主机安全基线检查windows系统操作手册

Sybase安全基线操作手册------网络安全部、规范安全组1 Sybase数据库1.1操作系统1.1.1限制sybase安装目录的权限，确保只有系统管理员才能访问该目录1、现场访谈2、现场登陆系统查看浏览器登陆192.168.122.383、输入命令ls –l，显示如下1.2补丁1.2.1更新服务器版本信息数据库补丁1、现场访谈2、登陆机器select @@VERSION1.3通用数据库参数1.3.1检查输出'allow updates to system tables'如果是“on”状态，DBA 可以通过存储过程修改系统表。

建议sso 将其设置为“off”状态。

因为已经建立的存储过程可以被执行，建议审计数据库的存储过程列表1、现场访谈2、登陆机器1.3.2检查并保证资源限制'allow resource limit'的值设为“1”1、现场访谈2、登陆机器，查看配置参数1.3.3保证系统表'syscomments' 已经被保护，该系统表非常重要，但默认情况下被设置为"1"，确认该值被设置为"0"1、现场访谈2、登陆机器，查看配置参数1.4角色1.4.1检查角色中空口令用户1、现场访谈2、登陆机器，查看配置参数select name from syssrvroles where password = NULL1.5密码安全策略1.5.1对于采用静态口令进行认证的数据库，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类1、现场访谈2、登陆机器，查看配置参数sp_configure "check password for digit"'0' －强制用户口令中至少包含一个数字，sp_configure "minimum password length"1.5.2口令过期时间，建议设置为180天1、现场访谈2、登陆机器，查看配置参数sp_configure "password expiration interval"'0' –密码从不过期，'n' –天数1.6数据安全1.6.1限制关键表、过程、触发器的权限1、现场访谈2、登陆机器，查看配置参数Sp_helprotect ObjectName输出：1.用户权限列表2.所有对象的权限类型3.是否设置WITH GRANT权限1.7网络远程连接安全1.7.1安全机制和其提供的安全服务Syssecmech 表默认并不存在，仅在查询的时候创建，它由以下的列组成：sec_mech_name 服务器提供的安全机制名available_service 安全机制提供的安全服务举例，Windows 网络管理员，其内容将为：sec_mech_name = NT LAN MANAGERavailable_service = unified login1、现场访谈2、登陆机器，查看配置参数select * from syssecmechs1.7.2统一登陆需要的参数如果网络安全被设置为启用，则保证其设置为"1"。

windows基线检查项目的范围和内容1.引言1.1 概述概述部分的内容可以是对整篇文章主题的简要介绍和解释。

可以提及以下内容：在计算机技术的发展和广泛应用的背景下，保障计算机系统的安全性和可靠性变得尤为重要。

而在Windows操作系统中，基线检查项目作为一种常见的安全评估手段，被广泛采用。

本文将对Windows基线检查项目的范围和内容进行详细探讨。

首先，我们将介绍本文的结构和内容安排，以及各个部分的内容提要。

随后，我们将详细解释什么是Windows基线检查项目以及它的重要性，为读者提供一个全面的认识。

同时，我们还将讨论Windows基线检查项目的具体范围，包括它所涵盖的安全控制和目标。

通过本文的阅读，读者将能了解到Windows基线检查项目的定义、作用和实施的重要性，并对其范围和内容有一个清晰的认识。

随着计算机系统的安全性要求不断提高，Windows基线检查项目的重要性也越发凸显。

因此，本文还将展望Windows基线检查项目的未来发展趋势，并给出一些对其优化和改进的建议。

通过本文的研究，希望能够为读者提供一个全面了解Windows基线检查项目的视角，为计算机系统的安全性保障提供一定的指导和参考。

1.2文章结构文章结构部分的内容（1.2 文章结构）应该包括如下内容：本篇长文分为引言、正文和结论三个部分。

引言部分包括概述、文章结构和目的三个方面。

首先，我们将对Windows基线检查项目进行概述，介绍其定义、重要性和应用领域。

其次，我们将说明本篇长文的结构，明确各个章节的内容和次序。

最后，我们将明确本篇长文的目的，即通过对Windows基线检查项目的范围和内容的研究，提供相关领域的参考和指导。

正文部分包括窗口基线检查项目的定义和重要性以及窗口基线检查项目的范围两个方面。

首先，我们将详细阐述Windows基线检查项目的定义和其在计算机系统安全中的重要性。

我们将介绍该项目的基本概念、参考标准和工作原理，以及其在企业和组织中的应用情况。

1.下载基线配置核查工具（附件2）
2.下载完成后，运行安装SblCheckTool.msi。

注：若系统未安装.Net Framework 4.0，会提示安装该软件。

在基线配置核查工具下载页面下载.Net Framework 4.0并安装，该软件为微软公司推出的系统组件。

3.安装完成后，双击打开桌面“基线加固工具”快捷方式，进入软件界面。

4.首先输入自己的姓名，工作单位以及网络管理员提供的IP地址。

5. 资料填写完毕请点击测试连接，若无错误将提示“连接成功”，点击“确认”。

6. 点击开始检查，系统将展示出终端计算机的安全配置（检查过程依据计算机性能存在查
别，请耐心等待，一般不超过1分钟）。

Windows系统安全配置基线目录第1章概述 ...........................................................................................................................................1.1目的 ...........................................................................................................................................1.2适用范围 ...................................................................................................................................1.3适用版本 ...................................................................................................................................第2章安装前准备工作 .......................................................................................................................2.1需准备的光盘 ...........................................................................................................................第3章操作系统的基本安装 ...............................................................................................................3.1基本安装 ...................................................................................................................................第4章账号管理、认证授权 ...............................................................................................................4.1账号 ...........................................................................................................................................4.1.1管理缺省账户...........................................................................................................................4.1.2删除无用账户...........................................................................................................................4.1.3用户权限分离...........................................................................................................................4.2口令 ...........................................................................................................................................4.2.1密码复杂度...............................................................................................................................4.2.2密码最长生存期.......................................................................................................................4.2.3密码历史...................................................................................................................................4.2.4帐户锁定策略...........................................................................................................................4.3授权 ...........................................................................................................................................4.3.1远程关机...................................................................................................................................4.3.2本地关机...................................................................................................................................4.3.3隐藏上次登录名.......................................................................................................................4.3.4关机清理内存页面...................................................................................................................4.3.5用户权利指派...........................................................................................................................第5章日志配置操作 ...........................................................................................................................5.1日志配置 ...................................................................................................................................5.1.1审核登录...................................................................................................................................5.1.2审核策略更改...........................................................................................................................5.1.3审核对象访问...........................................................................................................................5.1.4审核事件目录服务器访问.......................................................................................................5.1.5审核特权使用...........................................................................................................................5.1.6审核系统事件...........................................................................................................................5.1.7审核账户管理...........................................................................................................................5.1.8审核过程追踪...........................................................................................................................5.1.9日志文件大小...........................................................................................................................第6章其他配置操作 ...........................................................................................................................6.1共享文件夹及访问权限 ...........................................................................................................6.1.1关闭默认共享...........................................................................................................................6.2防病毒管理 ...............................................................................................................................6.2.1防病毒软件保护.......................................................................................................................6.3W INDOWS服务..........................................................................................................................6.3.1 系统服务管理..........................................................................................................................6.4访问控制 ...................................................................................................................................6.4.1 限制Radmin管理地址 ...........................................................................................................6.5启动项 .......................................................................................................................................6.4.1关闭Windows自动播放功能 ..................................................................................................6.4.3配置屏保功能...........................................................................................................................6.4.4补丁更新................................................................................................................................... 持续改进............................................................................................................................................。

操作系统安全基线检查表文档编号：OS-SEC-001版本：1.0日期：2022年10月操作系统安全基线检查表1. 引言操作系统安全基线是指操作系统在默认配置下的最低安全要求。

为了确保操作系统的安全性，本文档提供了一个操作系统安全基线检查表，用于定期检查操作系统是否满足安全要求。

2. 操作系统安全基线检查表2.1 用户账户安全2.1.1 用户账户管理2.1.1.1 添加用户账户时，是否遵循命名规范？2.1.1.2 是否定期审查并注销不再使用的用户账户？2.1.1.3 是否限制用户账户的登录尝试次数？2.1.2 密码策略2.1.2.1 是否要求用户设置复杂密码？2.1.2.2 是否限制用户修改密码的频率？2.1.2.3 是否定期更改不安全的密码？2.2 系统日志安全2.2.1 是否开启系统日志功能？2.2.2 是否定期审查系统日志，并记录审查结果？2.2.3 是否配置日志轮转，限制日志文件大小？2.2.4 是否使用安全的日志存储位置，防止未授权访问？2.3 系统补丁安全2.3.1 是否定期检查并安装最新的系统补丁？2.3.2 是否使用合法和可信的渠道获取系统补丁？2.3.3 是否测试并验证系统补丁的可靠性？2.4 防病毒软件安全2.4.1 是否安装并定期更新最新的防病毒软件？2.4.2 是否定期进行全盘扫描并记录扫描结果？2.4.3 是否及时处理检测到的恶意文件和病毒？2.5 网络安全2.5.1 是否配置防火墙来限制网络访问？2.5.2 是否开启网络入侵检测系统（NIDS）？2.5.3 是否配置合适的网络安全策略？2.6 文件系统安全2.6.1 是否限制用户对系统关键文件和目录的访问权限？2.6.2 是否定期检查系统文件和目录的完整性？2.6.3 是否实施文件加密保护机制？2.7 远程访问安全2.7.1 是否禁用或限制危险的远程访问服务？2.7.2 是否使用安全通信协议进行远程访问？2.7.3 是否定期检查远程访问日志，并记录审查结果？2.8 访问控制安全2.8.1 是否实施访问控制策略，限制用户对敏感数据的访问？2.8.2 是否限制系统管理员的权限，并记录其操作？2.8.3 是否定期审查访问权限，并及时删除不必要的权限？3. 附件本文档不涉及附件。

Windows 7 操作系统安全配置基线与配置说明2017年3月1、账户管理1.1Administrator 账户管理配置截图参考：右键点击administrator用户重命名为其它名称（注意，不要改为admin）双击guest账户，确保账户已禁用选项是被选中的则为符合要求。

如果用户里面存在guest和administrator（已改名账户）以外的其它账户则不符合安全要求须对其它用户进行右键——删除操作2、密码管理2.1 密码复杂度2.2 密码长度最小值2.3 密码最长使用期限2.4 强制密码历史2.5 账户锁定阈值（可选）3、认证授权3.1 远程强制关机授权3.2 文件所有权授权4、日志审计4.1 审核策略更改4.2 审核登录事件4.3 审核对象访问4.4 审核进程跟踪对审核策略中的所有项均进行以上配置操作4.5日志文件大小对windows日志中的‘应用程序’‘安全’‘系统’三项均进行上图配置5、系统服务5.1 启用Windows 防火墙5.2 关闭自劢播放功能6、补丁不防护软件6.1 系统安全补丁管理6.2 防病毒管理7.1 关闭默认共享8、远程维护8.1 远程协助安全管理8.2 远程桌面安全管理9、其他9.1 数据执行保护10、关闭135等端口• 1）打开电-脑-控-制-面板• 2）打开系统和安全选项• 3）打开Windows防火墙• 4）点击左侧高级设置• 5）点击入站规则• 6）点击右侧新建规则• 7）选择端口（O），点击下一步• 8）选择特定本地端口，输入135,137,138,139,445，中间用逗号隔开，逗号为英文输入的逗号• 9）选择阻止连接，点击下一步• 10）点击下一步• 11）名称一栏输入关闭端口，点击完成• 12）双击关闭端口，查看端口设置• 13）可以看到阻止连接• 14）点击协议和端口，可以看到阻止连接的本地端口是之前设置的135,137,138,139,445，说明网络端口135,137,138,139,445已经阻止连接。

SEC-W01-002.1使用Windows系统基线安全分析器2010年4月技术背景管理员使用微软安全产品时，经常抱怨的事缺少能够分析检查整个系统安全配置缺陷的工具。

微软用他们的Baseline Security Analyzer（基线分析器，简称MBSA）对这个问题做出了回应。

MBSA能够扫描本地和远程计算机上的Windows NT、Windows 2000、Windows XP、IIS、SQL Server、Internet Explorer和Office的安全问题。

在扫描后产生一个详细报告。

实验目的安装MBSA扫描实验机，浏览MBSA报告实验平台客户端：Windows2000/XP/2003服务端：Windows 2000 Server实验工具Windows 远程桌面客户端工具mstsc.exeMicrosoft MBSA 1.2实验要点Microsoft MBSA安装及使用实验步骤指导实验准备实验概要：连接实验服务器主机；1.运行远程桌面客户端程序mstsc.exe，输入实验服务器IP地址，点击Connect连接，如图1：图12.以Administrator（管理员）（口令：1qaz@WSX）身份登实验陆服务器桌面。

安装MBSA工具实验概要：安装MBSA工具。

3.按照"实验准备"步骤远程登录实验服务器，在实验服务器桌面，点击运行MBSASetup-EN.msi，如：图2图24.在随后出现的界面，单击Next（下一步）启动安装向导程序。

如：图3图35.在随后出现的界面，选择I accept the license agreement，单击Next（下一步），如：图4图46.在随后出现的界面，单击Next（下一步），如：图5图57.在随后出现的界面，单击Install（安装），开始安装，如：图6图68.安装结束后，当出现如下窗口时点击ok（确定），如：图7，实验服务器桌面上会产生“Microsoft Baseline Security Analyzer 1.2.1”图标，如：图8图89.关闭所有窗口，实验结束并注销Administrator。

windows云服务器基线检查标准
在Windows云服务器的基线检查中，主要包括以下标准：
1. 防火墙配置：需要检查防火墙是否启用，并确保其配置正确。

具体来说，需要进入“控制面板”-“网络连接”-“本地连接”，然后进入“Internet 协议（TCP/IP）->属性”-“高级->TCP/IP设置”。

在“选项”的属性中启用网络连接上的TCP/IP筛选，只开放业务所需要的TCP，UDP端口和IP协议。

2. 安全更新和补丁：需要检查是否已安装最新的安全更新和补丁，以防止已知的漏洞被利用。

3. 安全设置：需要检查操作系统的安全设置是否符合最佳实践和安全标准。

这包括密码策略、用户权限、账户锁定策略等设置的合理性。

4. 日志审计：需要检查系统的日志记录和审计设置是否正常，以及是否有异常的登录尝试或安全事件。

请注意，这些标准可能会根据具体的云服务提供商和其特定的安全要求有所不同。

在实际操作中，请根据具体情况和具体环境进行操作。

Windows 7 操作系统安全配置基线与配置说明2017年3月1、账户管理1.1Administrator 账户管理配置截图参考：右键点击administrator用户重命名为其它名称（注意，不要改为admin）双击guest账户，确保账户已禁用选项是被选中的则为符合要求。

如果用户里面存在guest和administrator（已改名账户）以外的其它账户则不符合安全要求须对其它用户进行右键——删除操作2、密码管理2.1 密码复杂度2.2 密码长度最小值2.3 密码最长使用期限2.4 强制密码历史2.5 账户锁定阈值（可选）3、认证授权3.1 远程强制关机授权3.2 文件所有权授权4、日志审计4.1 审核策略更改4.2 审核登录事件4.3 审核对象访问4.4 审核进程跟踪对审核策略中的所有项均进行以上配置操作4.5日志文件大小对windows日志中的‘应用程序’‘安全’‘系统’三项均进行上图配置5、系统服务5.1 启用Windows 防火墙5.2 关闭自劢播放功能6、补丁不防护软件6.1 系统安全补丁管理6.2 防病毒管理7.1 关闭默认共享8、远程维护8.1 远程协助安全管理8.2 远程桌面安全管理9、其他9.1 数据执行保护10、关闭135等端口• 1）打开电-脑-控-制-面板• 2）打开系统和安全选项• 3）打开Windows防火墙• 4）点击左侧高级设置• 5）点击入站规则• 6）点击右侧新建规则• 7）选择端口（O），点击下一步• 8）选择特定本地端口，输入135,137,138,139,445，中间用逗号隔开，逗号为英文输入的逗号• 9）选择阻止连接，点击下一步• 10）点击下一步• 11）名称一栏输入关闭端口，点击完成• 12）双击关闭端口，查看端口设置• 13）可以看到阻止连接• 14）点击协议和端口，可以看到阻止连接的本地端口是之前设置的135,137,138,139,445，说明网络端口135,137,138,139,445已经阻止连接。

运行环境说明1.1 硬件环境中国石油信息安全基线配置核查系统分为客户端和服务端两个部分，分别用于计算机配置核查、数据展示分析。

软件可支持硬件设备主要包含如下：1）客户端： CPU：Intel奔腾4 及以上；内存：512MB及以上硬盘：20GB。

1.2 软件环境中国石油信息安全基线配置核查系统分为客户端和服务端两个部分，分别用于计算机配置核查、数据展示分析。

系统对软件版本要求如下：1）客户端：Windows XP及以上版本或 Windows Server 2003及以上版本；NET Framework 4.0及以上版本。

1.3 网络环境中国石油基线配置核查系统需计算机在内网环境下进行使用，可选择使用中石油内部局域网络（简称内网）或者公共互联网络（简称外网）均可。

用户使用说明中国石油基线配置核查系统分为客户端与服务端，下面将分别介绍客户端的功能。

1.4 下载与安装服务端硬件设备配置到公司内网中，访问服务端IP地址（10.27.70.35），即可进入下载页面下载客户端软件，如图1。

安装客户端软件过程中，若提示“未安装.NET Framework 4.0”则先安装.NET再继续客户端部署。

在Windows XP系统中，部分计算机需部署Windows XP 本地安全策略补丁才能进行检查，若提示则下载安装本地安全策略补丁。

1.5 客户端启动1. 基线配置核查工具安装成功后，双击桌面图标，进入客户端软件，如下图：1.6 连接服务端1. 基线配置核查工具启动后，需要用户手动配置数据上传路径（依据服务端IP地址而异）以及个人姓名及工作单位用于数据分析。

填写完成后点击“测试连接”，若IP地址无误则提示“连接成功”。

如图：请务必在公司内部统一填写单位名称，否则数据报表可能不完善。

2. 基线配置核查工具依据《中国石油信息系统安全基线》（Windows）版分为10个分类，展现在软件界面之上，若用户需要针对部分类别开展安全检查，勾选类别复选框；若需要对全部检查项开展安全检查，直接点击“开始检查”。