操作系统安全配置检查表

Windows2000操作系统安全检查表(草案)中国教育和科研计算机网紧急响应组(CCERT)2003年3月、八、'前言步骤1建议安装过程中的建议安装最新的系统补丁(ServicePack)与更新(Hotfix)程序为管理员(Administrator)账号指定安全的口令把Administrator帐号重新命名禁用或删除不必要的帐号关闭不必要的服务安装防病毒软件给所有必要的文件共享设置适当的访问控制权限激活系统的审计功能关于应用软件方面的建议附录一、网络上的参考资源附录二、windows2000服务配置参考1建议2安装过程中的建议1清华大学中央主楼310 100084传真：+86-10-62785933主页：3 安装最新的系统补丁(ServicePack)与更新(Hotfix)程序大量系统入侵事件是因为用户没有及时的安装系统的补丁，管理员重要的任务之一是更新系统，保证系统安装了最新的补丁。建议用户及时下载并安装补丁包，修补系统漏洞。Microsoft公司提供两种类型的补丁：ServicePack和Hotfix。ServicePack是一系列系统漏洞的补丁程序包，最新版本的ServicePack包括了以前发布的所有的hotfix。微软公司建议用户安装最新版本的ServicePack,现在最新的补丁包是ServicePack3(推荐安装)。您可以在下面的网址下载到最新的补丁包：/windows2000/downloads/servicepacks/sp3//china/windows2000/downloads//patch/ServicePack3此补丁包包括了AutomaticUpdates(自动升级)服务，该服务能够在重要的Windows2000修补程序发布之时向您发出通知。AutomaticUpdates是一种有预见性的“拉”服务，可以自动下载和安装Windows升级补丁,例如重要的操作系统修补和Windows安全性升级补丁。Hotfix通常用于修补某个特定的安全问题，一般比ServicePack发布更为频繁。微软用过安全通知服务来发布安全公告。你可以订阅微软免费的安全通知服务：/technet/treeview/default.asp?url=/technet/security/bulletin/notify.asp在发布新的安全补丁时，可以通过电子邮件通知你。如果公告建议你安装hotfix，你应该尽快下载并安装这些hotfix。你也可以在下面的网址下载最新的Hotfix程序：http://www一microsoft一com/technet/treeview/defaulrasp?url=/technet/security/current_asp4为管理员(Administrator)账号指定安全的口令Windows2000允许127个字符的口令。一般来说，强壮的口令应该满足以下条件：口令应该不少于8个字符；不包含字典里的单词、不包括姓氏的汉语拼音；同时包含多种类型的字符，比如o 大写字母(A,B,C,..Z)o 小写字母(a,b,c..z)o 数字(0丄2,...9)o标点符号(@,#,!,$,%,&…)不要在不同的计算机上使用相同的口令。5把Administrator帐号重新命名由于Windows2000的默认管理员帐号Administrator已众所周知，该帐号通常称为攻击者猜 Windows2000操作系统安全配置检查表测口令攻击的对象。为了降低这种威胁，可以将帐号Administrator重新命名。操作步骤如下：点击“开始”>“设置”>“控制面板”，弹出文件夹后，双击“管理工具”图标，进入后双击“计算机管理”，打开后选择目录“系统工具”下的“本地用户和组”，这样就可以看到系统中的所有用户列表；选中Administrator，点击右键，选择重命名，将administrator改成admin、或root等；禁用或删除不必要的帐号您应该在计算机管理单元中查看系统的活动帐号列表（对用户和程序而言），并且禁用所有非活动帐户，特别是Guest，删除或者禁用不再需要的帐户。配置步骤如下：点击“开始”>“设置”>“控制面板”，弹出文件夹后，双击“管理工具”图标，进入后双击“计算机管理”，打开后选择目录“系统工具”下的“本地用户和组”，这样就可以看到系统中的所有用户的状态。尽管Windows2000默认禁用了Guest帐号，但你需要确认一下。关闭不必要的服务每提供一种网络服务就增加了一份安全威胁。所以我们建议您关闭所有不必要的网络服务，特别是Web服务，因为Windows系统包含的Web服务器IIS系统存在着大量安全漏洞。如果您必须提供某种网络服务，那么尽量做到专机专用，不要把所有的鸡蛋都放在同一个篮子里。也就是说假如服务器提供的是web服务的话，就尽量不要在机器上提供其他的服务，这样可以尽量的降低服务器的风险。通过开始一〉控制面板一〉管理工具一〉服务，可以配置Windows2000的服务。微软关于Windows2000的基准服务配置，参见附录二。安装防病毒软件我们强烈建议您在操作系统安装之后立即安装防病毒软件，定期扫描、实时检测和清除计算机磁盘引导记录、文件系统和内存、以及电子邮件病毒。由于新的病毒和蠕虫及其各种变种发展很快，我们强烈建议您及时更新病毒定义码。关于防病毒软件的选择，建议您参考清华大学等各高校BBS系统中病毒栏目的相关评论和建议。给所有必要的文件共享设置适当的访问控制权限默认状态下，所有用户对于新创建的文件共享都拥有完全控制权限。系统中所有必要的共享都应当设置合适的权限，以便使用户拥有适当的共享级别访问权（例如，Everyone=读取）。注意必须使用NTFS文件系统，才能对个别文件设置ACL以及共享级别权限。10激活系统的审计功能Windows2000的安全审计功能在默认安装时是关闭的。激活此功能有利于管理员很好的掌握机器的状态，有利于系统的入侵检测。你可以从日志中了解到机器是否在被人蛮力攻击、非法的文件访问等等。配置步骤如下：“开始”>“设置”>“控制面板”>“管理工具”>“本地安全策略”，之后选择“本地策略”中的“审核策略”。建议策略设置列表（针对您的需要更改）：审核策略设置帐户登录事件成功，失败帐户管理成功，失败登录事件成功，失败对象访问失败策略更改成功，失败特权使用成功，失败系统事件失败若想查看审核日志信息，可以用以下步骤：“程序”>“设置”>“控制面板”>“管理工具”>“事件查看器”。11关于应用软件方面的建议从Internet上下载并运行软件时一定要谨慎，因为这些软件有可能感染病毒、藏有木马或后门。如果您必须使用这些软件，一定选择可信度高的站点。不要轻易打开陌生人的邮件，特别是邮件中的附件。重要的数据一定要定期备份。附录一、网络上的参考资源微软安全特性（中国）：/china/technet/security/default.asp微软补载（中国）：/china/windows2000/downloads/CCERT安全资源：/certs/index.php附录二、windows2000服务配置参考我们建议您对服务作如下配置（“默认”为系统初始设置，“基准”是我们建议的设置）。服务全称WK、I默认基准AlerterAlerter（警报器）自动禁用4清华大学中央主楼310 100084传真：+86-10-62785933主页：AppMgmtApplicationManagement（应用程序管理）手动禁用ClipSrvClipBook（剪贴簿）手动禁用EventSystemCOM+EventSystem（COM+事件系统）手动手动BrowserComputerBrowser（计算机浏览器）自动禁用DHCPDHCPClient（DHCP客户）自动自动DfsDistributedFileSystem（分布式文件系统）自动仅在域控制器角色中启用TrkWksDistributedLinkTrackingClient（分布式链接跟踪客户）自动自动TrkSrvDistributedLinkTrackingServer（分布式链接跟踪服务器）手动禁用MSDTCDistributedTransactionCoordinator（分布式事务协调器）自动禁用DNSCacheDNSClient（DNS客户）自动自动EventLogEventLog（事件日志）自动自动FaxFaxService（传真服务）手动禁用NtFrsFileReplication（文件复制）手动禁用IISADMINIISAdminService（IIS管理服务）自动禁用CisvcIndexingService（索弓1服务）手动禁用SharedAccessInternetConnectionSharing（Internet连接共享）手动禁用IsmServIntersiteMessaging（站间消息传递）禁用禁用PolicyAgentIPSECPolicyAgent（IPSECService）（IPSEC策略代理程序（IPSEC服务））自动禁用KdcKerberosKeyDistributionCenter（Kerberos密钥分发中心）禁用仅在DC角色中启用LicenseServiceLicenseLoggingService（许可证记录服务）自动禁用DmserverLogicalDiskManager（逻辑磁盘管理器）自动自动DmadminLogicalDiskManagerAdministrativeService（逻辑磁盘管理器管理服务）手动手动MessengerMessenger（信使）自动禁用NetlogonNetLogon（网络登录）自动*自动MnmsrvcNetMeetingRemoteDesktopSharing（NetMeeting远程桌面共享）手动禁用NetmanNetworkConnections（网络连接）手动手动NetDDENetworkDDE（网络DDE）手动禁用NetDDEdsdmNetworkDDEDSDM（网络NetworkDDEDSDM）手动禁用Windows2000操作系统安全配置检查表Windows2000操作系统安全配置检查表NtLmSspNTLMSecuritySupportProvider（NTLM安全支持提供程序）手动禁用SysmonLogPerformanceLogsandAlerts（性能日志和警报）手动手动PlugPLayPlugandPlay（即插即用）自动自动SpoolerPrintSpooler（打印后台处理程序）自动仅在''文件和打印”角色中启用ProtectedStorageProtectedStorage（受保护存储）自动自动RSVPQoSAdmissionControl（RSVP）（QoS许可控制（RSVP））手动禁用RasAutoRemoteAccessAutoConnectionManager（远程访问自动连接管理器）手动禁用RasManRemoteAccessConnectionManager（远程访问连接管理器）手动禁用RpcSsRemoteProcedureCall（远程过程调用，RPC）自动自动RpclocatorRemoteProcedureCall（RPC）Locator（远程过程调用（RPC）定位器手动仅在DC角色中启用RemoteRegistryRemoteRegistryService（远程注册表服务）自动自动NtmsSvcRemovableStorage（可移动存储）自动禁用RemoteAccessRoutingandRemoteAccess（路由和远程访问）禁用禁用SeclogonRunAsService（RunAs