【正文】 則，保證日志存儲 操作指南 參考配置操作 開始運(yùn)行eventvwr 右鍵選擇日志，屬性，根據(jù)實際需求設(shè)置： 日志文件大?。嚎筛鶕?jù)需要制定 超過上限時的處理方式（建議日志記錄天數(shù)不小于 90天） 補(bǔ)充說明 建議對每個日志均進(jìn)行如上操作，同時應(yīng)保證磁盤空間 檢測方法 判定條件 檢測操作 11 開始運(yùn)行eventvwr，右鍵選擇日志，屬性，查看日志上限及超過上線時的處理方式 不必要的服務(wù)、端口 編號：1 要求內(nèi)容 關(guān)閉不必要的服務(wù) 操作指南 參考配置操作 進(jìn)入“控制面板管理工具計算機(jī)管理” ，進(jìn)入“服務(wù)和應(yīng)用程序” ： 可根據(jù)具體應(yīng)用情況參考附錄 A，篩選不必要的服務(wù)。 檢測操作 開始運(yùn)行 執(zhí)行“ 控制面板管理工具本地安全策略審核策略” 審核登錄事件，雙擊，查看是否設(shè)置為成功和失敗都審核。 操作指南 參考配置操作 開始運(yùn)行 執(zhí)行“ 控制面板管理工具本地安全策略審核策略” 審核登錄事件，雙擊，設(shè)置為成功和失敗都審核。打開防病毒軟件控制面板，查看病毒碼更新日期。 檢測方法 判定條件 已安裝防病毒軟件，病毒碼更新時間不早于 1個月，各系統(tǒng)病毒碼升級時間要求參見各系統(tǒng)相關(guān)規(guī)定。 防病毒軟件 編號：1 要求內(nèi)容 安裝防病毒軟件，并及時更新。 查看是否在“例外”中配置允許業(yè)務(wù)所需的程序接入網(wǎng)絡(luò)。 “例外”中允許接入網(wǎng)絡(luò)的程序均為業(yè)務(wù)所需。 在“例外編輯更改范圍”編輯允許接入的網(wǎng)絡(luò)地址范圍。操作指南 參考配置操作（以啟動自帶防火墻為例） 進(jìn)入“控制面板－網(wǎng)絡(luò)連接－本地連接” ，在高級選項的設(shè)置中啟用 Windows 防火墻。 防護(hù)軟件 編號：1 要求內(nèi)容 啟用自帶防火墻或安裝第三方威脅防護(hù)軟件。 例如截止到 2010 年最新版本： Windows XP 的 Service Pack 為 SP3。對服務(wù)器系統(tǒng)應(yīng)先進(jìn)行兼容性測試。 操作指南 參考配置操作 進(jìn)入“控制面板管理工具本地安全策略” ，在“本地策略用戶權(quán)利指派” ： “取得文件或其它對象的所有權(quán)”設(shè)置為“只指派給Administrators 組” 檢測方法 判定條件 “取得文件或其它對象的所有權(quán)”設(shè)置為“只指派給Administrators 組” 檢測操作 進(jìn)入“控制面板管理工具本地安全策略” ，在“本地策略用 7 戶權(quán)利指派” ： 查看是否“取得文件或其它對象的所有權(quán)”設(shè)置為“只指派給Administrators 組” 編號：3 要求內(nèi)容 在本地安全設(shè)置中只允許授權(quán)帳號本地、遠(yuǎn)程訪問登陸此計算機(jī)。 授權(quán) 編號：1 6 要求內(nèi)容 本地、遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)只指派給 Administrators 組。 操作指南 參考配置操作 5 進(jìn)入“控制面板管理工具本地安全策略” ，在“帳戶策略密碼策略” ： “強(qiáng)制密碼歷史”設(shè)置為“記住 5個密碼” 檢測方法 判定條件 “強(qiáng)制密碼歷史”設(shè)置為“記住 5個密碼” 檢測操作 進(jìn)入“控制面板管理工具本地安全策略” ，在“帳戶策略密碼策略” ： 查看是否“強(qiáng)制密碼歷史”設(shè)置為“記住 5 個密碼” 編號：4 要求內(nèi)容 對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過 6 次（不含 6 次） ，鎖定該用戶使用的賬號。, *等 4 操作指南 參考配置操作 進(jìn)入“控制面板管理工具本地安全策略” ，在“帳戶策略密碼策略” ： “密碼必須符合復(fù)雜性要求”選擇“已啟動” 檢測方法 判定條件 “密碼必須符合復(fù)雜性要求”選擇“已啟動” 檢測操作 進(jìn)入“控制面板管理工具本地安全策略” ，在“帳戶策略密碼策略” ： 查看是否“密碼必須符合復(fù)雜性要求”選擇“已啟動” 編號：2 要求內(nèi)容 對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，賬戶口令的生存期不長于 90天。 Guest 帳號已停用。 3 注：無關(guān)的賬號主要指測試帳戶、共享帳號、長期不用賬號（半年以上不用）等 編號：3 要求內(nèi)容 重命名 Administrator；禁用 guest（來賓）帳號。 檢測方法 判定條件 結(jié)合要求和實際業(yè)務(wù)情況判斷符合要求，根據(jù)系統(tǒng)的要求，設(shè)定不同的賬戶和賬戶組 檢測操作 進(jìn)入“控制面板管理工具計算機(jī)管理” ，在“系統(tǒng)工具本地用戶和組” ： 查看根據(jù)系統(tǒng)的要求，設(shè)定不同的賬戶和賬戶組 編號：2 要求內(nèi)容 應(yīng)刪除與運(yùn)行、維護(hù)等工作無關(guān)的賬號。避免用戶賬號和設(shè)備間通信使用的賬號共享。 由于版本不同，配置操作有所不同，本規(guī)范以 Windows 2003 為例，給出參考配置操作。在未特別說明的情況下，均適用于所有運(yùn)行的 Windows 操作系統(tǒng)，包括 Windows 2000、Windows XP、Windows2003, Windows7 , Windows 2008 以及各版本中的 Sever、Professional版本。. . . .. .各類操作系統(tǒng)安全配置要求及操作指南 檢查模塊 支持系統(tǒng)版本號 Windows Windows 2000 以上 Solaris Solaris 8 以上 AIX AIX HPUNIX HPUNIX 11i以上 Linux 內(nèi)核版本 Oracle Oracle 8i以上 SQL Server Microsoft SQL Server 2000 以上 MySQL MySQL IIS IIS Apache Apache 以上 Tomcat Tomcat WebLogic WebLogic Windows操作系統(tǒng) 安全配置要求及操作指南 I 目 錄 目 錄 ..................................................................... I 前 言 .................................................................... II 1 范圍 ....................................................................... 1 2 規(guī)范性引用文件 ............................................................. 1 3 縮略語 ..................................................................... 1 4 安全配置要求 ............................................................... 2 賬號 ..................................................................... 2 口令 ..................................................................... 3 授權(quán) ..................................................................... 5 補(bǔ)丁 ..................................................................... 7 防護(hù)軟件 ................................................................. 8 防病毒軟件 ............................................................... 8 日志安全要求 ............................................................. 9 不必要的服務(wù) ............................................................ 11 啟動項 .................................................................. 12 關(guān)閉自動播放功能 ....................................................... 13 共享文件夾 ............................................................. 13 使用 NTFS 文件系統(tǒng) ..................................................... 14 網(wǎng)絡(luò)訪問 ............................................................... 15 會話超時設(shè)置 ........................................................... 16 注冊表設(shè)置 ............................................................. 17 附錄 A：端口及服務(wù) .......................................................... 18 II 前 言 為了在工程驗收、運(yùn)行維護(hù)、安全檢查等環(huán)節(jié)，規(guī)范并落實安全配置要求，編制了一系列的安全配置要求及操作指南，明確了操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用中間件在內(nèi)的通用安全配置要求及參考操作。 該系列安全配置要求及操作指南的結(jié)構(gòu)及名稱預(yù)計如下： （1） 《 Windows 操作系統(tǒng)安全配置要求及操作指南》 （本規(guī)范） （2） 《 AIX操作系統(tǒng)安全配置要求及操作指南》 （3） 《 HPUX 操作系統(tǒng)安全配置要求及操作指南》 （4） 《 Linux操作系統(tǒng)安全配置要求及操作指南》 （5） 《 Solaris操作系統(tǒng)安全配置要求及操作指南》 （6） 《 MS SQL server數(shù)據(jù)庫安全配置要求及操作指南》 （7） 《 MySQL 數(shù)據(jù)庫安全配置要求及操作指南》 （8） 《 Oracle數(shù)據(jù)庫安全配置要求及操作指南》 （9） 《 Apache安全配置要求及操作指南》 （10） 《 IIS安全配置要求及操作指南》 （11） 《 Tomcat 安全配置要求及操作指南》 （12） 《 WebLogic 安全配置要求及操作指南》 1 1 范圍 適用于使用 Windows 操作系統(tǒng)的設(shè)備。 本規(guī)范明確了 Windows操作系統(tǒng)在安全配置方面的基本要求， 適用于所有的安全等級，可作為編制設(shè)備入網(wǎng)測試、安全驗收、安全檢查規(guī)范等文檔的參考。 2 規(guī)范性引用文件 GB/T222392008《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求》 YD/T 17322008《固定通信網(wǎng)安全防護(hù)要求》 YD/T 17342008《移動通信網(wǎng)安全防護(hù)要求》 YD/T 17362008《互聯(lián)網(wǎng)安全防護(hù)要求》 YD/T 17382008《增值業(yè)務(wù)網(wǎng)—消息網(wǎng)安全防護(hù)要求》 YD/T 17402008《增值業(yè)務(wù)網(wǎng)—智能網(wǎng)安全防護(hù)要求》 YD/T 17582008《非核心生產(chǎn)單元安全防護(hù)要求》 YD/T 17422008《接入網(wǎng)安全防護(hù)要求》 YD/T 17442008《傳送網(wǎng)安全防護(hù)要求》 YD/T 17462008《IP 承載網(wǎng)安全防護(hù)要求》 YD/T 17482008《信令網(wǎng)安全防護(hù)要求》 YD/T 17502008《同步網(wǎng)安全防護(hù)要求》 YD/T 17522008《支撐網(wǎng)安全防護(hù)要求》 YD/T 17562008《電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級保護(hù)要求》 3 縮略語 UDP User Datagram Protocol 用戶數(shù)據(jù)包協(xié)議 TCP Transmission Control Protocol 傳輸控制協(xié)議 2 NTFS New Technology File System 新技術(shù)文件系統(tǒng) 4 安全配置要求 賬號 編號：1 要求內(nèi)容 應(yīng)按照不同的用戶分配不同的賬號，避免不同用戶間共享賬號。 操作指南 參考配置操作 進(jìn)入“控制面板管理工具計算機(jī)管理” ，在“系統(tǒng)工具本地用戶和組