服务器安全加固操作手册.doc

操作系统加固实施方案WINDOWS2003安全评估加固手册文档名：文档编号：服务器名称:服务器IP:生成地点：加固时间：客户确认签字：编号加固内容加固项目检查方法检查结果加固操作1账户策略口令要求口令设置必须是十位或以上，口令必须至少是数字、字母、特殊符号的两种以上的组合。口令更改管理员口令更改周期不能长于1周密码策略打开“控制面版”“管理工具”“本地安全策略”，在“帐户策略”中。(运行secpol.msc命令)密码必须符合复杂性要求：已启用密码长度最小值：10个字符密码最长存留期：7天密码最短存留期：0天强制密码历史：2个记住的密码设置完成之后，需要重启计算机方可生效账户锁定策略打开“控制面版”“管理工具”“本地安全策略”，在“帐户策略”“帐户锁定策略”中。复位帐户锁定计数器：0分钟后帐户锁定时间：0分钟帐户锁定阙值：3次无效登录2本地安全策略安全服务选项在断开会话之前所需的空闲时间：5分钟在关机时清理虚拟内存页面交换文件：启用在密码到期前提示用户更改密码：14天 禁止本地登录的用户访问软盘：启用防止用户安装打印机驱动程序：启用交互式登录时不显示上次用户名：启用登录时不需要按Ctrl+Alt+Del ： 停用在超过登录时间后强制注销： 启用不允许SAM帐户的匿名枚举： 启用不允许SAM帐户和共享的匿名枚举： 启用在下一次密码变更时不存储LANMAN哈希值：启用不允许为网络验证存储凭据或.NET Passport：启用从文件共享中删除允许匿名登录的DFS$和COMCFG；从通过网络访问此计算机中删除Power Users和Backup Operators；帐户安全管理打开控制面板-管理工具-本地安全策略，选择安全选项更改默认管理员帐户administrator名称更改默认来宾帐户名称guest为（用户定义）禁用的服务1使用services.msc查看服务列表，注意以下互操作服务，确定服务不需要则禁用，设置为手动启动：Task SchedulerRemote Registry ServiceRunAs ServiceMessengerWindows Time其它服务设置见附表2.关闭不必要的端口3安全策略安全审计运行secpol.msc命令，打开“本地安全设置”-“本地策略”-“审核策略”。启用所有审核策略“成功和失败”；事件日志调整事件日志调整,查看“系统工具”-“事件查看器”-“属性”，(依据系统空间情况)安全日志 日志容量100M、日志改写时间30天应用程序 日志容量100M、日志改写时间30天系统日志 日志容量100M、日志改写时间30天4共享设置关闭共享1、使用net share 命令检查当前的共享情况。2、删除ADMIN$、C$、等默认共享关闭默认和管理共享、限制匿名连接和空连接在注册表中添加如下内容：HKEY_LOCAL_MACHINESystemCurrentControlSetServicesLanManServerParameters键值：AutoShareServer类型：REG_DWORD数值：05系统补丁系统补丁更新检查系统补丁更新：安装操作系统ServicePack以及HotFix对于Windows 2003安装SP2；（注册表查看：local machinesoftwaremicrosoftUpdateswindows 2003.）6病毒防护防病毒系统软件版本 。病毒库版本 。安装后升级病毒库，安装过程为默认安装。设置自动更新病毒库为每天更新。其它安全设置设置屏保屏幕保护设置为3分钟，恢复时有密码口令去除自动播放功能执行Gpedit.msc，打开组策略面板，关闭系统自动播放功能拒绝服务攻击设置拒绝服务攻击设置：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices TcpipParameter SynAttackProtect键值数值为1系统优化服务设置：n Automatic Update l启动：禁用n Background Intelligent Transfer Service l启动：手动n DHCP Clientl启动：禁用 n Computer Browersl启动：禁用n Internet Connection Sharing l启动：禁用n Messengerl启动：禁用n Net Logonl启动：自动n Remote Registry Servicel启动：禁用n Routing and Remote Accessl启动：禁用n Telnetl启动：禁用n Terminal Servicesl启动：禁用n Universal Plug and Play Device Hostl启动：禁用n WebClientl启动：禁用n Wireless Configurationl启动：禁用n Alerter：启动：禁用n Clipbook：启动：禁用n distributed link tracking client：启动：禁用n internet connection sharing：启动：禁用n ipsec policy agent：启动：禁用n logical disk manager administrative service：启动：自动 n message queuing：启动：自动n messenger：启动：自动 n network dde：你没有连入局域网：启动：禁用n network dde dsdm：你没有连入局域网 ：启动：禁用n performance logs and alerts：启动：禁用n qos rsvp：启动：禁用n routing and remote access: 启动：禁用n smart card：启动：禁用