操作系统安全基线配置.docx

Win2003 & 2008操作系统安全配置要求
. 帐户口令安全
帐户分配:应为不同用户分配不同的帐户,不允许不同用户间共享同一帐户。
帐户锁定:应删除或锁定过期帐户、无用帐户。
用户访问权限指派:应只允许指定授权帐户对主机进行远程访问。
帐户权限最小化:应根据实际需要为各个帐户分配最小权限。
默认帐户管理:应对Administrator帐户重命名,并禁用Guest(来宾)帐户。
口令长度及复杂度:应要求操作系统帐户口令长度至少为8位,且应为数字、字母和特殊符号中至少2类的组合。
口令最长使用期限:应设置口令的最长使用期限小于90天。
口令历史有效次数:应配置操作系统用户不能重复使用最近 5 次(含 5 次)已使用过的口令。
口令锁定策略:应配置当用户连续认证失败次数为 5次,锁定该帐户30分钟。
. 服务及授权安全
服务开启最小化:应关闭不必要的服务。
SNMP服务接受团体名称设置:应设置SNMP接受团体名称不为public或弱字符串。
系统时间同步:应确保系统时间与NTP服务器同步。
DNS服务指向:应配置系统DNS指向企业内部DNS服务器。
. 补丁安全
系统版本:应确保操作系统版本更新至最新。
补丁更新:应在确保业务不受影响的情况下及时更新操作系统补丁。
. 日志审计
日志审核策略设置:应合理配置系统日志审核策略。
日志存储规则设置:应设置日志存储规则,保证足够的日志存储空间。
日志存储路径:应更改日志默认存放路径。
日志定期备份:应定期对系统日志进行备份。
. 系统防火墙:应启用系统自带防火墙,并根据业务需要限定允许通讯的应用程序或端口。
. 防病毒软件:应安装由总部统一部署的防病毒软件,并及时更新。
. 关闭自动播放功能:应关闭 Windows 自动播放功能。
. 共享文件夹
删除本地默认共享:应关闭 Windows本地默认共享。
共享文件权限限制:应设置共享文件夹的访问权限,仅允许授权的帐户共享此文件夹。
. 登录通信安全
禁止远程访问注册表:应禁止远程访问注册表路径和子路径。
登录超时时间设置:应设置远程登录帐户的登录超时时间为30 分钟。
限制匿名登录:应禁用匿名访问命名管道和共享。
Red Hat Linux 5 & 6、Solaris 9 & 10、HP-UNIX 11操作系统安全配置要求
. 帐户口令安全
帐户共用:应为不同用户分配不同系统帐户,不允许不同用户间共享同一系统帐户。
帐户锁定:应删除或锁定过期帐户或无用帐户。
超级管理员远程登录限制:应限制root帐户远程登录。
帐户权限最小化:应根据实际需要为各个帐户设置最小权限。
口令长度及复杂度:应要求操作系统帐户口令长度至少为8位,且应为数字、字母和特殊符号中至少2类的组合。
口令最长使用期限:应设置口令的最长生存周期小于等于90天。
口令历史有次数:应配置操作系统用户不能重复使用最近 5次(含5次)内已使用的口令。
口令锁定策略:应配置用户当连续认证失败次数超过 5次(不含5次),锁定该帐户30分钟。(Solaris 9 & 10、Red Hat Linux 5 & 6、AIX 5)
应配置当用户连续