Windows安全系统配置要求规范
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Windows 安全配置规范
2010年11月
第1章概述
1.1适用范围
本规范明确了Windows操作系统在安全配置方面的基本要求,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。
适用于中国电信所有运行的Windows操作系统,包括Windows 2000、Windows XP、Windows2003, Windows7 , Windows 2008以及各版本中的Sever、Professional版本。
第2章安全配置要求
2.1账号
编号:1
要求内容应按照不同的用户分配不同的账号,避免不同用户间共享账号,避
免用户账号和设备间通信使用的账号共享。
操作指南1、参考配置操作
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地
用户和组”:
根据系统的要求,设定不同的账户和账户组。
检测方法1、判定条件
结合要求和实际业务情况判断符合要求,根据系统的要求,设定不
同的账户和账户组
2、检测操作
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地
用户和组”:
查看根据系统的要求,设定不同的账户和账户组编号:2
要求内容应删除与运行、维护等工作无关的账号。
操作指南1.参考配置操作
A)可使用用户管理工具:
开始-运行-compmgmt.msc-本地用户和组-用户B)也可以通过net命令:
删除账号: net user account/de1
停用账号:net user account/active:no
检测方法1.判定条件
结合要求和实际业务情况判断符合要求,删除或锁定与设备运行、维护等与工作无关的账号。
注:主要指测试帐户、共享帐号、已经不用账号等
2.检测操作
开始-运行-compmgmt.msc-本地用户和组-用户
编号:3
要求内容重命名Administrator;禁用guest(来宾)帐号。
操作指南1、参考配置操作
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地
用户和组”:
Administrator->属性-> 更改名称
Guest帐号->属性-> 已停用
检测方法1、判定条件
缺省账户Administrator名称已更改。
Guest帐号已停用。
2、检测操作
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地
用户和组”:
缺省帐户->属性-> 更改名称
Guest帐号->属性-> 已停用
2.2口令
编号:1
要求内容密码长度要求:最少8位
密码复杂度要求:至少包含以下四种类别的字符中的三种:
●英语大写字母 A, B, C, … Z
●英语小写字母 a, b, c, … z
●阿拉伯数字 0, 1, 2, (9)
●非字母数字字符,如标点符号,@, #, $, %, &, *等
操作指南1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密
码策略”:
“密码必须符合复杂性要求”选择“已启动”
检测方法1、判定条件
“密码必须符合复杂性要求”选择“已启动”
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密
码策略”:
查看是否“密码必须符合复杂性要求”选择“已启动”
编号:2
要求内容对于采用静态口令认证技术的设备,账户口令的生存期不长于90
天。
操作指南1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密
码策略”:
“密码最长存留期”设置为“90天”
检测方法1、判定条件
“密码最长存留期”设置为“90天”
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密
码策略”:
查看是否“密码最长存留期”设置为“90天”
编号:3
要求内容对于采用静态口令认证技术的设备,应配置设备,使用户不能重复
使用最近5次(含5次)内已使用的口令。
操作指南1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密
码策略”:
“强制密码历史”设置为“记住5个密码”
检测方法1、判定条件
“强制密码历史”设置为“记住5个密码”
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密
码策略”:
查看是否“强制密码历史”设置为“记住5个密码”
编号:4
要求内容对于采用静态口令认证技术的设备,应配置当用户连续认证失败次
数超过6次(不含6次),锁定该用户使用的账号。
操作指南1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->帐
户锁定策略”:
“账户锁定阀值”设置为 6次
检测方法1、判定条件
“账户锁定阀值”设置为小于或等于 6次
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->帐
户锁定策略”:
查看是否“账户锁定阀值”设置为小于等于 6次
补充说明:
设置不当可能导致账号大面积锁定,在域环境中应小心设置,
Administrator 账号本身不会被锁定。
2.3授权
编号:1
要求内容本地、远端系统强制关机只指派给Administrators组。
操作指南1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用
户权利指派”:
“关闭系统”设置为“只指派给Administrators组”
“从远程系统强制关机”设置为“只指派给Administrators组”
检测方法1、判定条件
“关闭系统”设置为“只指派给Administrators组”
“从远端系统强制关机”设置为“只指派给Administrtors组”
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用
户权利指派”:
查看“关闭系统”设置为“只指派给Administrators组”
查看是否“从远端系统强制关机”设置为“只指派给Administrators
组”
编号:2
要求内容在本地安全设置中取得文件或其它对象的所有权仅指派给