admin）双击guest账户，确保账户已禁用选项是被选中的则为符合要求。

如果用户里面存在guest和administrator（已改名账户）以外的其它账户则不符合安全要求须对其它用户进行右键——删除操作2、密码管理2.1 密码复杂度2.2 密码长度最小值2.3 密码最长使用期限2.4 强制密码历史2.5 账户锁定阈值（可选）3、认证授权3.1 远程强制关机授权3.2 文件所有权授权4、日志审计4.1 审核策略更改4.2 审核登录事件4.3 审核对象访问4.4 审核进程跟踪对审核策略中的所有项均进行以上配置操作4.5日志文件大小对windows日志中的‘应用程序’‘安全’‘系统’三项均进行上图配置5、系统服务5.1 启用Windows 防火墙5.2 关闭自劢播放功能6、补丁不防护软件6.1 系统安全补丁管理6.2 防病毒管理7.1 关闭默认共享8、远程维护8.1 远程协助安全管理8.2 远程桌面安全管理9、其他9.1 数据执行保护10、关闭135等端口• 1）打开电-脑-控-制-面板• 2）打开系统和安全选项• 3）打开Windows防火墙• 4）点击左侧高级设置• 5）点击入站规则• 6）点击右侧新建规则• 7）选择端口（O），点击下一步• 8）选择特定本地端口，输入135,137,138,139,445，中间用逗号隔开，逗号为英文输入的逗号• 9）选择阻止连接，点击下一步• 10）点击下一步• 11）名称一栏输入关闭端口，点击完成• 12）双击关闭端口，查看端口设置• 13）可以看到阻止连接• 14）点击协议和端口，可以看到阻止连接的本地端口是之前设置的135,137,138,139,445，说明网络端口135,137,138,139,445已经阻止连接。

Win7系统的基本安全配置一、实验目的熟悉win7系统的安全配置二、实验设备一台装有win7系统的电脑三、实验内容1. 修改Windows 系统注册表的安全配置2. 修改Windows 系统的安全服务设置3. 修改IE 浏览器安全设置4.设置用户的本地安全策略,包括密码策略和帐户锁定策略5. Win7文件安全防护EFS的配置实用6. 学会用事件查看器查看三种日志。

四、实验过程1. Windows系统注册表的配置用“Regedit”命令启动注册表编辑器配置Windows 系统注册表中的安全项(1)关闭Windows 远程注册表服务通过任务栏的“开始-> 运行”输入regedit 进入注册表编辑器。

找到注册表中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 下的“RemoteRegistry”项。

右键点击“RemoteRegistry”项选择“删除”。

(2) 修改注册表防范IPC$攻击IPC$(Internet Process Connection)它可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。

(a)查找注册表中“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA”的“RestrictAnonymous”项。

(b)单击右键选择“修改”。

(c)在弹出的“编辑DWORD 值”对话框中数值数据框中添入“1”将“RestrictAnonymous”项设置为“1”这样就可以禁止IPC$的连接单击“确定”按钮。

(3)修改注册表关闭默认共享(a)在注册表中找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer \Parameters”项。

在该项的右边空白处单击右键选择新建DWORD 值。