搜索
中国××公司服务器操作系统安全配置标准-WindowsV1.12006年03月30日文档控制拟制:审核:标准化:读者:版本控制版本提交日期相关组织和人员版本描述V1.02005-12-08V1.12006-03-301概述11.1适用范围11.2实施11.3例外条款11.4检查和维护12适用版本23用户账号控制23.1密码策略23.2复杂性要求23.3账户锁定策略33.4内置默认账户安全33.5安全选项策略44注册表安全配置64.1注册表访问授权64.2禁止匿名访问注册表74.3针对网络攻击的安全考虑事项74.4禁用8.3格式文件名的自动生成84.5禁用LMHASH创建84.6配置NTLMSSP安全84.7禁用自动运行功能84.8附加的注册表安全配置95服务管理95.1成员服务器95.2域控制器106文件/目录控制116.1目录保护116.2文件保护127服务器操作系统补丁管理167.1确定修补程序当前版本状态167.2部署修补程序168系统审计日志169其它配置安全179.1确保所有的磁盘卷使用NTFS文件系统179.2系统启动设置179.3屏幕保护设置179.4远程管理访问要求1810防病毒管理1811附则1811.1文档信息1811.2其他信息181概述本文档规定了中国××公司企业范围内安装有Windows操作系统的主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员进行Windows操作系统的安全配置。1.1适用范围本规范的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。本规范适用的范围包括:支持中国××公司运行的Windows2000Server,Windows2003服务器系统。1.2实施本规范的解释权和修改权属于中国××公司,在本标准的执行过程中若有任何疑问或建议,应及时反馈。本标准一经颁布,即为生效。1.3例外条款欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国××公司信息系统管理部门进行审批备案。1.4检查和维护根据中国××公司经营活动的需要,每年检查和评估本标准,并做出适当更新。如果在突发事件处理过程中,发现需对本标准进行变更,也需要进行本标准的维护。任何变更草案将由中国××公司信息系统管理部门进行审核批准。各相关部门经理有责任与其下属的组织和员工沟通变更的内容。2适用版本Windows2000Server;Windows2003.3用户账号控制基本策略:用户被赋予唯一的用户名、用户ID(UID)。3.1密码策略默认情况下,将对域中的所有服务器强制执行一个标准密码策略。下表列出了一个标准密码策略的设置以及针对您的环境建议的最低设置。策略默认设置推荐最低设置强制执行密码历史记录记住1个密码记住4个密码密码最长期限42天42天密码最短期限0天0天最短密码长度0个字符8个字符密码必须符合复杂性要求禁用启用为域中所有用户使用可还原的加密来储存密码禁用禁用3.2复杂性要求当组策略的“密码必须符合复杂性要求”设置启用后,它要求密码必须为6个字符长(但我们建议您将此值设置为8个字符)。它还要求密码中必须包含下面类别中至少三个类别的字符:英语大写字母A,B,C,…Z英语小写字母a,b,c,…z西方阿拉伯数字0,1,2,…9非字母数字字符,如标点符号3.3账户锁定策略有效的账户锁定策略有助于防止攻击者猜出您账户的密码。下表列出了一个默认账户锁定策略的设置以及针对您的环境推荐的最低设置。策略默认设置推荐最低设置账户锁定时间未定义30分钟账户锁定阈值05次无效登录复位账户锁定计数器未定义30分钟3.4内置默认账户安全Windows有几个内置的用户账户,它们不可删除,但可以通过禁用,重命名或设置相关的权限的方式来保证一定的系统安全性。帐户名建议安全配置策略适用系统Administrator1.此帐户必须在安装后立即重命名并修改相关密码;2.对于系统管理员建议建立一个相关拥有Administrator组权限的新用户,平时使用此帐户登陆,只有在有特殊需要时才使用重命名后的Administrator进行系统登陆。Windows2000ServerWindowsServer2003Guest帐户必须禁用;如有特殊需要保留也一定要重命名。Windows2000ServerWindowsServer2003TSInternetUser此帐户是为了“TerminalServices’InternetConnectorLicense”使用而存在的,故帐户必须禁用,不会对于正常的TerminalServices的功能有影响。Windows2000ServerWindowsServer2003SUPPORT_388945a0此帐户是为了IT帮助和支持服务,此帐户必须禁用。WindowsServer2003IUSR_{system}必须只能是Guest组的成员。此帐户为IIS(InternetInformationServer)服务建立的。IWAM_{system}必须只能是Guest组的成员。此帐户为IIS(InternetInformationServer)服务建立的。3.5安全选项策略域策略中的安全选项应根据以下设置按照具体需要修改:选项设置对匿名连接的附加限制没有显式匿名权限就无法访问允许服务器操作员计划任务(仅用于域控制器)禁用允许在未登录前系统关机禁用允许弹出可移动NTFS媒体管理员在断开会话之前所需的空闲时间15分钟对全局系统对象的访问进行审计禁用对备份和还原权限的使用进行审计禁用登录时间过期就自动注销用户未定义(见附注)当登录时间过期就自动注销用户(本地)启用在系统关机时清除虚拟内存页面交换文件启用对客户端通讯使用数字签名(始终)启用对客户端通讯使用数字签名(如果可能)启用对服务器通讯使用数字签名(始终)启用对服务器通讯进行数字签名(如果可能)启用禁用按CTRL+ALT+DEL进行登录的设置禁用登录屏幕上不要显示上次登录的用户名启用LANManager身份验证级别仅发送NTLMv2响应,拒绝LM&NTLM用户尝试登录时消息文字用户尝试登录时消息标题缓冲保存的以前登录次数(在域控制器不可用的情况下)0次登录防止计算机账户密码的系统维护禁用防止用户安装打印机驱动程序启用在密码到期前提示用户更改密码14天故障恢复控制台:允许自动管理登录禁用故障恢复控制台:允许对驱动器和文件夹进行软盘复制和访问禁用重命名系统管理员账户未定义重命名来宾账户未定义只有本地登录的用户才能访问CD-ROM启用只有本地登录的用户才能访问软盘启用安全通道:对安全通道数据进行数字加密或签名(始终)启用安全通道:对安全通道数据进行数字加密(如果可能)启用安全通道:对安全通道数据进行数字签名(如果可能)启用安全通道:需要强(Windows2000Server或以上版本)会话密钥启用安全系统磁盘分区(只适于RISC操作平台)未定义发送未加密的密码以连接到第三方SMB服务器。禁用如果无法记录安全审计则立即关闭系统启用(见第二条附注)智能卡移除操作锁定工作站增强全局系统对象的默认权限(例如SymbolicLinks)启用未签名驱动程序的安装操作禁止安装未签名非驱动程序的安装操作允许安装但发出警告在上面的推荐配置中,下面几项由于直接影响了域中各服务器间通讯的方式,可能会对服务器性能有影响。对匿名连接的附加限制默认情况下,Windows2000Server允许匿名用户执行某些活动,如枚举域账户和网络共享区的名称。这使得攻击者无需用一个用户账户进行身份验证就可以查看远程服务器上的这些账户和共享名。为更好地保护匿名访问,可以配置“没有显式匿名权限就无法访问”。这样做的效果是将Everyone(所有人)组从匿名用户令牌中删除。对服务器的任何匿名访问都将被禁止,而且对任何资源都将要求显式访问。LANManager身份验证级别MicrosoftWindows9x和WindowsNT®操作系统不能使用Kerberos进行身份验证,所以,在默认情况下,在Windows2000域中它们使用NTLM协议进行网络身份验证。您可以通过使用NTLMv2对Windows9x和WindowsNT强制执行一个更安全的身份验证协议。对于登录过程,NTLMv2引入了一个安全的通道来保护身份验证过程。在关机时清理虚拟内存页面交换文件实际内存中保存的重要信息可以周期性地转储到页面交换文件中。这有助于Windows2000Server处理多任务功能。如果启用此选项,Windows2000Server将在关机时清理页面交换文件,将存储在那里的所有信息清除掉。根据页面交换文件的大小不同,系统可能需要几分钟的时间才能完全关闭。对客户端/服务器通讯使用数字签名在高度安全的网络中实现数字签名有助于防止客户机和服务器被模仿(即所谓“会话劫持”或“中间人”攻击)。服务器消息块(SMB)签名既可验证用户身份,又可验证托管数据的服务器的身份。如有任何一方不能通过身份验证,数据传输就不能进行。在实现了SMB后,为对服务器间的每一个数据包进行签名和验证,性能最多会降低15%。针对Server2003的设置:通过运行Secpol.mscSecuritySettingsLocalPolicies进行设置安全选项设置在用户密码过期前通知用户7天4注册表安全配置4.1注册表访问授权对于Windows注册表的访问授权必须按下列的表格进行设置,“访问授权”栏里规定了对于普通用户(例如Everyone,Users,AuthenticatedUsers或othergroupscontaininggeneralusers)所赋予的最大权利。注册表资源名称访问授权HKCRorHKLM\Software\Classes\保护对于文件扩展名链接和COM类注册信息的未授权修改Read*HKLM\System\CurrentControlSet\Control\SecurePipeServers值:Winreg限制远程注册表访问权限Read*HKLM\System\CurrentControlSet\Services\Eventlog\Security保护安全日志保存目录和配置被未授权的进行浏览。普通用户没有相应权限。HKLM\System\CurrentControlSet\Services\Eventlog\DNS-适用于MSDNS服务运行环境中-保护DNS日志保存目录和配置被未授权的进行浏览普通用户没有相应权限。注释:对于‘Read‘的授权包括‘RX’(读取和执行)和‘ListFolderContents’(列出文件夹内容)。4.2禁止匿名访问注册表只允许系统管理员拥有远程访问注册表的权限。1.添加如下注册表项:项目参数HiveHKEY_LOCAL_MACHINE\SYSTEMKey\CurrentControlSet\Control\SecurePipeServersValueName\winreg2.选中“winreg”,点击“Security”选单,点击“Permission”,设置系统管理员Administrator拥有“FullControl”,确保没有其他用户或组包含在其中,点击“OK”。4.3针对网络攻击的安全考虑事项有些拒绝服务攻击可能会给Windows2000Server服务器上的TCP/IP协议栈造成威胁。这些注册表设置有助于提高Windows2000ServerTCP/IP协议栈抵御标准类型的拒绝服务网络攻击的能力。下面的注册表项作为HKLM\System\CurrentControlSet\Services\Tcpip|Parameters\的子项添加:项格式值(十进制)EnableICMPRedirectDWORD0EnableSecurityFiltersDWORD1SynAttackProtectDWORD2EnableDeadGWDetectDWORD0EnablePMTUDiscoveryDWORD0KeepAliveTimeDWORD300,0