《服务器安全加固操作手册》由会员分享,可在线阅读,更多相关《服务器安全加固操作手册(7页珍藏版)》请在金锄头文库上搜索。
1、.WINDOWS2003WINDOWS2003 安全评估加固手册安全评估加固手册文档名:服务器名称:生成地点:客户确认签字:编编号号1账户策略口令要求口令设置必须是十位或以上,口令必须至少是数字、字母、特殊符号的两种以上的组合。口令更改管理员口令更改周期不能长于 1 周加固内容加固内容加固项目加固项目检查方法检查方法检查结果检查结果加固加固操作操作文档编号:服务器 IP:加固时间:密码策略打开 “控制面版” “管理工具” “本地安全策略” ,在“帐户策略”中。(运行 secpol.msc 命令)密码必须符合复杂性要求:已启用密码长度最小值:10 个字符密码最长存留期:7 天密码最短存留期:0
2、天强制密码历史:2 个记住的密码.设置完成之后,需要重启计算机方可生效账户锁定打开 “控制面版” “管理工具” “本策略地安全策略” ,在“帐户策略”“帐户锁定策略”中。复位帐户锁定计数器:0 分钟后帐户锁定时间:0 分钟帐户锁定阙值:3 次无效登录2本地安全 安全服务在断开会话之前所需的空闲时间:5 分策略选项钟在关机时清理虚拟内存页面交换文件:启用在密码到期前提示用户更改密码: 14 天禁止本地登录的用户访问软盘:启用防止用户安装打印机驱动程序:启用交互式登录时不显示上次用户名:启用登录时不需要按 Ctrl+Alt+Del :停用在超过登录时间后强制注销:启用不允许 SAM 帐户的匿名枚举
3、: 启用.不允许SAM帐户和共享的匿名枚举:启用在下一次密码变更时不存储 LANMAN 哈希值:启用不允许为网络验证存储凭据或.NETPassport:启用从文件共享中删除允许匿名登录的DFS$和 COMCFG;从通过网络访问此计算机中删除 PowerUsers 和 Backup Operators;帐户安全打开控制面板 -管理工具 -本地安全管理策略,选择安全选项更改默认管理员帐户administrator名称更改默认来宾帐户名称 guest 为(用户定义)禁用的服1 使用 services.msc 查看服务列表, 注务意以下互操作服务,确定服务不需要则禁用,设置为手动启动:Task Sch
4、edulerRemote Registry ServiceRunAs Service.MessengerWindows Time其它服务设置见附表2.关闭不必要的端口3安全策略安全审计运行 secpol.msc 命令,打开“本地安全设置”-“本地策略”-“审核策略” 。启用所有审核策略“成功和失败” ;事件日志事件日志调整,查看“系统工具”-“事调整件查看器”-“属性” ,(依据系统空间情况)安全日志日志容量 100M、 日志改写时间 30 天应用程序日志容量 100M、 日志改写时间 30 天系统日志日志容量 100M、 日志改写时间 30 天4共享设置关闭共享1、使用 net share
5、命令检查当前的共享情况。2、删除 ADMIN$、C$、等默认共享关闭默认在注册表中添加如下内容:和管理共HKEY_LOCAL_MACHINESystemCurrent享、限制ControlSet.匿名连接ServicesLanManServerParameters和空连接键值:AutoShareServer类型:REG_DWORD数值:05系统补丁系统补丁检查系统补丁更新:更新安装操作系统ServicePack以及HotFix对于Windows 2003安装 SP2; (注册表查看:localmachinesoftwaremicrosoftUpdateswindows 2003.)6病毒防护防
6、病毒系软件版本。病毒库版本。安装后升级病毒库,安装过程为默认安统装。设置自动更新病毒库为每天更新。其它安全 设置屏保屏幕保护设置为 3 分钟,恢复时有密码设置口令去除自动执行 Gpedit.msc,打开组策略面板, 关播放功能闭系统自动播放功能拒绝服务拒绝服务攻击设置:攻击设置HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameterSynAttackProtect.键值数值为 1系统优化服务设置:系统优化服务设置: Automatic Update启动:禁用启动:手 Background Intelligent Transf
7、er Service动 DHCP Client启动:禁用 Computer Browers启动:禁用 Internet Connection Sharing启动:禁用 Messenger启动:禁用 Net Logon启动:自动 Remote Registry Service启动:禁用 Routing and Remote Access启动:禁用 Telnet启动:禁用 Terminal Services启动:禁用 Universal Plug and Play Device Host启动:禁用 WebClient启动:禁用 Wireless Configuration启动:禁用 Alerter
8、:启动:禁用 Clipbook:启动:禁用 distributed link tracking client:启动:禁用 internet connection sharing:启动:禁用. ipsec policy agent:启动:禁用 logical disk manager administrative service:启动:自动 message queuing:启动:自动 messenger:启动:自动 network dde:你没有连入局域网:启动:禁用 network dde dsdm:你没有连入局域网 :启动:禁用 performance logs and alerts:启动:禁用 qos rsvp:启动:禁用 routing and remote access: 启动:禁用 smart card:启动:禁用 smart card helper:启动:禁用 uninterruptible power supply:启动:禁用 utility manager:启动:禁用 windows management instrumentation:启动:禁用.
