湖北移动Windows操作系统安全配置规范

湖北移动Windows操作系统安全配置 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 湖北移动WINDOWS操作系统 安全配置规范 版本号:,.0.0 中国移动通信集团湖北有限公司 2008.6 湖北移动windows操作系统安全配置规范 目录 1 概述 ............................................................................................................................................................................................ 1 1.1 适用范围 .......................................................................................................................................................................... 1 1.2 内部适用性说明............................................................................................................................................................. 1 1.3 外部引用说明 ................................................................................................................................................................. 1 1.4 术语和定义 ..................................................................................................................................................................... 1 1.5 符号和缩略语 ................................................................................................................................................................. 1 2 WINDOWS设备安全配置要求 ......................................................................................................................................... 2 2.1 WINDOWS设备安全基本配置要求 ........................................................................................................................ 2 2.2 WINDOWS设备安全可选配置要求 ...................................................................................................................... 14 湖北移动Windows操作系统安全配置规范 1 概述 1.1 适用范围 本规范所指的设备为Windows系统设备。本规范明确了运行Windows操作系统的设备在安全配置方面的基本要求。在未特别说明的情况下，均适用于所有运行的Windows操作系统，包括Windows 2000、Windows XP、Windows2003以及各版本中的Sever、Professional版本。 1.2 内部适用性说明 本规范是在《中国移动设备通用设备安全功能和配置规范》(以下简称《通用规范》)各项设备配置要求的基础上，提出的操作系统安全配置要求。 本规范还针对《通用规范》中所列的配置要求，给出了在主机上的具体配置 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 和检测方法。 具体系统的WINDOWS主机设备的安全配置应包括全部基本配置要求，并依实际情况，选择部分可选要求。 1.3 外部引用说明 《中国移动通用安全功能和配置规范》 《中国移动Windows操作系统安全配置规范》 1.4 术语和定义 1.5 符号和缩略语 缩写 英文描述 中文描述 湖北移动网络部 1 第 1 页 共 25 页 湖北移动Windows操作系统安全配置规范 缩写 英文描述 中文描述 2 WINDOWS设备安全配置要求 本规范从Windows系统设备的认证授权功能、安全日志功能以及IP网络安全功能，和其他自身安全配置功能四个方面提出安全要求，共25个基本配置要求，14个可选配置要求。 2.1 WINDOWS设备安全基本配置要求 编号:安全要求-设备- WINDOWS-配置-1 按照用户分配账号。根据系统的要求，设定不同的账户和账户组，要求内容 管理员用户，数据库用户，审计用户，来宾用户等。 1、参考配置操作 操作指南 进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用 户和组”: 根据系统的要求，设定不同的账户和账户组，管理员用户，数据库 用户，审计用户，来宾用户。 1、 判定条件 检测方法 结合要求和实际业务情况判断符合要求，根据系统的要求，设定不 同的账户和账户组，管理员用户，数据库用户，审计用户，来宾用 户。 2、检测操作 进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用 户和组”: 查看根据系统的要求，设定不同的账户和账户组，管理员用户，数 湖北移动网络部 2 第 2 页 共 25 页 湖北移动Windows操作系统安全配置规范 据库用户，审计用户，来宾用户。 编号:安全要求-设备-WINDOWS-配置-2 最短密码长度 6个字符，启用本机组策略中密码必须符合复杂性要要求内容 求的策略。即密码至少包含以下四种类别的字符中的三种: , 英语 关于好奇心的名言警句英语高中英语词汇下载高中英语词汇 下载英语衡水体下载小学英语关于形容词和副词的题 大写字母 A, B, C, … Z , 英语小写字母 a, b, c, … z , 西方阿拉伯数字 0, 1, 2, … 9 非字母数字字符，如标点符号，@, #, $, %, &, *等 1、参考配置操作 操作指南 进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”: “密码必须符合复杂性要求”选择“已启动” 1、判定条件 检测方法 “密码必须符合复杂性要求”选择“已启动” 2、检测操作 进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”: 查看是否“密码必须符合复杂性要求”选择“已启动” 编号:安全要求-设备-WINDOWS-配置-3 对于采用静态口令认证技术的设备，账户口令的生存期不长于90要求内容 天。 1、参考配置操作 操作指南 进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”: “密码最长存留期”设置为“90天” 1、判定条件 检测方法 “密码最长存留期”设置为“90天” 湖北移动网络部 3 第 3 页 共 25 页 湖北移动Windows操作系统安全配置规范 2、检测操作 进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”: 查看是否“密码最长存留期”设置为“90天” 编号:安全要求-设备-WINDOWS-配置-4 对于采用静态口令认证技术的设备，应配置当用户连续认证失败次要求内容 数超过6次(不含6次)，锁定该用户使用的账号。 1、参考配置操作 操作指南 进入“控制面板->管理工具->本地安全策略”，在“帐户策略->帐户锁定策略”: “账户锁定阀值”设置为 6次 1、判定条件 检测方法 “账户锁定阀值”设置为小于或等于 6次 2、检测操作 进入“控制面板->管理工具->本地安全策略”，在“帐户策略->帐户锁定策略”: 查看是否“账户锁定阀值”设置为小于等于 6次 编号:安全要求-设备-WINDOWS-配置-5 在本地安全设置中从远端系统强制关机只指派给Administrators要求内容 组。 1、参考配置操作 操作指南 进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”: “从远端系统强制关机”设置为“只指派给Administrators组” 1、判定条件 检测方法 “从远端系统强制关机”设置为“只指派给Administrtors组” 2、检测操作 湖北移动网络部 4 第 4 页 共 25 页 湖北移动Windows操作系统安全配置规范 进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”: 查看是否“从远端系统强制关机”设置为“只指派给Administrators组” 编号:安全要求-设备-WINDOWS-配置-6 在本地安全设置中关闭系统仅指派给Administrators组。 要求内容 1、参考配置操作 操作指南 进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”: “关闭系统”设置为“只指派给Administrators组” 1、判定条件 检测方法 “关闭系统”设置为“只指派给Administrators组” 2、检测操作 进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”: 查看“关闭系统”设置为“只指派给Administrators组” 编号:安全要求-设备-WINDOWS-配置-7 在本地安全设置中取得文件或其它对象的所有权仅指派给要求内容 Administrators。 1、参考配置操作 操作指南 进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”: “取得文件或其它对象的所有权”设置为“只指派给Administrators组” 1、判定条件 检测方法 “取得文件或其它对象的所有权”设置为“只指派给Administrators组” 湖北移动网络部 5 第 5 页 共 25 页 湖北移动Windows操作系统安全配置规范 2、检测操作 进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”: 查看是否“取得文件或其它对象的所有权”设置为“只指派给Administrators组” 编号:安全要求-设备-WINDOWS-配置-8 在本地安全设置中配置指定授权用户允许本地登陆此计算机。 要求内容 1、参考配置操作 操作指南 进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派” “从本地登陆此计算机”设置为“指定授权用户” 1、判定条件 检测方法 “从本地登陆此计算机”设置为“指定授权用户” 2、检测操作 进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派” 查看是否“从本地登陆此计算机”设置为“指定授权用户” 编号:安全要求-设备-WINDOWS-配置-9 在组策略中只允许授权帐号从网络访问(包括网络共享等，但不包要求内容 括终端服务)此计算机。 1、参考配置操作 操作指南 进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派” “从网络访问此计算机”设置为“指定授权用户” 1、判定条件 检测方法 “从网络访问此计算机”设置为“指定授权用户” 2、检测操作 湖北移动网络部 6 第 6 页 共 25 页 湖北移动Windows操作系统安全配置规范 进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派” 查看是否“从网络访问此计算机”设置为“指定授权用户” 编号:安全要求-设备-WINDOWS-配置-10 设备应配置日志功能，对用户登录进行记录，记录内容包括用户登要求内容 录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。 1、参考配置操作 操作指南 开始->运行-> 执行“ 控制面板->管理工具->本地安全策略->审核策略” 审核登录事件，双击，设置为成功和失败都审核。 1、判定条件 检测方法 审核登录事件，设置为成功和失败都审核。 2、检测操作 开始->运行-> 执行“ 控制面板->管理工具->本地安全策略->审核策略” 审核登录事件，双击，查看是否设置为成功和失败都审核。 编号:安全要求-设备-WINDOWS-配置-11 启用组策略中对Windows系统的审核策略更改，成功和失败都要要求内容 审核。 1、参考配置操作 操作指南 进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中 “审核策略更改”设置为“成功” 和“失败”都要审核 1、判定条件 检测方法 “审核策略更改”设置为“成功” 和“失败”都要审核 2、检测操作 湖北移动网络部 7 第 7 页 共 25 页 湖北移动Windows操作系统安全配置规范 进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中 查看是否“审核策略更改”设置为“成功” 和“失败”都要审核 编号:安全要求-设备-WINDOWS-配置-12 启用组策略中对Windows系统的审核对象访问，成功和失败都要要求内容 审核。 1、参考配置操作 操作指南 进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中: “审核对象访问”设置为“成功”和“失败”都要审核 1、判定条件 检测方法 “审核对象访问”设置为“成功”和“失败”都要审核 2、检测操作 进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中: 查看是否“审核对象访问”设置为“成功”和“失败”都要审核 编号:安全要求-设备-WINDOWS-配置-13 启用组策略中对Windows系统的审核目录服务访问，失败。 要求内容 1、参考配置操作 操作指南 进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中: “审核目录服务器访问”设置为“成功” 和“失败”都要审核 1、判定条件 检测方法 “审核目录服务器访问”设置为“成功” 和“失败”都要审核 2、检测操作 进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中: 湖北移动网络部 8 第 8 页 共 25 页 湖北移动Windows操作系统安全配置规范 查看是否“审核目录服务器访问”设置为“成功” 和“失败”都要审核 编号:安全要求-设备-WINDOWS-配置-14 启用组策略中对Windows系统的审核特权使用，成功和失败都要要求内容 审核。 1、参考配置操作 操作指南 进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中: “审核特权使用”设置为“成功” 和“失败”都要审核 1、判定条件 检测方法 “审核目录服务器访问”设置为“成功” 和“失败”都要审核 2、检测操作 进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中: 查看是否“审核目录服务器访问”设置为“成功” 和“失败”都要审核 编号:安全要求-设备-WINDOWS-配置-15 启用组策略中对Windows系统的审核系统事件，成功和失败都要要求内容 审核。 1、参考配置操作 操作指南 进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中: “审核系统事件”设置为“成功” 和“失败”都要审核 1、判定条件 检测方法 “审核系统事件”设置为“成功” 和“失败”都要审核 2、检测操作 进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核 湖北移动网络部 9 第 9 页 共 25 页 湖北移动Windows操作系统安全配置规范 策略”中: 查看是否“审核系统事件”设置为“成功” 和“失败”都要审核 编号:安全要求-设备-WINDOWS-配置-16 启用组策略中对Windows系统的审核帐户管理，成功和失败都要要求内容 审核。 1、参考配置操作 操作指南 进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中: “审核账户管理”设置为“成功” 和“失败”都要审核 1、判定条件 检测方法 “审核账户管理”设置为“成功” 和“失败”都要审核 2、检测操作 进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中: 查看是否“审核账户管理”设置为“成功” 和“失败”都要审核 编号:安全要求-设备-WINDOWS-配置-17 启用组策略中对Windows系统的审核过程追踪，失败。 要求内容 1、参考配置操作 操作指南 进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中: “审核过程追踪”设置为 “失败”需要审核 1、判定条件 检测方法 “审核过程追踪”设置为 “失败”需要审核 2、检测操作 进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中: 查看是否“审核过程追踪”设置为 “失败”需要审核 湖北移动网络部 10 第 10 页 共 25 页 湖北移动Windows操作系统安全配置规范 编号:安全要求-设备-WINDOWS-配置-18 设置带密码的屏幕保护，并将时间设定为5分钟。 要求内容 1、参考配置操作 操作指南 进入“控制面板,>显示,>屏幕保护程序”: 启用屏幕保护程序，设置等待时间为“5分钟”，启用“在恢复时使用密码保护” 1、判定条件 检测方法 启用屏幕保护程序，设置等待时间为“5分钟”，启用“在恢复时使用密码保护”。 2、检测操作 进入“控制面板,>显示,>屏幕保护程序”: 查看是否启用屏幕保护程序，设置等待时间为“5分钟”，启用“在恢复时使用密码保护” 编号:安全要求-设备-WINDOWS-配置-19 对于远程登陆的帐号，设置不活动断连时间15分钟。 要求内容 1、参考配置操作 操作指南 进入“控制面板->管理工具->本地安全策略”，在“本地策略->安全选项”: “Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟 1、判定条件 检测方法 “Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟。 2、检测操作 进入“控制面板->管理工具->本地安全策略”，在“本地策略->安全选项”: 查看是否“Microsoft网络服务器”设置为“在挂起会话之前所需 湖北移动网络部 11 第 11 页 共 25 页 湖北移动Windows操作系统安全配置规范 的空闲时间”为15分钟 编号:安全要求-设备-WINDOWS-配置-20 查看每个共享文件夹的共享权限，只允许授权的账户拥有权限共享要求内容 此文件夹。 1、参考配置操作 操作指南 进入“控制面板->管理工具->计算机管理”，进入“系统工具,>共享文件夹”: 查看每个共享文件夹的共享权限，只将权限授权于指定账户。 1、判定条件 检测方法 查看每个共享文件夹的共享权限仅限于业务需要，不设置成为“everyone”。 2、检测操作 进入“控制面板->管理工具->计算机管理”，进入“系统工具,>共享文件夹”: 查看每个共享文件夹的共享权限。 编号:安全要求-设备-WINDOWS-配置-21 应安装最新的Service Pack补丁集。对服务器系统应先进行兼容性要求内容 测试。 1、参考配置操作 操作指南 安装最新的Service Pack补丁集，目前Windows XP的Service Pack 为SP2。 Windows2000的Service Pack为SP4,Windows 2003的Servoce Pack 为SP1 1、判定条件 检测方法 显示XP系统已安装SP2，Win2000系统已安装SP4。 2、检测操作 控制面板->添加或删除程序->显示更新打钩，查看是否XP 湖北移动网络部 12 第 12 页 共 25 页 湖北移动Windows操作系统安全配置规范 系统已安装SP2，Win2000系统已安装SP4。 编号:安全要求-设备-WINDOWS-配置-22 安装防病毒软件，并及时更新。 要求内容 1、参考配置操作 操作指南 安装防病毒软件，并及时更新。 1、判定条件 检测方法 已安装放病毒软件，病毒码更新时间不早于1个月，各系统病毒码升级时间要求参见各系统相关规定。 2、检测操作 控制面板->添加或删除程序，是否安装有防病毒软件。打开防病毒软件控制面板，查看病毒码更新日期。 编号:安全要求-设备-WINDOWS-配置-23 列出所需要服务的列表(包括所需的系统服务)，不在此列表的服务要求内容 需关闭。 1、参考配置操作 操作指南 进入“控制面板->管理工具->计算机管理”，进入“服务和应用程序”: 查看所有服务，不在此列表的服务需关闭。 1、判定条件 检测方法 系统管理员应出具系统所必要的服务列表。 查看所有服务，不在此列表的服务需关闭。 2、检测操作 进入“控制面板->管理工具->计算机管理”，进入“服务和应用程序”: 查看所有服务，不在此列表的服务是否已关闭。 编号:安全要求-设备-WINDOWS-配置-24 湖北移动网络部 13 第 13 页 共 25 页 湖北移动Windows操作系统安全配置规范 列出系统启动时自动加载的进程和服务列表，不在此列表的需关要求内容 闭。 1、参考配置操作 操作指南 “开始->运行->MSconfig”启动菜单中，取消不必要的启动项。 1、判定条件 检测方法 不需要的自动加载进程通过“开始->运行->MSconfig”启动菜单中取消。 2、检测操作 系统管理员提供业务必须的自动加载进程和服务列表文档。 查看 “开始->运行->MSconfig”启动菜单。 编号:安全要求-设备-WINDOWS-配置-25 关闭Windows自动播放功能 要求内容 1、参考配置操作 操作指南 点击开始?运行?输入gpedit.msc，打开组策略编辑器，浏览到计算机配置?管理模板?系统，在右边窗格中双击“关闭自动播放”，对话框中选择所有驱动器，确定即可。 1、判定条件 检测方法 所有驱动器均“关闭自动播放” 2、检测操作 “关闭自动播放”配置已启用，启用范围:所有驱动器。 2.2 WINDOWS设备安全可选配置要求 编号:安全要求-设备-WINDOWS-配置-26-可选 删除或锁定与设备运行、维护等与工作无关的账号。 要求内容 1、参考配置操作 操作指南 进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”: 湖北移动网络部 14 第 14 页 共 25 页 湖北移动Windows操作系统安全配置规范 删除或锁定与设备运行、维护等与工作无关的账号。 1、判定条件 检测方法 结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的账号。 2、检测操作 进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”: 查看是否删除或锁定与设备运行、维护等与工作无关的账号。 编号:安全要求-设备-WINDOWS-配置-27-可选 对于管理员帐号，要求更改缺省帐户名称;禁用guest(来宾)帐要求内容 号。 1、参考配置操作 操作指南 进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”: Administrator,>属性,> 更改名称 Guest帐号->属性,> 已停用 1、判定条件 检测方法 缺省账户Administrator名称已更改。 Guest帐号已停用。 2、检测操作 进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”: 缺省帐户,>属性,> 更改名称 Guest帐号->属性,> 已停用 编号:安全要求-设备-WINDOWS-配置-28-可选 对于采用静态口令认证技术的设备，应配置设备，使用户不能重复要求内容 使用最近5次(含5次)内已使用的口令。 湖北移动网络部 15 第 15 页 共 25 页 湖北移动Windows操作系统安全配置规范 1、参考配置操作 操作指南 进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”: “强制密码历史”设置为“记住5个密码” 1、判定条件 检测方法 “强制密码历史”设置为“记住5个密码” 2、检测操作 进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”: 查看是否“强制密码历史”设置为“记住5个密码” 编号:安全要求-设备-WINDOWS-配置-29-可选 设置应用日志文件大小至少为8192KB，设置当达到最大的日志尺要求内容 寸时，按需要改写事件。 1、参考配置操作 操作指南 进入“控制面板->管理工具->事件查看器”，在“事件查看器(本地)”中: “应用日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件” 1、判定条件 检测方法 “应用日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件” 2、检测操作 进入“控制面板->管理工具->事件查看器”，在“事件查看器(本地)”中: 查看是否“应用日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件” 湖北移动网络部 16 第 16 页 共 25 页 湖北移动Windows操作系统安全配置规范 编号:安全要求-设备-WINDOWS-配置-30-可选 设置系统日志文件大小至少为8192KB，设置当达到最大的日志尺要求内容 寸时，按需要改写事件。 1、参考配置操作 操作指南 进入“控制面板->管理工具->事件查看器”，在“事件查看器(本地)”中: “系统日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件” 1、判定条件 检测方法 “系统日志”属性中的日志大小设置不小于“8192KB” , 设置当达到最大的日志尺寸时，“按需要改写事件” 2、检测操作 进入“控制面板->管理工具->事件查看器”，在“事件查看器(本地)”中: 查看是否“系统日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件” 编号:安全要求-设备-WINDOWS-配置-31-可选 设置安全日志文件大小至少为8192KB，设置当达到最大的日志尺要求内容 寸时，按需要改写事件。 1、参考配置操作 操作指南 进入“控制面板->管理工具->事件查看器”，在“事件查看器(本地)”中: “安全日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件” 1、判定条件 检测方法 “安全日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件” 2、检测操作 湖北移动网络部 17 第 17 页 共 25 页 湖北移动Windows操作系统安全配置规范 进入“控制面板->管理工具->事件查看器”，在“事件查看器(本地)”中: 查看是否“安全日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件” 编号:安全要求-设备-WINDOWS-配置-32-可选 对没有自带防火墙的Windows系统，启用Windows系统的IP安全要求内容 机制(IPSec)或网络连接上的TCP/IP筛选，只开放业务所需要的TCP，UDP端口和IP协议。 1、参考配置操作 操作指南 进入“控制面板,>网络连接,>本地连接”，进入“Internet协议(TCP/IP)属性,>高级TCP/IP设置”，在“选项”的属性中启用网络连接上的TCP/IP筛选，只开放业务所需要的TCP，UDP端口和IP协议。 1、判定条件 检测方法 系统管理员出示业务所需端口列表。 根据列表只开放系统与业务所需端口。 2、检测操作 进入“控制面板,>网络连接,>本地连接”，进入“Internet协议(TCP/IP)属性,>高级TCP/IP设置”，在“选项”的属性中启用网络连接上的TCP/IP筛选，查看是否只开放业务所需要的TCP，UDP端口和IP协议。 编号:安全要求-设备-WINDOWS-配置-33-可选 启用Windows XP和Windows 2003 自带防火墙。根据业务需要限要求内容 定允许访问网络的应用程序，和允许远程登陆该设备的IP地址范围。 1、参考配置操作 操作指南 进入“控制面板,>网络连接,>本地连接”，在高级选项的设置中 湖北移动网络部 18 第 18 页 共 25 页 湖北移动Windows操作系统安全配置规范 启用Windows防火墙。 在“例外”中配置允许业务所需的程序接入网络。 在“例外->编辑->更改范围”编辑允许接入的网络地址范围。 1、判定条件 检测方法 启用Windows防火墙。 “例外”中允许接入网络的程序均为业务所需。 2、检测操作 进入“控制面板,>网络连接,>本地连接”，在高级选项的设置中，查看是否启用Windows防火墙。 查看是否在“例外”中配置允许业务所需的程序接入网络。 查看是否在“例外->编辑->更改范围”编辑允许接入的网络地址范围。 编号:安全要求-设备-WINDOWS-配置-34-可选 启用SYN攻击保护;指定触发SYN洪水攻击保护所必须超过的要求内容 TCP连接请求数阀值为5;指定处于 SYN_RCVD 状态的 TCP 连接数的阈值为500;指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值为400。 1、参考配置操作 操作指南 在“开始->运行->键入regedit” 启用 SYN 攻击保护的命名值位于注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 之下。值名称:SynAttackProtect。推荐值:2。 以下部分中的所有项和值均位于注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 之下。 指定必须在触发 SYN flood 保护之前超过的 TCP 连接请求阈值。值名称:TcpMaxPortsExhausted。推荐值:5。 启用 SynAttackProtect 后，该值指定 SYN_RCVD 状态中的 TCP 连接阈值，超过 SynAttackProtect 时，触发 SYN flood 保护。值 湖北移动网络部 19 第 19 页 共 25 页 湖北移动Windows操作系统安全配置规范 名称:TcpMaxHalfOpen。推荐值数据:500。 启用 SynAttackProtect 后，指定至少发送了一次重传的 SYN_RCVD 状态中的 TCP 连接阈值。超过 SynAttackProtect 时，触发 SYN flood 保护。值名称:TcpMaxHalfOpenRetried。推荐值数据:400。 1、判定条件 检测方法 各注册表键值均按要求设置。 2、检测操作 在“开始->运行->键入regedit” 启用 SYN 攻击保护的命名值位于注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 之下。值名称:SynAttackProtect。推荐值:2。 以下部分中的所有项和值均位于注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 之下。 指定必须在触发 SYN flood 保护之前超过的 TCP 连接请求阈值。值名称:TcpMaxPortsExhausted。推荐值:5。 启用 SynAttackProtect 后，该值指定 SYN_RCVD 状态中的 TCP 连接阈值，超过 SynAttackProtect 时，触发 SYN flood 保护。值名称:TcpMaxHalfOpen。推荐值数据:500。 启用 SynAttackProtect 后，指定至少发送了一次重传的 SYN_RCVD 状态中的 TCP 连接阈值。超过 SynAttackProtect 时，触发 SYN flood 保护。值名称:TcpMaxHalfOpenRetried。推荐值数据:400。 编号:安全要求-设备-WINDOWS-配置-35-可选 非域环境中，关闭Windows硬盘默认共享，例如C$，D$。 要求内容 1、 参考配置操作 操作指南 进入“开始,>运行,>Regedit”，进入注册表编辑器，更改注册表键值:在HKLM\System\CurrentControlSet\ 湖北移动网络部 20 第 20 页 共 25 页 湖北移动Windows操作系统安全配置规范 Services\LanmanServer\Parameters\下，增加REG_DWORD类型的AutoShareServer 键，值为 0。 1、判定条件 检测方法 HKLM\System\CurrentControlSet\ Services\LanmanServer\Parameters\增加了REG_DWORD类型的AutoShareServer 键，值为 0。 2、检测操作 进入“开始,>运行,>Regedit”，进入注册表编辑器，更改注册表键值:在HKLM\System\CurrentControlSet\ Services\LanmanServer\Parameters\下，增加REG_DWORD类型的AutoShareServer 键，值为 0。 编号:安全要求-设备-WINDOWS-配置-36-可选 应安装最新的Hotfix补丁。对服务器系统应先进行兼容性测试。 要求内容 1、参考配置操作 操作指南 安装最新的Hotfix补丁。对服务器系统应先进行兼容性测试。 1、判定条件 检测方法 已安装最新的Hotfix补丁，并经过兼容性测试。 2、检测操作 控制面板->添加或删除程序->显示更新打钩，查看最近安装的Hotfix补丁是否为微软最新发布。 编号:安全要求-设备-WINDOWS-配置-37-可选 对于Windows XP SP2及Windows 2003对Windows操作系统程序要求内容 和服务启用系统自带DEP功能(数据执行保护)，防止在受保护内存位置运行有害代码。 1、参考配置操作 操作指南 进入“控制面板,>系统”，在“高级”选项卡的 “性能”下的“设置”。进入 “数据执行保护”选项卡。设置为“ 仅为基本 Windows 湖北移动网络部 21 第 21 页 共 25 页 湖北移动Windows操作系统安全配置规范 操作系统程序和服务启用DEP”。 1、判定条件 检测方法 “数据执行保护”选项卡已设置为“ 仅为基本 Windows 操作系统程序和服务启用DEP”。 2、检测操作 进入“控制面板,>系统”，在“高级”选项卡的 “性能”下的“设置”。进入 “数据执行保护”选项卡。查看是否设置为“ 仅为基本 Windows 操作系统程序和服务启用DEP”。 编号:安全要求-设备-WINDOWS-配置-38-可选 如需启用SNMP服务，则修改默认的SNMP Community String设置。 要求内容 1、参考配置操作 操作指南 打开“控制面板”，打开“管理工具”中的“服务”，找到“SNMP Service”，单击右键打开“属性”面板中的“安全”选项卡，在这个配置界面中，可以修改community strings，也就是微软所说的“团体名称”。 1、判定条件 检测方法 community strings已改，不是默认的“public” 2、检测操作 打开“控制面板”，打开“管理工具”中的“服务”，找到“SNMP Service”，单击右键打开“属性”面板中的“安全”选项卡，在这个配置界面中，查看community strings，也就是微软所说的“团体名称”。 编号:安全要求-设备-WINDOWS-配置-39-可选 如需启用IIS服务，则将IIS升级到最新补丁。 要求内容 1、参考配置操作 操作指南 下载IIS补丁包 IIS4.0 湖北移动网络部 22 第 22 页 共 25 页 湖北移动Windows操作系统安全配置规范 IIS5.0 并安装，或升级到IIS6.0 1、判定条件 检测方法 已安装IIS 补丁包或升级到IIS6.0。 2、检测操作 控制面板->添加或删除程序->显示更新打钩，查看是否安装IIS补丁包。 湖北移动网络部 23 第 23 页 共 25 页