内容发布更新时间 : 2024/5/2 0:02:05星期一 下面是文章的全部内容请认真阅读。

Windows 安全配置规范

2010年11月

第1章 概述

1.1适用范围

本规范明确了Windows操作系统在安全配置方面的基本要求，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。

适用于中国电信所有运行的Windows操作系统，包括Windows 2000、Windows XP、Windows2003, Windows7 , Windows 2008以及各版本中的Sever、Professional版本。

第2章 安全配置要求

2.1

账号

编号：1

要求内容 应按照不同的用户分配不同的账号，避免不同用户间共享账号，避免用户账号和设备间通信使用的账号共享。 操作指南 1、参考配置操作 进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”： 根据系统的要求，设定不同的账户和账户组。 检测方法 1、 判定条件 结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的账户和账户组 2、检测操作 进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”： 查看根据系统的要求，设定不同的账户和账户组 编号：2

要求内容 应删除与运行、维护等工作无关的账号。 1．参考配置操作 A）可使用用户管理工具： 开始-运行-compmgmt.msc-本地用户和组-用户 B）也可以通过net命令： 删除账号： net user account/de1 停用账号：net user account/active:no 1.判定条件 结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的账号。 操作指南 检测方法 注：主要指测试帐户、共享帐号、已经不用账号等 2.检测操作 开始-运行-compmgmt.msc-本地用户和组-用户 编号：3 要求内容 操作指南 重命名Administrator；禁用guest（来宾）帐号。 1、参考配置操作 进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”： Administrator－>属性－> 更改名称 Guest帐号->属性－> 已停用 检测方法 1、判定条件 缺省账户Administrator名称已更改。 Guest帐号已停用。 2、检测操作 进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”： 缺省帐户－>属性－> 更改名称 Guest帐号->属性－> 已停用 2.2

口令

编号：1

要求内容 密码长度要求：最少8位 密码复杂度要求：至少包含以下四种类别的字符中的三种： ? 英语大写字母 A, B, C, … Z ? 英语小写字母 a, b, c, … z ? 阿拉伯数字 0, 1, 2, … 9 ? 非字母数字字符，如标点符号，@, #, $, %, &, *等 操作指南 1、参考配置操作 进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”： “密码必须符合复杂性要求”选择“已启动” 检测方法 1、判定条件 “密码必须符合复杂性要求”选择“已启动” 2、检测操作 进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”： 查看是否“密码必须符合复杂性要求”选择“已启动” 编号：2

要求内容 对于采用静态口令认证技术的设备，账户口令的生存期不长于90天。 操作指南 1、参考配置操作 进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”： “密码最长存留期”设置为“90天” 检测方法 1、判定条件 “密码最长存留期”设置为“90天” 2、检测操作 进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”： 查看是否“密码最长存留期”设置为“90天” 编号：3

要求内容 对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。 操作指南 1、参考配置操作 进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”： “强制密码历史”设置为“记住5个密码” 检测方法 1、判定条件 “强制密码历史”设置为“记住5个密码” 2、检测操作 进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”： 查看是否“强制密码历史”设置为“记住5个密码” 编号：4

要求内容 对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。 操作指南 1、参考配置操作 进入“控制面板->管理工具->本地安全策略”，在“帐户策略->帐户锁定策略”： “账户锁定阀值”设置为 6次 检测方法 1、判定条件 “账户锁定阀值”设置为小于或等于 6次