《Windows主机安全配置手册》由会员分享,可在线阅读,更多相关《Windows主机安全配置手册(55页珍藏版)》请在金锄头文库上搜索。
1、德信诚培训网Windows主机安全配置手册1. 适用范围本文档的适用操作系统为Microsoft Windows 2000 Server/Advanced ServerMicrosoft Windows 2003 Server/Advanced Server2 更新要求本文档每年必须由负责人员重新审查内容,并按照需求修正。各操作系统厂商推出新版本时,亦必须重新审查内容及修正。3.1用户、用户组及其权限管理描述:创建用户组和用户,并对其分配合适的权限是WINDOWS安全机制的核心内容之一。3.1.1对系统管理员账号进行限制编号:3001名称:对系统管理员账号进行限制重要等级:高基本信息:系统管理
2、员对系统具有最高的权限,Windows系统管理员的默认账号名为Administrator,很容易成为攻击者猜测和攻击的重要目标,因此需要对系统管理员账号作出必要的设置。检测内容: 查看是否有名为administrator的用户帐号; 查看administrator用户是否属于administrators组建议操作: 将系统管理员账号重命名为一个普通的、不易引起注意的账号名n 打开控制面板管理工具本地安全策略;n 选择本地策略安全选项;n 改写:重命名管理员帐户; 建立一个以administrator命名的账号,将所属用户组清除,即所属组为空,不赋予该帐号权限; 管理员账号的口令应该遵循比“密码
3、策略”更严格的策略操作结果: 对系统管理员账号进行限制,一般不会对系统造成任何不良的影响。 有少数应用软件需要administrator名的系统用户,请视应用情况对该项进行修改。3.1.2 密码策略编号:3002名称:密码策略重要等级:高基本信息:通过启用“密码必须符合复杂性要求”,设置“密码长度最小值”、“密码最长存留期”、“密码最短存留期”、“密码强制历史”,停用“为域中用户使用可还原的加密来存储”可以明显的提高用户账户的安全性。检测内容: 查看本地安全策略|账户策略|密码策略来核实是否设置了合适的密码策略n 打开控制面板管理工具本地安全策略;n 选择帐户策略密码策略;n 检查各项设置;建
4、议操作: 启用“密码必须必须符合复杂性要求”;n “密码最小长度”大于7;n “密码最长存留期”小于90天;n “密码最短存留期”大于5天;n “密码强制历史”不小于5;n 停用“为域中用户使用可还原的加密来存储”;操作结果: 密码策略对已经存在的密码无效,需要对已存在的密码进行检查 进行密码策略设置,不会对系统造成任何不良的影响。 特例:在安全策略中定义的策略和添加用户时选择的密码永不过期和用户无法自己修改密码,以后者为准。3.1.3 账户锁定策略编号:3003名称:账户锁定策略重要等级:高基本信息:通过设置“账户锁定时间”,“账户锁定阈值”,“复位账户锁定计数器”来防止远程的密码猜测攻击。
5、检测内容: 查看本地安全策略|账户策略|账户锁定策略来核实是否设置了合适的密码策略n 打开控制面板管理工具本地安全策略;n 选择帐户策略帐户锁定策略;n 检查各项设置;建议操作: “复位账户锁定计数器”时间不短于5分钟; “账户锁定时间”不短于5分钟; “账户锁定阈值”不多于10次;操作结果: 进行账户锁定策略设置时,不会对系统造成任何不良的影响。3.2远程访问主机系统描述:被配置为接受远程访问连接的任何基于 Windows的计算机用户。3.2.1 对可以远程使用telnet服务的用户进行限定编号:3004名称:对可以远程使用telnet服务的用户进行限定重要等级:中基本信息:Windows系
6、统从2000开始提供远程telnet访问服务,建议不要开启telnet服务,如特殊情况必须开启telnet服务,必须遵守本规定对可以远程访问telnet服务的用户进行限制。检测内容:检测是否为Telnet终端创建了TelnetClients组,并赋予恰当的访问权限。建议操作: 创建TelnetClients组,并将需要远程使用telnet服务的用户加入该组 对TelnetClients组进行授权n 打开控制面板管理工具本地安全策略;n 本地策略用户权力指派;n 按需要进行授权;操作结果: 进行TelnetClients账户授权策略设置时,不会对系统造成任何不良的影响。 需要注意尽量避免对Adm
7、inistrator组用户进行授权修改,以免造成系统应用、管理失败。3.2.2 Pcanywhere远程接入编号:3005名称:Pcanywhere远程接入安全设置重要等级:中基本信息:Windows系统可以使用Pcanywhere工具方式进行远程管理,遵守一下设定对可以提高远程管理安全性。检测内容: 是否使用高版本(10.0)软件,较低版本软件存在大量安全漏洞 是否设置加密传输,建议采用pcanywhere加密级别 回话结束后是否注销用户建议操作: 创建新被控端 对被控端进行安全配置n 选择TCP/IP方式;n 设置面板回话正常(异常)结束后使用注销用户保护;n 安全选项限制每个呼叫登陆尝试
8、次数为3,完成登陆时间为3分钟;n 安全选项设置加密为pcanywhere级别,拒绝较低加密级别;操作结果: 设置生效需要重新启动Pcanywhere服务,主控端应配置与被控端相应加密级别; 需要注意本设置与系统本身认证机制无关。3.3系统补丁描述:补丁是实现Windows主机系统安全的重要途径。3.3.1安装Windows补丁编号:3006名称:安装Windows补丁重要等级:高基本信息:补丁是实现Windows主机系统安全的重要途径。针对Windows 2000操作系统的漏洞,微软已经发布了三个大补丁包Windows 2000 Service Pack 1、2、3。针对Windows NT
9、4操作系统的漏洞,微软已经发布到的最高补丁版本为SP6a。及时安装最近的service pack后发布的Hotfix补丁也十分重要。检测内容:1. 使用Windows Update在线更新工具;(对NT系统无效) 点击“开始Windows Update”直接连接到微软的Windows Update网站; 点击扫描检测最新的补丁。补丁分为与安全相关、与Windows相关和与驱动相关三个部分。 扫描的结果就是该Windows主机系统上所有没有安装的补丁。2. 使用微软的微软安全分析(MBSA)工具; 下载地址:http:/ 然后双击安装MBSA1.1; 启动Microsoft Baseline S
10、ecurity Analyzer,得出扫描结果。3. 使用hfnetchk工具;(本工具建议在线使用) 首先下载该工具nshc332.exe,下载地址:http:/ 安装nshc332.exe 在命令行方式转到安装目录下,输入hfnetchk.exe,回车即可。4. 对于没有与Internet相连的主机,如何通过离线的方式检查系统未安装的补丁?注:上面提到方法任选其一。建议操作:1、根据使用“检测内容”中提到的补丁测试方法,对系统进行全面的测试,然后根据实际结果确定更新系统的哪些补丁程序。下面给出部分与微软windows 2000和windows NT系统补丁相关的下载网址:微软简体中文更新网
11、址:http:/ 2000简体中文版SP3下载网址:http:/ 2000英文版SP3下载网址:http:/ NT SP6a下载网址:http:/ NT SP6a安全补丁集合(SRP) 下载网址:http:/ 下载完毕后,双击补丁程序,按照安装过程给出的提示,一步一步进行。2. 安装结束后,重新启动系统即可。3. hotfix的安装过程与SP补丁相同,安装完毕后根据安装程序的提示决定是否需要重新启动机器。4. 对于没有直接与Internet互联的主机,可利用微软提供的光盘升级包完成补丁加载;或在Internet网络上的主机下载最新升级包并刻录至光盘载体,在需升级的主机上安装。操作结果:Wind
12、ows的补丁是系统安全中重要组成部分,通常情况下安装补丁不会对系统造成任何不良的影响。注意:在安装系统补丁的过程中不能够使系统断电或非正常安装完毕而重新启动系统,这样可能会造成系统不能正常启动的严重后果。3.4文件系统增强描述: NTFS支持细致的文件权限控制,磁盘配额管理、文件加密等特性。NTFS可为用户提供更高层次的安全保证。而FAT和FAT32系统则不具备上述特性。3.4.1使用NTFS文件系统编号:3007名称:使用NTFS文件系统重要等级:高基本信息:NTFS是微软WindowsNT/2000/XP支持的文件系统。NTFS支持细致的文件权限控制,磁盘配额管理、文件加密等特性。NTFS
13、可为用户提供更高层次的安全保证。检测内容:打开“我的电脑”选中要检测的磁盘驱动器单击鼠标右键选择“属性”查看文件系统类型,是否为NTFS格式;建议操作: 如果文件系统类型不是NTFS格式,需要转换为NTFS格式,以增加文件系统的安全性。具体方法:在cmd(命令行)方式下,键入:convert : /fs:ntfs注:一旦将某个驱动器或分区转换为NTFS格式,您便无法将其恢复回FAT或FAT32格式。如需返回FAT或FAT32格式,您必须对驱动器或分区进行重新格式化,并从相应分区上删除包括程序及个人文件在内的所有数据。操作结果: 实施文件系统安全增强,不会对系统造成任何不良的影响。 注意:微软没有提供将NTFS系统转
