收藏
下载资源

微软Windows操作系统安全加固标准(共19页)

上传人:文库****9 文档编号:209790217 上传时间:2021-11-11 格式:DOC 页数:19 大小:228KB
返回 下载 相关 举报
微软Windows操作系统安全加固标准(共19页)_第1页
第1页 / 共19页
微软Windows操作系统安全加固标准(共19页)_第2页
第2页 / 共19页
微软Windows操作系统安全加固标准(共19页)_第3页
第3页 / 共19页
微软Windows操作系统安全加固标准(共19页)_第4页
第4页 / 共19页
微软Windows操作系统安全加固标准(共19页)_第5页
第5页 / 共19页
点击查看更多>>
资源描述

《微软Windows操作系统安全加固标准(共19页)》由会员分享,可在线阅读,更多相关《微软Windows操作系统安全加固标准(共19页)(19页珍藏版)》请在金锄头文库上搜索。

1、精选优质文档-倾情为你奉上Windows安全加固建议书目 录1配置标准31.1组策略管理31.1.1组策略的重要性31.1.2组策略的应用方式31.1.3组策略的实施41.2用户账号控制51.2.1密码策略51.2.2复杂性要求51.2.3账户锁定策略51.2.4内置账户安全61.3安全选项策略61.4注册表安全配置81.4.1针对网络攻击的安全考虑事项81.4.2禁用文件名的自动生成91.4.3禁用 Lmhash 创建91.4.4配置 NTLMSSP 安全101.4.5禁用自动运行功能101.5补丁管理111.5.1确定修补程序当前版本状态111.5.2部署修补程序111.6文件/目录控制1

2、11.6.1目录保护111.6.2文件保护121.7系统审计日志161.8服务管理171.8.1成员服务器171.8.2域控制器181.9其它配置安全191.9.1确保所有的磁盘卷使用NTFS文件系统191.9.2系统启动设置191.9.3屏保19 1 配置标准1.1 组策略管理1.1.1 组策略的重要性 Windows组策略有助于在您的 Active Directory 域中为所有工作站和服务器实现安全策略中的技术建议。可以将组策略和 OU 结构结合使用,为特定服务器角色定义其特定的安全设置。 如果使用组策略来实现安全设置,则可以确保对某一策略进行的任何更改都将应用到使用该策略的所有服务器,

3、并且新的服务器将自动获取新的设置。1.1.2 组策略的应用方式一个用户或计算机对象可能受多个组策略对象(GPO) 的约束。这些 GPO 按顺序应用,并且设置不断累积,除发生冲突外,在默认情况下,较迟的策略中的设置将替代较早的策略中的设置。第一个应用的策略是本地 GPO,在本地 GPO 之后,后来的 GPO 依次在站点、域、父组织单位(OU) 和子 OU 上应用。下图显示了每个策略是如何应用的:1.1.3 组策略的实施在Windows局域网中实施安全管理应分别从服务器和工作站两方面进行。首先应在服务器上安装活动目录服务,然后在域上实施组策略;其次应将工作站置于服务器所管理的域中。n 启动活动目录

4、服务在“程序管理工具配置服务器”选项中,选定左边的“Active Directory”,启动活动目录安装向导。将服务器设置为第一个域目录树,DNS域名输入提供的域名。n 打开组策略控制台启动“Active Directory目录和用户”项,在右面对象容器树中的根目录上单击右键,然后单击“属性”项,在新打开的窗口中单击“组策略”选项卡,即可打开组策略控制台。n 创建OU结构1) 启动 Active Directory 用户和计算机。 2) 右键单击域名,选择新建,然后选择组织单位。 3) 键入成员服务器,然后单击确定。 4) 右键单击成员服务器,选择新建,然后选择组织单位。 5) 键入应用程序服

5、务器,然后单击确定。 6) 针对文件和打印服务器、IIS 服务器和基础结构服务器重复第 5 步和第 6 步。n 设置组策略位于组策略对象“安全设置”节点的容器包括:账户策略、本地策略、事件日志、受限组、系统服务、注册表、文件系统、公钥策略、Active Directory中的网际协议安全策略等。具体的设置在本标准的相应章节中详细说明。1.2 用户账号控制1.2.1 密码策略默认情况下,将对域中的所有服务器强制执行一个标准密码策略。下表列出了一个标准密码策略的设置以及针对您的环境建议的最低设置。 策略默认设置推荐最低设置强制执行密码历史记录记住 1 个密码记住 24 个密码密码最长期限42 天4

6、2 天密码最短期限0 天2 天最短密码长度0 个字符8 个字符密码必须符合复杂性要求禁用启用为域中所有用户使用可还原的加密来储存密码禁用禁用1.2.2 复杂性要求当组策略的“密码必须符合复杂性要求”设置启用后,它要求密码必须为 6 个字符长(但我们建议您将此值设置为 8 个字符)。它还要求密码中必须包含下面类别中至少三个类别的字符: n 英语大写字母 A, B, C, Z n 英语小写字母 a, b, c, z n 西方阿拉伯数字 0, 1, 2, 9 n 非字母数字字符,如标点符号1.2.3 账户锁定策略有效的账户锁定策略有助于防止攻击者猜出您账户的密码。下表列出了一个默认账户锁定策略的设置

7、以及针对您的环境推荐的最低设置。 策略默认设置推荐最低设置账户锁定时间未定义30 分钟账户锁定阈值05 次无效登录复位账户锁定计数器未定义30 分钟n 用户被赋予唯一的用户名、用户ID(UID)和口令。n 用户名口令长度规定。1.2.4 内置账户安全Windows有几个内置的用户账户,它们不可删除,但可以重命名。其中Guest(来宾)账户应禁用的,管理员账户应重命名而且其描述也要更改,以防攻击者使用已知用户名破坏一个远程服务器。1.3 安全选项策略域策略中的安全选项应根据以下设置按照具体需要修改:选项设置对匿名连接的附加限制没有显式匿名权限就无法访问允许服务器操作员计划任务 (仅用于域控制器)

8、禁用允许在未登录前系统关机禁用允许弹出可移动 NTFS 媒体管理员在断开会话之前所需的空闲时间15 分钟对全局系统对象的访问进行审计禁用对备份和还原权限的使用进行审计禁用登录时间过期就自动注销用户未定义(见附注)当登录时间过期就自动注销用户(本地)启用在系统关机时清除虚拟内存页面交换文件启用对客户端通讯使用数字签名 (始终)启用对客户端通讯使用数字签名 (如果可能)启用对服务器通讯使用数字签名(始终)启用对服务器通讯进行数字签名 (如果可能)启用禁用按 CTRL+ALT+DEL 进行登录的设置禁用登录屏幕上不要显示上次登录的用户名启用LAN Manager 身份验证级别仅发送 NTLMv2 响

9、应,拒绝 LM & NTLM用户尝试登录时消息文字用户尝试登录时消息标题缓冲保存的以前登录次数(在域控制器不可用的情况下)0 次登录防止计算机账户密码的系统维护禁用防止用户安装打印机驱动程序启用在密码到期前提示用户更改密码14 天故障恢复控制台:允许自动管理登录禁用故障恢复控制台:允许对驱动器和文件夹进行软盘复制和访问禁用重命名系统管理员账户未定义重命名来宾账户未定义只有本地登录的用户才能访问 CD-ROM启用只有本地登录的用户才能访问软盘启用安全通道:对安全通道数据进行数字加密或签名(始终)启用安全通道:对安全通道数据进行数字加密 (如果可能)启用安全通道:对安全通道数据进行数字签名(如果可

10、能)启用安全通道: 需要强 (Windows 2000 或以上版本) 会话密钥启用安全系统磁盘分区(只适于 RISC 操作平台)未定义发送未加密的密码以连接到第三方 SMB 服务器。禁用如果无法记录安全审计则立即关闭系统启用(见第二条附注)智能卡移除操作锁定工作站增强全局系统对象的默认权限(例如 Symbolic Links)启用未签名驱动程序的安装操作禁止安装未签名非驱动程序的安装操作允许安装但发出警告在上面的推荐配置中,下面几项由于直接影响了域中各服务器间通讯的方式,可能会对服务器性能有影响。n 对匿名连接的附加限制 默认情况下,Windows允许匿名用户执行某些活动,如枚举域账户和网络共

11、享区的名称。这使得攻击者无需用一个用户账户进行身份验证就可以查看远程服务器上的这些账户和共享名。为更好地保护匿名访问,可以配置“没有显式匿名权限就无法访问”。这样做的效果是将 Everyone(所有人)组从匿名用户令牌中删除。对服务器的任何匿名访问都将被禁止,而且对任何资源都将要求显式访问。n LAN Manager 身份验证级别 Microsoft Windows 9x 和 Windows NT 操作系统不能使用 Kerberos 进行身份验证,所以,在默认情况下,在 Windows 2000 域中它们使用 NTLM 协议进行网络身份验证。您可以通过使用 NTLMv2 对 Windows 9

12、x 和 Windows NT 强制执行一个更安全的身份验证协议。对于登录过程,NTLMv2 引入了一个安全的通道来保护身份验证过程。n 在关机时清理虚拟内存页面交换文件 实际内存中保存的重要信息可以周期性地转储到页面交换文件中。这有助于 Windows处理多任务功能。如果启用此选项,Windows 2000 将在关机时清理页面交换文件,将存储在那里的所有信息清除掉。根据页面交换文件的大小不同,系统可能需要几分钟的时间才能完全关闭。n 对客户端/服务器通讯使用数字签名 在高度安全的网络中实现数字签名有助于防止客户机和服务器被模仿(即所谓“会话劫持”或“中间人”攻击)。服务器消息块 (SMB) 签

13、名既可验证用户身份,又可验证托管数据的服务器的身份。如有任何一方不能通过身份验证,数据传输就不能进行。在实现了 SMB 后,为对服务器间的每一个数据包进行签名和验证,性能最多会降低 15%。1.4 注册表安全配置1.4.1 针对网络攻击的安全考虑事项有些拒绝服务攻击可能会给 Windows 服务器上的 TCP/IP 协议栈造成威胁。这些注册表设置有助于提高 Windows TCP/IP 协议栈抵御标准类型的拒绝服务网络攻击的能力。下面的注册表项作为 HKLMSystemCurrentControlSetServicesTcpip|Parameters 的子项添加:项格式值(十进制)Enable

14、ICMPRedirectDWORD0EnableSecurityFiltersDWORD1SynAttackProtectDWORD2EnableDeadGWDetectDWORD0EnablePMTUDiscoveryDWORD0KeepAliveTimeDWORD300,000DisableIPSourceRoutingDWORD2TcpMaxConnectResponseRetransmissionsDWORD2TcpMaxDataRetransmissionsDWORD3NoNameReleaseOnDemandDWORD1PerformRouterDiscoveryDWORD0TCPMaxPortsExhaustedDWORD51.4.2 禁用文件名的自动生成为与 16 位应用程序的向后兼容,Windows支持 8.3 文件名格式。这意味着攻击者只需要 8 个字符即可引用可能有 20 个字符长的文件。如果您不再使用 16 位应用程序,则可以将此功能关闭。禁用 NTFS 分区上的短文件名生成还可以提高目录枚举性能。下面的注册表项作为 HKLMSystemCurrentControl

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 教学/培训

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号