Windows2003安全配置标准.docx

《Windows2003安全配置标准.docx》由会员分享，可在线阅读，更多相关《Windows2003安全配置标准.docx（7页珍藏版）》请在第一文库网上搜索。

1、Windows2003安全配置标准系统补丁安装标准Windows 2003的与安全相关的补丁大致分三类：1. Service Pack （补丁包）：Service Pack是经过测试的所有修复程序、安全更新程序、关键更新程序以及更新程序的累积的集合。Service Pack还可能包含自产品发布以来针对内部发现的问题的其他修复以及设计上的更改或功能上的增加。Service Pack补丁包涵盖了自发布之前的所有补丁，是重要的补丁集合。2. Security Patch （安全补丁）： Security Patch是针对特定问题广泛发布的修复程序,用于修复特定产品的与安全相关的漏洞。Microsof

2、t在发布的安全公告中将SecurityPatch分级为严重、重要、中等、低四个等级。严重的安全补丁缺失，会造成蠕虫快速传播（如振荡波，冲击波），对系统本身和网络造成重大影响，这类补丁需要及时应用到操作系统。3. Hotfix （修补程序）：Hotf i x是针对某一个具体的系统漏洞或安全问题而发布的专门解决该漏洞或安全问题的小程序，通常称为修补程序，如果在最近发布的Service Pack后面，出现安全方面的漏洞，通常对应的补丁会以Hotfix修补程序的形式发布。3. 3.1补丁安装的原则 新安装或者重新安装windows2003操作系统，必须安装最新的Service Pack补丁集。 必须安

3、装等级为严重和重要的Security Patcho 有关安全方面的Hotfixes补丁应当及时安装。 最新的安全补丁发布与升级步骤，以公司内部网上提供的信息为准。注意：补丁更新要慎重，可能出现硬件不兼容，或者影响当前的应用系统，安装补丁之前要经过测试和验证。3. 3.2账号和口令安全配置标准3. 3. 2.1 “密码策略”配置要求通过“本地安全策略”调整默认的“密码策略”，提高系统的安全水平，“密码策略”中各选项的具体要求如下表列举：策略一默认设置安全设置强制执行密码历史记录记住1个密码记住4个密码密码最长期限42天42天密码最短期限0天7天最短密码长度0个字符6个字符密码必须符合复杂性要求禁

4、用启用为域中所有用户使用可还原的加密来储存密码禁用禁用“密码策略”的设置步骤如下图:进入“控制面板/管理工具/本地安全策略”，在“账户策略-密码策略”。3. 3. 2. 2密码复杂性配置要求在“密码策略”中“密码必须符合复杂性要求”选项启动后，系统将强制要求密码的设置具备一定的强壮度，要求密码至少包含以下四种类别的字符： 英语大写字母A, B, C,Z 英语小写字母a, b, c. - z 西方阿拉伯数字0, 1, 2,9 非字母数字字符，如标点符号，#, $, %, &, *等3. 3. 2. 3账号安全控制要求“账户锁定策略”配置要求:有效的账号锁定策略有助于防止攻击者猜出您账号对应的密码

5、。要求按照下表要求调整“账户锁定策略”:策略默认设置安全设置账户锁定时间未定义30分钟账户锁定阈值05次无效登录复位账户锁定计数器未定义30分钟之后账号锁定配置具体操作如下图:进入“控制面板/管理工具/本地安全策略”，在“账户策略账户锁定策略”。“I “I”I 系统内置账号管理要求：Wi ndows2003系统中存在不可删除的内置账号，包括Admi n i strator和guest。对于管理员账号，要求更改缺省账户名称，对隶属于Administrators组的账号要严格监控；要求禁用guest （来宾）账号，以防止攻击者通过利用已知的用户名破坏远程服务器。其它账号管理要求：临时的测试账号和过

6、期的无用账号应该在3个工作日内及时删除。（注：测试账号和无用账号不是系统默认安装时生成的，是系统操作过程中人为新增的账号，从系统安全加固的角度来看，此类账号应该及时删除。）3. 3.3服务管理配置标准Windows 2003缺省安装会创建很多默认服务并配置为在系统启动时运行。实际运行环境中并不需要运行所有服务，而任何多余的服务都是潜在的受攻击点，因此要求禁用不必要的服务。下表列出的服务是windows2003系统提供基本管理功能所必需的，请根据系统的应用的情况禁用下表中没有提到的服务：服务启动类型服务功能实现C0M+事件服务手动允许组件服务的管理DHCP客户端自动更新动态DNS中的记录所需分布

7、式链接跟踪客户端自动用来维护NTFS卷上的链接DNS客户端自动允许解析DNS名称事件日志自动允许在事件日志中查看事件日志消息逻辑磁盘管理器自动需要它来确保动态磁盘信息保持最新逻辑磁盘管理器管理服务手动需要它以执行磁盘管理Net 1ogon自动加入域时所需网络连接手动网络通讯所需性能日志和警报手动收集计算机的性能数据，向日志中写入或触发警报即插即用自动Windows 2000标识和使用系统硬件时所需受保护的存储区自动需要用它保护敏感数据，如私钥远程过程调用（RPC）自动Windows 2000中的内部过程所需安全账户管理器自动存储本地安全账户的账户信息系统事件通知自动在事件日志中记录条目所需TC

8、P/1P NetBIOS Helper 服务自动在组策略中进行软件分发所需（可分发修补程序）Windows管理规范驱动程序手动使用“性能日志和警报”实现性能警报时所需Windows时间服务自动需要它来保证Kerberos身份验证有一致的功能工作站自动加入域时所需3. 3.4安全选项配置标准请按照下表中的要求设置Windows 2000系统中的安全选项:安全选项注释安全设置LAN Manager 身份验证级别确定网络登录时将使用哪个质询/响应身份验证协议。该选项会影响客户端使用的身份验证发送LM& NTLM响应，如果已协商，协议的级别、协商的会话安全级别，以及服务器所接受的身份验证级别。使用NT

9、LMv2安全会话对匿名连接的额外限制确定匿名连接到计算机应具有的其他权限。不允许枚举账号和共享在断开会话之前所需的空闲时间确定“服务器消息块（SMB）”会话因为不活动而被挂起之前，在该会话中必须经过的连续空闲时间。15分钟如果无法记录安全审计则立即关闭系统确定当系统无法记录安全事件时是否关闭系统。停用登录屏幕上不要显示上次登录的用户名确定是否将上次堂录到计算机的用户名显示在Windows登录画囿中。启用在关机时清理虚拟内存页面交换文件确定在关闭系统时是否清除虚拟内存页面文件。启用发送未加密的密码到第三方SMB服务器如果启用该策略，将允许“服务器消息块（SMB）”重定向器向身份验证期间不支持密码

10、加密的非Microsoft SMB服务器发送明文密码。停用在密码到期前提示用户更改密码确定提前多长时间（单位为天）警告用户其密码将过期。通过这种提前警告，用户可以有时间创建具有足够安全性的密码。14天具体设置方法为：进入“控制面板/管理工具/本地安全策略”，在“本地策略-安全选项”中完成上表提及的各个“安全选项”的调整。如本地安全设置,1! x|操作的）查看a）_g 回的X同图发送LM&NTLM响J集珞/I本地设置I有效设置学安全设置川 3帐户策咯三将本地策略i国商审核策略I* l3用户权利指派津安全选项3 D公钥策昭3 M卬安全策略，在本土躅LAN Marvager身份验证级别发送LM&NT

11、LM响应面安全通道:对安全通道数据进行数字加密（如果可能）已启用面安全通道:对安全通道数据进行数字加密或签名（总是）已停用嬲安全通道:对安全遇道皴据进行数字签名（如果可能）已启用励安全通道：需要强（Widows 2000或以上版本）会话交钥已停用勖当登录时间用演T自动注销用户（本地）巳启用登录屏幕上不要显示上次登录的用户名已启用画对备份和还原权限的使用进行审讨已停用面对服务器通讯进行数字签名（如果可能）已停用面对服务阳通诅进行数字筌名（总是）已停用毁1对客户端通讯进行数字筌名（如果可能）已启用励对客户疏遇诩进行数字釜名（总是）巳停用初对匿名连接的额外P艮制无。侬赖于默认许面对全局系统对象的访问

12、进行审计巳停用画发送未加密的密码以连搜到第三方5MB服务器。已停用函防止计算机帐户密码的系统维护已停用面防止用户安袋打印机驱动程序已停用阙故獐诙复控将台：允许对所有驱动器和文件夹进行软蛊复制和访问已停用勖故谭恢复控制等允许自动系妩首理级聋录巳停用画禁用按CTRL+ALT+DEL进行登录的设置没有定义题可被缓冲保存的前次登录个数（在域拄制器不可用的情况下）10次登录躅如果无法纪录安全审计则立即关闭系统已停用画未签名车驱动程序的安装操作没有定义嬲未签名驱动程序的安装操作就用户试图登录时消息标题没有定义arjprjfrp rrn rrrcr启停启停己己己已已已浮用已停用已停用已停用己自用已停用无.依

13、赖于默U许已停用已停用已停用已停用已停用已停用没有定义10次登录已停用没有定义没有定义3. 3.5安全审计配置标准Windows 2000系统的缺省配置是不开任何安全审核，要求通过开启“审核策略”，记录以下操作：审核策略默认配置安全设置审核登录事件无审核成功，失败审核账户登录事件无审核成功，失败配置方法：通过“控制面板/管理工具/本地安全策略”，在“本地策略-审核策略”中打开相应的审核选项：策略/I安全设置回审核策略更改无审法阈审核登录事件成功，失败掰审核对象访问阈审核过程追踪弱审核目录服务访问段审核特权使用)审核系统事件学安全设置-冷帐户策略M密码策咯 M帐户锁定策略-因本地策略 国审核策略

14、 H用户权利指派 总安全选项+公钥策略十 软件限制策咯亮IP安全策略 在本地H核核核核核申审审审申无无无无无审核帐户登录事件成功，失败踱审核帐户管理无审核3. 3.6其它安全配置参考3. 3. 6. 1使用NTFS文件系统NTFS文件系统比FAT和FAT32强壮和稳定，不易崩溃，Windows2000提供了基于NTFS文件系统的对文件和目录的访问控制列表(ACL) o请确保所有的磁盘卷都使用了 NTFS文件系统。3. 3. 6. 2共享管理要求停用所有不必要的文件共享，特别注意系统默认启用的隐含系统共享，如C$、D$、IPC$等。关闭默认共享的方法有两种：1 .在服务配置中禁用Server服务；2 .更改注册表键值：在 HKLMSystem