中国移动Windows操作系统安全配置规范.doc

1、 中国移动通信和设备通用安全基线规范中 国 移 动 WINDOWS 操 作 系 统安 全 配 置 规 范Specification for Windows OSConfiguration Used in China Mobile版 本 号 ： .0.0 网络与信息安全规范编号:【网络与信息安全规范 】【第四层：技术规范Windows 操作系统】【第 4504 号】2007-12-18 发 布 2008-01-01 实 施中国移动通信集团公司发布中国移动 windows 操作系统安全配置规范目录1 概述 11.1 适用范围 .11.2 内部适用性说明 .11.3 外部引用说明 .21.4 术语和

2、定义 .31.5 符号和缩略语 .32 WINDOWS 设备安全配置要求 32.1 账号管理、认证授权 .32.1.1 账号 .42.1.2 口令 .52.1.3 授权 .72.2 日志配置操作 .112.3 IP 协议安全配置操作 172.4 设备其他配置操作 .202.4.1 屏幕保护 .202.4.2 共享文件夹及访问权限 .212.4.3 补丁管理 .222.4.4 防病毒管理 .232.4.5 Windows 服务 242.4.6 启动项 .25中国移动 windows 操作系统安全配置规范前言本标准由中国移动通信有限公司网络部提出并归口。本标准由标准提出并归口部门负责解释。本标准起

3、草单位：中国移动通信有限公司网络部。本标准解释单位：同提出单位。本标准主要起草人：中国移动通信集团浙江公司 朱国萃 13957181776中国移动集团公司 陈敏时 13911773802中国移动 Windows 操作系统安全配置规范中国移动通信集团公司第 1 页 共 28 页11 概述1.1 适用范围本规范所指的设备为 Windows 系统设备。本规范明确了运行 Windows 操作系统的设备在安全配置方面的基本要求。在未特别说明的情况下，均适用于所有运行的 Windows 操作系统，包括 Windows 2000、Windows XP、Windows2003 以及各版本中的 Sever、Pr

4、ofessional 版本。1.2 内部适用性说明配置要求说明编号 采纳意见 补充说明安全要求-设备-通用- 配置-1-可选 增强 安全要求-设备-WINDOWS-配置-1安全要求-设备-通用- 配置-2-可选 增强 安全要求-设备-WINDOWS-配置-2-可选安全要求-设备-通用- 配置-3-可选 不采纳 Windows 无法在远程登陆时通过切换用户提升权限安全要求-设备-通用- 配置-4 增强 安全要求-设备-WINDOWS-配置-4安全要求-设备-通用- 配置-5 完全采纳安全要求-设备-通用- 配置-6-可选 完全采纳安全要求-设备-通用- 配置-7-可选 完全采纳安全要求-设备-通

5、用- 配置-9 增强 安全要求-设备-WINDOWS-配置-5安全要求-设备-WINDOWS-配置-6安全要求-设备-WINDOWS-配置-7安全要求-设备-WINDOWS-配置-8安全要求-设备-WINDOWS-配置-9安全要求-设备-通用- 配置-12 完全采纳安全要求-设备-通用- 配置-13-可选 增强 安全要求-设备-WINDOWS-配置-11安全要求-设备-通用- 配置-24-可选 增强 安全要求-设备-WINDOWS-配置-10中国移动 Windows 操作系统安全配置规范中国移动通信集团公司第 2 页 共 28 页2安全要求-设备-WINDOWS-配置-12安全要求-设备-WI

6、NDOWS-配置-13安全要求-设备-WINDOWS-配置-14安全要求-设备-WINDOWS-配置-15安全要求-设备-WINDOWS-配置-16安全要求-设备-WINDOWS-配置-17安全要求-设备-WINDOWS-配置-18安全要求-设备-WINDOWS-配置-19安全要求-设备-通用- 配置-14-可选 不采纳 Windows 日志储存在本地安全要求-设备-通用- 配置-16-可选 增强 安全要求-设备-WINDOWS-配置-20-可选安全要求-设备-WINDOWS-配置-21-可选安全要求-设备-通用- 配置-17-可选 不采纳 Windosw 远程管理采用了自有协议，不支持 SS

7、H 安全要求-设备-通用- 配置-19-可选 不采纳 WIN 系统不具备字符交互界面安全要求-设备-通用- 配置-20-可选 增强 安全要求-设备-WINDOWS-配置-22安全要求-设备-通用- 配置-27-可选 不采纳 Windows 不支持 CONSOLE 访问1.3 外部引用说明中国移动通用安全功能和配置规范1.4 术语和定义1.5 符号和缩略语缩写 英文描述 中文描述中国移动 Windows 操作系统安全配置规范中国移动通信集团公司第 3 页 共 28 页3缩写 英文描述 中文描述2 WINDOWS 设备安全配置要求本规范从 Windows 系统设备的认证授权功能、安全日志功能以及

8、IP 网络安全功能，和其他自身安全配置功能四个方面提出安全要求。2.1 账号管理、认证授权认证功能用于确认登录系统的用户真实身份。认证功能的具体实现方式包括静态口令、动态口令、指纹等生物鉴别技术等。授权功能赋予系统账号的操作权限，并限制用户进行超越其账号权限的操作。2.1.1 账号编号：安全要求-设备- 通用-配置-1要求内容 按照用户分配账号。根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户，审计用户，来宾用户等。操作指南 1、参考配置操作进入“控制面板-管理工具-计算机管理” ，在“系统工具-本地用户和组”：根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户，审计

9、用户，来宾用户。检测方法 1、 判定条件结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户，审计用户，来宾用户。中国移动 Windows 操作系统安全配置规范中国移动通信集团公司第 4 页 共 28 页42、检测操作进入“控制面板-管理工具-计算机管理” ，在“系统工具-本地用户和组”：查看根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户，审计用户，来宾用户。编号：安全要求-设备-WINDOWS-配置-2-可选要求内容 删除或锁定与设备运行、维护等与工作无关的账号。操作指南 1、参考配置操作进入“控制面板-管理工具-计算机管理” ，

10、在“系统工具-本地用户和组”：删除或锁定与设备运行、维护等与工作无关的账号。检测方法 1、判定条件结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的账号。2、检测操作进入“控制面板-管理工具-计算机管理” ，在“系统工具-本地用户和组”：查看是否删除或锁定与设备运行、维护等与工作无关的账号。编号：安全要求-设备-WINDOWS-配置-3-可选要求内容 对于管理员帐号，要求更改缺省帐户名称；禁用 guest（来宾）帐号。操作指南 1、参考配置操作进入“控制面板-管理工具-计算机管理” ，在“系统工具-本地用户和组”：Administrator 属性 更改名称Guest

11、帐号-属性 已停用检测方法 1、判定条件中国移动 Windows 操作系统安全配置规范中国移动通信集团公司第 5 页 共 28 页5缺省账户 Administrator 名称已更改。Guest 帐号已停用。2、检测操作进入“控制面板-管理工具-计算机管理” ，在“系统工具-本地用户和组”：缺省帐户属性 更改名称Guest 帐号-属性 已停用2.1.2 口令编号：安全要求-设备-WINDOWS-配置-4要求内容 最短密码长度 6 个字符，启用本机组策略中密码必须符合复杂性要求的策略。即密码至少包含以下四种类别的字符中的三种： 英语大写字母 A, B, C, Z 英语小写字母 a, b, c, z

12、 西方阿拉伯数字 0, 1, 2, 9 非字母数字字符，如标点符号，, #, $, %, &, *等操作指南 1、参考配置操作进入“控制面板-管理工具-本地安全策略” ，在“帐户策略-密码策略”：“密码必须符合复杂性要求”选择“已启动”检测方法 1、判定条件“密码必须符合复杂性要求”选择“已启动”2、检测操作进入“控制面板-管理工具-本地安全策略” ，在“帐户策略-密码策略”：查看是否“密码必须符合复杂性要求”选择“已启动”编号：安全要求-设备-WINDOWS-配置-35中国移动 Windows 操作系统安全配置规范中国移动通信集团公司第 6 页 共 28 页6要求内容 对于采用静态口令认证技

13、术的设备，账户口令的生存期不长于 90天。操作指南 1、参考配置操作进入“控制面板-管理工具-本地安全策略” ，在“帐户策略-密码策略”：“密码最长存留期”设置为“90 天”检测方法 1、判定条件“密码最长存留期”设置为“90 天”2、检测操作进入“控制面板-管理工具-本地安全策略” ，在“帐户策略-密码策略”：查看是否“密码最长存留期”设置为“90 天”编号：安全要求-设备-WINDOWS-配置-36-可选要求内容 对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近 5 次（含 5 次）内已使用的口令。操作指南 1、参考配置操作进入“控制面板-管理工具-本地安全策略” ，在“

14、帐户策略-密码策略”：“强制密码历史”设置为“记住 5 个密码”检测方法 1、判定条件“强制密码历史”设置为“记住 5 个密码”2、检测操作进入“控制面板-管理工具-本地安全策略” ，在“帐户策略-密码策略”：查看是否“强制密码历史”设置为“记住 5 个密码”编号：安全要求-设备-WINDOWS-配置-37要求内容 对于采用静态口令认证技术的设备，应配置当用户连续认证失败中国移动 Windows 操作系统安全配置规范中国移动通信集团公司第 7 页 共 28 页7次数超过 6 次（不含 6 次） ，锁定该用户使用的账号。操作指南 1、参考配置操作进入“控制面板-管理工具-本地安全策略” ，在“帐

15、户策略-帐户锁定策略”：“账户锁定阀值”设置为 6 次检测方法 1、判定条件“账户锁定阀值”设置为小于或等于 6 次2、检测操作进入“控制面板-管理工具-本地安全策略” ，在“帐户策略-帐户锁定策略”：查看是否“账户锁定阀值”设置为小于等于 6 次2.1.3 授权编号：安全要求-设备-WINDOWS-配置-5要求内容 在本地安全设置中从远端系统强制关机只指派给 Administrators组。操作指南 1、参考配置操作进入“控制面板-管理工具-本地安全策略” ，在“本地策略-用户权利指派”:“从远端系统强制关机”设置为“只指派给 Administrators 组”检测方法 1、判定条件“从远端

16、系统强制关机”设置为“只指派给 Administrtors 组”2、检测操作进入“控制面板-管理工具-本地安全策略” ，在“本地策略-用户权利指派”:查看是否“从远端系统强制关机”设置为“只指派给Administrators 组”中国移动 Windows 操作系统安全配置规范中国移动通信集团公司第 8 页 共 28 页8编号：安全要求-设备-WINDOWS-配置-6要求内容 在本地安全设置中关闭系统仅指派给 Administrators 组。操作指南 1、参考配置操作进入“控制面板-管理工具-本地安全策略” ，在“本地策略-用户权利指派”:“关闭系统”设置为“只指派给 Administrato

17、rs 组”检测方法 1、判定条件“关闭系统”设置为“只指派给 Administrators 组”2、检测操作进入“控制面板-管理工具-本地安全策略” ，在“本地策略-用户权利指派”:查看“关闭系统”设置为“只指派给 Administrators 组”编号：安全要求-设备-WINDOWS-配置-7要求内容 在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。操作指南 1、参考配置操作进入“控制面板-管理工具-本地安全策略” ，在“本地策略-用户权利指派”：“取得文件或其它对象的所有权”设置为“只指派给Administrators 组”检测方法 1、判定条件“取得文件或

18、其它对象的所有权”设置为“只指派给Administrators 组”2、检测操作进入“控制面板-管理工具-本地安全策略” ，在“本地策略-用户权利指派”：查看是否“取得文件或其它对象的所有权”设置为“只指派给Administrators 组”中国移动 Windows 操作系统安全配置规范中国移动通信集团公司第 9 页 共 28 页9编号：安全要求-设备-WINDOWS-配置-8要求内容 在本地安全设置中配置指定授权用户允许本地登陆此计算机。操作指南 1、参考配置操作进入“控制面板-管理工具-本地安全策略” ，在“本地策略-用户权利指派”“从本地登陆此计算机”设置为“指定授权用户”检测方法 1、

19、判定条件“从本地登陆此计算机”设置为“指定授权用户”2、检测操作进入“控制面板-管理工具-本地安全策略” ，在“本地策略-用户权利指派”查看是否“从本地登陆此计算机”设置为“指定授权用户”编号：安全要求-设备-WINDOWS-配置-9要求内容 在组策略中只允许授权帐号从网络访问(包括网络共享等，但不包括终端服务)此计算机。操作指南 1、参考配置操作进入“控制面板-管理工具-本地安全策略” ，在“本地策略-用户权利指派”“从网络访问此计算机”设置为“指定授权用户”检测方法 1、判定条件“从网络访问此计算机”设置为“指定授权用户”2、检测操作进入“控制面板-管理工具-本地安全策略” ，在“本地策略

20、-用户权利指派”查看是否“从网络访问此计算机”设置为“指定授权用户”中国移动 Windows 操作系统安全配置规范中国移动通信集团公司第 10 页 共 28 页102.2 日志配置操作编号：安全要求-设备-WINDOWS-配置-38要求内容 设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的 IP 地址。操作指南 1、参考配置操作开始-运行- 执行“ 控制面板-管理工具-本地安全策略-审核策略”审核登录事件，双击，设置为成功和失败都审核。检测方法 1、判定条件审核登录事件，设置为成功和失败都审核。2、检测操作开始-运行-

21、执行“ 控制面板-管理工具-本地安全策略-审核策略”审核登录事件，双击，查看是否设置为成功和失败都审核。编号：安全要求-设备-WINDOWS-配置-10要求内容 启用组策略中对 Windows 系统的审核策略更改，成功和失败都要审核。操作指南 1、参考配置操作进入“控制面板-管理工具-本地安全策略” ，在“本地策略 -审核策略”中“审核策略更改”设置为“成功” 和“失败”都要审核检测方法 1、判定条件“审核策略更改”设置为“成功” 和“失败”都要审核2、检测操作进入“控制面板-管理工具-本地安全策略” ，在“本地策略 -审核策略”中中国移动 Windows 操作系统安全配置规范中国移动通信集团

22、公司第 11 页 共 28 页11查看是否“审核策略更改”设置为“成功” 和“失败”都要审核编号：安全要求-设备-WINDOWS-配置-11要求内容 启用组策略中对 Windows 系统的审核对象访问，成功和失败都要审核。操作指南 1、参考配置操作进入“控制面板-管理工具-本地安全策略” ，在“本地策略 -审核策略”中：“审核对象访问”设置为“成功”和“失败”都要审核检测方法 1、判定条件“审核对象访问”设置为“成功”和“失败”都要审核2、检测操作进入“控制面板-管理工具-本地安全策略” ，在“本地策略-审核策略”中：查看是否“审核对象访问”设置为“成功”和“失败”都要审核编号：安全要求-设备

23、-WINDOWS-配置-12要求内容 启用组策略中对 Windows 系统的审核目录服务访问，失败。操作指南 1、参考配置操作进入“控制面板-管理工具-本地安全策略” ，在“本地策略 -审核策略”中：“审核目录服务器访问”设置为“成功” 和“失败”都要审核检测方法 1、判定条件“审核目录服务器访问”设置为“成功” 和“失败”都要审核2、检测操作进入“控制面板-管理工具-本地安全策略” ，在“本地策略 -审核策略”中：查看是否“审核目录服务器访问”设置为“成功” 和“失败”都要审核中国移动 Windows 操作系统安全配置规范中国移动通信集团公司第 12 页 共 28 页12编号：安全要求-设备

24、-WINDOWS-配置-13要求内容 启用组策略中对 Windows 系统的审核特权使用，成功和失败都要审核。操作指南 1、参考配置操作进入“控制面板-管理工具-本地安全策略” ，在“本地策略 -审核策略”中：“审核特权使用”设置为“成功” 和“失败”都要审核检测方法 1、判定条件“审核目录服务器访问”设置为“成功” 和“失败”都要审核2、检测操作进入“控制面板-管理工具-本地安全策略” ，在“本地策略 -审核策略”中：查看是否“审核目录服务器访问”设置为“成功” 和“失败”都要审核编号：安全要求-设备-WINDOWS-配置-14要求内容 启用组策略中对 Windows 系统的审核系统事件，成

25、功和失败都要审核。操作指南 1、参考配置操作进入“控制面板-管理工具-本地安全策略” ，在“本地策略 -审核策略”中：“审核系统事件”设置为“成功” 和“失败”都要审核检测方法 1、判定条件“审核系统事件”设置为“成功” 和“失败”都要审核2、检测操作进入“控制面板-管理工具-本地安全策略” ，在“本地策略 -审核策略”中：查看是否“审核系统事件”设置为“成功” 和“失败”都要审核中国移动 Windows 操作系统安全配置规范中国移动通信集团公司第 13 页 共 28 页13编号：安全要求-设备-WINDOWS-配置-15要求内容 启用组策略中对 Windows 系统的审核帐户管理，成功和失败

26、都要审核。操作指南 1、参考配置操作进入“控制面板-管理工具-本地安全策略” ，在“本地策略 -审核策略”中：“审核账户管理”设置为“成功” 和“失败”都要审核检测方法 1、判定条件“审核账户管理”设置为“成功” 和“失败”都要审核2、检测操作进入“控制面板-管理工具-本地安全策略” ，在“本地策略 -审核策略”中：查看是否“审核账户管理”设置为“成功” 和“失败”都要审核编号：安全要求-设备-WINDOWS-配置-16要求内容 启用组策略中对 Windows 系统的审核过程追踪，失败。操作指南 1、参考配置操作进入“控制面板-管理工具-本地安全策略” ，在“本地策略 -审核策略”中：“审核过

27、程追踪”设置为 “失败”需要审核检测方法 1、判定条件“审核过程追踪”设置为 “失败”需要审核2、检测操作进入“控制面板-管理工具-本地安全策略” ，在“本地策略 -审核策略”中：查看是否“审核过程追踪”设置为 “失败”需要审核编号：安全要求-设备-WINDOWS-配置-17-可选中国移动 Windows 操作系统安全配置规范中国移动通信集团公司第 14 页 共 28 页14要求内容 设置应用日志文件大小至少为 8192KB，设置当达到最大的日志尺寸时，按需要改写事件。操作指南 1、参考配置操作进入“控制面板-管理工具-事件查看器” ，在“事件查看器（本地） ”中：“应用日志”属性中的日志大小

28、设置不小于“8192KB” ,设置当达到最大的日志尺寸时， “按需要改写事件”检测方法 1、判定条件“应用日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时， “按需要改写事件”2、检测操作进入“控制面板-管理工具-事件查看器” ，在“事件查看器（本地） ”中：查看是否“应用日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时， “按需要改写事件”编号：安全要求-设备-WINDOWS-配置-18-可选要求内容 设置系统日志文件大小至少为 8192KB，设置当达到最大的日志尺寸时，按需要改写事件。操作指南 1、参考配置操作进入“控制面板-管理

29、工具-事件查看器” ，在“事件查看器（本地） ”中：“系统日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时， “按需要改写事件”检测方法 1、判定条件“系统日志”属性中的日志大小设置不小于“8192KB” , 设置当达到最大的日志尺寸时， “按需要改写事件”2、检测操作进入“控制面板-管理工具-事件查看器” ，在“事件查看器（本中国移动 Windows 操作系统安全配置规范中国移动通信集团公司第 15 页 共 28 页15地） ”中：查看是否“系统日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时， “按需要改写事件”编号：安全要求-设

30、备-WINDOWS-配置-19-可选要求内容 设置安全日志文件大小至少为 8192KB，设置当达到最大的日志尺寸时，按需要改写事件。操作指南 1、参考配置操作进入“控制面板-管理工具-事件查看器” ，在“事件查看器（本地） ”中：“安全日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时， “按需要改写事件”检测方法 1、判定条件“安全日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时， “按需要改写事件”2、检测操作进入“控制面板-管理工具-事件查看器” ，在“事件查看器（本地） ”中：查看是否“安全日志”属性中的日志大小设置不小于“81

31、92KB” ,设置当达到最大的日志尺寸时， “按需要改写事件”2.3 IP 协议安全配置操作编号：安全要求-设备-WINDOWS-配置-20-可选要求内容 对没有自带防火墙的 Windows 系统，启用 Windows 系统的 IP 安全机制(IPSec) 或网络连接上的 TCP/IP 筛选，只开放业务所需要的TCP，UDP 端口和 IP 协议。操作指南 1、参考配置操作进入“控制面板网络连接本地连接” ，进入“Internet 协议中国移动 Windows 操作系统安全配置规范中国移动通信集团公司第 16 页 共 28 页16（TCP/IP）属性高级 TCP/IP 设置” ，在“选项”的属性

32、中启用网络连接上的 TCP/IP 筛选，只开放业务所需要的 TCP，UDP端口和 IP 协议。检测方法 1、判定条件系统管理员出示业务所需端口列表。根据列表只开放系统与业务所需端口。2、检测操作进入“控制面板网络连接本地连接” ，进入“Internet 协议（TCP/IP）属性高级 TCP/IP 设置” ，在“选项”的属性中启用网络连接上的 TCP/IP 筛选，查看是否只开放业务所需要的TCP，UDP 端口和 IP 协议。编号：安全要求-设备-WINDOWS-配置-21-可选要求内容 启用 Windows XP 和 Windows 2003 自带防火墙。根据业务需要限定允许访问网络的应用程序，

33、和允许远程登陆该设备的 IP 地址范围。操作指南 1、参考配置操作进入“控制面板网络连接本地连接” ，在高级选项的设置中启用 Windows 防火墙。在“例外”中配置允许业务所需的程序接入网络。在“例外-编辑-更改范围”编辑允许接入的网络地址范围。检测方法 1、判定条件启用 Windows 防火墙。“例外”中允许接入网络的程序均为业务所需。2、检测操作进入“控制面板网络连接本地连接” ，在高级选项的设置中，查看是否启用 Windows 防火墙。查看是否在“例外”中配置允许业务所需的程序接入网络。查看是否在“例外-编辑-更改范围”编辑允许接入的网络地址中国移动 Windows 操作系统安全配置规

34、范中国移动通信集团公司第 17 页 共 28 页17范围。编号：安全要求-设备-WINDOWS-配置-22-可选要求内容 启用 SYN 攻击保护；指定触发 SYN 洪水攻击保护所必须超过的TCP 连接请求数阀值为 5；指定处于 SYN_RCVD 状态的 TCP 连接数的阈值为 500；指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值为 400。操作指南 1、参考配置操作在“开始-运行-键入 regedit”启用 SYN 攻击保护的命名值位于注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。值名称：S

35、ynAttackProtect。推荐值：2。以下部分中的所有项和值均位于注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。指定必须在触发 SYN flood 保护之前超过的 TCP 连接请求阈值。值名称：TcpMaxPortsExhausted 。推荐值：5。启用 SynAttackProtect 后，该值指定 SYN_RCVD 状态中的 TCP 连接阈值，超过 SynAttackProtect 时，触发 SYN flood 保护。值名称：TcpMaxHalfOpen。推荐值数据： 500。启用 SynAttackProtect

36、 后，指定至少发送了一次重传的 SYN_RCVD 状态中的 TCP 连接阈值。超过 SynAttackProtect 时，触发 SYN flood 保护。值名称：TcpMaxHalfOpenRetried。推荐值数据：400。检测方法 1、判定条件各注册表键值均按要求设置。2、检测操作在“开始-运行-键入 regedit”启用 SYN 攻击保护的命名值位于注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 中国移动 Windows 操作系统安全配置规范中国移动通信集团公司第 18 页 共 28 页18之下。值名称：SynAttackPr

37、otect。推荐值：2。以下部分中的所有项和值均位于注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。指定必须在触发 SYN flood 保护之前超过的 TCP 连接请求阈值。值名称：TcpMaxPortsExhausted 。推荐值：5。启用 SynAttackProtect 后，该值指定 SYN_RCVD 状态中的 TCP 连接阈值，超过 SynAttackProtect 时，触发 SYN flood 保护。值名称：TcpMaxHalfOpen。推荐值数据： 500。启用 SynAttackProtect 后，指定至少发送了

38、一次重传的 SYN_RCVD 状态中的 TCP 连接阈值。超过 SynAttackProtect 时，触发 SYN flood 保护。值名称：TcpMaxHalfOpenRetried。推荐值数据：400。2.4 设备其他配置操作2.4.1 屏幕保护编号：安全要求-设备-WINDOWS-配置-23要求内容 设置带密码的屏幕保护，并将时间设定为 5 分钟。操作指南 1、参考配置操作进入“控制面板显示 屏幕保护程序”：启用屏幕保护程序，设置等待时间为“5 分钟” ，启用“在恢复时使用密码保护”检测方法 1、判定条件启用屏幕保护程序，设置等待时间为“5 分钟” ，启用“在恢复时使用密码保护” 。2、

39、检测操作进入“控制面板显示 屏幕保护程序”：中国移动 Windows 操作系统安全配置规范中国移动通信集团公司第 19 页 共 28 页19查看是否启用屏幕保护程序，设置等待时间为“5 分钟” ，启用“在恢复时使用密码保护”编号：安全要求-设备-WINDOWS-配置-24要求内容 对于远程登陆的帐号，设置不活动断连时间 15 分钟。操作指南 1、参考配置操作进入“控制面板-管理工具-本地安全策略” ，在“本地策略-安全选项”：“Microsoft 网络服务器”设置为“在挂起会话之前所需的空闲时间”为 15 分钟检测方法 1、判定条件“Microsoft 网络服务器”设置为“在挂起会话之前所需的

40、空闲时间”为 15 分钟。2、检测操作进入“控制面板-管理工具-本地安全策略” ，在“本地策略-安全选项”：查看是否“Microsoft 网络服务器”设置为“在挂起会话之前所需的空闲时间”为 15 分钟2.4.2 共享文件夹及访问权限编号：安全要求-设备-WINDOWS-配置-25-可选要求内容 非域环境中，关闭 Windows 硬盘默认共享，例如 C$，D$。操作指南 1、参考配置操作进入“开始运行Regedit” ，进入注册表编辑器，更改注册表键值：在 HKLMSystemCurrentControlSet ServicesLanmanServerParameters下，增加 REG_DW

41、ORD 类型的AutoShareServer 键，值为 0。中国移动 Windows 操作系统安全配置规范中国移动通信集团公司第 20 页 共 28 页20检测方法 1、判定条件HKLMSystemCurrentControlSet ServicesLanmanServerParameters增加了 REG_DWORD 类型的AutoShareServer 键，值为 0。2、检测操作进入“开始运行Regedit” ，进入注册表编辑器，更改注册表键值：在 HKLMSystemCurrentControlSet ServicesLanmanServerParameters下，增加 REG_DWOR

42、D 类型的AutoShareServer 键，值为 0。编号：安全要求-设备-WINDOWS-配置-26要求内容 查看每个共享文件夹的共享权限，只允许授权的账户拥有权限共享此文件夹。操作指南 1、参考配置操作进入“控制面板-管理工具-计算机管理” ，进入“系统工具共享文件夹”：查看每个共享文件夹的共享权限，只将权限授权于指定账户。检测方法 1、判定条件查看每个共享文件夹的共享权限仅限于业务需要，不设置成为“everyone”。2、检测操作进入“控制面板-管理工具-计算机管理” ，进入“系统工具共享文件夹”：查看每个共享文件夹的共享权限。2.4.3 补丁管理编号：安全要求-设备-WINDOWS-

43、配置-27要求内容 应安装最新的 Service Pack 补丁集。对服务器系统应先进行兼容性中国移动 Windows 操作系统安全配置规范中国移动通信集团公司第 21 页 共 28 页21测试。操作指南 1、参考配置操作安装最新的 Service Pack 补丁集，目前 Windows XP 的 Service Pack 为 SP2。Windows2000 的 Service Pack 为 SP4,Windows 2003 的 Servoce Pack 为 SP1检测方法 1、判定条件显示 XP 系统已安装 SP2，Win2000 系统已安装 SP4。2、检测操作控制面板-添加或删除程序-

44、显示更新打钩，查看是否XP 系统已安装 SP2，Win2000 系统已安装 SP4。编号：安全要求-设备-WINDOWS-配置-28-可选要求内容 应安装最新的 Hotfix 补丁。对服务器系统应先进行兼容性测试。操作指南 1、参考配置操作安装最新的 Hotfix 补丁。对服务器系统应先进行兼容性测试。检测方法 1、判定条件已安装最新的 Hotfix 补丁，并经过兼容性测试。2、检测操作控制面板-添加或删除程序-显示更新打钩，查看最近安装的Hotfix 补丁是否为微软最新发布。2.4.4 防病毒管理编号：安全要求-设备-WINDOWS-配置-29要求内容 安装防病毒软件，并及时更新。操作指南

45、1、参考配置操作安装防病毒软件，并及时更新。检测方法 1、判定条件中国移动 Windows 操作系统安全配置规范中国移动通信集团公司第 22 页 共 28 页22已安装放病毒软件，病毒码更新时间不早于 1 个月，各系统病毒码升级时间要求参见各系统相关规定。2、检测操作控制面板-添加或删除程序，是否安装有防病毒软件。打开防病毒软件控制面板，查看病毒码更新日期。编号：安全要求-设备-WINDOWS-配置-30-可选要求内容 对于 Windows XP SP2 及 Windows 2003 对 Windows 操作系统程序和服务启用系统自带 DEP 功能(数据执行保护) ，防止在受保护内存位置运行有

46、害代码。操作指南 1、参考配置操作进入“控制面板系统” ，在“高级”选项卡的 “性能”下的“设置” 。进入 “数据执行保护”选项卡。设置为“ 仅为基本 Windows 操作系统程序和服务启用 DEP”。检测方法 1、判定条件“数据执行保护”选项卡已设置为“ 仅为基本 Windows 操作系统程序和服务启用 DEP”。2、检测操作进入“控制面板系统” ，在“高级”选项卡的 “性能”下的“设置” 。进入 “数据执行保护”选项卡。查看是否设置为 “ 仅为基本 Windows 操作系统程序和服务启用 DEP”。2.4.5 Windows 服务编号：安全要求-设备-WINDOWS-配置-31要求内容 列

47、出所需要服务的列表(包括所需的系统服务 )，不在此列表的服务需关闭。操作指南 1、参考配置操作进入“控制面板-管理工具-计算机管理” ，进入“服务和应用程中国移动 Windows 操作系统安全配置规范中国移动通信集团公司第 23 页 共 28 页23序”：查看所有服务，不在此列表的服务需关闭。检测方法 1、判定条件系统管理员应出具系统所必要的服务列表。查看所有服务，不在此列表的服务需关闭。2、检测操作进入“控制面板-管理工具-计算机管理” ，进入“服务和应用程序”：查看所有服务，不在此列表的服务是否已关闭。编号：安全要求-设备-WINDOWS-配置-32-可选要求内容 如需启用 SNMP 服务

48、，则修改默认的 SNMP Community String 设置。操作指南 1、参考配置操作打开“控制面板” ，打开“ 管理工具 ”中的“服务”，找到“SNMP Service”，单击右键打开 “属性”面板中的“安全”选项卡，在这个配置界面中，可以修改 community strings，也就是微软所说的“团体名称”。检测方法 1、判定条件community strings 已改，不是默认的“public”2、检测操作打开“控制面板” ，打开“ 管理工具 ”中的“服务”，找到“SNMP Service”，单击右键打开 “属性”面板中的“安全”选项卡，在这个配置界面中，查看 community

49、strings，也就是微软所说的“团体名称”。编号：安全要求-设备-WINDOWS-配置-33-可选要求内容 如需启用 IIS 服务，则将 IIS 升级到最新补丁。操作指南 1、参考配置操作中国移动 Windows 操作系统安全配置规范中国移动通信集团公司第 24 页 共 28 页24下载 IIS 补丁包IIS4.0http:/ IIS6.0检测方法 1、判定条件已安装 IIS 补丁包或升级到 IIS6.0。2、检测操作控制面板-添加或删除程序-显示更新打钩，查看是否安装 IIS 补丁包。2.4.6 启动项编号：安全要求-设备-WINDOWS-配置-34要求内容 列出系统启动时自动加载的进程和服务列表，不在此列表的需关闭。操作指南 1、参考配置操作“开始-运行-MSconfig”启动菜单中，取消不必要的启动项。检测方