服务器安全加固操作手册

操作系统加固实施方案WINDOWS2003安全评估加固手册文档名：文档编号：服务器名称：服务器IP:生成地点：加固时间：客户确认签字：编号加固内容加固项目检查方法检查结果加固操作1账户策略口令要求口令设置必须是十位或以上，口令必须至少是数字、字母、特殊符号的两种以上的组合。口令更改管理员口令更改周期不能长于1周密码策略打开“控制面版”一“管理工具”一“本地安全策略”，在“帐户策略”中。（运行secpol.msc命令）密码必须符合复杂性要求：已启用密码长度最小值：10个字符密码最长存留期：7天密码最短存留期：0天强制密码历史：2个记住的密码1

操作系统加固实施方案设置完成之后，需要重启计算机方可生效账户锁定策略打开“控制面版”一“管理工具”一“本地安全策略”，在“帐户策略”一“帐户锁定策略”中。复位帐户锁定计数器：0分钟后帐户锁定时间：0分钟帐户锁定阙值：3次无效登录2本地安全策略安全服务选项在断开会话之前所需的空闲时间：5分钟在关机时清理虚拟内存页面交换文件：启用在密码到期前提示用户更改密码：14天禁止本地登录的用户访问软盘：启用防止用户安装打印机驱动程序：启用交互式登录时不显示上次用户名：启用登录时不需要按Ctrl+Alt+Del：停用在超过登录时间后强制注销：启用不允许SAM帐户的匿名枚举：启用不允许SAM帐户和共享的匿名枚举：2

操作系统加固实施方案启用在下一次密码变更时不存储LANMAN哈希值：启用不允许为网络验证存储凭据或.NETPassport：启用从文件共享中删除允许匿名登录的口尸5$和COMCFG；从通过网络访问此计算机中删除PowerUsers和BackupOperators；帐户安全管理打开控制面板->管理工具->本地安全策略，选择安全选项更改默认管理员帐户administrator名称更改默认来宾帐户名称guest为（用户定义）禁用的服务1使用services.msc查看服务列表，注意以下互操作服务，确定服务不需要则禁用，设置为手动启动：TaskSchedulerRemoteRegistryServiceRunAsServiceMessengerWindowsTime3

操作系统加固实施方案其它服务设置见附表2.关闭不必要的端口3安全策略安全审计运行secpol.msc命令，打开“本地安全设置”-“本地策略”-“审核策略”。启用所有审核策略”成功和失败”；事件日志调整事件日志调整，查看“系统工具”-“事件查看器”-“属性”，（依据系统空间情况）安全日志日志容量100M、日志改写时间30天应用程序日志容量100M、日志改写时间30天系统日志日志容量100M、日志改写时间30天4共享设置关闭共享1、使用netshare命令检查当前的共享情况。2、删除ADMIN$、C$、等默认共享关闭默认和管理共享、限制匿名连接和空连接在注册表中添加如下内容：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters键值：AutoShareServer4

操作系统加固实施方案类型：REG_DWORD数值：05系统补丁系统补丁更新检查系统补丁更新：安装操作系统ServicePack以及HotFix对于Windows2003安装SP2；(注册表查看：localmachine\software\microsoft\Updates\windows2003\...)6病毒防护防病毒系统软件版本 。病毒库版本 。安装后升级病毒库，安装过程为默认安装。设置自动更新病毒库为每天更新。其它安全设置设置屏保屏幕保护设置为3分钟，恢复时有密码口令去除自动播放功能执行Gpedit.msc，打开组策略面板，关闭系统自动播放功能拒绝服务攻击设置拒绝服务攻击设置：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ServicesTcpip\Parameter\SynAttackProtect键值数值为1系统优化服务设置:操作系统加固实施方案启动：禁用■■■■■■■■■■■■■■■■AutomaticUpdate手动启动:手动BackgroundIntelligentTransferService启动：禁用DHCPClient启动：禁用ComputerBrowers启动：禁用InternetConnectionSharing启动：禁用Messenger启动：自动NetLogon启动：禁用RemoteRegistryService启动：禁用RoutingandRemoteAccess启动：禁用Telnet启动：禁用TerminalServices启动：禁用UniversalPlugandPlayDeviceHost启动：禁用WebClient启动：禁用WirelessConfigurationAlerter：启动：禁用Clipbook：启动：禁用distributedlinktrackingclient：启动：禁用internetconnectionsharing：启动：禁用ipsecpolicyagent：启动：禁用logicaldiskmanageradministrativeservice:启动：自动messagequeuing：启动：自动messenger：启动：自动操作系统加固实施方案networkdde:你没有连入局域网：启动：禁用networkddedsdm:你没有连入局域网：启动：禁用performancelogsandalerts:启动：禁用qosrsvp：启动：禁用routingandremoteacces