Windows主机安全配置手册.doc
《Windows主机安全配置手册.doc》由会员分享,可在线阅读,更多相关《Windows主机安全配置手册.doc(54页珍藏版)》请在冰点文库上搜索。
德信诚培训网
Windows主机安全配置手册
1.适用范围
本文档的适用操作系统为
MicrosoftWindows2000Server/AdvancedServer
MicrosoftWindows2003Server/AdvancedServer
2更新要求
本文档每年必须由负责人员重新审查内容,并按照需求修正。
各操作系统厂商推出新版本时,亦必须重新审查内容及修正。
3.1用户、用户组及其权限管理
描述:
创建用户组和用户,并对其分配合适的权限是WINDOWS安全机制的核心内容之一。
3.1.1对系统管理员账号进行限制
编号:
3001
名称:
对系统管理员账号进行限制
重要等级:
高
基本信息:
系统管理员对系统具有最高的权限,Windows系统管理员的默认账号名为Administrator,很容易成为攻击者猜测和攻击的重要目标,因此需要对系统管理员账号作出必要的设置。
检测内容:
ü查看是否有名为administrator的用户帐号;
ü查看administrator用户是否属于administrators组
建议操作:
ü将系统管理员账号重命名为一个普通的、不易引起注意的账号名
n打开控制面板à管理工具à本地安全策略;
n选择本地策略à安全选项;
n改写:
重命名管理员帐户;
ü建立一个以administrator命名的账号,将所属用户组清除,即所属组为空,不赋予该帐号权限;
ü管理员账号的口令应该遵循比“密码策略”更严格的策略
操作结果:
ü对系统管理员账号进行限制,一般不会对系统造成任何不良的影响。
ü有少数应用软件需要administrator名的系统用户,请视应用情况对该项进行修改。
3.1.2密码策略
编号:
3002
名称:
密码策略
重要等级:
高
基本信息:
通过启用“密码必须符合复杂性要求”,设置“密码长度最小值”、“密码最长存留期”、“密码最短存留期”、“密码强制历史”,停用“为域中用户使用可还原的加密来存储”可以明显的提高用户账户的安全性。
检测内容:
ü查看本地安全策略|账户策略|密码策略来核实是否设置了合适的密码策略
n打开控制面板à管理工具à本地安全策略;
n选择帐户策略à密码策略;
n检查各项设置;
建议操作:
ü启用“密码必须必须符合复杂性要求”;
n“密码最小长度”大于7;
n“密码最长存留期”小于90天;
n“密码最短存留期”大于5天;
n“密码强制历史”不小于5;
n停用“为域中用户使用可还原的加密来存储”;
操作结果:
ü密码策略对已经存在的密码无效,需要对已存在的密码进行检查
ü进行密码策略设置,不会对系统造成任何不良的影响。
ü特例:
在安全策略中定义的策略和添加用户时选择的密码永不过期和用户无法自己修改密码,以后者为准。
3.1.3账户锁定策略
编号:
3003
名称:
账户锁定策略
重要等级:
高
基本信息:
通过设置“账户锁定时间”,“账户锁定阈值”,“复位账户锁定计数器”来防止远程的密码猜测攻击。
检测内容:
ü查看本地安全策略|账户策略|账户锁定策略来核实是否设置了合适的密码策略
n打开控制面板à管理工具à本地安全策略;
n选择帐户策略à帐户锁定策略;
n检查各项设置;
建议操作:
ü“复位账户锁定计数器”时间不短于5分钟;
ü“账户锁定时间”不短于5分钟;
ü“账户锁定阈值”不多于10次;
操作结果:
ü进行账户锁定策略设置时,不会对系统造成任何不良的影响。
3.2远程访问主机系统
描述:
被配置为接受远程访问连接的任何基于Windows的计算机用户。
3.2.1对可以远程使用telnet服务的用户进行限定
编号:
3004
名称:
对可以远程使用telnet服务的用户进行限定
重要等级:
中
基本信息:
Windows系统从2000开始提供远程telnet访问服务,建议不要开启telnet服务,如特殊情况必须开启telnet服务,必须遵守本规定对可以远程访问telnet服务的用户进行限制。
检测内容:
检测是否为Telnet终端创建了TelnetClients组,并赋予恰当的访问权限。
建议操作:
ü创建TelnetClients组,并将需要远程使用telnet服务的用户加入该组
ü对TelnetClients组进行授权
n打开控制面板à管理工具à本地安全策略;
n本地策略à用户权力指派;
n按需要进行授权;
操作结果:
ü进行TelnetClients账户授权策略设置时,不会对系统造成任何不良的影响。
ü需要注意尽量避免对Administrator组用户进行授权修改,以免造成系统应用、管理失败。
3.2.2Pcanywhere远程接入
编号:
3005
名称:
Pcanywhere远程接入安全设置
重要等级:
中
基本信息:
Windows系统可以使用Pcanywhere工具方式进行远程管理,遵守一下设定对可以提高远程管理安全性。
检测内容:
ü是否使用高版本(10.0)软件,较低版本软件存在大量安全漏洞
ü是否设置加密传输,建议采用pcanywhere加密级别
ü回话结束后是否注销用户
建议操作:
ü创建新被控端
ü对被控端进行安全配置
n选择TCP/IP方式;
n设置面板à回话正常(异常)结束后使用注销用户保护;
n安全选项à限制每个呼叫登陆尝试次数为3,完成登陆时间为3分钟;
n安全选项à设置加密为pcanywhere级别,拒绝较低加密级别;
操作结果:
ü设置生效需要重新启动Pcanywhere服务,主控端应配置与被控端相应加密级别;
ü需要注意本设置与系统本身认证机制无关。
3.3系统补丁
描述:
补丁是实现Windows主机系统安全的重要途径。
3.3.1安装Windows补丁
编号:
3006
名称:
安装Windows补丁
重要等级:
高
基本信息:
补丁是实现Windows主机系统安全的重要途径。
针对Windows2000操作系统的漏洞,微软已经发布了三个大补丁包Windows2000ServicePack1、2、3。
针对WindowsNT4操作系统的漏洞,微软已经发布到的最高补丁版本为SP6a。
及时安装最近的servicepack后发布的Hotfix补丁也十分重要。
检测内容:
1.使用WindowsUpdate在线更新工具;(对NT系统无效)
ü点击“开始-WindowsUpdate”直接连接到微软的WindowsUpdate网站;
ü点击扫描检测最新的补丁。
补丁分为与安全相关、与Windows相关和与驱动相关三个部分。
ü扫描的结果就是该Windows主机系统上所有没有安装的补丁。
2.使用微软的微软安全分析(MBSA)工具;
ü下载地址:
ü然后双击安装MBSA1.1;
ü启动MicrosoftBaselineSecurityAnalyzer,得出扫描结果。
3.使用hfnetchk工具;(本工具建议在线使用)
ü首先下载该工具nshc332.exe,下载地址:
ü安装nshc332.exe
ü在命令行方式转到安装目录下,输入hfnetchk.exe,回车即可。
4.对于没有与Internet相连的主机,如何通过离线的方式检查系统未安装的补丁?
注:
上面提到方法任选其一。
建议操作:
1、根据使用“检测内容”中提到的补丁测试方法,对系统进行全面的测试,然后根据实际结果确定更新系统的哪些补丁程序。
下面给出部分与微软windows2000和windowsNT系统补丁相关的下载网址:
微软简体中文更新网址:
微软英文更新网址:
Windows2000简体中文版SP3下载网址:
Windows2000英文版SP3下载网址:
WindowsNTSP6a下载网址:
WindowsNTSP6a安全补丁集合(SRP)下载网址:
1.下载完毕后,双击补丁程序,按照安装过程给出的提示,一步一步进行。
2.安装结束后,重新启动系统即可。
3.hotfix的安装过程与SP补丁相同,安装完毕后根据安装程序的提示决定是否需要重新启动机器。
4.对于没有直接与Internet互联的主机,可利用微软提供的光盘升级包完成补丁加载;或在Internet网络上的主机下载最新升级包并刻录至光盘载体,在需升级的主机上安装。
操作结果:
Windows的补丁是系统安全中重要组成部分,通常情况下安装补丁不会对系统造成任何不良的影响。
注意:
在安装系统补丁的过程中不能够使系统断电或非正常安装完毕而重新启动系统,这样可能会造成系统不能正常启动的严重后果。
3.4文件系统增强
描述:
NTFS支持细致的文件权限控制,磁盘配额管理、文件加密等特性。
NTFS可为用户提供更高层次的安全保证。
而FAT和FAT32系统则不具备上述特性。
3.4.1使用NTFS文件系统
编号:
3007
名称:
使用NTFS文件系统
重要等级:
高
基本信息:
NTFS是微软Windows NT/2000/XP支持的文件系统。
NTFS支持细致的文件权限控制,磁盘配额管理、文件加密等特性。
NTFS可为用户提供更高层次的安全保证。
检测内容:
打开“我的电脑”――选中要检测的磁盘驱动器――单击鼠标右键选择“属性”――查看文件系统类型,是否为NTFS格式;
建议操作:
如果文件系统类型不是NTFS格式,需要转换为NTFS格式,以增加文件系统的安全性。
具体方法:
在cmd(命令行)方式下,键入:
convert<驱动器盘符>:
/fs:
ntfs
注:
一旦将某个驱动器或分区转换为NTFS格式,您便无法将其恢复回FAT或FAT32格式。
如需返回FAT或FAT32格式,您必须对驱动器或分区进行重新格式化,并从相应分区上删除包括程序及个人文件在内的所有数据。
操作结果:
ü实施文件系统安全增强,不会对系统造成任何不良的影响。
ü注意:
微软没有提供将NTFS系统转换为其它的文件系统,如FAT和FAT32的功能,如要对文件系统进行其它格式转换需使用第三方工具完成。
3.4.2删除OS/2和POSIX子系统
编号:
3008
名称:
删除OS/2和POSIX子系统
重要等级:
中
基本信息:
Windows2000和NT系统提供了OS/2和POSIX操作环境子系统。
这些子系统一般情况下不会使用,应该卸载OS/2和POSIX子系统。
检测内容:
检测注册表下面的键值:
配置单元项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OS/2SubsystemforNT
检测内容
所有子项
配置单元项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
\SessionManager\Environment
名称
Os2LibPath
检测内容
是否存在Os2LibPath项
配置单元项
HKEY_LOCAL_MACHINE\SYSTEM
\CurrentControlSet\Control\SessionManager\SubSystems
检测内容
Posix和OS/2项
建议操作:
通过执行下列注册表操作删除这些子系统:
配置单元项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OS/2SubsystemforNT
操作
删除所有子项
配置单元项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
\SessionManager\Environment
名称
Os2LibPath
操作
删除Os2LibPath项
配置单元项
HKEY_LOCAL_MACHINE\SYSTEM
\CurrentControlSet\Control\SessionManager\SubSystems
操作
删除可选的Posix和OS/2项
然后删除\winnt\system32\os2目录及其所有子目录。
更改将在下一次重新启动时生效。
操作结果:
ü删除OS/2和POSIX子系统,不会对系统造成任何不良的影响。
ü可在网络服务中卸载其它系统类型服务、协议。
3.4.3移动和对关键文件进行访问控制
编号:
3009
名称:
移动并对关键文件进行访问控制
重要等级:
高
基本信息:
将所有常用的管理工具放在%systemroot%外的特殊目录下,并对其进行严格的访问控制,保证只有管理员才具有执行这些工具的权限。
检测内容:
检测%systemroot%\system32\目录下的下列文件,确认其是否具有合适的访问权限:
xcopy.exe
wscript.exe
cscript.exe
net.exe
ftp.exe
telnet.exe
arp.exe
edlin.exe
ping.exe
route.exe
at.exe
finger.exe
posix.exe
rsh.exe
atsvc.exe
qbasic.exe
runonce.exe
syskey.exe
cacls.exe
ipconfig.exe
rcp.exe
secfixup.exe
nbtstat.exe
rdisk.exe
debug.exe
regedt32.exe
regedit.exe
netstat.exe
tracert.exe
nslookup.exe
rexec.exe
cmd.exe
建议操作:
创建称为\CommonTools的目录,然后将下列文件放在这一目录下,并对它们设置相应的ACL权限以便只有管理员对这些文件拥有全部权限。
建议使用以下的访问控制(ACL)
Administrators:
完全控制
SYSTEM:
完全控制
CreatorOwner:
完全控制
Everyone:
只读
xcopy.exe
wscript.exe
cscript.exe
net.exe
ftp.exe
telnet.exe
arp.exe
edlin.exe
ping.exe
route.exe
at.exe
finger.exe
posix.exe
rsh.exe
atsvc.exe
qbasic.exe
runonce.exe
syskey.exe
cacls.exe
ipconfig.exe
rcp.exe
secfixup.exe
nbtstat.exe
rdisk.exe
debug.exe
regedt32.exe
regedit.exe
netstat.exe
tracert.exe
nslookup.exe
rexec.exe
cmd.exe
操作结果:
ü以上文件根据WINDOWS版本不同默认存储路径可能不同。
ü移动上面所列出的命令并进行严格的访问控制,不会对系统造成任何不良的影响。
3.4.4关闭NTFS生成8.3文件名格式
编号:
3010
名称:
关闭NTFS生成8.3文件名格式;
重要等级:
高
基本信息:
关闭NTFS生成8.3文件名格式,即文件名为1~8个字符,扩展名为1~3个字符,此种文件格式文件纠错和文件属性能力也相对较弱,应该予以关闭;
检测内容:
查看注册表:
*请参见第二章中注册表相关章节
Hive
HKEY_LOCAL_MACHINE\SYSTEM
Key
\CurrentControlSet\Control\FileSystem
Name
NtfsDisable8dot3NameCreation
Type
REG_DWORD
Value
查看此键值是否为“1”
建议操作:
修改注册表,关闭NTFS生成8.3文件名格式:
Hive
HKEY_LOCAL_MACHINE\SYSTEM
Key
\CurrentControlSet\Control\FileSystem
Name
NtfsDisable8dot3NameCreation
Type
REG_DWORD
Value
1
修改注册表后在重新启动机器后生效。
操作结果:
实施文件系统安全增强,不会对系统造成任何不良的影响。
3.4.5设置NTFS的访问控制列表
编号:
3011
名称:
设置NTFS的访问控制列表
重要等级:
中
基本信息:
在使用NTFS文件系统的驱动器上,利用WindowsNT/2000中的访问控制列表,可以对访问计算机数据或网络数据的人加以限制。
访问控制功能可用于对特定用户、计算机或用户组的访问权限进行限制。
检测内容:
查看对各个重要的目录是否设置了访问控制列表;
建议操作:
对各个重要目录的访问控制列表的设置参考下表:
F(全部),R(只读),N/A(所有限制)
Path
ACLs
Admin
_istrator
CREATE
OWNER
Authentice
_tedUsers
SYSTEM
SYSTEMO
PERATORS
Others
%system
drive%\
F
R
R
F
N/A
N/A
%system
drive%
\temp
F
F
F
F
N/A
N/A
%systemdrive%
\programfiles
F
R
R
F
N/A
N/A
%system
root%
F
F
R
F
N/A
N/A
%system
root%\repair
F
N/A
N/A
F
N/A
N/A
%systemroot%
\system32\config
F
F
L
F
N/A
N/A
%system
root%\system32\spool
F
F
C
F
R
N/A
%systemroot%\profiles
F
A
F
F
N/A
N/A
%systemdrive%\boot.ini
F
N/A
N/A
F
N/A
N/A
%systemdrive%\
F
N/A
N/A
F
N/A
N/A
%systemdrive%\ntldr
F
N/A
N/A
F
N/A
N/A
%systemdrive%\autoexec.bat
F
N/A
R
F
N/A
N/A
%systemdrive%\config.sys
F
N/A
R
F
N/A
N/A
%systemroot%\poledit.exe
F
N/A
N/A
F
N/A
N/A
%systemroot%\regedit.exe
F
N/A
N/A
F
N/A
N/A
%systemroot%\system32\*.exe
F
N/A
N/A
F
N/A
N/A
操作结果:
实施文件系统安全增强,不会对系统造成任何不良的影响。
3.5防病毒
描述:
计算机病毒是具有传染性的恶意计算机代码。
病毒成为危害windows系统的安全主要威胁之一。
防止计算机病毒必须根据系统的实际制定防病毒策略、部署多层防御、定期更新防病毒定义文件和引擎、定期备份文件,及时获得来自安全服务提供商的病毒信息。
3.5.1安装防病毒软件及其更新
编号:
3012
名称:
安装防病毒软件及其更新
重要等级:
高
基本信息:
ü保护系统时,最重要的事情之一就是使用防病毒软件并确保它的及时更新。
Internet上的所有系统、公司的Intranet都应该安装防病毒软件。
并且建立适当的策略确保病毒库得到及时的更新。
检测内容:
ü检测并下载来自防病毒软件提供商的最新病毒库。
建议操作:
ü设置防病毒系统升级策略,凌晨2:
00下载病毒代码并分发升级。
因数据量较大,可选择非业务忙时进行。
ü根据病毒软件来更新病毒库。
操作结果:
ü安装防病毒软件及其更新,不会对系统造成任何不良的影响。
ü但病毒软件对文件系统扫描时会降低系统性能,故需要按服务情况定制扫描策略。
3.5.2对web浏览器和电子邮件客户端的策略
编号:
3013
名称:
限制在服务器上使用web浏览器和电子邮件客户端
重要等级:
高
基本信息:
ü浏览web页面和收取电子邮件,将会导致恶意代码在本地执行。
不应该在服务器系统上浏览web和查收电子邮件
检测内容:
通过浏览器的历史记录,浏览器的临时目录和网络设备的日志检查
建议操作:
ü通过管理策略禁止用户在服务器等重要设备上,浏览web页面和查收电子邮件
操作结果:
属于管理策略,不会对系统带来任何影响。
3.6系统服务调整
描述:
Windows提供的服务种类繁多,不同服务对安全的要求不一,如通过注册表、修改服务配置、停掉不必要的服务和组件等。
3.6.1通过注册表项增强服务安全
编号:
3014
名称:
通过注册表项增强服务安全
重要等级:
高
基本信息:
ü通过注册表项增强服务安全
检测内容:
1、在注册表检查RestrictAnonymous键:
Hive
HKEY_LOCAL_MACHINE\SYSTEM
Key
CurrentControlSet\Control
升级会员 