操作系統(tǒng)配置基準(zhǔn)

第38頁(yè)，共38頁(yè)操作系統(tǒng)配置基準(zhǔn)Windows2000系統(tǒng)安全配置標(biāo)準(zhǔn)系統(tǒng)補(bǔ)丁安裝標(biāo)準(zhǔn)Windows2000的與安全相關(guān)的補(bǔ)丁大致分三類(lèi)：ServicePack（補(bǔ)丁包）：ServicePack是經(jīng)過(guò)測(cè)試的所有修復(fù)程序、安全更新程序、關(guān)鍵更新程序以及更新程序的累積的集合。ServicePack還可能包含自產(chǎn)品發(fā)布以來(lái)針對(duì)內(nèi)部發(fā)現(xiàn)的問(wèn)題的其他修復(fù)以及設(shè)計(jì)上的更改或功能上的增加。ServicePack補(bǔ)丁包涵蓋了自發(fā)布之前的所有補(bǔ)丁，是重要的補(bǔ)丁集合。SecurityPatch（安全補(bǔ)丁）：SecurityPatch是針對(duì)特定問(wèn)題廣泛發(fā)布的修復(fù)程序，用于修復(fù)特定產(chǎn)品的與安全相關(guān)的漏洞。Microsoft在發(fā)布的安全公告中將SecurityPatch分級(jí)為嚴(yán)重、重要、中等、低四個(gè)等級(jí)。嚴(yán)重的安全補(bǔ)丁缺失，會(huì)造成蠕蟲(chóng)快速傳播(如振蕩波，沖擊波)，對(duì)系統(tǒng)本身和網(wǎng)絡(luò)造成重大影響，這類(lèi)補(bǔ)丁需要及時(shí)應(yīng)用到操作系統(tǒng)。Hotfix(修補(bǔ)程序)：Hotfix是針對(duì)某一個(gè)具體的系統(tǒng)漏洞或安全問(wèn)題而發(fā)布的專門(mén)解決該漏洞或安全問(wèn)題的小程序，通常稱為修補(bǔ)程序，如果在最近發(fā)布的ServicePack后面，出現(xiàn)安全方面的漏洞，通常對(duì)應(yīng)的補(bǔ)丁會(huì)以Hotfix修補(bǔ)程序的形式發(fā)布。補(bǔ)丁安裝的原則：新安裝或者重新安裝windows2000操作系統(tǒng)，必須安裝最新的ServicePack補(bǔ)丁集。必須安裝等級(jí)為嚴(yán)重和重要的SecurityPatch。有關(guān)安全方面的Hotfixes補(bǔ)丁應(yīng)當(dāng)及時(shí)安裝。安裝補(bǔ)丁不要留副本。注意：補(bǔ)丁更新要慎重，可能出現(xiàn)硬件不兼容，或者影響當(dāng)前的應(yīng)用系統(tǒng)，安裝補(bǔ)丁之前要經(jīng)過(guò)測(cè)試和驗(yàn)證。賬號(hào)和口令安全配置標(biāo)準(zhǔn)“密碼策略”配置要求通過(guò)“本地安全策略”調(diào)整默認(rèn)的“密碼策略”，提高系統(tǒng)的安全水平，“密碼策略”中各選項(xiàng)的具體要求如下表列舉：策略默認(rèn)設(shè)置安全設(shè)置強(qiáng)制執(zhí)行密碼歷史記錄記住1個(gè)密碼記住4個(gè)密碼密碼最長(zhǎng)期限42天42天密碼最短期限0天7天最短密碼長(zhǎng)度0個(gè)字符6個(gè)字符密碼必須符合復(fù)雜性要求禁用啟用為域中所有用戶使用可還原的加密來(lái)儲(chǔ)存密碼禁用禁用“密碼策略”的設(shè)置步驟如下圖：進(jìn)入“控制面板/管理工具/本地安全策略”，在“賬戶策略->密碼策略”。密碼復(fù)雜性配置要求在“密碼策略”中“密碼必須符合復(fù)雜性要求”選項(xiàng)啟動(dòng)后，系統(tǒng)將強(qiáng)制要求密碼的設(shè)置具備一定的強(qiáng)壯度，要求密碼至少包含以下四種類(lèi)別的字符：英語(yǔ)大寫(xiě)字母A,B,C,…Z英語(yǔ)小寫(xiě)字母a,b,c,…z西方阿拉伯?dāng)?shù)字0,1,2,…9非字母數(shù)字字符，如標(biāo)點(diǎn)符號(hào)，@,#,$,%,&,*等賬號(hào)安全控制要求“賬戶鎖定策略”配置要求有效的賬號(hào)鎖定策略有助于防止攻擊者猜出您賬號(hào)對(duì)應(yīng)的密碼。要求按照下表要求調(diào)整“賬戶鎖定策略”：策略默認(rèn)設(shè)置安全設(shè)置賬戶鎖定時(shí)間未定義30分鐘賬戶鎖定閾值05次無(wú)效登錄復(fù)位賬戶鎖定計(jì)數(shù)器未定義30分鐘之后賬號(hào)鎖定配置具體操作如下圖：進(jìn)入“控制面板/管理工具/本地安全策略”，在“賬戶策略->賬戶鎖定策略”。系統(tǒng)內(nèi)置賬號(hào)管理要求Windows2000系統(tǒng)中存在不可刪除的內(nèi)置賬號(hào)，包括Administrator和guest。對(duì)于管理員賬號(hào)，要求更改缺省賬戶名稱，對(duì)隸屬于Administrators組的賬號(hào)要嚴(yán)格監(jiān)控；要求禁用guest（來(lái)賓）賬號(hào)，以防止攻擊者通過(guò)利用已知的用戶名破壞遠(yuǎn)程服務(wù)器。其它賬號(hào)管理要求臨時(shí)的測(cè)試賬號(hào)和過(guò)期的無(wú)用賬號(hào)應(yīng)該在3個(gè)工作日內(nèi)及時(shí)刪除。（注：測(cè)試賬號(hào)和無(wú)用賬號(hào)不是系統(tǒng)默認(rèn)安裝時(shí)生成的，是系統(tǒng)操作過(guò)程中人為新增的賬號(hào)，從系統(tǒng)安全加固的角度來(lái)看，此類(lèi)賬號(hào)應(yīng)該及時(shí)刪除。）目錄和文件權(quán)限控制標(biāo)準(zhǔn)權(quán)限控制遵循以下幾個(gè)原則：權(quán)限是累計(jì)的拒絕的權(quán)限要比允許的權(quán)限高文件權(quán)限比文件夾權(quán)限高。目錄保護(hù)配置要求要求按照下表內(nèi)容對(duì)受保護(hù)的目錄權(quán)限進(jìn)行設(shè)置，缺省情況下，Administrators組和SYSTEM具有完全控制的權(quán)限，Everyone組具有讀取及運(yùn)行的權(quán)限，對(duì)于多個(gè)賬戶使用一臺(tái)主機(jī)，要求根據(jù)具體情況對(duì)重要的文件目錄進(jìn)行賬戶權(quán)限的設(shè)置，如下圖：注：下圖為目錄權(quán)限設(shè)置的示例，為C:\WINNT\system32目錄的設(shè)置，在實(shí)際服務(wù)器上進(jìn)行設(shè)置時(shí)，需要嚴(yán)格檢查重要目錄以及對(duì)應(yīng)的賬戶權(quán)限設(shè)置。建議進(jìn)行權(quán)限設(shè)置保護(hù)的重要目錄列表：保護(hù)的目錄應(yīng)用的權(quán)限%systemdrive%\Administrators：完全控制System：完全控制AuthenticatedUsers：讀取和執(zhí)行、列出文件夾內(nèi)容、讀取%SystemRoot%\Repair%SystemRoot%\Security%SystemRoot%\Temp%SystemRoot%\system32\Config%SystemRoot%\system32\LogfilesAdministrators：完全控制Creator/Owner：完全控制System：完全控制%systemdrive%\InetpubAdministrators：完全控制System：完全控制Everyone：讀取和執(zhí)行、列出文件夾內(nèi)容、讀取%SystemRoot%定義了Windows系統(tǒng)文件所在的路徑和文件夾名，%SystemDrive%定義了包含%systemroot%的驅(qū)動(dòng)器。文件保護(hù)配置要求要求根據(jù)下表對(duì)系統(tǒng)的敏感文件的權(quán)限進(jìn)行修改，以避免文件被惡意用戶執(zhí)行：缺省情況下，這些文件的安全設(shè)置屬性為：用戶組權(quán)限Administrators完全控制System完全控制Everyone讀取及運(yùn)行Users讀取及運(yùn)行對(duì)于Administrator管理員組和System組，缺省的權(quán)限設(shè)置已經(jīng)為完全控制，不需要更改，對(duì)于普通賬戶的讀取及運(yùn)行權(quán)限，需要對(duì)文件逐一進(jìn)行檢查并調(diào)整，如下圖：建議進(jìn)行權(quán)限設(shè)置保護(hù)的重要文件列表：文件基準(zhǔn)權(quán)限%SystemDrive%\Boot.iniAdministrators：完全控制

System：完全控制%SystemDrive%\NAdministrators：完全控制

System：完全控制%SystemDrive%\NtldrAdministrators：完全控制

System：完全控制%SystemDrive%\Io.sysAdministrators：完全控制

System：完全控制%SystemDrive%\Autoexec.batAdministrators：完全控制

System：完全控制

AuthenticatedUsers：讀取和執(zhí)行、列出文件夾內(nèi)容、讀取%systemdir%\configAdministrators：完全控制

System：完全控制

AuthenticatedUsers：讀取和執(zhí)行、列出文件夾內(nèi)容、讀取%SystemRoot%\system32\Append.exeAdministrators：完全控制%SystemRoot%\system32\Arp.exeAdministrators：完全控制%SystemRoot%\system32\At.exeAdministrators：完全控制%SystemRoot%\system32\Attrib.exeAdministrators：完全控制%SystemRoot%\system32\Cacls.exeAdministrators：完全控制%SystemRoot%\system32\Change.exeAdministrators：完全控制%SystemRoot%\system32\CAdministrators：完全控制%SystemRoot%\system32\Chglogon.exeAdministrators：完全控制%SystemRoot%\system32\Chgport.exeAdministrators：完全控制%SystemRoot%\system32\Chguser.exeAdministrators：完全控制%SystemRoot%\system32\Chkdsk.exeAdministrators：完全控制%SystemRoot%\system32\Chkntfs.exeAdministrators：完全控制%SystemRoot%\system32\Cipher.exeAdministrators：完全控制%SystemRoot%\system32\Cluster.exeAdministrators：完全控制%SystemRoot%\system32\Cmd.exeAdministrators：完全控制%SystemRoot%\system32\Compact.exeAdministrators：完全控制%SystemRoot%\system32\CAdministrators：完全控制%SystemRoot%\system32\Convert.exeAdministrators：完全控制%SystemRoot%\system32\Cscript.exeAdministrators：完全控制%SystemRoot%\system32\Debug.exeAdministrators：完全控制%SystemRoot%\system32\Dfscmd.exeAdministrators：完全控制%SystemRoot%\system32\DAdministrators：完全控制%SystemRoot%\system32\DAdministrators：完全控制%SystemRoot%\system32\Doskey.exeAdministrators：完全控制%SystemRoot%\system32\Edlin.exeAdministrators：完全控制%SystemRoot%\system32\Exe2bin.exeAdministrators：完全控制%SystemRoot%\system32\Expand.exeAdministrators：完全控制%SystemRoot%\system32\Fc.exeAdministrators：完全控制%SystemRoot%\system32\Find.exeAdministrators：完全控制%SystemRoot%\system32\Findstr.exeAdministrators：完全控制%SystemRoot%\system32\Finger.exeAdministrators：完全控制%SystemRoot%\system32\Forcedos.exeAdministrators：完全控制%SystemRoot%\system32\FAdministrators：完全控制%SystemRoot%\system32\Ftp.exeAdministrators：完全控制%SystemRoot%\system32\Hostname.exeAdministrators：完全控制%SystemRoot%\system32\Iisreset.exeAdministrators：完全控制%SystemRoot%\system32\Ipconfig.exeAdministrators：完全控制%SystemRoot%\system32\Ipxroute.exeAdministrators：完全控制%SystemRoot%\system32\Label.exeAdministrators：完全控制%SystemRoot%\system32\Logoff.exeAdministrators：完全控制%SystemRoot%\system32\Lpq.exeAdministrators：完全控制%SystemRoot%\system32\Lpr.exeAdministrators：完全控制%SystemRoot%\system32\Makecab.exeAdministrators：完全控制%SystemRoot%\system32\Mem.exeAdministrators：完全控制%SystemRoot%\system32\Mmc.exeAdministrators：完全控制%SystemRoot%\system32\MAdministrators：完全控制%SystemRoot%\system32\MAdministrators：完全控制%SystemRoot%\system32\Mountvol.exeAdministrators：完全控制%SystemRoot%\system32\Msg.exeAdministrators：完全控制%SystemRoot%\system32\Nbtstat.exeAdministrators：完全控制%SystemRoot%\system32\Net.exeAdministrators：完全控制%SystemRoot%\system32\Net1.exeAdministrators：完全控制%SystemRoot%\system32\Netsh.exeAdministrators：完全控制%SystemRoot%\system32\Netstat.exeAdministrators：完全控制%SystemRoot%\system32\Nslookup.exeAdministrators：完全控制%SystemRoot%\system32\Ntbackup.exeAdministrators：完全控制%SystemRoot%\system32\Ntsd.exeAdministrators：完全控制%SystemRoot%\system32\Pathping.exeAdministrators：完全控制%SystemRoot%\system32\Ping.exeAdministrators：完全控制%SystemRoot%\system32\Print.exeAdministrators：完全控制%SystemRoot%\system32\Query.exeAdministrators：完全控制%SystemRoot%\system32\Rasdial.exeAdministrators：完全控制%SystemRoot%\system32\Rcp.exeAdministrators：完全控制%SystemRoot%\system32\Recover.exeAdministrators：完全控制%SystemRoot%\system32\Regedit.exeAdministrators：完全控制%SystemRoot%\system32\Regedt32.exeAdministrators：完全控制%SystemRoot%\system32\Regini.exeAdministrators：完全控制%SystemRoot%\system32\Register.exeAdministrators：完全控制%SystemRoot%\system32\Regsvr32.exeAdministrators：完全控制%SystemRoot%\system32\Replace.exeAdministrators：完全控制%SystemRoot%\system32\Reset.exeAdministrators：完全控制%SystemRoot%\system32\Rexec.exeAdministrators：完全控制%SystemRoot%\system32\Route.exeAdministrators：完全控制%SystemRoot%\system32\Routemon.exeAdministrators：完全控制%SystemRoot%\system32\Router.exeAdministrators：完全控制%SystemRoot%\system32\Rsh.exeAdministrators：完全控制%SystemRoot%\system32\Runas.exeAdministrators：完全控制%SystemRoot%\system32\Runonce.exeAdministrators：完全控制%SystemRoot%\system32\Secedit.exeAdministrators：完全控制%SystemRoot%\system32\Setpwd.exeAdministrators：完全控制%SystemRoot%\system32\Shadow.exeAdministrators：完全控制%SystemRoot%\system32\Share.exeAdministrators：完全控制%SystemRoot%\system32\Snmp.exeAdministrators：完全控制%SystemRoot%\system32\Snmptrap.exeAdministrators：完全控制%SystemRoot%\system32\Subst.exeAdministrators：完全控制%SystemRoot%\system32\Telnet.exeAdministrators：完全控制%SystemRoot%\system32\Termsrv.exeAdministrators：完全控制%SystemRoot%\system32\Tftp.exeAdministrators：完全控制%SystemRoot%\system32\Tlntadmin.exeAdministrators：完全控制%SystemRoot%\system32\Tlntsess.exeAdministrators：完全控制%SystemRoot%\system32\Tlntsvr.exeAdministrators：完全控制%SystemRoot%\system32\Tracert.exeAdministrators：完全控制%SystemRoot%\system32\TAdministrators：完全控制%SystemRoot%\system32\Tsadmin.exeAdministrators：完全控制%SystemRoot%\system32\Tscon.exeAdministrators：完全控制%SystemRoot%\system32\Tsdiscon.exeAdministrators：完全控制%SystemRoot%\system32\Tskill.exeAdministrators：完全控制%SystemRoot%\system32\Tsprof.exeAdministrators：完全控制%SystemRoot%\system32\Tsshutdn.exeAdministrators：完全控制%SystemRoot%\system32\UAdministrators：完全控制%SystemRoot%\system32\Wscript.exeAdministrators：完全控制%SystemRoot%\system32\Xcopy.exeAdministrators：完全控制網(wǎng)絡(luò)與服務(wù)配置標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議安裝要求要求只運(yùn)行安裝TCP/IP網(wǎng)絡(luò)協(xié)議，不允許安裝IPX，AppleTalk等其他的網(wǎng)絡(luò)協(xié)議。TCP/IP協(xié)議棧安全配置將下表注冊(cè)表項(xiàng)作為HKLM\System\CurrentControlSet\Services\Tcpip|Parameters\的子項(xiàng)添加，這些注冊(cè)表設(shè)置有助于提高Windows2000TCP/IP協(xié)議棧抵御標(biāo)準(zhǔn)類(lèi)型的拒絕服務(wù)網(wǎng)絡(luò)攻擊的能力。項(xiàng)格式值（十進(jìn)制）EnableICMPRedirectDWORD0EnableSecurityFiltersDWORD1SynAttackProtectDWORD2EnableDeadGWDetectDWORD0EnablePMTUDiscoveryDWORD0KeepAliveTimeDWORD300,000DisableIPSourceRoutingDWORD2TcpMaxConnectResponseRetransmissionsDWORD2TcpMaxDataRetransmissionsDWORD3NoNameReleaseOnDemandDWORD1PerformRouterDiscoveryDWORD0TCPMaxPortsExhaustedDWORD5IIS服務(wù)要求只有需要提供Web服務(wù)的主機(jī)，才能安裝IIS服務(wù)，其他服務(wù)器不得安裝。服務(wù)管理配置標(biāo)準(zhǔn)Windows2000缺省安裝會(huì)創(chuàng)建很多默認(rèn)服務(wù)，并配置為在系統(tǒng)啟動(dòng)時(shí)運(yùn)行。實(shí)際運(yùn)行環(huán)境中并不需要運(yùn)行所有服務(wù)，而任何多余的服務(wù)都存在受攻擊的風(fēng)險(xiǎn)，因此要求禁用不必要的服務(wù)。下表列出的Windows2000系統(tǒng)提供基本管理功能之外不是必須開(kāi)放的，請(qǐng)根據(jù)系統(tǒng)的應(yīng)用的情況禁用下表中提到的服務(wù)：服務(wù)服務(wù)功能實(shí)現(xiàn)BootInformationNegotiationLayer與RemoteInstallationService(RIS)一起使用，除有需要通過(guò)RIS安裝操作系統(tǒng)，否則不要運(yùn)行。Indexing負(fù)責(zé)索引磁盤(pán)上的文檔和文檔屬性，并且在一個(gè)目錄中保存信息，使得你在以后可以搜索。ClipBookClipBook支持ClipBookViewer程序，該程序可以允許剪貼頁(yè)被遠(yuǎn)程計(jì)算機(jī)上的ClipBook瀏覽，可以使得用戶能夠通過(guò)網(wǎng)絡(luò)連接來(lái)剪切和粘貼文本和圖形。DHCPclient通過(guò)注冊(cè)和更新IP地址和DNS域名來(lái)管理網(wǎng)絡(luò)配置。DNSServer負(fù)責(zé)解答DNS域名查詢Fax它負(fù)責(zé)管理傳真的發(fā)送和接收。SingleInstanceStorageGroveler該服務(wù)和RemoteInstallation服務(wù)一起使用.掃描單一實(shí)例存儲(chǔ)卷來(lái)尋找重復(fù)的文件,并將重復(fù)文件指向某個(gè)數(shù)據(jù)存儲(chǔ)點(diǎn)以節(jié)省磁盤(pán)空間。InternetAuthenticationService除了在撥號(hào)和VPN服務(wù)器上，該服務(wù)不應(yīng)該使用。TCP/IPNETBIOSHelper該服務(wù)允許在TCP/IP網(wǎng)絡(luò)上進(jìn)行NETBIOS通信。NetMeetingRemoteDesktopSharing允許授權(quán)用戶通過(guò)使用NetMeeting來(lái)遠(yuǎn)程訪問(wèn)你的Windows桌面。RemoteRegistry使得經(jīng)過(guò)授權(quán)的管理員能夠?qū)ξ挥谶h(yuǎn)程主機(jī)上的注冊(cè)表項(xiàng)目進(jìn)行操作,對(duì)于一些功能,例如遠(yuǎn)程性能監(jiān)視,是需要RemoteRegistry。InternetConnectionSharing將某計(jì)算機(jī)的Internet聯(lián)機(jī)與其他一些計(jì)算機(jī)進(jìn)行共享。SimpleTCP/IP這個(gè)服務(wù)是作為基本的TCP/IP服務(wù)而運(yùn)行,打開(kāi)了TCP端口7,9,13,17,19。Telephony提供電話和基于IP地語(yǔ)音連接。TrivialFTPDaemontftp不經(jīng)驗(yàn)證簡(jiǎn)單ftp服務(wù)。Telnet遠(yuǎn)程登錄應(yīng)該禁止。WindowsInternetNameService是微軟用于NetBIOS網(wǎng)絡(luò)的名稱服務(wù)。下列服務(wù)是可能用到的服務(wù)，請(qǐng)根據(jù)具體運(yùn)行環(huán)境確認(rèn)是否需要：SMTP服務(wù)SMTP(SimpleMailTransferProtocol)協(xié)議，是簡(jiǎn)單郵件傳輸協(xié)議，用在郵件服務(wù)器上，一般服務(wù)器上不必啟用。SNMP服務(wù)SNMP(SimpleNetworkManagementProtocol)協(xié)議，是網(wǎng)絡(luò)管理協(xié)議，在許多情況下，管理應(yīng)用程序都需要在每個(gè)服務(wù)器上安裝一個(gè)代理。一般地，這些代理將使用SNMP將警報(bào)消息發(fā)回到一個(gè)中央管理服務(wù)器。如果存在網(wǎng)管系統(tǒng)需要管理代理，就要啟動(dòng)SNMP服務(wù),需要更改缺省communitystring。Messenger信使服務(wù)信使服務(wù)用來(lái)傳輸客戶端和服務(wù)器之間的NetSend和Alerter（報(bào)警器）服務(wù)消息。安全選項(xiàng)配置標(biāo)準(zhǔn)請(qǐng)按照下表中的要求設(shè)置Windows2000系統(tǒng)中的安全選項(xiàng)：安全選項(xiàng)注釋安全設(shè)置LANManager身份驗(yàn)證級(jí)別確定網(wǎng)絡(luò)登錄時(shí)將使用哪個(gè)質(zhì)詢/響應(yīng)身份驗(yàn)證協(xié)議。該選項(xiàng)會(huì)影響客戶端使用的身份驗(yàn)證協(xié)議的級(jí)別、協(xié)商的會(huì)話安全級(jí)別，以及服務(wù)器所接受的身份驗(yàn)證級(jí)別。發(fā)送LM&NTLM響應(yīng)，如果已協(xié)商，使用NTLMv2安全會(huì)話對(duì)匿名連接的額外限制確定匿名連接到計(jì)算機(jī)應(yīng)具有的其他權(quán)限。不允許枚舉賬號(hào)和共享在斷開(kāi)會(huì)話之前所需的空閑時(shí)間確定“服務(wù)器消息塊(SMB)”會(huì)話因?yàn)椴换顒?dòng)而被掛起之前，在該會(huì)話中必須經(jīng)過(guò)的連續(xù)空閑時(shí)間。15分鐘如果無(wú)法記錄安全審計(jì)則立即關(guān)閉系統(tǒng)確定當(dāng)系統(tǒng)無(wú)法記錄安全事件時(shí)是否關(guān)閉系統(tǒng)。停用登錄屏幕上不要顯示上次登錄的用戶名確定是否將上次登錄到計(jì)算機(jī)的用戶名顯示在Windows登錄畫(huà)面中。啟用在關(guān)機(jī)時(shí)清理虛擬內(nèi)存頁(yè)面交換文件確定在關(guān)閉系統(tǒng)時(shí)是否清除虛擬內(nèi)存頁(yè)面文件。啟用發(fā)送未加密的密碼到第三方SMB服務(wù)器如果啟用該策略，將允許“服務(wù)器消息塊(SMB)”重定向器向身份驗(yàn)證期間不支持密碼加密的非MicrosoftSMB服務(wù)器發(fā)送明文密碼。停用在密碼到期前提示用戶更改密碼確定提前多長(zhǎng)時(shí)間（單位為天）警告用戶其密碼將過(guò)期。通過(guò)這種提前警告，用戶可以有時(shí)間創(chuàng)建具有足夠安全性的密碼。14天具體設(shè)置方法為：進(jìn)入“控制面板/管理工具/本地安全策略”，在“本地策略->安全選項(xiàng)”中完成上表提及的各個(gè)“安全選項(xiàng)”的調(diào)整。日志與審計(jì)配置標(biāo)準(zhǔn)“審核策略”配置要求Windows2000系統(tǒng)的缺省配置是不開(kāi)任何安全審核，要求通過(guò)開(kāi)啟“審核策略”，記錄以下操作：審核策略默認(rèn)配置安全設(shè)置審核策略更改無(wú)審核成功，失敗審核登錄事件無(wú)審核成功，失敗審核對(duì)象訪問(wèn)無(wú)審核失敗審核過(guò)程追蹤無(wú)審核無(wú)審核審核目錄服務(wù)訪問(wèn)無(wú)審核失敗審核特權(quán)使用無(wú)審核失敗審核系統(tǒng)事件無(wú)審核成功，失敗審核賬戶登錄事件無(wú)審核成功，失敗審核賬戶管理無(wú)審核成功，失敗配置方法：通過(guò)“控制面板/管理工具/本地安全策略”，在“本地策略->審核策略”中打開(kāi)相應(yīng)的審核選項(xiàng)：日志屬性配置要求請(qǐng)根據(jù)下表調(diào)整Windows2000系統(tǒng)的各種日志屬性：日志類(lèi)別安全設(shè)置應(yīng)用程序日志大小10240K當(dāng)達(dá)到最大日志大小時(shí)不改寫(xiě)事件（手動(dòng)清除日志）安全性日志大小10240K當(dāng)達(dá)到最大日志大小時(shí)不改寫(xiě)事件（手動(dòng)清除日志）系統(tǒng)日志大小10240K當(dāng)達(dá)到最大日志大小時(shí)不改寫(xiě)事件（手動(dòng)清除日志）其它安全配置參考使用NTFS文件系統(tǒng)NTFS文件系統(tǒng)比FAT和FAT32強(qiáng)壯和穩(wěn)定，不易崩潰，Windows2000提供了基于NTFS文件系統(tǒng)的對(duì)文件和目錄的訪問(wèn)控制列表(ACL)。請(qǐng)確保所有的磁盤(pán)卷都使用了NTFS文件系統(tǒng)。共享管理要求停用所有不必要的文件共享，特別注意系統(tǒng)默認(rèn)啟用的隱含系統(tǒng)共享，如C$、D$、IPC$等。關(guān)閉默認(rèn)共享的方法有兩種：在服務(wù)配置中禁用Server服務(wù)；更改注冊(cè)表鍵值：在HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\下，增加REG_DWORD類(lèi)型的AutoShareServer鍵，值為0。啟用屏幕保護(hù)請(qǐng)?jiān)O(shè)置帶密碼的屏幕保護(hù)，并將時(shí)間設(shè)定為5分鐘，使得系統(tǒng)在無(wú)人操作5分鐘后自動(dòng)啟用屏幕保護(hù)，再次進(jìn)入系統(tǒng)需要認(rèn)證。WindowsXP安全配置標(biāo)準(zhǔn)系統(tǒng)補(bǔ)丁安裝標(biāo)準(zhǔn)WindowsXP的與安全相關(guān)的補(bǔ)丁大致分三類(lèi)：ServicePack（補(bǔ)丁包）：ServicePack是經(jīng)過(guò)測(cè)試的所有修復(fù)程序、安全更新程序、關(guān)鍵更新程序以及更新程序的累積的集合。ServicePack還可能包含自產(chǎn)品發(fā)布以來(lái)針對(duì)內(nèi)部發(fā)現(xiàn)的問(wèn)題的其他修復(fù)以及設(shè)計(jì)上的更改或功能上的增加。ServicePack補(bǔ)丁包涵蓋了自發(fā)布之前的所有補(bǔ)丁，是重要的補(bǔ)丁集合。SecurityPatch（安全補(bǔ)丁）：SecurityPatch是針對(duì)特定問(wèn)題廣泛發(fā)布的修復(fù)程序，用于修復(fù)特定產(chǎn)品的與安全相關(guān)的漏洞。Microsoft在發(fā)布的安全公告中將SecurityPatch分級(jí)為嚴(yán)重、重要、中等、低四個(gè)等級(jí)。嚴(yán)重的安全補(bǔ)丁缺失，會(huì)造成蠕蟲(chóng)快速傳播(如振蕩波，沖擊波)，對(duì)系統(tǒng)本身和網(wǎng)絡(luò)造成重大影響，這類(lèi)補(bǔ)丁需要及時(shí)應(yīng)用到操作系統(tǒng)。Hotfix(修補(bǔ)程序)：Hotfix是針對(duì)某一個(gè)具體的系統(tǒng)漏洞或安全問(wèn)題而發(fā)布的專門(mén)解決該漏洞或安全問(wèn)題的小程序，通常稱為修補(bǔ)程序，如果在最近發(fā)布的ServicePack后面，出現(xiàn)安全方面的漏洞，通常對(duì)應(yīng)的補(bǔ)丁會(huì)以Hotfix修補(bǔ)程序的形式發(fā)布。補(bǔ)丁安裝的原則：新安裝或者重新安裝windowsXP操作系統(tǒng)，必須安裝最新的ServicePack補(bǔ)丁集。必須安裝等級(jí)為嚴(yán)重和重要的SecurityPatch。有關(guān)安全方面的Hotfixes補(bǔ)丁應(yīng)當(dāng)及時(shí)安裝。最新的安全補(bǔ)丁發(fā)布與升級(jí)步驟，以公司內(nèi)部網(wǎng)上提供的信息為準(zhǔn)。注意：補(bǔ)丁更新要慎重，可能出現(xiàn)硬件不兼容，或者影響當(dāng)前的應(yīng)用系統(tǒng)，安裝補(bǔ)丁之前要經(jīng)過(guò)測(cè)試和驗(yàn)證。安全中心配置標(biāo)準(zhǔn)防火墻啟用要求WindowsXP安裝了SP2補(bǔ)丁會(huì)有安全中心，包括主機(jī)防火墻，自動(dòng)更新，病毒防護(hù)三個(gè)主要功能，其中，要求啟用Windows防火墻。防火墻啟用方式如下圖：自動(dòng)更新啟用要求安全中心還包括自動(dòng)更新功能，定期地檢查針對(duì)計(jì)算機(jī)的最新的重要更新，然后自動(dòng)安裝這些更新。重要更新（包括關(guān)鍵更新和安全更新）應(yīng)該在發(fā)行后盡快安裝到計(jì)算機(jī)上，保護(hù)您計(jì)算機(jī)免受病毒攻擊和其他安全威脅。要求啟用自動(dòng)更新功能，方法如圖所示：“密碼策略”配置要求通過(guò)“本地安全策略”調(diào)整默認(rèn)的“密碼策略”，提高系統(tǒng)的安全水平，“密碼策略”中各選項(xiàng)的具體要求如下表列舉：策略默認(rèn)設(shè)置安全設(shè)置強(qiáng)制密碼歷史記住0個(gè)密碼記住4個(gè)密碼密碼最長(zhǎng)存留期42天42天密碼最短存留期0天7天最短密碼長(zhǎng)度0個(gè)字符6個(gè)字符密碼必須符合復(fù)雜性要求禁用啟用為域中所有用戶使用可還原的加密來(lái)儲(chǔ)存密碼已停用已停用“密碼策略”的設(shè)置步驟如下圖：進(jìn)入“控制面板/性能和維護(hù)/管理工具/本地安全策略”，在“賬戶策略->密碼策略”。密碼復(fù)雜性配置要求在“密碼策略”中“密碼必須符合復(fù)雜性要求”選項(xiàng)啟動(dòng)后，系統(tǒng)將強(qiáng)制要求密碼的設(shè)置具備一定的強(qiáng)壯度，要求密碼至少包含以下四種類(lèi)別的字符：英語(yǔ)大寫(xiě)字母A,B,C,…Z英語(yǔ)小寫(xiě)字母a,b,c,…z西方阿拉伯?dāng)?shù)字0,1,2,…9非字母數(shù)字字符，如標(biāo)點(diǎn)符號(hào)，@,#,$,%,&,*等賬號(hào)安全控制要求“賬戶鎖定策略”配置要求有效的賬號(hào)鎖定策略有助于防止攻擊者猜出您賬號(hào)對(duì)應(yīng)的密碼。要求按照下表要求調(diào)整“賬戶鎖定策略”：策略默認(rèn)設(shè)置安全設(shè)置賬戶鎖定時(shí)間未定義30分鐘賬戶鎖定閾值05次無(wú)效登錄復(fù)位賬戶鎖定計(jì)數(shù)器未定義30分鐘之后賬號(hào)鎖定配置具體操作如下圖：進(jìn)入“控制面板/性能和維護(hù)/管理工具/本地安全策略”，在“賬戶策略->賬戶鎖定策略”。系統(tǒng)內(nèi)置賬號(hào)管理要求WindowsXP系統(tǒng)中存在不可刪除的內(nèi)置賬號(hào)，包括Administrator和guest。對(duì)于管理員賬號(hào)，要求更改缺省賬戶名稱，對(duì)隸屬于Administrators組的賬號(hào)要嚴(yán)格監(jiān)控；要求禁用guest（來(lái)賓）賬號(hào)，以防止攻擊者通過(guò)利用已知的用戶名破壞遠(yuǎn)程服務(wù)器。服務(wù)管理配置標(biāo)準(zhǔn)WindowsXP缺省安裝會(huì)創(chuàng)建很多默認(rèn)服務(wù)并配置為在系統(tǒng)啟動(dòng)時(shí)運(yùn)行。實(shí)際運(yùn)行環(huán)境中并不需要運(yùn)行所有服務(wù)，而任何多余的服務(wù)都是潛在的受攻擊點(diǎn)，因此要求禁用不必要的服務(wù)。下表列出的服務(wù)是WindowsXP系統(tǒng)提供基本管理功能所必需的，請(qǐng)根據(jù)系統(tǒng)的應(yīng)用的情況禁用下表中沒(méi)有提到的服務(wù)：服務(wù)啟動(dòng)類(lèi)型服務(wù)功能實(shí)現(xiàn)COM+事件服務(wù)手動(dòng)允許組件服務(wù)的管理DHCP客戶端自動(dòng)更新動(dòng)態(tài)DNS中的記錄所需DistributedLinkTrackingClient分布式鏈接跟蹤客戶端自動(dòng)用來(lái)維護(hù)NTFS卷上的鏈接DNS客戶端自動(dòng)允許解析DNS名稱EventLog事件日志自動(dòng)允許在事件日志中查看事件日志消息邏輯磁盤(pán)管理器自動(dòng)需要它來(lái)確保動(dòng)態(tài)磁盤(pán)信息保持最新邏輯磁盤(pán)管理器管理服務(wù)手動(dòng)需要它以執(zhí)行磁盤(pán)管理Netlogon自動(dòng)加入域時(shí)所需網(wǎng)絡(luò)連接手動(dòng)網(wǎng)絡(luò)通訊所需性能日志和警報(bào)手動(dòng)收集計(jì)算機(jī)的性能數(shù)據(jù)，向日志中寫(xiě)入或觸發(fā)警報(bào)即插即用自動(dòng)WindowsXP標(biāo)識(shí)和使用系統(tǒng)硬件時(shí)所需受保護(hù)的存儲(chǔ)區(qū)自動(dòng)需要用它保護(hù)敏感數(shù)據(jù)，如私鑰遠(yuǎn)程過(guò)程調(diào)用(RPC)自動(dòng)WindowsXP中的內(nèi)部過(guò)程所需安全賬戶管理器自動(dòng)存儲(chǔ)本地安全賬戶的賬戶信息系統(tǒng)事件通知自動(dòng)在事件日志中記錄條目所需TCP/IPNetBIOSHelper服務(wù)自動(dòng)在組策略中進(jìn)行軟件分發(fā)所需（可分發(fā)修補(bǔ)程序）Windows管理規(guī)范驅(qū)動(dòng)程序手動(dòng)使用“性能日志和警報(bào)”實(shí)現(xiàn)性能警報(bào)時(shí)所需Windows時(shí)間服務(wù)自動(dòng)需要它來(lái)保證Kerberos身份驗(yàn)證有一致的功能工作站自動(dòng)加入域時(shí)所需安全選項(xiàng)配置標(biāo)準(zhǔn)請(qǐng)按照下表中的要求設(shè)置WindowsXP系統(tǒng)中的安全選項(xiàng)：安全選項(xiàng)安全設(shè)置賬戶:使用空白密碼的本地賬戶只允許進(jìn)行控制臺(tái)登錄已啟用賬戶:重命名系統(tǒng)管理員賬戶重命名賬戶:重命名來(lái)賓賬戶重命名設(shè)備:允許不登錄移除已禁用設(shè)備:允許格式化和彈出可移動(dòng)媒體Administrators設(shè)備:防止用戶安裝打印機(jī)驅(qū)動(dòng)程序已禁用設(shè)備:只有本地登錄的用戶才能訪問(wèn)CD-ROM已啟用設(shè)備:只有本地登錄的用戶才能訪問(wèn)軟盤(pán)已啟用設(shè)備:未簽名驅(qū)動(dòng)程序的安裝操作允許安裝但發(fā)出警告交互式登錄:不顯示上次的用戶名已啟用交互式登錄:不需要按CTRL+ALT+DEL已禁用交互式登錄:用戶試圖登錄時(shí)消息文字此系統(tǒng)限制為僅授權(quán)用戶。嘗試進(jìn)行未經(jīng)授權(quán)訪問(wèn)的個(gè)人將受到起訴。交互式登錄:可被緩存的前次登錄個(gè)數(shù)(在域控制器不可用的情況下)1交互式登錄:在密碼到期前提示用戶更改密碼14天Microsoft網(wǎng)絡(luò)客戶:發(fā)送未加密的密碼到第三方SMB服務(wù)器。已禁用Microsoft網(wǎng)絡(luò)服務(wù)器:在掛起會(huì)話之前所需的空閑時(shí)間15分鐘Microsoft網(wǎng)絡(luò)服務(wù)器:數(shù)字簽名的通信（若客戶同意）已啟用Microsoft網(wǎng)絡(luò)服務(wù)器:當(dāng)?shù)卿洉r(shí)間用完時(shí)自動(dòng)注銷(xiāo)用戶已禁用網(wǎng)絡(luò)訪問(wèn):允許匿名SID/名稱轉(zhuǎn)換已禁用網(wǎng)絡(luò)訪問(wèn):不允許SAM賬戶和共享的匿名枚舉已啟用網(wǎng)絡(luò)訪問(wèn):不允許為網(wǎng)絡(luò)身份驗(yàn)證儲(chǔ)存憑據(jù)或.NETPassports已啟用網(wǎng)絡(luò)訪問(wèn):限制匿名訪問(wèn)命名管道和共享已啟用網(wǎng)絡(luò)訪問(wèn):本地賬戶的共享和安全模式經(jīng)典-本地用戶以自己的身份驗(yàn)證網(wǎng)絡(luò)安全:不要在下次更改密碼時(shí)存儲(chǔ)LANManager的哈希值已啟用網(wǎng)絡(luò)安全:在超過(guò)登錄時(shí)間后強(qiáng)制注銷(xiāo)已禁用網(wǎng)絡(luò)安全:基于NTLMSSP（包括安全RPC）客戶的最小會(huì)話安全要求NTLMv2會(huì)話安全要求128-位加密關(guān)機(jī):允許在未登錄前關(guān)機(jī)已禁用關(guān)機(jī):清理虛擬內(nèi)存頁(yè)面文件已啟用具體設(shè)置方法為：進(jìn)入“控制面板/性能和維護(hù)/管理工具/本地安全策略”，在“本地策略->安全選項(xiàng)”中完成上表提及的各個(gè)“安全選項(xiàng)”的調(diào)整。安全審計(jì)配置標(biāo)準(zhǔn)WindowsXP系統(tǒng)的缺省配置是不開(kāi)任何安全審核，要求通過(guò)開(kāi)啟“審核策略”，記錄以下操作：審核策略默認(rèn)配置安全設(shè)置審核登錄事件無(wú)審核成功，失敗審核賬戶登錄事件無(wú)審核成功，失敗配置方法：通過(guò)“控制面板/管理工具/本地安全策略”，在“本地策略->審核策略”中打開(kāi)相應(yīng)的審核選項(xiàng)：其它安全配置參考使用NTFS文件系統(tǒng)NTFS文件系統(tǒng)比FAT和FAT32強(qiáng)壯和穩(wěn)定，不易崩潰，WindowsXP提供了基于NTFS文件系統(tǒng)的對(duì)文件和目錄的訪問(wèn)控制列表(ACL)。請(qǐng)確保所有的磁盤(pán)卷都使用了NTFS文件系統(tǒng)。共享管理要求停用所有不必要的文件共享，特別注意系統(tǒng)默認(rèn)啟用的隱含系統(tǒng)共享，如C$、D$、IPC$等。關(guān)閉默認(rèn)共享的方法有兩種：在服務(wù)配置中禁用Server服務(wù)；更改注冊(cè)表鍵值：在HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\下，增加REG_DWORD類(lèi)型的AutoShareServer鍵，值為0。開(kāi)機(jī)密碼安全設(shè)置為系統(tǒng)啟動(dòng)設(shè)置BIOS開(kāi)機(jī)密碼。屏蔽CDROM自動(dòng)運(yùn)行避免光盤(pán)上惡意程序自動(dòng)運(yùn)行，設(shè)置CDROM的屬性，禁止自動(dòng)運(yùn)行。啟用屏幕保護(hù)請(qǐng)?jiān)O(shè)置帶密碼的屏幕保護(hù)，并將時(shí)間設(shè)定為5分鐘，使得系統(tǒng)在無(wú)人操作5分鐘后自動(dòng)啟用屏幕保護(hù)，再次進(jìn)入系統(tǒng)需要認(rèn)證。Windows2003安全配置標(biāo)準(zhǔn)系統(tǒng)補(bǔ)丁安裝標(biāo)準(zhǔn)Windows2003的與安全相關(guān)的補(bǔ)丁大致分三類(lèi)：1.ServicePack（補(bǔ)丁包）：ServicePack是經(jīng)過(guò)測(cè)試的所有修復(fù)程序、安全更新程序、關(guān)鍵更新程序以及更新程序的累積的集合。ServicePack還可能包含自產(chǎn)品發(fā)布以來(lái)針對(duì)內(nèi)部發(fā)現(xiàn)的問(wèn)題的其他修復(fù)以及設(shè)計(jì)上的更改或功能上的增加。ServicePack補(bǔ)丁包涵蓋了自發(fā)布之前的所有補(bǔ)丁，是重要的補(bǔ)丁集合。2.SecurityPatch（安全補(bǔ)丁）：SecurityPatch是針對(duì)特定問(wèn)題廣泛發(fā)布的修復(fù)程序，用于修復(fù)特定產(chǎn)品的與安全相關(guān)的漏洞。Microsoft在發(fā)布的安全公告中將SecurityPatch分級(jí)為嚴(yán)重、重要、中等、低四個(gè)等級(jí)。嚴(yán)重的安全補(bǔ)丁缺失，會(huì)造成蠕蟲(chóng)快速傳播(如振蕩波，沖擊波)，對(duì)系統(tǒng)本身和網(wǎng)絡(luò)造成重大影響，這類(lèi)補(bǔ)丁需要及時(shí)應(yīng)用到操作系統(tǒng)。3.Hotfix(修補(bǔ)程序)：Hotfix是針對(duì)某一個(gè)具體的系統(tǒng)漏洞或安全問(wèn)題而發(fā)布的專門(mén)解決該漏洞或安全問(wèn)題的小程序，通常稱為修補(bǔ)程序，如果在最近發(fā)布的ServicePack后面，出現(xiàn)安全方面的漏洞，通常對(duì)應(yīng)的補(bǔ)丁會(huì)以Hotfix修補(bǔ)程序的形式發(fā)布。補(bǔ)丁安裝的原則新安裝或者重新安裝windows2003操作系統(tǒng)，必須安裝最新的ServicePack補(bǔ)丁集。必須安裝等級(jí)為嚴(yán)重和重要的SecurityPatch。有關(guān)安全方面的Hotfixes補(bǔ)丁應(yīng)當(dāng)及時(shí)安裝。最新的安全補(bǔ)丁發(fā)布與升級(jí)步驟，以公司內(nèi)部網(wǎng)上提供的信息為準(zhǔn)。注意：補(bǔ)丁更新要慎重，可能出現(xiàn)硬件不兼容，或者影響當(dāng)前的應(yīng)用系統(tǒng)，安裝補(bǔ)丁之前要經(jīng)過(guò)測(cè)試和驗(yàn)證。賬號(hào)和口令安全配置標(biāo)準(zhǔn)“密碼策略”配置要求通過(guò)“本地安全策略”調(diào)整默認(rèn)的“密碼策略”，提高系統(tǒng)的安全水平，“密碼策略”中各選項(xiàng)的具體要求如下表列舉：策略默認(rèn)設(shè)置安全設(shè)置強(qiáng)制執(zhí)行密碼歷史記錄記住1個(gè)密碼記住4個(gè)密碼密碼最長(zhǎng)期限42天42天密碼最短期限0天7天最短密碼長(zhǎng)度0個(gè)字符6個(gè)字符密碼必須符合復(fù)雜性要求禁用啟用為域中所有用戶使用可還原的加密來(lái)儲(chǔ)存密碼禁用禁用“密碼策略”的設(shè)置步驟如下圖：進(jìn)入“控制面板/管理工具/本地安全策略”，在“賬戶策略->密碼策略”。密碼復(fù)雜性配置要求在“密碼策略”中“密碼必須符合復(fù)雜性要求”選項(xiàng)啟動(dòng)后，系統(tǒng)將強(qiáng)制要求密碼的設(shè)置具備一定的強(qiáng)壯度，要求密碼至少包含以下四種類(lèi)別的字符：英語(yǔ)大寫(xiě)字母A,B,C,…Z英語(yǔ)小寫(xiě)字母a,b,c,…z西方阿拉伯?dāng)?shù)字0,1,2,…9非字母數(shù)字字符，如標(biāo)點(diǎn)符號(hào)，@,#,$,%,&,*等賬號(hào)安全控制要求“賬戶鎖定策略”配置要求：有效的賬號(hào)鎖定策略有助于防止攻擊者猜出您賬號(hào)對(duì)應(yīng)的密碼。要求按照下表要求調(diào)整“賬戶鎖定策略”：策略默認(rèn)設(shè)置安全設(shè)置賬戶鎖定時(shí)間未定義30分鐘賬戶鎖定閾值05次無(wú)效登錄復(fù)位賬戶鎖定計(jì)數(shù)器未定義30分鐘之后賬號(hào)鎖定配置具體操作如下圖：進(jìn)入“控制面板/管理工具/本地安全策略”，在“賬戶策略->賬戶鎖定策略”。系統(tǒng)內(nèi)置賬號(hào)管理要求：Windows2003系統(tǒng)中存在不可刪除的內(nèi)置賬號(hào)，包括Administrator和guest。對(duì)于管理員賬號(hào)，要求更改缺省賬戶名稱，對(duì)隸屬于Administrators組的賬號(hào)要嚴(yán)格監(jiān)控；要求禁用guest（來(lái)賓）賬號(hào)，以防止攻擊者通過(guò)利用已知的用戶名破壞遠(yuǎn)程服務(wù)器。其它賬號(hào)管理要求：臨時(shí)的測(cè)試賬號(hào)和過(guò)期的無(wú)用賬號(hào)應(yīng)該在3個(gè)工作日內(nèi)及時(shí)刪除。（注：測(cè)試賬號(hào)和無(wú)用賬號(hào)不是系統(tǒng)默認(rèn)安裝時(shí)生成的，是系統(tǒng)操作過(guò)程中人為新增的賬號(hào)，從