windows系统安全加固建议书

第1页共20页文档编号：Windows安全加固建议书【内部查阅】2009年12月第2页共20页目录1配置标准...................................................................................................................................31.1组策略管理...................................................................................................................31.1.1组策略的重要性...............................................................................................31.1.2组策略的应用方式...........................................................................................31.1.3组策略的实施...................................................................................................41.2用户账号控制...............................................................................................................51.2.1密码策略...........................................................................................................51.2.2复杂性要求.......................................................................................................51.2.3账户锁定策略...................................................................................................51.2.4内置账户安全...................................................................................................61.3安全选项策略...............................................................................................................61.4注册表安全配置...........................................................................................................81.4.1针对网络攻击的安全考虑事项.......................................................................81.4.2禁用文件名的自动生成...................................................................................91.4.3禁用Lmhash创建..........................................................................................91.4.4配置NTLMSSP安全...................................................................................101.4.5禁用自动运行功能.........................................................................................101.5补丁管理.....................................................................................................................111.5.1确定修补程序当前版本状态.........................................................................111.5.2部署修补程序.................................................................................................111.6文件/目录控制............................................................................................................111.6.1目录保护.........................................................................................................111.6.2文件保护.........................................................................................................121.7系统审计日志.............................................................................................................161.8服务管理.....................................................................................................................171.8.1成员服务器.....................................................................................................171.8.2域控制器.........................................................................................................181.9其它配置安全.............................................................................................................191.9.1确保所有的磁盘卷使用NTFS文件系统.....................................................191.9.2系统启动设置.................................................................................................191.9.3屏保.................................................................................................................19第3页共20页1配置标准1.1组策略管理1.1.1组策略的重要性Windows组策略有助于在您的ActiveDirectory域中为所有工作站和服务器实现安全策略中的技术建议。可以将组策略和OU结构结合使用，为特定服务器角色定义其特定的安全设置。如果使用组策略来实现安全设置，则可以确保对某一策略进行的任何更改都将应用到使用该策略的所有服务器，并且新的服务器将自动获取新的设置。1.1.2组策略的应用方式一个用户或计算机对象可能受多个组策略对象（GPO）的约束。这些GPO按顺序应用，并且设置不断累积，除发生冲突外，在默认情况下，较迟的策略中的设置将替代较早的策略中的设置。第一个应用的策略是本地GPO，在本地GPO之后，后来的GPO依次在站点、域、父组织单位（OU）和子OU上应用。下图显示了每个策略是如何应用的：第4页共20页1.1.3组策略的实施在Windows局域网中实施安全管理应分别从服务器和工作站两方面进行。首先应在服务器上安装活动目录服务，然后在域上实施组策略；其次应将工作站置于服务器所管理的域中。启动活动目录服务在“程序→管理工具→配置服务器”选项中，选定左边的“ActiveDirectory”，启动活动目录安装向导。将服务器设置为第一个域目录树，DNS域名输入提供的域名。打开组策略控制台启动“ActiveDirectory目录和用户”项，在右面对象容器树中的根目录上单击右键，然后单击“属性”项，在新打开的窗口中单击“组策略”选项卡，即可打开组策略控制台。创建OU结构1)启动ActiveDirectory用户和计算机。2)右键单击域名，选择新建，然后选择组织单位。3)键入成员服务器，然后单击确定。4)右键单击成员服务器，选择新建，然后选择组织单位。5)键入应用程序服务器，然后单击确定。6)针对文件和打印服务器、IIS服务器和基础结构服务器重复第5步和第6步。设置组策略位于组策略对象“安全设置”节点的容器包括：账户策略、本地策略、事件日志、受限组、系统服务、注册表、文件系统、公钥策略、ActiveDirectory中的网际协议安全策略等。具体的设置在本标准的相应章节中详细说明。第5页共20页1.2用户账号控制1.2.1密码策略默认情况下，将对域中的所有服务器强制执行一个标准密码策略。下表列出了一个标准密码策略的设置以及针对您的环境建议的最低设置。策略默认设置推荐最低设置强制执行密码历史记录记住1个密码记住24个密码密码最长期限42天42天密码最短期限0天2天最短密码长度0个字符8个字符密码必须符合复杂性要求禁用启用为域中所有用户使用可还原的加密来储存密码禁用禁用1.2.2复杂性要求当组策略的“密码必须符合复杂性要求”设置启用后，它要求密码必须为6个字符长（但我们建议您将此值设置为8个字符）。它还要求密码中必须包含下面类别中至少三个类别的字符：英语大写字母A,B,C,…Z英语小写字母a,b,c,…z西方阿拉伯数字0,1,2,…9非字母数字字符，如标点符号1.2.3账户锁定策略有效的账户锁定策略有助于防止攻击者猜出您账户的密码。下表列出了一个默认账户锁定策略的设置以及针对您的环境推荐的最低设置。策略默认设置推荐最低设置账户锁定时间未定义30分钟账户锁定阈值05次无效登录第6页共20页复位账户锁定计数器未定义30分钟用户被赋予唯一的用户名、用户ID（UID）和口令。用户名口令长度规定。1.2.4内置账户安全Windows有几个内置的用户账户，它们不可删除，但可以重命