各类操作系统安全配置要求及操作指南检查模块支持系统版本号Windows Windows 2000 以上Solaris Solaris 8 以上AIX AIX 5.X以上HP-UNIX HP-UNIX 11i以上Linux 内核版本2.6以上Oracle Oracle 8i以上SQLServerMicrosoft SQL Server 2000 以上MySQL MySQL 5.x以上IIS IIS 5.x以上Apache Apache 2.x 以上Tomcat Tomcat 5.x以上WebLogic WebLogic 8.X以上Windows操作系统安全配置要求及操作指南I目录目录 (I)前言 (II)1 范围 (1)2 规范性引用文件 (1)3 缩略语 (1)4 安全配置要求 (2)4.1 账号 (2)4.2 口令 (3)4.3 授权 (5)4.4 补丁 (7)4.5 防护软件 (8)4.6 防病毒软件 (8)4.7 日志安全要求 (9)4.8 不必要的服务 (11)4.9 启动项 (12)4.10 关闭自动播放功能 (13)4.11 共享文件夹 (13)4.12 使用NTFS 文件系统 (14)4.13 网络访问 (15)4.14 会话超时设置 (16)4.15 注册表设置 (17)附录A：端口及服务 (18)II前言为了在工程验收、运行维护、安全检查等环节，规范并落实安全配置要求，编制了一系列的安全配置要求及操作指南，明确了操作系统、数据库、应用中间件在内的通用安全配置要求及参考操作。

该系列安全配置要求及操作指南的结构及名称预计如下：（1）《Windows 操作系统安全配置要求及操作指南》（本规范）（2）《AIX操作系统安全配置要求及操作指南》（3）《HP-UX 操作系统安全配置要求及操作指南》（4）《Linux操作系统安全配置要求及操作指南》（5）《Solaris操作系统安全配置要求及操作指南》（6）《MS SQL server数据库安全配置要求及操作指南》（7）《MySQL 数据库安全配置要求及操作指南》（8）《Oracle数据库安全配置要求及操作指南》（9）《Apache安全配置要求及操作指南》（10）《IIS安全配置要求及操作指南》（11）《Tomcat 安全配置要求及操作指南》（12）《WebLogic 安全配置要求及操作指南》11 范围适用于使用Windows 操作系统的设备。

在未特别说明的情况下，均适用于所有运行的Windows 操作系统，包括Windows 2000、Windows XP、Windows2003, Windows7 ,Windows 2008 以及各版本中的Sever、Professional版本。

本规范明确了Windows操作系统在安全配置方面的基本要求，适用于所有的安全等级，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。

由于版本不同，配置操作有所不同，本规范以Windows 2003 为例，给出参考配置操作。

2 规范性引用文件GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》YD/T 1732-2008《固定通信网安全防护要求》YD/T 1734-2008《移动通信网安全防护要求》YD/T 1736-2008《互联网安全防护要求》YD/T 1738-2008《增值业务网—消息网安全防护要求》YD/T 1740-2008《增值业务网—智能网安全防护要求》YD/T 1758-2008《非核心生产单元安全防护要求》YD/T 1742-2008《接入网安全防护要求》YD/T 1744-2008《传送网安全防护要求》YD/T 1746-2008《IP 承载网安全防护要求》YD/T 1748-2008《信令网安全防护要求》YD/T 1750-2008《同步网安全防护要求》YD/T 1752-2008《支撑网安全防护要求》YD/T 1756-2008《电信网和互联网管理安全等级保护要求》3 缩略语UDP User Datagram Protocol 用户数据包协议TCP Transmission Control Protocol 传输控制协议2NTFS New Technology File System 新技术文件系统4 安全配置要求4.1 账号编号：1要求内容应按照不同的用户分配不同的账号，避免不同用户间共享账号。

避免用户账号和设备间通信使用的账号共享。

操作指南1、参考配置操作进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：根据系统的要求，设定不同的账户和账户组。

检测方法1、判定条件结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的账户和账户组2、检测操作进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：查看根据系统的要求，设定不同的账户和账户组编号：2要求内容应删除与运行、维护等工作无关的账号。

操作指南1．参考配置操作A）可使用用户管理工具：开始-运行-compmgmt.msc-本地用户和组-用户B）也可以通过net 命令：删除账号：net user account/de1停用账号：net user account/active:no检测方法1.判定条件结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的账号。

3注：无关的账号主要指测试帐户、共享帐号、长期不用账号（半年以上不用）等2.检测操作开始-运行-compmgmt.msc-本地用户和组-用户编号：3要求内容重命名Administrator；禁用guest（来宾）帐号。

操作指南1、参考配置操作进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：Administrator－>属性－> 更改名称Guest 帐号->属性－> 已停用检测方法1、判定条件缺省账户Administrator名称已更改。

Guest 帐号已停用。

2、检测操作进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：缺省帐户－>属性－> 更改名称Guest 帐号->属性－> 已停用4.2 口令编号：1要求内容密码长度要求：最少8位密码复杂度要求：至少包含以下四种类别的字符中的三种：z 英语大写字母A, B, C, …Zz 英语小写字母a, b, c, …zz 阿拉伯数字0, 1, 2, (9)z 非字母数字字符，如标点符号，@, #, $, %, &, *等4操作指南1、参考配置操作进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：“密码必须符合复杂性要求”选择“已启动”检测方法1、判定条件“密码必须符合复杂性要求”选择“已启动”进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：查看是否“密码必须符合复杂性要求”选择“已启动”编号：2要求内容对于采用静态口令认证技术的设备，账户口令的生存期不长于90天。

操作指南1、参考配置操作进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：“密码最长存留期”设置为“90 天”检测方法1、判定条件“密码最长存留期”设置为“90 天”2、检测操作进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：查看是否“密码最长存留期”设置为“90 天”编号：3要求内容对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含 5 次）内已使用的口令。

操作指南1、参考配置操作5进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：“强制密码历史”设置为“记住5个密码”检测方法1、判定条件“强制密码历史”设置为“记住5个密码”2、检测操作进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：查看是否“强制密码历史”设置为“记住 5 个密码”编号：4要求内容对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6 次（不含 6 次），锁定该用户使用的账号。

操作指南1、参考配置操作进入“控制面板->管理工具->本地安全策略”，在“帐户策略->帐户锁定策略”：“账户锁定阀值”设置为 6 次设置解锁阀值：30 分钟检测方法1、判定条件“账户锁定阀值”设置为小于或等于 6 次进入“控制面板->管理工具->本地安全策略”，在“帐户策略->帐户锁定策略”：查看是否“账户锁定阀值”设置为小于等于6次补充说明：设置不当可能导致账号大面积锁定，在域环境中应小心设置，Administrator 账号本身不会被锁定。

4.3 授权编号：16要求内容本地、远端系统强制关机只指派给Administrators 组。

操作指南1、参考配置操作进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”:“关闭系统”设置为“只指派给Administrators组”“从远端系统强制关机”设置为“只指派给Administrators组”检测方法1、判定条件“关闭系统”设置为“只指派给Administrators组”“从远端系统强制关机”设置为“只指派给Administrtors组”2、检测操作进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”:查看“关闭系统”设置为“只指派给Administrators 组”查看是否“从远端系统强制关机”设置为“只指派给Administrators 组”编号：2要求内容在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。

操作指南1、参考配置操作进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”：“取得文件或其它对象的所有权”设置为“只指派给Administrators 组”检测方法1、判定条件“取得文件或其它对象的所有权”设置为“只指派给Administrators 组”2、检测操作进入“控制面板->管理工具->本地安全策略”，在“本地策略->用7户权利指派”：查看是否“取得文件或其它对象的所有权”设置为“只指派给Administrators 组”编号：3要求内容在本地安全设置中只允许授权帐号本地、远程访问登陆此计算机。