《Window2000系统安全配置指南》由会员分享,可在线阅读,更多相关《Window2000系统安全配置指南(5页珍藏版)》请在金锄头文库上搜索。
1、作业文件:Window2000系统安全配置指南过程描述序号项目说明1病毒检查保证安全初始化前机器没有病毒和木马存在2设置自动更新保证安装修补最新的系统安全漏洞补丁3安全补丁OS /IE保证主机安装当前最新安全补丁,在接入网络后能够按照策略自动更新安全 漏洞补丁4安全策略设置主机安全策略、注册等与主机系统安全有关的设置5病毒防护保证主机在接入网络前就具有病毒防御能力6注意事项在安全初始化完成后,查看注意事项一 病毒检查序号内容1从微软官方网站下载当前最新版本的恶意软件清除工具Windows-KB890830http:/ na/tech net/security/default.mspx2使用该工
2、具进行检查,如有问题应立刻通知管理员并进行处理(若是新安装的系统,可省略此步骤)二 设置自动更新序号内容方法手动1、运行 GPEDIT.msc2、若没有Windows Update项,则调用WUAU.adm模板3、在管理模板中设置参数:(1) 配置自动更新:启用、选项3(自动下载并通知安装);(2) 指定Interanet Microsoft更新服务位置:启用、设置服务器为http:/XXX.XXX.XXX.XXX)计划的自动更新安装后不自动重启动:启用;设置完成后,控制面板 自动更新的设置界面表现为锁定状态。设置完成后,请检查Windows以下两个服务状态为“自动/启动”:Automatic
3、 Updates 月艮务Background Intelligent Transfer Service 服务设置完成后,在“运行中执行wuauclt.exe / detectnow,完成立刻更新。三 安全补丁序号内容1-1安装 Win2000 SP4安装IE6.0 SP1及其他补丁1-2检查 KB823980 冲击波 MS03-026检查 KB835732 震荡波 MS04-011检查 KB899588 阻击波 MS05-039四 安全策略1保证所有分区为NTFS格式2.1密码策略默认值建议值2.1.1密码复杂性要求停用停用(询问)2.1.2密码长度最小值082.1.3密码最长使用期限 天42
4、602.1.4密码最短使用期限 天052.1.5强制密码历史 记忆密码052.1.6用可还原的加密来储存密码(针对域中的所有用户)停用停用2.2帐户锁定策略默认值建议值2.2.1复位帐户锁定计数器无定义302.2.2帐户锁定时间无定义302.2.3账户锁定阀值053.1审核策略默认值建议值3.1.1审核策略更改无定义成功/失败3.1.2审核登录事件无定义成功/失败3.1.3审核对象访问无定义成功/失败3.1.4审核过程跟踪无定义默认3.1.5审核目录服务访问无定义默认3.1.6审核特权使用无定义成功/失败3.1.7审核帐户管理无定义成功/失败3.1.8审核系统事件无定义成功/失败3.1.9审核
5、帐户登录事件无定义成功/失败3.2用户权限指派默认值建议值3.2.1各策略项默认默认3.3安全选项默认值建议值3.3.1LAN Manager身份验证级别发送 LM&NTLM响应发送 LM&NTLM若协商,使用NTLMv23.3.2对匿名连接的额外限制无没有显式匿名权 限就无法访问3.3.3可被缓存的前次登录个数10次0次3.3.4禁止用户安装打印机驱动程序未定义启用3.3.5只有本地登录的用户才能访问CD-ROM未定义启用3.3.6只有本地登录的用户才能访问软盘未定义启用3.3.7允许在未登录时关机未定义禁用3.3.8对客户端通讯进行数字签名(如果可能)启用启用3.3.9对服务端通讯进行数字
6、签名(如果可能)禁用启用3.3.10登录时禁用Ctrl+Alt+Del组合键未定义禁用3.3.11故障恢复控制台:允许对所有驱动器和文件夹进行软盘 复制和访问禁用启用3.3.12故障恢复控制台:允许自动系统管理级登录禁用禁用3.3.13如果无法记录安全审核则立即关闭系统禁用禁用3.3.14故障恢复控制台:允许自动系统管理级登录禁用禁用3.3.15如果无法记录安全审核则立即关闭系统禁用禁用 禁用3.3.16交互式登录:用户试图登录时消息文字未定义本系统仅供XXXX 及其员工被授权 的业务使用。未经 许可的访问或活 动是违反XXXXX相 关条例的行为。出 于安全考虑,所有 的系统活动均受 到监控。
7、3.3.17交互式登录:用户试图登录时消息标题未定义警告4.1日志审核默认建议值4.1.1应用程序日志大小最大值516KB30016KB4.1.2安全日志最大值516KB30016KB4.1.3系统日志大小最大值516KB30016KB4.1.4应用程序日志保留方法7天按需要覆盖4.1.5安全日志的保留方法7天按需要覆盖4.1.6系统日志保留方法7天按需要覆盖5.1关闭不必要的服务mA、r默认建议值5.1.1Clipbook启用禁用 禁用5.1.3Distributed Transaction Coordinator启用禁用 禁用5.1.4DHCP Client启用禁用(询问)5.1.5DHC
8、P Server启用禁用 禁用5.1.6DNS Server启用WIN2000AD 启用WIN2000SV 禁用5.1.7Fax Service启用禁用 禁用5.1.8FTP Publishing Service启用禁用(询问)5.1.9IIS Admin Service启用禁用(询问)5.1.10Indexing Service启用禁用 禁用5.1.11Internet Connection Sharing (Supports NAT)启用禁用 禁用5.1.12Microsoft NetMeeting Remote Desktop Sharing启用禁用 禁用5.1.13Network DD
9、E启用禁用 禁用5.1.14Network DDE DSDM启用禁用 禁用5.1.15Performance Logs and Alerts启用禁用 禁用5.1.16Print Spooler启用禁用 禁用5.1.17QoS RSVP启用禁用 禁用5.1.18Remote Access Auto Connection Manager启用禁用 禁用5.1.19Remote Access Connection Manager启用禁用 禁用5.1.20Remote Procedure Call (RPC) Locator启用禁用 禁用5.1.21Routing and Remote Access启用
10、禁用 禁用5.1.22RunAs Service启用禁用 禁用5.1.23Simple Mail Transport Protocol (SMTP)启用禁用(询问)5.1.24Smart Card启用禁用 禁用5.1.25Smart Card Helper启用禁用 禁用5.1.26SNMP Service (最新 3.0默认 1.0 read only)启用禁用(询问)5.1.27SNMP Trap Service启用禁用(询问)5.1.28World Wide Web Publishing Service启用禁用(询问)5.1.29Telnet启用禁用5.1.30Terminal Servi
11、ces (建议口令策略)启用禁用(询问)5.1.31Task Scheduler启用禁用5.1.32Telephony启用禁用5.1.33Uninterruptible Power Supply启用禁用(询问)5.1.34Windows Internet Name Service启用禁用(询问)5.1.35Simple TCP/IP Service启用禁止5.1.18Windows Time Service禁用禁用(询问)6 禁用guest帐号7 设置屏幕保护10分钟生效禁止自动运行驱动器HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer 的一个子项添加:10经管理员确认,安装Terminal组件授权,启用项格式值(十六进制)NoDriveTypeAutoRunDWORDOxFF五 病毒防护六 注意事项序号内容1在客户主机D:SEC目录下保留安全初始化所需补丁和安装文件2填写技术响应报告记录操作过程中与本流程内容不符的地方及理由,作为审核的依据3填写主机系统调查表记录系统基本信息4更新客户信息资产列表,纳入定期安全检查范畴七 定期审核序号内容1每月进行一次远程安全漏洞检查2每月查看瑞星病毒监控中心-主机部分更新情况3每三个月登陆服务器手工检查上述安全初始流程内容的一致性、检查进程4填写记录
