基线检查
最后更新于
项目 | 详情 |
说明 | 对于采用静态口令认证技术的设备,口令长度至少 8 位,并至少包括数字、 小写字母、大写字母和特殊符号中的三种。 增强口令复杂度是为了增加攻击者破解密码的难度和时间成本 |
检测步骤 | 进入“控制面板->管理工具->本地安全策略”,在 “帐户策略->口令策略” 查看 是否“口令最小长度”大于等于 8,“口令必须符合复杂性要求”选择“已启动” |
符合性依据 | 口令最小长度”大于等于 8 口令必须符合复杂性要求”选择“已启动 |
影响性分析 | 加固操作对业务无影响 |
备注 | 口令复杂度需包含大写字母、小写字母、数字、特殊字符 4 类中的任意 3 类, 如不符合复杂度,先更改口令符合复杂度,再开启“复杂度性要求”配置 |
项目 | 详情 |
说明 | 对于采用静态口令认证技术的设备,帐户口令的生存期不长于 180 天,强制 密码历史大于等于 5 次。 |
检测步骤 | 进入“控制面板->管理工具->本地安全策略” (Windows 2012Server:“服务器 管理器->工具->本地安全策略”),在“帐户策略->口令策略”: 查看“口令最长使用期限”、“强制密码历史” 进入“控制面板->管理工具->计算机管理” (Windows 2012Server:“服务器管 Windows 安全基线检查报告 理器->工具->计算机管理”),在“系统工具->本地用户和组”: 所有运维使用的账户->属性,查看是否密码永不过期 |
符合性依据 | “口令最长使用期限”设置不大于“180 天” “强制密码历史”设置大于等于“5 次” 所有运维使用账户->属性:将“密码永不过期”的勾去掉 |
备注 | 不要对任何账户设置“密码永不过期”,对已写入代码的账户口令除外。 |
项目 | 详情 |
说明 | 禁用 guest(来宾)帐号 |
检测步骤 | 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”: Guest 帐号->属性-> 已禁用 |
符合性依据 | Guest 帐号已禁用。 |
回退操作 | 依赖此帐号的应用程序无法正常使用,如共享服务。 |
备注 | 该配置不能从域控制器下发,需要在本地去执行 |
项目 | 详情 |
说明 | 按照用户分配帐号。根据系统的实际要求,设定不同的帐号和帐户组,管理 员用户,数据库用户,审计用户,来宾用户等。 |
检测步骤 | 进入“控制面板->管理工具->计算机管理” (Windows 2012Server:“服务器管 Windows 安全基线检查报告 理器->工具->计算机管理”),在“系统工具->本地用户和组”: 根据系统的要求,设定不同的帐号和帐户组,管理员用户,数据库用户,审 计用户,来宾用户。 |
符合性依据 | 禁止所有人员都使用同一管理员账户(如服务器只有本业务系统运维人员使用例外)。 结合要求和实际业务情况判断符合要求,根据系统的要求,设定不同的帐号 和帐户组,管理员用户,数据库用户,审计用户,来宾用户。 |
备注 | 手工判断,需要根据实际情况判断帐号用途和权限分配 |
项目 | 详情 |
说明 | 对于管理员账户,要求更改缺省管理员账户名称 |
检测步骤 | 进入“控制面板->管理工具->计算机管理”(Windows 2012Server:“服务器管 理器->工具->计算机管理”),“系统工具->本地用户和组”: 缺省管理员帐号 Administrator->重命名 |
符合性依据 | 缺省帐号 Administrator 名称更改为其他不易猜解的用户名(如业务系统名+ 运维人员名),不要更名为 admin、adm 等 |
影响性分析 | 缺省管理员帐号 Administrator 如关联数据库或其他应用 |
备注 | 如数据库直接共享 Windows认证系统,则需同步修改数据库的用户名,否则可能造成数据库起不来,需要测试。 如有应用已写入代码,则不要修改缺省帐号 Administrator。 |
项目 | 详情 |
说明 | 对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过5次,锁定该用户使用的帐号。 用户认证失败锁定是为了防止暴力破解。 |
检测步骤 | 进入“控制面板->管理工具->本地安全策略”(Windows 2012Server:“服务器管理器->工具->本地安全策略”),在“帐户策略->帐户锁定策略”: 查看“帐户锁定阀值”、“帐户锁定时间”设置 |
符合性依据 | “帐户锁定阀值”设置为小于或等于5次,“帐户锁定时间”大于等于5分钟。 |
备注 | 该配置可以通过域控制器下发 |
项目 | 详情 |
说明 | 对于远程登陆的帐号,设置不活动断连时间15分钟。 |
检测步骤 | 进入“控制面板->管理工具->本地安全策略”(Windows 2012Server:“服务器管理器->工具->本地安全策略”),在“本地策略->安全选项”: “Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟 |
符合性依据 | 查看是否“Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟 |
项目 | 详情 |
说明 | 在本地安全设置中从远端系统强制关机只指派给Administrators组。如果普通用户也可以远程执行关机命令会给系统的安全运行带来很大的风险,攻击者只需要获取普通用户权限即可关闭服务器。 |
检测步骤 | 进入“控制面板->管理工具->本地安全策略”(Windows 2012Server:“服务器管理器->工具->本地安全策略”),在“本地策略->用户权利指派”: 查看“从远端系统强制关机”设置 |
符合性依据 | “从远端系统强制关机”设置为“只指派给Administrators组” |
备注 | 该配置可以通过域控制器下发 |
项目 | 详情 |
说明 | 在本地安全设置中取得文件或其它对象的所有权仅指派给 Administrators |
检测步骤 | 进入“控制面板->管理工具->本地安全策略” (Windows 2012Server:“服务器 管理器->工具->本地安全策略”),在“本地策略->用户权利指派”: 查看“从远端系统强制关机”设置 |
符合性依据 | “从远端系统强制关机”设置为“只指派给 Administrators 组” |
项目 | 详情 |
说明 | 在本地安全设置中配置指定授权用户允许本地登陆此计算机。 |
检测步骤 | 进入“控制面板->管理工具->本地安全策略” (Windows 2012Server:“服务器 管理器->工具->本地安全策略”),在“本地策略->用户权利指派” “允许本地登录”设置为“指定授权用户” |
符合性依据 | “允许本地登录”设置为“指定授权用户”,进入“控制面板->管理工具->本地安 全策略” (Windows 2012Server:“服务器管理器->工具->本地安全策略”),在 “本地策略->用户权利指派” 查看是否“允许本地登录”设置为“指定授权用户”(删除 backup 用户组和 Everyone 用户组。 |
备注 | 指定授权用户包括运维账户和业务账户 |
项目 | 详情 |
说明 | 在组策略中只允许授权帐号从网络访问(包括网络共享等,但不包括终端服 务)此计算机 |
检测步骤 | 进入“控制面板->管理工具->本地安全策略” (Windows 2012Server:“服务器 管理器->工具->本地安全策略“),在“本地策略->用户权利指派” “从网络访问此计算机”设置为“指定授权用户” |
符合性依据 | 查看是否“从网络访问此计算机”设置为“指定授权用户”(删除 backup 用户组 和 Everyone 用户组。) |
备注 | 指定授权用户包括运维账户和业务账户 |
项目 | 详情 |
说明 | 内网服务器不允许从互联网直接登录进行远程调试 |
检测步骤 | 检测从互联网访问服务器的 SSH、Telnet、FTP、RDP 远程桌面等调试端口 |
符合性依据 | 1、访问失败。 2、询问管理员内网服务器只能内部维护,不能从互联网远程维护 |
项目 | 详情 |
说明 | 非域环境中,关闭 Windows 硬盘默认共享,例如 C$,D$, ADMIN$, IPC$。 |
检测步骤 | 进入“开始->运行->Regedit”,进入注册表编辑器, 更改注册表键值: HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters AutoShareServer;如找不到键值,新建 DWord 值 0。( 禁止 C$、D$、E$一 类的共享) HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters AutoShareWKs;如找不到键值,新建 DWord 值 0。( 禁止 ADMIN$共享) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsarestrictanonymous;如找不到键值,新建 DWord 值 1。( 禁止 IPC$共享) |
符合性依据 | HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters AutoShareServer 键值为 0。 HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters AutoShareWK 键值为 0。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa restrictanonymous 键值为 1。 |
项目 | 详情 |
说明 | 查看每个共享文件夹的共享权限,只允许授权的账户拥有权限共享此文件夹, 禁止使用共享权限为“everyone”。 |
检测步骤 | 如不使用共享,忽略此项安全配置。 进入“控制面板->管理工具->计算机管理” (Windows 2012Server:“服务器管 理器->工具->计算机管理”),进入“系统工具->共享文件夹”: 查看每个共享文件夹的共享权限,只将权限授权于指定帐户。 |
符合性依据 | 查看每个共享文件夹的共享权限仅限于业务需要,不设置成为“everyone”。 进入“控制面板->管理工具->计算机管理” (Windows 2012Server:“服务器管 理器->工具->计算机管理”),进入“系统工具->共享文件夹”: 查看每个共享文件夹的共享权限,不设置成为“everyone”。 |
备注 | 只给所需的最小权限。 |
项目 | 详情 |
说明 | 设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的 帐户、登录是否成功、登录时间以及远程登录时用户使用的 IP 地址 |
检测步骤 | 开始->运行->执行“控制面板->管理工具->本地安全策略->审核策略” 审核登录事件。(Windows 2012Server:“服务器管理器->工具->本地安全策 略->审核策略”审核登录事件) |
符合性依据 | 审核登录事件,设置为成功和失败都审核。 |
影响性分析 | 加固操作增加系统资源开消,请检查系统资源是否充足。 |
回退操作 | 关闭日志审核功能 |
备注 | 默认日志大小和日志满后处理方式,是 20M 和按需新日志覆盖旧日志。 |
项目 | 详情 |
说明 | 启用组策略中对 Windows 系统的各类日志审核,成功和失败都要审核。 |
检测步骤 | 系统应配置完整的审核策略,启用本地策略中审核策略中如下项。每项都需 要设置为“成功”和“失败”都要审核。 开始->运行-> 执行“ 控制面板->管理工具->本地安全策略->需要配置的 策略: 1、审核策略更改; 2、审核对象访问; 3、审核进程跟踪; 4、审核目录服务访问; 5、审核特权使用; 6、审核系统事件; 7、审核账户管理; |
符合性依据 | 1、审核策略更改; 2、审核对象访问; 3、审核进程跟踪; 4、审核目录服务访问; 5、审核特权使用; 6、审核系统事件; 7、审核账户管理; 以上均设置为“成功”和“失败”都要审核。 |
项目 | 详情 |
说明 | 系统日志、应用日志、安全日志的大小以及扩展设置应符合记录需求。 |
检测步骤 | 进入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中: 1、“系统日志”属性中的日志大小设置不小于 40M(0x2800000) ,设置当达 到最大的日志尺寸时,“按需要改写事件”; 2、“应用日志”属性中的日志大小设置不小于 40M(0x2800000) ,设置当达 到最大的日志尺寸时,“按需要改写事件”; 3、“安全日志”属性中的日志大小设置不小于 40M(0x2800000) ,设置当达 到最大的日志尺寸时,“按需要改写事件”。 |
符合性依据 | 设置系统日志文件大小至少为 40M(0x2800000),设置当达到最大的日志尺寸时,按需要改写事件。 设置应用日志文件大小至少为 40M(0x2800000),设置当达到最大的日志尺寸时,按需要改写事件。 设置安全日志文件大小至少为 40M(0x2800000),设置当达到最大的日志尺寸时,按需要改写事件。 |
项目 | 详情 |
说明 | 操作系统应安装防病毒软件,并及时更新 |
检测步骤 | 进入“控制面板->程序->程序和功能”,查看是否安装防病毒软件。 点开防病毒软件,查看病毒库更新时间 |
符合性依据 | 防病毒软件已安装,病毒库为最新 |
回退操作 | 删除杀毒软件 |
项目 | 详情 |
说明 | 应安装最新的 Service Pack 补丁集。安装最新安全更新 |
检测步骤 | 安装最新的 Service Pack 补丁集,目前 Windows 7 的 Service Pack 为 SP1。 Windows2008 的 Service Pack 为 SP1。安装永恒之蓝补丁。 |
符合性依据 | 显示 WIN7 系统已安装 SP1,Win2008 Server R2 系统已安装 SP1。控制面板-> 程序和功能->查看已安装的更新,查看是否 WIN7 系统已安装 SP1,Win2008R2 系统已安装 SP1。已安装对应操作系统下的永恒之蓝补丁 |
影响性分析 | 加固操作对业务的影响需要在测试环境中进行测试。 |
备注 | 根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。可能影响 业务 |
项目 | 详情 |
说明 | 如需启用 SNMP 服务,则修改默认的 SNMP Community String 设置。攻击者 通过 SNMP 默认的团体名称可以获取运行的进程、安装的应用软件版本、用 户帐号等相关敏感信息 |
检测步骤 | 打开“控制面板”,打开“管理工具”中的“服务”(Windows 2012Server:“服务器 管理器->工具->服务”),找到“SNMP Service”,单击右键打开“属性”面板中 的“安全”选项卡,在这个配置界面中,查看 community strings,也就是微软 所说的“团体名称”。 |
符合性依据 | 未开启 SNMP 服务或者 community strings 已改,不是默认的“public”。 |
备注 | 如使用网管软件,应与网管软件同步修改 community strings 值 如果出现业务软件需要使用 SNMP,而且默认字串符无法修改的情况,则需 要在 IPSEC 设置访问策略,限定 SNMP 161 端口通信地址 |
项目 | 详情 |
说明 | 列出所需要服务的列表(包括所需的系统服务),不在此列表的服务需关闭。 |
检测步骤 | netstat -a 命令查看系统开放端口 使用 IPSEC 关闭和业务没有关系的服务端口: 135、138、137、139、445 等 1、开始->运行->执行“控制面板->管理工具->本地安全策略->IP 安全策略 (Windows 2012Server:服务器管理器->工具->本地安全策略->IP 安全策 略) Windows 安全基线检查报告 2、双击系统端口防火墙策略进行查看和编辑,根据需要添加或者删除,确 认无误后,进行策略指派 |
符合性依据 | 系统管理员应出具业务系统功能端口,以及运维端口所必要的端口列表。关 闭 23、135、139、445 端口 |
备注 | 限制不必要的网络端口,主要是减少系统所能提供的网络服务,通过满足系 统最小化服务的安全需求,最大程度降低系统潜在风险 |
项目 | 详情 |
说明 | 列出系统启动时自动加载的进程和服务列表,不在此列表的需关闭 |
检测步骤 | “开始->运行->msconfig”启动菜单中,取消不必要的启动项 |
符合性依据 | 不需要的自动加载进程通过“开始->运行->msconfig”启动菜单中取消 |
影响性分析 | 加固操作对业务的影响需要在测试环境中进行测试 |
项目 | 详情 |
说明 | 系统如未使用 IIS 服务,请关闭该服务。 |
检测步骤 | 检查 IIS 服务是否开启 |
符合性依据 | 如系统未使用 IIS 服务,请关闭 |
影响性分析 | 加固操作对业务的影响需要在测试环境中进行测试。 |
项目 | 详情 |
说明 | 关闭 Windows 自动播放功能 |
检测步骤 | 1、打开“开始→运行”,在对话框中输入“gpedit.msc”命令,在出现“组策略” 窗口中依次选择“在计算机配置→管理模板→Windows 组件→自动播放策 略”,双击启用“关闭自动播放”,下拉框选择对“所有驱动器”。(window 2008) 2、打开“控制面板→自动播放”,将“为所有媒体和设备使用的自动播放”前的 勾去掉。(window 2008 、windows 2012) |
符合性判定 依据 | 在“设置”选项卡中选“已启用”选项 |
影响性分析 | 加固操作对业务无影响 |
项目 | 详情 |
说明 | 设置带密码的屏幕保护,并将时间设定为 5 分钟 |
检测步骤 | 进入“控制面板->显示->屏幕保护程序”: 启用屏幕保护程序,设置等待时间为“5 分钟”,启用“在恢复时使用密码保护 |
符合性判定 依据 | 已开启屏幕保护,并将时间设定为 5 分钟,并在在恢复时使用密码保护 |
影响性分析 | 加固操作对业务无影响 |
项目 | 详情 |
说明 | 不显示上次登录的用户名 |
检测步骤 | 进入“控制面板->管理工具->本地安全设置”,进入“本地策略->安全选项”: 将“交互登录:不显示上次的用户名”配置为“已启用”。 |
符合性判定 依据 | 不显示上次的用户名”配置为“已启用” |
影响性分析 | 加固操作对业务无影响 |
项目 | 详情 |
说明 | 在关机时,清除虚拟内存文件 |
检测步骤 | 进入“控制面板->管理工具->本地安全设置”,进入“本地策略->安全选项”: 将“关机:清除虚拟内存页面文件”配置为“已启用”。 将“用可还原的加密来存储密码”,配置为“不启用”。 |
符合性判定 依据 | 关机:清除虚拟内存页面文件”配置为“已启用”。 |
影响性分析 | 加固操作对业务无影响 |