安全配置基线 – 操作系统类
Microsoft Windows 10桌面操作系统 V1.0
本文档针对安装运行Microsoft Windows 10桌面操作系统的终端计算机所应当遵循的通用基本安全设置要求提供了参考建议,用于安装配置 Windows 10操作系统过程中进行安全配置合规性自查,以及实施安全评估或安全加固时提供标准依据与操作指导。
目录
一、 账户管理... 2
1.1 默认账号... 2
1.2 密码复杂度... 2
1.3 密码生存期... 2
1.4 账户锁定策略... 2
1.5 不显示上次登录名... 3
1.6 远程登录超时配置... 3
二、 权限... 3
2.1 远程关机授权... 3
2.2 文件权限指派... 3
2.3 网络访问用户授权... 3
三、 日志审核... 4
3.1 审核登录日志... 4
3.2 审核日志完备性... 4
3.3 审核日志大小... 4
四、 安全防护要求... 5
4.1 防病毒... 5
4.2 数据防泄漏系统... 5
4.3 终端管理... 5
4.4 补丁更新... 5
4.5 本机防火墙... 6
五、 系统服务与功能... 6
5.1 系统服务... 6
5.2 关闭自动播放功能... 6
5.3 默认共享检查... 6
5.4 共享权限检查... 7
5.5 数据执行保护... 7
一、 账户管理
1.1 默认账号
| 编号 |
MS_Win10-V1-1-1 |
| 控制要求 |
重命名管理员帐户;禁用 guest(来宾)帐户 |
| 操作指南 |
开始->运行->lusrmgr.msc,重命名administrator,禁用guest |
| 检测方法 |
开始->运行->lusrmgr.msc,查看本地用户 |
| 判定依据 |
缺省账户 administrator 已更名、guest 已停用 |
1.2 密码复杂度
| 编号 |
MS_Win10-V1-1-2 |
| 控制要求 |
最短密码长度 8个字符;密码至少包含以下四种类别的字符中的三种: 英语大写字母 a, B, C, … Z 英语小写字母 A, b, c, … z 西方阿拉伯数字 0, 1, 2, … 9 非字母数字字符,如标点符号,@, #, $, %, &, * |
| 操作指南 |
1、控制面板->管理工具->本地安全策略->帐户策略->密码策略,选项“密码长度最小值”设置为8 2、控制面板->管理工具->本地安全策略->帐户策略->密码策略,选项“密码必须符合复杂性要求”设置为启用 |
| 检测方法 |
1、检查最小值设置 2、检查单选框状态 |
| 判定依据 |
1、 最小值大于等于8为符合要求 2、 单选框选中”已启动”为符合 |
1.3 密码生存期
| 编号 |
MS_Win10-V1-1-3 |
| 控制要求 |
对于采用静态口令认证技术的系统,账户口令的生存期不长于 90 天 |
| 操作指南 |
控制面板->管理工具->本地安全策略->帐户策略->密码策略,选项“密码最长使用期限”设置为90 |
| 检测方法 |
检查选项值 |
| 判定依据 |
小于等于90为符合 |
1.4 账户锁定策略
| 编号 |
MS_Win10-V1-1-4 |
| 控制要求 |
对于采用静态口令认证技术的系统,应配置当用户连续认证失败次数超过 5 次(不含 5 次)后,锁定该用户使用的账号 |
| 操作指南 |
控制面板->管理工具->本地安全策略->帐户策略->账户锁定策略,选项“账户锁定阈值”设置为5,“账户锁定时间”设置为10分钟 |
| 检测方法 |
检查“账户锁定阈值”和“账户锁定时间”值 |
| 判定依据 |
“账户锁定阈值”小于等于5为符合,“账户锁定时间”大于等于10分钟为符合 |
1.5 不显示上次登录名
| 编号 |
MS_Win10-V1-1-5 |
| 控制要求 |
启用“交互式登录:不显示最后的用户名” |
| 操作指南 |
控制面板->管理工具->本地安全策略->本地策略->安全选项,选项“交互式登录:不显示上次登录” |
| 检测方法 |
检查选项状态 |
| 判定依据 |
“已启用”为符合 |
1.6 远程登录超时配置
| 编号 |
MS_Win10-V1-1-6 |
| 控制要求 |
对于远程登陆的帐号,设置不活动断连时间,强制终结会话 |
| 操作指南 |
控制面板->管理工具->本地安全策略->本地策略->安全选项,打开选项“Microsoft 网络服务器: 暂停会话前所需的空闲时间量”的属性页,设置“中断连接如果空闲时间超过”15 |
| 检测方法 |
检查属性页参数值 |
| 判定依据 |
非0,小于15分钟为符合 |
二、 权限
2.1 远程关机授权
| 编号 |
MS_Win10-V1-2-1 |
| 控制要求 |
关机授权只指派给administrators组 |
| 操作指南 |
控制面板->管理工具->本地安全策略->本地策略->用户权限指派,选项“从远程系统强制关机”设置为administrators |
| 检测方法 |
检查属性列表 |
| 判定依据 |
仅有“administrators”为符合 |
2.2 文件权限指派
| 编号 |
MS_Win10-V1-2-2 |
| 控制要求 |
操作系统文件或其它对象的所有权仅指派给administrators |
| 操作指南 |
控制面板->管理工具->本地安全策略->本地策略->用户权限指派,选项 “取得文件或其他对象的所有权”设置为administrators |
| 检测方法 |
检查属性列表 |
| 判定依据 |
仅有“administrators”为符合 |
2.3 网络访问用户授权
| 编号 |
MS_Win10-V1-2-3 |
| 控制要求 |
只允许授权帐号从网络访问此计算机 |
| 操作指南 |
控制面板->管理工具->本地安全策略->本地策略->用户权限指派,选项 “从网络访问此计算机”去掉“User”和“Everyone” |
| 检测方法 |
检查属性列表 |
| 判定依据 |
不包括”Users”和”Everyone”组和其他无用组为符合要求 |
三、 日志审核
3.1 审核登录日志
| 编号 |
MS_Win10-V1-3-1 |
| 控制要求 |
系统应启用日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址 |
| 操作指南 |
控制面板->管理工具->本地安全策略->本地策略->审核策略,选项“审核登录事件”,同时勾选“成功”和“失败” |
| 检测方法 |
检查属性值 |
| 判定依据 |
“成功”和“失败”同时勾选为符合要求 |
3.2 审核日志完备性
| 编号 |
MS_Win10-V1-3-2 |
| 控制要求 |
系统应配置完整的审核策略,启用本地策略中审核策略中如下项,包括成功和失败日志: 审核策略更改 审核特权使用 审核系统事件 审核账户管理 |
| 操作指南 |
控制面板->管理工具->本地安全策略->本地策略->审核策略,上述选项,同时勾选“成功”和“失败” |
| 检测方法 |
检查属性值 |
| 判定依据 |
“成功”和“失败”同时勾选为符合要求 |
3.3 审核日志大小
| 编号 |
MS_Win10-V1-3-3 |
| 控制要求 |
设置系统日志、应用日志、安全日志文件大小至少为20480KB,设置当达到最大的日志尺寸时,按需要改写事件 |
| 操作指南 |
开始->运行-> eventvwr.msc,在Windows日志中的 “系统日志”属性页 “应用日志”属性页 “安全日志”属性页 设置“日志最大大小”为20480KB,“达到事件日志最大大小时”,选择“按需要覆盖日志” |
| 检测方法 |
检查“系统日志”属性页、“应用日志”属性页、“安全日志”属性页 |
| 判定依据 |
属性页设置如下状态为符合: 应用日志文件大小至少为20MB 当达到最大的应用日志大小时,按需要改写事件 系统日志文件大小至少为20MB 当达到最大的应用日志大小时,按需要改写事件 安全日志文件大小至少为20MB 当达到最大的安全日志大小时,按需要改写事件 |
四、 安全防护要求
4.1 防病毒
| 编号 |
MS_Win10-V1-4-1 |
| 控制要求 |
安装防病毒客户端软件,并及时更新。 |
| 操作指南 |
电脑下发时已安装,如发现未安装,请联系IT |
| 检测方法 |
检查系统进程和程序安装列表,确认是否已安装防病毒软件 打开防病毒软件客户端信息界面,查看上一次安全更新时间。 |
| 判定依据 |
已安装为符合,上次病毒库更新时间在一个月以内为符合 |
4.2 终端管理
| 编号 |
MS_Win10-V1-4-2 |
| 控制要求 |
安装终端桌面管理软件 |
| 操作指南 |
电脑下发时已安装,如发现未安装,请联系IT |
| 检测方法 |
检查系统进程和任务栏,确认是否已安装 |
| 判定依据 |
存在进程、可查看桌管软件客户端界面为符合 |
4.3 补丁更新
| 编号 |
MS_Win10-V1-4-3 |
| 控制要求 |
应安装关键和重要系统补丁,开启系统自动更新功能 |
| 操作指南 |
WSUS统一管理 |
| 检测方法 |
检查WSUS配置项 |
| 判定依据 |
无当前需修复补丁为符合 |
4.4 本机防火墙
| 编号 |
MS_Win10-V1-4-4 |
| 控制要求 |
启用Windows 自带防火墙。根据业务需要限定允许访问网络的应用程序,和允许远程登陆该设备的IP地址范围。 |
| 操作指南 |
开始->运行-> firewall.cpl,启用Windows Defender防火墙 |
| 检测方法 |
检查防火墙设置 |
| 判定依据 |
启用状态为符合 |
五、 系统服务与功能
5.1 系统服务
| 编号 |
MS_Win10-V1-5-1 |
| 控制要求 |
关闭不必要的系统服务 |
| 操作指南 |
开始->运行-> services.msc, 检查服务清单,不影响系统正常使用的前提下,建议关闭如下几项服务: Downloaded Maps Manager Remote Desktop Services Remote Desktop Configuration Routing and Remote access Remote Registry SNMP Trap SSDP Discovery Windows Remote Management Windows Error Reporting Service Windows Event Collector Xbox accessory Management Service |
| 检测方法 |
查看所有服务,输出所有服务列表,查看是否有异常服务。 |
| 判定依据 |
确认可以关闭的服务,已设置为禁用状态为符合 |
5.2 关闭自动播放功能
| 编号 |
MS_Win10-V1-5-2 |
| 控制要求 |
关闭Windows自动播放功能 |
| 操作指南 |
开始->运行->gpedit.msc, 打开“本地组策略编辑器”窗口中依次选择“计算机配置->管理模板->Windows组件->自动播放策略”,选择“关闭自动播放”选项,选择“已启用”,并设置关闭“所有驱动器” |
| 检测方法 |
检查策略选项设置 |
| 判定依据 |
“已启用”,并设置关闭“所有驱动器”为符合 |
5.3 默认共享检查
| 编号 |
MS_Win10-V1-5-3 |
| 控制要求 |
非域环境中,关闭Windows硬盘默认共享,例如C$,D$。 |
| 操作指南 |
开始->运行->regedit,进入注册表编辑器,定位到HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\下,增加REG_DWORD类型的->utoSh->reServer 键,值为 0。 |
| 检测方法 |
开始->运行->cmd,进入命令提示符,输入net sh->re |
| 判定依据 |
确认已无C$、D$等默认共享为符合 |
5.4 共享权限检查
| 编号 |
MS_Win10-V1-5-4 |
| 控制要求 |
查看每个共享文件夹的共享权限,只允许授权的账户拥有权限共享此文件夹,禁止使用共享权限为”everyone”。 |
| 操作指南 |
开始->运行->fsmgmt.msc,打开“共享”,查看当前已共享的路径,右键属性,查看“共享权限”,将everyone从已共享用户和组删掉。 |
| 检测方法 |
查看“共享权限”用户和组清单 |
| 判定依据 |
无everyone,只保留需要的账户为符合 |
5.5 数据执行保护
| 编号 |
MS_Win10-V1-5-5 |
| 控制要求 |
在操作系统程序和服务启用系统自带DEP功能(数据执行保护),防止在受保护内存位置运行有害代码。 |
| 操作指南 |
参考配置操作(适用2003、2008 x64) 控制面板->系统,在“高级”选项卡的“性能”下的“设置”。进入 “数据执行保护”选项卡,设置为“仅为基本 Windows 操作系统程序和服务启用DEP”。 |
| 检测方法 |
检查选项设置 |
| 判定依据 |
设置为“仅为基本 Windows 操作系统程序和服务启用DEP”为符合 |