Windows主机安全配置手册.doc

1、德信诚培训网Windows主机安全配置手册1. 适用范围本文档的适用操作系统为Microsoft Windows 2000 Server/Advanced ServerMicrosoft Windows 2003 Server/Advanced Server2 更新要求本文档每年必须由负责人员重新审查内容，并按照需求修正。各操作系统厂商推出新版本时，亦必须重新审查内容及修正。3.1用户、用户组及其权限管理描述：创建用户组和用户，并对其分配合适的权限是WINDOWS安全机制的核心内容之一。3.1.1对系统管理员账号进行限制编号：3001名称：对系统管理员账号进行限制重要等级：高基本信息：系统管理

2、员对系统具有最高的权限，Windows系统管理员的默认账号名为Administrator，很容易成为攻击者猜测和攻击的重要目标，因此需要对系统管理员账号作出必要的设置。检测内容： 查看是否有名为administrator的用户帐号； 查看administrator用户是否属于administrators组建议操作： 将系统管理员账号重命名为一个普通的、不易引起注意的账号名n 打开控制面板管理工具本地安全策略；n 选择本地策略安全选项；n 改写：重命名管理员帐户； 建立一个以administrator命名的账号，将所属用户组清除，即所属组为空，不赋予该帐号权限； 管理员账号的口令应该遵循比“密码

3、策略”更严格的策略操作结果： 对系统管理员账号进行限制，一般不会对系统造成任何不良的影响。 有少数应用软件需要administrator名的系统用户，请视应用情况对该项进行修改。3.1.2 密码策略编号：3002名称：密码策略重要等级：高基本信息：通过启用“密码必须符合复杂性要求”，设置“密码长度最小值”、“密码最长存留期”、“密码最短存留期”、“密码强制历史”，停用“为域中用户使用可还原的加密来存储”可以明显的提高用户账户的安全性。检测内容： 查看本地安全策略|账户策略|密码策略来核实是否设置了合适的密码策略n 打开控制面板管理工具本地安全策略；n 选择帐户策略密码策略；n 检查各项设置；建

4、议操作： 启用“密码必须必须符合复杂性要求”；n “密码最小长度”大于7；n “密码最长存留期”小于90天；n “密码最短存留期”大于5天；n “密码强制历史”不小于5；n 停用“为域中用户使用可还原的加密来存储”；操作结果： 密码策略对已经存在的密码无效，需要对已存在的密码进行检查 进行密码策略设置，不会对系统造成任何不良的影响。 特例：在安全策略中定义的策略和添加用户时选择的密码永不过期和用户无法自己修改密码，以后者为准。3.1.3 账户锁定策略编号：3003名称：账户锁定策略重要等级：高基本信息：通过设置“账户锁定时间”，“账户锁定阈值”，“复位账户锁定计数器”来防止远程的密码猜测攻击。

5、检测内容： 查看本地安全策略|账户策略|账户锁定策略来核实是否设置了合适的密码策略n 打开控制面板管理工具本地安全策略；n 选择帐户策略帐户锁定策略；n 检查各项设置；建议操作： “复位账户锁定计数器”时间不短于5分钟； “账户锁定时间”不短于5分钟； “账户锁定阈值”不多于10次；操作结果： 进行账户锁定策略设置时，不会对系统造成任何不良的影响。3.2远程访问主机系统描述：被配置为接受远程访问连接的任何基于 Windows的计算机用户。3.2.1 对可以远程使用telnet服务的用户进行限定编号：3004名称：对可以远程使用telnet服务的用户进行限定重要等级：中基本信息：Windows系

6、统从2000开始提供远程telnet访问服务，建议不要开启telnet服务，如特殊情况必须开启telnet服务，必须遵守本规定对可以远程访问telnet服务的用户进行限制。检测内容：检测是否为Telnet终端创建了TelnetClients组，并赋予恰当的访问权限。建议操作： 创建TelnetClients组，并将需要远程使用telnet服务的用户加入该组 对TelnetClients组进行授权n 打开控制面板管理工具本地安全策略；n 本地策略用户权力指派；n 按需要进行授权；操作结果： 进行TelnetClients账户授权策略设置时，不会对系统造成任何不良的影响。 需要注意尽量避免对Adm

7、inistrator组用户进行授权修改，以免造成系统应用、管理失败。3.2.2 Pcanywhere远程接入编号：3005名称：Pcanywhere远程接入安全设置重要等级：中基本信息：Windows系统可以使用Pcanywhere工具方式进行远程管理，遵守一下设定对可以提高远程管理安全性。检测内容： 是否使用高版本（10.0）软件，较低版本软件存在大量安全漏洞 是否设置加密传输，建议采用pcanywhere加密级别 回话结束后是否注销用户建议操作： 创建新被控端 对被控端进行安全配置n 选择TCP/IP方式；n 设置面板回话正常（异常）结束后使用注销用户保护；n 安全选项限制每个呼叫登陆尝试

8、次数为3，完成登陆时间为3分钟；n 安全选项设置加密为pcanywhere级别，拒绝较低加密级别；操作结果： 设置生效需要重新启动Pcanywhere服务，主控端应配置与被控端相应加密级别； 需要注意本设置与系统本身认证机制无关。3.3系统补丁描述：补丁是实现Windows主机系统安全的重要途径。3.3.1安装Windows补丁编号：3006名称：安装Windows补丁重要等级：高基本信息：补丁是实现Windows主机系统安全的重要途径。针对Windows 2000操作系统的漏洞，微软已经发布了三个大补丁包Windows 2000 Service Pack 1、2、3。针对Windows NT

9、4操作系统的漏洞，微软已经发布到的最高补丁版本为SP6a。及时安装最近的service pack后发布的Hotfix补丁也十分重要。检测内容：1. 使用Windows Update在线更新工具；（对NT系统无效） 点击“开始Windows Update”直接连接到微软的Windows Update网站； 点击扫描检测最新的补丁。补丁分为与安全相关、与Windows相关和与驱动相关三个部分。 扫描的结果就是该Windows主机系统上所有没有安装的补丁。2. 使用微软的微软安全分析(MBSA)工具； 下载地址： 然后双击安装MBSA1.1； 启动Microsoft Baseline Securit

10、y Analyzer，得出扫描结果。3. 使用hfnetchk工具；（本工具建议在线使用） 首先下载该工具nshc332.exe，下载地址： 安装nshc332.exe 在命令行方式转到安装目录下，输入hfnetchk.exe，回车即可。4. 对于没有与Internet相连的主机，如何通过离线的方式检查系统未安装的补丁？注：上面提到方法任选其一。建议操作：1、根据使用“检测内容”中提到的补丁测试方法，对系统进行全面的测试，然后根据实际结果确定更新系统的哪些补丁程序。下面给出部分与微软windows 2000和windows NT系统补丁相关的下载网址：微软简体中文更新网址：微软英文更新网址：W

11、indows 2000简体中文版SP3下载网址：Windows 2000英文版SP3下载网址：Windows NT SP6a下载网址：Windows NT SP6a安全补丁集合(SRP) 下载网址：1. 下载完毕后，双击补丁程序，按照安装过程给出的提示，一步一步进行。2. 安装结束后，重新启动系统即可。3. hotfix的安装过程与SP补丁相同，安装完毕后根据安装程序的提示决定是否需要重新启动机器。4. 对于没有直接与Internet互联的主机，可利用微软提供的光盘升级包完成补丁加载；或在Internet网络上的主机下载最新升级包并刻录至光盘载体，在需升级的主机上安装。操作结果：Windows

12、的补丁是系统安全中重要组成部分，通常情况下安装补丁不会对系统造成任何不良的影响。注意：在安装系统补丁的过程中不能够使系统断电或非正常安装完毕而重新启动系统，这样可能会造成系统不能正常启动的严重后果。3.4文件系统增强描述： NTFS支持细致的文件权限控制，磁盘配额管理、文件加密等特性。NTFS可为用户提供更高层次的安全保证。而FAT和FAT32系统则不具备上述特性。3.4.1使用NTFS文件系统编号：3007名称：使用NTFS文件系统重要等级：高基本信息：NTFS是微软WindowsNT/2000/XP支持的文件系统。NTFS支持细致的文件权限控制，磁盘配额管理、文件加密等特性。NTFS可为用

13、户提供更高层次的安全保证。检测内容：打开“我的电脑”选中要检测的磁盘驱动器单击鼠标右键选择“属性”查看文件系统类型，是否为NTFS格式；建议操作： 如果文件系统类型不是NTFS格式，需要转换为NTFS格式，以增加文件系统的安全性。具体方法：在cmd（命令行）方式下，键入：convert : /fs:ntfs注：一旦将某个驱动器或分区转换为NTFS格式，您便无法将其恢复回FAT或FAT32格式。如需返回FAT或FAT32格式，您必须对驱动器或分区进行重新格式化，并从相应分区上删除包括程序及个人文件在内的所有数据。操作结果： 实施文件系统安全增强，不会对系统造成任何不良的影响。 注意：微软没有提供

14、将NTFS系统转换为其它的文件系统，如FAT和FAT32的功能，如要对文件系统进行其它格式转换需使用第三方工具完成。3.4.2删除OS/2和POSIX子系统编号：3008名称：删除OS/2和POSIX子系统重要等级：中基本信息：Windows2000和NT系统提供了OS/2和POSIX操作环境子系统。这些子系统一般情况下不会使用，应该卸载OS/2和POSIX子系统。检测内容：检测注册表下面的键值：配置单元项HKEY_LOCAL_MACHINESOFTWAREMicrosoftOS/2 Subsystem for NT检测内容所有子项配置单元项HKEY_LOCAL_MACHINESYSTEMCu

15、rrentControlSetControlSession ManagerEnvironment名称 Os2LibPath检测内容是否存在Os2LibPath项配置单元项HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystems检测内容Posix和OS/2项建议操作：通过执行下列注册表操作删除这些子系统：配置单元项HKEY_LOCAL_MACHINESOFTWAREMicrosoftOS/2 Subsystem for NT操作 删除所有子项配置单元项HKEY_LOCAL_MACHINESYSTEMCurr

16、entControlSetControlSession ManagerEnvironment名称 Os2LibPath操作 删除Os2LibPath项配置单元项HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystems操作删除可选的Posix和OS/2项然后删除 winntsystem32os2 目录及其所有子目录。更改将在下一次重新启动时生效。操作结果： 删除OS/2和POSIX子系统，不会对系统造成任何不良的影响。 可在网络服务中卸载其它系统类型服务、协议。3.4.3移动和对关键文件进行访问控制编号：3

17、009名称：移动并对关键文件进行访问控制重要等级：高基本信息：将所有常用的管理工具放在 %systemroot% 外的特殊目录下，并对其进行严格的访问控制，保证只有管理员才具有执行这些工具的权限。检测内容：检测%systemroot%system32目录下的下列文件，确认其是否具有合适的访问权限：xcopy.exewscript.execscript.exenet.exeftp.exetelnet.exearp.exeedlin.exeping.exeroute.exeat.exefinger.exeposix.exersh.exeatsvc.exeqbasic.exerunonce.exes

18、yskey.execacls.exeipconfig.exercp.exesecfixup.exenbtstat.exerdisk.exedebug.exeregedt32.exeregedit.exenetstat.exetracert.exenslookup.exerexec.execmd.exe建议操作：创建称为 CommonTools 的目录，然后将下列文件放在这一目录下，并对它们设置相应的 ACL 权限以便只有管理员对这些文件拥有全部权限。建议使用以下的访问控制（ACL）Administrators ：完全控制SYSTEM ：完全控制 Creator Owner ：完全控制 Ever

19、yone ：只读xcopy.exewscript.execscript.exenet.exeftp.exetelnet.exearp.exeedlin.exeping.exeroute.exeat.exefinger.exeposix.exersh.exeatsvc.exeqbasic.exerunonce.exesyskey.execacls.exeipconfig.exercp.exesecfixup.exenbtstat.exerdisk.exedebug.exeregedt32.exeregedit.exenetstat.exetracert.exenslookup.exerexec.

20、execmd.exe操作结果： 以上文件根据WINDOWS版本不同默认存储路径可能不同。 移动上面所列出的命令并进行严格的访问控制，不会对系统造成任何不良的影响。3.4.4关闭 NTFS 生成 8.3 文件名格式编号：3010名称：关闭 NTFS 生成 8.3 文件名格式；重要等级：高基本信息：关闭 NTFS 生成 8.3 文件名格式，即文件名为18个字符，扩展名为13个字符，此种文件格式文件纠错和文件属性能力也相对较弱，应该予以关闭；检测内容：查看注册表：*请参见第二章中注册表相关章节Hive HKEY_LOCAL_MACHINESYSTEM Key CurrentControlSetCon

21、trolFileSystem Name NtfsDisable8dot3NameCreation Type REG_DWORD Value 查看此键值是否为“1”建议操作：修改注册表，关闭 NTFS 生成 8.3 文件名格式：Hive HKEY_LOCAL_MACHINESYSTEM Key CurrentControlSetControlFileSystem Name NtfsDisable8dot3NameCreation Type REG_DWORD Value 1 修改注册表后在重新启动机器后生效。操作结果：实施文件系统安全增强，不会对系统造成任何不良的影响。3.4.5设置 NTFS

22、的访问控制列表编号：3011名称：设置 NTFS 的访问控制列表重要等级：中基本信息：在使用 NTFS 文件系统的驱动器上，利用Windows NT/2000中的访问控制列表，可以对访问计算机数据或网络数据的人加以限制。 访问控制功能可用于对特定用户、计算机或用户组的访问权限进行限制。检测内容：查看对各个重要的目录是否设置了访问控制列表；建议操作：对各个重要目录的访问控制列表的设置参考下表： F（全部），R（只读），N/A（所有限制）PathACLsAdmin_istratorCREATEOWNERAuthentice_ted UsersSYSTEMSYSTEMOPERATORSOthers%

23、systemdrive%FRRFN/AN/A%systemdrive%tempFFFFN/AN/A%systemdrive%program filesFRRFN/AN/A%systemroot%FFRFN/AN/A%systemroot%repairFN/AN/AFN/AN/A%systemrootsystem32configFFLFN/AN/A%systemroot%system32spoolFFCFRN/A%systemroot%profilesFAFFN/AN/A%systemdrive%boot.iniFN/AN/AFN/AN/A%systemdrive%FN/AN/AFN/AN/A%

24、systemdrive%ntldrFN/AN/AFN/AN/A%systemdrive%autoexec.batFN/ARFN/AN/A%systemdrive%config.sysFN/ARFN/AN/A%systemroot%poledit.exeFN/AN/AFN/AN/A%systemroot%regedit.exeFN/AN/AFN/AN/A%systemroot%system32*.exeFN/AN/AFN/AN/A操作结果：实施文件系统安全增强，不会对系统造成任何不良的影响。3.5防病毒描述：计算机病毒是具有传染性的恶意计算机代码。病毒成为危害windows系统的安全主要威胁之一

25、。防止计算机病毒必须根据系统的实际制定防病毒策略、部署多层防御、定期更新防病毒定义文件和引擎、定期备份文件，及时获得来自安全服务提供商的病毒信息。 3.5.1安装防病毒软件及其更新编号：3012名称：安装防病毒软件及其更新重要等级：高基本信息： 保护系统时，最重要的事情之一就是使用防病毒软件并确保它的及时更新。Internet 上的所有系统、公司的 Intranet都应该安装防病毒软件。并且建立适当的策略确保病毒库得到及时的更新。检测内容： 检测并下载来自防病毒软件提供商的最新病毒库。建议操作： 设置防病毒系统升级策略，凌晨2:00下载病毒代码并分发升级。因数据量较大，可选择非业务忙时进行。

26、根据病毒软件来更新病毒库。操作结果： 安装防病毒软件及其更新，不会对系统造成任何不良的影响。 但病毒软件对文件系统扫描时会降低系统性能，故需要按服务情况定制扫描策略。3.5.2 对web浏览器和电子邮件客户端的策略编号：3013名称：限制在服务器上使用web浏览器和电子邮件客户端重要等级：高基本信息： 浏览web页面和收取电子邮件，将会导致恶意代码在本地执行。不应该在服务器系统上浏览web和查收电子邮件检测内容：通过浏览器的历史记录，浏览器的临时目录和网络设备的日志检查建议操作： 通过管理策略禁止用户在服务器等重要设备上，浏览web页面和查收电子邮件操作结果：属于管理策略，不会对系统带来任何影响。3.6系统服务调整描述：Windows提供的服务种类繁多，不同服务对安全的要求不一，如通过注册表、修改服务配置、停掉不必要的服务和组件等。3.6.1通过注册表项增强服务安全编号：3014名称：通过注册表项增强服务安全重要等级：高基本信息： 通过注册表项增强服务安全检测内容：1、在注册表检查RestrictAnonymous键：Hive HKEY_LOCAL_MACHINESYSTEM Key CurrentControlSetControl