Windows操作系统基线核查

一、身份鉴别

1.1应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换

对用户进行鉴别也就是登录时需要你输入用户名、口令的行为。

针对本地登录，使用Win+R组合键打开运行框，在里面内输入netplwiz，则会出现用户账户页面，如下所示：

打开控制面板->管理工具->本地安全策略->账户策略->密码策略

使用Win+R组合键打开运行框，在里面内输入 net user administrator，查看administrator账户更换密码的情况，加以证实。

对于口令更换策略而言，还有个地方需要先去看看，也就是在计算机管理-本地用户和组-用户中，如果这里勾选了“密码永不过期”，那么windows的密码策略中的“密码最长使用期限”也就失效了。需要先把“密码永不过期”去掉。

1.2应具有登录失败处理功能，应加固并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施

打开控制面板->管理工具->本地安全策略->账户策略->账户锁定策略

1.3当进行远程管理时，应采取必要措施防止鉴别信息再网络传输过程中被窃听

如果被测评服务器没有连接外部网络，仅处于内网之中（也没有wifi），管理服务器的方式就是跑去机房进行本地操作的话，也就不存在什么“远程管理”，不存在什么“数据保密性”，自然就符合了。

如果采用远程管理的方式，则分为使用远程桌面还是第三方软件。不可以直接使用远程桌面。同时也需要关闭telnet服务：

查看telnet服务是否开启，没有就合规。

建议采用vpn连接内网，然后通过堡垒机进行远程管理。

二、访问控制

2.1应对登录的用户分配账户与权限

如果windows系统中仅存在Administrator账户可用的话，就无所谓分配不分配了，无论谁来，都只能登录这一个账户，自然就不符合要求。建议建立几个普通用户，赋予在其正常工作范围内的操作权限。

2.2应重命名或删除默认账户，修改默认账户的默认口令

查看是否存在默认账户

同时查看“组”里面的用户和组的说明：

查看用户权限分配情况：

2.3应及时删除或停用多余的、过期的账户，避免共享账户的存在

若只存在一个administrator账户，需要新建适量的新用户，确保避免共享账户的存在。若有多余、过期的账户，需要及时清理删除。

2.4用授予管理用户所需的最小权限，实现管理用户的权限分离

限制普通用户所需的最小权限，控制其访问范围

三、安全审计

3.1应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计

查看windows日志功能是否开启，默认一般都是开启状态

3.2审计记录应包括事件的日期、用户、事件类型、事件是否成功及其它与审计相关的信息

查看审计策略，若不是下图这样，则不合规。

3.3应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等

这里首先应该是查看审计记录文件的权限，是否会被未授权用户删除。

windows中的日志一般我们比较关注应用程序日志、安全日志、系统日志（其中最重要的是安全日志），其存储文件分别是：

设置应用日志文件大小至少为 8192 KB，可根据磁盘空间配置日志文件大小，记录的日志越多越好。并设置当达到最大的日志尺寸时，按需要轮询记录日志：

以上日志内容需要进行定期备份，审计记录保留至少6个月以上。

四、入侵防范

4.1应遵循最小安装的原则，仅安装需要的组件和应用程序

遵循最小安装原则，禁止“夹带”现象，只安装需要的组件和应用程序；

4.2应关闭不需要的系统服务、默认共享和高危端口

使用netstat -an命令，查看开启了哪些端口：

查看所有的正在运行的服务

禁用TCP/IP上的NetBIOS协议，可以关闭监听的 UDP 137（netbios-ns）、UDP 138（netbios-dgm）以及 TCP 139（netbios-ssn）端口

停用不使用的服务

4.3启用SYN攻击保护

指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阈值为5。

指定处于 SYN_RCVD 状态的 TCP 连接数的阈值为500。

指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值为400。

操作步骤

打开 注册表编辑器，根据推荐值修改注册表键值。

Windows Server 2012

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect 推荐值：2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpen 推荐值：500

Windows Server 2008

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect 推荐值：2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted 推荐值：5

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen 推荐值：500

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried 推荐值：400

五、恶意代码防范

5.1应安装防恶意代码软件或加固具有相应功能的软件，并定期进行升级和更新防恶意代码库

查看有无杀毒软件，是否升级为最新版本

六、数据备份恢复

6.1应提供重要数据的本地数据备份与恢复功能

查看是否有备份文件，以及了解备份机制和恢复机制

若无，需要建立备份文件，进行每日增量、每周全量的备份策略。

6.2应提供异地数据备份功能，利用通信网络将重要数据定时批量传送至备用场地

将备份文件存放异地且确保其有效性，避免出现单点故障后不具备恢复的风险。

七、资源控制

7.1应确保系统磁盘根分区已使用空间维持在80%以下

如果磁盘动态分区空间不足，建议管理员扩充磁盘容量

7.2限制远程登录空闲断开时间

控制面板——管理工具——本地安全策略——安全选项：设置15分钟

7.3禁用未登陆前关机

控制面板——管理工具——本地安全策略——安全选项：将已启用改为禁用