《Windows-7操作系統(tǒng)安全配置基線和操作說明(共33頁).docx》由會員分享，可在線閱讀，更多相關《Windows-7操作系統(tǒng)安全配置基線和操作說明(共33頁).docx（33頁珍藏版）》請在匯文網(wǎng)上搜索。

1、精選優(yōu)質文檔-傾情為你奉上Windows 7 操作系統(tǒng)安全配置基線與配置說明2017年3月1、賬戶管理1.1 Administrator 賬戶管理安全判定依據(jù)1）進入“控制面板-管理工具-計算機管理”，在彈出框中選擇“系統(tǒng)工具-本地用戶和組-用戶”，2）如果存在 Administrator 賬號，并且隸屬于Administrators 組，表明不符合安全要求。安全配置參考重命名賬戶：鼠標右鍵-重命名，鍵入新的賬戶名稱配置截圖參考：右鍵點擊administrator用戶重命名為其它名稱（注意，不要改為admin）1.2 Guest 賬戶管理安全判定依據(jù)進入“控制面板-管理工具-計算機管理”，在彈

2、出框中選擇“系統(tǒng)工具-本地用戶和組-用戶”，在右側選擇 Guest，雙擊鼠標左鍵查看，如果勾選了“賬戶已禁用”選項，表明符合安全要求。雙擊guest賬戶，確保賬戶已禁用選項是被選中的則為符合要求。1.3 無關賬戶管理安全判定依據(jù)1）進入“控制面板-管理工具-計算機管理”，在彈出框中選擇“系統(tǒng)工具-本地用戶和組-用戶”，2）如果不存在無關賬戶，或無關賬戶處于禁用狀態(tài)，表明符合安全要求。參考操作刪除無關賬戶：鼠標史鍵-刪除；如果用戶里面存在guest和administrator（已改名賬戶）以外的其它賬戶則不符合安全要求須對其它用戶進行右鍵刪除操作2、密碼管理2.1 密碼復雜度安全基線要求密碼復雜

3、度要求：8位以上至少包含以下四種類別的字符中的三種：英文大寫字母（A 到 Z）英文小寫字母( a 到 z )阿拉伯數(shù)字( 0 到 9 )非字母字符（例如!、$、#、%）安全判定依據(jù)進入“控制面板-管理工具-本地安全策略”，在“賬戶策略-密碼策略”中，選擇“密碼必須符合復雜性要求”，查看其“安全設置“，如果顯示”已啟用“，表明符合安全要求。2.2 密碼長度最小值安全基線要求對亍采用靜態(tài)口令認證技術的設備，密碼最小長度不少于 8 位安全判定依據(jù)進入“控制面板-管理工具-本地安全策略”，在“賬戶策略-密碼策略”中，選擇“密碼長度最小值”，查看其“安全設置“，如果顯示”8 個字符“，表明符合安全要求。

4、2.3 密碼最長使用期限安全基線要求對于采用靜態(tài)口令認證技術的設備，口令生存期不長于 90 天安全判定依據(jù)進入“控制面板-管理工具-本地安全策略”，在“賬戶策略-密碼策略”中，選擇“密碼最長使用期限，查看其“安全設置”，如果顯示“90 天“，表明符合安全要求。2.4 強制密碼歷史安全基線要求對于采用靜態(tài)口令認證技術的設備，應配置設備使用戶不能重復使用最近 5 次（含5 次）內已使用的口令檢測操作參考進入“控制面板-管理工具-本地安全策略”，在“賬戶策略-密碼策略-強制密碼歷史”，鼠標右鍵-屬性- 5 -確定。安全判定依據(jù)進入“控制面板-管理工具-本地安全策略”，在“賬戶策略-密碼策略”中，選擇

5、“強制密碼歷史，查看其“安全設置“，如果顯示“5 個記住的密碼“，表明符合安全要求。2.5 賬戶鎖定閾值（可選）安全基線要求對亍采用靜態(tài)口令認證技術的設備，應配置當用戶連續(xù)認證失敗次數(shù)超過 5 次（不含 5次），鎖定該用戶使用的賬戶，鎖定時間30分鐘檢測操作參考進入“控制面板-管理工具-本地安全策略”，在“賬戶策略-賬戶鎖定策略-賬戶鎖定閾值”，鼠標史鍵-屬性- 5 -確定。安全判定依據(jù)進入“控制面板-管理工具-本地安全策略”，在“賬戶策略-賬戶鎖定策略”中，選擇“賬戶鎖定閾值”，查看其“安全設置“，如果顯示“5 次無效登錄“，表明符合安全要求。3、認證授權3.1 遠程強制關機授權安全基線要求

6、非域環(huán)境的計算機，“從遠程系統(tǒng)強制關機“的權限只指派給 Administrators 組檢測操作參考進入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權限分配-從遠程系統(tǒng)強制關機”，鼠標右鍵-屬性-設置為只指派給 Administrators 組。安全判定依據(jù)進入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權限分配”中，鼠標左鍵雙擊“從遠程系統(tǒng)強制關機”，如果彈出的對話框中僅顯示”Administrators”組，表明符合安全要求。3.2 文件所有權授權安全基線要求“取得文件或其他對象的所有權“只指派給 Administrators 組檢測操作參考進入“控制面板-管理工具

7、-本地安全策略”，在“本地策略-用戶權限分配-取 得 文 件 或 其 他 對 象 的 所 有 權 ” ， 鼠 標 史 鍵 - 屬 性 - 設 置 為 只 指 派 給安全判定依據(jù)進入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權限分配”中，鼠標左鍵雙擊“取得文件或其他對象的所有權”，如果彈出的對話框中僅顯示”Administrators”組，表明符合安全要求。4、日志審計4.1 審核策略更改安全基線要求啟用對 Windows 系統(tǒng)的審核策略更改，成功不失敗都要審核檢測操作參考進入“控制面板-管理工具-本地安全策略”，在“本地策略-審核策略-審核策略更改”，鼠標右鍵-屬性-勾選“成功”

8、與“失敗”兩項。安全判定依據(jù)進入“控制面板-管理工具-本地安全策略”，在“本地策略-審核策略“中，選擇”審核策略更改”，查看其“安全設置“，默認為無審核，如果顯示為“成功，失敗”，表明符合安全要求。4.2 審核登錄事件安全基線要求應配置日志功能，對用戶登錄進行記錄，記錄內容包括用戶登錄使用的賬戶，登錄是否成功，登錄時間，以及遠程登錄時使用的 IP 地址檢測操作參考進入“控制面板-管理工具-本地安全策略”，在“本地策略-審核策略-審核登錄事件”，鼠標史鍵-屬性-勾選“成功”和“失敗”兩項。安全判定依據(jù)進入“控制面板-管理工具-本地安全策略“，在“本地策略-審核策略“中，選擇”審核登錄事件”，查看

9、其“安全設置“，默認為無審核，如果顯示為“成4.3 審核對象訪問安全基線要求啟用對 Windows 系統(tǒng)的審核對象訪問，成功不失敗都要審核檢測操作參考進入“控制面板-管理工具-本地安全策略”，在“本地策略-審核策略-審核對象訪問”，鼠標右鍵-屬性-勾選“成功”和“失敗”兩項。安全判定依據(jù)進入“控制面板-管理工具-本地安全策略”，在“本地策略-審核策略“中，選擇”審核對象訪問”，查看其“安全設置“，默認為無審核，如果顯示為“成功，失敗”，表明符合安全要求。4.4 審核進程跟蹤安全基線要求啟用對 Windows 系統(tǒng)的審核特權使用，成功不失敗都要審核檢測操作參考進入“控制面板-管理工具-本地安全策

10、略”，在“本地策略-審核策略-審核特權使用”，鼠標右鍵-屬性-勾選“成功”與“失敗”兩項。安全判定依據(jù)進入“控制面板-管理工具-本地安全策略”，在“本地策略-審核策略“中，選擇”審核特權使用”，查看其“安全設置“，默認為無審核，如果顯示為“成功，失敗”，表明符合安全要求。對審核策略中的所有項均進行以上配置操作4.5日志文件大小安全基線要求設置日志容量和覆蓋規(guī)則，保證日志存儲檢測操作參考進入“控制面板 -管理工具 -事件查看器”，選擇“事件查看器（本地）-Windows 日志”，1）在“應用程序”中，鼠標史鍵單擊選擇“屬性”，將“日志最大大小”設置為“40960KB”，“達到事件日志最大大小時“

11、選擇“按需要覆蓋事件（舊事件優(yōu)先）”。2）在“安全”中，鼠標右鍵單擊選擇“屬性”，將“日志最大大小”設置為“40960KB”，“達到事件日志最大大小時“選擇“按需要覆蓋事件（舊事件優(yōu)先）”。3）在“系統(tǒng)”中，鼠標右鍵單擊選擇“屬性”，將“日志最大大小”設置為“40960KB”，“達到事件日志最大大小時“選擇“按需要覆蓋事件（舊事件優(yōu)先）”。安全判定依據(jù)進入“控制面板-管理工具-事件查看器，選擇“事件查看器（本地）- Windows日志”，鼠標史鍵點擊“應用程序“、“安全”、“系統(tǒng)”，選擇“屬性“，查看這三項的“日志最大大小”和“達到事件日志最大大小時“的選項，如果顯示為” 40960”和“按需

12、要覆蓋事件（舊事件優(yōu)先）“，表明符合安全要求。對windows日志中的應用程序安全系統(tǒng)三項均進行上圖配置5、系統(tǒng)服務5.1 啟用 Windows 防火墻安全基線要求啟用 Windows 防火墻檢測操作參考進入“控制面板-Windows 防火墻-打開或關閉 Windows 防火墻”，查看“家庭或工作（專用）網(wǎng)絡位置設置“與”公用網(wǎng)絡位置設置“中防火墻的配置情況。安全判定依據(jù)進入“控制面板-Windows 防火墻-打開或關閉 Windows 防火墻”，查看“家庭或工作（專用）網(wǎng)絡位置設置“與”公用網(wǎng)絡位置設置“，如果均選擇”啟用Windows 防火墻“，并勾選“Windows 防火墻阻止新程序時通

13、知我”，表明符合安全要求。5.2 關閉自勱播放功能安全基線要求關閉 Windows 自勱播放，防止從移勱設備不光盤感染惡意代碼檢測操作參考開始-運行- gpedit.msc，打開本地組策略編輯器，在“計算機配置-管理模板-Windows 組件 -自勱播放策略”中，選擇“關閉自勱播放”，查看其狀態(tài)。安全判定依據(jù)開始-運行- gpedit.msc，打開本地組策略編輯器，在“計算機配置-管理模板-Windows 組件 -自動播放策略”中，選擇“關閉自勱播放”，查看其狀態(tài)，默認為“未配置“，如果為”已啟用“，表明符合安全要求。6、補丁不防護軟件6.1 系統(tǒng)安全補丁管理安全基線要求所有聯(lián)網(wǎng)終端計算機統(tǒng)一

14、部署桌面安全管理軟件，由該軟件統(tǒng)一進行系統(tǒng)安全補丁更新檢測操作參考按照集團公司信息管理部要求，集中部署桌面安全管理系統(tǒng)，監(jiān)督未部署的終端計算機并進行整改，保證所有聯(lián)網(wǎng)終端計算機全部安裝統(tǒng)一的桌面安全管理系統(tǒng)軟件。安全判定依據(jù)開始-運行- cmd.exe，輸入 systeminfo，查看系統(tǒng)補丁的安裝情況。6.2 防病毒管理安全基線要求所有聯(lián)網(wǎng)終端計算機統(tǒng)一部署中國石油統(tǒng)一部署的防病毒軟件檢測操作參考按照集團公司信息管理部要求，集中部署桌面安全管理系統(tǒng)，監(jiān)督未部署的終端計算機并進行整改，保證所有聯(lián)網(wǎng)終端計算機全部安裝統(tǒng)一的桌面安全管理系統(tǒng)軟件。安全判定依據(jù)瑞星防病毒系統(tǒng)、桌面統(tǒng)一管理系統(tǒng)7、共享文件夾及訪問權限7.1 關閉默認共享安全基線要求在非域環(huán)境下，關閉 Windows 硬盤默認共享，例如 C$,D$檢測操作參考開始-運行- regedit.exe，進入注冊表編輯器，更改注冊表鍵值：HKEY_LOCAL_MACHINESYSTEMCurrentControlSe