windows系统安全加固建议书

1、精选优质文档-倾情为你奉上文档编号：Windows安全加固建议书【内部查阅】2009年12月目 录1配置标准31.1组策略管理31.1.1组策略的重要性31.1.2组策略的应用方式31.1.3组策略的实施41.2用户账号控制51.2.1密码策略51.2.2复杂性要求51.2.3账户锁定策略51.2.4内置账户安全61.3安全选项策略61.4注册表安全配置81.4.1针对网络攻击的安全考虑事项81.4.2禁用文件名的自动生成91.4.3禁用 Lmhash 创建91.4.4配置 NTLMSSP 安全101.4.5禁用自动运行功能101.5补丁管理111.5.1确定修补程序当前版本状态111.5.2

2、部署修补程序111.6文件/目录控制111.6.1目录保护111.6.2文件保护121.7系统审计日志161.8服务管理171.8.1成员服务器171.8.2域控制器181.9其它配置安全191.9.1确保所有的磁盘卷使用NTFS文件系统191.9.2系统启动设置191.9.3屏保19 1 配置标准1.1 组策略管理1.1.1 组策略的重要性 Windows组策略有助于在您的 Active Directory 域中为所有工作站和服务器实现安全策略中的技术建议。可以将组策略和 OU 结构结合使用，为特定服务器角色定义其特定的安全设置。 如果使用组策略来实现安全设置，则可以确保对某一策略进行的任何

3、更改都将应用到使用该策略的所有服务器，并且新的服务器将自动获取新的设置。1.1.2 组策略的应用方式一个用户或计算机对象可能受多个组策略对象（GPO） 的约束。这些 GPO 按顺序应用，并且设置不断累积，除发生冲突外，在默认情况下，较迟的策略中的设置将替代较早的策略中的设置。第一个应用的策略是本地 GPO，在本地 GPO 之后，后来的 GPO 依次在站点、域、父组织单位（OU） 和子 OU 上应用。下图显示了每个策略是如何应用的：1.1.3 组策略的实施在Windows局域网中实施安全管理应分别从服务器和工作站两方面进行。首先应在服务器上安装活动目录服务，然后在域上实施组策略；其次应将工作站置

4、于服务器所管理的域中。n 启动活动目录服务在“程序管理工具配置服务器”选项中，选定左边的“Active Directory”，启动活动目录安装向导。将服务器设置为第一个域目录树，DNS域名输入提供的域名。n 打开组策略控制台启动“Active Directory目录和用户”项，在右面对象容器树中的根目录上单击右键，然后单击“属性”项，在新打开的窗口中单击“组策略”选项卡，即可打开组策略控制台。n 创建OU结构1) 启动 Active Directory 用户和计算机。 2) 右键单击域名，选择新建，然后选择组织单位。 3) 键入成员服务器，然后单击确定。 4) 右键单击成员服务器，选择新建，然

5、后选择组织单位。 5) 键入应用程序服务器，然后单击确定。 6) 针对文件和打印服务器、IIS 服务器和基础结构服务器重复第 5 步和第 6 步。n 设置组策略位于组策略对象“安全设置”节点的容器包括：账户策略、本地策略、事件日志、受限组、系统服务、注册表、文件系统、公钥策略、Active Directory中的网际协议安全策略等。具体的设置在本标准的相应章节中详细说明。1.2 用户账号控制1.2.1 密码策略默认情况下，将对域中的所有服务器强制执行一个标准密码策略。下表列出了一个标准密码策略的设置以及针对您的环境建议的最低设置。 策略默认设置推荐最低设置强制执行密码历史记录记住 1 个密码记

6、住 24 个密码密码最长期限42 天42 天密码最短期限0 天2 天最短密码长度0 个字符8 个字符密码必须符合复杂性要求禁用启用为域中所有用户使用可还原的加密来储存密码禁用禁用1.2.2 复杂性要求当组策略的“密码必须符合复杂性要求”设置启用后，它要求密码必须为 6 个字符长（但我们建议您将此值设置为 8 个字符）。它还要求密码中必须包含下面类别中至少三个类别的字符： n 英语大写字母 A, B, C, Z n 英语小写字母 a, b, c, z n 西方阿拉伯数字 0, 1, 2, 9 n 非字母数字字符，如标点符号1.2.3 账户锁定策略有效的账户锁定策略有助于防止攻击者猜出您账户的密码

7、。下表列出了一个默认账户锁定策略的设置以及针对您的环境推荐的最低设置。 策略默认设置推荐最低设置账户锁定时间未定义30 分钟账户锁定阈值05 次无效登录复位账户锁定计数器未定义30 分钟n 用户被赋予唯一的用户名、用户ID（UID）和口令。n 用户名口令长度规定。1.2.4 内置账户安全Windows有几个内置的用户账户，它们不可删除，但可以重命名。其中Guest（来宾）账户应禁用的，管理员账户应重命名而且其描述也要更改，以防攻击者使用已知用户名破坏一个远程服务器。1.3 安全选项策略域策略中的安全选项应根据以下设置按照具体需要修改：选项设置对匿名连接的附加限制没有显式匿名权限就无法访问允许服

8、务器操作员计划任务 (仅用于域控制器)禁用允许在未登录前系统关机禁用允许弹出可移动 NTFS 媒体管理员在断开会话之前所需的空闲时间15 分钟对全局系统对象的访问进行审计禁用对备份和还原权限的使用进行审计禁用登录时间过期就自动注销用户未定义（见附注）当登录时间过期就自动注销用户（本地）启用在系统关机时清除虚拟内存页面交换文件启用对客户端通讯使用数字签名 （始终）启用对客户端通讯使用数字签名 (如果可能)启用对服务器通讯使用数字签名（始终）启用对服务器通讯进行数字签名 (如果可能)启用禁用按 CTRL+ALT+DEL 进行登录的设置禁用登录屏幕上不要显示上次登录的用户名启用LAN Manager

9、 身份验证级别仅发送 NTLMv2 响应，拒绝 LM & NTLM用户尝试登录时消息文字用户尝试登录时消息标题缓冲保存的以前登录次数（在域控制器不可用的情况下）0 次登录防止计算机账户密码的系统维护禁用防止用户安装打印机驱动程序启用在密码到期前提示用户更改密码14 天故障恢复控制台：允许自动管理登录禁用故障恢复控制台：允许对驱动器和文件夹进行软盘复制和访问禁用重命名系统管理员账户未定义重命名来宾账户未定义只有本地登录的用户才能访问 CD-ROM启用只有本地登录的用户才能访问软盘启用安全通道：对安全通道数据进行数字加密或签名（始终）启用安全通道：对安全通道数据进行数字加密 （如果可能）启用安全通

10、道：对安全通道数据进行数字签名（如果可能）启用安全通道: 需要强 (Windows 2000 或以上版本) 会话密钥启用安全系统磁盘分区（只适于 RISC 操作平台）未定义发送未加密的密码以连接到第三方 SMB 服务器。禁用如果无法记录安全审计则立即关闭系统启用（见第二条附注）智能卡移除操作锁定工作站增强全局系统对象的默认权限（例如 Symbolic Links）启用未签名驱动程序的安装操作禁止安装未签名非驱动程序的安装操作允许安装但发出警告在上面的推荐配置中，下面几项由于直接影响了域中各服务器间通讯的方式，可能会对服务器性能有影响。n 对匿名连接的附加限制 默认情况下，Windows允许匿名

11、用户执行某些活动，如枚举域账户和网络共享区的名称。这使得攻击者无需用一个用户账户进行身份验证就可以查看远程服务器上的这些账户和共享名。为更好地保护匿名访问，可以配置“没有显式匿名权限就无法访问”。这样做的效果是将 Everyone（所有人）组从匿名用户令牌中删除。对服务器的任何匿名访问都将被禁止，而且对任何资源都将要求显式访问。n LAN Manager 身份验证级别 Microsoft Windows 9x 和 Windows NT 操作系统不能使用 Kerberos 进行身份验证，所以，在默认情况下，在 Windows 2000 域中它们使用 NTLM 协议进行网络身份验证。您可以通过使用

12、 NTLMv2 对 Windows 9x 和 Windows NT 强制执行一个更安全的身份验证协议。对于登录过程，NTLMv2 引入了一个安全的通道来保护身份验证过程。n 在关机时清理虚拟内存页面交换文件 实际内存中保存的重要信息可以周期性地转储到页面交换文件中。这有助于 Windows处理多任务功能。如果启用此选项，Windows 2000 将在关机时清理页面交换文件，将存储在那里的所有信息清除掉。根据页面交换文件的大小不同，系统可能需要几分钟的时间才能完全关闭。n 对客户端/服务器通讯使用数字签名 在高度安全的网络中实现数字签名有助于防止客户机和服务器被模仿（即所谓“会话劫持”或“中间人

13、”攻击）。服务器消息块 (SMB) 签名既可验证用户身份，又可验证托管数据的服务器的身份。如有任何一方不能通过身份验证，数据传输就不能进行。在实现了 SMB 后，为对服务器间的每一个数据包进行签名和验证，性能最多会降低 15%。1.4 注册表安全配置1.4.1 针对网络攻击的安全考虑事项有些拒绝服务攻击可能会给 Windows 服务器上的 TCP/IP 协议栈造成威胁。这些注册表设置有助于提高 Windows TCP/IP 协议栈抵御标准类型的拒绝服务网络攻击的能力。下面的注册表项作为 HKLMSystemCurrentControlSetServicesTcpip|Parameters 的子

14、项添加：项格式值（十进制）EnableICMPRedirectDWORD0EnableSecurityFiltersDWORD1SynAttackProtectDWORD2EnableDeadGWDetectDWORD0EnablePMTUDiscoveryDWORD0KeepAliveTimeDWORD300,000DisableIPSourceRoutingDWORD2TcpMaxConnectResponseRetransmissionsDWORD2TcpMaxDataRetransmissionsDWORD3NoNameReleaseOnDemandDWORD1PerformRoute

15、rDiscoveryDWORD0TCPMaxPortsExhaustedDWORD51.4.2 禁用文件名的自动生成为与 16 位应用程序的向后兼容，Windows支持 8.3 文件名格式。这意味着攻击者只需要 8 个字符即可引用可能有 20 个字符长的文件。如果您不再使用 16 位应用程序，则可以将此功能关闭。禁用 NTFS 分区上的短文件名生成还可以提高目录枚举性能。下面的注册表项作为 HKLMSystemCurrentControlSetControlFileSystem 的子项添加：项格式值（十进制）NtfsDisable8dot3NameCreationDWORD11.4.3 禁用

16、Lmhash 创建Windows服务器可以验证运行任何以前 Windows 版本的计算机的身份。然而，以前版本的 Windows 不使用 Kerberos 进行身份验证，所以 Windows支持 Lan Manager (LM)、Windows NT (NTLM) 和 NTLM 版本 2 (NTLMv2)。相比之下，LM 散列运算的能力比 NTLM 弱，因而易在猛烈攻击下被攻破。如果您没有需要 LM 身份验证的客户机，则应禁用 LM 散列的存储。Windows 2000 Service Pack 2 提供了一个注册表设置以禁用 LM 散列的存储。下面的注册表项作为 HKLMSYSTEMCurr

17、entControlSetControlLsa 的一个子项添加：项格式值（十进制）NoLMHashDWORD11.4.4 配置 NTLMSSP 安全NTLM 安全支持提供程序 (NTLMSSP) 允许您按应用程序指定服务器端网络连接的最低必需安全设置。下面的配置可以确保，如果使用了消息保密但未协商 128 位加密，则连接将失败。下面的注册表项作为 HKLMSYSTEMCurrentControlSetControlLsaMSV1_0 的一个子项添加：项格式值（十六进制）NtlmMinServerSecDWORD0x1.4.5 禁用自动运行功能一旦媒体插入一个驱动器，自动运行功能就开始从该驱动器

18、读取数据。这样，程序的安装文件和音频媒体上的声音就可以立即启动。为防止可能有恶意的程序在媒体插入时就启动，组策略禁用了所有驱动器的自动运行功能。下面的注册表项作为 HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer的一个子项添加：项格式值（十六进制）NoDriveTypeAutoRunDWORD0xFF1.5 补丁管理1.5.1 确定修补程序当前版本状态注册表中查看HKLMSoftwareMicrosoftWindows NtCurrentversionhotfix键，可以看到打过的补丁对应的修复程序的知识库文章编号。如果已经部

19、署了 Microsoft Systems Management Server (SMS)，则其软件部署功能可用于将修补程序部署到环境中具有 SMS 客户端的所有计算机，并确认每台计算机所安装的补丁程序的当前版本和状态。1.5.2 部署修补程序可以使用手工执行修补程序的方法安装，修补程序一般是一个可执行文件，其名称表示了修补的信息。如：Q_W2K_SP3_x86_en.EXE。n Q 是知识库文章编号，您可在其中查找有关该即时修复程序的详细信息。 n W2K 是它所针对的产品 (Microsoft Windows 2000) n SP3 是将要包括它的 Service Pack。 n x86 是

20、它所面向的处理器体系结构。 n en 是语言（英语）。 如果安装了Microsoft Software Update Services (SUS)程序，可以使用SUS集中部署指定范围（指定域或IP地址范围）的主机的修补程序。1.6 文件/目录控制1.6.1 目录保护受保护的目录如下表所示：保护的目录应用的权限%systemdrive%Administrators：完全控制System：完全控制Authenticated Users：读取和执行、列出文件夹内容、读取%SystemRoot%Repair%SystemRoot%Security%SystemRoot%Temp%SystemRoot%

21、system32Config%SystemRoot%system32LogfilesAdministrators：完全控制Creator/Owner：完全控制System：完全控制%systemdrive%InetpubAdministrators：完全控制System：完全控制Everyone：读取和执行、列出文件夹内容、读取其中%SystemRoot% 定义了 Windows 系统文件所在的路径和文件夹名，%SystemDrive% 定义了包含 %systemroot% 的驱动器。1.6.2 文件保护受保护的文件如下表所示：文件基准权限%SystemDrive%Boot.iniAdmini

22、strators：完全控制System：完全控制%SystemDrive%NAdministrators：完全控制System：完全控制%SystemDrive%NtldrAdministrators：完全控制System：完全控制%SystemDrive%Io.sysAdministrators：完全控制System：完全控制%SystemDrive%Autoexec.batAdministrators：完全控制System：完全控制Authenticated Users：读取和执行、列出文件夹内容、读取%systemdir%configAdministrators：完全控制System：完

23、全控制Authenticated Users：读取和执行、列出文件夹内容、读取%SystemRoot%system32Append.exeAdministrators：完全控制%SystemRoot%system32Arp.exeAdministrators：完全控制%SystemRoot%system32At.exeAdministrators：完全控制%SystemRoot%system32Attrib.exeAdministrators：完全控制%SystemRoot%system32Cacls.exeAdministrators：完全控制%SystemRoot%system32Chan

24、ge.exeAdministrators：完全控制%SystemRoot%system32CAdministrators：完全控制%SystemRoot%system32Chglogon.exeAdministrators：完全控制%SystemRoot%system32Chgport.exeAdministrators：完全控制%SystemRoot%system32Chguser.exeAdministrators：完全控制%SystemRoot%system32Chkdsk.exeAdministrators：完全控制%SystemRoot%system32Chkntfs.exeAdmi

25、nistrators：完全控制%SystemRoot%system32Cipher.exeAdministrators：完全控制%SystemRoot%system32Cluster.exeAdministrators：完全控制%SystemRoot%system32Cmd.exeAdministrators：完全控制%SystemRoot%system32Compact.exeAdministrators：完全控制%SystemRoot%system32CAdministrators：完全控制%SystemRoot%system32Convert.exeAdministrators：完全控制

26、%SystemRoot%system32Cscript.exeAdministrators：完全控制%SystemRoot%system32Debug.exeAdministrators：完全控制%SystemRoot%system32Dfscmd.exeAdministrators：完全控制%SystemRoot%system32DAdministrators：完全控制%SystemRoot%system32DAdministrators：完全控制%SystemRoot%system32Doskey.exeAdministrators：完全控制%SystemRoot%system32Edli

27、n.exeAdministrators：完全控制%SystemRoot%system32Exe2bin.exeAdministrators：完全控制%SystemRoot%system32Expand.exeAdministrators：完全控制%SystemRoot%system32Fc.exeAdministrators：完全控制%SystemRoot%system32Find.exeAdministrators：完全控制%SystemRoot%system32Findstr.exeAdministrators：完全控制%SystemRoot%system32Finger.exeAdmin

28、istrators：完全控制%SystemRoot%system32Forcedos.exeAdministrators：完全控制%SystemRoot%system32FAdministrators：完全控制%SystemRoot%system32Ftp.exeAdministrators：完全控制%SystemRoot%system32Hostname.exeAdministrators：完全控制%SystemRoot%system32Iisreset.exeAdministrators：完全控制%SystemRoot%system32Ipconfig.exeAdministrators：

29、完全控制%SystemRoot%system32Ipxroute.exeAdministrators：完全控制%SystemRoot%system32Label.exeAdministrators：完全控制%SystemRoot%system32Logoff.exeAdministrators：完全控制%SystemRoot%system32Lpq.exeAdministrators：完全控制%SystemRoot%system32Lpr.exeAdministrators：完全控制%SystemRoot%system32Makecab.exeAdministrators：完全控制%Syste

30、mRoot%system32Mem.exeAdministrators：完全控制%SystemRoot%system32Mmc.exeAdministrators：完全控制%SystemRoot%system32MAdministrators：完全控制%SystemRoot%system32MAdministrators：完全控制%SystemRoot%system32Mountvol.exeAdministrators：完全控制%SystemRoot%system32Msg.exeAdministrators：完全控制%SystemRoot%system32Nbtstat.exeAdmini

31、strators：完全控制%SystemRoot%system32Net.exeAdministrators：完全控制%SystemRoot%system32Net1.exeAdministrators：完全控制%SystemRoot%system32Netsh.exeAdministrators：完全控制%SystemRoot%system32Netstat.exeAdministrators：完全控制%SystemRoot%system32Nslookup.exeAdministrators：完全控制%SystemRoot%system32Ntbackup.exeAdministrator

32、s：完全控制%SystemRoot%system32Ntsd.exeAdministrators：完全控制%SystemRoot%system32Pathping.exeAdministrators：完全控制%SystemRoot%system32Ping.exeAdministrators：完全控制%SystemRoot%system32Print.exeAdministrators：完全控制%SystemRoot%system32Query.exeAdministrators：完全控制%SystemRoot%system32Rasdial.exeAdministrators：完全控制%Sy

33、stemRoot%system32Rcp.exeAdministrators：完全控制%SystemRoot%system32Recover.exeAdministrators：完全控制%SystemRoot%system32Regedit.exeAdministrators：完全控制%SystemRoot%system32Regedt32.exeAdministrators：完全控制%SystemRoot%system32Regini.exeAdministrators：完全控制%SystemRoot%system32Register.exeAdministrators：完全控制%Syste

34、mRoot%system32Regsvr32.exeAdministrators：完全控制%SystemRoot%system32Replace.exeAdministrators：完全控制%SystemRoot%system32Reset.exeAdministrators：完全控制%SystemRoot%system32Rexec.exeAdministrators：完全控制%SystemRoot%system32Route.exeAdministrators：完全控制%SystemRoot%system32Routemon.exeAdministrators：完全控制%SystemRoo

35、t%system32Router.exeAdministrators：完全控制%SystemRoot%system32Rsh.exeAdministrators：完全控制%SystemRoot%system32Runas.exeAdministrators：完全控制%SystemRoot%system32Runonce.exeAdministrators：完全控制%SystemRoot%system32Secedit.exeAdministrators：完全控制%SystemRoot%system32Setpwd.exeAdministrators：完全控制%SystemRoot%system

36、32Shadow.exeAdministrators：完全控制%SystemRoot%system32Share.exeAdministrators：完全控制%SystemRoot%system32Snmp.exeAdministrators：完全控制%SystemRoot%system32Snmptrap.exeAdministrators：完全控制%SystemRoot%system32Subst.exeAdministrators：完全控制%SystemRoot%system32Telnet.exeAdministrators：完全控制%SystemRoot%system32Termsr

37、v.exeAdministrators：完全控制%SystemRoot%system32Tftp.exeAdministrators：完全控制%SystemRoot%system32Tlntadmin.exeAdministrators：完全控制%SystemRoot%system32Tlntsess.exeAdministrators：完全控制%SystemRoot%system32Tlntsvr.exeAdministrators：完全控制%SystemRoot%system32Tracert.exeAdministrators：完全控制%SystemRoot%system32TAdmin

38、istrators：完全控制%SystemRoot%system32Tsadmin.exeAdministrators：完全控制%SystemRoot%system32Tscon.exeAdministrators：完全控制%SystemRoot%system32Tsdiscon.exeAdministrators：完全控制%SystemRoot%system32Tskill.exeAdministrators：完全控制%SystemRoot%system32Tsprof.exeAdministrators：完全控制%SystemRoot%system32Tsshutdn.exeAdminis

39、trators：完全控制%SystemRoot%system32UAdministrators：完全控制%SystemRoot%system32Wscript.exeAdministrators：完全控制%SystemRoot%system32Xcopy.exeAdministrators：完全控制1.7 系统审计日志应用程序、安全性和系统事件日志的设置都应在域策略中配置并应用到域中的所有成员服务器。建议设置日志大小为10M字节，配置为不改写事件。审计策略应根据以下设置按照具体需要修改：策略计算机设置审计账户登录事件成功，失败审计账户管理成功，失败审计目录服务访问失败审计登录事件成功，失败审计

40、对象访问成功，失败审计策略更改成功，失败审计特权使用失败审计过程追踪无审计审计系统事件成功，失败限制对应用程序日志的来宾访问启用限制对安全日志的来宾访问启用限制对系统日志的来宾访问启用应用程序日志的保留方法不要改写事件 (手动清除日志)安全日志的保留方法不要改写事件 (手动清除日志)系统日志的保留方法不要改写事件 (手动清除日志)安全审计日志满后关闭计算机未定义经常使用其做安全性检查，检查的内容。1.8 服务管理1.8.1 成员服务器Windows 首次安装时，创建默认服务并将其配置为在系统启动时运行。这些服务中有一些在许多环境中都不需要运行，再者，因为任何服务都是一个潜在的受攻击点，所以应禁

41、用不必要的服务。下面的配置是windows成员服务器加入windows域并提供基本管理服务所必需的服务，建议除这些服务以外，根据实际情况禁止其它服务。服务启动类型包括在成员服务器基准策略中的理由COM+ 事件服务手动允许组件服务的管理DHCP 客户端自动更新动态 DNS 中的记录所需分布式链接跟踪客户端自动用来维护 NTFS 卷上的链接DNS 客户端自动允许解析 DNS 名称事件日志自动允许在事件日志中查看事件日志消息逻辑磁盘管理器自动需要它来确保动态磁盘信息保持最新逻辑磁盘管理器管理服务手动需要它以执行磁盘管理Netlogon自动加入域时所需网络连接手动网络通讯所需性能日志和警报手动收集计算机的性能数据，向日志中写入或触发警报即插即用自动Windows 2000 标识和使用系统硬件时所需受保护的存储区自动需要用它保护敏感数据，如私钥远程过程调用 (RPC)自动Windows 2000 中的内部过程所需远程注册服务自动hfnetchk 实用工具所需（参见附注）安全账户管理器自动存储本地安全账户的账户信息服务器自动hfnet