中国石化windows服务器系统安全配置指南

1、/中国石化Windows效劳器系统平安配置指南V123456789概述-3-/1.1 适用范围-31.2 实施-31.3 例外条款-31.4 检查和维护-3-适用版本-4-用户账号限制-4-3.1 /密码策略-43.2 复杂性要求-4-3.3 账户锁定策略-53.4 内置默认账户平安-53.5 平安选项策略-6-注册表平安配置-8-4.1 注册表访问授权-84.2 禁止匿名访问注册表-94.3 针对网络攻击的平安考虑事项-94.4 禁用格式文件名的自动生成-104.5 禁用LMHASH创立-104.6 配置NTLMSSP平安-11-4.7 禁用自动运行功能-11-4.8 附加的注册表平安配置-

2、11-效劳治理-12-5.1 成员效劳器-125.2 域限制器-13-文件/目录限制-14-6.1 目录保护-146.2 文件保护-15-效劳器操作系统补丁治理-19-7.1 确定修补程序当前版本状态/.-197.2 部署修补程序-19-系统审计日志-19-其它配置平安-20-9.1 保证所有的磁盘卷使用NTFS文件系统-209.2 系统启动设置-209.3 屏幕保护设置.V-209.4 远程治理访问要求-21-1概述/、本标准规定了中国石化范围内安装有Windows操作系统的主机应当遵循的操作系统平安性设置标准,旨在指导系统治理人员进行Windows操作系统的安全配置.1.1 适用范围/本标

3、准适用于中国石油化工股份范围内运行的Windows2000Server,Windows2003效劳器系统.集团公司及集团公司所属部门和单位参照本标准执行.1.2 实施本标准由中国石化股份公司信息系统治理部统一解释.本标准自正式发布之日起执行.1.3 例外条款欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国石化信息系统治理部进行审批备案.1.4 检查和维护根据中国石化经营活动的需要,每年检查和评估本标准,并做出适当更新.如果在突发事件处理过程中,发现需对本标准进行变更,也需要进行本标准的维护.本标准的变更草案由中国石化信息系统治理部负责进行审核批准.2适用版本Wi

4、ndows2000Server,Windows2003.3用户账号限制根本策略：用户被赋予唯一的用户名、用户ID(UID)3.1 密码策略默认情况下,将对域中的所有效劳器强制执行一个标准密码策略.下表列出了一个标准密码策略的设置以及要求的最低设置.'策略默认设置要求最低设置强制执行密码历史记录记住1个密码记住5个密码密码最长期限42天42天密码最短期限0天0天最担密码长度0个字符8个字符密码必须符合复杂性要求禁用启用为域中所有用户使用可复原的加密来储存密码禁用禁用3.2 复杂性要求当组策略的“密码必须符合复杂性要求设置启用后,要求密码最短设置为8个字符长.建议密码中必须包含下面类别中至

5、少三个类别的字符：英语大写字母A,B,C,Z/英语小写字母a,b,c,z/西方阿拉伯数字0,1,2,9非字母数字字符,如标点符号3.3 账户锁定策略有效的账户锁定策略有助于预防账户的密码被破解.下表列出了默认账户锁定策略的设置以及要求的最低设置.策略默认设置要求最低设置账户锁定时间未定义30分钟账户锁定阈值/05次无效登录复位账户锁定计数器未定义30分钟3.4 内置默认账户平安对Windows不可删除的内置用户账户,应通过禁用、重命名或设置相关权限的方式来保证系统的平安性.帐户名建议平安配置策略适用系统Administrator1 .此帐户必须在安装后立即重命名并修改相关密码；2 .对于系统治

6、理员建议建立一个相关拥后Administrator组权限的新用户,平时使用此帐户登陆,只有在有特殊需要时才使用重命名后的Administrator进行系统登陆.Windows2000ServerWindowsServer2003Guest帐户必须禁用；如有特殊需要保存也一定要重命名.Windows2000ServerWindowsServer2003TSInternetUser此帐户是为了“TerminalServices'InternetConnectorLicense使用血存在的,故帐户必须禁用,不会对于正常的TerminalServices的功能有影响.Windows2000Se

7、rverWindowsServer2003SUPPORT_388945a(此帐户是为了IT帮助和支持效劳,此帐户必须禁用./WindowsServer2003IUSR_system必须只能是Guest组的成员.此帐户为IIS(InternetInformationServer)效劳建立的.IWAM_system必须只能是Guest组的成员此帐户为IIS(InternetInformationServer)效劳建立的.3.5 平安选项策略域策略中的平安选项应根据以下设置修改:选项设置对匿名连接的附加限制没有显式匿名权限就无法访问允许效劳器操作员方案任务仅用于域限制器禁用允许在未登录前系统美机禁用

8、允许弹出可移动NTFS媒体治理员在断开会话之前所需的空闲时间15分钟对全局系统对象的访问进行审计禁用对备份和复原权限的使用进行审计禁用登录时间过期就自动注销用户未定义见附注当登录时间过期就自动注销用户本地启用在系统关机时去除虚拟内存贝回交换文件启用对客户端通讯使用数字签名始终启用/对客户端通讯使用数字签名如果可能启用/对效劳器通讯使用数字签名始终启用/对效劳器通讯进行数字签名如果可能启用禁用按CTRL+ALT+DEL进行登录的设置禁用/登录屏幕上不要显示上次登录的用户名启用11k.JLANManager身份验证级别/仅发送NTLMv2响应,拒绝LM&NTLM用户尝试登录时消息文字用户尝

9、试登录时消息标题缓冲保存的以前登录次数在域限制器/、可用的情况卜0次登录预防计算机账户密码的系统维护林田预防用户安装打印机驱动程序/启用在密码到期前提示用户更改密码14天故障恢复限制台：允许自动治理登录林田故障恢复限制台：允许对驱动器和文件夹进行软盘复制和访问/林田重命名系统治理员账户义重命名来宾账户未定义只有本地登录的用户才能访问CD-ROM启用只有本地登录的用户才能访问软盘启用平安通道：对平安通道数据进行数字加密或签名始终启用平安通道：对平安通道数据进行数字加密如果可能启用平安通道：对平安通道数据进行数字签名如果可能启用女全通道：需要强Windows2000Server或以上版本会话密钥启

10、用平安系统磁盘分区只适于RISC操作平台未定义发送未加密的密码以连接到第三方SMB效劳器.禁用如果无法记录平安审计那么立即关闭系统X启用见第二条附注智能卡移除操作锁定工作站增强全局系统对象的默认权限例如SymbolicLinks启用未签名驱动程序的安装操作禁止安装未签名非驱动程序的安装操作允许安装但发出警告/在上面的要求配置中,下面几项由于直接影响了域中各效劳器间通讯的方式,可能会对效劳器性能有影响.对匿名连接的附加限制默认情况下,Windows2000Server允许匿名用户执行某些活动,如枚举域账户和网络共享区的名称.这使得攻击者无需用一个用户账户进行身份验证就可以查看远程效劳器上的这些账

11、户和共享名.为更好地保护匿名访问,可以配置“没有显式匿名权限就无法访问.这样做的效果是将Everyone(所有人)组从匿名用户令牌中删除.对效劳器的任何匿名访问都将被禁止,而且对任何资源都将要求显式访问.在关机时清理虚拟内存页面交换文件实际内存中保存的重要信息可以周期性地转储到页面交换文件中.这有助于Windows2000Server处理多任务功能.如果启用此选项,Windows2000Server将在关机时清理页面交换文件,将存储在那里的所有信息去除掉.根据页面交换文件的大小不同,系统可能需要几分钟的时间才能完全关闭./对客户端/效劳器通讯使用数字签名在高度平安的网络中实现数字签名有助于预防

12、客户机和效劳器被模仿(即所谓“会话劫持或“中间人攻击).效劳器消息块(SMB)签名既可验证用户身份,又可验证托管数据的效劳器的身份.如有任何一方不能通过身份验证,数据传输就不能进行.在实现了SMB后,为对效劳器间的每一个数据包进行签名和验证,性能最多会降低15%.针对Server2003的设置：通过运行>SecuritySettings>LocalPolicies进行设置.平安选项设置在用户密码过期前通知用户7天4注册表平安配置4.1 注册表访问授权对于Windows注册表的访问授权必须按以下的表格进行设置,“访问授权栏里规定了对于普通用户(例如Everyone,Users,Aut

13、henticatedUsers或othergroupscontaininggeneralusers)所赋予的最大权禾限注册表资源名称访问授权HKCRorHKLMSoftwareClasses保护对于文件扩展名链接和COM1注册信息的未授权修改Read*HKLMSystemCurrentControlSetControlSecurePipeServers值:Winreg限制远程注册表访问权限/八Read*HKLMSystemCurrentControlSetServicesEventlogSecurity保护平安日志保存目录和配置被未授权的进行浏览.普通用户没有相应权限.HKLMSystemCu

14、rrentControlSetServicesEventlogDNS-适用于MSDN效劳运行环境中-保护DN田志保存目录和配置被未授权的进行浏览普通用户没有相应权限.注释：对于Read'的授权包括RX'读取和执行和ListFolderContents/列出文件夹内容.4.2 禁止匿名访问注册表只允许系统治理员拥有远程访问注册表的权限1 .添加如下注册表项：工程参爹HiveHKEY_LOCAL_MACHINESYSTEMKeyCurrentControlSetControlSecurePipeServersValueNamewinreg2 .选中“winreg,点击“Secuht

15、y选单,点击“Permission",设置系统治理员Administrator拥有“FullControl",保证没有其他用户或组包含在其中,点击“OK.4.3 %针对网络攻击的平安考虑事项有些拒绝效劳攻击可能会给Windows2000Server效劳器上的TCP/IP协议栈造成威胁.这些注册表设置有助于提升Windows2000ServerTCP/IP协议栈抵御标准类型的拒绝效劳网络攻击的水平.下面的注册表项作为HKLMSystemCurrentControlSetServicesTcpip|Parameters的子项添加：/项格式值十进制EnableICMPRedire

16、ctDWORD0EnableSecurityFiltersDWORD1SynAttackProtectDWORD2EnableDeadGWDetectDWORD0EnablePMTUDiscoveryDWORD0KeepAliveTimeDWORD300,000DisableIPSourceRoutingDWORD2TcpMaxConnectResponseRetransmissionsDWORD2TcpMaxDataRetransmissionsDWORD3NoNameReleaseOnDemandDWORD1PerformRouterDiscoveryDWORD0TCPMaxPortsEx

17、haustedDWORD54.4 禁用格式文件名的自动生成为与16位应用程序的向后兼容,Windows2000Server支持文件名格式.这意味着攻击者只需要8个字符即可引用可能有20个字符长的文件.假设不再使用16位应用程序,须将此功能关闭.禁用NTFS分区上的短文件名生成还可以提升目录枚举性能.下面的注册表项作为的子项添加:项格式值(十进制)NtfsDisable8dot3NameCreationDWORD14.5 禁用Lmhash创立Windows2000Server效劳器可以验证运行任何以前Windows版本的计算机的身份.然而,以前版本的Windows不使用Kerberos进行身份验

18、证,所以Windows2000Server支持LanManager(LM)、WindowsNT(NTLM)和NTLM版本2(NTLMv2).相比之下,LM散列运算的水平比NTLM弱,易被攻破.假设不需要LM身份验证的客户机,须禁用LM散列的存储.Windows2000ServerServicePack2以上提供了一个注册表设置以禁用LM散列的存储.下面的注册表项作为HKLMSYSTEMCurrentControlSetControlLsa的一个子项添加:项格式值十进制NoLMHashDWORD14.6 配置NTLMSSP平安NTLM平安支持提供程序NTLMSSP允许按应用程序指定效劳器端网络连

19、接的最低必需平安设置.下面的配置可以保证,如果使用了消息保密但未协商128位加密,那么连接将失败.下面的注册表项作为HKLMSYSTEMCurrentControlSetControlLsaMSV10的一个子项添加：项格式值HK进制INtlmMinServerSecDWORD0x4.7 禁用自动运行功能假设媒体插入一个驱动器,自动运行功能就开始从该驱动器读取数据.这样,程序的安装文件和音频媒体上的声音就可以立即启动.为预防可能有恶意的程序在媒体插入时就启动,组策略禁用了所有驱动器的自动运行功能.下面的注册表项作为HKLMSOFTWAREMicrosoftWindows的一个子项添加：项格式值十

20、六进制NoDriveTypeAutoRunDWORD0xFF4.8 附加的注册表平安配置/如不需要使用SNMP功能,删除PublicSNMP通信字段名.下面的注册表项作为HKLMSystemCurrentControlSetServicesSNMP的一个子项添加:项格式值HK进制PublicREG_DWORD0x45效劳治理5.1 成员效劳器下面的配置是windows2000成员效劳器参加windows2000域并提供根本管理效劳所必需的效劳,除这些效劳以外,根据实际情况治理其它效劳.效劳启动类型包括在成员效劳器基准策略中的理由COM+事件效劳手动允许组件效劳的治理DHCP客户端自动更新动态D

21、NS中的记录所需分布式链接跟踪客户端自动用来维护NTFS卷上的链接DNS客户端自动允许解析DNS名称事件日志自动允许在事件日志中查看事件日志消息逻辑磁盘治理器自动需要它来保证动态磁盘信息保持最新逻辑磁盘治理器治理效劳手动需要它以执行磁盘治理1Netlogon自动参加域时所需网络连接手动网络通讯所需1性能日志和警报手动收集计算机的性能数据,向日志中写入或触发警报即插即用自动Windows2000Server标识和使用系统硬件时所需受保护的存储区自动需要用它保护敏感数据,如私钥/|远程过程调用RPC自动Windows2000Server中的内部过程所需/远程注册效劳自动hfnetchk实用工具所需

22、参见附注/平安账户治理器自动存储本地平安账户的账户/息/效劳器自动hfnetchk实用工具所需参见附注系统事件通知自动在事件日志中记录条目所需TCP/IPNetBIOSHelper服务自动在组策略中进行软件分发所需可用来分发修补程序Windows治理标准驱动程序手动使用“性能日志和警报实现性能警报时所需Windows时间效劳自动需要它来保证Kerberos身份验证后,致的功能工作站自动参加域时所需除上述必须的效劳以外,还有一些效劳可能会在具体的环境中需要:SNMF®务在许多情况下,治理应用程序都需要在每个效劳器上安装一个代理.一般地,这些代理将使用/SNMP将警报消息发回到一个中央治

23、理效劳器.如果需要治理代理,那么有可能会需要启动SNMP效劳./WMI效劳/使用“计算机治理来治理逻辑磁盘时,需要启用WMI效劳叭其他许多应用程序和工具也使用WMI.信使效劳和报警效劳尽管这两种效劳并不是明确地彼此相互依赖,但它们往往一起完成发送治理警报的任务.信使效劳将发送由报警效劳触发的警报消息.如果使用“性能日志和警报触发警报消息,就需要启用这些效劳.5.2 域限制器域限制器的效劳推荐配置是在上一节成员效劳器配置的根底上,增加如下服务:X效劳启动类型包括在域限制器基准策略中的理由分布式文件系统自动ActiveDirectorySysvol共享所需DNS效劳器自动集成了ActiveDire

24、ctory的DNS所需J文件复制自动域限制器间的文件复制所需/Kerberos密钥发行中央自动允许用户使用Kerberosv5登录到网络NTLM平安支持提供程序自动允许客户端使用NTLM身份验证登录RPC定位器N自动允许域限制器提供RPC名称效劳此外,在域限制器上还有一些效劳可能会在具体环境中需要:简单邮件传输协议(SMTP)可以使用RPC或SMTP来进行站点问复制.如果在具体环境中使用SMTP进行复制,那么将需要启用SMTP效劳.站间消息传递效劳此效劳用于站点间基于邮件的复制./用于复制的每一种传输协议都在一个单独的外接程序动态链接库(DLL)中定义.这些外接程序DLL加载到“站间消息传递效

25、劳中.“站间消息传递效劳将发送请求和接收请求定向到适当的传输协议外接程序DLL,后者将消息路由到目标计算机上的“站间消息传递服务.如果在具体环境中使用SMTP进行复制,那么将需要启用此效劳./IISAdmin效劳如果启动了SMTP效劳,那么IISAdmin效劳也需要启动,由于SMTP服务依赖IISAdmin效劳.分布式链接跟踪效劳器效劳此效劳用来跟踪域中的所有NTFS卷上的文件,由运行着“分布式链接跟踪客户机效劳的计算机与之联系.这些计算机将定期与“分布式链接跟踪效劳器效劳联系,即使在此效劳被禁用后也是如此.6文件/目录限制6.1 目录保护受保护的目录如下表所示:保护的目录应用的权限%syst

26、emdrive%Administrators:完全限制System:完全限制AuthenticatedUsers:读取和执行、列出文件夹内容/%SystemRoot%Repair%SystemRoot%Security%SystemRoot%Temp%SystemRoot%system32Config%SystemRoot%system32LogfilesAdministrators:完全限制Creator/Owner:完全限制System:完全限制一%systemdrive%InetpubAdministrators:完全限制System:完全限制Everyone:读取和执行、列出文件夹内谷

27、、读取其中%SystemRoot%定义了Windows系统文件所在的路径和文件夹名,%SystemDrive%定义了包含%systemroot%的驱动器.6.2 文件保护/受保护的文件如下表所示:文件基准权限%SystemDrive%Administrators:完全限制System：完全限制%SystemDrive%Administrators:完全限制System:完全限制、%SystemDrive%NtldrAdministrators:完全限制System：完全限制%SystemDrive%Administrators:完全限制、System：完全限制%SystemDrive%Admi

28、nistrators:完全限制System：完全限制AuthenticatedUsers:读取和执行、列出文件夹内谷、读取%systemdir%configAdministrators:完全限制System：完全限制AuthenticatedUsers:读取和执行、列出文件夹内谷、读取%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制/

29、%SystemRoot%system32Administrators:完全限制1%SystemRoot%system32Administrators:完全限制"x%SystemRoot%system32Administrators:完全限制卜J%SystemRoot%system32Administrators:完全限制/%SystemRoot%system32Administrators:完全限制/%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators完全限制%SystemRoot%syst

30、em32Administrators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators/完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制、%SystemRoot%system32/Administrators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制%S

31、ystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administr

32、ators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制/%SystemRoot%syst

33、em32Administrators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制/%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制%Sy

34、stemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators/完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制、%SystemRoot%system32/Administrators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administ

35、rators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%syst

36、em32Administrators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制/%SystemRoot%system32Administrators:完全限制%Sy

37、stemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制/%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administr

38、ators:完全限制%SystemRoot%system32Administrators/完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制、%SystemRoot%system32/Administrators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%sys

39、tem32Administrators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制%Sy

40、stemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制/%SystemRoot%system32Administrators:完全限制%SystemRoot%system32Administrators:完全限制%SystemRoot%system32A