Win2003安全加固方案

1、WINDOWS2003安全加固配置手冊(cè)- #- -目錄TOC o 1-5 h z HYPERLINK l bookmark4一、安全加固配置說明-2- HYPERLINK l bookmark61.1安全加固配置目的-2- HYPERLINK l bookmark81.2適用系統(tǒng)-2- HYPERLINK l bookmark101.3相關(guān)說明-2-二、主機(jī)加固方案-2- HYPERLINK l bookmark122.1操作系統(tǒng)加固方案-2-2.1.1安全補(bǔ)丁檢測(cè)及安裝-2-2.1.2系統(tǒng)用戶II令及策略加固-3-2.1.3日志及審核策略配置-4-2.1.4安全選項(xiàng)策略配置-6-2.1.5用

2、戶權(quán)限策略配置-12-2.1.6注冊(cè)表安全設(shè)置-14-2.1.7網(wǎng)絡(luò)與服務(wù)加固-16-2.1.8其他安全性加固-18-WINDOWS2003安全加固配置手冊(cè)WINDOWS2003安全加固配置手冊(cè)- - #-WINDOWS2003安全加固配置手冊(cè)WINDOWS2003安全加固配置手冊(cè)- - -一、安全加固配置說明1.1安全加固配置目的建立WindowsSeiver2003操作系統(tǒng)安全加固配置標(biāo)準(zhǔn)，并以此標(biāo)準(zhǔn)為指導(dǎo)，配置和審視客戶WmdowsServer2003服務(wù)器的安全性：降低系統(tǒng)存在的安全風(fēng)險(xiǎn)，確保系統(tǒng)安全可靠的運(yùn)行。1-2適用系統(tǒng)當(dāng)前版本適用于Windows2003系列13相關(guān)說明安全加固

3、配置中部分加固配置可以考慮使用安全模板來實(shí)現(xiàn)，以減輕工作量。主機(jī)加固方案2.1操作系統(tǒng)加固方案2.1.1安全補(bǔ)丁檢測(cè)及安裝實(shí)施編號(hào)：Leadsec-Wui2003-1101實(shí)施名稱：補(bǔ)丁檢測(cè)及安裝系統(tǒng)當(dāng)前狀態(tài)：運(yùn)行cmd打開命令提示符窗11,再輸入systeminfo查看目前補(bǔ)信息實(shí)施方案：確認(rèn)系統(tǒng)安裝了SP2;使用Windowsupdate或者手工安裝最新補(bǔ)J實(shí)施目的：升級(jí)操作系統(tǒng)為最新版本，修補(bǔ)所有已知的安全漏洞實(shí)施風(fēng)險(xiǎn)：安裝某些補(bǔ)可能導(dǎo)致主機(jī)啟動(dòng)失敗，或其他未知情況發(fā)生，建議先在測(cè)試機(jī)器上安裝測(cè)試后再實(shí)施部署到生產(chǎn)機(jī)上是否實(shí)施：實(shí)施工程師備注：2.1.2系統(tǒng)用戶口令及策略加固實(shí)施編號(hào)：L

4、eadsec-Wui2003-1201實(shí)施名稱：系統(tǒng)用戶口令策略加固系統(tǒng)當(dāng)前狀態(tài)：査看系統(tǒng)“本地安全設(shè)置”一“帳戶策略”中“密碼策略”和“賬號(hào)鎖定策略”當(dāng)前情況：（以卜為示例圖）策珞/1安全設(shè)置翦密畫宓須符合復(fù)雜性要親己禁用破密碼氏度疑小值0個(gè)字符躅密碼最長(zhǎng)使用期服42天囲密碼最短使用期限0天殺強(qiáng)制密碼歷史0個(gè)記住的密碼腳用可還原的加密來諸存密碼已禁用實(shí)施方案：密碼必須符合復(fù)雜性要求：?jiǎn)⒂妹艽a長(zhǎng)度最小值8個(gè)字符密碼最長(zhǎng)使用期限：90天強(qiáng)制密碼歷史：24個(gè)記住的密碼帳戶鎖定閥值：3次無效登陸帳戶鎖定時(shí)間：15分鐘復(fù)位帳戶鎖定計(jì)數(shù)器：15分鐘之后策略更改后，督促現(xiàn)有用戶更改其登陸11令以符合最新策

5、略要求。實(shí)施目的：保障用戶賬號(hào)及口令的安全，防止口令猜測(cè)攻擊。實(shí)施風(fēng)險(xiǎn)：賬號(hào)鎖定后15分鐘后才解鎖。是否實(shí)施：實(shí)施工程師備注：實(shí)施編號(hào)：Leadsec-Wui2003-1202實(shí)施名稱：禁用guest賬戶權(quán)限系統(tǒng)當(dāng)前狀態(tài)：實(shí)施方案：開始控制而板管理工具計(jì)算機(jī)管理本地用戶和組用戶guest右鍵屬性常規(guī)選擇用戶已停用實(shí)施目的：Guest賬號(hào)無法刪除，故應(yīng)避免Guest賬號(hào)被黑客激活作為后門使用。實(shí)施風(fēng)險(xiǎn)：無是否實(shí)施：實(shí)施工程師備注：實(shí)施編號(hào)：Leadsec-Wui2003-1203實(shí)施名稱：Administrator帳戶重命名系統(tǒng)當(dāng)前狀態(tài)：實(shí)施方案：開始控制而板管理工具計(jì)算機(jī)管理本地用戶和組用戶選

6、擇admuiistrator右鍵重命名實(shí)施目的：Administrator是系統(tǒng)默認(rèn)管理員帳戶，重命名Administrator可增加賬號(hào)安全性。實(shí)施風(fēng)險(xiǎn)：無是否實(shí)施：實(shí)施工程師備注：2.1.3日志及審核策略配置實(shí)施編號(hào)：Leadsec-Wui2003-1301實(shí)施名稱：設(shè)置主機(jī)審核策略系統(tǒng)當(dāng)前狀態(tài)：在“本地安全策略”一“本地策略”中查看系統(tǒng)“審核策略”：（以下為示例圖）策略匸安全設(shè)置I勉審核策略更改無審核踽審核登錄爭(zhēng)件成功題審核對(duì)象訪問無審核陵審核過程跟蹤無審核錮審核目錄服務(wù)訪問無審核蹈審核特權(quán)便用無審核頤審核系統(tǒng)爭(zhēng)件無審核踽審核帳戶登錄爭(zhēng)件成功踽審核帳戶管理無審核實(shí)施方案：審核策略更改成功

7、，失敗審核登陸事件成功，失敗審核對(duì)彖訪問失敗審核目錄服務(wù)訪問成功，失敗審核特權(quán)使用失敗審核系統(tǒng)事件成功，失敗審核賬戶登陸事件成功，失敗審核帳戶管理成功，失敗實(shí)施目的：對(duì)重要事件進(jìn)行審核記錄，方便口后出現(xiàn)問題時(shí)査找問題根源。實(shí)施風(fēng)險(xiǎn)：無是否實(shí)施:實(shí)施工程師備注：實(shí)施編號(hào)：Leadsec-Wui2003-1302實(shí)施名稱：調(diào)整事件口志的大小及覆蓋策略系統(tǒng)當(dāng)前狀態(tài)：口志類型口志人小覆蓋策略應(yīng)用程序口志K覆蓋早于天的日志安全口志K覆蓋早于天的口志系統(tǒng)日志K覆蓋早于天的口志實(shí)施方案：日志類型L忐人小覆蓋策略應(yīng)用程序口志80000K覆蓋早J：30天的口志安全口志80000K覆蓋早于30天的口志系統(tǒng)口志80

8、000K覆蓋早于30天的口志其他口志（如存在）80000K覆蓋早于30天的口志實(shí)施目的：增人口志人小，避免由J：口志文件容最過小導(dǎo)致垂要口志記錄遺漏實(shí)施風(fēng)險(xiǎn)：是否實(shí)施:實(shí)施工程師備注：2.1-4安全選項(xiàng)策略配置實(shí)施編號(hào)：Leadsec-Win2003-1401實(shí)施名稱：Microsoft網(wǎng)絡(luò)服務(wù)器：當(dāng)?shù)卿洉r(shí)間用完時(shí)自動(dòng)注銷用戶系統(tǒng)當(dāng)前狀態(tài)：查看系統(tǒng)當(dāng)前設(shè)置：實(shí)施方案：在管理工具-本地安全策略選擇本地策略-選擇安全選項(xiàng)-Microsoft網(wǎng)絡(luò)服務(wù)器：當(dāng)?shù)卿洉r(shí)間用完時(shí)自動(dòng)注銷用戶（改成已啟用）！網(wǎng)絡(luò)服藥器：當(dāng)?shù)卿洉r(shí)間用完時(shí)目動(dòng)注消用戶已啟用實(shí)施目的：可以避免用戶在不適合的時(shí)間登錄到系統(tǒng)，或者用戶登

9、錄到系統(tǒng)后忘記退出登錄實(shí)施風(fēng)險(xiǎn)：無是否實(shí)施：實(shí)施工程師備注：實(shí)施編號(hào):Leadsec-Win2003-1402實(shí)施名稱：Microsoft網(wǎng)絡(luò)服務(wù)器：在掛起會(huì)話之前所需的空閑時(shí)間系統(tǒng)當(dāng)前狀態(tài)：查看系統(tǒng)當(dāng)前設(shè)置：實(shí)施方案：在管理工具-本地安全策略選擇本地策略-選擇安全選項(xiàng)-Microsoft網(wǎng)絡(luò)服務(wù)器：在掛起會(huì)話之前所需的空閑時(shí)間（小丁等J：30分鐘）網(wǎng)貉服務(wù)器：在掛起金話之前所需的空閑時(shí)間30實(shí)施目的：設(shè)置掛起會(huì)話之前所需的空閑時(shí)間為30分鐘實(shí)施風(fēng)險(xiǎn)：無是否實(shí)施：實(shí)施工程師備注：實(shí)施編號(hào)：Leadsec-Win2003-1403實(shí)施名稱：Microsoft網(wǎng)絡(luò)客戶端：發(fā)送未加密的密碼到第三方S

10、MB服務(wù)器系統(tǒng)當(dāng)前狀態(tài)：查看系統(tǒng)當(dāng)前設(shè)置：實(shí)施方案：在管理工具-本地安全策略-選擇本地策略-選擇安全選項(xiàng)-Microsoft網(wǎng)絡(luò)客戶端：發(fā)送未加密的密碼到第三方SNIB服務(wù)器（禁用）Microsoft網(wǎng)絡(luò)客尸：發(fā)送未加密的密碼到第三方SMB服務(wù)器。已停用J實(shí)施目的：禁止發(fā)送未加密的密碼到第三方SMB服務(wù)器實(shí)施風(fēng)險(xiǎn)：無是否實(shí)施：實(shí)施工程師備注：興施編號(hào):Leadsec-Win2003-1404實(shí)施名稱：故障恢復(fù)控制臺(tái):允許対所有驅(qū)動(dòng)器和文件夾進(jìn)行軟盤復(fù)制和訪問系統(tǒng)當(dāng)前狀態(tài)：查看系統(tǒng)當(dāng)前設(shè)置：實(shí)施方案：在管理工具-本地安全策略-選擇本地策略選擇安全選項(xiàng)-故障恢復(fù)控制臺(tái)：允許對(duì)所有驅(qū)動(dòng)器和文件夾進(jìn)行

11、軟盤復(fù)制和訪問（禁用）園故障恢復(fù)控制臺(tái)：允許對(duì)所有駆動(dòng)器和文件夾進(jìn)行軟盤復(fù)制和訪問己停用實(shí)施目的：Windoxvs2003控制臺(tái)恢復(fù)的另一個(gè)特性是它禁止訪問駛盤驅(qū)動(dòng)器上的所有文件和目錄。它僅允許訪問每個(gè)卷的根目錄和%systeniioot%目錄及子目錄，即使是這樣它還限制不允許把硬盤驅(qū)動(dòng)器上的文件拷貝到軟盤上。實(shí)施風(fēng)險(xiǎn)：無是否實(shí)施：實(shí)施工程師備注：WINDOWS2003安全加固配置手冊(cè)WINDOWS2003安全加固配置手冊(cè)- - -WINDOWS2003安全加固配置手冊(cè)實(shí)施編號(hào):Leadsec-Win2003-1405實(shí)施名稱：故障恢復(fù)控制臺(tái):允許自動(dòng)系統(tǒng)管理級(jí)登錄系統(tǒng)當(dāng)前狀態(tài)：査看系統(tǒng)當(dāng)前設(shè)

12、置：實(shí)施方案：在管理工具本地安全策略選擇本地策略-選擇安全選項(xiàng)亠故障恢復(fù)控制臺(tái):允許自動(dòng)系統(tǒng)管理級(jí)登錄（禁用）圜故陣恢復(fù)整制臺(tái)：允許自動(dòng)系頸管理級(jí)登錄己停用實(shí)施目的：恢復(fù)控制臺(tái)是Windows2003的一個(gè)新特性，它在一個(gè)不能啟動(dòng)的系統(tǒng)上給出一個(gè)受限的命令行訪問界而。該特性可能會(huì)導(dǎo)致任何可以重起系統(tǒng)的人繞過賬號(hào)口令限制和其它安全設(shè)置而訪問系統(tǒng)。實(shí)施風(fēng)險(xiǎn)：無是否實(shí)施：實(shí)施工程師備注：實(shí)施編號(hào)：Leadsec-Wui2003-1406實(shí)施名稱：關(guān)機(jī)時(shí)清掉頁(yè)面文件系統(tǒng)當(dāng)前狀態(tài)：査看系統(tǒng)當(dāng)前設(shè)置：實(shí)施方案：在管理工具-本地安全策略-選擇本地策略選擇安全選項(xiàng)-關(guān)機(jī)：清除虛擬內(nèi)存頁(yè)面文件（啟用）飆殳關(guān)機(jī)渚

13、理虛擬內(nèi)存頁(yè)面文件已啟用1實(shí)施目的：某些第三方的程序可能把一些沒有的加密的密碼存在內(nèi)存中，頁(yè)面文件中也可能含有另外一些敏感的資料。關(guān)機(jī)的時(shí)候清除頁(yè)面文件，防止造成意外的信息泄漏。實(shí)施風(fēng)險(xiǎn)：無是否實(shí)施：實(shí)施工程師備注：實(shí)施編號(hào)：Leadsec-Wui2003-1407實(shí)施名稱：關(guān)機(jī)：允許系統(tǒng)在未登錄前關(guān)機(jī)系統(tǒng)當(dāng)前狀態(tài)：査看系統(tǒng)當(dāng)前設(shè)置：實(shí)施方案：在管理工具-本地安全策略-選擇本地策略選擇安全選項(xiàng)-關(guān)機(jī)：允許系統(tǒng)在未登錄前關(guān)機(jī)（禁用）幽關(guān)機(jī)：允許在未登錄前關(guān)機(jī)已停用1實(shí)施目的：在未登錄前不能關(guān)閉計(jì)算機(jī)實(shí)施風(fēng)險(xiǎn)：無是否實(shí)施：實(shí)施工程師備注：實(shí)施編號(hào)：Leadsec-Wui2003-1408實(shí)施名稱：

14、交互式登錄：不顯示上次的用戶名系統(tǒng)當(dāng)前狀態(tài)：査看系統(tǒng)當(dāng)前設(shè)置：實(shí)施方案：在管理工具-本地安全策略-選擇本地策略選擇安全選項(xiàng)-交互式登錄：不顯示上次的用戶名（啟用）旨交互式登錄：不顯示上次的用戶名已啟用1實(shí)施目的：登陸時(shí)不顯示上次的用戶名，防止暴露用戶名。實(shí)施風(fēng)險(xiǎn)：無是否實(shí)施：實(shí)施工程師備注：實(shí)施編號(hào)：Leadsec-Wui2003-1409實(shí)施名稱：交互式登錄：不需要按Ctrl+Alt+Del系統(tǒng)當(dāng)前狀態(tài)：査看系統(tǒng)當(dāng)前設(shè)置：實(shí)施方案：在管理工具-本地安全策略-選擇本地策略選擇安全選項(xiàng)-交互式登錄：不需要按Ctrl+Alt+Del（禁用）|區(qū)交互式登錄不需要按CTRL+ALT+DEL已停用|實(shí)施

15、目的：登錄時(shí)需耍按CTRL+ALT+DEL。實(shí)施風(fēng)險(xiǎn)：無是否實(shí)施：實(shí)施丁程師備注:實(shí)施編號(hào)：Leadsec-Wui2003-1410實(shí)施名稱：交互式登錄：可被緩存的前次登錄個(gè)數(shù)（在域控制器不可用的情況F）系統(tǒng)當(dāng)前狀態(tài)：査看系統(tǒng)當(dāng)前設(shè)置：實(shí)施方案：在管理工具-本地安全策略-選擇本地策略選擇安全選項(xiàng)-交互式登錄：可被緩存的前次登錄個(gè)數(shù)（設(shè)置緩存數(shù)為0,此項(xiàng)對(duì)域服務(wù)器無效。）話交互式登錄：可被緩沖保存的前次登錄個(gè)數(shù)在域控制器不可用的悟況下）0次登錄實(shí)施目的：登陸時(shí)不顯示上次的用戶名，防止暴露用戶名。實(shí)施風(fēng)險(xiǎn)：無是否實(shí)施：實(shí)施工程師備注：實(shí)施編號(hào)：Leadsec-Wui2003-1411實(shí)施名稱：網(wǎng)絡(luò)

16、訪問：不允許SAM帳戶和共享的匿名枚舉系統(tǒng)當(dāng)前狀態(tài)：査看系統(tǒng)當(dāng)前設(shè)置：實(shí)施方案：在管理工具-本地安全策略-選擇本地策略選擇安全選項(xiàng)網(wǎng)絡(luò)訪問：不允許SAM帳戶和共享的匿名枚舉（啟用）閩網(wǎng)絡(luò)訪問：不允許SAf.1帳戶和共享的匿名枚舉已啟用|實(shí)施目的：禁止使用匿名用戶空連接枚舉系統(tǒng)敏感信息實(shí)施風(fēng)險(xiǎn)：無是否實(shí)施：實(shí)施工程師備注：實(shí)施編號(hào)：Leadsec-Wui2003-1412實(shí)施名稱：網(wǎng)絡(luò)訪問：不允許為網(wǎng)纟各身份驗(yàn)證儲(chǔ)存憑證或.NETpassports系統(tǒng)當(dāng)前狀態(tài)：査看系統(tǒng)當(dāng)前設(shè)置：實(shí)施方案：在管理工具-本地安全策略-選擇本地策略選擇安全選項(xiàng)-網(wǎng)絡(luò)訪問：不允許為網(wǎng)絡(luò)身份驗(yàn)證儲(chǔ)存憑證或.NETpass

17、ports（啟用）|膜網(wǎng)絡(luò)訪問：不允許為網(wǎng)絡(luò)身份驗(yàn)證儲(chǔ)存憑據(jù)或.NETPassports已啟用|實(shí)施目的：實(shí)施風(fēng)險(xiǎn)：無是否實(shí)施：實(shí)施工程師備注：實(shí)施編號(hào)：Leadsec-Wui2003-1413實(shí)施名稱：審核：如杲無法記錄安全審核則立即關(guān)閉系統(tǒng)系統(tǒng)當(dāng)前狀態(tài)：査看系統(tǒng)當(dāng)前設(shè)置：實(shí)施方案：在管理工具-本地安全策略-選擇本地策略-選擇安全選項(xiàng)-審核：如果無法記錄安全審核則立即關(guān)閉系統(tǒng)（啟用）區(qū)審計(jì)：如果無法紀(jì)錄安全審計(jì)則立即關(guān)閉系統(tǒng)已啟用實(shí)施目的：實(shí)施風(fēng)險(xiǎn)：無是否實(shí)施：實(shí)施工程師備注：實(shí)施編號(hào)：Leadsec-Wui2003-1414實(shí)施名稱：審核：對(duì)全局系統(tǒng)對(duì)彖的訪問進(jìn)行審核系統(tǒng)當(dāng)前狀態(tài)：査看系統(tǒng)

18、當(dāng)前設(shè)置：實(shí)施方案：在管理工具-本地安全策略-選擇本地策略-選擇安全選項(xiàng)-審核：對(duì)全局系統(tǒng)對(duì)彖的訪問進(jìn)行審核（啟用）圃審計(jì)：對(duì)全局系統(tǒng)對(duì)彖的訪問進(jìn)行審計(jì)已啟用1實(shí)施目的：實(shí)施風(fēng)險(xiǎn)：無是否實(shí)施：實(shí)施丁程師備注:實(shí)施編號(hào)：Leadsec-Wui2003-1415實(shí)施名稱：審核：對(duì)備份和還原權(quán)限的使用進(jìn)行審核系統(tǒng)當(dāng)前狀態(tài)：査看系統(tǒng)當(dāng)前設(shè)置：實(shí)施方案：在管理工具-本地安全策略-選擇本地策略選擇安全選項(xiàng)-審核：対備份和還原權(quán)限的使用進(jìn)行審核（啟用）圖審計(jì)：對(duì)備份和還原權(quán)限的便用進(jìn)行審計(jì)EeMl實(shí)施目的：實(shí)施風(fēng)險(xiǎn)：無是否實(shí)施：實(shí)施工程師備注：2.1.5用戶權(quán)限策略配置實(shí)施編號(hào):Leadsec-WHi200

19、3-1502實(shí)施編號(hào)：Leadsec-Wui2003-1501實(shí)施名稱：關(guān)閉系統(tǒng)：只有Administrators組系統(tǒng)當(dāng)前狀態(tài)：査看系統(tǒng)當(dāng)前設(shè)置：實(shí)施方案：在管理工具-本地安全策略-選擇本地策略-選擇用戶權(quán)限分配-“關(guān)閉系統(tǒng)”中刪除其他用戶組，只保留Adiniiiistiators組継關(guān)閉系統(tǒng)Administrators實(shí)施目的：實(shí)施風(fēng)險(xiǎn)：無是否實(shí)施：實(shí)施工程師備注：WINDOWS2003安全加固配置手冊(cè)WINDOWS2003安全加固配置手冊(cè)- - WINDOWS2003安全加固配置手冊(cè)實(shí)施名稱：通過終端服務(wù)拒絕登陸：加入Guests、User組系統(tǒng)當(dāng)前狀態(tài)：査看系統(tǒng)當(dāng)前設(shè)置：實(shí)施方案：在管

20、理工具-本地安全策略-選擇本地策略-選擇用戶權(quán)限分配-“通過終端服務(wù)拒絕登陸”中加入Guests、User組匾通過終端服勢(shì)拒絕登錄User,Guests實(shí)施目的：實(shí)施風(fēng)險(xiǎn)：無是否實(shí)施：實(shí)施工程師備注：實(shí)施編號(hào)：Leadsec-Wui2003-1503實(shí)施名稱：通過終端服務(wù)允許登陸：只加入Admmistrators組系統(tǒng)當(dāng)前狀態(tài)：査看系統(tǒng)當(dāng)前設(shè)置：實(shí)施方案：在管理工具-本地安全策略-選擇本地策略-選擇用戶權(quán)限分配-“通過終端服務(wù)允許登陸”中只加入Admimstiators組|腳適過終歸服務(wù)允許登錄Adminis;tra.tors實(shí)施目的：實(shí)施風(fēng)險(xiǎn)：無是否實(shí)施：實(shí)施工程師備注：實(shí)施編號(hào)：Leads

21、ec-Wui2003-1504實(shí)施名稱：從網(wǎng)絡(luò)訪問此計(jì)算機(jī)中刪除PoxveiUseis和BackupOperators系統(tǒng)當(dāng)前狀態(tài)：査看系統(tǒng)當(dāng)前設(shè)置：實(shí)施方案：在管理工具-本地安全策略-選擇本地策略-選擇用戶權(quán)限分配-“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”中刪除PowerUsers和BackupOperators實(shí)施目的：實(shí)施風(fēng)險(xiǎn)：無是否實(shí)施：實(shí)施工程師備注：2.1-6注冊(cè)表安全設(shè)置實(shí)施編號(hào)：Leadsec-Wui2003-1601實(shí)施名稱：禁止自動(dòng)登錄系統(tǒng)當(dāng)前狀態(tài)：實(shí)施方案：禁止自動(dòng)登錄：編輯注冊(cè)表HKLMSofhvareNIicrosoftWiiidowsNTCuirentVeisionWinlogoir

22、AutoAdniiiiLogon(REG_DWORD)值設(shè)置為0(如無需新建)實(shí)施目的：禁止自動(dòng)登錄實(shí)施風(fēng)險(xiǎn)：無是否實(shí)施：實(shí)施工程師備注：實(shí)施編號(hào)：Leadsec-Wui2003-1602實(shí)施名稱：禁止CD自動(dòng)運(yùn)行系統(tǒng)當(dāng)前狀態(tài)：實(shí)施方案：禁止自動(dòng)登錄：編輯注冊(cè)表HKLMSystemCunentControlSetSenTicesCDromAutomn(REGDWORD)值設(shè)置為0(如無需新建)實(shí)施目的：禁止CD自動(dòng)運(yùn)行實(shí)施風(fēng)險(xiǎn)：無是否實(shí)施：實(shí)施工程師備注：WINDOWS2003安全加固配置手冊(cè)WINDOWS2003安全加固配置手冊(cè)- - -WINDOWS2003安全加固配置手冊(cè)實(shí)施編號(hào)：Lea

23、dsec-Wui2003-1603實(shí)施名稱：?jiǎn)⒂迷绰酚善垓_保護(hù)系統(tǒng)當(dāng)前狀態(tài)：實(shí)施方案：?jiǎn)⒂迷绰酚善垓_保護(hù)：編輯注冊(cè)表HKLISys忙mCui代ntCoutiolS亡tSeivicesTcpipPaiaineters新建(REGDWORD)值名稱為DisablelPSourceRoutmg參數(shù)為2實(shí)施目的：防護(hù)在網(wǎng)絡(luò)上發(fā)生的源路由欺騙實(shí)施風(fēng)險(xiǎn)：無，如服務(wù)器啟用路由功能，則會(huì)影響相關(guān)功能。是否實(shí)施：實(shí)施工程師備注：實(shí)施編號(hào)：Leadsec-Wui2003-1604實(shí)施名稱：刪除IPC共享系統(tǒng)當(dāng)前狀態(tài)：使用netshare命令查看系統(tǒng)當(dāng)前的共享資源：實(shí)施方案：禁用IPC連接：打開注冊(cè)表編輯器，依次展

24、開HKEY_LOCAL_MACHINESYSTEMCuiTeiitConti-olSetCoiitiolLsa分支，在右側(cè)窗11中找到restrictanonymous子鍵，將其值改為T即可。刪除服務(wù)器上的管理員共享：HKLMSystemCun:eiitConti:olSetSeivicesLaiuiiaiiSererJarametersAutoShaieSener(如無需新建)(REG_DWORD)值參數(shù)為0如系統(tǒng)存在其他人為設(shè)置共享，建議刪除。實(shí)施目的：刪除主機(jī)因?yàn)楣芾矶_放的共享，減小安全風(fēng)險(xiǎn)實(shí)施風(fēng)險(xiǎn)：某些應(yīng)用軟件可能需要系統(tǒng)默認(rèn)共享，應(yīng)詢問管理員確認(rèn)。是否實(shí)施：實(shí)施工程師備注：實(shí)施編號(hào)

25、：Leadsec-Wui2003-1605實(shí)施名稱：?jiǎn)⒂眠M(jìn)行最人包長(zhǎng)度路徑檢測(cè)系統(tǒng)當(dāng)前狀態(tài)：實(shí)施方案：?jiǎn)⒂眠M(jìn)行最人包長(zhǎng)度路徑檢測(cè)：HKLMXSyst亡mCiu代ntCoiitiolS亡tSeivicesTcpipPaiaineteis新建項(xiàng)(REGDWORD)值名稱為EnablePMTUDiscoveiy參數(shù)為1實(shí)施目的：該項(xiàng)值為1時(shí)，將自動(dòng)檢測(cè)出可以傳輸?shù)臄?shù)據(jù)包的人小，可以用來提高傳輸效率，如出現(xiàn)故障或安全起見，設(shè)項(xiàng)值為0,表示使用固定MTU值576byteso實(shí)施風(fēng)險(xiǎn)：無是否實(shí)施：實(shí)施工程師備注：實(shí)施編號(hào)：Leadsec-Wui2003-1606實(shí)施名稱：防止SYNFlood攻擊系統(tǒng)當(dāng)前狀

26、態(tài)：實(shí)施方案：防止SYNFlood攻擊：HKLMXSyst亡mCiu代ntCoiitiolS亡tSeivicesTcpipPaiaineteis新建(REG_DWORD)名稱為SyiiAttackProtect參數(shù)為2HKLMSystemCunentContiolSetSenTicesTcpipPaiaineteis新建(REG_DWORD)名稱為TcpMaxHalfOpen參數(shù)為100或500(選十進(jìn)制)實(shí)施目的：?jiǎn)?dòng)syn攻擊保護(hù)。缺省項(xiàng)值為0,表示不開啟攻擊保護(hù)，項(xiàng)值為1和2表示啟動(dòng)syn攻擊保護(hù)。實(shí)施風(fēng)險(xiǎn)：無是否實(shí)施：實(shí)施工程師備注：2.1.7網(wǎng)絡(luò)與服務(wù)加固實(shí)施編號(hào)：Leadsec-W

27、ui2003-1701實(shí)施名稱：卸載、禁用、停止不需要的服務(wù)實(shí)施方案:系統(tǒng)當(dāng)前狀態(tài)：檢測(cè)分析系統(tǒng)己?jiǎn)?dòng)的不必要的服務(wù)包括:停止、禁用不盂要的服務(wù)，如有必耍則刪除已安裝的服務(wù)。下面列出部分服務(wù)以做參考：名稱建議設(shè)置Alerter禁用Clipbook禁用ComputerBrowser禁用InternetConnectionShaimg禁用Messenger禁用RemoteRegistiySeivice禁用RoutmgandRemoteAccess禁用Server禁用TCP/IPNetBIOSHelperService禁用TerminalServices禁用SimpleMailTiasfeiProtocol(SMTP)禁用SimpleNetworkManagementPiotocol(SNMP)Seivice禁用SimpleNetworkManagementPiotocol(SNMP)Trap禁用Telnet禁用WorldWideWebPublisliiiigSeivice禁用實(shí)施目的：避免未知漏洞給主機(jī)帶來的潛在風(fēng)險(xiǎn)實(shí)施風(fēng)險(xiǎn)：可能由r管理員對(duì)主機(jī)所開放服務(wù)不了解，導(dǎo)致有用服務(wù)被停止或卸載。實(shí)池前請(qǐng)與相關(guān)應(yīng)用開發(fā)廠商聯(lián)系確認(rèn)該服務(wù)與業(yè)務(wù)應(yīng)用無關(guān)是否實(shí)施：HAoWINDOWS2003安全加