admin管理员组文章数量:1531267
2023年12月21日发(作者:)
Windows 7 操作系统安全配置
基线与配置说明
2017年3月
1、账户管理
1.1 Administrator 账户管理
安全判定依据
1)进入“控制面板->管理工具->计算机管理”,在弹出框中选择“系统工具->本
地用户和组->用户”,
2)如果存在 Administrator 账号,并且隶属于Administrators 组,
表明不符合安全要求。
安全配置参考
重命名账户:鼠标右键->重命名,键入新的账户名称
配置截图参考:
右键点击administrator用户重命名为其它名称(注意,不要改为admin)
1.2 Guest 账户管理
进入“控制面板->管理工具->计算机管理”,在弹出框中选择“系统工具->本地
安全判定依据
用户和组->用户”,在右侧选择 Guest,双击鼠标左键查看,如果勾选了“账户已
禁用”选项,表明符合安全要求。
双击guest账户,确保账户已禁用选项是被选中的则为符合要求。
1.3 无关账户管理
1)进入“控制面板->管理工具->计算机管理”,在弹出框中选择“系统工具->本
安全判定依据
地用户和组->用户”,
2)如果不存在无关账户,或无关账户处于禁用状态,
表明符合安全要求。
参考操作 删除无关账户:鼠标史键->删除;
如果用户里面存在guest和administrator(已改名账户)以外的其它账户则不符合安全要求
须对其它用户进行右键——删除操作
2、密码管理
2.1 密码复杂度
密码复杂度要求:8位以上至少包含以下四种类别的字符中的三种:
英文大写字母(A 到 Z)
安全基线要求
英文小写字母( a 到 z )
阿拉伯数字( 0 到 9 )
非字母字符(例如!、$、#、%)
进入“控制面板->管理工具->本地安全策略”,在“账户策略->密码策略”中,
安全判定依据
选择“密码必须符合复杂性要求”,查看其“安全设置“,如果显示”已启用“,
表明符合安全要求。
2.2 密码长度最小值
安全基线要求 对亍采用静态口令认证技术的设备,密码最小长度不少于 8 位
进入“控制面板->管理工具->本地安全策略”,在“账户策略->密码策略”中,
安全判定依据
选择“密码长度最小值”,查看其“安全设置“,如果显示”8 个字符“,表明
符合安全要求。
2.3 密码最长使用期限
安全基线要求 对于采用静态口令认证技术的设备,口令生存期不长于 90 天
进入“控制面板->管理工具->本地安全策略”,在“账户策略->密码策略”中,
安全判定依据
选择“密码最长使用期限,查看其“安全设置”,如果显示“90 天“,表明符合
安全要求。
2.4 强制密码历史
安全基线要求
对于采用静态口令认证技术的设备,应配置设备使用户不能重复使用最近 5 次(含
5 次)内已使用的口令
进入“控制面板->管理工具->本地安全策略”,在“账户策略->密码策略->强制
密码历史”,鼠标右键->属性-> 5 ->确定。
进入“控制面板->管理工具->本地安全策略”,在“账户策略->密码策略”中,
安全判定依据
选择“强制密码历史,查看其“安全设置“,如果显示“5 个记住的密码“,表
检测操作参考
2.5 账户锁定阈值(可选)
安全基线要求
对亍采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过 5 次(不
含 5次),锁定该用户使用的账户,锁定时间30分钟
进入“控制面板->管理工具->本地安全策略”,在“账户策略->账户锁定策略->
账户锁定阈值”,鼠标史键->属性-> 5 ->确定。
进入“控制面板->管理工具->本地安全策略”,在“账户策略->账户锁定策略”
安全判定依据
中,选择“账户锁定阈值”,查看其“安全设置“,如果显示“5 次无效登录“,
检测操作参考
3、认证授权
3.1 远程强制关机授权
安全基线要求
检测操作参考
非域环境的计算机,“从远程系统强制关机“的权限只指派给 Administrators 组
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权限分配->
从远程系统强制关机”,鼠标右键->属性->设置为只指派给 Administrators 组。
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权限分配”
安全判定依据
中,鼠标左键双击“从远程系统强制关机”,如果弹出的对话框中仅显
示”Administrators”组,表明符合安全要求。
3.2 文件所有权授权
安全基线要求
检测操作参考
“取得文件或其他对象的所有权“只指派给 Administrators 组
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权限分配->取 得 文 件 或 其 他 对 象 的 所 有 权 ” , 鼠 标 史 键 -> 属 性 -> 设
置 为 只 指 派 给
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权限分配”
安全判定依据
中,鼠标左键双击“取得文件或其他对象的所有权”,如果弹出的对话框中仅显
示”Administrators”组,表明符合安全要求。
4、日志审计
4.1 审核策略更改
安全基线要求
检测操作参考
启用对 Windows 系统的审核策略更改,成功不失败都要审核
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略->审核
策略更改”,鼠标右键->属性->勾选“成功”与“失败”两项。
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略“中,
安全判定依据
选择”审核策略更改”,查看其“安全设置“,默认为无审核,如果显示为“成
功,失败”,表明符合安全要求。
4.2 审核登录事件
安全基线要求
应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账户,登
录是否成功,登录时间,以及远程登录时使用的 IP 地址
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略->审核
登录事件”,鼠标史键->属性->勾选“成功”和“失败”两项。
进入“控制面板->管理工具->本地安全策略“,在“本地策略->审核策略“中,
选择”审核登录事件”,查看其“安全设置“,默认为无审核,如果显示为“成
检测操作参考
安全判定依据
4.3 审核对象访问
安全基线要求
检测操作参考
启用对 Windows 系统的审核对象访问,成功不失败都要审核
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略->审核
对象访问”,鼠标右键->属性->勾选“成功”和“失败”两项。
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略“中,
安全判定依据
选择”审核对象访问”,查看其“安全设置“,默认为无审核,如果显示为“成
功,失败”,表明符合安全要求。
4.4 审核进程跟踪
安全基线要求
检测操作参考
启用对 Windows 系统的审核特权使用,成功不失败都要审核
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略->审核
特权使用”,鼠标右键->属性->勾选“成功”与“失败”两项。
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略“中,
安全判定依据
选择”审核特权使用”,查看其“安全设置“,默认为无审核,如果显示为“成
功,失败”,表明符合安全要求。
对审核策略中的所有项均进行以上配置操作
4.5日志文件大小
安全基线要求 设置日志容量和覆盖规则,保证日志存储
进入“控制面板 ->管理工具 ->事件查看器”,选择“事件查看器(本地)
->Windows 日志”,
1)在“应用程序”中,鼠标史键单击选择“属性”,将“日志最大大小”设置为
“40960KB”,“达到事件日志最大大小时“选择“按需要覆盖事件(旧事件优
检测操作参考
先)”。
2)在“安全”中,鼠标右键单击选择“属性”,将“日志最大大小”设置为
“40960KB”,“达到事件日志最大大小时“选择“按需要覆盖事件(旧事件优
先)”。
3)在“系统”中,鼠标右键单击选择“属性”,将“日志最大大小”设置为
“40960KB”,“达到事件日志最大大小时“选择“按需要覆盖事件(旧事件优
先)”。
安全判定依据 进入“控制面板->管理工具->事件查看器,选择“事件查看器(本地)-> Windows日志”,鼠标史键点击“应用程序“、“安全”、“系统”,选择“属性“,查
看这三项的“日志最大大小”和“达到事件日志最大大小时“的选项,如果显示
为” 40960”和“按需要覆盖事件(旧事件优先)“,表明符合安全要求。
对windows日志中的‘应用程序’‘安全’‘系统’三项均进行上图配置
5、系统服务
5.1 启用 Windows 防火墙
安全基线要求
检测操作参考
启用 Windows 防火墙
进入“控制面板->Windows 防火墙->打开或关闭 Windows 防火墙”,查看“家
庭或工作(专用)网络位置设置“与”公用网络位置设置“中防火墙的配置情况。
进入“控制面板->Windows 防火墙->打开或关闭 Windows 防火墙”,查看“家
安全判定依据
庭或工作(专用)网络位置设置“与”公用网络位置设置“,如果均选择”启用
Windows 防火墙“,并勾选“Windows 防火墙阻止新程序时通知我”,表明符
合安全要求。
5.2 关闭自劢播放功能
安全基线要求
检测操作参考
关闭 Windows 自劢播放,防止从移劢设备不光盘感染恶意代码
开始->运行-> ,打开本地组策略编辑器,在“计算机配置->管理模
板->Windows 组件 ->自劢播放策略”中,选择“关闭自劢播放”,查看其状态。
开始->运行-> ,打开本地组策略编辑器,在“计算机配置->管理模
安全判定依据
板->Windows 组件 ->自动播放策略”中,选择“关闭自劢播放”,查看其状态,
默认为“未配置“,如果为”已启用“,表明符合安全要求。
6、补丁不防护软件
6.1 系统安全补丁管理
安全基线要求
所有联网终端计算机统一部署桌面安全管理软件,由该软件统一进行系统安全补
丁更新
按照集团公司信息管理部要求,集中部署桌面安全管理系统,监督未部署的终端
检测操作参考
计算机并进行整改,保证所有联网终端计算机全部安装统一的桌面安全管理系统
软件。
安全判定依据 开始->运行-> ,输入 systeminfo,查看系统补丁的安装情况。
6.2 防病毒管理
安全基线要求 所有联网终端计算机统一部署中国石油统一部署的防病毒软件
按照集团公司信息管理部要求,集中部署桌面安全管理系统,监督未部署的终端
检测操作参考
计算机并进行整改,保证所有联网终端计算机全部安装统一的桌面安全管理系统
软件。
瑞星防病毒系统、桌面统一管理系统
安全判定依据
7、共享文件夹及访问权限
7.1 关闭默认共享
安全基线要求 在非域环境下,关闭 Windows 硬盘默认共享,例如 C$,D$
开始->运行-> ,进入注册表编辑器,更改注册表键值:
检测操作参考
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanSer
verParameters下,增加 REG_DWORD 类型的 AutoShareServer 键,值为 0。
开始->运行-> ,进入注册表编辑器,查看注册表键值:
安全判定依据
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanSer
verParameters下,如果有 AutoShareServer 项,并且值为 0,表明符合安全
要求。
7.2 设置共享文件夹访问权限
安全基线要求
检测操作参考
设置共享文件夹访问权限,只允许授权的账户拥有权限共享此文件夹
进入“控制面板->管理工具->计算机管理”,在“系统工具->共享文件夹”下,
查看每个共享文件夹的共享权限,只将权限授权于指定账户。
进入“控制面板->管理工具->计算机管理”,在“系统工具->共享文件夹”下,
查看每个共享文件夹的共享权限。
安全判定依据
8、远程维护
8.1 远程协助安全管理
安全基线要求
检测操作参考
如无特别需要,关闭远程协助
鼠标右键点击“我的电脑”,选择“属性”,选中“远程设置”,查看“远程协
助”的状态。
鼠标右键点击“我的电脑”,选择“属性”,选中“远程设置”,在”远程协助“的
安全判定依据
下方查看,如果勾选了“允许远程协助连接这台计算机”,表明开启了远程协助,
不符合安全要求。
8.2 远程桌面安全管理
安全基线要求
检测操作参考
终端计算机如无特别需要,关闭远程桌面
鼠标右键点击“我的电脑”,选择“属性”,选中“远程设置”,查看“远程桌
面”的状态。
鼠标右键点击“我的电脑”,选择“属性”,选择“远程设置”,在“远程桌面”
安全判定依据
的下方查看,如果勾选了“不允许连接到这台计算机”,表明关闭了远程桌面,
符合安全要求。
9、其他
9.1 数据执行保护
安全基线要求 配置系统核心的数据执行保护,提高系统抵抗非法修改文件的能力
进入“控制面板->系统”,在“高级系统设置”选项卡的“性能”下点击设置,
检测操作参考
选择“数据执行保护”选项卡,选择“仅为基本 Windows 程序和服务启用
DEP”。
进入“控制面板->系统”,在“高级系统设置”选项卡的“性能”下点击设置,
选择“数据执行保护”选项卡,如果设置为“仅为基本 Windows 程序和服务启用 DEP”,表明符合安全要求。
安全判定依据
10、关闭135等端口
• 1)打开电-脑-控-制-面板
• 2)打开系统和安全选项
• 3)打开Windows防火墙
• 4)点击左侧高级设置
• 5)点击入站规则
• 6)点击右侧新建规则
• 7)选择端口(O),点击下一步
• 8)选择特定本地端口,输入135,137,138,139,445,中间用逗号隔开,逗号为英文输入的逗号
• 9)选择阻止连接,点击下一步
• 10)点击下一步
• 11)名称一栏输入关闭端口,点击完成
• 12)双击关闭端口,查看端口设置
• 13)可以看到阻止连接
• 14)点击协议和端口,可以看到阻止连接的本地端口是之前设置的135,137,138,139,445,说明网络端口135,137,138,139,445已经阻止连接
版权声明:本文标题:Windows-7操作系统安全配置基线和操作说明 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dongtai/1703108787a39263.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论