|
文档以windows 2003成员服务器为基础制定,对于AD服务器、WEB服务器、PRINT服务器等,会由另外文档针对性地提出单独的安全配置要求 。
1、版本控制
a)主补丁安装SP2
b)及时安装高危的补丁
c)要求每6个月更新镜像文件,新的镜像文件要求包括最新的补丁和对安全漏洞的修补
2、访问控制
a) 确认系统内所有帐号均设置了密码。且密码要求符合“密码安全规范”中的要求
复杂度控制:
密码长度不小于8个字符;
密码字符类型要包括,数字、小写字母、大写字母、特殊字符,至少三类;
密码不能落在“弱密码字典”中;
更新周期:
用户首次登陆,强制重置密码,复杂度要符合“密码复杂度控制”中的条例;
用户密码一个季度强制该更改一次,并且密码与上次密码不能相同,复杂度要符合“密码复杂度控制”中的条例。
b) 密码策略
打开 "计算机配置\Windows设置\安全设置\账户策略\密码策略" 文件夹,执行以下配置:
MinimumPasswordAge=1 密码最短存留期1天
MaximumPasswordAge=60 密码最长存留期60天
MinimumPasswordLength=14 密码长度最小值12个字符
PasswordComplexity=1 密码必须符合复杂性要求启用
PasswordHistorySize=24 强制密码历史24个需要记住的密码
c) 账户锁定策略
打开 "计算机配置\Windows 设置\安全设置\账户策略\账户锁定策略" 文件夹,执行以下配置:
LockoutBadCount=5 输错5次密码锁定账户
ResetLockoutCount=30 账户锁定时间在30分钟
LockoutDuration=-1 不自动解锁
d) 其他安全策略
打开 "计算机配置\Windows 设置\安全设置\本地策略\安全选项" 文件夹,执行以下配置:
RequireLogonToChangePassword = 0 每次启动需要修改密码
ForceLogoffWhenHourExpire = 1 超过登陆时间后强制注销
NewAdministratorName = "xadministrator" 修改本机管理员名称为xadministrator
NewGuestName = "xguest" 修改本机guest名称为xguest
ClearTextPassword=0 域中用户停用可还原的加密来存储密码
LSAAnonymousNameLookup=0 禁用匿名SID/名称转换
EnableGuestAccount=0 禁用guest账号
e) 确认所以的帐号密码均已修改
确认系统中的administrator、Guest等账号均已经修改初始密码
f) 限制Power Users组成员
清空Power Users组成员及隶属组。
安全隐患:由于 Power Users 可以安装或修改程序,因而以 Power User 身份连接到 Internet 时可能引起特洛伊木马程序的攻击或其他安全隐患。
g) 在密码到期前提示用户更改密码
编辑注册表:HKLM\software\microsoft\windows nt\currentversion\winlogon\passwordexpirywarning=4,14 //提前14天提醒
h) 使用空白密码的本地帐户只允许进行控制台登录
编辑注册表:HKLM\System\CurrentControlSet\Control\Lsa\LimitBlankPasswordUse=4,1
i) Everyone 权限应用于匿名用户
编辑注册表:HKLM\System\CurrentControlSet\Control\Lsa\EveryoneIncludesAnonymous=4,0
j) 当登录时间用完时自动注销用户
编辑注册表:HKLM\System\CurrentControlSet\Services\LanManServer\Parameters\EnableForcedLogOff=4,1
3、系统服务安全
禁用以下服务
序号 **服务名称****** 操作
01 Alerter Disabled
02 Clipbook Disabled
03 Computer Browser Disabled
04 Fax Disabled
05 FTP Publishing Service Disabled
06 IIS Admin Service Disabled
07 Indexing Service Disabled
08 Messenger Disabled
09 Netmeeting Remote Desktop Sharing Disabled
10 Network DDE Disabled
11 Network DDE DSDM Disabled
12 Remote Access Connection Manager Disabled
13 Remote Desktop Help Session Manager Disabled
14 Routing and Remote Access Disabled
15 Remote Registry Disabled
16 Simple Network Management Protocol (SNMP) Service Disabled
17 Simple Network Management Protocol (SNMP) Trap Disabled
18 SSDP Discovery Service Disabled
19 Task Scheduler Disabled
20 Telnet Disabled
21 Terminal Services Disabled
22 TCP/IP Netbios Helper Disabled
23 Universal Plug and Play Device Host Disabled
24 World Wide Web Publishing Service Disabled
4、安全参数配置
a) 不允许SAM帐户的匿名枚举
编辑注册表:HKLM\System\CurrentControlSet\Control\Lsa\RestrictAnonymous=4,1
b) 禁用 ICMP 重定向
编辑注册表:HKLM\system\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirect=4,0
c) 禁用 TCP 备用网关
编辑注册表:HKLM\system\CurrentControlSet\Services\Tcpip\Parameters\EnableDeadGWDetect=4,0
d) 设置TCP的保持连接的间隔
编辑注册表:HKLM\system\CurrentControlSet\Services\Tcpip\Parameters\KeepAliveTime=4,300000 //设置为 300,000(5 分钟)
e) IP 源路由保护级别(防范数据包欺骗)
编辑注册表:HKLM\system\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting=4,2
f) 禁用”ICMP路由公告”功能
编辑注册表:HKLM\system\CurrentControlSet\Services\Tcpip\Parameters\PerformRouterDiscovery=4,0
g) 不支持IGMP协议
编辑注册表:HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 新建DWORD值,名为IGMPLevel 值为0
h) 禁用DCOM
运行中输入Dcomcnfg.exe并回车,单击"控制台根节点"下的"组件服务"。打开"计算机"子文件夹,对于本地计算机,请以右键单击"我的电脑",然后选择"属性"。选择"默认属性"选项卡,清除"在这台计算机上启用分布式"复选框
i) 禁用CD-Rom Auto Run功能
编辑注册表:HKLM\system\CurrentControlSet\Services\Cdrom\Autorun=4,0
j) 禁止所有盘AutoRun
编辑注册表:HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun=4,255
k) 禁用自动登录
编辑注册表:HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\AutoAdminLogon=1,0
l) LAN Manager 身份验证级别
编辑注册表:HKLM\system\currentcontrolset\control\lsa\lmcompatibilitylevel=4,4 只接受NTLM 和 NTLMv2方式
m) 严禁在系统登录前具有关机选项
编辑注册表:HKLM\software\microsoft\windows\currentversion\policies\system\shutdownwithoutlogon=4,0
n) 用户试图登录时消息标题
编辑注册表:HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeCaption=1,"YOU ARE LOGIN OFFICE NETWORK OF ALIBABA GROUP"
p) 不允许 SAM 帐户的匿名枚举
编辑注册表:HKLM\System\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM=4,1
q) 不要在下次更改密码时存储 LAN Manager 的哈希值
编辑注册表:HKLM\System\CurrentControlSet\Control\Lsa\NoLMHash=4,1
5、文件权限控制
%SystemDrive% Administrators: Full System: Full Creator Owner: Full Users: Read, Execute.
%SystemRoot% \regedit.exe Administrators: Full System: Full
%SystemRoot% \System32\arp.exe Administrators: Full System: Full
%SystemRoot% \System32\at.exe Administrators: Full System: Full
%SystemRoot% \System32\attrib.exe Administrators: Full System: Full
%SystemRoot% \System32\cacls.exe Administrators: Full System: Full
%SystemRoot% \System32\debug.exe Administrators: Full System: Full
%SystemRoot% \System32\edlin.exe Administrators: Full System: Full
%SystemRoot% \System32\eventcreate.exe Administrators: Full System: Full
%SystemRoot% \System32\eventtriggers.exe Administrators: Full System: Full
%SystemRoot% \system32\ftp.exe Administrators: Full System: Full
%SystemRoot% \System32\nbtstat.exe Administrators: Full System: Full
%SystemRoot% \system32\net.exe Administrators: Full System: Full
%SystemRoot% \system32\net1.exe Administrators: Full System: Full
%SystemRoot% \system32\netsh.exe Administrators: Full System: Full
%SystemRoot% \System32\netstat.exe Administrators: Full System: Full
%SystemRoot% \System32\nslookup.exe Administrators: Full System: Full
%SystemRoot% \System32\ntbackup.exe Administrators: Full System: Full
%SystemRoot% \system32\rcp.exe Administrators: Full System: Full
%SystemRoot% \system32\reg.exe Administrators: Full System: Full
%SystemRoot% \system32\regedt32.exe Administrators: Full System: Full
%SystemRoot% \System32\regini.exe Administrators: Full System: Full
%SystemRoot% \system32\regsvr32.exe Administrators: Full System: Full
%SystemRoot% \system32\rexec.exe Administrators: Full System: Full
%SystemRoot% \system32\route.exe Administrators: Full System: Full
%SystemRoot% \system32\rsh.exe Administrators: Full System: Full
%SystemRoot% \system32\sc.exe Administrators: Full System: Full
%SystemRoot% \System32\secedit.exe Administrators: Full System: Full
%SystemRoot% \system32\subst.exe Administrators: Full System: Full
%SystemRoot% \System32\systeminfo.exe Administrators: Full System: Full
%SystemRoot% \system32\telnet.exe Administrators: Full System: Full
%SystemRoot% \system32\tftp.exe Administrators: Full System: Full
%SystemRoot% \system32\tlntsvr.exe Administrators: Full System: Full
6、恶意攻击防范
a) 网络配置安全
修改部分网络参数,增强系统对网络层攻击的抵抗能力
编辑注册表:
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxConnectResponseRetransmissions=4,2
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxDataRetransmissions=4,3
HKLM\system\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect=4,1 //防止Syn攻击
b) 关闭未使用的网卡
在网络邻居中,禁用不使用的网卡
7、日志及其输出
a) 系统日志
最大日志文件大小修改为128M 限制guest账户访问系统日志
[System Log]
MaximumLogSize = 131072
RestrictGuestAccess = 1
b) 安全日志
最大日志文件大小修改为128M 限制guest账户访问系统日志
[Security Log]
MaximumLogSize = 131072
RestrictGuestAccess = 1
b) 应用程序日志
最大日志文件大小修改为128M 限制guest账户访问系统日志
[Security Log]
MaximumLogSize = 131072
RestrictGuestAccess = 1
d) 日志审核策略
审核系统事件 成功 说明:此安全设置确定在用户重新启动或关闭计算机时或者在发生影响系统安全或安全日志的事件时是否审核。
审核登陆事件 成功和失败 说明:此安全设置确定是否审核用户登录或注销计算机的每个实例。 审核对象访问 失败 说明:此安全设置确定是否审核用户访问指定了它自己的系统访问控制列表(SACL)的对象(例如文件、文件夹、注册表项、打印机等等)的事件。 审核特权使用 失败 说明:此安全设置确定是否审核执行用户权限的用户的每个实例。 审核策略改变 成功 说明:此安全设置确定是否审核用户权限分配策略、审核策略或信任策略的每一个更改事件。成功审核在成功更改用户权限分配策略、审核策略或信任策略时生成审核项。 审核账号管理 成功 说明: 创建、更改或删除用户帐户;重命名、禁用或启用用户帐户;设置或更改密码;
审核账号登陆事件 成功和失败 说明:此安全设置确定是否审核用户登录或注销另一台计算机(用于验证帐户)的每个实例。在本地计算机上对本地用户进行身份验证时会生成登录事件。该事件记录在本地安全日志中。不生成帐户注销事件。
打开"计算机配置\Windows 设置\安全设置\本地策略\审核策略"文件夹。
[Event Audit]
AuditSystemEvents = 1
AuditLogonEvents = 3
AuditObjectAccess = 2
AuditPrivilegeUse = 2
AuditPolicyChange = 1
AuditAccountManage = 3
AuditAccountLogon = 3
e) 当日志容量到达80%的时候报警
编辑注册表 HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\WarningLevel=4,80
|