セキュリティ設定のベースライン - クラスのオペレーティングシステム - Windowsの10

セキュリティ設定のベースライン - クラスのオペレーティングシステム

Microsoft Windowsの10のデスクトップ・オペレーティング・システムV1.0

　　Microsoft Windowsの10のデスクトップオペレーティングシステムが勧告に従うべきで実行しているコンピュータにインストールされ、この文書の末尾に設定された一般的な基本的な安全要件には、configureセキュリティコンプライアンス自己検査へのWindows 10オペレーティングシステムのインストール設定プロセスのための参照を提供し、安全性の実装標準の基礎と補強アセスメントや安全取扱説明書を提供しています。

ディレクトリ

まず、アカウント管理... 2

1.1デフォルトのアカウント... 2

1.2パスワードの複雑... 2

1.3パスワードの生存... 2

1.4アカウントロックアウトのポリシー... 2

1.5 Doが最後のログイン名が表示されない... 3

1.6リモートログインタイムアウトの設定... 3

第二に、権威... 3

リモートシャットダウン2.1認証... 3

2.2ファイルのパーミッションは、割り当てられた... 3

2.3ネットワークアクセスのユーザ認証... 3

第三に、監査ログ... 4

3.1監査ログログ... 4

3.2監査ログの完全... 4

3.3監査ログのサイズ... 4

第四に、セキュリティ要件... 5

4.1アンチウイルス... 5

4.2データ漏洩防止システム... 5

4.3ターミナルの管理... 5

4.4パッチ更新... 5

4.5ファイアウォール... 6

第五に、システムサービスと機能... 6

5.1システムサービス... 6

自動再生オフ5.2ターン... 6

5.3デフォルトの共有チェック... 6

5.4共有のアクセス許可を確認... 7

5.5データ実行防止... 7

 

 

まず、アカウント管理

1.1デフォルトのアカウント

番号	MS_Win10-V1-1-1
制御要件	管理者アカウントの名前を変更し、無効にゲスト（ゲスト）アカウント
操作ガイド	[スタート] - > [ファイル名を指定して実行 - > lusrmgr.msc、リネーム管理者、障害者ゲスト
検出	[スタート] - > [ファイル名を指定して実行 - > lusrmgr.msc、ローカルユーザービュー
基礎を決定します	デフォルトの管理者アカウントの名前が変更された、ゲストは無効

1.2パスワードの複雑

番号	MS_Win10-V1-1-2
制御要件	8文字の最小パスワード長、パスワードには、文字の次の4つのカテゴリのうち少なくとも3つがあります。 英大文字、B、C、... Z 英語を小文字A、B、C、... Z 西洋アラビア数字0、1、2、... 9 は、句読点などの英数字以外の文字、@、＃、$、％、＆、*
操作ガイド	1、[コントロールパネル] - > [管理ツール] - > [ローカルセキュリティポリシー] - > [アカウントポリシー] - > [パスワードポリシーのオプションは、「最小パスワード長が」8に設定されています 2、[コントロールパネル] - > [管理ツール] - > [ローカルセキュリティポリシー] - > [アカウントポリシー] - > [パスワードポリシーのオプションを有効にするには、set「パスワードは、複雑さの要件を満たす必要があります」
検出	1、最小チェックの設定 2、ラジオボタンの状態を確認
基礎を決定します	1,8満たすために、最小値以上の要件 2、シングルボックスが遵守する「開始」を選択します

1.3パスワードの生存

番号	MS_Win10-V1-1-3
制御要件	静的パスワード認証技術を使用するシステムで、アカウントのパスワードの有効期間がより長くありません 90日
操作ガイド	[コントロールパネル] - > [管理ツール] - > [ローカルセキュリティポリシー] - > [アカウントポリシー] - > [パスワードポリシーのオプション「パスワードの有効期間は」90に設定されています
検出	オプションの値を確認してください
基礎を決定します	準拠する90以下

1.4アカウントロックアウトのポリシー

番号	MS_Win10-V1-1-4
制御要件	静的パスワード認証技術を使用するシステムでは、5倍以上（5を除く）した後、ユーザーが使用するアカウントをロックする際、ユーザーの連続認証失敗設定する必要があります
操作ガイド	[コントロールパネル] - > [管理ツール] - > [ローカルセキュリティポリシー] - > [アカウントポリシー] - > [アカウントロックアウトポリシーのオプション「アカウントロックアウトのしきい値は、」5に設定され、「アカウントのロックアウト時間」10分まで
検出	「アカウントのロックアウトのしきい値」と「アカウントロックアウト」の値を確認してください
基礎を決定します	「アカウントのロックアウトのしきい値が」と並んで5以下である、「アカウントのロックアップ時間」以上10分のコンプライアンスに等しいです

1.5最後のログイン名を表示しません

番号	MS_Win10-V1-1-5
制御要件	「：最後のユーザー名を表示しない対話型ログイン」を有効
操作ガイド	控制面板->管理工具->本地安全策略->本地策略->安全选项，选项“交互式登录：不显示上次登录”
检测方法	检查选项状态
判定依据	“已启用”为符合

1.6   远程登录超时配置

编号	MS_Win10-V1-1-6
控制要求	对于远程登陆的帐号，设置不活动断连时间，强制终结会话
操作指南	控制面板->管理工具->本地安全策略->本地策略->安全选项，打开选项“Microsoft 网络服务器: 暂停会话前所需的空闲时间量”的属性页，设置“中断连接如果空闲时间超过”15
检测方法	检查属性页参数值
判定依据	非0，小于15分钟为符合

 

二、      权限

2.1   远程关机授权

编号	MS_Win10-V1-2-1
控制要求	关机授权只指派给administrators组
操作指南	控制面板->管理工具->本地安全策略->本地策略->用户权限指派，选项“从远程系统强制关机”设置为administrators
检测方法	检查属性列表
判定依据	仅有“administrators”为符合

2.2   文件权限指派

编号	MS_Win10-V1-2-2
控制要求	操作系统文件或其它对象的所有权仅指派给administrators
操作指南	控制面板->管理工具->本地安全策略->本地策略->用户权限指派，选项 “取得文件或其他对象的所有权”设置为administrators
检测方法	检查属性列表
判定依据	仅有“administrators”为符合

2.3   网络访问用户授权

编号	MS_Win10-V1-2-3
控制要求	只允许授权帐号从网络访问此计算机
操作指南	控制面板->管理工具->本地安全策略->本地策略->用户权限指派，选项 “从网络访问此计算机”去掉“User”和“Everyone”
检测方法	检查属性列表
判定依据	不包括”Users”和”Everyone”组和其他无用组为符合要求

三、      日志审核

3.1   审核登录日志

编号	MS_Win10-V1-3-1
控制要求	系统应启用日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址
操作指南	控制面板->管理工具->本地安全策略->本地策略->审核策略，选项“审核登录事件”，同时勾选“成功”和“失败”
检测方法	检查属性值
判定依据	“成功”和“失败”同时勾选为符合要求

3.2   审核日志完备性

编号	MS_Win10-V1-3-2
控制要求	系统应配置完整的审核策略，启用本地策略中审核策略中如下项,包括成功和失败日志：          审核策略更改          审核特权使用          审核系统事件          审核账户管理
操作指南	控制面板->管理工具->本地安全策略->本地策略->审核策略，上述选项，同时勾选“成功”和“失败”
检测方法	检查属性值
判定依据	“成功”和“失败”同时勾选为符合要求

3.3   审核日志大小

编号	MS_Win10-V1-3-3
控制要求	设置系统日志、应用日志、安全日志文件大小至少为20480KB，设置当达到最大的日志尺寸时，按需要改写事件
操作指南	开始->运行-> eventvwr.msc，在Windows日志中的           “系统日志”属性页           “应用日志”属性页           “安全日志”属性页 设置“日志最大大小”为20480KB,“达到事件日志最大大小时”，选择“按需要覆盖日志”
检测方法	检查“系统日志”属性页、“应用日志”属性页、“安全日志”属性页
判定依据	属性页设置如下状态为符合：          应用日志文件大小至少为20MB          当达到最大的应用日志大小时，按需要改写事件          系统日志文件大小至少为20MB          当达到最大的应用日志大小时，按需要改写事件          安全日志文件大小至少为20MB          当达到最大的安全日志大小时，按需要改写事件

 

四、      安全防护要求

4.1   防病毒

编号	MS_Win10-V1-4-1
控制要求	安装防病毒客户端软件，并及时更新。
操作指南	电脑下发时已安装，如发现未安装，请联系IT
检测方法	检查系统进程和程序安装列表，确认是否已安装防病毒软件 打开防病毒软件客户端信息界面，查看上一次安全更新时间。
判定依据	已安装为符合，上次病毒库更新时间在一个月以内为符合

 

4.2   终端管理

编号	MS_Win10-V1-4-2
控制要求	安装终端桌面管理软件
操作指南	电脑下发时已安装，如发现未安装，请联系IT
检测方法	检查系统进程和任务栏，确认是否已安装
判定依据	存在进程、可查看桌管软件客户端界面为符合

4.3   补丁更新

编号	MS_Win10-V1-4-3
控制要求	应安装关键和重要系统补丁，开启系统自动更新功能
操作指南	WSUS统一管理
检测方法	检查WSUS配置项
判定依据	无当前需修复补丁为符合

4.4   本机防火墙

编号	MS_Win10-V1-4-4
控制要求	启用Windows 自带防火墙。根据业务需要限定允许访问网络的应用程序，和允许远程登陆该设备的IP地址范围。
操作指南	开始->运行-> firewall.cpl，启用Windows Defender防火墙
检测方法	检查防火墙设置
判定依据	启用状态为符合

五、      系统服务与功能

5.1   系统服务

编号	MS_Win10-V1-5-1
控制要求	关闭不必要的系统服务
操作指南	开始->运行-> services.msc， 检查服务清单，不影响系统正常使用的前提下，建议关闭如下几项服务： Downloaded Maps Manager Remote Desktop Services Remote Desktop Configuration Routing and Remote access Remote Registry SNMP Trap SSDP Discovery Windows Remote Management Windows Error Reporting Service Windows Event Collector Xbox accessory Management Service
检测方法	查看所有服务，输出所有服务列表，查看是否有异常服务。
判定依据	确认可以关闭的服务，已设置为禁用状态为符合

5.2   关闭自动播放功能

编号	MS_Win10-V1-5-2
控制要求	关闭Windows自动播放功能
操作指南	开始->运行->gpedit.msc， 打开“本地组策略编辑器”窗口中依次选择“计算机配置->管理模板->Windows组件->自动播放策略”，选择“关闭自动播放”选项，选择“已启用”，并设置关闭“所有驱动器”
检测方法	检查策略选项设置
判定依据	“已启用”，并设置关闭“所有驱动器”为符合

5.3   默认共享检查

编号	MS_Win10-V1-5-3
控制要求	非域环境中，关闭Windows硬盘默认共享，例如C$，D$。
操作指南	开始->运行->regedit，进入注册表编辑器，定位到HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\下，增加REG_DWORD类型的->utoSh->reServer 键，值为 0。
检测方法	开始->运行->cmd,进入命令提示符，输入net sh->re
判定依据	确认已无C$、D$等默认共享为符合

5.4   共享权限检查

编号	MS_Win10-V1-5-4
控制要求	查看每个共享文件夹的共享权限，只允许授权的账户拥有权限共享此文件夹，禁止使用共享权限为”everyone”。
操作指南	开始->运行->fsmgmt.msc，打开“共享”，查看当前已共享的路径，右键属性，查看“共享权限”，将everyone从已共享用户和组删掉。
检测方法	查看“共享权限”用户和组清单
判定依据	无everyone,只保留需要的账户为符合

5.5   数据执行保护

编号	MS_Win10-V1-5-5
控制要求	在操作系统程序和服务启用系统自带DEP功能(数据执行保护)，防止在受保护内存位置运行有害代码。
操作指南	参考配置操作（适用2003、2008 x64） 控制面板->系统，在“高级”选项卡的“性能”下的“设置”。进入 “数据执行保护”选项卡，设置为“仅为基本 Windows 操作系统程序和服务启用DEP”。
检测方法	检查选项设置
判定依据	设置为“仅为基本 Windows 操作系统程序和服务启用DEP”为符合