操作系統(tǒng)和數(shù)據(jù)庫安全策略作業(yè)指導(dǎo)書-信息技術(shù)管理制度.doc

China Advanced Construction Materials Group信息技術(shù)管理制度版 本 頁標(biāo) 題：China Advanced Construction Materials Group信息技術(shù)管理制度主 題：操作系統(tǒng)和數(shù)據(jù)庫安全策略作業(yè)指導(dǎo)書文檔編號：版本說明：版本號版本日期作者備注 V1.0創(chuàng)建V1.0審批操作系統(tǒng)和數(shù)據(jù)庫安全策略作業(yè)指導(dǎo)書版 本 頁1操作系統(tǒng)和數(shù)據(jù)庫安全策略作業(yè)指導(dǎo)書21.防火墻配置基準(zhǔn)32.數(shù)據(jù)庫配置基準(zhǔn)42.1.SQL Server 2000/2008數(shù)據(jù)庫安全配置標(biāo)準(zhǔn)42.1.1安裝數(shù)據(jù)庫的主機要求42.1.2數(shù)據(jù)庫補丁安裝標(biāo)準(zhǔn)42.1.3存儲過程配置標(biāo)準(zhǔn)42.1.4數(shù)據(jù)庫口令安全配置標(biāo)準(zhǔn)52.1.5目錄和文件安全標(biāo)準(zhǔn)52.1.6數(shù)據(jù)庫網(wǎng)絡(luò)服務(wù)配置標(biāo)準(zhǔn)62.1.7數(shù)據(jù)庫審計配置標(biāo)準(zhǔn)73.操作系統(tǒng)配置基準(zhǔn)83.1.Windows2000系統(tǒng)安全配置標(biāo)準(zhǔn)83.1.1系統(tǒng)補丁安裝標(biāo)準(zhǔn)83.1.2賬號和口令安全配置標(biāo)準(zhǔn)83.1.3目錄和文件權(quán)限控制標(biāo)準(zhǔn)113.1.4網(wǎng)絡(luò)與服務(wù)配置標(biāo)準(zhǔn)173.1.5安全選項配置標(biāo)準(zhǔn)203.1.6日志與審計配置標(biāo)準(zhǔn)213.1.7其它安全配置參考223.2.Windows XP 安全配置標(biāo)準(zhǔn)233.2.1系統(tǒng)補丁安裝標(biāo)準(zhǔn)233.2.2安全中心配置標(biāo)準(zhǔn)243.2.3“密碼策略”配置要求253.2.4服務(wù)管理配置標(biāo)準(zhǔn)273.2.5安全審計配置標(biāo)準(zhǔn)303.2.6其它安全配置參考313.3.Windows2003安全配置標(biāo)準(zhǔn)323.3.1系統(tǒng)補丁安裝標(biāo)準(zhǔn)323.3.2補丁安裝的原則333.3.3賬號和口令安全配置標(biāo)準(zhǔn)333.3.4服務(wù)管理配置標(biāo)準(zhǔn)353.3.5安全選項配置標(biāo)準(zhǔn)363.3.6安全審計配置標(biāo)準(zhǔn)383.3.7其它安全配置參考381. 防火墻配置基準(zhǔn)1、 防火墻的缺省包過濾規(guī)則為允許，在調(diào)試過程完成，測試結(jié)束后，一定要將防火墻的默認(rèn)允許，改為禁止。2、 若防火墻的默認(rèn)規(guī)則為全通的規(guī)則，請刪除默認(rèn)的安全規(guī)則，然后按照網(wǎng)絡(luò)實際環(huán)境配置相應(yīng)的安全規(guī)則，并且盡量不要設(shè)置地址和服務(wù)有ANY的規(guī)則，3、 為了有效保護內(nèi)網(wǎng)與防火墻自身的抗攻擊能力，可以打開防火墻的抗攻擊功能，（建議在網(wǎng)絡(luò)流量大的情況下不會開此功能，會影響網(wǎng)絡(luò)的處理速度）4、 為了有效的保護內(nèi)部的網(wǎng)絡(luò)地址，并解決網(wǎng)絡(luò)地址不足的問題，請盡量使用防火墻的功能，把內(nèi)網(wǎng)的IP地址轉(zhuǎn)換成防火墻的公網(wǎng)地址后再訪問外部網(wǎng)絡(luò)。5、 為了保證防火墻本身的主機安全，不要隨意開啟防火墻的遠(yuǎn)程管理功能，建議使用WEB+HTTPS+密鑰等有效的管理方法。6、 為了分析防火墻的數(shù)據(jù)包記錄日志，應(yīng)將防火墻的包過濾日志信息記錄下來，用于對事件分析。2. 數(shù)據(jù)庫配置基準(zhǔn)2.1. SQL Server 2000/2008數(shù)據(jù)庫安全配置標(biāo)準(zhǔn)2.1.1 安裝數(shù)據(jù)庫的主機要求l 主機應(yīng)當(dāng)專門用于數(shù)據(jù)庫的安裝和使用l 數(shù)據(jù)庫主機避免安裝在域控制器上l 主機操作系統(tǒng)層面應(yīng)當(dāng)保證安全：n SQL Server 2000/2008數(shù)據(jù)庫需要安裝在Windows Server系統(tǒng)上n 數(shù)據(jù)庫軟件安裝之前，應(yīng)當(dāng)保證主機操作系統(tǒng)層面的安全n 需要對主機進行安全設(shè)置n 補丁更新n 防病毒軟件安裝2.1.2 數(shù)據(jù)庫補丁安裝標(biāo)準(zhǔn)在新安裝或者重新安裝的數(shù)據(jù)庫系統(tǒng)上，必須安裝最新的Service Pack類補丁。2.1.3 存儲過程配置標(biāo)準(zhǔn)應(yīng)刪除SQL server中無用的存儲過程，這些存儲過程極容易被攻擊者利用，攻擊數(shù)據(jù)庫系統(tǒng)。刪除的存儲過程包括：n xp_cmdshelln xp_regaddmultistringn xp_regdeletekeyn xp_regdeletevaluen xp_regenumvaluesn xp_regreadn xp_regremovemultistrinn xp_regwriten xp_sendmail注意：刪除存儲過程要慎重，需要測試哪些存儲過程是數(shù)據(jù)庫實例所需要的。2.1.4 數(shù)據(jù)庫口令安全配置標(biāo)準(zhǔn)SQL Server 2000/2008有兩種登錄驗證方式：一是通過操作系統(tǒng)賬號登錄，另一個是通過數(shù)據(jù)庫賬戶進行登錄驗證。由于應(yīng)用的需要，大多數(shù)據(jù)庫安裝選擇兩種驗證的混合方式，其中sa為SQL Server 2000/2008內(nèi)置的數(shù)據(jù)庫賬戶，需要為sa賬戶密碼的復(fù)雜強度進行設(shè)置。另外，應(yīng)用系統(tǒng)可能還會建立普通的賬戶，擁有特定數(shù)據(jù)庫的存取權(quán)限，對于普通賬戶，也要設(shè)置強壯的密碼。 密碼復(fù)雜性配置要求l 密碼長度至少為6位l 必須為sa賬戶和普通賬戶提供復(fù)雜的口令，需要包含以下字符：n 英語大寫字母 A, B, C, Z n 英語小寫字母 a, b, c, z n 西方阿拉伯?dāng)?shù)字 0, 1, 2, 9 n 非字母數(shù)字字符，如標(biāo)點符號，, #, $, %, &, *等 禁用guest賬戶在操作系統(tǒng)層面禁用guest賬戶。2.1.5 目錄和文件安全標(biāo)準(zhǔn) 數(shù)據(jù)庫安裝文件系統(tǒng)要求數(shù)據(jù)庫軟件應(yīng)當(dāng)安裝在NTFS分區(qū)的文件系統(tǒng)上。 目錄保護配置要求受保護的目錄如下表所示：保護的目錄應(yīng)用的權(quán)限X:Program FilesMicrosoft SQL ServerAdministrators：完全控制System：完全控制Authenticated Users：讀取和執(zhí)行、列出文件夾內(nèi)容、讀取Users:讀取及運行、列出文件夾目錄X代表磁盤符號，如C盤。 初始安裝文件刪除要求安裝完數(shù)據(jù)庫系統(tǒng)，應(yīng)當(dāng)刪除安裝日志文件。文件名目錄setup.issX:Program FilesMicrosoft SQL ServerInstallsqlstp.logX:Program FilesMicrosoft SQL ServerInstallsqlsp.logX:Program FilesMicrosoft SQL ServerInstall2.1.6 數(shù)據(jù)庫網(wǎng)絡(luò)服務(wù)配置標(biāo)準(zhǔn) 數(shù)據(jù)庫在網(wǎng)絡(luò)的位置在多層應(yīng)用中，數(shù)據(jù)庫應(yīng)當(dāng)與業(yè)務(wù)邏輯層和前端展示層分離，并且要求在業(yè)務(wù)邏輯層和數(shù)據(jù)庫之間設(shè)置訪問控制列表(ACL)，只允許業(yè)務(wù)邏輯層的主機訪問數(shù)據(jù)庫監(jiān)聽端口(TCP1433)。 數(shù)據(jù)庫使用的網(wǎng)絡(luò)協(xié)議SQL Server 2000/2008支持多個網(wǎng)絡(luò)協(xié)議，TCP/IP、IPX/SPX、命名管道、AppleTalk等。配置只啟用TCP/IP網(wǎng)絡(luò)協(xié)議，禁用其他協(xié)議。圖：SQL Server 網(wǎng)絡(luò)實用程序 數(shù)據(jù)庫使用的端口當(dāng)SQL Server 2000/2008支持TCP/IP網(wǎng)絡(luò)協(xié)議后，數(shù)據(jù)庫監(jiān)聽如下端口：端口協(xié)議安全配置說明1433TCP開放客戶端連接端口1434UDP通過防火墻等設(shè)備進行屏蔽數(shù)據(jù)庫發(fā)現(xiàn)端口 數(shù)據(jù)庫服務(wù)配置標(biāo)準(zhǔn)SQL Server 2000/2008提供的服務(wù)：服務(wù)名稱安全配置說明SQL Server啟用數(shù)據(jù)庫引擎服務(wù)，必須啟用SQL Server Agent禁用數(shù)據(jù)庫代理服務(wù)Microsoft Search禁用全文搜索服務(wù)MSDTC(Distributed Transaction Coordinator)除非在集群環(huán)境下或者數(shù)據(jù)庫復(fù)制，否則禁用服務(wù)分布事物進程2.1.7 數(shù)據(jù)庫審計配置標(biāo)準(zhǔn)數(shù)據(jù)庫的默認(rèn)安裝不開任何安全審核，在審核級別設(shè)置登錄失敗審核。3. 操作系統(tǒng)配置基準(zhǔn)3.1. Windows2000系統(tǒng)安全配置標(biāo)準(zhǔn)3.1.1 系統(tǒng)補丁安裝標(biāo)準(zhǔn) Windows 2000的與安全相關(guān)的補丁大致分三類：l Service Pack（補丁包）： Service Pack 是經(jīng)過測試的所有修復(fù)程序、安全更新程序、關(guān)鍵更新程序以及更新程序的累積的集合。 Service Pack 還可能包含自產(chǎn)品發(fā)布以來針對內(nèi)部發(fā)現(xiàn)的問題的其他修復(fù)以及設(shè)計上的更改或功能上的增加。Service Pack補丁包涵蓋了自發(fā)布之前的所有補丁，是重要的補丁集合。l Security Patch（安全補?。篠ecurity Patch是針對特定問題廣泛發(fā)布的修復(fù)程序，用于修復(fù)特定產(chǎn)品的與安全相關(guān)的漏洞。Microsoft在發(fā)布的安全公告中將Security Patch分級為嚴(yán)重、重要、中等、低四個等級。嚴(yán)重的安全補丁缺失，會造成蠕蟲快速傳播(如振蕩波，沖擊波)，對系統(tǒng)本身和網(wǎng)絡(luò)造成重大影響，這類補丁需要及時應(yīng)用到操作系統(tǒng)。l Hotfix(修補程序)：Hotfix是針對某一個具體的系統(tǒng)漏洞或安全問題而發(fā)布的專門解決該漏洞或安全問題的小程序，通常稱為修補程序，如果在最近發(fā)布的Service Pack后面，出現(xiàn)安全方面的漏洞，通常對應(yīng)的補丁會以Hotfix修補程序的形式發(fā)布。 補丁安裝的原則：l 新安裝或者重新安裝windows 2000操作系統(tǒng)，必須安裝最新的Service Pack補丁集。l 必須安裝等級為嚴(yán)重和重要的Security Patch。l 有關(guān)安全方面的Hotfixes補丁應(yīng)當(dāng)及時安裝。l 安裝補丁不要留副本。注意：補丁更新要慎重，可能出現(xiàn)硬件不兼容，或者影響當(dāng)前的應(yīng)用系統(tǒng)，安裝補丁之前要經(jīng)過測試和驗證。3.1.2 賬號和口令安全配置標(biāo)準(zhǔn) “密碼策略”配置要求通過“本地安全策略”調(diào)整默認(rèn)的“密碼策略”，提高系統(tǒng)的安全水平，“密碼策略”中各選項的具體要求如下表列舉：策略默認(rèn)設(shè)置安全設(shè)置強制執(zhí)行密碼歷史記錄記住 1 個密碼記住 4個密碼密碼最長期限42 天42 天密碼最短期限0 天7 天最短密碼長度0 個字符6 個字符密碼必須符合復(fù)雜性要求禁用啟用為域中所有用戶使用可還原的加密來儲存密碼禁用禁用“密碼策略”的設(shè)置步驟如下圖：進入“控制面板/管理工具/本地安全策略”，在“賬戶策略-密碼策略”。 密碼復(fù)雜性配置要求在“密碼策略”中 “密碼必須符合復(fù)雜性要求”選項啟動后，系統(tǒng)將強制要求密碼的設(shè)置具備一定的強壯度，要求密碼至少包含以下四種類別的字符：l 英語大寫字母 A, B, C, Z l 英語小寫字母 a, b, c, z l 西方阿拉伯?dāng)?shù)字 0, 1, 2, 9 l 非字母數(shù)字字符，如標(biāo)點符號，, #, $, %, &, *等 賬號安全控制要求.1 “賬戶鎖定策略”配置要求有效的賬號鎖定策略有助于防止攻擊者猜出您賬號對應(yīng)的密碼。要求按照下表要求調(diào)整“賬戶鎖定策略”：策略默認(rèn)設(shè)置安全設(shè)置賬戶鎖定時間未定義30 分鐘賬戶鎖定閾值05 次無效登錄復(fù)位賬戶鎖定計數(shù)器未定義30 分鐘之后賬號鎖定配置具體操作如下圖：進入“控制面板/管理工具/本地安全策略”，在“賬戶策略-賬戶鎖定策略”。.2 系統(tǒng)內(nèi)置賬號管理要求Windows2000系統(tǒng)中存在不可刪除的內(nèi)置賬號，包括Administrator和guest。對于管理員賬號，要求更改缺省賬戶名稱，對隸屬于Administrators組的賬號要嚴(yán)格監(jiān)控；要求禁用guest（來賓）賬號，以防止攻擊者通過利用已知的用戶名破壞遠(yuǎn)程服務(wù)器。.3 其它賬號管理要求臨時的測試賬號和過期的無用賬號應(yīng)該在3個工作日內(nèi)及時刪除。（注：測試賬號和無用賬號不是系統(tǒng)默認(rèn)安裝時生成的，是系統(tǒng)操作過程中人為新增的賬號，從系統(tǒng)安全加固的角度來看，此類賬號應(yīng)該及時刪除。）3.1.3 目錄和文件權(quán)限控制標(biāo)準(zhǔn)權(quán)限控制遵循以下幾個原則： 權(quán)限是累計的 拒絕的權(quán)限要比允許的權(quán)限高 文件權(quán)限比文件夾權(quán)限高。 目錄保護配置要求要求按照下表內(nèi)容對受保護的目錄權(quán)限進行設(shè)置，缺省情況下，Administrators組和SYSTEM具有完全控制的權(quán)限，Everyone組具有讀取及運行的權(quán)限，對于多個賬戶使用一臺主機，要求根據(jù)具體情況對重要的文件目錄進行賬戶權(quán)限的設(shè)置，如下圖：注：下圖為目錄權(quán)限設(shè)置的示例，為C:WINNTsystem32目錄的設(shè)置，在實際服務(wù)器上進行設(shè)置時，需要嚴(yán)格檢查重要目錄以及對應(yīng)的賬戶權(quán)限設(shè)置。建議進行權(quán)限設(shè)置保護的重要目錄列表：保護的目錄應(yīng)用的權(quán)限%systemdrive%Administrators：完全控制System：完全控制Authenticated Users：讀取和執(zhí)行、列出文件夾內(nèi)容、讀取%SystemRoot%Repair%SystemRoot%Security%SystemRoot%Temp%SystemRoot%system32Config%SystemRoot%system32LogfilesAdministrators：完全控制Creator/Owner：完全控制System：完全控制%systemdrive%InetpubAdministrators：完全控制System：完全控制Everyone：讀取和執(zhí)行、列出文件夾內(nèi)容、讀取%SystemRoot% 定義了 Windows 系統(tǒng)文件所在的路徑和文件夾名，%SystemDrive% 定義了包含 %systemroot% 的驅(qū)動器。 文件保護配置要求要求根據(jù)下表對系統(tǒng)的敏感文件的權(quán)限進行修改，以避免文件被惡意用戶執(zhí)行：缺省情況下，這些文件的安全設(shè)置屬性為：用戶組權(quán)限Administrators完全控制System完全控制Everyone讀取及運行Users讀取及運行對于Administrator管理員組和System組，缺省的權(quán)限設(shè)置已經(jīng)為完全控制，不需要更改，對于普通賬戶的讀取及運行權(quán)限，需要對文件逐一進行檢查并調(diào)整，如下圖：建議進行權(quán)限設(shè)置保護的重要文件列表：文件基準(zhǔn)權(quán)限%SystemDrive%Boot.iniAdministrators：完全控制System：完全控制%SystemDrive%NAdministrators：完全控制System：完全控制%SystemDrive%NtldrAdministrators：完全控制System：完全控制%SystemDrive%Io.sysAdministrators：完全控制System：完全控制%SystemDrive%Autoexec.batAdministrators：完全控制System：完全控制Authenticated Users：讀取和執(zhí)行、列出文件夾內(nèi)容、讀取%systemdir%configAdministrators：完全控制System：完全控制Authenticated Users：讀取和執(zhí)行、列出文件夾內(nèi)容、讀取%SystemRoot%system32Append.exeAdministrators：完全控制%SystemRoot%system32Arp.exeAdministrators：完全控制%SystemRoot%system32At.exeAdministrators：完全控制%SystemRoot%system32Attrib.exeAdministrators：完全控制%SystemRoot%system32Cacls.exeAdministrators：完全控制%SystemRoot%system32Change.exeAdministrators：完全控制%SystemRoot%system32CAdministrators：完全控制%SystemRoot%system32Chglogon.exeAdministrators：完全控制%SystemRoot%system32Chgport.exeAdministrators：完全控制%SystemRoot%system32Chguser.exeAdministrators：完全控制%SystemRoot%system32Chkdsk.exeAdministrators：完全控制%SystemRoot%system32Chkntfs.exeAdministrators：完全控制%SystemRoot%system32Cipher.exeAdministrators：完全控制%SystemRoot%system32Cluster.exeAdministrators：完全控制%SystemRoot%system32Cmd.exeAdministrators：完全控制%SystemRoot%system32Compact.exeAdministrators：完全控制%SystemRoot%system32CAdministrators：完全控制%SystemRoot%system32Convert.exeAdministrators：完全控制%SystemRoot%system32Cscript.exeAdministrators：完全控制%SystemRoot%system32Debug.exeAdministrators：完全控制%SystemRoot%system32Dfscmd.exeAdministrators：完全控制%SystemRoot%system32DAdministrators：完全控制%SystemRoot%system32DAdministrators：完全控制%SystemRoot%system32Doskey.exeAdministrators：完全控制%SystemRoot%system32Edlin.exeAdministrators：完全控制%SystemRoot%system32Exe2bin.exeAdministrators：完全控制%SystemRoot%system32Expand.exeAdministrators：完全控制%SystemRoot%system32Fc.exeAdministrators：完全控制%SystemRoot%system32Find.exeAdministrators：完全控制%SystemRoot%system32Findstr.exeAdministrators：完全控制%SystemRoot%system32Finger.exeAdministrators：完全控制%SystemRoot%system32Forcedos.exeAdministrators：完全控制%SystemRoot%system32FAdministrators：完全控制%SystemRoot%system32Ftp.exeAdministrators：完全控制%SystemRoot%system32Hostname.exeAdministrators：完全控制%SystemRoot%system32Iisreset.exeAdministrators：完全控制%SystemRoot%system32Ipconfig.exeAdministrators：完全控制%SystemRoot%system32Ipxroute.exeAdministrators：完全控制%SystemRoot%system32Label.exeAdministrators：完全控制%SystemRoot%system32Logoff.exeAdministrators：完全控制%SystemRoot%system32Lpq.exeAdministrators：完全控制%SystemRoot%system32Lpr.exeAdministrators：完全控制%SystemRoot%system32Makecab.exeAdministrators：完全控制%SystemRoot%system32Mem.exeAdministrators：完全控制%SystemRoot%system32Mmc.exeAdministrators：完全控制%SystemRoot%system32MAdministrators：完全控制%SystemRoot%system32MAdministrators：完全控制%SystemRoot%system32Mountvol.exeAdministrators：完全控制%SystemRoot%system32Msg.exeAdministrators：完全控制%SystemRoot%system32Nbtstat.exeAdministrators：完全控制%SystemRoot%system32Net.exeAdministrators：完全控制%SystemRoot%system32Net1.exeAdministrators：完全控制%SystemRoot%system32Netsh.exeAdministrators：完全控制%SystemRoot%system32Netstat.exeAdministrators：完全控制%SystemRoot%system32Nslookup.exeAdministrators：完全控制%SystemRoot%system32Ntbackup.exeAdministrators：完全控制%SystemRoot%system32Ntsd.exeAdministrators：完全控制%SystemRoot%system32Pathping.exeAdministrators：完全控制%SystemRoot%system32Ping.exeAdministrators：完全控制%SystemRoot%system32Print.exeAdministrators：完全控制%SystemRoot%system32Query.exeAdministrators：完全控制%SystemRoot%system32Rasdial.exeAdministrators：完全控制%SystemRoot%system32Rcp.exeAdministrators：完全控制%SystemRoot%system32Recover.exeAdministrators：完全控制%SystemRoot%system32Regedit.exeAdministrators：完全控制%SystemRoot%system32Regedt32.exeAdministrators：完全控制%SystemRoot%system32Regini.exeAdministrators：完全控制%SystemRoot%system32Register.exeAdministrators：完全控制%SystemRoot%system32Regsvr32.exeAdministrators：完全控制%SystemRoot%system32Replace.exeAdministrators：完全控制%SystemRoot%system32Reset.exeAdministrators：完全控制%SystemRoot%system32Rexec.exeAdministrators：完全控制%SystemRoot%system32Route.exeAdministrators：完全控制%SystemRoot%system32Routemon.exeAdministrators：完全控制%SystemRoot%system32Router.exeAdministrators：完全控制%SystemRoot%system32Rsh.exeAdministrators：完全控制%SystemRoot%system32Runas.exeAdministrators：完全控制%SystemRoot%system32Runonce.exeAdministrators：完全控制%SystemRoot%system32Secedit.exeAdministrators：完全控制%SystemRoot%system32Setpwd.exeAdministrators：完全控制%SystemRoot%system32Shadow.exeAdministrators：完全控制%SystemRoot%system32Share.exeAdministrators：完全控制%SystemRoot%system32Snmp.exeAdministrators：完全控制%SystemRoot%system32Snmptrap.exeAdministrators：完全控制%SystemRoot%system32Subst.exeAdministrators：完全控制%SystemRoot%system32Telnet.exeAdministrators：完全控制%SystemRoot%system32Termsrv.exeAdministrators：完全控制%SystemRoot%system32Tftp.exeAdministrators：完全控制%SystemRoot%system32Tlntadmin.exeAdministrators：完全控制%SystemRoot%system32Tlntsess.exeAdministrators：完全控制%SystemRoot%system32Tlntsvr.exeAdministrators：完全控制%SystemRoot%system32Tracert.exeAdministrators：完全控制%SystemRoot%system32TAdministrators：完全控制%SystemRoot%system32Tsadmin.exeAdministrators：完全控制%SystemRoot%system32Tscon.exeAdministrators：完全控制%SystemRoot%system32Tsdiscon.exeAdministrators：完全控制%SystemRoot%system32Tskill.exeAdministrators：完全控制%SystemRoot%system32Tsprof.exeAdministrators：完全控制%SystemRoot%system32Tsshutdn.exeAdministrators：完全控制%SystemRoot%system32UAdministrators：完全控制%SystemRoot%system32Wscript.exeAdministrators：完全控制%SystemRoot%system32Xcopy.exeAdministrators：完全控制3.1.4 網(wǎng)絡(luò)與服務(wù)配置標(biāo)準(zhǔn) 網(wǎng)絡(luò)協(xié)議安裝要求要求只運行安裝TCP/IP網(wǎng)絡(luò)協(xié)議，不允許安裝IPX，AppleTalk等其他的網(wǎng)絡(luò)協(xié)議。 TCP/IP協(xié)議棧安全配置將下表注冊表項作為HKLMSystemCurrentControlSetServicesTcpip|Parameters的子項添加，這些注冊表設(shè)置有助于提高 Windows 2000 TCP/IP 協(xié)議棧抵御標(biāo)準(zhǔn)類型的拒絕服務(wù)網(wǎng)絡(luò)攻擊的能力。項格式值（十進制）EnableICMPRedirectDWORD0EnableSecurityFiltersDWORD1SynAttackProtectDWORD2EnableDeadGWDetectDWORD0EnablePMTUDiscoveryDWORD0KeepAliveTimeDWORD300,000DisableIPSourceRoutingDWORD2TcpMaxConnectResponseRetransmissionsDWORD2TcpMaxDataRetransmissionsDWORD3NoNameReleaseOnDemandDWORD1PerformRouterDiscoveryDWORD0TCPMaxPortsExhaustedDWORD IIS服務(wù)要求只有需要提供Web服務(wù)的主機，才能安裝IIS服務(wù)，其他服務(wù)器不得安裝。 服務(wù)管理配置標(biāo)準(zhǔn)Windows 2000缺省安裝會創(chuàng)建很多默認(rèn)服務(wù)，并配置為在系統(tǒng)啟動時運行。實際運行環(huán)境中并不需要運行所有服務(wù)，而任何多余的服務(wù)都存在受攻擊的風(fēng)險，因此要求禁用不必要的服務(wù)。下表列出的Windows2000系統(tǒng)提供基本管理功能之外不是必須開放的，請根據(jù)系統(tǒng)的應(yīng)用的情況禁用下表中提到的服務(wù)：服務(wù)服務(wù)功能實現(xiàn)Boot Information Negotiation Layer與Remote Installation Service(RIS)一起使用，除有需要通過RIS安裝操作系統(tǒng)，否則不要運行。Indexing負(fù)責(zé)索引磁盤上的文檔和文檔屬性，并且在一個目錄中保存信息，使得你在以后可以搜索。ClipBookClipBook支持ClipBook Viewer程序，該程序可以允許剪貼頁被遠(yuǎn)程計算機上的ClipBook瀏覽，可以使得用戶能夠通過網(wǎng)絡(luò)連接來剪切和粘貼文本和圖形。DHCP client通過注冊和更新IP地址和DNS域名來管理網(wǎng)絡(luò)配置。DNS Server負(fù)責(zé)解答DNS域名查詢Fax它負(fù)責(zé)管理傳真的發(fā)送和接收。Single Instance Storage Groveler該服務(wù)和Remote Installation服務(wù)一起使用.掃描單一實例存儲卷來尋找重復(fù)的文件,并將重復(fù)文件指向某個數(shù)據(jù)存儲點以節(jié)省磁盤空間。Internet Authentication Service除了在撥號和VPN服務(wù)器上，該服務(wù)不應(yīng)該使用。TCP/IP NETBIOS Helper該服務(wù)允許在TCP/IP網(wǎng)絡(luò)上進行NETBIOS通信。NetMeeting Remote Desktop Sharing允許授權(quán)用戶通過使用NetMeeting來遠(yuǎn)程訪問你的Windows桌面。Remote Registry使得經(jīng)過授權(quán)的管理員能夠?qū)ξ挥谶h(yuǎn)程主機上的注冊表項目進行操作,對于一些功能,例如遠(yuǎn)程性能監(jiān)視,是需要Remote Registry。Internet Connection Sharing將某計算機的Internet聯(lián)機與其他一些計算機進行共享。Simple TCP/IP這個服務(wù)是作為基本的TCP/IP服務(wù)而運行,打開了TCP端口7,9,13,17,19。Telephony提供電話和基于IP地語音連接。Trivial FTP Daemontftp不經(jīng)驗證簡單ftp服務(wù)。Telnet遠(yuǎn)程登錄應(yīng)該禁止。Windows Internet Name Service是微軟用于NetBIOS網(wǎng)絡(luò)的名稱服務(wù)。下列服務(wù)是可能用到的服務(wù)，請根據(jù)具體運行環(huán)境確認(rèn)是否需要：l SMTP服務(wù)SMTP(Simple Mail Transfer Protocol)協(xié)議，是簡單郵件傳輸協(xié)議，用在郵件服務(wù)器上，一般服務(wù)器上不必啟用。l SNMP 服務(wù)SNMP(Simple Network Management Protocol)協(xié)議，是網(wǎng)絡(luò)管理協(xié)議，在許多情況下，管理應(yīng)用程序都需要在每個服務(wù)器上安裝一個代理。一般地，這些代理將使用 SNMP 將警報消息發(fā)回到一個中央管理服務(wù)器。如果存在網(wǎng)管系統(tǒng)需要管理代理，就要啟動 SNMP 服務(wù),需要更改缺省community string。l Messenger信使服務(wù)信使服務(wù)用來傳輸客戶端和服務(wù)器之間的Net Send和Alerter（報警器）服務(wù)消息。3.1.5 安全選項配置標(biāo)準(zhǔn)請按照下表中的要求設(shè)置Windows 2000系統(tǒng)中的安全選項：安全選項注釋安全設(shè)置LAN Manager身份驗證級別確定網(wǎng)絡(luò)登錄時將使用哪個質(zhì)詢/響應(yīng)身份驗證協(xié)議。該選項會影響客戶端使用的身份驗證協(xié)議的級別、協(xié)商的會話安全級別，以及服務(wù)器所接受的身份驗證級別。發(fā)送LM& NTLM響應(yīng)，如果已協(xié)商，使用NTLMv2安全會話對匿名連接的額外限制確定匿名連接到計算機應(yīng)具有的其他權(quán)限。不允許枚舉賬號和共享在斷開會話之前所需的空閑時間確定“服務(wù)器消息塊 (SMB)”會話因為不活動而被掛起之前，在該會話中必須經(jīng)過的連續(xù)空閑時間。15分鐘如果無法記錄安全審計則立即關(guān)閉系統(tǒng)確定當(dāng)系統(tǒng)無法記錄安全事件時是否關(guān)閉系統(tǒng)。停用登錄屏幕上不要顯示上次登錄的用戶名確定是否將上次登錄到計算機的用戶名顯示在 Windows 登錄畫面中。啟用在關(guān)機時清理虛擬內(nèi)存頁面交換文件確定在關(guān)閉系統(tǒng)時是否清除虛擬內(nèi)存頁面文件。啟用發(fā)送未加密的密碼到第三方 SMB 服務(wù)器如果啟用該策略，將允許“服務(wù)器消息塊 (SMB)”重定向器向身份驗證期間不支持密碼加密的非 Microsoft SMB 服務(wù)器發(fā)送明文密碼。停用在密碼到期前提示用戶更改密碼確定提前多長時間（單位為天）警告用戶其密碼將過期。通過這種提前警告，用戶可以有時間創(chuàng)建具有足夠安全性的密碼。14天具體設(shè)置方法為：進入“控制面板/管理工具/本地安全策略”，在“本地策略-安全選項”中完成上表提及的各個“安全選項”的調(diào)整。3.1.6 日志與審計配置標(biāo)準(zhǔn) “審核策略”配置要求Windows 2000系統(tǒng)的缺省配置是不開任何安全審核，要求通過開啟“審核策略”，記錄以下操作：審核策略默認(rèn)配置安全設(shè)置審核策略更改無審核成功，失敗審核登錄事件無審核成功，失敗審核對象訪問無審核失敗審核過程追蹤無審核無審核審核目錄服務(wù)訪問無審核失敗審核特權(quán)使用無審核失敗審核系統(tǒng)事件無審核成功，失敗審核賬戶登錄事件無審核成功，失敗審核賬戶管理無審核成功，失敗配置方法：通過“控制面板/管理工具/本地安全策略”，在“本地策略-審核策略”中打開相應(yīng)的審核選項： 日志屬性配置要求請根據(jù)下表調(diào)整Windows 2000系統(tǒng)的各種日志屬性： 日志類別安全設(shè)置應(yīng)用程序日志大小10240K當(dāng)達(dá)到最大日志大小時不改寫事件（手動清除日志）安全性日志大小10240K當(dāng)達(dá)到最大日志大小時不改寫事件（手動清除日志）系統(tǒng)日志大小10240K當(dāng)達(dá)到最大日志大小時不改寫事件（手動清除日志）3.1.7 其它安全配置參考 使用NTFS文件系統(tǒng)NTFS文件系統(tǒng)比FAT和FAT32強壯和穩(wěn)定，不易崩潰，Windows2000提供了基于NTFS文件系統(tǒng)的對文件和目錄的訪問控制列表(ACL)。請確保所有的磁盤卷都使用了NTFS文件系統(tǒng)。 共享管理要求停用所有不必要的文件共享，特別注意系統(tǒng)默認(rèn)啟用的隱含系統(tǒng)共享，如C$、D$、IPC$等。關(guān)閉默認(rèn)共享的方法有兩種：1. 在服務(wù)配置中禁用Server服務(wù)；2. 更改注冊表鍵值：在HKLMSystemCurrentControlSetServicesLanmanServerParameters下，增加REG_DWORD類型的AutoShareServer 鍵，值為0。 啟用屏幕保護請設(shè)置帶密碼的屏幕保護，并將時間設(shè)定為5分鐘，使得系統(tǒng)在無人操作5分鐘后自動啟用屏幕保護，再次進入系統(tǒng)需要認(rèn)證。3.2. Windows XP 安全配置標(biāo)準(zhǔn)3.2.1 系統(tǒng)補丁安裝標(biāo)準(zhǔn)Windows XP的與安全相關(guān)的補丁大致分三類：l Service Pack（補丁包）： Service Pack 是經(jīng)過測試的所有修復(fù)程序、安全更新程序、關(guān)鍵更新程序以及更新程序的累積的集合。 Service Pack 還可能包含自產(chǎn)品發(fā)布以來針對內(nèi)部發(fā)現(xiàn)的問題的其他修復(fù)以及設(shè)計上的更改或功能上的增加。Service Pack補丁包涵蓋了自發(fā)布之前的所有補丁，是重要的補丁集合。l Security Patch（安全補?。篠ecurity Patch是針對特定問題廣泛發(fā)布的修復(fù)程序，用于修復(fù)特定產(chǎn)品的與安全相關(guān)的漏洞。Microsoft在發(fā)布的安全公告中將Security Patch分級為嚴(yán)重、重要、中等、低四個等級。嚴(yán)重的安全補丁缺失，會造成蠕蟲快速傳播(如振蕩波，沖擊波)，對系統(tǒng)本身和網(wǎng)絡(luò)造成重大影響，這類補丁需要及時應(yīng)用到操作系統(tǒng)。l Hotfix(修補程序)：Hotfix是針對某一個具體的系統(tǒng)漏洞或安全問題而發(fā)布的專門解決該漏洞或安全問題的小程序，通常稱為修補程序，如果在最近發(fā)布的Service Pack后面，出現(xiàn)安全方面的漏洞，通常對應(yīng)的補丁會以Hotfix修補程序的形式發(fā)布。補丁安裝的原則： 新安裝或者重新安裝windows XP操作系統(tǒng)，必須安裝最新的Service Pack補丁集。 必須安裝等級為嚴(yán)重和重要的Security Patch。 有關(guān)安全方面的Hotfixes補丁應(yīng)當(dāng)及時安裝。 最新的安全補丁發(fā)布與升級步驟，以公司內(nèi)部網(wǎng)上提供的信息為準(zhǔn)。注意：補丁更新要慎重，可能出現(xiàn)硬件不兼容，或者影響當(dāng)前的應(yīng)用系統(tǒng)，安裝補丁之前要經(jīng)過測試和驗證。3.2.2 安全中心配置標(biāo)準(zhǔn) 防火墻啟用要求Windows XP安裝了SP2補丁會有安全中心，包括主機防火墻，自動更新，病毒防護三個主要功能，其中，要求啟用Windows防火墻。防火墻啟用方式如下圖： 自動更新啟用要求安全中心還包括自動更新功能，定期地檢查針對計算機的最新的重要更新，然后自動安裝這些更新。重要更新（包括關(guān)鍵更新和安全更新）應(yīng)該在發(fā)行后盡快安裝到計算機上，保護您計算機免受病毒攻擊和其他安全威脅。要求啟用自動更新功能，方法如圖所示：3.2.3 “密碼策略”配置要求通過“本地安全策略”調(diào)整默認(rèn)的“密碼策略”，提高系統(tǒng)的安全水平，“密碼策略”中各選項的具體要求如下表列舉：策略默認(rèn)設(shè)置安全設(shè)置強制密碼歷史記住 0 個密碼記住 4個密碼密碼最長存留期42 天42 天密碼最短存留期0 天7 天最短密碼長度0 個字符6 個字符密碼必須符合復(fù)雜性要求禁用啟用為域中所有用戶使用可還原的加密來儲存密碼已停用已停用“密碼策略”的設(shè)置步驟如下圖：進入“控制面板/性能和維護/管理工具/本地安全策略”，在“賬戶策略-密碼策略”。 密碼復(fù)雜性配置要求在“密碼策略”中 “密碼必須符合復(fù)雜性要求”選項啟動后，系統(tǒng)將強制要求密碼的設(shè)置具備一定的強壯度，要求密碼至少包含以下四種類別的字符：n 英語大寫字母 A, B, C, Z n 英語小寫字母 a, b, c, z n 西方阿拉伯?dāng)?shù)字 0, 1, 2, 9 n 非字母數(shù)字字符，如標(biāo)點符號，, #, $, %, &, *等 賬號安全控制要求.1 “賬戶鎖定策略”配置要求有效的賬號鎖定策略有助于防止攻擊者猜出您賬號對應(yīng)的密碼。要求按照下表要求調(diào)整“賬戶鎖定策略”：策略默認(rèn)設(shè)置安全設(shè)置賬戶鎖定時間未定義30 分鐘賬戶鎖定閾