Windows安全配置

admin管理员组

文章数量:1567748

2024年1月24日发(作者：)

Windows安全配置基线说明

1.1. 身份鉴别

1.1.1 用户账号要求

安全基线项目名称

安全基线编号

安全基线项说明

户，审计用户，来宾用户等。

进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户检测操作步骤

和组”。

基线符合性判定依据

查看账户和账户组，管理员用户，数据库用户，审计用户，来宾用户等。根据系统的要求和实际业务情况判断是否符合要求。

参考配置操作：

进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用加固方法 户和组”。结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户，审计用户，来宾用户。

重要等级

备注

★★★

操作系统Windows用户账号安全基线要求项

SBL-Windows-02-01-01

根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用1.1.2 用户账号设置

安全基线项目名称

安全基线编号

安全基线项说明

全。

进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户检测操作步骤

和组”：记录当前用户状态，备份系统SAM文件。

共14页 第1页

操作系统Windows账号安全基线要求项

SBL-Windows-02-01-02

删除或锁定与设备运行、维护等与工作无关的账号，提高系统帐户安

基线符合性判定依据

查看是否删除或锁定与设备运行、维护等与工作无关的账号。

根据系统的要求和实际业务情况判断是否符合要求。

参考配置操作：

加固方法 进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”。删除或锁定与设备运行、维护等与工作无关的账号。

重要等级

备注

★★★

1.1.3 配置密码策略

安全基线项目名称

安全基线编号

操作系统Windows密码策略安全基线要求项

SBL-Windows-02-01-03

设置密码策略，减少密码安全风险；防止系统弱口令的存在，减少安全隐患。对于采用静态口令认证技术的设备，口令长度至少8位，且安全基线项说明

密码规则至少应采用字母（大小写穿插）加数字加标点符号（包括通配符）的方式。

进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策检测操作步骤

略”：记录当前密码策略情况。

基线符合性判定依据

查看“密码必须符合复杂性要求” 是否选择“已启动”，并且策略配置正确。

参考配置操作：

进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”。

“密码必须符合复杂性要求”选择“已启动”设置如下策略

策略 默认设置 推荐最低设置

加固方法

强制执行密码历史记录 记住 1 个密码 记住5个密码

密码最长期限 42 天 90 天

密码最短期限 0 天 2 天

最短密码长度 0 个字符 8 个字符

密码必须符合复杂性要求 禁用 启用

共14页 第2页

为域中所有用户使用可还

原的加密来储存密码 禁用 禁用

重要等级

备注

★★★

1.1.4 账号锁定策略

安全基线项目名称

安全基线编号

安全基线项说明

检测操作步骤

定策略”：记录当前账户锁定策略情况。

基线符合性判定依查看安全策略是否设置为已启动和按要求配置。

据

参考配置操作：

进入“控制面板->管理工具->本地安全策略”，在“帐户策略->账户锁定策略”。设置如下策略：

加固方法 策略 默认设置 推荐最低设置

账户锁定时间 未定义 30 分钟

账户锁定阈值 0 6 次无效登录

复位账户锁定计数器 未定义 30 分钟

重要等级

备注

★★★

操作系统Windows账号锁定安全基线要求项

SBL-Windows-02-01-04

设置有效的账户锁定策略有助于防止攻击者猜出系统账户的密码。

进入“控制面板->管理工具->本地安全策略”，在“帐户策略->账户锁1.2. 访问控制

1.2.1 重命名系统管理员账号，禁用GUEST账号

安全基线项目名称

安全基线编号

操作系统Windows系统账号安全基线要求项

SBL-Windows-02-02-01

共14页 第3页

默认管理员帐号容易被猜解，Guest账号容易被非法利用。对于管理员安全基线项说明 帐号，要求更改缺省帐户名称；禁用guest（来宾）帐号，提高系统安全性。

进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户检测操作步骤

和组”。记录当前用户状态。

基线符合性判定依查看管理员账号Administrator名称是否修改，Guest账号是否禁用。

据

参考配置操作：

进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户加固方法 和组”。

Administrator－>属性－> 更改名称

Guest帐号->属性－> 已停用

重要等级

备注

★★

1.2.2 “取得文件或其它对象的所有权”设置

安全基线项目名称

安全基线编号

安全基线项说明

有权仅指派给Administrators。

进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权检测操作步骤

利指派”:查看并记录“取得文件或其它对象的所有权”的当前设置。

基线符合性判定依据

查看是否“取得文件或其它对象的所有权”设置为“只指派给Administrators组”。

参考配置操作：

进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权加固方法

利指派”。“取得文件或其它对象的所有权”设置为“只指派给Administrators组”。

重要等级 ★★

共14页 第4页

操作系统Windows文件所有权安全基线要求项

SBL-Windows-02-02-02

防止用户非法获取文件，在本地安全设置中取得文件或其它对象的所

备注

1.2.3 关闭默认共享

安全基线项目名称

安全基线编号

安全基线项说明

安全性能。

查看并记录：注册表

检测操作步骤 HKLMSystemCurrentControlSetServicesLanmanServerParameters增加了REG_DWORD类型的AutoShareServer 键的值。

进入“开始－>运行－>Regedit”，进入注册表编辑器，查看基线符合性判定依HKLMSystemCurrentControlSetServicesLanmanServerParameters下，据

是否已增加REG_DWORD类型的AutoShareServer 键，值为 0。

参考配置操作：

进入“开始－>运行－>Regedit”，进入注册表编辑器，更改注册表键值：加固方法

在HKLMSystemCurrentControlSet ServicesLanmanServerParameters下，增加REG_DWORD类型的AutoShareServer 键，值为 0。

重要等级

备注

★

操作系统Windows默认共享安全基线要求项

SBL-Windows-02-02-03

非域环境中，关闭Windows硬盘默认共享，例如C$，D$，提高系统1.2.4 设置共享文件夹访问权限

安全基线项目名称

安全基线编号

安全基线项说明

有权限共享此文件夹。

进入“控制面板->管理工具->计算机管理”，进入“系统工具－>共享检测操作步骤

基线符合性判定依文件夹”：查看并记录每个共享文件夹的共享权限。

查看每个共享文件夹的共享权限，每个共享文件夹的共享权限是否仅共14页 第5页

操作系统Windows共享文件夹安全基线要求项

SBL-Windows-02-02-04

设置共享文件夹访问权限，防止用户非法访问。只允许授权的账户拥

据 限于业务需要，不设置成为“everyone”。

参考配置操作：

加固方法 进入“控制面板->管理工具->计算机管理”，进入“系统工具－>共享文件夹”：查看每个共享文件夹的共享权限，只将权限授权于指定账户。

重要等级

备注

★★★

1.3. 安全审计

1.3.1 审核策略设置

安全基线项目名称

安全基线编号

操作系统Windows审核策略安全基线要求项

SBL-Windows-02-03-01

设置审核策略，记录系统重要的事件日志，设备应配置日志功能，对安全基线项说明 用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。

进入“控制面板->管理工具->本地安全策略”，查看并记录“审核策略”检测操作步骤

的当前设置。

基线符合性判定依据

开始->运行-> 执行“控制面板->管理工具->本地安全策略->审核策略”：查看是否设置正确。

参考配置操作：

开始->运行-> 执行“控制面板->管理工具->本地安全策略->审核策略”

审核登录事件，双击，设置为成功和失败都审核。

“审核策略更改”设置为“成功”和“失败”都要审核

“审核对象访问”设置为“成功”和“失败”都要审核

加固方法

“审核目录服务器访问”设置为“成功”和“失败”都要审核

“审核特权使用”设置为“成功”和“失败”都要审核

“审核系统事件”设置为“成功”和“失败”都要审核

“审核账户管理”设置为“成功”和“失败”都要审核

“审核过程追踪”设置为“失败”需要审核

共14页 第6页

重要等级

备注

★★★

1.3.2 日志文件大小设置

安全基线项目名称

安全基线编号

安全基线项说明

8192KB，设置当达到最大的日志尺寸时，按需要改写事件。

进入“控制面板->管理工具->事件查看器”，查看并记录“应用日志”、检测操作步骤

“系统日志”、“安全日志”的当前设置。

基线符合性判定依据

查看各项日志属性中日志大小是否设置为不小于“8192KB” ,是否设置当达到最大的日志尺寸时，“按需要改写事件”。

参考配置操作：

进入“控制面板->管理工具->事件查看器”，在“事件查看器（本地）”中：

“应用日志”属性中的日志大小设置不小于“8192KB” ,设置当达到加固方法 最大的日志尺寸时，“按需要改写事件”

“系统日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”

“安全日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”

重要等级

备注

★

操作系统Windows日志文件大小安全基线要求项

SBL-Windows-02-03-02

优化系统日志记录，防止日志溢出。设置应用日志文件大小至少为1.4. 入侵防范

1.4.1 系统补丁安装

安全基线项目名称 操作系统Windows系统补丁安全基线要求项

共14页 第7页

安全基线编号

安全基线项说明

SBL-Windows-02-04-02

修复系统漏洞，应安装最新的Service Pack补丁集，对服务器系统应先进行兼容性测试。

控制面板->添加或删除程序->显示更新打钩，查看并记录当前系统安检测操作步骤

装的补丁。

进入控制面板->添加或删除程序->显示更新打钩，查看是否XP系统已基线符合性判定依据

安装SP3，Win2000系统已安装SP4，Win2003系统已安装SP2。同时检查所有的hotfix，并查看系统安装的最后一个补丁的发布日期是否与最近最新发布的补丁日期一致。

参考配置操作：

安装最新的Service Pack补丁集，以及最新的Hotfix补丁。目前Windows

加固方法

XP的Service Pack为SP3、Windows2000的Service Pack为SP4、Windows 2003的Service Pack为SP2。

重要等级

备注

★★★

1.4.2 关闭多余服务

安全基线项目名称

安全基线编号

安全基线项说明

括所需的系统服务)，不在此列表的服务需关闭。

检测操作步骤

基线符合性判定依表的服务需关闭。进入“控制面板->管理工具->计算机管理”，进入“服据

务和应用程序”：查看所有服务，不在此列表的服务是否已关闭。

参考配置操作：

进入“控制面板->管理工具->计算机管理”，进入“服务和应用程序”：

加固方法

查看所有服务，不在此列表的服务需关闭。

服务 启动共14页 第8页

操作系统Windows关闭多余服务安全基线要求项

SBL-Windows-02-04-04

关闭系统不必要的服务，提高系统安全性。列出所需要服务的列表(包运行命令net start 查看当前运行的服务。

系统管理员应出具系统所必要的服务列表。查看所有服务，不在此列包括在成员服务器基准策略中的理

类型

COM+事件服务

DHCP客户端

分布式链接跟踪客户端

DNS客户端

事件日志

自动

自动

手动

自动

自动

由

允许组件服务的管理

更新动态DNS中的记录所需

用来维护NTFS卷上的链接

允许解析DNS名称

允许在事件日志中查看事件日志消息

逻辑磁盘管理器 自动 需要它来确保动态磁盘信息保持最新

逻辑磁盘管理器管理服务

Netlogon

网络连接

性能日志和警报

手动 需要它以执行磁盘管理

自动

手动

手动

加入域时所需

网络通讯所需

收集计算机的性能数据，向日志中写入或触发警报

即插即用 自动 Windows标识和使用系统硬件时所需

受保护的存储区 自动 需要用它保护敏感数据，如私钥

Windows中的内部过程所需

hfnetchk实用工具所需（参见附注）

存储本地安全帐户的帐户信息

hfnetchk实用工具所需（参见附注）

在事件日志中记录条目所需

在组策略中进行软件分发所需（可用来分发修补程序）

远程过程调用(RPC) 自动

远程注册服务

安全帐户管理器

服务器

系统事件通知

TCP/IP

自动

自动

自动

自动

NetBIOS 自动

Helper 服务

Windows管理规范驱动程序

Windows时间服务 自动

手动 使用“性能日志和警报”实现性能警报时所需

需要它来保证Kerberos身份验证有共14页 第9页

一致的功能

工作站 自动 加入域时所需

重要等级 ★★★

应用系统或程序可能对特定的系统服务有依赖关系，可能由于管理员备注 对应用系统或程序使用的系统服务不了解，影响应用系统或程序的正常运行。

1.4.3 关闭多余启动项

安全基线项目名称

安全基线编号

安全基线项说明

检测操作步骤

基线符合性判定依不需要的自动加载进程是否已禁用和取消。

据

参考配置操作：

加固方法

“开始->运行->MSconfig”启动菜单中，取消不必要的启动项。

重要等级

备注

★★★

操作系统Windows多余启动项安全基线要求项

SBL-Windows-02-04-05

关闭多余的服务，提高系统性能，增加系统安全性。

查看记录“开始->运行->MSconfig”启动菜单中各项配置参数。

1.5. 恶意代码防范

1.5.1 开启系统防火墙

安全基线项目名称

安全基线编号

操作系统Windows系统防火墙安全基线要求项

SBL-Windows-02-05-01

启用Windows XP和Windows 2003自带防火墙，过滤不必要的端口，安全基线项说明 提高系统安全性。根据业务需要限定允许访问网络的应用程序和允许远程登陆该设备的IP地址范围。

检测操作步骤 进入“控制面板－>网络连接－>本地连接”，在高级选项的属性中查看共14页 第10页

Windows防火墙的状态，并记录详细情况。

进入“控制面板－>网络连接－>本地连接”，在高级选项的设置中，查基线符合性判定依据

看是否启用Windows防火墙。

查看是否在“例外”中配置允许业务所需的程序接入网络。

查看是否在“例外->编辑->更改范围”编辑允许接入的网络地址范围。

参考配置操作：

系统管理员出示业务所需端口列表。根据列表只开放系统与业务所需端口。

加固方法 进入“控制面板－>网络连接－>本地连接”，在高级选项的设置中：启用Windows防火墙。

在“例外”中配置允许业务所需的程序接入网络。

在“例外->编辑->更改范围”编辑允许接入的网络地址范围。。

重要等级

备注

★

1.5.2 安装、更新杀毒软件

安全基线项目名称

安全基线编号

安全基线项说明

检测操作步骤

日期。

基线符合性判定依据

加固方法

安装防病毒软件，并将病毒库更新到最新的版本。

重要等级

备注

★

查看是否安装有防病毒软件。同时打开防病毒软件控制面板，查看病毒码更新日期。

参考配置操作：

操作系统Windows杀毒软件安全基线要求项

SBL-Windows-02-05-02

安装防病毒软件，并及时更新，提高系统防病毒能力。

查看是否安装杀毒软件；打开防病毒软件控制面板，查看病毒码更新1.6. 资源控制

共14页 第11页

1.6.1 启用TCP/IP筛选

安全基线项目名称

安全基线编号

操作系统Windows TCP/IP筛选安全基线要求项

SBL-Windows-02-06-03

过滤不必要的端口，提高系统安全性，对没有自带防火墙的Windows安全基线项说明 系统，启用Windows系统的IP安全机制(IPSec)或网络连接上的TCP/IP筛选，只开放业务所需要的TCP，UDP端口和IP协议。

进入“控制面板－>网络连接－>本地连接”，进入“Internet协议检测操作步骤 （TCP/IP）属性－>高级TCP/IP设置”，在“选项”的属性中查看“网络连接上的TCP/IP筛选”的状态，并记录。

基线符合性判定依据

系统管理员出示业务所需端口列表。根据列表只开放系统与业务所需端口。

参考配置操作：

系统管理员出示业务所需端口列表。根据列表只开放系统与业务所需端口。

进入“控制面板－>网络连接－>本地连接”，进入“Internet协议（TCP/IP）属性－>高级TCP/IP设置”，在“选项”的属性中启用网络加固方法

连接上的TCP/IP筛选，查看是否只开放业务所需要的TCP，UDP端口和IP协议。

利用Netstat –an命令查看当前系统开放端口是否与系统管理员所出示的业务所需端口列表相对应；如发现存在与业务和应用无关的端口，则查明后在TPC/IP筛选配置中将其过滤掉。

重要等级 ★

应用系统或程序可能对特定的系统端口有依赖关系，可能由于管理员备注 对应用系统或程序使用的系统开放端口不了解，影响应用系统或程序的正常运行。

1.6.2 屏幕保护程序

安全基线项目名称 操作系统Windows屏保安全基线要求项

共14页 第12页

安全基线编号

安全基线项说明

SBL-Windows-02-06-04

启用屏幕保护程序，防止管理员忘记锁定机器被非法攻击；设置带密码的屏幕保护，并将时间设定为5分钟。

1、进入“控制面板－>显示－>屏幕保护程序”：

检测操作步骤

2、查看是否启用屏幕保护程序 并记录当前的设置。

基线符合性判定依据

查看是否启用屏幕保护程序，设置等待时间为“5分钟”，启用“在恢复时使用密码保护”。

参考配置操作：

进入“控制面板－>显示－>屏幕保护程序”：

加固方法

启用屏幕保护程序，设置等待时间为“5分钟”，启用“在恢复时使用密码保护”。

重要等级

备注

★★★

1.6.3 设置Microsoft网络服务器挂起时间

安全基线项目名称

安全基线编号

操作系统Windows网络服务器挂起时间安全基线要求项

SBL-Windows-02-06-05

设置Microsoft网络服务器挂起时间，防止管理员忘记锁定机器被非法安全基线项说明 利用；对于远程登陆的帐号，设置不活动断连时间15分钟 问题影响管理员忘记。

进入“控制面板->管理工具->本地安全策略”，在“本地策略->安全选检测操作步骤 项”：查看是否“Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟。

基线符合性判定依据

查看是否“Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟。。

参考配置操作：

进入“控制面板->管理工具->本地安全策略”，在“本地策略->安全选加固方法

项”：将“Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟。

共14页 第13页

重要等级

备注

★★★

1.7. 其他安全要求

1.7.1 关闭Windows自动播放功能

安全基线项目名称

安全基线编号

安全基线项说明

检测操作步骤

配置→管理模板→系统，查看各驱动器 “关闭自动播放”状态。

基线符合性判定依查看“关闭自动播放”配置是否已启用，启用范围：所有驱动器。

据

参考配置操作：

点击开始→运行→输入，打开组策略编辑器，浏览到计算机加固方法

配置→管理模板→系统，在右边窗格中双击“关闭自动播放”，对话框中选择所有驱动器，确定即可。

重要等级

备注

★★★

操作系统Windows自动播放功能安全基线要求项

SBL-Windows-02-07-04

关闭Windows自动播放，防止从移动设备感染病毒。

点击开始→运行→输入，打开组策略编辑器，浏览到计算机共14页 第14页

本文标签： 系统设置基线查看