基线windows7配置

图书与信息中心Windows操作系统配置安全基线标准与操作指南南京农业大学图书与信息中心2018年6月图书与信息中心目录第1章概述.
11.
1安全基线概念.
11.
2文档编制目的.
11.
3文档适用范围.
11.
4文档修订.
1第2章账户管理、认证授权.
22.
1操作系统账户.
22.
1.
1管理缺省账户.
22.
2口令.
22.
2.
1密码复杂度.
22.
2.
2密码历史.
32.
2.
3帐户锁定策略.
32.
3授权.
42.
3.
1远程关机授权.
42.
3.
2本地关机授权.
42.
3.
3文件或其它对象的所有权授权52.
4身份鉴别.
52.
4.
1禁止Windows自动登录5第3章日志配置操作.
63.
1日志配置.
63.
1.
1审核登录.
63.
1.
2审核策略更改.
63.
1.
3审核对象访问.
73.
1.
4审核事件目录服务器访问73.
1.
5审核特权使用.
83.
1.
6审核系统事件.
83.
1.
7审核账户管理.
93.
1.
8审核过程追踪.
93.
1.
9日志文件大小.
9第4章IP协议安全配置104.
1入侵防范.
104.
1.
1启用SYN攻击保护104.
1.
2启用ICMP攻击保护.
114.
1.
3启用SNMP攻击保护.
124.
1.
4禁用IP源路由.
124.
1.
5启用碎片攻击保护13第5章设备其他配置操作.
135.
1访问控制管理.
135.
1.
1共享文件夹权限控制13图书与信息中心5.
1.
2网络访问用户授权145.
1.
3匿名用户连接权限管理145.
1.
4远程桌面服务端口管理155.
1.
5禁止远程访问注册表路径和子路径.
155.
2数据防护管理.
165.
2.
1数据执行保护.
165.
2.
2恶意代码防范.
165.
3资源控制管理.
175.
3.
1终端服务登录管理.
175.
3.
2系统登录管理.
175.
3.
3用户登录超时管理185.
4启动项.
185.
4.
1关闭Windows自动播放功能185.
5时间校准.
195.
5.
1配置系统时间同步195.
6系统服务管理.
195.
6.
1系统服务管理.
19第6章系统更新.
206.
1系统更新.
206.
1.
1操作系统补丁更新.
20图书与信息中心1第1章概述1.
1安全基线概念安全基线是指满足最小安全保证的基本要求.
1.
2文档编制目的本文档针对安装运行微软Windows系列操作系统的计算机(包括服务器、工作站、终端PC)主机所应当遵循的通用基本安全设置要求提供了参考建议,部分内容参照了网络信息安全等级保护技术标准的基本要求,供校园网用户在安装使用Windows系列操作系统过程中进行安全配置合规性自查、检查、加固提供标准依据与操作指导.
1.
3文档适用范围本文档适用于Windows系列操作系统的各类版本,部分操作系统或版本的特定配置与操作见括号内说明.
文档使用人员包括系统管理员及终端计算机用户.
1.
4文档修订本文档的解释权和修改权属于南京农业大学图书与信息中心,欢迎校园网用户提供意见或建议,请发送至security@njau.
edu.
cn.
图书与信息中心2第2章账户管理、认证授权2.
1操作系统账户2.
1.
1管理缺省账户安全基线名称操作系统账户管理安全基线要求项安全基线编号NJAUSBL-Windows-V01-02-01-01安全基线说明对于管理员帐号,应使用非缺省Administrator帐户名称,即重命名管理员帐户;禁用guest(来宾)帐户.
设置操作步骤1、开始->运行->输入"gpedit.
msc"打开组策略编辑器,浏览到路径"本地计算机策略\计算机配置\Windows设置\安全设置\本地策略\安全选项",在右边窗格中找到"(帐户:)重命名(系统)管理员帐户",更改其默认设置"Administrator";2、进入"控制面板->管理工具->计算机管理",在"系统工具->本地用户和组->用户":Guest->属性,勾选"帐户已禁用".
基线符合性判定依据缺省账户Administrator已更名、Guest已停用.
备注应删除或锁定与系统运行、维护等工作无关的账户.
2.
2口令2.
2.
1密码复杂度安全基线名称操作系统帐户密码管理安全基线要求项安全基线编号NJAUSBL-Windows-V01-02-02-01安全基线说明最短密码长度8个字符,启用本机组策略中密码必须符合复杂性要求的策略.
即密码至少包含以下四种类别的字符中的三种:英语大写字母A,B,C,…Z图书与信息中心3英语小写字母a,b,c,…z西方阿拉伯数字0,1,2,…9非字母数字字符,如标点符号等设置操作步骤进入"控制面板->管理工具->本地安全策略",在"帐户策略->密码策略":查看是否"密码必须符合复杂性要求"选择"已启用".
基线符合性判定依据查看本地安全策略,"密码必须符合复杂性要求"选择"已启用".
备注密码最短长度8位依据《南京农业大学计算机信息系统密码安全管理办法》相关规定.
2.
2.
2密码历史安全基线名称操作系统帐户密码历史安全基线要求项安全基线编号NJAUSBL-Windows-V01-02-02-02安全基线说明对于采用静态口令认证技术的系统,账户口令的生存期不长于90天.
设置操作步骤进入"控制面板->管理工具->本地安全策略",在"帐户策略->密码策略":查看"密码最长存留期"(WindowsXP、2000、2003)或"密码最长使用期限"(WindowsVista、7、2008)的值.
基线符合性判定依据查看本地安全策略,"密码最长存留期"设置不长于90天.
备注0:表示未设置,账号使用期无限长.
根据《南京农业大学计算机信息系统密码安全管理办法》规定,密码最长有效期为30/60/90天,视不同系统需要而定,最长不超过90天.
2.
2.
3帐户锁定策略安全基线名称操作系统账户锁定策略安全基线要求项安全基线编号NJAUSBL-Windows-V01-02-02-03安全基线说明对于采用静态口令认证技术的系统,应配置当用户连续认证失图书与信息中心4败次数超过5次(不含5次)后,锁定该用户使用的账号.
设置操作步骤进入"控制面板->管理工具->本地安全策略",在"帐户策略->帐户锁定策略":查看"账户锁定阀值"设置基线符合性判定依据查看本地安全策略,"账户锁定阀值"设置为小于或等于5次,"账户锁定时间"设置为30分钟备注0:表示未设置,可无限尝试口令.
2.
3授权2.
3.
1远程关机授权安全基线名称操作系统远程关机策略安全基线要求项安全基线编号NJAUSBL-Windows-V01-02-03-01安全基线说明在本地安全设置中,从远端系统强制关机只指派给Administrators组.
设置操作步骤进入"控制面板->管理工具->本地安全策略",在"本地策略->用户权利指派":进入"从远端系统强制关机"设置,只保留Administrtors组.
基线符合性判定依据查看本地安全策略,"从远端系统强制关机"设置为"只指派给Administrtors组".
备注Windows7、10中为"用户权限分配"项.
2.
3.
2本地关机授权安全基线名称操作系统本地关机策略安全基线要求项安全基线编号NJAUSBL-Windows-V01-02-03-02安全基线说明在本地安全设置中,关闭系统仅指派给Administrators组.
图书与信息中心5设置操作步骤进入"控制面板->管理工具->本地安全策略",在"本地策略->用户权利指派":进入"关闭系统"设置,只保留Administrtors组.
基线符合性判定依据查看本地安全策略,"关闭系统"设置为"只指派给Administrators组"备注2.
3.
3文件或其它对象的所有权授权安全基线名称操作系统文件或其它对象的所有权管理安全基线要求项安全基线编号NJAUSBL-Windows-V01-02-03-03安全基线说明在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators.
设置操作步骤进入"控制面板->管理工具->本地安全策略",进入"取得文件或其它对象的所有权"设置,只保留Administrtors组.
基线符合性判定依据查看本地安全策略,"取得文件或其它对象的所有权"设置为"只指派给Administrators组"备注2.
4身份鉴别2.
4.
1禁止Windows自动登录安全基线名称操作系统登录认证管理安全基线要求项安全基线编号NJAUSBL-Windows-V01-02-04-01安全基线说明操作系统登录应对用户身份进行标识和鉴别.
设置操作步骤从"开始->运行->输入:regedit",查看注册表项:图书与信息中心6基线符合性判定依据HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon,将名称为"AutoAdminLogon"的数值修改为0.
备注AutoAdminLogon值1为自动登录.
第3章日志配置操作3.
1日志配置3.
1.
1审核登录安全基线名称操作系统审核登录策略安全基线要求项安全基线编号NJAUSBL-Windows-V01-03-01-01安全基线说明应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址.
设置操作步骤进入"控制面板->管理工具->本地安全策略",在"本地策略->审核策略"中进入"审核登录事件"设置,勾选"成功"和"失败".
基线符合性判定依据查看本地安全策略,审核登录事件,设置为成功和失败都审核.
备注配置日志记录有利于系统故障排查与安全事件取证.
3.
1.
2审核策略更改安全基线名称操作系统审核策略更改安全基线要求项安全基线编号NJAUSBL-Windows-V01-03-01-02安全基线说明启用组策略中对Windows系统的审核策略更改,成功和失败图书与信息中心7都要审核.
设置操作步骤进入"控制面板->管理工具->本地安全策略",在"本地策略->审核策略"中进入"审核策略更改"设置,勾选"成功"和"失败".
基线符合性判定依据查看本地安全策略,"审核策略更改"设置为成功和失败都审核.
备注3.
1.
3审核对象访问安全基线名称操作系统审核对象访问安全基线要求项安全基线编号NJAUSBL-Windows-V01-03-01-03安全基线说明启用组策略中对Windows系统的审核对象访问,成功和失败都要审核.
设置操作步骤进入"控制面板->管理工具->本地安全策略",在"本地策略->审核策略"中进入"审核对象访问"设置,勾选"成功"和"失败".
基线符合性判定依据查看本地安全策略,"审核对象访问"设置为成功和失败都审核.
备注3.
1.
4审核事件目录服务器访问安全基线名称操作系统审核事件目录服务器访问策略安全基线要求项安全基线编号NJAUSBL-Windows-V01-03-01-04安全基线说明启用组策略中对Windows系统的审核目录服务访问,成功和失败都要审核.
设置操作步骤进入"控制面板->管理工具->本地安全策略",在"本地策略->审核策略"中进入"审核目录服务访问"设置,勾选"成图书与信息中心8功"和"失败".
基线符合性判定依据查看本地安全策略,"审核目录服务访问"设置为成功和失败都审核.
备注3.
1.
5审核特权使用安全基线名称操作系统审核特权使用策略安全基线要求项安全基线编号NJAUSBL-Windows-V01-03-01-05安全基线说明启用组策略中对Windows系统的审核特权使用,成功和失败都要审核.
设置操作步骤进入"控制面板->管理工具->本地安全策略",在"本地策略->审核策略"中进入"审核特权使用"设置,勾选"成功"和"失败".
基线符合性判定依据查看本地安全策略,"审核特权使用"设置为成功和失败都审核.
备注3.
1.
6审核系统事件安全基线名称操作系统审核系统事件策略安全基线要求项安全基线编号NJAUSBL-Windows-V01-03-01-06安全基线说明启用组策略中对Windows系统的审核系统事件,成功和失败都要审核.
设置操作步骤进入"控制面板->管理工具->本地安全策略",在"本地策略->审核策略"中进入"审核系统事件"设置,勾选"成功"和"失败".
基线符合性判定依据查看本地安全策略,"审核系统事件"设置为成功和失败都审核.
图书与信息中心9备注3.
1.
7审核账户管理安全基线名称操作系统审核账户管理策略安全基线要求项安全基线编号NJAUSBL-Windows-V01-03-01-07安全基线说明启用组策略中对Windows系统的审核帐户管理,成功和失败都要审核.
设置操作步骤进入"控制面板->管理工具->本地安全策略",在"本地策略->审核策略"中进入"审核账户管理"设置,勾选"成功"和"失败".
基线符合性判定依据查看本地安全策略,"审核账户管理"设置为成功和失败都审核.
备注3.
1.
8审核过程追踪安全基线名称操作系统审核过程追踪策略安全基线要求项安全基线编号NJAUSBL-Windows-V01-03-01-08安全基线说明启用组策略中对Windows系统的审核过程追踪失败.
设置操作步骤进入"控制面板->管理工具->本地安全策略",在"本地策略->审核策略"中进入"审核过程跟踪"设置,勾选"失败".
基线符合性判定依据查看本地安全策略,"审核过程跟踪"设置为失败需要审核.
备注3.
1.
9日志文件大小安全基线名称操作系统日志容量安全基线要求项安全基线编号NJAUSBL-Windows-V01-03-01-09安全基线说明设置应用日志文件大小最大20480KB(20M,至少为8192KB即图书与信息中心108M),设置当达到最大的日志尺寸时,按需要覆盖事件.
设置操作步骤进入"控制面板->管理工具->事件查看器",在"事件查看器(本地)"中:查看"应用日志"、"系统日志"、"安全日志"属性中的日志大小,设置至少为8192KB、当达到最大的日志尺寸时"按需要覆盖事件".
基线符合性判定依据"应用日志"、"系统日志"、"安全日志"属性中的日志大小设置最大不超过"20480KB",设置当达到最大的日志尺寸时,"按需要覆盖事件".
备注第4章IP协议安全配置4.
1入侵防范4.
1.
1启用SYN攻击保护安全基线名称操作系统SYN攻击保护安全基线要求项安全基线编号NJAUSBL-Windows-V01-04-01-01安全基线说明启用SYN攻击保护;指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阀值为5;指定处于SYN_RCVD状态的TCP连接数的阈值为500;指定处于至少已发送一次重传的SYN_RCVD状态中的TCP连接数的阈值为400.
设置操作步骤在"开始->运行->键入regedit"查看注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\a.
启用SYN攻击保护:SynAttackProtect推荐值:2(十六进制),若该值不存在,可以自己创建,类型为DWORD;b.
指定在触发SYNflood保护之前超过的TCP连接请求阈图书与信息中心11值:TcpMaxPortsExhausted推荐值:5(十六进制),若该值不存在,可以自己创建,类型为DWORD;c.
指定SYN_RCVD状态中的TCP连接阈值,超过该值则触发SYNflood保护:TcpMaxHalfOpen推荐值:500(十六进制),若该值不存在,可以自己创建,类型为DWORD;d.
指定至少发送一次重传的SYN_RCVD状态中的TCP连接阈值,超过该值则触发SYNflood保护:TcpMaxHalfOpenRetried推荐值:400(十六进制),若该值不存在,可以自己创建,类型为DWORD.
基线符合性判定依据查看注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect推荐值:2TcpMaxPortsExhausted推荐值:5TcpMaxHalfOpen推荐值:500TcpMaxHalfOpenRetried推荐值:400备注SYN攻击属于DOS攻击的一种,它利用TCP协议缺陷,通过发送大量的半连接请求,耗费CPU和内存资源.
4.
1.
2启用ICMP攻击保护安全基线名称操作系统ICMP攻击保护安全基线要求项安全基线编号NJAUSBL-Windows-V01-04-01-02安全基线说明在收到ICMP重定向数据包时禁止创建高成本的主机路由,防止形成DDOS攻击.
设置操作步骤在"开始->运行->键入regedit"查看注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirect项,推荐值:0,若该值不存在,可以自己创建,类型为DWORD.
基线符合性判定依据查看注册表项,EnableICMPRedirect值为0.
备注有效值:0(禁用),1(启用).
ICMP协议属于网络层协议,图书与信息中心12主要用于在主机与路由器之间传递控制信息,非常容易被用于攻击网络上的路由器和主机.
4.
1.
3启用SNMP攻击保护安全基线名称操作系统SNMP攻击保护安全基线要求项安全基线编号NJAUSBL-Windows-V01-04-01-03安全基线说明禁止攻击者强制切换到备用网关.
设置操作步骤在"开始->运行->键入regedit"查看注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableDeadGWDetect项推荐值:0,若该值不存在,可以自己创建,类型为DWORD.
基线符合性判定依据查看注册表项,EnableDeadGWDetect值为0.
备注有效值:0(禁用),1(启用).
简单网络管理协议(SNMP)用来对通信网络设备进行管理,易被用于形成大流量的SNMP攻击.
4.
1.
4禁用IP源路由安全基线名称操作系统禁用IP源路由安全基线要求项安全基线编号NJAUSBL-Windows-V01-04-01-04安全基线说明禁用IP源路由,防范数据包欺骗.
设置操作步骤在"开始->运行->键入regedit",查看注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting项,推荐值:1,若该值不存在,可以自己创建,类型为DWORD.
基线符合性判定依据查看注册表项,DisableIPSourceRouting值为1.
备注有效值:0(转发所有数据包),1(不转发源路由数据包),2(丢弃所有传入的源路由数据包).
图书与信息中心134.
1.
5启用碎片攻击保护安全基线名称操作系统TCP碎片攻击保护安全基线要求项安全基线编号NJAUSBL-Windows-V01-04-01-05安全基线说明设置系统防止遭TCP碎片攻击导致崩溃或拒绝服务.
设置操作步骤"开始->运行",输入regedit,运行注册表编辑器,找到注册表项:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters,新建DWORD值,名称为EnablePMTUDiscovery,值为0基线符合性判定依据查看注册表项,EnablePMTUDiscovery值为0备注碎片攻击指的是一种计算机程序重组的漏洞,IP数据包最长只能为0xFFFF,就是65535字节.
如果有意发送总长度超过65535的IP碎片,一些老的系统内核在处理的时候就会出现问题,导致崩溃或者拒绝服务.
注册表键值0表示不自动探测MTU大小,都使用576字节的MTU,1表示自动探测MTU大小,可能会被攻击者强制MTU值变得非常小,从而导致堆栈的负荷过大.
第5章设备其他配置操作5.
1访问控制管理5.
1.
1共享文件夹权限控制安全基线名称操作系统共享文件权限控制安全基线要求项安全基线编号NJAUSBL-Windows-V01-05-01-01安全基线说明共享分区、文件夹或文件应设置访问权限,用户里不应包含Everyone(任何人).
设置操作步骤计算机管理(本地)->系统工具->共享文件夹->共享,查看每个自定义共享文件夹的共享权限,若其中包含图书与信息中心14"Everyone(任何人)",则将其删除.
基线符合性判定依据查看自定义共享文件夹的共享权限,默认共享如果需要,也应设置访问权限.
备注5.
1.
2网络访问用户授权安全基线名称操作系统网络访问用户授权安全基线要求项安全基线编号NJAUSBL-Windows-V01-05-01-02安全基线说明授权指定系统用户,防止用户非法从网络访问主机.
设置操作步骤进入"控制面板->管理工具->本地安全策略",在"本地策略->用户权利指派".
"从网络访问此计算机",删除"Guest"用户、"Everyone"组.
(Windowsxp,Windows2000)进入"控制面板->管理工具->本地安全策略",在"本地策略->用户权限分配".
"从网络访问此计算机",删除"Guest"用户、"Everyone"组.
(WindowsVista、7、2003、2008)基线符合性判定依据查看系统本地策略"从网络访问此计算机"的用户是否已删除"Guest"用户、"Everyone"组.
备注只允许存在Administrators、BackupOperators、PowerUsers、users,如存在其他用户请删除.
5.
1.
3匿名用户连接权限管理安全基线名称操作系统匿名用户连接权限管理安全基线要求项安全基线编号NJAUSBL-Windows-V01-05-01-03安全基线说明限制匿名用户连接权限,防止用户远程枚举本地帐号.
设置操作步骤进入控制面板->管理工具->本地安全策略->本地策略->安全选项->网络访问:不允许SAM帐户和共享的匿名枚举->属性->已启用.
(Windowsxp,Windows2000,Windows2003,WindowsVista,Windows7,Window8)进入控制面板->管理工具->本地安全策略->本地策略->安全选项->对匿名连接的额外限制->属性->不允许枚举SAM帐号和共享.
(Windows2008)基线符合性判定依据查看系统本地策略是否已限制匿名用户连接权限.
图书与信息中心15备注5.
1.
4远程桌面服务端口管理安全基线名称操作系统远程桌面服务端口管理安全基线要求项安全基线编号NJAUSBL-Windows-V01-05-01-04安全基线说明修改远程桌面服务默认端口,增强访问安全性.
设置操作步骤开始->运行->Regedit,查找注册表项:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-TcpHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp找到"PortNumber"子项,默认值00000D3D,是3389的十六进制表示形式.
切换到十进制,修改成除3389外的其他任何值,并保存新值,重新启动系统.
基线符合性判定依据查看注册表"PortNumber"值是否已修改.
备注需要修改两处注册表项,在win10系统中CurrentControlSet已经变更为CurrentControlSet001.
5.
1.
5禁止远程访问注册表路径和子路径安全基线名称操作系统注册表路径和子路径访问控制安全基线要求项安全基线编号NJAUSBL-Windows-V01-05-01-05安全基线说明应禁止远程访问操作系统注册表路径和子路径,防止系统被入侵破坏.
设置操作步骤开始->运行->输入"gpedit.
msc"打开组策略编辑器,浏览到路径"本地计算机策略->计算机配置->Windows设置->安全设置->本地策略->安全选项",在右边窗格中找到"网络访问:可远程访问的注册表路径和子路径",配置为空.
基线符合性判定依据查看组策略中"网络访问:可远程访问的注册表路径和子路径",配置应为空.
备注图书与信息中心165.
2数据防护管理5.
2.
1数据执行保护安全基线名称操作系统数据执行保护安全基线要求项安全基线编号NJAUSBL-Windows-V01-05-02-01安全基线说明对Windows操作系统程序和服务启用系统自带DEP功能(数据执行保护),防止在受保护内存位置运行有害代码.
设置操作步骤进入"控制面板->系统",在"高级"选项卡的"性能"下的"设置".
进入"数据执行保护"选项卡.
查看"仅为基本Windows操作系统程序和服务启用DEP".
基线符合性判定依据"数据执行保护"选项卡已设置为"仅为基本Windows操作系统程序和服务启用DEP".
备注适用于WindowsXPSP2及Windows2003,可能影响部分程序运行,选用.
5.
2.
2恶意代码防范安全基线名称操作系统恶意代码防范安全基线要求项安全基线编号NJAUSBL-Windows-V01-05-02-02安全基线说明使用正版授权的计算机病毒防护软件,可安全有效地查杀各类计算机病毒,防范恶意代码执行,自动更新病毒特征库.
设置操作步骤访问校园网kvirus.
njau.
edu.
cn,按照说明下载安装校园网计算机病毒防护软件.
基线符合性判定依据查看系统是否安装计算机病毒防护软件备注学校统一采购正版授权计算机病毒防护软件,供校园网用户免费使用.
图书与信息中心175.
3资源控制管理5.
3.
1终端服务登录管理安全基线名称操作系统终端服务登录管理安全基线要求项安全基线编号NJAUSBL-Windows-V01-05-03-01安全基线说明默认情况下,终端服务接入服务器时,登录对话框会显示上次登录的账户名,应设置禁止显示上次登录名.
设置操作步骤在"系统-运行"中执行命令regedit打开注册表,修改下述内容:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon之下,将DontDisplayLastUserName的值设置为1,若该值不存在,可以自己创建,类型为DWORD.
基线符合性判定依据查看DontDisplayLastUserName值是否为1.
备注适用于服务器5.
3.
2系统登录管理安全基线名称操作系统登录管理安全基线要求项安全基线编号NJAUSBL-Windows-V01-05-03-02安全基线说明默认情况下,操作系统登录时,登录对话框会显示上次登录的账户名,应设置禁止显示上次登录名.
设置操作步骤进入"控制面板->管理工具->本地安全策略",在"本地策略->安全选项""交互式登录:不显示最后的用户名",点击"已启用"基线符合性判定依据查看本地安全策略中"交互式登录:不显示最后的用户名"是否启用.
备注图书与信息中心185.
3.
3用户登录超时管理安全基线名称操作系统用户登录超时管理安全基线要求项安全基线编号NJAUSBL-Windows-V01-05-03-03安全基线说明应设置用户登录超时自动注销或断开.
设置操作步骤开始->运行->输入"gpedit.
msc"打开组策略编辑器,浏览到路径"本地计算机策略->计算机配置->Windows设置->安全设置->本地策略->安全选项",在右边窗格中找到"Microsoft网络服务器:当登录时间用完时自动注销用户",或"Microsoft网络服务器:登录时间过期后断开与客户端的连接",配置为"已启用".
基线符合性判定依据查看本地计算机策略的安全选项是否已启用用户登录超时自动注销或断开.
备注5.
3.
4虚拟内存管理安全基线名称操作系统虚拟内存管理安全基线要求项安全基线编号NJAUSBL-Windows-V01-05-03-04安全基线说明防止非法用户从虚拟内存中获取其他用户的数据.
设置操作步骤进入"控制面板->管理工具->本地安全策略",在"本地策略->安全选项""关机:清除虚拟内存页面文件",点击"已启用".
基线符合性判定依据查看"关机:清除虚拟内存页面文件"是否启用.
备注确保可能会进入页面文件的进程内存中的敏感信息不会被设法通过直接访问页面文件的未经授权用户使用.
5.
4启动项5.
4.
1关闭Windows自动播放功能安全基线名称操作系统Windows自动播放安全基线要求项安全基线编号NJAUSBL-Windows-V01-05-04-01安全基线说明关闭Windows自动播放功能.
图书与信息中心19设置操作步骤打开"开始→运行",在对话框中输入"gpedit.
msc命令,在出现"本地组策略编辑器"窗口中依次选择"计算机配置→管理模板→所有设置",双击"关闭自动播放",选"启用".
基线符合性判定依据在关闭自动播放的"设置"选项卡中"已启用"选项已选定.
备注可防止计算机病毒和恶意代码自动运行.
5.
5时间校准5.
5.
1配置系统时间同步安全基线名称操作系统时间同步安全基线要求项安全基线编号NJAUSBL-Windows-V01-05-05-01安全基线说明校准系统时间,自动与时间服务源同步.
设置操作步骤控制面板→"日期和时间"→"Internet时间"→"更改设置",勾选"与Internet时间服务器同步",服务器框里填:"ntp.
njau.
edu.
cn",点"立即更新",直到显示同步成功.
基线符合性判定依据按上述步骤查看同步结果,同步成功则符合.
备注校准主机时间,对计划任务准时执行等至关重要.
ntp.
njau.
edu.
cn是南京农业大学校园网时间同步服务器.
5.
6系统服务管理5.
6.
1系统服务管理安全基线名称操作系统服务管理安全基线要求项安全基线编号NJAUSBL-Windows-V01-05-06-01安全基线说明关闭不必要的系统服务.
图书与信息中心20设置操作步骤进入"控制面板->管理工具->计算机管理",进入"服务和应用程序",查看所有服务,建议关闭以下服务:ErrorReportingService、错误报告服务Computerbrowser浏览局域网计算机列表PrintSpooler打印队列服务(服务器上关闭,个人终端开启)RemoteRegistry远程注册表操作RoutingandRemoteAccess路由与远程访问ShellHardwareDetection为自动播放硬件事件提供通知Telnet远程管理TCP/IPNetBIOSHelper允许客户端共享文件,打印机和登录到网络基线符合性判定依据查看上述服务是否关闭.
备注关闭不必要的服务,提高系统安全性.
第6章系统更新6.
1系统更新6.
1.
1操作系统补丁更新安全基线名称操作系统补丁安装管理安全基线要求项安全基线编号NJAUSBL-Windows-V01-06-01-01安全基线说明应安装关键和重要系统补丁,开启系统自动更新功能.
设置操作步骤控制面板-WindowsUpdate,启用WindowsUpdate,校园网用户建议安装校内WindowsUpdate自动更新脚本,详见http://winupdate.
njau.
edu.
cn说明基线符合性判定依据查看系统安装的SP情况:点击开始-运行,输入命令"winver",回车;记录当前的SP版本号.
查看安装的其他补丁的情况:控制面板-WindowsUpdate-查看更新历史记录.
备注WSUS(WindowsSystemUpdateService)是微软公司提供的系统自动更新补丁服务,南京农业大学校园网已启用本地WSUS图书与信息中心21服务器,用户只要安装自动更新脚本程序,可定时通过校园网WSUS服务器自动更新系统补丁.