Windows 系统安全配置基线中国移动通信有限公司管理信息系统部2012年 04月版本版本控制信息更新日期更新人审批人V1.0 创建2009年1月V2.0 更新2012年4月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (5)1.1目的 (5)1.2适用范围 (5)1.3适用版本 (5)1.4实施 (5)1.5例外条款 (5)第2章帐户管理、认证授权 (6)2.1帐户 (6)2.1.1 管理缺省帐户 (6)2.1.2 按照用户分配帐户* (6)2.1.3 删除与设备无关帐户* (7)2.2口令 (7)2.2.1密码复杂度 (7)2.2.2密码最长留存期 (8)2.2.3帐户锁定策略 (8)2.3授权 (8)2.3.1远程关机 (8)2.3.2本地关机 (9)2.3.3用户权利指派* (9)2.3.4授权帐户登陆* (10)2.3.5授权帐户从网络访问* (10)第3章日志配置操作 (11)3.1日志配置 (11)3.1.1审核登录 (11)3.1.2审核策略更改 (11)3.1.3审核对象访问 (11)3.1.4审核事件目录服务器访问 (12)3.1.5审核特权使用 (12)3.1.6审核系统事件 (13)3.1.7审核帐户管理 (13)3.1.8审核过程追踪 (13)3.1.9日志文件大小 (14)第4章IP协议安全配置 (15)4.1IP协议 (15)4.1.1启用SYN攻击保护 (15)第5章设备其他配置操作 (17)5.1共享文件夹及访问权限 (17)5.1.1关闭默认共享 (17)5.1.2共享文件夹授权访问* (17)5.2防病毒管理 (18)5.2.1数据执行保护 (18)5.3W INDOWS服务 (18)5.3.1 SNMP服务管理 (18)5.3.2系统必须服务列表管理* (19)5.3.3系统启动项列表管理* (19)5.3.4远程控制服务安全* (19)5.3.5 IIS安全补丁管理* (20)5.3.6活动目录时间同步管理* (20)5.4启动项 (21)5.4.1关闭Windows自动播放功能 (21)5.5屏幕保护 (21)5.5.1设置屏幕保护密码和开启时间* (21)5.6远程登录控制 (22)5.6.1限制远程登陆空闲断开时间 (22)5.7补丁管理 (23)5.7.1操作系统补丁管理* (23)5.7.2操作系统最新补丁管理* (23)第6章评审与修订 (24)第1章概述1.1 目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的WINDOWS 操作系统的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行WINDOWS 操作系统的安全合规性检查和配置。

1.2 适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。

本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的WINDOWS 服务器系统。

1.3 适用版本WINDOWS系列服务器。

1.4 实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。

本标准发布之日起生效。

1.5 例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

第2章帐户管理、认证授权2.1 帐户2.1.1 管理缺省帐户安全基线项目名称操作系统缺省帐户安全基线要求项安全基线编号SBL-Windows-02-01-01安全基线项说明对于管理员帐号，要求更改缺省帐户名称；禁用guest（来宾）帐号。

检测操作步骤进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：缺省帐户Administrator－>属性Guest帐号->属性基线符合性判定依据缺省帐户Administrator名称已更改。

Guest帐号已停用。

备注2.1.2 按照用户分配帐户*安全基线项目名称操作系统用户帐户划分安全基线要求项安全基线编号SBL-Windows-02-01-02安全基线项说明按照用户分配帐户。

根据系统的要求，设定不同的帐户和帐户组，管理员用户，数据库用户，审计用户，来宾用户等。

检测操作步骤进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：根据系统的要求，设定不同的帐户和帐户组，管理员用户，数据库用户，审计用户，来宾用户。

基线符合性判定依据结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的帐户和帐户组，管理员用户，数据库用户，审计用户，来宾用户。

备注手工判断，需要根据实际情况判断帐户用途2.1.3 删除与设备无关帐户*安全基线项目名称操作系统与设备无关帐户安全基线要求项安全基线编号SBL-Windows-02-01-03安全基线项说明删除或锁定与设备运行、维护等与工作无关的帐户检测操作步骤进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：删除或锁定与设备运行、维护等与工作无关的帐户。

基线符合性判定依据结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的帐户。

进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：查看是否删除或锁定与设备运行、维护等与工作无关的帐户。

备注手工判断，需要根据实际情况判断帐户是否为无关帐户2.2 口令2.2.1密码复杂度安全基线项目名称操作系统密码复杂度安全基线要求项安全基线编号SBL-Windows-02-02-01安全基线项说明最短密码长度8个字符，启用本机组策略中密码必须符合复杂性要求的策略。

即密码至少包含以下四种类别的字符中的2种：英语大写字母A, B, C, … Z英语小写字母a, b, c, … z西方阿拉伯数字0, 1, 2, (9)非字母数字字符，如标点符号，@, #, $, %, &, *等检测操作步骤进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：查看是否“密码必须符合复杂性要求”选择“已启动”基线符合性判定依据“密码最小长度”大于等于8“密码必须符合复杂性要求”选择“已启动”备注2.2.2密码最长留存期安全基线项操作系统密码历史安全基线要求项目名称安全基线编SBL-Windows-02-02-02号安全基线项对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天。

说明检测操作步进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：骤查看“密码最长存留期”“密码最长存留期”设置不大于“90天”基线符合性判定依据备注2.2.3帐户锁定策略安全基线项操作系统帐户锁定策略安全基线要求项目名称安全基线编SBL-Windows-02-02-03号安全基线项对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过10说明次，锁定该用户使用的帐户。

检测操作步进入“控制面板->管理工具->本地安全策略”，在“帐户策略->帐户锁定策略”：骤查看“帐户锁定阀值”设置“帐户锁定阀值”设置为小于或等于10次基线符合性判定依据备注2.3 授权2.3.1远程关机安全基线项操作系统远程关机策略安全基线要求项目名称安全基线编SBL-Windows-02-03-01号安全基线项在本地安全设置中从远端系统强制关机只指派给Administrators组。

说明检测操作步进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”: 骤查看“从远端系统强制关机”设置“从远端系统强制关机”设置为“只指派给Administrtors组”基线符合性判定依据备注2.3.2本地关机安全基线项操作系统本地关机策略安全基线要求项目名称安全基线编SBL-Windows-02-03-02号安全基线项在本地安全设置中关闭系统仅指派给Administrators组。

说明检测操作步进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”: 骤查看“关闭系统”设置基线符合性“关闭系统”设置为“只指派给Administrators组”判定依据备注2.3.3用户权利指派*安全基线项操作系统用户权力指派策略安全基线要求项目名称安全基线编SBL-Windows-02-03-03号安全基线项在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。

说明检测操作步进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”：骤查看是否“取得文件或其它对象的所有权”设置“取得文件或其它对象的所有权”设置为“只指派给Administrators组”基线符合性判定依据备注手工检查2.3.4授权帐户登陆*安全基线项操作系统用户授权登陆安全基线要求项目名称安全基线编SBL-Windows-02-03-04号安全基线项在本地安全设置中配置指定授权用户允许本地登陆此计算机。

说明检测操作步进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”骤“从本地登陆此计算机”设置为“指定授权用户”基线符合性“从本地登陆此计算机”设置为“指定授权用户”，进入“控制面板->管理工判定依据具->本地安全策略”，在“本地策略->用户权利指派”查看是否“从本地登陆此计算机”设置为“指定授权用户”备注手工判断是否授权2.3.5授权帐户从网络访问*安全基线项操作系统用户授权从网络访问安全基线要求项目名称安全基线编SBL-Windows-02-03-05号安全基线项在组策略中只允许授权帐号从网络访问(包括网络共享等，但不包括终端服说明务)此计算机。

检测操作步进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”骤“从网络访问此计算机”设置为“指定授权用户”基线符合性“从网络访问此计算机”设置为“指定授权用户”，进入“控制面板->管理工判定依据具->本地安全策略”，在“本地策略->用户权利指派”查看是否“从网络访问此计算机”设置为“指定授权用户”备注手工判断是否授权第3章日志配置操作3.1 日志配置3.1.1审核登录安全基线项操作系统审核登录策略安全基线要求项目名称安全基线编SBL-Windows-03-01-01号安全基线项设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的说明帐户，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。