Windows 基线检查

windows, 基线

Windows 基线检查项

• 系统服务
• 口令策略
• 访问控制
• 日志审计
• 账号安全
• 安全策略
• 补丁
• 防病毒

系统服务

1. 系统是否开启了不必要的服务：如Wiewless Zero Configuration等
2. 检查SNMP服务安全要求

口令策略

1. 检查口令策略的配置是否符合规范要求

   • 密码至少包含以下四种类别的字符中的三种：
     英语大写字母 A, B, C, … Z
     英语小写字母 a, b, c, … z
     西方阿拉伯数字 0, 1, 2, … 9
     非字母数字字符，如标点符号，@, #, $, %, &, *等

2. 检查口令生存期安全要求

   • 对于采用静态口令认证技术的设备，账户口令的生存期不长于90天。

3. 检查重复口令次数安全要求

   • 对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近6次（含6次）内已使用的口令。

4. 检查FTP是否禁止匿名登录

   • 检查FTP是否禁止匿名登录。

访问控制

1. 检查Windows系统的共享是否配置安全

   • 检查有无自建的共享目录
   • 检查系统的默认共享是否开启，如：C$、D$
   • Check: net share

2. 检查远程连接工具配置安全

   • 检查WINDOWS系统的远程桌面是否开启。如果开启，检查是否MS12-020补丁是否安装。
   • Check: systeminfo | find "2621440"

3. 检查远程关机配置安全

   • 在本地安全设置中从远端系统强制关机只指派给Administrators组。
   • Check: 进入“控制面板->管理工具->本地安全策略”，在“本地策略->“用户权利指派”或“用户权利分配”:
     查看“从远端系统强制关机”设置

4. 检查本地关机配置安全

   • 在本地安全设置中关闭系统仅指派给Administrators组。
   • Check: 进入“控制面板->管理工具->本地安全策略”，在“本地策略->“用户权利指派”或“用户权利分配”:
     查看“关闭系统”设置

5. 检查用户权利指派配置安全

   • 在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。
   • Check: 进入“控制面板->管理工具->本地安全策略”，在“本地策略->“用户权利指派”或“用户权利分配”：查看是否“取得文件或其它对象的所有权”设置

日志审计

1. 检查日志文件大小设置是否合理

   • 查看是否“应用程序日志”、“安全日志”、“系统日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”
   • Check: 进入“控制面板->管理工具->事件查看器”，在“事件查看器（本地）”中：
     查看是否“应用日志”属性中的日志大小设置不小于“51200KB” ,设置当达到最大的日志尺寸时，“按需要改写事件”

2. 检查审核登录是否配置

   • 设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。
   • Check: 开始->运行-> 执行“ 控制面板->管理工具->本地安全策略->审核策略”
     审核登录事件。备注：设置为成功或失败或两项均审核即符合要求。

3. 检查审核策略是否配置

   • 启用组策略中对Windows系统的审核策略更改
   • Check: 进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中
     查看“审核策略更改”设置。
     备注：设置为成功或失败或两项均审核即符合要求。

4. 检查审核对象访问配置

   • 启用组策略中对Windows系统的审核对象访问，成功和失败都要审核。
   • Check: 进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：
     查看“审核对象访问”设置。备注：设置为成功或失败或两项均审核即符合要求。

5. 检查审核过程追踪配置

   • 启用组策略中对Windows系统的审核过程追踪，成功和失败都要审核。
   • Check: 进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：
     查看“审核过程追踪 ”设置。备注：设置为成功或失败或两项均审核即符合要求。

6. 检查审核事件目录服务访问配置

   • 启用组策略中对Windows系统的审核事件目录服务访问，成功和失败都要审核。
   • Check: 进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：
     查看“审核事件目录服务访问”设置。备注：设置为成功或失败或两项均审核即符合要求。

7. 检查审核特权使用配置

   • 启用组策略中对Windows系统的审核特权使用，成功和失败都要审核。
   • Check: 进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：
     查看“审核特权使用”设置。备注：设置为成功或失败或两项均审核即符合要求。

8. 检查审核系统事件配置

   • 启用组策略中对Windows系统的审核系统事件，成功和失败都要审核。
   • Check: 进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：
     查看“审核系统事件”设置。备注：设置为成功或失败或两项均审核即符合要求。

9. 检查审核账户管理配置

   • 启用组策略中对Windows系统的审核帐户管理，成功和失败都要审核。
   • Check: 进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：
     查看“审核账户管理” 设置。备注：设置为成功或失败或两项均审核即符合要求。

10. 检查审核过程追踪配置

    • 启用组策略中对Windows系统的审核过程追踪失败。
    • Check: 进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：
      查看“审核过程追踪”设置。备注：设置为成功或失败或两项均审核即符合要求。

帐号安全

1. 检查系统是否存在无用帐号
   

   • 对于管理员帐号，要求更改缺省帐户名称；禁用guest（来宾）帐号;删除无用账户。
     
   • Check: 进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：
     缺省帐户Administrator－>属性 Guest帐号->属性

安全策略

1. 检查屏幕保护程序安全配置
   

   • 启用屏幕保护程序，防止管理员忘记锁定机器被非法攻击；设置带密码的屏幕保护，并将时间设定为5分钟
     
   • Check: 进入“控制面板－>显示－>屏幕保护程序”：启用屏幕保护程序，设置等待时间为“5分钟”，启用“在恢复时使用密码保护”。

补丁

1. 检查补丁安装情况
   

   • 检查WINDOWS系统的SERVICE PACK是否符合要求，要求安装的补丁如下：
     1、WINDOWS 2003：SP2
     2、WINDOWS 2008：SP2
     3、WINDOWS 2008 R2：SP1
     4、WINDOWS XP： SP3
     5、WINDOWS 7 ： SP1

防病毒

1. 检查是否安装防病毒软件

   • 检查windows设备是否安装了统一部署的防病毒软件
   • Check: 控制面板->添加或删除程序，是否安装有防病毒软件。打开防病毒软件控制面板，查看病毒码更新日期。

2. 检查是否及时更新病毒代码

   • 检查病毒库更新
   • Check: 控制面板->添加或删除程序，是否安装有防病毒软件。打开防病毒软件控制面板，查看病毒码更新日期。