Windows操作系统安全配置规范账号口令避免账号共享项目编号NOMD-2013-SC-WINDOWS-01-01-v1配置说明应按照不同的用户分配不同的账号
避免不同用户间共享账号
避免用户账号和设备间通信使用的账号共享
配置指南1、参考配置操作进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：根据系统的要求，设定不同的账户和账户组检测方法及判定依据1、 判定条件结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的账户和账户组2、检测操作进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：查看根据系统的要求，设定不同的账户和账户组备注删除无关账号项目编号NOMD-2013-SC-WINDOWS-01-02-v1配置说明应删除与运行、维护等工作无关的账号
配置指南1、参考配置操作A）可使用用户管理工具：开始-运行-compmgmt.msc-本地用户和组-用户B）也可以通过net命令：删除账号： net user account/de1停用账号：net user account/active:no检测方法及判定依据判定条件结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的账号
注：无关的账号主要指测试帐户、共享帐号、长期不用账号（半年以上不用）等2.检测操作开始-运行-compmgmt.msc-本地用户和组-用户备注重命名Administrator；禁用guest（来宾）帐号项目编号NOMD-2013-SC-WINDOWS-01-03-v1配置说明重命名Administrator；禁用guest（来宾）帐号
配置指南1、参考配置操作进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：Administrator－>属性－> 更改名称Guest帐号->属性－> 已停用检测方法及判定依据1、判定条件缺省账户Administrator名称已更改
Guest帐号已停用
2、检测操作进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：缺省帐户－>属性－> 更改名称Guest帐号->属性－> 已停用备注口令复杂度项目编号NOMD-2013-SC-WINDOWS-01-04-v1配置说明密码长度要求：最少8位密码复杂度要求：至少包含以下四种类别的字符中的三种：英语大写字母 A, B, C, … Z英语小写字母 a, b, c, … z阿拉伯数字 0, 1, 2, … 9非字母数字字符，如标点符号，@, #, $, %, &, 等配置指南1、参考配置操作进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：“密码必须符合复杂性要求”选择“已启动”检测方法及判定依据1、判定条件“密码必须符合复杂性要求”选择“已启动”2、检测操作进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：查看是否“密码必须符合复杂性要求”选择“已启动”备注口令生存期项目编号NOMD-2013-SC-WINDOWS-01-05-v1配置说明对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天
配置指南1、参考配置操作进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：“密码最长存留期”设置为“90天”检测方法及判定依据1、判定条件“密码最长存留期”设置为“90天”2、检测操作进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：查看是否“密码最长存留期”设置为“90天”备注强制密码历史项目编号NOMD-2013-SC-WINDOWS-01-06-v1配置说明对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令
配置指南1、参考配置操作进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：“强制密码历史”设置为“记住5个密码”检测方法及判定依据1、判定条件“强制密码历史”设置为“记住5个密码”2、检测操作进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：查看是否“强制密码历史”设置为“记住5个密码”备注账户锁定阀值项目编号NOMD-2013-SC-WINDOWS-01-07-v1配置说明对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号
配置指南1、参考配置操作进入“控制面板->管理工具->本地安全策略”，在“帐户策略->帐户锁定策略”：“账户锁定阀值”设置为 6次设置解锁阀值：30分钟检测方法及判定依据1、判定条件“账户锁定阀值”设置为小于或等于 6次2、检测操作进入“控制面板->管理工具->本地安全策略”，在“帐户策略->帐户锁定策略”：查看是否“账户锁定阀值”设置为小于等于 6次补充说明：设置不当可能导致账号大面积锁定，在域环境中应小心设置，Administrator 账号本身不会被锁定
备注认证授权本地、远端系统强制关机只指派给Administrators组项目编号NOMD-2013-SC-WINDOWS-02-01-v1配置说明本地、远端系统强制关机只指派给Administrators组
配置指南1、参考配置操作进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”:“关闭系统”设置为“只指派给Administrators组”“从远端系统强制关机”设置为“只指派给Administrators组”检测方法及判定依据1、判定条件“关闭系统”设置为“只指派给Administrators组”“从远端系统强制关机”设置为“只指派给Administrtors组”2、检测操作进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”:查看“关闭系统”设置为“只指派给Administrators组”查看是否“从远端系统强制关机”设置为“只指派给Administrators组”备注取得文件或其它对象的所有权项目编号NOMD-2013-SC-WINDOWS-02-02-v1配置说明在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators
配置指南1、参考配置操作进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”：“取得文件或其它对象的所有权”设置为“只指派给Administrators组”检测方法及判定依据1、判定条件“取得文件或其它对象的所有权”设置为“只指派给Administrators组”2、检测操作进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”：查看是否“取得文件或其它对象的所有权”设置为“只指派给Administrators组”备注计算机登录/访问限制项目编号NOMD-2013-SC-WINDOWS-02-03-v1配置说明在本地安全设置中只允许授权帐号本地、远程访问登陆此计算机
配置指南1、参考配置操作进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”“从本地登陆此计算机”设置为“指定授权用户”“从网络访问此计算机”设置为“指定授权用户”检测方法及判定依据1、判定条件“从本地登陆此计算机”设置为“指定授权用户”“从网络访问此计算机”设置为“指定授权用户”2、检测操作进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”查看是否“从本地登陆此计算机”设置为“指定授权用户”查看是否“从网络访问此计算机”设置为“指定授权用户”备注补丁管理安装最新的Service Pack　补丁集项目编号NOMD-2013-SC-WINDOWS-03-01-v1配置说明在不影响业务的情况下，应安装最新的Service Pack　补丁集
对服务器系统应先进行兼容性测试
配置指南1、参考配置操作安装最新的Service Pack补丁集
例如截止到2010年最新版本：Windows XP的Service Pack为SP3
Windows2000的Service Pack为SP4,Windows 2003的ServicePack为SP2检测方法及判定依据1、判定条件2、检测操作进入控制面板->添加或删除程序->显示更新打钩，查看是否XP系统已安装SP3，Win2000系统已安装SP4，Win2003系统已安装SP2
备注防护软件启用自带防火墙或安装第三方威胁防护软件项目编号NOMD-2013-SC-WINDOWS-04-01-v1配置说明启用自带防火墙或安装第三方威胁防护软件
根据业务需要限定允许访问网络的应用程序，和允许远程登陆该设备的IP地址范围
配置指南1、参考配置操作（以启动自带防火墙为例）进入“控制面板－>网络连接－>本地连接”，在高级选项的设置中启用Windows防火墙
在“例外”中配置允许业务所需的程序接入网络
在“例外->编辑->更改范围”编辑允许接入的网络地址范围
说明：分为服务器和操作终端两种情况：服务器该项为可选，操作终端该项为必选检测方法及判定依据1、判定条件启用Windows防火墙
“例外”中允许接入网络的程序均为业务所需
2、检测操作进入“控制面板－>网络连接－>本地连接”，在高级选项的设置中，查看是否启用Windows防火墙
查看是否在“例外”中配置允许业务所需的程序接入网络
查看是否在“例外->编辑->更改范围”编辑允许接入的网络地址范围
备注防病毒软件安装防病毒软件，并及时更新项目编号NOMD-2013-SC-WINDOWS-05-01-v1配置说明安装防病毒软件，并及时更新
配置指南安装防病毒软件，并及时更新
检测方法及判定依据1、判定条件已安装防病毒软件，病毒码更新时间不早于1个月，各系统病毒码升级时间要求参见各系统相关规定
注：对于操作终端该项为必选项，对于服务器该项为可选项2、检测操作控制面板->添加或删除程序，是否安装有防病毒软件
打开防病毒软件控制面板，查看病毒码更新日期
备注日志安全要求配置日志功能项目编号NOMD-2013-SC-WINDOWS-06-01-v1配置说明设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址
配置指南1、参考配置操作开始->运行-> 执行“ 控制面板->管理工具->本地安全策略->审核策略”审核登录事件，双击，设置为成功和失败都审核
检测方法及判定依据1、判定条件审核登录事件，设置为成功和失败都审核
2、检测操作开始->运行-> 执行“ 控制面板->管理工具->本地安全策略->审核策略”审核登录事件，双击，查看是否设置为成功和失败都审核
备注开启审核策略项目编号NOMD-2013-SC-WINDOWS-06-02-v1配置说明开启审核策略，以便出现安全问题后进行追查配置指南1、参考配置操作对审核策略进行检查：开始-运行-gpedit.msc计算机配置-Windows设置-安全设置-本地策略-审核策略以下审核是必须开启的，其他的可以根据需要增加：审核系统登陆事件 成功，失败审核帐户管理 成功，失败审核登陆事件 成功，失败审核对象访问 成功审核策略更改 成功，失败审核特权使用 成功，失败审核系统事件 成功，失败2、补充说明可能会使日志量猛增检测方法及判定依据1、判定条件尝试对被添加了访问审核的对象进行访问，然后查看安全日志中是否会有相关记录，或通过其他手段激化以配置的审核策略，并观察日志中的记录情况，如果存在记录条目，则配置成功
2、检测操作备注设置日志容量和覆盖规则项目编号NOMD-2013-SC-WINDOWS-06-03-v1配置说明设置日志容量和覆盖规则，保证日志存储配置指南1、参考配置操作开始-运行-eventvwr右键选择日志，属性，根据实际需求设置：日志文件大小：可根据需要制定超过上限时的处理方式（建议日志记录天数不小于90天）补充说明建议对每个日志均进行如上操作，同时应保证磁盘空间检测方法及判定依据1、判定条件2、检测操作开始-运行-eventvwr，右键选择日志，属性，查看日志上限及超过上线时的处理方式备注windows服务关闭不必要的服务项目编号NOMD-2013-SC-WINDOWS-07-01-v1配置说明列出所需要服务的列表(包括所需的系统服务)，不在此列表的服务需关闭
重要等级高配置指南1、参考配置操作进入“控制面板->管理工具->计算机管理”，进入“服务和应用程序”：可根据具体应用情况参考附表，筛选不必要的服务
检测方法及判定依据1、判定条件系统管理员应出具系统所必要的服务列表
查看所有服务，不在此列表的服务需关闭
2、检测操作进入“控制面板->管理工具->计算机管理”，进入“服务和应用程序”：查看所有服务，不在此列表的服务是否已关闭
备注修改默认的SNMP Community String设置项目编号NOMD-2013-SC-WINDOWS-07-02-v1配置说明如需启用SNMP服务，则修改默认的SNMP Community String设置
配置指南1、参考配置操作打开“控制面板”，打开“管理工具”中的“服务”，找到“SNMP Service”，单击右键打开“属性”面板中的“安全”选项卡，在这个配置界面中，可以修改community strings，也就是微软所说的“团体名称”
检测方法及判定依据1、判定条件community strings已改，不是默认的“public”2、检测操作打开“控制面板”，打开“管理工具”中的“服务”，找到“SNMP Service”，单击右键打开“属性”面板中的“安全”选项卡，在这个配置界面中，查看community strings，也就是微软所说的“团体名称”
备注修改远程桌面默认服务端口项目编号NOMD-2013-SC-WINDOWS-07-03-v1配置说明如对互联网开放WindowsTerminial服务(Remote Desktop)，需修改默认服务端口
配置指南1、参考配置操作开始->运行 Regedt32并转到此项:　　HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp　　找到“PortNumber”子项，会看到默认值 00000D3D，它是 3389 的十六进制表示形式
使用十六进制数值修改此端口号，并保存新值
检测方法及判定依据1、判定条件找到“PortNumber”子项，设定值非00000D3D，即十进制33892、检测操作运行 Regedt32 ,找到此项并判断
备注启动项关闭无效启动项项目编号NOMD-2013-SC-WINDOWS-08-01-v1配置说明关闭无效启动项配置指南1、参考配置操作“开始->运行->MSconfig”启动菜单中，取消不必要的启动项
检测方法及判定依据1、判定条件2、检测操作系统管理员提供业务必须的自动加载进程和服务列表文档
查看“开始->运行->MSconfig”启动菜单：不需要的自动加载进程是否已禁用和取消
备注关闭自动播放功能关闭Windows自动播放功能项目编号NOMD-2013-SC-WINDOWS-09-01-v1配置说明关闭Windows自动播放功能配置指南1、参考配置操作开始→运行→gpedit.msc，打开组策略编辑器，浏览到计算机配置→管理模板→系统，在右边窗格中双击“关闭自动播放”，对话框中选择所有驱动器，确定即可
检测方法及判定依据1、判定条件所有驱动器均“关闭自动播放”2、检测操作“关闭自动播放”配置已启用，启用范围：所有驱动器
备注共享文件夹关闭windows硬盘默认共享项目编号NOMD-2013-SC-WINDOWS-10-01-v1配置说明在非域环境下，关闭Windows硬盘默认共享，例如C$，D$
配置指南1、参考配置操作进入“开始－>运行－>Regedit”，进入注册表编辑器，更改注册表键值：HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\下，增加REG_DWORD类型的AutoShareServer 键，值为 0
检测方法及判定依据1、判定条件HKLM\System\CurrentControlSet\ Services\LanmanServer\Parameters\增加了REG_DWORD类型的AutoShareServer 键，值为 0
2、检测操作进入“开始－>运行－>Regedit”，进入注册表编辑器，更改注册表键值：HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\，增加REG_DWORD类型的AutoShareServer 键，值为 0
备注设置共享文件夹的访问权限项目编号NOMD-2013-SC-WINDOWS-10-02-v1配置说明设置共享文件夹的访问权限，只允许授权的账户拥有权限共享此文件夹
配置指南1、参考配置操作进入“控制面板->管理工具->计算机管理”，进入“系统工具－>共享文件夹”：查看每个共享文件夹的共享权限，只将权限授权于指定账户
检测方法及判定依据1、判定条件查看每个共享文件夹的共享权限仅限于业务需要，不设置成为“everyone”
2、检测操作进入“控制面板->管理工具->计算机管理”，进入“系统工具－>共享文件夹”：查看每个共享文件夹的共享权限
备注使用NTFS文件系统使用NTFS文件系统项目编号NOMD-2013-SC-WINDOWS-11-01-v1配置说明在不毁坏数据的情况下，将ＦＡＴ分区改为ＮＴＦＳ格式配置指南1、参考配置操作将FAT卷转换成NTFS分区CONVERT volume /FS:NTFS[/V] [/CvtArea:filename][/NoSecurity] [/X]Volume 指定驱动器号（后面加一个冒号）、装载点或卷名/FS:NTFS 指定要被转换成NTFS的卷/V 指定CONVERT 应该用详述模式运行/CvtArea:filename 将根目录中的一个接续文件指定为NTFS系统文件的占位符/NoSecurity 指定每个人都可以访问转换的文件和目录的安全设置/X 如果必要，先强行卸载卷，有打开的句柄则无效例如：Covert C：/FS:NTFS备注：1、新上线系统必须要求NTFS分区，已上线系统在不损坏数据的情况下应用2、在有其他非WIN系统访问、存在数据共享的情况下，不建议将ＦＡＴ分区改为ＮＴＦＳ格式检测方法及判定依据1、判定条件2、检测操作备注网络访问禁用匿名访问命名管道和共享项目编号NOMD-2013-SC-WINDOWS-12-01-v1配置说明禁用匿名访问命名管道和共享配置指南1、参考配置操作“控制面板->管理工具->本地安全策略”，在“本地策略->安全选项”:网络访问：可匿名访问的共享设置为全部删除“控制面板->管理工具->本地安全策略”，在“本地策略->安全选项”:网络访问：可匿名访问的命名管道　设置为全部删除检测方法及判定依据1、判定条件全部删除匿名访问命名管道和共享检测操作查看“控制面板->管理工具->本地安全策略”，在“本地策略->安全选项”:网络访问：可匿名访问的共享、可匿名访问的命名管道是否设置为全部删除备注禁用可远程访问的注册表路径和子路径项目编号NOMD-2013-SC-WINDOWS-12-02-v1配置说明系统日志文件由syslog创立并且不可被其他用户修改；其它的系统日志文件不是全局可写配置指南1、参考配置操作“控制面板->管理工具->本地安全策略”，在“本地策略->安全选项”:网络访问：可远程访问的注册表路径　设置为全部删除“控制面板->管理工具->本地安全策略”，在“本地策略->安全选项”:网络访问：可远程访问的注册表路径和子路径 设置为全部删除检测方法及判定依据1、判定条件全部删除可远程访问的注册表路径和子路径检测操作查看“控制面板->管理工具->本地安全策略”，在“本地策略->安全选项”:网络访问中，查看，可远程访问的注册表路径、可远程访问的注册表路径和子路径是否设置为全部删除备注会话超时设置对于远程登录的账户，设置不活动所连接时间15分钟项目编号NOMD-2013-SC-WINDOWS-13-01-v1配置说明对于远程登录的账户，设置不活动所连接时间15分钟配置指南1、参考配置操作进入“控制面板—管理工具—本地安全策略”，在“安全策略—安全选项”：“Microsoft 网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟检测方法及判定依据1、判定条件“Microsoft 网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟2、检测操作进入“控制面板—管理工具—本地安全策略”，在“安全策略—安全选项”：查看“Microsoft 网络服务器”设置备注注册表设置注册表信息进行更新项目编号NOMD-2013-SC-WINDOWS-14-01-v1配置说明在不影响系统稳定运行的前提下，对注册表信息进行更新
配置指南1、参考配置操作自动登录：HKLM\Software\Microsoft\WindowsNT\ CurrentVersion\Winlogon\AutoAdminLogon (REG_DWORD) 0源路由欺骗保护：HKLM\System\CurrentControlSet\ Services\Tcpip\Parameters\DisableIPSourceRouting (REG_DWORD) 2删除匿名用户空链接HKEY_LOCAL_MACHINE SYSTEM\Current\Control\Set\Control\Lsa将restrictanonymous 的值设置为1，若该值不存在，可以自己创建，类型为REG_DWORD修改完成后重新启动系统生效碎片攻击保护：HKLM\System\CurrentControlSet\ Services\Tcpip\Parameters\EnablePMTUDiscovery (REG_DWORD) 1Syn flood 攻击保护：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 之下，可设置：TcpMaxPortsExhausted
推荐值：5
TcpMaxHalfOpen
推荐值数据：500
TcpMaxHalfOpenRetried
推荐值数据：400检测方法及判定依据1、判定条件2、检测操作点击开始->运行，然后在打开行里输入regedit，然后单击确定，查看相关注册表项进行查看；使用空连接扫描工具无法远程枚举用户名和用户组备注附录A：端口及服务服务名称端口服务说明关闭方法处置建议系统服务部分echo7/TCPRFC862_回声协议关闭"Simple TCP/IP Services"服务
建议关闭echo7/UDPRFC862_回声协议discard9/UDPRFC863 废除协议discard9/TCPRFC863 废除协议daytime13/UDPRFC867 白天协议daytime13/TCPRFC867 白天协议qotd17/TCPRFC865 白天协议的引用qotd17/UDPRFC865 白天协议的引用chargen19/TCPRFC864 字符产生协议chargen19/UDPRFC864 字符产生协议ftp21/TCP文件传输协议(控制)关闭"FTP Publishing Service"服务
根据情况选择开放smtp25/TCP简单邮件发送协议关闭"Simple Mail Transport Protocol"服务
建议关闭nameserver42/TCPWINS 主机名服务关闭"Windows Internet Name Service"服务
建议关闭42/UDPdomain53/UDP域名服务器关闭"DNS Server"服务
根据情况选择开放53/TCP根据情况选择开放dhcps67/UDPDHCP 服务器/Internet 连接共享关闭"Simple TCP/IP Services"服务
建议关闭dhcpc68/UDPDHCP协议客户端关闭"DHCP Client"服务
建议关闭http80/TCPHTTP 万维网发布服务关闭"World Wide Web Publishing Service"服务
根据情况选择开放epmap135/TCPRPC服务系统基本服务无法关闭135/UDP无法关闭netbios-ns137/UDPNetBIOS 名称解析在网卡的TCP/IP选项中"WINS"页勾选"禁用TCP/IP上的NETBIOS"根据情况选择开放netbios-dgm138/UDPNetBIOS 数据报服务根据情况选择开放netbios-ssn139/TCPNetBIOS 会话服务系统基本服务无法关闭snmp161/UDPSNMP 服务关闭"SNMP "服务根据情况选择开放https443/TCP安全超文本传输协议关闭"World Wide Web Publishing Service"服务根据情况选择开放microsoft-ds445/UDPSMB 服务器运行regedit，打开HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters添加名为"SMBDeviceEnabled"的子键，类型dword，值为0重新启动计算机根据情况选择开放445/TCPisakmp500/UDPIPSec ISAKMP 本地安全机构关闭"IPSEC Policy Agent"服务很少使用的服务，如不使用ipsec，建议关闭RADIUS1645/UDP旧式 RADIUS Internet 身份验证服务关闭"Remote Access Connection Manager"服务建议关闭RADIUS1646/UDP旧式 RADIUS Internet 身份验证服务建议关闭radius1812/UDP身份验证 Internet 身份验证服务建议关闭radacct1813/UDP计帐 Internet 身份验证服务建议关闭MSMQ-RPC2105/TCPMSMQ-RPC 消息队列关闭"Message Queuing"服务
建议关闭Termsrv3389/TCP终端服务关闭"Terminal Services"服务
根据情况选择开放其他常用服务Apache80/TCP 8000/TCPApache HTTP 服务器关闭"Apache2"服务
根据情况选择开放ms-sql-s1433/TCP1434/UDP微软公司数据库关闭"MSSQLServer"服务
根据情况选择开放ORACLE1521/TCP甲骨文公司数据库关闭"OracleOraHome90TNSListener"服务
根据情况选择开放remote administrator4899/TCPFamatech公司远程控制软件关闭"Remote Administrator Service"服务
根据情况选择开放sybase5000/TCPSybase公司数据库关闭"Sybase SQLServer"字样开始的服务
根据情况选择开放pcAnywhere5631/TCP5632/UDPSymantec公司远程控制软件关闭"pcAnywhere Host Service"字样开始的服务
根据情况选择开放