收藏
下载资源

4《中国石化windows服务器系统安全配置指南》(信系[200

上传人:小** 文档编号:89120523 上传时间:2019-05-18 格式:DOC 页数:10 大小:48KB
返回 下载 相关 举报
4《中国石化windows服务器系统安全配置指南》(信系[200_第1页
第1页 / 共10页
4《中国石化windows服务器系统安全配置指南》(信系[200_第2页
第2页 / 共10页
4《中国石化windows服务器系统安全配置指南》(信系[200_第3页
第3页 / 共10页
4《中国石化windows服务器系统安全配置指南》(信系[200_第4页
第4页 / 共10页
4《中国石化windows服务器系统安全配置指南》(信系[200_第5页
第5页 / 共10页
点击查看更多>>
资源描述

《4《中国石化windows服务器系统安全配置指南》(信系[200》由会员分享,可在线阅读,更多相关《4《中国石化windows服务器系统安全配置指南》(信系[200(10页珍藏版)》请在金锄头文库上搜索。

1、 本文由CAPFyn贡献 doc文档可能在WAP端浏览体验不佳。建议您优先选择TXT,或下载源文件到本机查看。 中国石化 Windows 服务器系统安全配置指南 服务器系统安全配置指南 系统安全配置 V 1.1 2007 年 05 月 16 日 -1- 目 1 录 概述 - 3 概述 1.1 1.2 1.3 1.4 适用范围 - 3 实施 - 3 例外条款 - 3 检查和维护 - 3 - 2 3 适用版本 - 4 适用版本 用户账号控制 - 4 3.1 3.2 3.3 3.4 3.5 密码策略 - 4 复杂性要求 - 4 账户锁定策略 - 5 内置默认账户安全 - 5 安全选项策略 - 6 -

2、 4 注册表安全配置 - 8 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 注册表访问授权 - 8 禁止匿名访问注册表 - 9 针对网络攻击的安全考虑事项- 9 禁用 8.3 格式文件名的自动生成 - 10 禁用 LMHASH 创建 - 10 配置 NTLMSSP 安全 - 11 禁用自动运行功能 - 11 附加的注册表安全配置 - 11 - 5 服务管理 - 12 服务管理 5.1 5.2 成员服务器 - 12 域控制器 - 13 - 6 文件/目录控制 文件 目录控制 - 14 6.1 6.2 目录保护 - 14 文件保护 - 15 - 7 服务器操作系统补丁管理 - 1

3、9 7.1 7.2 确定修补程序当前版本状态 - 19 部署修补程序 - 19 - 8 9 系统审计日志 - 19 其它配置安全 - 20 9.1 9.2 9.3 9.4 确保所有的磁盘卷使用 NTFS 文件系统 - 20 系统启动设置 - 20 屏幕保护设置 - 21 远程管理访问要求 - 21 - -2- 1 概述 本规范规定了中国石化范围内安装有 Windows 操作系统的主机应当遵循的 操作系统安全性设置标准,旨在指导系统管理人员进行 Windows 操作系统的安 全配置。 1.1 适用范围 本规范适用于中国石油化工股份有限公司范围内运行的 Windows 2000 Server, W

4、indows 2003 服务器系统。集团公司及集团公司所属部门和单位参照 本规范执行。 1.2 实施 本规范由中国石化股份公司信息系统管理部统一解释。本规范自正式发布之 日起执行。 1.3 例外条款 欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和 原因,送交中国石化信息系统管理部进行审批备案。 1.4 检查和维护 根据中国石化经营活动的需要,每年检查和评估本标准,并做出适当更新。 如果在突发事件处理过程中,发现需对本标准进行变更,也需要进行本标准的维 护。 本标准的变更草案由中国石化信息系统管理部负责进行审核批准。 -3- 2 适用版本 Windows 2000 Serve

5、r,Windows 2003。 3 用户账号控制 基本策略:用户被赋予唯一的用户名、用户 ID(UID) 。 3.1 密码策略 默认情况下,将对域中的所有服务器强制执行一个标准密码策略。下表列出 了一个标准密码策略的设置以及要求的最低设置。 策略 强制执行密码历史记录 密码最长期限 密码最短期限 最短密码长度 密码必须符合复杂性要求 为域中所有用户使用可还原的加密来储存密码 默认设置 记住 1 个密码 42 天 0 天 0 个字符 禁用 禁用 要求最低设置 要求最低设置 记住 5 个密码 42 天 0 天 8 个字符 启用 禁用 3.2 复杂性要求 当组策略的“密码必须符合复杂性要求”设置启用

6、后,要求密码最短设置为 8 个字符长。建议密码中必须包含下面类别中至少三个类别的字符: 英语大写字母 A, B, C, Z 英语小写字母 a, b, c, z 西方阿拉伯数字 0, 1, 2, 9 非字母数字字符,如标点符号 -4- 3.3 账户锁定策略 账户锁定策略 有效的账户锁定策略有助于防止账户的密码被破解。下表列出了默认账户锁 定策略的设置以及要求的最低设置。 策略 账户锁定时间 账户锁定阈值 复位账户锁定计数器 默认设置 未定义 0 未定义 要求最低设置 要求最低设置 30 分钟 5 次无效登录 30 分钟 3.4 内置默认账户安全 内置默认账户安全 默认 对 Windows 不可删

7、除的内置用户账户,应通过禁用、重命名或设置相关权 限的方式来保证系统的安全性。 帐户名 Administrator 建议安全配置策略 1. 此帐户必须在安装后立即重命名并修改 相关密码; 2. 对于系统管理员建议建立一个相关拥有 Administrator 组权限的新用户, 平时使 用此帐户登陆,只有在有特殊需要时才 使用重命名后的 Administrator 进行系 统登陆。 Guest 帐户必须禁用;如有特殊需要保留也一定要 重命名。 TSInternetUser 此 帐 户 是 为 了 “Terminal Services Internet Connector License”使用而存在

8、 的,故帐户必须禁用,不会对于正常的 Terminal Services 的功能有影响。 SUPPORT_388945a0 此帐户是为了 IT 帮助和支持服务,此帐户必 须禁用。 IUSR_system 必须只能是 Guest 组的成员。 此帐户为 IIS Internet ( Windows Server 2003 Windows 2000 Server Windows Server 2003 Windows 2000 Server Windows Server 2003 适用系统 Windows 2000 Server Windows Server 2003 -5- Information

9、 Server ) 服务建立的。 IWAM_system 必须只能是 Guest 组的成员。 此帐户为 IIS Internet ( Information Server ) 服务建立的。 3.5 安全选项策略 域策略中的安全选项应根据以下设置修改: 选项 对匿名连接的附加限制 允许服务器操作员计划任务 (仅用于域控制器) 允许在未登录前系统关机 允许弹出可移动 NTFS 媒体 在断开会话之前所需的空闲时间 对全局系统对象的访问进行审计 对备份和还原权限的使用进行审计 登录时间过期就自动注销用户 当登录时间过期就自动注销用户(本地) 在系统关机时清除虚拟内存页面交换文件 对客户端通讯使用数字签

10、名 (始终) 对客户端通讯使用数字签名 (如果可能) 对服务器通讯使用数字签名(始终) 对服务器通讯进行数字签名 (如果可能) 禁用按 CTRL+ALT+DEL 进行登录的设置 登录屏幕上不要显示上次登录的用户名 LAN Manager 身份验证级别 用户尝试登录时消息文字 设置 没有显式匿名权限就无法访问 禁用 禁用 管理员 15 分钟 禁用 禁用 未定义(见附注) 启用 启用 启用 启用 启用 启用 禁用 启用 仅发送 NTLMv2 响应,拒绝 LM & NTLM -6- 用户尝试登录时消息标题 缓冲保存的以前登录次数(在域控制器不可用的情况下) 0 次登录 防止计算机账户密码的系统维护

11、防止用户安装打印机驱动程序 在密码到期前提示用户更改密码 故障恢复控制台:允许自动管理登录 禁用 启用 14 天 禁用 故障恢复控制台: 允许对驱动器和文件夹进行软盘复制和 禁用 访问 重命名系统管理员账户 重命名来宾账户 只有本地登录的用户才能访问 CD-ROM 只有本地登录的用户才能访问软盘 未定义 未定义 启用 启用 安全通道:对安全通道数据进行数字加密或签名(始终) 启用 安全通道:对安全通道数据进行数字加密 (如果可能) 启用 安全通道:对安全通道数据进行数字签名(如果可能) 启用 安全通道: 需要强 (Windows 2000 Server 或以上版本) 启用 会话密钥 安全系统磁

12、盘分区(只适于 RISC 操作平台) 发送未加密的密码以连接到第三方 SMB 服务器。 如果无法记录安全审计则立即关闭系统 智能卡移除操作 未定义 禁用 启用(见第二条附注) 锁定工作站 增强全局系统对象的默认权限(例如 Symbolic Links) 启用 未签名驱动程序的安装操作 未签名非驱动程序的安装操作 禁止安装 允许安装但发出警告 在上面的要求配置中,下面几项由于直接影响了域中各服务器间通讯的方 式,可能会对服务器性能有影响。 对匿名连接的附加限制 默认情况下,Windows 2000 Server 允许匿名用户执行某些活动,如枚举域 账户和网络共享区的名称。 这使得攻击者无需用一个

13、用户账户进行身份验证就可 以查看远程服务器上的这些账户和共享名。为更好地保护匿名访问,可以配置 -7-“没有显式匿名权限就无法访问”。这样做的效果是将 Everyone(所有人)组 从匿名用户令牌中删除。对服务器的任何匿名访问都将被禁止,而且对任何资源 都将要求显式访问。 在关机时清理虚拟内存页面交换文件 实际内存中保存的重要信息可以周期性地转储到页面交换文件中。这有助于 Windows 2000 Server 处理多任务功能。如果启用此选项,Windows 2000 Server 将在关机时清理页面交换文件,将存储在那里的所有信息清除掉。根据 页面交换文件的大小不同,系统可能需要几分钟的时间

14、才能完全关闭。 对客户端/服务器通讯使用数字签名 在高度安全的网络中实现数字签名有助于防止客户机和服务器被模仿(即所 谓“会话劫持”或“中间人”攻击) 。服务器消息块 (SMB) 签名既可验证用户 身份,又可验证托管数据的服务器的身份。如有任何一方不能通过身份验证,数 据传输就不能进行。在实现了 SMB 后,为对服务器间的每一个数据包进行签 名和验证,性能最多会降低 15%。 针对 Server 2003 的设置: 通过运行 Secpol.msc Security Settings Local Policies 进行设置。 安全选项 在用户密码过期前通知用户 7 天 设置 4 注册表安全配置 4.1 注册表访问授权 对于 Windows 注册表的访问授权必须按下列的表格进行设置, “访问授权” 栏里规定了对于普通用户 (例如 Everyone, Users, Authenticated Users 或 other groups containing general users)所赋予的最大权利。 注册表资源名称 HKCR or HKLMSoftwareClasses 保护对于文件扩展名链接和COM类注册信息的未授权修改 访问授权 Read* -8- HKLMSystemCurrentControlSetControlSecurePipeServers 值:

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 管理学资料

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号