Win2003安全加固方案

WINDOWS2003安全加固配置手册-1-目录一、 安全加固配置说明..........................................................................................................-2- 1.1安全加固配置目的............................................................................................................-2- 1.2适用系统...........................................................................................................................-2- 1.3相关说明...........................................................................................................................-2- 二、 主机加固方案..................................................................................................................-2- 2.1操作系统加固方案...........................................................................................................-2- 2.1.1安全补丁检测及安装............................................................................................-2- 2.1.2系统用户口令及策略加固....................................................................................-3- 2.1.3日志及审核策略配置.............................................................................................-4- 2.1.4安全选项策略配置................................................................................................-6- 2.1.5用户权限策略配置..............................................................................................-12- 2.1.6注册表安全设置..................................................................................................-14- 2.1.7网络与服务加固..................................................................................................-16- 2.1.8其他安全性加固..................................................................................................-18- WINDOWS2003安全加固配置手册-2-一、安全加固配置说明1.1安全加固配置目的建立WindowsServer2003操作系统安全加固配置标准，并以此标准为指导，配置和审视客户WindowsServer2003服务器的安全性；降低系统存在的安全风险，确保系统安全可靠的运行。1.2适用系统当前版本适用于Windows2003系列1.3相关说明安全加固配置中部分加固配置可以考虑使用安全模板来实现，以减轻工作量。二、主机加固方案2.1操作系统加固方案2.1.1安全补丁检测及安装实施编号：Leadsec-Win2003-1101实施名称：补丁检测及安装系统当前状态：运行cmd打开命令提示符窗口,再输入systeminfo查看目前补丁信息实施方案：确认系统安装了SP2;使用Windowsupdate或者手工安装最新补丁实施目的：升级操作系统为最新版本，修补所有已知的安全漏洞WINDOWS2003安全加固配置手册实施风险：安装某些补丁可能导致主机启动失败，或其他未知情况发生，建议先在测试机器上安装测试后再实施部署到生产机上是否实施：实施工程师备注：2.1.2系统用户口令及策略加固实施编号：Leadsec-Win2003-1201实施名称：系统用户口令策略加固系统当前状态：查看系统“本地安全设置”－“帐户策略”中“密码策略”和“账号锁定策略”当前情况：（以下为示例图）实施方案：密码必须符合复杂性要求：启用密码长度最小值8个字符密码最长使用期限：90天强制密码历史：24个记住的密码帐户锁定阀值：3次无效登陆帐户锁定时间：15分钟复位帐户锁定计数器：15分钟之后策略更改后，督促现有用户更改其登陆口令以符合最新策略要求。实施目的：保障用户账号及口令的安全，防止口令猜测攻击。实施风险：账号锁定后15分钟后才解锁。是否实施：实施工程师备注：实施编号：Leadsec-Win2003-1202-3-WINDOWS2003安全加固配置手册-4-实施名称：禁用guest账户权限系统当前状态：实施方案：开始—控制面板—管理工具—计算机管理—本地用户和组—用户—guest—右键—属性—常规—选择用户已停用实施目的：Guest账号无法删除，故应避免Guest账号被黑客激活作为后门使用。实施风险：无是否实施：实施工程师备注：实施编号：Leadsec-Win2003-1203实施名称：Administrator帐户重命名系统当前状态：实施方案：开始—控制面板—管理工具—计算机管理—本地用户和组—用户—选择administrator—右键重命名实施目的：Administrator是系统默认管理员帐户，重命名Administrator可增加账号安全性。实施风险：无是否实施：实施工程师备注：2.1.3日志及审核策略配置实施编号：Leadsec-Win2003-1301实施名称：设置主机审核策略WINDOWS2003安全加固配置手册系统当前状态：在“本地安全策略”－“本地策略”中查看系统“审核策略”：（以下为示例图）实施方案：审核策略更改成功，失败审核登陆事件成功，失败审核对象访问失败审核目录服务访问成功，失败审核特权使用失败审核系统事件成功，失败审核账户登陆事件成功，失败审核帐户管理成功，失败实施目的：对重要事件进行审核记录，方便日后出现问题时查找问题根源。实施风险：无是否实施：实施工程师备注：实施编号：Leadsec-Win2003-1302实施名称：调整事件日志的大小及覆盖策略系统当前状态：日志类型日志大小覆盖策略应用程序日志K覆盖早于天的日志安全日志K覆盖早于天的日志系统日志K覆盖早于天的日志实施方案：日志类型日志大小覆盖策略应用程序日志80000K覆盖早于30天的日志安全日志80000K覆盖早于30天的日志系统日志80000K覆盖早于30天的日志-5-WINDOWS2003安全加固配置手册其他日志（如存在）80000K覆盖早于30天的日志实施目的：增大日志大小，避免由于日志文件容量过小导致重要日志记录遗漏实施风险：是否实施：实施工程师备注：2.1.4安全选项策略配置实施编号：Leadsec-Win2003-1401实施名称：Microsoft网络服务器：当登录时间用完时自动注销用户系统当前状态：查看系统当前设置：实施方案：在管理工具-本地安全策略-选择本地策略-选择安全选项-Microsoft网络服务器：当登录时间用完时自动注销用户（改成已启用）！实施目的：可以避免用户在不适合的时间登录到系统,或者用户登录到系统后忘记退出登录实施风险：无是否实施：实施工程师备注：实施编号：Leadsec-Win2003-1402实施名称：Microsoft网络服务器：在挂起会话之前所需的空闲时间系统当前状态：查看系统当前设置：实施方案：在管理工具-本地安全策略-选择本地策略-选择安全选项-Microsoft网络服务器：在挂起会话之前所需的空闲时间（小于等于30分钟）实施目的：设置挂起会话之前所需的空闲时间为30分钟实施风险：无-6-WINDOWS2003安全加固配置手册是否实施：实施工程师备注：实施编号：Leadsec-Win2003-1403实施名称：Microsoft网络客户端：发送未加密的密码到第三方SMB服务器系统当前状态：查看系统当前设置：实施方案：在管理工具-本地安全策略-选择本地策略-选择安全选项-Microsoft网络客户端：发送未加密的密码到第三方SMB服务器（禁用）实施目的：禁止发送未加密的密码到第三方SMB服务器实施风险：无是否实施：实施工程师备注：实施编号：Leadsec-Win2003-1404实施名称：故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问系统当前状态：查看系统当前设置：实施方案：在管理工具-本地安全策略-选择本地策略-选择安全选项-故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问（禁用）实施目的：Windows2003控制台恢复的另一个特性是它禁止访问硬盘驱动器上的所有文件和目录。它仅允许访问每个卷的根目录和%systemroot%目录及子目录，即使是这样它还限制不允许把硬盘驱动器上的文件拷贝到软盘上。实施风险：无是否实施：实施工程师备注：-7-WINDOWS2003安全加固配置手册实施编号：Leadsec-Win2003-1405实施名称：故障恢复控制台:允许自动系统管理级登录系统当前状态：查看系统当前设置：实施方案：在管理工具-本地安全策略-选择本地策略-选择安全选项-故障恢复控制台:允许自动系统管理级登录（禁用）实施目的：恢复控制台是Windows2003的一个新特性，它在一个不能启动的系统上给出一个受限的命令行访问界面。该特性可能会导致任何可以重起系统的人绕过账号口令限制和其它安全设置而访问系统。实施风险：无是否实施：实施工程师备注：实施编号：Leadsec-Win2003-1406实施名称：关机时清掉页面文件系统当前状态：查看系统当前设置：实施方案：在管理工具-本地安全策略-选择本地策略-选择安全选项-关机：清除虚拟内存页面文件（启用）实施目的：某些第三方的程序可能把一些没有的加密的密码存在内存中，页面文件中也可能含有另外一些敏感的资料。关机的时候清除页面文件，防止造成意外的信息泄漏。实施风险：无是否实施：实施工程师备注：实施编号：Leadsec-Win2003-1407实施名称：关机：允许系统在未登录前关机系统当前状态：查看系统当前设置：实施方案：在管理工具-本地安全策略-选择本地策略-选择安全选项-关机：-8-WINDOWS2003安全加固配置手册允许系统在未登录前关机（禁用）实施目的：在未登录前不能关闭计算机实施风险：无是否实施：实施工程师备注：实施编号：Leadsec-Win2003-1408实施名称：交互式登录：不显示上次的用户名系统当前状态：查看系统当前设置：实施方案：在管理工具-本地安全策略-选择本地策略-选择安全选项-