Windows2000操作系統(tǒng)安全配置檢查表

Windows2000操作系統(tǒng)安全檢查表（草案）中國教育和科研計算機網(wǎng)緊急響應組（CCERT）2003年3月前言步驟1 建議安裝過程中的建議安裝最新的系統(tǒng)補丁(ServicePack)與更新（Hotfix）程序為管理員（Administrator）賬號指定安全的口令Administrator帳號重新命名禁用或刪除不必要的帳號關(guān)閉不必要的服務安裝防病毒軟件給所有必要的文件共享設置適當?shù)脑L問控制權(quán)限激活系統(tǒng)的審計功能關(guān)于應用軟件方面的建議附錄一、網(wǎng)絡上的參考資源附錄二、windows2000服務配置參考1 建議2 安裝過程中的建議3新（Hotfix)程序

安裝最新的系統(tǒng)補丁(ServicePack）與更Microsoft公司提供兩種類型的補?。篠ervicePack和Hotfix.ServicePackServicePack包括了以前發(fā)布的所有的hotfixServicePack,現(xiàn)在最新的補丁包是Service3（推薦安裝。您可以在下面的網(wǎng)址下載到最新的補丁包：ServicePack3AutomaticUpdates（自動升級)服務，該服務能夠在重要的Windows2000修補程序發(fā)布之時向您發(fā)出通知.AutomaticUpdates是一種有預見性的拉”服務，可以自動下載和安裝WindowsWindowsHotfixServicePack全通知服務來發(fā)布安全公告。你可以訂閱微軟免費的安全通知服務：在發(fā)布新的安全補丁時,可以通過電子郵件通知你.如果公告建議你安裝hotfix，你應該盡快下載并安裝這些hotfix。你也可以在下面的網(wǎng)址下載最新的Hotfix程序：4的口令

為管理員（Administrator）賬號指定安全Windows2000127個字符的口令。一般來說,強壯的口令應該滿足以下條件：8個字符；不包含字典里的單詞、不包括姓氏的漢語拼音;同時包含多種類型的字符，比如大寫字母（A,B,C,Z)小寫字母（a，b,cz)o數(shù)字（0，1，2,…9）o標點符號（＠,#,!，＄,%,&…）不要在不同的計算機上使用相同的口令.Administrator帳號重新命名由于Windows2000的默認管理員帳號Administrator已眾所周知,該帳號通常稱為攻擊者猜測口令攻擊的對象.為了降低這種威脅,可以將帳號Administrator重新命名。操作步驟如下：雙擊“計算機管理"，打開后選擇目錄“系統(tǒng)工具"下的“本地用戶和組”,看到系統(tǒng)中的所有用戶列表；Administratoradministratoradminroot等；禁用或刪除不必要的帳號您應該在計算機管理單元中查看系統(tǒng)的活動帳號列表（)Guest，刪除或者禁用不再需要的帳戶。配置步驟如下:點擊“開始”>的所有用戶的狀態(tài).Windows2000Guest帳號，但你需要確認一下。關(guān)閉不必要的服務每提供一種網(wǎng)絡服務就增加了一份安全威脅。所以我們建議您關(guān)閉所有不必要的網(wǎng)絡服務,WebWindowsWebIIS系統(tǒng)存在著大量安全漏洞。,不要把所有的雞蛋都放在同一個籃web樣可以盡量的降低服務器的風險。通過開始—〉控制面板—〉管理工具—〉服務,Windows2000的服務。微軟關(guān)于Windows2000的基準服務配置，參見附錄二。安裝防病毒軟件機磁盤引導記錄、文件系統(tǒng)和內(nèi)存、以及電子郵件病毒。由于新的病毒和蠕蟲及其各種變種發(fā)展很快，我們強烈建議您及時更新病毒定義碼。關(guān)于防病毒軟件的選擇，建議您參考清華大學等各高校BBS系統(tǒng)中病毒欄目的相關(guān)評論和建議。9控制權(quán)限

給所有必要的文件共享設置適當?shù)脑L問都應當設置合適的權(quán)限,以便使用戶擁有適當?shù)墓蚕砑墑e訪問權(quán)（例如，Everyone=讀?。?。注意NTFS文件系統(tǒng)，才能對個別文件設置ACL以及共享級別權(quán)限.激活系統(tǒng)的審計功能Windows2000的安全審計功能在默認安裝時是關(guān)閉的。激活此功能有利于管理員很好的掌握機器的狀態(tài),有利于系統(tǒng)的入侵檢測。你可以從日志中了解到機器是否在被人蠻力攻擊、非法的文件訪問等等。配置步驟如下：審核策略帳戶管理設置成功，失敗成功,失敗“開始">“設置">“管理工具”>“本地安全策略審核策略帳戶管理設置成功，失敗成功,失敗登錄事件登錄事件系統(tǒng)事件成功,失敗失敗成功，失敗成功，失敗失敗若想查看審核日志信息，可以用以下步驟:“程序”>“設置”>“控制面板">"關(guān)于應用軟件方面的建議Internet上下載并運行軟件時一定要謹慎,后門.如果您必須使用這些軟件，一定選擇可信度高的站點。不要輕易打開陌生人的郵件，特別是郵件中的附件。重要的數(shù)據(jù)一定要定期備份.附錄一、網(wǎng)絡上的參考資源微軟安全特性（中國微軟補丁下載(中國：CCERT安全資源：附錄二、windows2000服務配置參考服務全稱默認基準AlerterAlerter(服務全稱默認基準AlerterAlerter(警報器）自動禁用AppMgmtApplicationManagement（應用程序管理）手動禁用ClipSrvClipBook(剪貼簿）手動禁用EventSystemCOM+EventSystem（COM+事件系統(tǒng))手動手動BrowserComputerBrowser（計算機瀏覽器）自動禁用DHCPDHCPClient（DHCP客戶）自動自動DfsDistributed（分布式文件系統(tǒng)）僅在域控制器自動角色中啟用TrkWksDistributedLinkTrackingClient（分布式鏈接跟蹤客戶)自動自動TrkSrvDistributedLinkTrackingServer（分布式鏈接跟蹤服務器）手動禁用MSDTCDistributedTransactionCoordinator（分布式事務協(xié)調(diào)器）自動禁用DNSCacheDNSClient（DNS客戶）自動自動EventLogFaxNtFrsEventLog（)FaxService（傳真服務）（文件復制)手動禁用IISADMINIISAdminService（IIS管理服務）自動禁用CisvcSharedAccessIndexingService（索引服務）InternetConnectionSharing（Internet連接共享）手動手動禁用禁用IsmServIntersiteMessaging（站間消息傳遞）禁用禁用PolicyAgentKdcDmserverDmadminMessenger

IPSECPolicyAgent（IPSECService）（IPSEC策略代理程序（IPSEC服務）)KerberosKeyDistributionCenter(Kerberos密鑰分發(fā)中心）LicenseLoggingService（許可證記錄服務）LogicalDiskManager（邏輯磁盤管理器）LogicalDiskManagerAdministrativeService(邏輯磁盤管理器管理服務）Messenger（信使）

自動禁用僅在DC角色中禁用啟用手動手動自動禁用Netlogon

自動NetLogon(網(wǎng)絡登錄） 自動＊NetMeetingRemoteDesktopSharing（NetMeeting遠程MnmsrvcNetmanNetDDENetDDEdsdm序）SysmonLog序）SysmonLogPerformanceLogsandAlerts（性能日志和警報)手動手動PlugPLayPlugandPlay（即插即用)自動自動SpoolerPrintSpooler（打印后臺處理程序）自動僅在“角色中啟用ProtectedStorageProtectedStorage（受保護存儲）自動自動RSVPQoSAdmissionControl許可控制(RSVP))手動禁用

桌面共享)NetworkConnections(網(wǎng)絡連接）NetworkDDE(網(wǎng)絡DDE）NetworkDDEDSDM（網(wǎng)絡NetworkDDEDSDM）NTLMSecuritySupportProvider（NTLM安全支持提供程

手動禁用手動禁用打印”RasAutoRasManRpcSsRpclocator

eson（遠程訪問自動連接管理器）RemoteAccessConnectionManager（遠程訪問連接管理器）RemoteProcedureCall（遠程過程調(diào)用，RPC）RemoteProcedureCall(RPC）Locator（遠程過程調(diào)用(RPC）定位器

手動禁用僅在DC角色中手動啟用RemoteRegistryRemoteRegistryRemoteRegistryService(遠程注冊表服務）自動自動NtmsSvcRemovableStorage（可移動存儲）自動禁用RemoteAccessRoutingandRemoteAccess（路由和遠程訪問）禁用禁用SeclogonRunAsService（RunAs服務）自動禁用SamSsSecurityAccountsManager（安全帳戶管理器)自動自動WinMgmt手動禁用規(guī)范）WMIWindowsManagementInstrumentationDriverExtensions(Windows管理規(guī)范驅(qū)動程序擴展）手動手動W32TimeWindowsTime(Windows時間服務)自動自動*LanmanWorkstationWorkStation（工作站）自動自動W3svc僅在IIS角色中WorldWideWebPublishingService（萬維網(wǎng)發(fā)布服務）自動啟用LanmanserverServer（服務器)自動自動SMTPSVCeltProtocl）自動禁用ScardSvrSmartCard（智能卡） 手動禁用ScardDrvSmartCardHelper（智能卡助手） 手動禁用SENSSystemEventNotification（系統(tǒng)事件通) 自動自動ScheduleTaskScheduler（任務計劃程序） 自動禁用LmHostsTCP/IPNetBIOSHelperService(TCP/IPNetBIOS支持服自動自動務)TapiSrvTelephony