Windows系统通用安全配置基线

一：共享账号检查

配置名称：账号分配检查，避免共享账号存在
配置要求： 1、系统需按照实际用户分配账号；
          2、根据系统的使用需求，设定不同的账户和账户组，包括管理员用户，数据库用户，审计用户，来宾用户等；
          3、避免出现共享账号情况；
操作指南：参考配置操作（适用2000、2003）
         ”控制面板->管理工具->计算机管理->系统工具->本地用户和组”。
          参考配置操作（适用2008 x64）
         ”管理工具->服务器管理->配置->本地用户和组”。
检查方法：查看已创建账户和账户组，与管理员确认有无无用的或共用的账户，如果每一账户都按需创建和划分账户组的则符合要求。
配置方法：根据系统实际使用需求，设定不同的账户和账户组，如：管理员用户，数据库用户，审计用户，来宾用户。
使用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64。

二：来宾账户检查

配置名称：禁用来宾账户
配置要求：禁用guest（来宾）用户
操作指南：参考配置操作（适用2000、2003）
        ”控制面板->管理工具->计算机管理”，在”系统工具->本地用户和组->Guest账户>属性->“常规”页
         参考配置操作（适用2008 x64）
         ”管理工具->服务器管理”，在”配置->本地用户和组->Guest账户->属性-> “常规”页
检查方法：检查复选框”账户已禁用”项状态，勾选为已禁用来宾账号
配置方法：勾选复选框”账户已禁用”项，禁用来宾账号。
适用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64。

三：口令复杂度策略

配置名称：口令复杂度策略
配置要求：1、最短密码长度 12个字符；
          2、启用本机组策略中密码必须符合复杂性要求的策略，即密码至少包含以下四种类别的字符中的三种：
            	英语大写字母 A, B, C, … Z
            	英语小写字母 a, b, c, … z
            	西方阿拉伯数字 0, 1, 2, … 9
            	非字母数字字符，如标点符号，@, #, $, %, &, *等
操作指南：参考配置操作（适用2000、2003）
            1、”控制面板->管理工具->本地安全策略->帐户策略->密码策略->密码长度最小值->属性”
            2、”控制面板->管理工具->本地安全策略->帐户策略->密码策略->密码必须符合复杂性要求->属性”
          参考配置操作（适用2008 x64）
            1、”管理工具->本地安全策略->帐户策略->密码策略->密码长度最小值->属性”
            2、”管理工具->本地安全策略->帐户策略->密码策略->密码必须符合复杂性要求->属性”
检查方法：1、检查最小值设置，大于等于12为符合要求；
          2、检查单选框”已启动”状态，选中”已启动”为符合。
配置方法：1、将密码最小值设置为大于等于12；
          2、将”密码必须符合复杂性要求”项，选中”已启动”。
使用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

四：口令最长生存期策略

配置名称：口令最长生存期策略
配置要求：要求操作系统的账户口令的最长生存期不长于90天。
操作指南：参考配置操作（适用2000、2003）
          ”控制面板->管理工具->本地安全策略->帐户策略->密码策略->密码最长存留期->属性”
          参考配置操作（适用2008 x64）
          ”管理工具->本地安全策略->帐户策略->密码策略->密码最长存留期->属性”
检查方法：检查”密码最长使用期限”小于等于90为符合。
配置方法：检查”密码最长使用期限”小于等于90为符合。
使用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

五：远程关机授权

配置名称：本地安全设置中远程关机授权只指派给Administrators组
配置要求：在本地安全设置中从远端系统强制关机只指派给Administrators组。
操作指南：参考配置操作（适用2000、2003）
          ”控制面板->管理工具->本地安全策略->本地策略->用户权利指派->从远端系统强制关机->属性”
          参考配置操作（适用2008 x64）
          ”管理工具->本地安全策略->本地策略->用户权限分配->从远程系统强制关机->属性”
检查方法：查看”从远端系统强制关机”权限指派情况”，仅指派给 administrators，符合要求。
配置方法：设置为”只指派给Administrators组”
使用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

六：系统关闭授权

配置名称：本地安全设置中关闭系统仅指派给Administrators组
配置要求：检测本地安全设置中关闭系统仅指派给Administrators组
操作指南：参考配置操作（适用2003）
          ”控制面板->管理工具->本地安全策略->本地策略->用户权利指派->关闭系统->属性”
          参考配置操作（适用2008 x64）
          ”管理工具->本地安全策略->本地策略->用户权限分配->关闭系统->属性”
检查方法：查看”关闭系统”权限指派情况，内容为administrators，表示符合要求。
配置方法：设置为”只指派给Administrators组”
使用版本：Windows Server 2003、Windows Server 2008 X64

七：文件权限指派

配置名称：文件权限指派
配置要求：在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。
操作指南：参考配置操作（适用2003）
          ”控制面板->管理工具->本地安全策略->本地策略->用户权利指派->取得文件或其它
          对象的所有权->属性”
          参考配置操作（适用2008 x64）
         ”管理工具->本地安全策略->本地策略->用户权限分配->用户权利指派->取得文件或其它对象的所有权->属性”
检查方法：查看“取得文件或其它对象”的仅限指情况，指派给Administrators”为符合要求。
配置方法：设置为”只指派给Administrators组”
使用版本：Windows Server 2003、Windows Server 2008 X64

八：匿名权限限制

配置名称：网络连接中限制匿名用户连接权限
配置要求：在组策略中只允许授权帐号从网络访问(包括网络共享等，但不包括终端服务)此计算机。
操作指南：参考配置操作（适用2003）
          ”控制面板->管理工具->本地安全策略->本地策略->用户权利指派->从网络访问此计算机->属性”
          参考配置操作（适用2008 x64）
          ”管理工具->本地安全策略->本地策略->用户权限分配->从网络访问此计算机->属性”
检查方法：检查属性列表，不包括”Users”和”Everyone”组和其他无用组为符合要求.
配置方法：根据需求添加访问组。
适用版本：Windows Server 2003、Windows Server 2008 X64

八：登陆日志检查

配置名称：检测是否设置审核账户登录事件
配置要求：系统应启用日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。
操作指南：参考配置操作（适用2000、2003）
         ”控制面板->管理工具->本地安全策略->审核策略->审核登录事件->属性”。
         参考配置操作（适用2008 x64）
         ”管理工具->本地安全策略->审核策略->审核登录事件->属性”。
检查方法：检查是否同时勾选了”成功”和”失败”，同时勾选为符合要求。
配置方法：设置为成功和失败都审核。
适用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

九：系统日志完备性检查

配置名称：系统日志完备性检查，检查是否启用系统多项审核策略
配置要求：系统应配置完整的审核策略，启用本地策略中审核策略中如下项。每项都需要设置为”成功”和”失败”都要审核。
          参考配置操作（适用2000、2003）
          ”控制面板->管理工具->本地安全策略->需要配置的策略：
          参考配置操作（适用2008 x64）
          ”管理工具->本地安全策略->需要配置的策略：
          	审核策略更改
          	审核对象访问
          	审核进程跟踪
          	审核目录服务访问
          	审核特权使用
          	审核系统事件
          	审核账户管理
操作指南：参考配置操作
         进入”控制面板->管理工具->本地安全策略->本地策略->审核策略”中。进入如下项的”属性页”
        	审核策略更改
        	审核对象访问
        	审核进程跟踪
        	审核目录服务访问
        	审核特权使用
        	审核系统事件
        	审核账户管理
检查方法：检查项包括以下7子项：
            	检测是否启用对Windows系统的审核策略更改
            	检测是否启用对Windows系统的审核对象访问
            	检测是否启用Windows系统审核目录服务访问
            	检测是否启用Windows系统审核特权使用
            	检测是否启用Windows系统审核系统事件
            	检测是否启用Windows系统的审核账户管理
            	检测是否启用Windows系统的审核过程追踪
        以上每一项都要勾选”成功”和”失败”项，才符合要求。
配置方法：分别进入以上7个子项配置页，勾选”成功”和”失败”复选框。
适用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

十：日志大小设置

配置名称：检测系统日志、应用日志、安全日志的大小以及扩展设置是否符合规范
配置要求：1、设置系统日志文件大小至少为32MB，设置当达到最大的日志尺寸时，按需要改写事件。
          2、设置应用日志文件大小至少为32M B，设置当达到最大的日志尺寸时，按需要改写事件。
          3、设置安全日志文件大小至少为32M B，设置当达到最大的日志尺寸时，按需要改写事件。
操作指南：参考配置操作（适用2000、2003）
          进入”控制面板->管理工具->事件查看器”，在”事件查看器（本地）”中的：
          “系统日志”属性页；
          “应用日志”属性页；
          “安全日志”属性页。
          参考配置操作（适用2008 x64）
          进入”管理工具->服务器管理”， 在”诊断->事件查看器->windows日志”中的：
         “系统日志”属性页；
         “应用日志”属性页；
         “安全日志”属性页。
检查方法：检查包括以下6子项
        	应用日志文件大小至少为32M B
        	当达到最大的应用日志尺寸时，按需要改写事件
        	系统日志文件大小至少为32M B
        	当达到最大的应用日志尺寸时，按需要改写事件
        	安全日志文件大小至少为32M B
        	当达到最大的安全日志尺寸时，按需要改写事件
        以上检查内容符合，整体才符合要求。
配置方法：1、设置应用日志文件大小至少为32M B
            设置当达到最大的应用日志尺寸时，按需要改写事件
          2、设置系统日志文件大小至少为32M B
            设置当达到最大的应用日志尺寸时，按需要改写事件
          3、设置安全日志文件大小至少为32M B
             设置当达到最大的安全日志尺寸时，按需要改写事件
适用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

十一：远程登录超时配置

配置名称：远程登陆超时配置
配置要求：检查设置：对于远程登陆的帐号，设置不活动断连时间15分钟
操作指南：参考配置操作（适用2003）
         ”控制面板->管理工具->本地安全策略->本地策略->安全选项->Microsoft网络服务器”
         参考配置操作（适用2008 x64）
         ”管理工具->本地安全策略->本地策略->安全选项->Microsoft网络服务器”
检查方法：检查”对于远程登陆的帐号设置”，不活动断连时间15分钟或小于15分钟为符合要求。
配置方法：设置为”在挂起会话之前所需的空闲时间”为15分钟或更小。
适用版本：Windows Server 2003、Windows Server 2008 X64

十二：默认共享检查

配置名称：默认共享检查
配置要求：非域环境中，关闭Windows硬盘默认共享，例如C$，D$。
操作指南：参考配置操作
         ”开始－>运行－>net share”
检查方法：检查有无默认共享，无任何默认共享为符合要求。
配置方法：”开始－>运行－>Regedit”，进入注册表编辑器，
          定位到HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\下，
          增加REG_DWORD类型的AutoShareServer 键，值为 0。
        Windows Server 2008X64环境配置检查位置：HKEY_LOCAL_MACHINE//SYSTEM//CurrentControlSet//Services//lanmanserver//parameters”
适用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

十三：共享权限检查

配置名称：共享权限检查
配置要求：查看每个共享文件夹的共享权限，只允许授权的账户拥有权限共享此文件夹，禁止使用共享权限为”everyone”
操作指南：参考配置操作（适用2000、2003）
          ”控制面板->管理工具->计算机管理->系统工具－>共享文件夹”
          参考配置操作（适用2008 x64）
          ”管理工具->共享和存储管理”
检查方法：1、查看每个共享文件夹的共享权限仅限于业务需要，不设置成为”everyone”
         2、输出所有共享文件夹信息和具体权限信息；但权限是否符合需求需要后期处理确认
配置方法：在”共享文件”属性页中，只保留需要的账户。
适用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

十四：防范病毒管理

配置名称：防病毒管理
配置要求：安装防病毒软件，并及时更新。
操作指南：参考配置操作
          定位到杀毒软件版本信息页面。
检查方法：检查防病毒进程运行是否正常及当前病毒库版本是否为最新。
配置方法：安装防病毒软件，并检查是否更新到最新病毒定义。
适用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

十五：补丁分发管理

配置名称：补丁分发管理
配置要求：加入网上交易WSUS系统，及时更新系统补丁。
操作指南：参考配置操作
        1、定位到注册表项：
        HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate WUServer键
        2、”开始->运行->services.msc->Automatic Updates”
检查方法：1、键值是否为http://10.1.30.233。若是，则表明加入了网上交易WSUS，否则没有正确加入网上交易WSUS系统。
          2、检查服务项Automatic Updates服务是否开启，启动类型是否设置为自动。
          以上2项都满足为符合要求。
配置方法：登录http://10.1.30.233，下载并运行网上交易服务器补丁注册脚本。在导入注册表后检查自动更新选项是否显示为灰色不可选，
        如是则表明注册表导入成功，之后重启Automatic Updates服务。
适用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

十六：server pack 管理

配置名称：Service Pack管理
配置要求：安装最新的Service Pack
操作指南：参考配置操作
          右键”我的电脑->属性->常规页”
检查方法：检查是否安装了最新的Service Pack。
          目前Windows 2000 server最新版本Service Pack为SP4，Windows Server 2003
          最新的Service Pack为SP2
配置方法：安装最新的Service Pack，并及时更新。
        登录http://10.1.30.233，下载并安装最新的Service Pack。
适用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

十七：屏保密码保护

配置名称：密码屏幕保护
配置要求：设置带密码的屏幕保护，并将时间设定为15分钟。
操作指南：参考配置操作（适用2000、2003）
          ”控制面板->显示->屏幕保护程序”：
          参考配置操作（适用2008 x64）
          ”控制面板->外观->显示->屏幕保护程序”：
检查方法：检查是否启用了”在恢复时使用密码保护”，并设置等待时间为15分钟或者更短，两项都满足为符合要求。
配置方法：1、设置等待时间为”15分钟”；
          2、勾选”在恢复时使用密码保护”选择框。
适用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

十八：自动播放关闭

配置名称：自动播放关闭
配置要求：关闭Windows自动播放功能
操作指南：参考配置操作（适用2000）
          ”开始->运行->Regedit”，进入注册表编辑器，定位到注册表：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CDRom
         参考配置操作（适用2003）
         点击开始→运行→输入gpedit.msc，打开组策略编辑器，浏览到计算机配置→管理模板→系统”
         参考配置操作（适用2008 x64）
         点击开始->运行→输入gpedit.msc，打开组策略编辑器，浏览到计算机配置->管理模板->Windows 组件->自动播放策略”
检查方法：Windows2000：检查”Autorun”键值，为0符合要求；
         Windows 2003：检查”关闭自动播放”对话框，选择了所有驱动器为符合要求；
        Windows 2008：检查”关闭自动播放”对话框，选择了所有驱动器，为符合要求。
配置方法：Windows 2000：将”Autorun”键值更改为0。
          Windows2003：在右边窗格中双击”关闭自动播放”，对话框中选择所有驱动器，确定即可。
          Windows2008：，在右边窗格中双击”关闭自动播放”，对话框中选择所有驱动器，确定即可。
适用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

十九：SNMP默认口令修改

配置名称：SNMP默认口令修改
配置要求：如需启用SNMP服务，则修改默认的SNMP Community String设置。
操作指南：参考配置操作（适用2003）
          打开”控制面板”，打开”管理工具”中的”服务”，找到”SNMP Service”，单击右键打开”属性”面板中的”安全”选项卡。
          参考配置操作（适用2008 x64）
          进入”管理工具->服务器管理”，在”配置->服务”，找到”SNMP Service”，单击右键打开”属性”面板中的”安全”选项卡
检查方法：1、确认SNMP 服务已启动；
          2、服务如启动，检查Community String是否使用默认public和private，如果没使用为符合要求
配置方法：在这个配置界面中，修改community strings，避免使用默认密码。
适用版本：Windows Server 2003、Windows Server 2008 X64

二十：启动项检查

配置名称：启动项检查
配置要求：列出系统启动时自动加载的进程和服务列表，不在此列表的需关闭。
操作指南：参考配置操作
         “开始->运行->MSconfig”启动系统配置实用程序。
检查方法：查看是否有可疑启动项，对于无法确认程序，需要与管理员进行确认。
配置方法：直接将可以启动项前的勾选框勾选掉。
适用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

二十一：管理员账号更名

配置名称：管理员账号更改名称
配置要求：对于管理员帐号，要求更改缺省帐户名称administrator
操作指南：参考配置操作（适用2003）
          进入”控制面板->管理工具->计算机管理”，在”系统工具->本地用户和组”
          参考配置操作（适用2008 x64）
          进入”管理工具->服务器管理->配置->本地用户和组”
检查方法：检测管理员帐户是否改名，已更名为符合要求
配置方法：“右键Administrator->属性”，更改名称即可
适用版本：Windows Server 2003、Windows Server 2008 X64

二十二：登录失败账户锁定策略

配置名称：配置登录失败账户锁定策略，超过8次登录失败锁定账号策略
配置要求：应配置当用户短时间内连续认证失败次数超过8次（不含8次），锁定该用户使用的账号；设置账户锁定时间为30分钟。
操作指南：参考配置操作（适用2003）
          进入”控制面板->管理工具->本地安全策略->帐户策略->帐户锁定策略->账户锁定时间->属性页”
          参考配置操作（适用2008 x64）
          进入”管理工具->服务器管理->帐户策略->帐户锁定策略->账户锁定阀值->属性页”
检查方法：1、”静态口令认证技术的设备用户是否连续认证失败次数超过8次（不含8次），锁定该用户的账号”；
          2、检查是否设置账号锁定时间为30分钟或更长；
          符合以上2项检查为符合要求。
配置方法：1、在”账户锁定阀值”属性页中，设置为 8次；
          2、在”账户锁定时间”属性页中，设置为30分钟
适用版本：Windows Server 2003、Windows Server 2008 X64

二十三：本机防火墙设置

配置名称：检查Windows是否启用自带防火墙
配置要求：启用Windows 自带防火墙。根据业务需要限定允许访问网络的应用程序，和允许远程登陆该设备的IP地址范围。
操作指南：参考配置操作（适用2003）
          ”控制面板－>网络连接－>本地连接->高级选项”
          参考配置操作（适用2008 x64）
          ”控制面板－>系统和安全－>Windows防火墙->打开或关闭Windows防火墙选项”
检查方法：检查Windows是否启用自带防火墙”.
配置方法：1、启用Windows防火墙。
          在”例外”中配置允许业务所需的程序接入网络。
          在”例外->编辑->更改范围”编辑允许接入的网络地址范围。
适用版本：Windows Server 2003、Windows Server 2008 X64

二十四：DEP功能启用

配置名称：DEP功能启用
配置要求：对于Windows 2003及Windows 2008对Windows操作系统程序和服务启用系统自带DEP功能(数据执行保护)，防止在受保护内存位置运行有害代码。
操作指南：参考配置操作（适用2003、2008 x64）
         进入”控制面板->系统”，在”高级”选项卡的”性能”下的”设置”。进入 “数据执行保护”选项卡。
检查方法：检测Windows是否启用数据执行保护，启动为符合要求。
配置方法：在“数据执行保护”选项卡中，设置为”仅为基本 Windows 操作系统程序和服务启用DEP”。
适用版本：Windows Server 2003、Windows Server 2008 X64

二十五：服务检查

配置名称：Windows服务输出
配置要求：列出所需要服务的列表(包括所需的系统服务)，通过与系统管理员确认无异常服务存在。一般情况下，如无特殊必要，
不应安装IIS、DNS、WINS、DHCP等服务或组件。
配置指南：参考配置操作（适用2000、2003）
          进入”控制面板->管理工具->计算机管理”，进入”服务和应用程序”：
          查看所有服务，输出所有服务列表，查看是否有异常服务。
          参考配置操作（适用2008 x64）
          进入”管理工具->服务器管理”，在”配置->服务”：
          查看所有服务，输出所有服务列表，查看是否有异常服务。
检查方法：1、系统管理员应出具系统所必要的服务列表。
          2、查看所有服务，不在此列表的服务需关闭。
          或建议关闭Task Scheduler 计划任务，Routing and Remote Access在局域网以及广域网环境中为企业提供路由服务。
          RemoteRegistry使远程用户能修改此计算机上的注册表设置。Print Spooler将文件加载到内存中以便迟后打印。关闭无线服务和telnet服务。
配置方法：进入”控制面板->管理工具->计算机管理”，进入”服务和应用程序”：
          查看所有服务，不在此列表的服务是否已关闭。
适用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64