微软Windows操作系统安全加固标准

1、Windows安全加固建议书1 配置标准31.1 组策略管理31.1.1 组策略的重要性31.1.2 组策略的应用方式31.1.3 组策略的实施41.2 用户账号控制51.2.1 密码策略51.2.2 复杂性要求51.2.3 账户锁定策略51.2.4 内置账户安全61.3 安全选项策略61.4 注册表安全配置81.4.1 针对网络攻击的安全考虑事项81.4.2 禁用文件名的自动生成91.4.3 禁用Lmhash创建91.4.4 配置NTLMSSP安全101.4.5 禁用自动运行功能101.5 补丁管理111.5.1 确定修补程序当前版本状态111.5.2 部署修补程序111.6 文件/目录控制

2、111.6.1 目录保护111.6.2 文件保护121.7 系统审计日志161.8 服务管理171.8.1 成员服务器171.8.2 域控制器181.9 其它配置安全191.9.1 确保所有的磁盘卷使用NTFS文件系统191.9.2 系统启动设置191.9.3 屏保191配置标准1.1 组策略管理1.1.1 组策略的重要性Windows组策略有助于在您的ActiveDirectory域中为所有工作站和服务器实现安全策略中的技术建议。可以将组策略和OU结构结合使用，为特定服务器角色定义其特定的安全设置。如果使用组策略来实现安全设置，则可以确保对某一策略进行的任何更改都将应用到使用该策略的所有服务

3、器，并且新的服务器将自动获取新的设置。1.1.2 组策略的应用方式一个用户或计算机对象可能受多个组策略对象（GPO）的约束。这些GPO按顺序应用，并且设置不断累积，除发生冲突外，在默认情况下，较迟的策略中的设置将替代较早的策略中的设置。第一个应用的策略是本地GPO,在本地GPO之后，后来的GPO依次在站点、域、父组织单位（OU）和子OU上应用。下图显示了每个策略是如何应用的：1.1.3 组策略的实施在Windows局域网中实施安全管理应分别从服务器和工作站两方面进行。首先应在服务器上安装活动目录服务，然后在域上实施组策略；其次应将工作站置于服务器所管理的域中。启动活动目录服务在程序-管理工具-

4、配置服务器”选项中，选定左边的“ActiveDirectory，”启动活动目录安装向导。将服务器设置为第一个域目录树，DNS域名输入提供的域名。打开组策略控制台启动“AtiveDirectory目录和用户”项，在右面对象容器树中的根目录上单击右键，然后单击属性”项，在新打开的窗口中单击组策略”选项卡，即可打开组策略控制台。创建OU结构1）启动ActiveDirectory用户和计算机。2）右键单击域名，选择新建，然后选择组织单位。3）键入成员服务器，然后单击确定。4）右键单击成员服务器，选择新建，然后选择组织单位。5）键入应用程序服务器，然后单击确定。6）针对文件和打印服务器、IIS服务器和基

5、础结构服务器重复第5步和第6步。设置组策略位于组策略对象安全设置”节点的容器包括：账户策略、本地策略、事件日志、受限组、系统服务、注册表、文件系统、公钥策略、ActiveDirectory中的网际协议安全策略等。具体的设置在本标准的相应章节中详细说明。1.2 用户账号控制1.2,1密码策略默认情况下，将对域中的所有服务器强制执行一个标准密码策略。下表列出了一个标准密码策略的设置以及针对您的环境建议的最低设置。策略默认设置推荐最低设置强制执行密码历史记录记住1个密码记住24个密码密码最长期限42天42天密码最短期限0天2天最短密码长度0个字符8个字符密码必须符合复杂性要求禁用启用为域中所有用户使

6、用可还原的加密来储存密码禁用禁用1.2.1 复杂性要求当组策略的密码必须符合复杂性要求”设置启用后，它要求密码必须为6个字符长（但我们建议您将此值设置为8个字符）。它还要求密码中必须包含下面类别中至少三个类别的字符：英语大写字母A,B,C,Z英语小写字母a,b,c,z西方阿拉伯数字0,1,2,9非字母数字字符，如标点符号1.2.2 账户锁定策略有效的账户锁定策略有助于防止攻击者猜出您账户的密码。下表列出了一个默认账户锁定策略的设置以及针对您的环境推荐的最低设置。策略默认设置推荐最低设置账户锁定时间未定义30分钟账户锁定阈值05次无效登录复位账户锁定计数器未定义30分钟用户被赋予唯一的用户名、用

7、户ID（UID）和口令。用户名口令长度规定。1.2.3 内置账户安全Windows有几个内置的用户账户，它们不可删除，但可以重命名。其中Guest（来宾）账户应禁用的，管理员账户应重命名而且其描述也要更改，以防攻击者使用已知用户名破坏一个远程服务器。1.3 安全选项策略域策略中的安全选项应根据以下设置按照具体需要修改:选项设置对匿名连接的附加限制没有显式匿名权限就无法访问允许服务器操作员计划任务（仅用于域控制器）禁用允许在未登录前系统关机禁用允许弹出可移动NTFS媒体管理员在断开会话之前所需的空闲时间15分钟对全局系统对象的访问进行审计禁用对备份和还原权限的使用进行审计禁用登录时间过期就自动注

8、销用户未定义（见附注）当登录时间过期就自动注销用户（本地）启用在系统关机时清除虚拟内存页面交换文件启用对客户端通讯使用数字签名（始终）启用对客户端通讯使用数字签名（如果可能）启用对服务器通讯使用数字签名（始终）启用对服务器通讯进行数字签名（如果可能）启用禁用按CTRL+ALT+DEL进行登录的设置禁用登录屏幕上不要显示上次登录的用户名启用LANManager身份验证级别仅发送NTLMv2响应，拒绝LM&NTLM用户尝试登录时消息文字用户尝试登录时消息标题缓冲保存的以前登录次数（在域控制器不可用的情况下）0次登录防止计算机账户密码的系统维护禁用防止用户安装打印机驱动程序启用在密码到期前提

9、示用户更改密码14天故障恢复控制台：允许自动管理登录禁用故障恢复控制台：允许对驱动器和文件夹进行软盘复制和访问禁用重命名系统管理员账户未定义重命名来宾账户未定义只有本地登录的用户才能访问CD-ROM启用只有本地登录的用户才能访问软盘启用安全通道：对安全通道数据进行数字加密或签名（始终）启用安全通道：对安全通道数据进行数字加密（如果可能）启用安全通道：对安全通道数据进行数字签名（如果可能）启用安全通道：需要强（Windows2000或以上版本）会话密钥启用安全系统磁盘分区（只适于RISC操作平台）未定义发送未加密的密码以连接到第三方SMB服务器。禁用如果无法记录安全审计则立即关闭系统启用（见第二

10、条附注）智能卡移除操作锁定工作站增强全局系统对象的默认权限（例如SymbolicLinks）启用未签名驱动程序的安装操作禁止安装未签名非驱动程序的安装操作允许安装但发出警告在上面的推荐配置中，下面几项由于直接影响了域中各服务器问通讯的方式，可能会对服务器性能有影响。对匿名连接的附加限制默认情况下，Windows允许匿名用户执行某些活动，如枚举域账户和网络共享区的名称。这使得攻击者无需用一个用户账户进行身份验证就可以查看远程服务器上的这些账户和共享名。为更好地保护匿名访问，可以配置没有显式匿名权限就无法访问”。这样做的效果是将Everyone（所有人）组从匿名用户令牌中删除。对服务器的任何匿名访

11、问都将被禁止，而且对任何资源都将要求显式访问。LANManager身份验证级别MicrosoftWindows9x和WindowsNT?操作系统不能使用Kerberos进行身份验证，所以，在默认情况下，在Windows2000域中它们使用NTLM协议进行网络身份验证。您可以通过使用NTLMv2对Windows9x和WindowsNT强制执行一个更安全的身份验证协议。对于登录过程，NTLMv2引入了一个安全的通道来保护身份验证过程。在关机时清理虚拟内存页面交换文件实际内存中保存的重要信息可以周期性地转储到页面交换文件中。这有助于Windows处理多任务功能。如果启用此选项，Windows2000

12、将在关机时清理页面交换文件，将存储在那里的所有信息清除掉。根据页面交换文件的大小不同，系统可能需要几分钟的时间才能完全关闭。对客户端/服务器通讯使用数字签名在高度安全的网络中实现数字签名有助于防止客户机和服务器被模仿（即所谓分话劫持”或中间人”攻击）。服务器消息块（SMB）签名既可验证用户身份，又可验证托管数据的服务器的身份。如有任何一方不能通过身份验证，数据传输就不能进行。在实现了SMB后，为对服务器间的每一个数据包进行签名和验证，性能最多会降低15%。1.4 注册表安全配置1.4.1 针对网络攻击的安全考虑事项有些拒绝服务攻击可能会给Windows服务器上的TCP/IP协议栈造成威胁。这些

13、注册表设置有助于提高WindowsTCP/IP协议栈抵御标准类型的拒绝服务网络攻击的能力。下面的注册表项作为的子项添加:项格式值(十进制)EnableICMPRedirectDWORD0EnableSecurityFiltersDWORD1SynAttackProtectDWORD2EnableDeadGWDetectDWORD0EnablePMTUDiscoveryDWORD0KeepAliveTimeDWORD300,000DisableIPSourceRoutingDWORD2TcpMaxConnectResponseRetransmissionsDWORD2TcpMaxDataRetr

14、ansmissionsDWORD3NoNameReleaseOnDemandDWORD1PerformRouterDiscoveryDWORD0TCPMaxPortsExhaustedDWORD51.4.2 禁用文件名的自动生成为与16位应用程序的向后兼容，Windows支持8.3文件名格式。这意味着攻击者只需要8个字符即可引用可能有20个字符长的文件。如果您不再使用16位应用程序，则可以将此功能关闭。禁用NTFS分区上的短文件名生成还可以提高目录枚举性能。下面的注册表项作为HKLMSystemCurrentControlSetControl的子项添加：项格式值(十进制)NtfsDisable

15、8dot3NameCreationDWORD11.4.3 禁用Lmhash创建Windows服务器可以验证运行任何以前Windows版本的计算机的身份。然而，以前版本的Windows不使用Kerberos进行身份验证，所以Windows支持LanManager(LM)、WindowsNT(NTLM)和NTLM版本2(NTLMv2)。相比之下，LM散列运算白能力比NTLM弱，因而易在猛烈攻击下被攻破。如果您没有需要LM身份验证的客户机，则应禁用LM散列的存储。Windows2000ServicePack2提供了一个注册表设置以禁用LM散列的存储。下面的注册表项作为HKLMSYSTEMCurren

16、tControlSetControlLsa的一个子项添加：项格式值（十进制）NoLMHashDWORD11.4.4 配置NTLMSSP安全NTLM安全支持提供程序（NTLMSSP）允许您按应用程序指定服务器端网络连接的最低必需安全设置。下面的配置可以确保，如果使用了消息保密但未协商128位加密，则连接将失败。下面的注册表项作为HKLMSYSTEMCurrentControlSetControlLsaMSV10的一个子项添加：项格式值（十六进制）NtlmMinServerSecDWORD0x200000001.4.5 禁用自动运行功能一旦媒体插入一个驱动器，自动运行功能就开始从该驱动器读取数据。

17、这样，程序的安装文件和音频媒体上的声音就可以立即启动。为防止可能有恶意的程序在媒体插入时就启动，组策略禁用了所有驱动器的自动运行功能。下面的注册表项作为的一个子项添加:项格式值（十六进制）NoDriveTypeAutoRunDWORD0xFF1.5 补丁管理1.5.1 确定修补程序当前版本状态注册表中查看HKLMSoftwareMicrosoftWindowsNtCurrentversionhotfix键，可以看到打过的补丁对应的修复程序的知识库文章编号。如果已经部署了MicrosoftSystemsManagementServer(SMS)则其软件部署功能可用于将修补程序部署到环境中具有SM

18、S客户端的所有计算机，并确认每台计算机所安装的补丁程序的当前版本和状态。1.5.2 部署修补程序可以使用手工执行修补程序的方法安装，修补程序一般是一个可执行文件，其名称表示了修补的信息。如：Q292435_W2K_SP3_x86_en.EXEQ292435是知识库文章编号，您可在其中查找有关该即时修复程序的详细信息。W2K是它所针对的产品(MicrosoftWindows2000)SP3是将要包括它的ServicePac%x86是它所面向的处理器体系结构。en是语言(英语)。如果安装了MicrosoftSoftwareUpdateServices(SUS程序，可以使用SUS集中部署指定范围(指

19、定域或IP地址范围)的主机的修补程序。1.6 文件/目录控制1.6.1 目录保护受保护的目录如下表所示:保护的目录应用的权限%systemdrive%Administrators:完全控制System：完全控制AuthenticatedUsers：读取和执行、列出文件夹内容、读取%SystemRoot%Repair%SystemRoot%Security%SystemRoot%Temp%SystemRoot%system32Config%SystemRoot%system32LogfilesAdministrators:完全控制Creator/Owner：完全控制System：完全控制%sys

20、temdrive%InetpubAdministrators:完全控制System：完全控制Everyone：读取和执行、列出文件夹内容、读取其中%SystemRoot%定义了Windows系统文件所在的路径和文件夹名，%SystemDrive%定义了包含%systemroot%的驱动器。1.6.2 文件保护受保护的文件如下表所示:文件基准权限%SystemDrive%Boot.iniAdministrators:完全控制System：完全控制%SystemDrive%NAdministrators:完全控制System：完全控制%SystemDrive%NtldrAdministrators

21、:完全控制System：完全控制%SystemDrive%Io.sysAdministrators:完全控制System：完全控制%SystemDrive%Autoexec.batAdministrators:完全控制System：完全控制AuthenticatedUsers：读取和执行、列出文件夹内容、读取%systemdir%configAdministrators:完全控制System：完全控制AuthenticatedUsers：读取和执行、列出文件夹内容、读取%SystemRoot%system32Append.exeAdministrators:完全控制%SystemRoot%sy

22、stem32Arp.exeAdministrators:完全控制%SystemRoot%system32At.exeAdministrators:完全控制%SystemRoot%system32Attrib.exeAdministrators:完全控制%SystemRoot%system32Cacls.exeAdministrators:完全控制%SystemRoot%system32Change.exeAdministrators:完全控制%SystemRoot%system32CAdministrators:完全控制%SystemRoot%system32Chglogon.exeAdmin

23、istrators:完全控制%SystemRoot%system32Chgport.exeAdministrators:完全控制%SystemRoot%system32Chguser.exeAdministrators:完全控制%SystemRoot%system32Chkdsk.exeAdministrators:完全控制%SystemRoot%system32Chkntfs.exeAdministrators:完全控制%SystemRoot%system32Cipher.exeAdministrators:完全控制%SystemRoot%system32Cluster.exeAdminis

24、trators:完全控制%SystemRoot%system32Cmd.exeAdministrators:完全控制%SystemRoot%system32Compact.exeAdministrators:完全控制%SystemRoot%system32CAdministrators:完全控制%SystemRoot%system32Convert.exeAdministrators:完全控制%SystemRoot%system32Cscript.exeAdministrators:完全控制%SystemRoot%system32Debug.exeAdministrators:完全控制%Sys

25、temRoot%system32Dfscmd.exeAdministrators:完全控制%SystemRoot%system32DAdministrators:完全控制%SystemRoot%system32DAdministrators:完全控制%SystemRoot%system32Doskey.exeAdministrators:完全控制%SystemRoot%system32Edlin.exeAdministrators:完全控制%SystemRoot%system32Exe2bin.exeAdministrators:完全控制%SystemRoot%system32Expand.e

26、xeAdministrators:完全控制%SystemRoot%system32Fc.exeAdministrators:完全控制%SystemRoot%system32Find.exeAdministrators:完全控制%SystemRoot%system32Findstr.exeAdministrators:完全控制%SystemRoot%system32Finger.exeAdministrators:完全控制%SystemRoot%system32Forcedos.exeAdministrators:完全控制%SystemRoot%system32FAdministrators:完

27、全控制%SystemRoot%system32Administrators:完全控制%SystemRoot%system32Hostname.exeAdministrators:完全控制%SystemRoot%system32Iisreset.exeAdministrators:完全控制%SystemRoot%system32Ipconfig.exeAdministrators:完全控制%SystemRoot%system32Ipxroute.exeAdministrators:完全控制%SystemRoot%system32Label.exeAdministrators:完全控制%Syste

28、mRoot%system32Logoff.exeAdministrators:完全控制%SystemRoot%system32Lpq.exeAdministrators:完全控制%SystemRoot%system32Lpr.exeAdministrators:完全控制%SystemRoot%system32Makecab.exeAdministrators:完全控制%SystemRoot%system32Mem.exeAdministrators:完全控制%SystemRoot%system32Mmc.exeAdministrators:完全控制%SystemRoot%system32MAd

29、ministrators:完全控制%SystemRoot%system32MAdministrators:完全控制%SystemRoot%system32Mountvol.exeAdministrators:完全控制%SystemRoot%system32Msg.exeAdministrators:完全控制%SystemRoot%system32Nbtstat.exeAdministrators:完全控制%SystemRoot%system32Net.exeAdministrators:完全控制%SystemRoot%system32Net1.exeAdministrators:完全控制%Sy

30、stemRoot%system32Netsh.exeAdministrators:完全控制%SystemRoot%system32Netstat.exeAdministrators:完全控制%SystemRoot%system32Nslookup.exeAdministrators:完全控制%SystemRoot%system32Ntbackup.exeAdministrators:完全控制%SystemRoot%system32Ntsd.exeAdministrators:完全控制%SystemRoot%system32Pathping.exeAdministrators:完全控制%Syst

31、emRoot%system32Ping.exeAdministrators:完全控制%SystemRoot%system32Print.exeAdministrators:完全控制%SystemRoot%system32Query.exeAdministrators:完全控制%SystemRoot%system32Rasdial.exeAdministrators:完全控制%SystemRoot%system32Rcp.exeAdministrators:完全控制%SystemRoot%system32Recover.exeAdministrators:完全控制%SystemRoot%syst

32、em32Regedit.exeAdministrators:完全控制%SystemRoot%system32Regedt32.exeAdministrators:完全控制%SystemRoot%system32Regini.exeAdministrators:完全控制%SystemRoot%system32Register.exeAdministrators:完全控制%SystemRoot%system32Regsvr32.exeAdministrators:完全控制%SystemRoot%system32Replace.exeAdministrators:完全控制%SystemRoot%sy

33、stem32Reset.exeAdministrators:完全控制%SystemRoot%system32Rexec.exeAdministrators:完全控制%SystemRoot%system32Route.exeAdministrators:完全控制%SystemRoot%system32Routemon.exeAdministrators:完全控制%SystemRoot%system32Router.exeAdministrators:完全控制%SystemRoot%system32Rsh.exeAdministrators:完全控制%SystemRoot%system32Runa

34、s.exeAdministrators:完全控制%SystemRoot%system32Runonce.exeAdministrators:完全控制%SystemRoot%system32Secedit.exeAdministrators:完全控制%SystemRoot%system32Setpwd.exeAdministrators:完全控制%SystemRoot%system32Shadow.exeAdministrators:完全控制%SystemRoot%system32Share.exeAdministrators:完全控制%SystemRoot%system32Snmp.exeAd

35、ministrators:完全控制%SystemRoot%system32Snmptrap.exeAdministrators:完全控制%SystemRoot%system32Subst.exeAdministrators:完全控制%SystemRoot%system32Telnet.exeAdministrators:完全控制%SystemRoot%system32Termsrv.exeAdministrators:完全控制%SystemRoot%system32TAdministrators:完全控制%SystemRoot%system32Tlntadmin.exeAdministrato

36、rs:完全控制%SystemRoot%system32Tlntsess.exeAdministrators:完全控制%SystemRoot%system32Tlntsvr.exeAdministrators:完全控制%SystemRoot%system32Tracert.exeAdministrators:完全控制%SystemRoot%system32TAdministrators:完全控制%SystemRoot%system32Tsadmin.exeAdministrators:完全控制%SystemRoot%system32Tscon.exeAdministrators:完全控制%Sys

37、temRoot%system32Tsdiscon.exeAdministrators:完全控制%SystemRoot%system32Tskill.exeAdministrators:完全控制%SystemRoot%system32Tsprof.exeAdministrators:完全控制%SystemRoot%system32Tsshutdn.exeAdministrators:完全控制%SystemRoot%system32UAdministrators:完全控制%SystemRoot%system32Wscript.exeAdministrators:完全控制%SystemRoot%sy

38、stem32Xcopy.exeAdministrators:完全控制1.7 系统审计日志应用程序、安全性和系统事件日志的设置都应在域策略中配置并应用到域中的所有成员服务器。建议设置日志大小为10M字节，配置为不改写事件审计策略应根据以下设置按照具体需要修改：策略计算机设置审计账户登录事件成功，失败审计账户管理成功，失败审计目录服务访问失败审计登录事件成功，失败审计对象访问成功，失败审计策略更改成功，失败审计特权使用失败审计过程追踪无审计审计系统事件成功，失败限制对应用程序日志的来宾访问启用限制对安全日志的来宾访问启用限制对系统日志的来宾访问启用应用程序日志的保留方法不要改写事件（手动清除日志）

39、安全日志的保留方法不要改写事件（手动清除日志）系统日志的保留方法不要改写事件（手动清除日志）安全审计日志满后关闭计算机未定义经常使用其做安全性检查，检查的内容。1.8 服务管理1.8.1 成员服务器Windows首次安装时，创建默认服务并将其配置为在系统启动时运行这些服务中有一些在许多环境中都不需要运行，再者，因为任何服务都是一个潜在的受攻击点，所以应禁用不必要的服务。下面的配置是windows成员服务器加入windows域并提供基本管理服务所必需的服务，建议除这些服务以外，根据实际情况禁止其它服务。服务启动类型包括在成员服务器基准策略中的理由COM+事件服务手动允许组件服务的管理DHCP客户端自动更新动态DNS中的记录所需分布式链接跟踪客户端自动用来维护NTFS卷上的链接DNS客户端自动允许解析DNS名称事件日志自动允许在事件日志中查看事件日志消息逻辑磁盘管理器自动需要它来确保动态磁盘信息保持最新逻辑磁盘管理器管理服务手动需要它以执行磁盘管理Netlogon自动加入域时所需网络连接手动网络通讯所需性能日志和警报手动收集计算机的性能数据，向日志中写入或触发警报即插即用自动Windows2000标识和使用系统硬件时所需受保护的存储区自动需要用它保护敏感数据，如私钥远程过程调用（RPC）自动Windows2000中的内部过程所需远程注册服务自动hfnetchk实用工具所需