微软Windows操作系统安全加固标准Word下载.doc

1、 1 配置标准1.1 组策略管理1.1.1 组策略的重要性 Windows组策略有助于在您的 Active Directory 域中为所有工作站和服务器实现安全策略中的技术建议。可以将组策略和 OU 结构结合使用，为特定服务器角色定义其特定的安全设置。如果使用组策略来实现安全设置，则可以确保对某一策略进行的任何更改都将应用到使用该策略的所有服务器，并且新的服务器将自动获取新的设置。1.1.2 组策略的应用方式一个用户或计算机对象可能受多个组策略对象（GPO） 的约束。这些 GPO 按顺序应用，并且设置不断累积，除发生冲突外，在默认情况下，较迟的策略中的设置将替代较早的策略中的设置。第一个应用的

2、策略是本地 GPO，在本地 GPO 之后，后来的 GPO 依次在站点、域、父组织单位（OU） 和子 OU 上应用。下图显示了每个策略是如何应用的：1.1.3 组策略的实施在Windows局域网中实施安全管理应分别从服务器和工作站两方面进行。首先应在服务器上安装活动目录服务，然后在域上实施组策略；其次应将工作站置于服务器所管理的域中。n 启动活动目录服务在“程序管理工具配置服务器”选项中，选定左边的“Active Directory”，启动活动目录安装向导。将服务器设置为第一个域目录树，DNS域名输入提供的域名。n 打开组策略控制台启动“Active Directory目录和用户”项，在右面对象

3、容器树中的根目录上单击右键，然后单击“属性”项，在新打开的窗口中单击“组策略”选项卡，即可打开组策略控制台。n 创建OU结构1） 启动 Active Directory 用户和计算机。2） 右键单击域名，选择新建，然后选择组织单位。3） 键入成员服务器，然后单击确定。4） 右键单击成员服务器，选择新建，然后选择组织单位。5） 键入应用程序服务器，然后单击确定。6） 针对文件和打印服务器、IIS 服务器和基础结构服务器重复第 5 步和第 6 步。n 设置组策略位于组策略对象“安全设置”节点的容器包括：账户策略、本地策略、事件日志、受限组、系统服务、注册表、文件系统、公钥策略、Active Dir

4、ectory中的网际协议安全策略等。具体的设置在本标准的相应章节中详细说明。1.2 用户账号控制1.2.1 密码策略默认情况下，将对域中的所有服务器强制执行一个标准密码策略。下表列出了一个标准密码策略的设置以及针对您的环境建议的最低设置。策略默认设置推荐最低设置强制执行密码历史记录记住 1 个密码记住 24 个密码密码最长期限42 天密码最短期限0 天2 天最短密码长度0 个字符8 个字符密码必须符合复杂性要求禁用启用为域中所有用户使用可还原的加密来储存密码1.2.2 复杂性要求当组策略的“密码必须符合复杂性要求”设置启用后，它要求密码必须为 6 个字符长（但我们建议您将此值设置为 8 个字符

5、）。它还要求密码中必须包含下面类别中至少三个类别的字符：n 英语大写字母 A, B, C, Z n 英语小写字母 a, b, c, z n 西方阿拉伯数字 0, 1, 2, 9 n 非字母数字字符，如标点符号1.2.3 账户锁定策略有效的账户锁定策略有助于防止攻击者猜出您账户的密码。下表列出了一个默认账户锁定策略的设置以及针对您的环境推荐的最低设置。账户锁定时间未定义30 分钟账户锁定阈值5 次无效登录复位账户锁定计数器n 用户被赋予唯一的用户名、用户ID（UID）和口令。n 用户名口令长度规定。1.2.4 内置账户安全Windows有几个内置的用户账户，它们不可删除，但可以重命名。其中Gue

6、st（来宾）账户应禁用的，管理员账户应重命名而且其描述也要更改，以防攻击者使用已知用户名破坏一个远程服务器。1.3 安全选项策略域策略中的安全选项应根据以下设置按照具体需要修改：选项设置对匿名连接的附加限制没有显式匿名权限就无法访问允许服务器操作员计划任务 （仅用于域控制器）允许在未登录前系统关机允许弹出可移动 NTFS 媒体管理员在断开会话之前所需的空闲时间15 分钟对全局系统对象的访问进行审计对备份和还原权限的使用进行审计登录时间过期就自动注销用户未定义（见附注）当登录时间过期就自动注销用户（本地）在系统关机时清除虚拟内存页面交换文件对客户端通讯使用数字签名 （始终）对客户端通讯使用数字签

7、名 （如果可能）对服务器通讯使用数字签名（始终）对服务器通讯进行数字签名 （如果可能）禁用按 CTRL+ALT+DEL 进行登录的设置登录屏幕上不要显示上次登录的用户名LAN Manager 身份验证级别仅发送 NTLMv2 响应，拒绝 LM & NTLM用户尝试登录时消息文字用户尝试登录时消息标题缓冲保存的以前登录次数（在域控制器不可用的情况下）0 次登录防止计算机账户密码的系统维护防止用户安装打印机驱动程序在密码到期前提示用户更改密码14 天故障恢复控制台：允许自动管理登录允许对驱动器和文件夹进行软盘复制和访问重命名系统管理员账户重命名来宾账户只有本地登录的用户才能访问 CD-ROM只有本

8、地登录的用户才能访问软盘安全通道：对安全通道数据进行数字加密或签名（始终）对安全通道数据进行数字加密 （如果可能）对安全通道数据进行数字签名（如果可能）安全通道: 需要强 （Windows 2000 或以上版本） 会话密钥安全系统磁盘分区（只适于 RISC 操作平台）发送未加密的密码以连接到第三方 SMB 服务器。如果无法记录安全审计则立即关闭系统启用（见第二条附注）智能卡移除操作锁定工作站增强全局系统对象的默认权限（例如 Symbolic Links）未签名驱动程序的安装操作禁止安装未签名非驱动程序的安装操作允许安装但发出警告在上面的推荐配置中，下面几项由于直接影响了域中各服务器间通讯的方式

9、，可能会对服务器性能有影响。n 对匿名连接的附加限制 默认情况下，Windows允许匿名用户执行某些活动，如枚举域账户和网络共享区的名称。这使得攻击者无需用一个用户账户进行身份验证就可以查看远程服务器上的这些账户和共享名。为更好地保护匿名访问，可以配置“没有显式匿名权限就无法访问”。这样做的效果是将 Everyone（所有人）组从匿名用户令牌中删除。对服务器的任何匿名访问都将被禁止，而且对任何资源都将要求显式访问。n LAN Manager 身份验证级别 Microsoft Windows 9x 和 Windows NT 操作系统不能使用 Kerberos 进行身份验证，所以，在默认情况下，在

10、 Windows 2000 域中它们使用 NTLM 协议进行网络身份验证。您可以通过使用 NTLMv2 对 Windows 9x 和 Windows NT 强制执行一个更安全的身份验证协议。对于登录过程，NTLMv2 引入了一个安全的通道来保护身份验证过程。n 在关机时清理虚拟内存页面交换文件 实际内存中保存的重要信息可以周期性地转储到页面交换文件中。这有助于 Windows处理多任务功能。如果启用此选项，Windows 2000 将在关机时清理页面交换文件，将存储在那里的所有信息清除掉。根据页面交换文件的大小不同，系统可能需要几分钟的时间才能完全关闭。n 对客户端/服务器通讯使用数字签名 在

11、高度安全的网络中实现数字签名有助于防止客户机和服务器被模仿（即所谓“会话劫持”或“中间人”攻击）。服务器消息块 （SMB） 签名既可验证用户身份，又可验证托管数据的服务器的身份。如有任何一方不能通过身份验证，数据传输就不能进行。在实现了 SMB 后，为对服务器间的每一个数据包进行签名和验证，性能最多会降低 15%。1.4 注册表安全配置1.4.1 针对网络攻击的安全考虑事项有些拒绝服务攻击可能会给 Windows 服务器上的 TCP/IP 协议栈造成威胁。这些注册表设置有助于提高 Windows TCP/IP 协议栈抵御标准类型的拒绝服务网络攻击的能力。下面的注册表项作为 HKLMSystem

12、CurrentControlSetServicesTcpip|Parameters 的子项添加：项格式值（十进制）EnableICMPRedirectDWORDEnableSecurityFilters1SynAttackProtect2EnableDeadGWDetectEnablePMTUDiscoveryKeepAliveTime300,000DisableIPSourceRoutingTcpMaxConnectResponseRetransmissionsTcpMaxDataRetransmissions3NoNameReleaseOnDemandPerformRouterDiscov

13、eryTCPMaxPortsExhausted51.4.2 禁用文件名的自动生成为与 16 位应用程序的向后兼容，Windows支持 8.3 文件名格式。这意味着攻击者只需要 8 个字符即可引用可能有 20 个字符长的文件。如果您不再使用 16 位应用程序，则可以将此功能关闭。禁用 NTFS 分区上的短文件名生成还可以提高目录枚举性能。下面的注册表项作为 HKLMSystemCurrentControlSetControlFileSystem 的子项添加：NtfsDisable8dot3NameCreation1.4.3 禁用 Lmhash 创建Windows服务器可以验证运行任何以前 Win

14、dows 版本的计算机的身份。然而，以前版本的 Windows 不使用 Kerberos 进行身份验证，所以 Windows支持 Lan Manager （LM）、Windows NT （NTLM） 和 NTLM 版本 2 （NTLMv2）。相比之下，LM 散列运算的能力比 NTLM 弱，因而易在猛烈攻击下被攻破。如果您没有需要 LM 身份验证的客户机，则应禁用 LM 散列的存储。Windows 2000 Service Pack 2 提供了一个注册表设置以禁用 LM 散列的存储。下面的注册表项作为 HKLMSYSTEMCurrentControlSetControlLsa 的一个子项添加：N

15、oLMHash1.4.4 配置 NTLMSSP 安全NTLM 安全支持提供程序 （NTLMSSP） 允许您按应用程序指定服务器端网络连接的最低必需安全设置。下面的配置可以确保，如果使用了消息保密但未协商 128 位加密，则连接将失败。下面的注册表项作为 HKLMSYSTEMCurrentControlSetControlLsaMSV1_0 的一个子项添加：值（十六进制）NtlmMinServerSec0x200000001.4.5 禁用自动运行功能一旦媒体插入一个驱动器，自动运行功能就开始从该驱动器读取数据。这样，程序的安装文件和音频媒体上的声音就可以立即启动。为防止可能有恶意的程序在媒体插入

16、时就启动，组策略禁用了所有驱动器的自动运行功能。下面的注册表项作为 HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer的一个子项添加：NoDriveTypeAutoRun0xFF1.5 补丁管理1.5.1 确定修补程序当前版本状态注册表中查看HKLMSoftwareMicrosoftWindows NtCurrentversionhotfix键，可以看到打过的补丁对应的修复程序的知识库文章编号。如果已经部署了 Microsoft Systems Management Server （SMS），则其软件部署功能可用于将修补程序部署

17、到环境中具有 SMS 客户端的所有计算机，并确认每台计算机所安装的补丁程序的当前版本和状态。1.5.2 部署修补程序可以使用手工执行修补程序的方法安装，修补程序一般是一个可执行文件，其名称表示了修补的信息。如：Q292435_W2K_SP3_x86_en.EXE。n Q292435 是知识库文章编号，您可在其中查找有关该即时修复程序的详细信息。n W2K 是它所针对的产品 （Microsoft Windows 2000） n SP3 是将要包括它的 Service Pack。n x86 是它所面向的处理器体系结构。n en 是语言（英语）。如果安装了Microsoft Software Upd

18、ate Services （SUS）程序，可以使用SUS集中部署指定范围（指定域或IP地址范围）的主机的修补程序。1.6 文件/目录控制1.6.1 目录保护受保护的目录如下表所示：保护的目录应用的权限%systemdrive%Administrators：完全控制System：Authenticated Users：读取和执行、列出文件夹内容、读取%SystemRoot%Repair%SystemRoot%Security%SystemRoot%Temp%SystemRoot%system32Config%SystemRoot%system32LogfilesCreator/Owner：%sy

19、stemdrive%InetpubEveryone：其中%SystemRoot% 定义了 Windows 系统文件所在的路径和文件夹名，%SystemDrive% 定义了包含 %systemroot% 的驱动器。1.6.2 文件保护受保护的文件如下表所示：文件基准权限%SystemDrive%Boot.ini%SystemDrive%N%SystemDrive%Ntldr%SystemDrive%Io.sys%SystemDrive%Autoexec.bat%systemdir%config%SystemRoot%system32Append.exe%SystemRoot%system32Ar

20、p.exe%SystemRoot%system32At.exe%SystemRoot%system32Attrib.exe%SystemRoot%system32Cacls.exe%SystemRoot%system32Change.exe%SystemRoot%system32C%SystemRoot%system32Chglogon.exe%SystemRoot%system32Chgport.exe%SystemRoot%system32Chguser.exe%SystemRoot%system32Chkdsk.exe%SystemRoot%system32Chkntfs.exe%Sys

21、temRoot%system32Cipher.exe%SystemRoot%system32Cluster.exe%SystemRoot%system32Cmd.exe%SystemRoot%system32Compact.exe%SystemRoot%system32Convert.exe%SystemRoot%system32Cscript.exe%SystemRoot%system32Debug.exe%SystemRoot%system32Dfscmd.exe%SystemRoot%system32D%SystemRoot%system32Doskey.exe%SystemRoot%s

22、ystem32Edlin.exe%SystemRoot%system32Exe2bin.exe%SystemRoot%system32Expand.exe%SystemRoot%system32Fc.exe%SystemRoot%system32Find.exe%SystemRoot%system32Findstr.exe%SystemRoot%system32Finger.exe%SystemRoot%system32Forcedos.exe%SystemRoot%system32F%SystemRoot%system32Ftp.exe%SystemRoot%system32Hostname

23、.exe%SystemRoot%system32Iisreset.exe%SystemRoot%system32Ipconfig.exe%SystemRoot%system32Ipxroute.exe%SystemRoot%system32Label.exe%SystemRoot%system32Logoff.exe%SystemRoot%system32Lpq.exe%SystemRoot%system32Lpr.exe%SystemRoot%system32Makecab.exe%SystemRoot%system32Mem.exe%SystemRoot%system32Mmc.exe%SystemRoot%system32M