Win2003安全加固方案

1、WINDOWS2003安全加固配置手册- #- -目录TOC o 1-5 h z HYPERLINK l bookmark4一、安全加固配置说明-2- HYPERLINK l bookmark61.1安全加固配置目的-2- HYPERLINK l bookmark81.2适用系统-2- HYPERLINK l bookmark101.3相关说明-2-二、主机加固方案-2- HYPERLINK l bookmark122.1操作系统加固方案-2-2.1.1安全补丁检测及安装-2-2.1.2系统用户II令及策略加固-3-2.1.3日志及审核策略配置-4-2.1.4安全选项策略配置-6-2.1.5用

2、户权限策略配置-12-2.1.6注册表安全设置-14-2.1.7网络与服务加固-16-2.1.8其他安全性加固-18-WINDOWS2003安全加固配置手册WINDOWS2003安全加固配置手册- - #-WINDOWS2003安全加固配置手册WINDOWS2003安全加固配置手册- - -一、安全加固配置说明1.1安全加固配置目的建立WindowsSeiver2003操作系统安全加固配置标准，并以此标准为指导，配置和审视客户WmdowsServer2003服务器的安全性：降低系统存在的安全风险，确保系统安全可靠的运行。1-2适用系统当前版本适用于Windows2003系列13相关说明安全加固

3、配置中部分加固配置可以考虑使用安全模板來实现，以减轻工作量。主机加固方案2.1操作系统加固方案2.1.1安全补丁检测及安装实施编号：Leadsec-Wui2003-1101实施名称：补丁检测及安装系统当前状态：运行cmd打开命令提示符窗11,再输入systeminfo查看目前补信息实施方案：确认系统安装了SP2;使用Windowsupdate或者手工安装最新补J实施目的：升级操作系统为最新版本，修补所有已知的安全漏洞实施风险：安装某些补可能导致主机启动失败，或其他未知情况发生，建议先在测试机器上安装测试后再实施部署到生产机上是否实施：实施工程师备注：2.1.2系统用户口令及策略加固实施编号：L

4、eadsec-Wui2003-1201实施名称：系统用户口令策略加固系统当前状态：査看系统“本地安全设置”一“帐户策略”中“密码策略”和“账号锁定策略”当前情况：（以卜为示例图）策珞/1安全设置翦密画宓须符合复杂性要亲己禁用破密码氏度疑小值0个字符躅密码最长使用期服42天囲密码最短使用期限0天殺强制密码历史0个记住的密码脚用可还原的加密来诸存密码已禁用实施方案：密码必须符合复杂性要求：启用密码长度最小值8个字符密码最长使用期限：90天强制密码历史：24个记住的密码帐户锁定阀值：3次无效登陆帐户锁定时间：15分钟复位帐户锁定计数器：15分钟之后策略更改后，督促现有用户更改其登陆11令以符合最新策

5、略要求。实施目的：保障用户账号及口令的安全，防止口令猜测攻击。实施风险：账号锁定后15分钟后才解锁。是否实施：实施工程师备注：实施编号：Leadsec-Wui2003-1202实施名称：禁用guest账户权限系统当前状态：实施方案：开始控制而板管理工具计算机管理本地用户和组用户guest右键属性常规选择用户已停用实施目的：Guest账号无法删除，故应避免Guest账号被黑客激活作为后门使用。实施风险：无是否实施：实施工程师备注：实施编号：Leadsec-Wui2003-1203实施名称：Administrator帐户重命名系统当前状态：实施方案：开始控制而板管理工具计算机管理本地用户和组用户选

6、择admuiistrator右键重命名实施目的：Administrator是系统默认管理员帐户，重命名Administrator可增加账号安全性。实施风险：无是否实施：实施工程师备注：2.1.3日志及审核策略配置实施编号：Leadsec-Wui2003-1301实施名称：设置主机审核策略系统当前状态：在“本地安全策略”一“本地策略”中查看系统“审核策略”：（以下为示例图）策略匸安全设置I勉审核策略更改无审核踽审核登录爭件成功題审核对象访问无审核陵审核过程跟踪无审核錮审核目录服务访问无审核蹈审核特权便用无审核頤审核系统爭件无审核踽审核帐戶登录爭件成功踽审核帐戶管理无审核实施方案：审核策略更改成功

7、，失败审核登陆事件成功，失败审核对彖访问失败审核目录服务访问成功，失败审核特权使用失败审核系统事件成功，失败审核账户登陆事件成功，失败审核帐户管理成功，失败实施目的：对重要事件进行审核记录，方便口后出现问题时査找问题根源。实施风险：无是否实施:实施工程师备注：实施编号：Leadsec-Wui2003-1302实施名称：调整事件口志的大小及覆盖策略系统当前状态：口志类型口志人小覆盖策略应用程序口志K覆盖早于天的日志安全口志K覆盖早于天的口志系统日志K覆盖早于天的口志实施方案：日志类型L忐人小覆盖策略应用程序口志80000K覆盖早J：30天的口志安全口志80000K覆盖早于30天的口志系统口志80

8、000K覆盖早于30天的口志其他口志（如存在）80000K覆盖早于30天的口志实施目的：增人口志人小，避免由J：口志文件容最过小导致垂要口志记录遗漏实施风险：是否实施:实施工程师备注：2.1-4安全选项策略配置实施编号：Leadsec-Win2003-1401实施名称：Microsoft网络服务器：当登录时间用完时自动注销用户系统当前状态：查看系统当前设置：实施方案：在管理工具-本地安全策略选择本地策略-选择安全选项-Microsoft网络服务器：当登录时间用完时自动注销用户（改成已启用）！网络服药器：当登录时间用完时目动注消用户已启用实施目的：可以避免用户在不适合的时间登录到系统，或者用户登

9、录到系统后忘记退出登录实施风险：无是否实施：实施工程师备注：实施编号:Leadsec-Win2003-1402实施名称：Microsoft网络服务器：在挂起会话之前所需的空闲时间系统当前状态：查看系统当前设置：实施方案：在管理工具-本地安全策略选择本地策略-选择安全选项-Microsoft网络服务器：在挂起会话之前所需的空闲时间（小丁等J：30分钟）网貉服务器：在挂起金话之前所需的空闲时间30实施目的：设置挂起会话之前所需的空闲时间为30分钟实施风险：无是否实施：实施工程师备注：实施编号：Leadsec-Win2003-1403实施名称：Microsoft网络客户端：发送未加密的密码到第三方S

10、MB服务器系统当前状态：查看系统当前设置：实施方案：在管理工具-本地安全策略-选择本地策略-选择安全选项-Microsoft网络客户端：发送未加密的密码到第三方SNIB服务器（禁用）Microsoft网络客尸：发送未加密的密码到第三方SMB服务器。已停用J实施目的：禁止发送未加密的密码到第三方SMB服务器实施风险：无是否实施：实施工程师备注：兴施编号:Leadsec-Win2003-1404实施名称：故障恢复控制台:允许対所有驱动器和文件夹进行软盘复制和访问系统当前状态：查看系统当前设置：实施方案：在管理工具-本地安全策略-选择本地策略选择安全选项-故障恢复控制台：允许对所有驱动器和文件夹进行

11、软盘复制和访问（禁用）園故障恢复控制台：允许对所有駆动器和文件夹进行软盘复制和访问己停用实施目的：Windoxvs2003控制台恢复的另一个特性是它禁止访问駛盘驱动器上的所有文件和目录。它仅允许访问每个卷的根目录和%systeniioot%目录及子目录，即使是这样它还限制不允许把硬盘驱动器上的文件拷贝到软盘上。实施风险：无是否实施：实施工程师备注：WINDOWS2003安全加固配置手册WINDOWS2003安全加固配置手册- - -WINDOWS2003安全加固配置手册实施编号:Leadsec-Win2003-1405实施名称：故障恢复控制台:允许自动系统管理级登录系统当前状态：査看系统当前设

12、置：实施方案：在管理工具本地安全策略选择本地策略-选择安全选项亠故障恢复控制台:允许自动系统管理级登录（禁用）圜故陣恢复整制台：允许自动系颈管理级登录己停用实施目的：恢复控制台是Windows2003的一个新特性，它在一个不能启动的系统上给出一个受限的命令行访问界而。该特性可能会导致任何可以重起系统的人绕过账号口令限制和其它安全设置而访问系统。实施风险：无是否实施：实施工程师备注：实施编号：Leadsec-Wui2003-1406实施名称：关机时清掉页面文件系统当前状态：査看系统当前设置：实施方案：在管理工具-本地安全策略-选择本地策略选择安全选项-关机：清除虚拟内存页面文件（启用）飆殳关机渚

13、理虚拟内存页面文件已启用1实施目的：某些第三方的程序可能把一些没有的加密的密码存在内存中，页面文件中也可能含有另外一些敏感的资料。关机的时候清除页面文件，防止造成意外的信息泄漏。实施风险：无是否实施：实施工程师备注：实施编号：Leadsec-Wui2003-1407实施名称：关机：允许系统在未登录前关机系统当前状态：査看系统当前设置：实施方案：在管理工具-本地安全策略-选择本地策略选择安全选项-关机：允许系统在未登录前关机（禁用）幽关机：允许在未登录前关机已停用1实施目的：在未登录前不能关闭计算机实施风险：无是否实施：实施工程师备注：实施编号：Leadsec-Wui2003-1408实施名称：

14、交互式登录：不显示上次的用户名系统当前状态：査看系统当前设置：实施方案：在管理工具-本地安全策略-选择本地策略选择安全选项-交互式登录：不显示上次的用户名（启用）旨交互式登录：不显示上次的用戶名已启用1实施目的：登陆时不显示上次的用户名，防止暴露用户名。实施风险：无是否实施：实施工程师备注：实施编号：Leadsec-Wui2003-1409实施名称：交互式登录：不需要按Ctrl+Alt+Del系统当前状态：査看系统当前设置：实施方案：在管理工具-本地安全策略-选择本地策略选择安全选项-交互式登录：不需要按Ctrl+Alt+Del（禁用）|區交互式登录不需要按CTRL+ALT+DEL已停用|实施

15、目的：登录时需耍按CTRL+ALT+DEL。实施风险：无是否实施：实施丁程师备注:实施编号：Leadsec-Wui2003-1410实施名称：交互式登录：可被缓存的前次登录个数（在域控制器不可用的情况F）系统当前状态：査看系统当前设置：实施方案：在管理工具-本地安全策略-选择本地策略选择安全选项-交互式登录：可被缓存的前次登录个数（设置缓存数为0,此项对域服务器无效。）話交互式登录：可被缓冲保存的前次登录个数在域控制器不可用的悟况下）0次登录实施目的：登陆时不显示上次的用户名，防止暴露用户名。实施风险：无是否实施：实施工程师备注：实施编号：Leadsec-Wui2003-1411实施名称：网络

16、访问：不允许SAM帐户和共享的匿名枚举系统当前状态：査看系统当前设置：实施方案：在管理工具-本地安全策略-选择本地策略选择安全选项网络访问：不允许SAM帐户和共享的匿名枚举（启用）閩网络访问：不允许SAf.1帐户和共享的匿名枚举已启用|实施目的：禁止使用匿名用户空连接枚举系统敏感信息实施风险：无是否实施：实施工程师备注：实施编号：Leadsec-Wui2003-1412实施名称：网络访问：不允许为网纟各身份验证储存凭证或.NETpassports系统当前状态：査看系统当前设置：实施方案：在管理工具-本地安全策略-选择本地策略选择安全选项-网络访问：不允许为网络身份验证储存凭证或.NETpass

17、ports（启用）|膜网络访问：不允许为网络身份验证储存凭据或.NETPassports已启用|实施目的：实施风险：无是否实施：实施工程师备注：实施编号：Leadsec-Wui2003-1413实施名称：审核：如杲无法记录安全审核则立即关闭系统系统当前状态：査看系统当前设置：实施方案：在管理工具-本地安全策略-选择本地策略-选择安全选项-审核：如果无法记录安全审核则立即关闭系统（启用）區审计：如果无法纪录安全审计则立即关闭系统已启用实施目的：实施风险：无是否实施：实施工程师备注：实施编号：Leadsec-Wui2003-1414实施名称：审核：对全局系统对彖的访问进行审核系统当前状态：査看系统

18、当前设置：实施方案：在管理工具-本地安全策略-选择本地策略-选择安全选项-审核：对全局系统对彖的访问进行审核（启用）圃审计：对全局系统对彖的访问进行审计已启用1实施目的：实施风险：无是否实施：实施丁程师备注:实施编号：Leadsec-Wui2003-1415实施名称：审核：对备份和还原权限的使用进行审核系统当前状态：査看系统当前设置：实施方案：在管理工具-本地安全策略-选择本地策略选择安全选项-审核：対备份和还原权限的使用进行审核（启用）圖审计：对备份和还原权限的便用进行审计EeMl实施目的：实施风险：无是否实施：实施工程师备注：2.1.5用户权限策略配置实施编号:Leadsec-WHi200

19、3-1502实施编号：Leadsec-Wui2003-1501实施名称：关闭系统：只有Administrators组系统当前状态：査看系统当前设置：实施方案：在管理工具-本地安全策略-选择本地策略-选择用户权限分配-“关闭系统”中删除其他用户组，只保留Adiniiiistiators组継关闭系统Administrators实施目的：实施风险：无是否实施：实施工程师备注：WINDOWS2003安全加固配置手册WINDOWS2003安全加固配置手册- - WINDOWS2003安全加固配置手册实施名称：通过终端服务拒绝登陆：加入Guests、User组系统当前状态：査看系统当前设置：实施方案：在管

20、理工具-本地安全策略-选择本地策略-选择用户权限分配-“通过终端服务拒绝登陆”中加入Guests、User组匾通过终端服势拒绝登录User,Guests实施目的：实施风险：无是否实施：实施工程师备注：实施编号：Leadsec-Wui2003-1503实施名称：通过终端服务允许登陆：只加入Admmistrators组系统当前状态：査看系统当前设置：实施方案：在管理工具-本地安全策略-选择本地策略-选择用户权限分配-“通过终端服务允许登陆”中只加入Admimstiators组|脚適过终歸服务允许登录Adminis;tra.tors实施目的：实施风险：无是否实施：实施工程师备注：实施编号：Leads

21、ec-Wui2003-1504实施名称：从网络访问此计算机中删除PoxveiUseis和BackupOperators系统当前状态：査看系统当前设置：实施方案：在管理工具-本地安全策略-选择本地策略-选择用户权限分配-“从网络访问此计算机”中删除PowerUsers和BackupOperators实施目的：实施风险：无是否实施：实施工程师备注：2.1-6注册表安全设置实施编号：Leadsec-Wui2003-1601实施名称：禁止自动登录系统当前状态：实施方案：禁止自动登录：编辑注册表HKLMSofhvareNIicrosoftWiiidowsNTCuirentVeisionWinlogoir

22、AutoAdniiiiLogon(REG_DWORD)值设置为0(如无需新建)实施目的：禁止自动登录实施风险：无是否实施：实施工程师备注：实施编号：Leadsec-Wui2003-1602实施名称：禁止CD自动运行系统当前状态：实施方案：禁止自动登录：编辑注册表HKLMSystemCunentControlSetSenTicesCDromAutomn(REGDWORD)值设置为0(如无需新建)实施目的：禁止CD自动运行实施风险：无是否实施：实施工程师备注：WINDOWS2003安全加固配置手册WINDOWS2003安全加固配置手册- - -WINDOWS2003安全加固配置手册实施编号：Lea

23、dsec-Wui2003-1603实施名称：启用源路由欺骗保护系统当前状态：实施方案：启用源路由欺骗保护：编辑注册表HKLISys忙mCui代ntCoutiolS亡tSeivicesTcpipPaiaineters新建(REGDWORD)值名称为DisablelPSourceRoutmg参数为2实施目的：防护在网络上发生的源路由欺骗实施风险：无，如服务器启用路由功能，则会影响相关功能。是否实施：实施工程师备注：实施编号：Leadsec-Wui2003-1604实施名称：删除IPC共享系统当前状态：使用netshare命令查看系统当前的共享资源：实施方案：禁用IPC连接：打开注册表编辑器，依次展

24、开HKEY_LOCAL_MACHINESYSTEMCuiTeiitConti-olSetCoiitiolLsa分支，在右侧窗11中找到restrictanonymous子键，将其值改为T即可。删除服务器上的管理员共享：HKLMSystemCun:eiitConti:olSetSeivicesLaiuiiaiiSererJarametersAutoShaieSener(如无需新建)(REG_DWORD)值参数为0如系统存在其他人为设置共享，建议删除。实施目的：删除主机因为管理而开放的共享，减小安全风险实施风险：某些应用软件可能需要系统默认共享，应询问管理员确认。是否实施：实施工程师备注：实施编号

25、：Leadsec-Wui2003-1605实施名称：启用进行最人包长度路径检测系统当前状态：实施方案：启用进行最人包长度路径检测：HKLMXSyst亡mCiu代ntCoiitiolS亡tSeivicesTcpipPaiaineteis新建项(REGDWORD)值名称为EnablePMTUDiscoveiy参数为1实施目的：该项值为1时，将自动检测出可以传输的数据包的人小，可以用來提高传输效率，如出现故障或安全起见，设项值为0,表示使用固定MTU值576byteso实施风险：无是否实施：实施工程师备注：实施编号：Leadsec-Wui2003-1606实施名称：防止SYNFlood攻击系统当前状

26、态：实施方案：防止SYNFlood攻击：HKLMXSyst亡mCiu代ntCoiitiolS亡tSeivicesTcpipPaiaineteis新建(REG_DWORD)名称为SyiiAttackProtect参数为2HKLMSystemCunentContiolSetSenTicesTcpipPaiaineteis新建(REG_DWORD)名称为TcpMaxHalfOpen参数为100或500(选十进制)实施目的：启动syn攻击保护。缺省项值为0,表示不开启攻击保护，项值为1和2表示启动syn攻击保护。实施风险：无是否实施：实施工程师备注：2.1.7网络与服务加固实施编号：Leadsec-W

27、ui2003-1701实施名称：卸载、禁用、停止不需要的服务实施方案:系统当前状态：检测分析系统己启动的不必要的服务包括:停止、禁用不盂要的服务，如有必耍则删除已安装的服务。下面列出部分服务以做参考：名称建议设置Alerter禁用Clipbook禁用ComputerBrowser禁用InternetConnectionShaimg禁用Messenger禁用RemoteRegistiySeivice禁用RoutmgandRemoteAccess禁用Server禁用TCP/IPNetBIOSHelperService禁用TerminalServices禁用SimpleMailTiasfeiProtocol(SMTP)禁用SimpleNetworkManagementPiotocol(SNMP)Seivice禁用SimpleNetworkManagementPiotocol(SNMP)Trap禁用Telnet禁用WorldWideWebPublisliiiigSeivice禁用实施目的：避免未知漏洞给主机带來的潜在风险实施风险：可能由r管理员对主机所开放服务不了解，导致有用服务被停止或卸载。实池前请与相关应用开发厂商联系确认该服务与业务应用无关是否实施：HAoWINDOWS2003安全加