中国××公司 服务器操作系统安全配置标准-WindowsV 1.12006 年 03 月 30 日文档控制拟 制: 审 核: 标准化: 读 者: 版本控制版本 提交日期 相关组织和人员 版本描述 V1.0 2005-12-08 V1.1 2006-03-30 1 概述 1 1.1 适用范围 1 1.2 实施 1 1.3 例外条款 1 1.4 检查和维护 1 2 适用版本 2 3 用户账号控制 2 3.1 密码策略 2 3.2 复杂性要求 2 3.3 账户锁定策略 33.4 内置默认账户安全 3 3.5 安全选项策略 4 4 注册表安全配置 6 4.1 注册表访问授权 6 4.2 禁止匿名访问注册表 7 4.3 针对网络攻击的安全考虑事项 7 4.4 禁用 8.3 格式文件名的自动生成 8 4.5 禁用 LMHASH 创建 8 4.6 配置 NTLMSSP 安全 8 4.7 禁用自动运行功能 8 4.8 附加的注册表安全配置 9 5 服务管理 9 5.1 成员服务器 9 5.2 域控制器 10 6 文件/目录控制 11 6.1 目录保护 11 6.2 文件保护 12 7 服务器操作系统补丁管理 16 7.1 确定修补程序当前版本状态 16 7.2 部署修补程序 16 8 系统审计日志 16 9 其它配置安全 17 9.1 确保所有的磁盘卷使用 NTFS 文件系统 17 9.2 系统启动设置 17 9.3 屏幕保护设置 17 9.4 远程管理访问要求 18 10 防病毒管理 18 11 附则 18 11.1 文档信息 18 11.2 其他信息 181 概述 本文档规定了中国××公司企业范围内安装有 Windows 操作系统的主机应当遵循的操作系 统安全性设置标准,本文档旨在指导系统管理人员进行 Windows 操作系统的安全配置。
1.1 适用范围 本规范的使用者包括: 服务器系统管理员、应用管理员、网络安全管理员 本规范适用的范围包括: 支持中国××公司运行的 Windows 2000 Server, Windows 2003 服务器系统 1.2 实施 本规范的解释权和修改权属于中国××公司,在本标准的执行过程中若有任何疑问或建议, 应及时反馈 本标准一经颁布,即为生效 1.3 例外条款欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中 国××公司信息系统管理部门进行审批备案 1.4 检查和维护 根据中国××公司经营活动的需要,每年检查和评估本标准,并做出适当更新如果在突 发事件处理过程中,发现需对本标准进行变更,也需要进行本标准的维护 任何变更草案将由中国××公司信息系统管理部门进行审核批准各相关部门经理有责任 与其下属的组织和员工沟通变更的内容 2 适用版本 Windows 2000 Server; Windows 2003.3 用户账号控制 基本策略:用户被赋予唯一的用户名、用户 ID(UID) 3.1 密码策略 默认情况下,将对域中的所有服务器强制执行一个标准密码策略。
下表列出了一个标准密 码策略的设置以及针对您的环境建议的最低设置 策略 默认设置 推荐最低设置 强制执行密码历史记录 记住 1 个密码 记住 4 个密码 密码最长期限 42 天 42 天 密码最短期限 0 天 0 天 最短密码长度 0 个字符 8 个字符 密码必须符合复杂性要求 禁用 启用 为域中所有用户使用可还原的加密来储存密码 禁用 禁用 3.2 复杂性要求 当组策略的“密码必须符合复杂性要求”设置启用后,它要求密码必须为 6 个字符长(但 我们建议您将此值设置为 8 个字符) 它还要求密码中必须包含下面类别中至少三个类别 的字符: 英语大写字母 A, B, C, … Z 英语小写字母 a, b, c, … z 西方阿拉伯数字 0, 1, 2, … 9 非字母数字字符,如标点符号 3.3 账户锁定策略 有效的账户锁定策略有助于防止攻击者猜出您账户的密码下表列出了一个默认账户锁定 策略的设置以及针对您的环境推荐的最低设置 策略 默认设置 推荐最低设置 账户锁定时间 未定义 30 分钟 账户锁定阈值 0 5 次无效登录 复位账户锁定计数器 未定义 30 分钟 3.4 内置默认账户安全 Windows 有几个内置的用户账户,它们不可删除,但可以通过禁用,重命名或设置相关的 权限的方式来保证一定的系统安全性。
帐户名 建议安全配置策略 适用系统 Administrator 1. 此帐户必须在安装后立即重命名并修改相关密码; 2. 对于系统管理员建议建立一个相关拥有 Administrator 组权限的新用户,平时使用此帐户登陆,只有在有特殊需要时才使用重命名后的 Administrator 进行系统登陆 Windows 2000 Server Windows Server 2003 Guest 帐户必须禁用;如有特殊需要保留也一定要重命名 Windows 2000 Server Windows Server 2003 TSInternetUser 此帐户是为了“Terminal Services’ Internet Connector License”使用而 存在的,故帐户必须禁用,不会对于正常的 Terminal Services 的功能有影响 Windows 2000 Server Windows Server 2003 SUPPORT_388945a0 此帐户是为了 IT 帮助和支持服务,此帐户必须禁用 Windows Server 2003 IUSR_{system} 必须只能是 Guest 组的成员。
此帐户为 IIS(Internet Information Server)服务建立的 IWAM_{system} 必须只能是 Guest 组的成员 此帐户为 IIS(Internet Information Server)服务建立的3.5 安全选项策略 域策略中的安全选项应根据以下设置按照具体需要修改: 选项 设置 对匿名连接的附加限制 没有显式匿名权限就无法访问 允许服务器操作员计划任务 (仅用于域控制器) 禁用 允许在未登录前系统关机 禁用 允许弹出可移动 NTFS 媒体 管理员 在断开会话之前所需的空闲时间 15 分钟 对全局系统对象的访问进行审计 禁用 对备份和还原权限的使用进行审计 禁用 登录时间过期就自动注销用户 未定义(见附注) 当登录时间过期就自动注销用户(本地) 启用 在系统关机时清除虚拟内存页面交换文件 启用 对客户端通讯使用数字签名 (始终) 启用 对客户端通讯使用数字签名 (如果可能) 启用 对服务器通讯使用数字签名(始终) 启用 对服务器通讯进行数字签名 (如果可能) 启用 禁用按 CTRL+ALT+DEL 进行登录的设置 禁用 登录屏幕上不要显示上次登录的用户名 启用 LAN Manager 身份验证级别 仅发送 NTLMv2 响应,拒绝 LM 配置每天定时自动检查更新病毒定义文件; 配置对于不可修复文件移至“Quarantine”区; 对于发现的病毒则要有相关信息提示自动的发送到相关管理人员处。
11 附则 11.1 文档信息 第一条 本策略由公司信息安全办公室制定,并负责解释和修订由公司信息安全工作 组讨论通过,发布执行 第二条 本策略自发布之日起执行 11.2其他信息Windows 系统安全设置方法初级安全篇:1.物理安全 服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留 15 天以上的摄像记 录另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥 匙要放在另外的安全的地方 2.停掉 Guest 帐号 在计算机管理的用户里面把 guest 帐号停用掉,任何时候都不允许 guest 帐号登陆系统 为了保险起见,最好给 guest 加一个复杂的密码,你可以打开记事本,在里面输入一串包 含特殊字符,数字,字母的长字符串,然后把它作为 guest 帐号的密码拷进去 3.限制不必要的用户数量 去掉所有的 duplicate user 帐户, 测试用帐户, 共享帐号,普通部门帐号等等用户组 策略设置相应权限,并且经常检查系统的帐户,删除已经不在使用的帐户这些帐户很多 时候都是黑客们入侵系统的突破口, 系统的帐户越多,黑客们得到合法用户的权限可能性 一般也就越大。
国内的 nt/2000 主机,如果系统帐户超过 10 个,一般都能找出一两个弱口 令帐户我曾 经发现一台主机 197 个帐户中竟然有 180 个帐号都是弱口令帐户 4.创建 2 个管理员用帐号 虽然这点看上 去和上面这点有些矛盾,但事实上是服从上面的规则的 创建一个一 般权限帐号用来收信以及处理一些日常事物,另一个拥有 Administrators 权限的帐户只在 需要的时候使用可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工 作,以方便管理 5.把系统 administrator 帐号改名 大家都知道,windows 2000 的 administrator 帐号是不能被停用的,这意味着别人可以 一遍又一边的尝试这个帐户的密码把 Administrator 帐户改名可以有效的防 止这一点 当然,请不要使用 Admin 之类的名字,改了等于没改,尽量把它伪装成普通用户,比如改 成:guestone 6.创建一个陷阱帐号 什么是陷阱帐号? Look!创建一个名为“Administrator”的本地帐户,把它的权限设置 成最低,什么事也干不了的那种,并且加上一个超过 10 位的超级复杂密 码。
这样可以让 那些 Scripts s 忙上一段时间了,并且可以借此发现它们的入侵企图或者在它的 login scripts 上面做点手脚嘿嘿,够损! 7.把共享文件的权限从”everyone”组改成“授权用户” “everyone” 在 win2000 中意味着任何有权进入你的网络的用户都能够获得这些共享资 料任何时候都不要把共享文件的用户设置成“everyone”组包括打印共享,默认的属性就 是“everyone”组的,一定不要忘了改 8.使用安全密码 一个好的密码对于一个网络是非常重要的,但是它是最容易被忽略的前面的所说的 也许已经可以说明这一点了一些公司的管理员创建帐号的时候往往用公司 名,计算机名, 或者一些别的一猜就到的东西做用户名,然后又把这些帐户的密码设置得 N 简单,比如 “welcome” “iloveyou” “letmein”或者和用户名相同等等这样的帐户应该要求用户首此登陆 的时候更改成复杂的密码,还要注。