中国移动Windows操作系统安全配置规范

中国移动Windows操作系统安全配置规范W I N D O W S 操作系统安全配置规范 Specification for Windows OS Configuration Used in China Mobile 版本号：

、0、0 网络与信息安全规范编号 :

【网络与信息安全规范】

【第四层：技术规范 Windows 操作系统】

【第4504 号】

全文结束》》-12-18 发布全文结束》》-01-01 实施中国移动通信集团公司发布目录 1 概述、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误 !未定义书签。

1、 1 适用范围、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误 !未定义书签。

1、 2 内部适用性说明、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误 !未定义书签。

1、 3 外部引用说

明、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误 !未定义书签。

1、 4 术语和定义、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误 !未定义书签。

1、 5 符号和缩略语、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误 !未定义书签。

2 WINDOWS 设备安全配置要求、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误 !未定义书签。

2、 1 账号管理、认证授权、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误 !未定义书签。

2、1、 1 账号、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误 !未定义书签。

2、1、 2 口令、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误 !未定义书签。

2、1、 3 授权、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误 !未定义书签。

2、 2 日志配置操作、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误 !未定义书签。

2、 3 IP 协议安全配置操作、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误 !未定义书签。

2、 4 设备其他配置操作、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误 !未定义书签。

2、4、 1 屏幕保护、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误 !未定义书签。

2、4、 2 共享文件夹及访问权限、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误 !未定义书签。

2、4、 3 补丁管理、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误 !未定义书签。

2、4、 4 防病毒管理、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误 !未定义书签。

2、4、 5 Windows 服务、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误 !未定义书签。

2、4、 6 启动项、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误 !未定义书签。

前言本标准由中国移动通信有限公司网络部提出并归口。

本标准由标准提出并归口部门负责解释。

本标准起草单位：中国移动通信有限公司网络部。

本标准解释单位：同提出单位。

本标准主要起草人：中国移动通信集团浙江公司朱国萃中国移动集团公司陈敏时1 概述

1、1 适用范围本规范所指的设备为 Windows 系统设备。

本规范明确了运行 Windows 操作系统的设备在安全配置方面的基本要求。

在未特别说明的情况下，均适用于所有运行的 Windows 操作系统，包括Windows2000、Windows XP、Windows2003 以及各版本中的Sever、Professional 版本。

1、2 内部适用性说明配置要求说明编号采纳意见补充说明安全要求通用-1-可选增强安全要求WINDOWS-配置设备配置2-可选增强安全要求WINDOWS-配置可选安全要求通用-3-可选不采纳 Windows 无法在远程登陆时通过切换用户提升权限安全要求通用-4 增强安全要求WINDOWS-配置设备配置5 完全采纳安全要求通用-6-可选完全采纳安全要求通用-7-可选完全采纳安全要求通用-9 增强安全要求WINDOWS-配置设备配置设备配置设备配置设备配置设备配置12 完全采纳安全要求通用-13-可选增强安全要求WINDOWS-配置设备配置24-可选增强安全要求WINDOWS-配置设备配置设备配置设备配置设备配置设备配置设备配置设备配置设备配置设备配置14-可选不

采纳Windows 日志储存在本地安全要求通用-16-可选增强安全要求WINDOWS-配置可选安全要求WINDOWS-配置可选安全要求通用-17-可选不采纳 Windosw 远程管理采用了自有协议，不支持 SSH 安全要求通用-19-可选不采纳 WIN 系统不具备字符交互界面安全要求通用-20-可选增强安全要求WINDOWS-配置设备配置27-可选不采纳 Windows 不支持 CONSOLE 访问

1、3 外部引用说明中国移动通用安全功能和配置规范

1、4 术语和定义

1、5 符号和缩略语缩写英文描述中文描述缩写英文描述中文描述2 WINDOWS 设备安全配置要求本规范从 Windows 系统设备的认证授权功能、安全日志功能以及 IP 网络安全功能，和其他自身安全配置功能四个方面提出安全要求。

2、1 账号管理、认证授权认证功能用于确认登录系统的用户真实身份。认证功能的具体实现方式包括静态口令、动态口令、指纹等生物鉴别技术等。授权功能赋予系统账号的操作权限，并限制用户进行超越其账号权限的操作。

2、1、1 账号编号：

安全要求通用-1 要求内容按照用户分配账号。根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户，审计用户，来宾用户等。

操作指南

1、参考配置操作进入“控制面板计算机管理”，在“系统工具管理工具本地用户和组”：

查看根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用

户，审计用户，来宾用户。

编号：

安全要求WINDOWS-配置可选要求内容删除或锁定与设备运行、维护等与工作无关的账号。

操作指南

1、参考配置操作进入“控制面板计算机管理”，在“系统工具管理工具本地用户和组”：

查看是否删除或锁定与设备运行、维护等与工作无关的账号。

编号：

安全要求WINDOWS-配置可选要求内容对于管理员帐号，要求更改缺省帐户名称；禁用 guest（来宾）帐号。

操作指南

1、参考配置操作进入“控制面板计算机管理”，在“系统工具属性已停用检测方法

1、判定条件缺省账户 Administrator 名称已更改。G uest 帐号已停用。

2、检测操作进入“控制面板计算机管理”，在“系统工具属性已停用

2、1、2 口令编号：

安全要求WINDOWS-配置管理工具密码策略”：

“密码必须符合复杂性要求”选择“已启动”检测方法

1、判定条件“密码必须符合复杂性要求”选择“已启动”

2、检测操作进入“控制面板本地安全策略”，在“帐户策略设备配置管理工具密码策略”：

“密码最长存留期”设置为“90 天”检测方法

1、判定条件“密码最长存留期”设置为“90 天”

2、检测操作进入“控制面板本地安全策略”，在“帐户策略设备配置可选要求内容对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5 次（含5 次）内已使用的口令。

操作指南

1、参考配置操作进入“控制面板本地安全策略”，在“帐户策略管理工具密码策略”：

查看是否“强制密码历史”设置为“记住5 个密码”编号：

安全要求WINDOWS-配置管理工具帐户锁定策略”：

“账户锁定阀值”设置为6 次检测方法

1、判定条件“账户锁定阀值”设置为小于或等于6 次

2、检测操作进入“控制面板本地安全策略”，在“帐户策略设备配置管理工具用户权利指派” : “从远端系统强制关机”设置为“只指派给Administrators 组”检测方法

1、判定条件“从远端系统强制关机”设置为“只指派给 Administrtors 组”

2、检测操作进入“控制面板本地安全策略”，在“本地策略设备配置管理工具用户权利指派” : “关闭系统”设置为“只指派给Administrators 组”检测方法

1、判定条件“关闭系统”设置为“只指派给 Administrators 组”

2、检测操作进入“控制面板本地安全策略”，在“本地策略设备配置管理工具用户权利指派”：

“取得文件或其它对象的所有权”设置为“只指派给 Administrators 组”检测方法

1、判定条件“取得文件或其它对象的所有权”设置为“只指派给 Administrators 组”

2、检测操作进入“控制面板本地安全策略”，在“本地策略设备配置管理工具用户权利指派”“从本地登陆此计算机”设置为“指定授权用户”检测方法

1、判定条件“从本地登陆此计算机”设置为“指定授权用户”

2、检测操作进入“控制面板本地安全策略”，在“本地策略设备配置管理工具用户权利指派”“从网络访问此计算机”设置为“指定授权用户”检测方法

1、判定条件“从网络访问此计算机”设置为“指定授权用户”

2、检测操作进入“控制面板本地安全策略”，在“本地策略设备配置运行管理工具审核策略”审核登录事件，双击，设置为成功和失败都审核。

检测方法

1、判定条件审核登录事件，设置为成功和失败都审核。

2、检测操作开始执行“控制面板本地安全策略设备配置管理工具审核策略”中“审核策略更改”设置为“成功”和“失败”都要审核检测方法

1、判定条件“审核策略更改”设置为“成功”和“失败”都要审核