各类操作系统安全基线配置及操作指引
各类操作系统安全配各类操作系统安全配 置要求及操作指南置要求及操作指南 检查模块支持系统版本号 WindowsWindows 2000 以上 SolarisSolaris 8 以上 AIXAIX 5.X 以上 HP-UNIXHP-UNIX 11i 以上 Linux内核版本 2.6 以上 OracleOracle 8i 以上 SQL Server Microsoft SQL Server 2000 以上 MySQLMySQL 5.x 以上 IISIIS 5.x 以上 ApacheApache 2.x 以上 TomcatTomcat 5.x以上 WebLogicWebLogic 8.X 以上 1 / 174 Windows 操作系统 安全配置要求及操作指南 I 目录 目录. I 前言 II 1范围. 1 2规范性引用文件. 1 3缩略语. 1 4安全配置要求. 2 4.1账号 . 2 4.2口令 . 3 4.3授权 . 5 4.4补丁 . 7 4.5防护软件 . 8 4.6防病毒软件 . 8 4.7日志安全要求 . 9 4.8不必要的服务 11 4.9启动项 12 4.10关闭自动播放功能. 13 4.11共享文件夹 . 13 4.12使用 NTFS 文件系统 . 14 4.13网络访问 . 15 4.14会话超时设置 . 16 2 / 174 4.15注册表设置 . 17 附录 A:端口及服务 18 II 前言 为了在工程验收、运行维护、安全检查等环节,规范并落实安全配置要求, 编制了一系列的安全配置要求及操作指南,明确了操作系统、数据库、应用中间 件在内的通 用安全配置要求及参考操作。 该系列安全配置要求及操作指南的结构及名称预计如下: (1) 《 Windows操作系统安全配置要求及操作指南》 (本规范) (2) 《 AIX 操作系统安全配置要求及操作指南》 (3) 《 HP-UX 操作系统安全配置要求及操作指南》 (4) 《 Linux 操作系统安全配置要求及操作指南》 (5) 《 Solaris 操作系统安全配置要求及操作指南》 (6) 《 MS SQL server 数据库安全配置要求及操作指南》 (7) 《 MySQL 数据库安全配置要求及操作指南》 (8) 《 Oracle 数据库安全配置要求及操作指南》 (9) 《 Apache 安全配置要求及操作指南》 (10) 《 IIS 安全配置要求及操作指南》 (11) 《 Tomcat 安全配置要求及操作指南》 (12) 《 WebLogic 安全配置要求及操作指南》 1 1 范围 适用于使用 Windows 操作系统的设备。在未特别说明的情况下,均适用于所 有运行的 Windows 操作系统, 包括 Windows 2000、 Windows XP、 Windows2003, Windows7 , Windows 2008 以及各版本中的 Sever、Professional版本。 本规范明确了 Windows 操作系统在安全配置方面的基本要求,适用于所有的安 全等级, 可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。 由于版本不同,配置操作有所不同,本规范以 Windows 2003 为例,给出参考配 置操作。 2 规范性引用文件 GB/T22239-2008《信息安全技术 信息系统安全等级保护基本要求》 YD/T 1732-2008《固定通信网安全防护要求》 YD/T 1734-2008《移动通信网安全防护要求》 3 / 174 YD/T 1736-2008《互联网安全防护要求》 YD/T 1738-2008《增值业务网—消息网安全防护要求》 YD/T 1740-2008《增值业务网—智能网安全防护要求》 YD/T 1758-2008《非核心生产单元安全防护要求》 YD/T 1742-2008《接入网安全防护要求》 YD/T 1744-2008《传送网安全防护要求》 YD/T 1746-2008《IP 承载网安全防护要求》 YD/T 1748-2008《信令网安全防护要求》 YD/T 1750-2008《同步网安全防护要求》 YD/T 1752-2008《支撑网安全防护要求》 YD/T 1756-2008《电信网和互联网管理安全等级保护要求》 3 缩略语 UDP User Datagram Protocol 用户数据包协议 TCP Transmission Control Protocol 传输控制协议 2 NTFSNew Technology File System新技术文件系统 4 安全配置要求 4.1 账号 编号:1 要求内容应按照不同的用户分配不同的账号,避免不同用户间共享账号。避 免用户账号和设备间通信使用的账号共享。 操作指南1、参考配置操作 进入“控制面板-管理工具-计算机管理” ,在“系统工具-本地用 户和组” : 根据系统的要求,设定不同的账户和账户组。 检测方法1、 判定条件 结合要求和实际业务情况判断符合要求,根据系统的要求,设定不 同的账户和账户组 2、检测操作 进入“控制面板-管理工具-计算机管理” ,在“系统工具-本地用 户和组” : 查看根据系统的要求,设定不同的账户和账户组 编号:2 要求内容 应删除与运行、维护等工作无关的账号。 操作指南 1.参考配置操作 A)可使用用户管理工具: 开始-运行-compmgmt.msc-本地用户和组-用户 B)也可以通过 net 命令: 删除账号: net user account/de1 4 / 174 停用账号:net user account/active:no 检测方法 1.判定条件 结合要求和实际业务情况判断符合要求,删除或锁定与设备运行、维护 等与工作无关的账号。 3 注:无关的账号主要指测试帐户、共享帐号、长期不用账号(半年以上 不用)等 2.检测操作 开始-运行-compmgmt.msc-本地用户和组-用户 编号:3 要求内容重命名 Administrator;禁用 guest(来宾)帐号。 操作指南1、参考配置操作 进入“控制面板-管理工具-计算机管理” ,在“系统工具-本地用 户和组” : Administrator-属性- 更改名称 Guest 帐号-属性-已停用 检测方法1、判定条件 缺省账户 Administrator名称已更改。 Guest 帐号已停用。 2、检测操作 进入“控制面板-管理工具-计算机管理” ,在“系统工具-本地用 户和组” : 缺省帐户-属性-更改名称 Guest 帐号-属性-已停用 4.2 口令 编号:1 要求内容密码长度要求:最少 8 位 密码复杂度要求:至少包含以下四种类别的字符中的三种: z英语大写字母 A, B, C, … Z z英语小写字母 a, b, c, … z z阿拉伯数字 0, 1, 2, … 9 z非字母数字字符,如标点符号,@, #, $, %, 锁定用户: 1)修改/etc/shadow文件,用户名后加*LK* 2)将/etc/passwd 文件中的 shell 域设置成/bin/false 3)#passwd -l username 只有具备超级用户权限的使用者方可使用,#