网络安全标准实践指南—Windows7操作系统安全加固指引.docx

《网络安全标准实践指南—Windows7操作系统安全加固指引.docx》由会员分享，可在线阅读，更多相关《网络安全标准实践指南—Windows7操作系统安全加固指引.docx（36页珍藏版）》请在优知文库上搜索。

1、1范围12规范性引用文件13术语定义13.1 身份identity13.2 鉴别authentication13.3 访问控制accesscontrol23.4 安全审计securityaudit23.5 入侵intrusion23.6 入侵防御intrusionprevention23.7 热补丁hotfix23.8 虚拟补丁virtualpatch24缩略语25概述36安全防护加固36.1 系统补丁46.2 第三方安全防护软件安装56.3 恶意代码防范67安全配置加固87.1 身份鉴别97.2 访问控制137.3 安全审计197.4 入侵防御26附录A安全加固项实施建议29附录B建议安装的

2、系统补丁31附录C常见的高危漏洞32附录D建议关闭的服务34附录E建议关闭的端口35参考文献371范围本实践指南从安全防护加固和安全配置加固两个方面，给出了针对WindOWS7操作系统的本地安全防护和安全策略配置建议。本实践指南适用于WindOWS7操作系统以及兼容操作系统平台的安全加固，WindoWS7以上的操作系统安全加固也可参考使用。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T25069信息安全技术术语GB/T37090201

3、8信息安全技术病毒防治产品安全技术要求和测试评价方法3术语定义GBb25069界定的以及下列术语和定义适用于本文件。3.1 身份identity与某一实体相关的一组属性。注1：一个实体能有多个身份。注2：几个实体能有同一的身份。3.2 鉴别authentication验证某一实体所声称身份的过程。3.3 访问控制accesscontrol一种确保数据处理系统的资源只能由经授权实体以授权方式进行访问的手段。3.4 安全审计securityaudit对信息系统记录与活动的独立评审和考察，以测试系统控制的充分程度，确保对于既定安全策略和运行规程的符合性，发现安全违规，并在控制、安全策略和过程三方面提

4、出改进建议。3.5 入侵intrusion对网络或联网系统的未授权访问，即对信息系统进行有意或无意的未授权访问，包括针对信息系统的恶意活动或对信息系统内资源的未授权使用。3.6 入侵防御intrusionprevention积极应对以防止入侵的正规过程。3.7 热补丁hotfix指能够修复软件漏洞的一些代码，它不会使当前正在运行的业务中断，即在不重启的情况下，可以对当前软件的漏洞进行即时修复。3.8 虚拟补丁virtualpatch指一组程序或者代码，它不直接修复受影响软件的漏洞，而采用外围的方式，通过控制受影响软件的输入或输出，来达到缓解或者清除漏洞的目的。4缩略语下列缩略语适用于本文件。D

5、EP：数据执行保护(DataEXeCUtionPrOteCtiOn)DPAPI：数据保护APl(DataProtectionAPI)DS：目录服务(DireCtorySerViCe)FTP：文件传输协议(FileTransferProtocol)RDS：远程桌面服务(RemOteDeSktoPSerViCeS)RPC：远程过程调用(RemOteProCedUreCalDSAM：安全账户管理(SecurityAccountManager)SYN：同步序歹J编号(SynchronizeSequenceNumbers)TCP：传输控制协议(TranSmitControlProtOCol)UAC：用户

6、账户控制(USerACCOUntCOntrol)5概述本实践指南从安全防护加固和安全配置加固两个方面给出48个加固项，其中，安全防护加固项9个，安全配置加固项39个，每个加固项包括“加固内容、加固建议、实施/操作指南三项要素，具体说明了加固方法。为了便于实际操作，附录A给出了加固项的实施优先级建议，分重要和一般两个级别，用户可根据具体情况分步骤实施。6安全防护加固安全防护加固包括三方面的内容，首先，及时安装微软官方已经发布的针对WindOWS7系统漏洞的补丁，防止恶意攻击利用已知漏洞的攻击；其次，针对一些新出现的漏洞且没有官方补丁的情况，可以采用网络安全厂商提供的热补丁或虚拟补丁、系统加固方案

7、等作为缓解措施，但热补丁或虚拟补丁的有效性建议由专业机构进行验证；同时这些补丁与用户业务系统的兼容性等需要用户根据自身的实际情况进行验证、修补；最后，可以利用系统本身的安全配置以及安装网络安全厂商提供的恶意代码防范软件，以达到安全加固的目的。6.1 辍!卜丁及时安装系统补丁，可以很大程度避免被恶意入侵和利用，让系统和软件运行更稳定。建议安装的系统补丁见附录B。6.1.1 已知高危漏洞修复加固内容已知高危漏洞进行补丁修复。加固建议针对已知高危漏洞，充分评估后进行修复。实施/操作指南针对已知高危漏洞查找并安装对应补丁或使用安全软件进行漏洞修复。常见的高危漏洞详见附录C。6.1.2 WiIldoWS

8、UPdate系统升级进程禁止加固内容禁止WindoWSUPdate系统升级进程访问互联网，防止可能通过本升级进程收集信息，增加安全风险。加固建议禁止WindOWSUPdate系统升级进程访问互联网。实施/操作指南利用操作系统自身的功能设置或采用其他联网检查工具实现阻止外联WindoWS7升级服务器。6.2 第三方安全防护软件安装采用网络安全厂商提供的安全防护软件，可针对没有微软补丁的操作系统漏洞进行主动防御，对攻击行为进行拦截，包括但不限于以下技术方式。6.2.1 停服后的漏洞修复加固内容修复WIN7停服后高危操作系统漏洞。加固建议针对WIN7停服后无法提供实体补丁的高危操作系统漏洞，采用网络

9、安全厂商提供的相应补丁解决方案进行漏洞修复。实施/操作指南部署具备相关补丁漏洞免疫功能的终端安全防护软件，并开启针对WindOWS7操作系统适配的系统补丁，下发至WindoWS7操作系统终端并开启防护。6.2.2 热补丁或虚拟补丁安装加固内容使用网络安全厂商提供的热补丁或虚拟补丁功能，通过内存检测、内核加固、网络流量检测等方式进行漏洞修复或攻击拦截。加固建议安装并开启网络安全厂商提供的热补丁或虚拟补丁功能，进行动态检测防护加固。实施/操作指南部署具备热补丁或虚拟补丁功能的终端安全防护软件，并开启针对WindOWS7操作系统的热补丁或虚拟补丁能力。6.2.3 系统加固加固内容使用包括但不限于主动

10、防御、内存修补等技术措施，以清除由于系统漏洞带来的安全隐患。加固建议安装并开启网络安全厂商提供的系统加固功能。实施/操作指南部署具备系统加固能力的终端安全防护软件，并开启系统加固功能。6.3 恶意代码防范恶意代码防范主要针对恶意代码可能的入侵点提供安全加固建议。6.3.1 UAC验证加固内容启用用户账户控制（UAC）功能。加固建议启用用户账户控制（UAC）功能。实施/操作指南在运行窗口输入“gpedit.msc”打开本地组策略。配置计算机配置-WindOWS设置-安全设置-本地策略的策略值-安全选项-“用户账户控制：以管理员批准模式运行所有管理员为“已启用6.3.2自动播放加固内容关闭自动播放

11、功能。加固建议关闭自动播放功能。实施/操作指南在运行窗口输入“gpedit.msc”打开本地组策略。将计算机配置-管理模板-WindOWS组件-自动播放策略自动运行的默认行为”的策略值配置为“已启用：不执行任何自动运行命令”。6.3.3 数据执行保护加固内容启用数据执行保护（DEP）。加固建议打开数据执行保护（DEP）功能。实施/操作指南进入“控制面板-系统”；选择“高级系统设置-高级-性能-设置-数据执行保护”选项卡，勾选“仅为基本WindoWS操作系统程序和服务启用DEP”。6.3.4 恶意代码防范软件加固内容安装恶意代码防范软件并及时更新特征库。加固建议开启实时防护功能并定期扫描，及时升

12、级软件、更新特征库。实施/操作指南选用符合“GB/T370902018信息安全技术病毒防治产品安全技术要求和测试评价方法”的恶意代码防范软件。7安全配置加固安全配置加固主要通过WindOWS7操作系统本身提供的各种配置进行加固，包括但不限于身份鉴别、访问控制、安全审计、入侵防御等。部分配置项在默认情况下未启用，启用这些配置项可以预防某些特定的网络威胁攻击，增强WindOWS7系统安全。本实践指南所列的配置加固项未穷尽，用户可以根据自身业务需求以及网络威胁的发展变化态势，进行动态调整，以增强系统的安全性。用户在参考本章中的安全配置加固项进行加固工作时，除了手动加固，还可采用满足本实践指南要求的自

13、动化工具开展安全策略检查并实施加固操作。7.1 身份鉴别身份鉴别主要是对登录用户数字身份进行合法性校验，保证以数字身份进行操作的操作者就是这个数字身份合法拥有者，通过对身份鉴别相关安全策略的加固，可以提高账户安全性。本节主要针对口令复杂度、使用期限、登录失败处理、屏幕保护等与身份鉴别等有关策略提供安全实施建议。7.1.1 口令复杂度加固内容口令策略启用口令符合复杂性要求。加固建议满足口令复杂度要求：至少包含大小写字母、数字和特殊符号3种或者3种以上组合。实施/操作指南运行窗口输入“gpedit.msc”打开本地组策略。配置计算机配置-Winde）WS设置-安全设置-账户策略-密码策略”：“密码

14、必须符合复杂性要求”选择“已启动”。（备注：此处WindoWS菜单选项中的“密码就是本文的“口令”，下同。）7.12口令长度加固内容口令要有最小长度限制。加固建议配置口令策略限制口令的长度必须至少为8个字符。实施/操作指南在运行窗口输入“gpedit.msc”打开本地组策略。配置计算机配置-WindOWS设置-安全设置账户策略-密码策略-密码长度最小值大于等于8个字符。7.1.3 口令最长使用期限加固内容口令要有最长使用期限限制。加固建议配置口令最长使用时间，设置口令为30天至90天后过期。实施/操作指南在运行窗口输入“gpedit.msc”打开本地组策略。配置计算机配置-WindOWS设置-

15、安全设置-账户策略-密码策略-密码最长使用期限的策略值为30-90之间数值。7.1.4 错误登录尝试加固内容错误登录尝试次数要有最多次数限制。加固建议配置错误登录尝试次数，设置为不超过5次。实施/操作指南在运行窗口输入“gpedit.msc”打开本地组策略。配置计算机配置-WindOWS设置-安全设置-账户策略-账户锁定策略-账户锁定阈值的策略值为“5”。7.1.5 锁定持续时间加固内容“错误登录尝试次数达到阈值后，账户被锁定持续时间要有最短时间限制。加固建议配置锁定持续时间，设置至少为15分钟。实施/操作指南在运行窗口输入“gpedit.msc”打开本地组策略。配置计算机配置-WindOWS设置-安全设置-账户策略-账户锁定策略-账户锁定时间的策略值大于等于15。7.1.6 登录计