windows基线配置

配置方法

参考配置操作：

登录系统，以管理员权限进行如下操作（以下两种方法任选其一）：

第一种方法：进入“开始”->“管理工具”->“本地安全策略”，选择“帐户策略”->“密码策略”：“密码必须符合复杂性要求”选择“已启动”、“密码长度最小值” 设置为“8个字符”。

第二种方法：打开CMD命令行窗口输入“gpedit.msc”回车，在打开的“组策略”对话框中选择“计算机配置”-> “windows设置”->“安全设置”->“账号策略”->“密码策略”中“密码必须符合复杂性要求”选择“已启动”、“密码长度最小值” 设置为“8个字符”。

上述方法配置完毕如下图所示：

*注意：进行上述配置后，建议在CMD窗口中执行：gpupdate /force 命令让配置的策略生效，如下图所示：

检查方法

任选一种 配置方法 中提供的操作步骤进入“密码策略”菜单，检查“密码必须符合复杂性要求”是否已设置为“已启动”、“密码长度最小值”是否已设置为“8个字符”，如果是则符合，否则不符合。

备注

配置方法

参考配置操作：

登录系统，以管理员权限进行如下操作（以下两种方法任选其一）：

第一种方法：进入“开始”->“管理工具”->“本地安全策略”，在“帐户策略”->“账号锁定策略”：“账号锁定阈值”设置为“5次无效登录”；“账号锁定时间”设置为“3分钟”。

第二种方法：打开CMD命令行窗口输入“gpedit.msc”回车，在打开的“组策略”对话框中选择“计算机配置”-> “windows设置”->“安全设置”->“账号策略”->“账号锁定策略”中“账号锁定阈值”设置为“5次无效登录”；“账号锁定时间”设置为“3分钟”。

上述方法配置完毕如下图所示：

*注意：进行上述配置后，建议在CMD窗口中执行：gpupdate /force 命令让配置的策略生效，如下图所示：

检查方法

登录系统进入“开始->管理工具->本地安全策略->帐户策略->帐户锁定策略”检查：

“账号锁定阀值”是否设置为 “10次”，如果是则符合，否则不符合；

“账号锁定时间”是否设置为 “3分钟”，如果是则符合，否则不符合。

备注

配置方法

参考配置操作：

登录系统，以管理员权限进行如下操作（以下两种方法任选其一）：

第一种方法：进入“开始”->“管理工具”->“本地安全策略”，在“帐户策略”->“密码策略”：“密码最长使用期限”选择设置为“90天”。

第二种方法：打开CMD命令行窗口输入“gpedit.msc”回车，在打开的“组策略”对话框中选择“计算机配置”-> “windows设置”->“安全设置”->“账号策略”->“密码策略”中“密码最长使用期限” 设置为“90天”。

上述方法配置完毕如下图所示：

*注意：进行上述配置后，建议在CMD窗口中执行：gpupdate /force 命令让配置的策略生效，如下图所示：

检查方法

登录系统依照 配置方法 中给出的操作进入到“密码策略”里，检查“密码最长存留期”或“密码最长使用期限”里设置的值是否满足要求（90天），如果是则符合，否则不符合。

备注

配置方法

参考配置操作：

登录系统，以管理员权限进行如下操作（以下两种方法任选其一）：

第一种方法：进入“开始”->“管理工具”->“本地安全策略”，在“本地策略”->“安全选项”：“交互式登录：提示用户在过期之前更改密码” 设置为“14天”。

第二种方法：打开CMD命令行窗口输入“gpedit.msc”回车，在打开的“组策略”对话框中选择“计算机配置”-> “windows设置”->“安全设置”->“本地策略”->“安全选项”中“交互式登录：提示用户在过期之前更改密码” 设置为“14天”。

上述方法配置完毕如下图所示：

*注意：进行上述配置后，建议在CMD窗口中执行：gpupdate /force 命令让配置的策略生效，如下图所示：

检查方法

依照 配置方法 进入“安全选项”里，检查“交互式登录: 提示用户在密码过期之前进行更改”是否设置为 “15天”，如果是则符合，否则不符合。

备注

具体提示时间也可根据自身需求配置。

配置方法

参考配置操作：

登录系统，以管理员权限进行如下操作（以下两种方法任选其一）：

第一种方法：进入“开始”->“管理工具”->“本地安全策略”，在“帐户策略”->“账号锁定策略”：“重置账号锁定计数器”设置为“3分钟之后”。

第二种方法：打开CMD命令行窗口输入“gpedit.msc”回车，在打开的“组策略”对话框中选择“计算机配置”-> “windows设置”->“安全设置”->“账号策略”->“账号锁定策略”中“重置账号锁定计数器”设置为“3分钟之后”。

上述方法配置完毕如下图所示：

检查方法

两种检查方法（任选其一）：

1.依照 配置方法 中的步骤进入到“复位账号锁定计数器”，检查是否设置值（例如：15~30分钟），如果是则符合，否则不符合。

2.在合适的情况下，连续输错密码后，观察被锁定的时间〉=（大于等于）计数器设置的时间，如果是则符合，否则不符合。

备注

如果定义了帐户锁定阈值，此重置时间必须小于或等于帐户锁定时间。因为2.1.2项目中提到的“锁定时间 3分钟”，于是本项目则继续以“3分钟”作为配置用例。具体请以实际需求配置。

默认值: 无，因为只有在指定了帐户锁定阈值时，此策略设置才有意义。

配置方法

参考配置操作：

登录系统，以管理员权限进行如下操作（以下两种方法任选其一）：

第一种方法：进入“开始”->“管理工具”->“本地安全策略”->“帐户策略”->“密码策略”：

“强制密码历史”设置为“3个记住的密码”。

第二种方法：打开CMD命令行窗口 输入“gpedit.msc”回车，在打开的“组策略”对话框中选择“计算机配置”-> “windows设置”->“安全设置”->“账号策略”->“密码策略”中“强制密码历史”设置为“3个记住的密码”。

上述方法配置完毕如下图所示：

*注意：进行上述配置后，建议在CMD窗口中执行：gpupdate /force 命令让配置的策略生效，如下图所示：

检查方法

依照 配置方法 打开“密码策略”，查看“强制密码历史”是否设置〉=3的值，如果是则符合，否则不符合。

备注

配置方法

参考配置操作：

登录系统，以管理员权限进行如下操作：

打开CMD命令行窗口，运行命令“regedit”打开注册表编辑器，浏览到如下路径：

“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA”分支，在右边刷出的界面里修改“RestrictAnonymous”项十进制“数值数据”为“1”，见下图：

修改完毕后的上述方法配置完毕如下图所示：

检查方法

依照 配置方法 打开对应的注册表键值“RestrictAnonymous”的十进制“数值数据”是否为“1”，如果是则符合，否则不符合。

备注

配置方法

参考配置操作：

登录系统，以管理员权限进行如下操作：

打开CMD命令行窗口，运行命令“regedit”打开注册表编辑器，浏览到如下路径：

“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System”，添加名称为“DontDisplayLockedUserId”、类型为DWORD、数据为标准值的数值（32位系统见图一、64位系统见图二），若已存在则修改其数据。此数据的十进制值设置为3（十进制数值1表示显示名称、域名、用户名，2表示仅显示用户名称，3表示不显示用户信息。见图三）。

图一：

图二：

图三：

配置完毕后的上述方法配置完毕如下图所示：

检查方法

锁定用户后，检查界面上是否显示用户信息，如果是则符合，否则不符合。

备注

不是域控服务器或域成员不检查此项。

配置方法

参考配置操作：

登录系统，以管理员权限进行如下操作：

进入“开始”->“管理工具”->“计算机管理”->“系统工具”->“本地用户和组”，此时可分别浏览“用户”、“组”两个菜单，根据系统的要求，设定不同的账号和账号组，管理员用户，数据库用户，审计用户，来宾用户。

上述方法的图例如下所示（仅供参考，请根据实际需求设置）：

检查方法

通过问询方式检查是否存在共享使用的账号，若无则满足安全需求；若存在则根据实际需求新建不同类型、权限的账号。

备注

根据系统的使用需求，设定不同的账号和账号组，包括管理员用户，数据库用户，审计用户，来宾用户等，避免出现共享账号情况。

该项采用问询的方式。

配置方法

参考配置操作：

登录系统，以管理员权限进行如下操作（以下两种方法任选其一）：

第一种方法：进入“开始”->“管理工具”->“计算机管理”->“系统工具”->“本地用户和组”，点击“用户”选项，双击“Guest”检查弹出的“Guest属性”对话框中是否勾选了“账号已禁用”。

第二种方法：打开CMD命令行窗口输入“compmgmt.msc”回车，在打开的“计算机管理”对话框中选择“系统工具”-> “本地用户和组”中点击“用户” 选项，双击“Guest”检查弹出的“Guest属性”对话框中是否勾选了“账号已禁用”。

上述方法配置完毕如下图所示：

检查方法

依照 配置方法 进入“本地用户和组”菜单内，检查Guest账号是否已停用。如果是则符合，否则不符合。

备注

配置方法

参考配置操作：

登录系统，以管理员权限进行如下操作（以下两种方法任选其一）：

第一种方法：进入“开始”->“管理工具”->“本地安全策略”->“本地策略”->“安全选项”：

“网络访问：不允许 SAM 帐户的匿名枚举”设置为“已启用”。

第二种方法：打开CMD命令行窗口输入“gpedit.msc”回车，在打开的“组策略”对话框中选择“计算机配置”-> “windows设置”->“安全设置”->“本地策略”->“安全选项”中“网络访问：不允许 SAM 帐户的匿名枚举” 设置为“已启用”。

上述方法配置完毕如下图所示：

*注意：进行上述配置后，建议在CMD窗口中执行：gpupdate /force 命令让配置的策略生效，如下图所示：

检查方法

依照 配置方法 进入“安全选项”菜单内，检查“网络访问: 不允许 SAM 帐户的匿名枚举”一项是否已配置成“启用”，如果是则符合，否则不符合。

备注

配置方法

参考配置操作：

登录系统，以管理员权限进行如下操作（以下两种方法任选其一）：

第一种方法：进入“开始”->“管理工具”->“计算机管理”->“系统工具”->“共享文件夹”，查看每个共享文件夹的共享权限，只将权限授权于指定帐户，不设置成为“everyone”。

第二种方法：打开CMD命令行窗口输入“compmgmt.msc”回车，在打开的“计算机管理”对话框中选择“系统工具”-> “共享文件夹”中查看每个共享文件夹的共享权限，只将权限授权于指定帐户，不设置成为“everyone”。

通过上述方法检查到共享权限为“everyone”的共享文件夹时，需要手动删除“everyone”权限，见下图：

检查方法

参考安全配置方法。

查看每个共享文件夹的共享权限仅限于业务需要，不设置成为“everyone”。

如果是则符合，否则不符合。

备注

配置方法

参考配置操作：

登录系统，以管理员权限进行如下操作（以下两种方法任选其一）：

第一种方法：进入“开始”->“管理工具”->“本地安全策略”，在“安全设置”->“本地策略”->“用户权限分配”：“取得文件或其他对象的所有权”设置仅指派给“Administrators”组。

第二种方法：打开CMD命令行窗口输入“gpedit.msc”回车，在打开的“组策略”对话框中选择“计算机配置”-> “windows设置”->“安全设置”->“本地策略”->“用户权限分配”中“取得文件或其他对象的所有权”设置仅指派给“Administrators”组。

上述方法配置完毕如下图所示：

检查方法

参考安全配置方法中的步骤进入到“取得文件或其他对象的所有权”设置项内，检查是否仅指派给“Administrators”组，如果是则符合，否则不符合。

备注

配置方法

参考配置操作：

登录系统，以管理员权限进行如下操作（以下两种方法任选其一）：

第一种方法：进入“开始”->“管理工具”->“计算机管理”->“系统工具”->“本地用户和组”，选择“用户”，然后在缺省帐户“Administrator”上单击鼠标右键选择“重命名”进行修改。

第二种方法：打开CMD命令行窗口输入“compmgmt.msc”回车，在打开的“计算机管理”对话框中选择“系统工具”-> “本地用户和组” ，选择“用户”，然后在缺省帐户“Administrator”上单击鼠标右键选择“重命名”进行修改。

修改缺省账号名称的图例如下所示：

检查方法

参考配置方法进入“开始->管理工具->服务器管理->配置>本地用户和组->用户”。检查是否已经更改缺省账号名称Administrator，如果没有更改则不符合，否则符合。

备注

修改后会导致使用原管理员账号名启动的服务或应用出现异常，请同步管理员账号。

该配置不能从域控制系统下发，需要在本地去执行。

配置方法

参考配置操作：

登录系统，以管理员权限进行如下操作（以下两种方法任选其一）：

第一种方法：进入“开始”->“管理工具”->“本地安全策略”，在“安全设置”->“本地策略”->“用户权限分配”：“从远程系统强制关机”设置仅指派给“Administrators”组。

第二种方法：打开CMD命令行窗口输入“gpedit.msc”回车，在打开的“组策略”对话框中选择“计算机配置”-> “windows设置”->“安全设置”->“本地策略”->“用户权限分配”中“从远程系统强制关机”设置仅指派给“Administrators”组。

上述方法配置完毕如下图所示：

检查方法

参考安全配置方法，检查“从远程系统强制关机”是否仅为“Administrators”，如果是则符合，否则不符合。

备注

配置方法

参考配置操作：

登录系统，以管理员权限进行如下操作（以下两种方法任选其一）：

第一种方法：进入“开始”->“管理工具”->“本地安全策略”，在“安全设置->本地策略->用户权限分配”：“关闭系统”设置仅指派给“Administrators”组。

第二种方法：打开CMD命令行窗口输入“gpedit.msc”回车，在打开的“组策略”对话框中选择“计算机配置”-> “windows设置”->“安全设置”->“本地策略”->“用户权限分配”中“关闭系统”设置仅指派给“Administrators”组。

上述方法配置完毕如下图所示：

检查方法

参考安全配置方法检查“关闭系统”是否仅指派给了“Administrator”，如果是则符合，否则不符合。

备注

配置方法

参考配置操作：

登录系统，以管理员权限进行如下操作：

版本： Windows Server 2003 删除

进入“控制面板”->“管理工具”->“本地安全策略”，在“本地策略”->“用户权利指派”“允许在本地登录”设置为指定的用户组，例如：administrators、users、或者仅为administrators组允许在本地登录，可参考下图：

版本：Windows Server 2012、Windows Server 2012

进入“开始”->“管理工具”->“本地安全策略”，在“本地策略->用户权限分配”：“允许本地登录”设置为指定的用户组，例如：administrators、VMware、或者仅为administrators组允许在本地登录，可参考下图：

检查方法

参考安全配置方法进入“用户权利指派”中的“允许在本地登录”或“允许本地登录”中的组是否得到合理的配置，如果是则符合，否则不符合。

备注

配置方法

参考配置操作：

登录系统，以管理员权限进行如下操作：

打开CMD命令行窗口，输入命令“gpedit.msc”后回车，打开组策略编辑器，依次选择“本地计算机策略”->“计算机配置”->“Windows设置”->“安全设置”->“本地策略”->“用户权限分配”，在右边窗格中找到“从网络访问此计算机”，配置为指定授权用户或组，例如：只添加administrators组；或添加administrators、VMware等。图例如下所示：

检查方法

参考安全配置方法进入“用户权限分配”，检查“从网络访问此计算机”一项是否已（根据需求）配置，如果是则符合，否则不符合。

备注

配置方法

参考配置操作：

登录系统，以管理员权限进行如下操作：

依次选择：“开始”-> “控制面板”->“管理工具”->“本地安全策略”->“本地策略”->“审核策略”，在“审核登录事件”选项上双击鼠标左键，在弹出的对话框中勾选“成功”“失败”两项，然后点击下方“确定”按钮完成设置。

检查方法

参考安全配置方法, 审核登录事件设置为成功和失败都审核。

如果是则符合，否则不符合。

备注

配置方法

参考配置操作：

登录系统，以管理员权限进行如下操作：

进入“控制面板”->“管理工具”->“本地安全策略”，在“本地策略”->“审核策略”中，启用本地策略中审核策略中如下项，每项都需要设置为“成功”和“失败”。需要配置的策略：

1. l审核策略更改；
2. l审核对象访问；
3. l审核进程跟踪；
4. l审核目录服务访问；
5. l审核特权使用；
6. l审核系统事件；
7.   审核账号管理；

具体如下所示：

*注意：进行上述配置后，建议在CMD窗口中执行：gpupdate /force 命令让配置的策略生效，如下图所示：

检查方法

参考安全配置方法。

如果是则符合，否则不符合。

备注

配置方法

参考配置操作：

登录系统，以管理员权限进行如下操作：

打开CMD命令行窗口，输入命令“gpedit.msc”后回车，打开组策略编辑器，依次选择“本地计算机策略”->“计算机配置”->“管理模板”->“系统”->“windows时间服务”->“时间提供程序”->“配置windowsNTP客户端”

检查方法

参考安全配置方法。

如果是则符合，否则不符合。

备注

配置方法

参考配置操作：

登录系统，以管理员权限进行如下操作：

版本：Windows Server 2012、Windows Server 2012

打开CMD命令行窗口，输入命令“gpedit.msc”后回车，打开组策略编辑器，依次选择“本地计算机策略”->“计算机配置”->“管理模板”->“windows组件”->“windows更新”->“指定Intranet Microsoft 更新服务位置”

检查方法

参考安全配置方法。

如果是则符合，否则不符合。

备注