当前位置:文档之家› 操作系统安全配置检查表

操作系统安全配置检查表

1
Windows 2000 操作系统安全检查表(草案)
中国教育和科研计算机网紧急响应组(CCERT)
2003年3月
前言
步 骤
1 建议
2 安装过程中的建议
3 安装最新的系统补丁(Service Pack)与更新(Hotfix)程序
4 为管理员(Administrator )账号指定安全的口令
5 把Administrator 帐号重新命名
6 禁用或删除不必要的帐号
7 关闭不必要的服务
8 安装防病毒软件
9 给所有必要的文件共享设置适当的访问控制权限 10 激活系统的审计功能 11
关于应用软件方面的建议
附录一、网络上的参考资源
附录二、windows 2000 服务配置参考
1 建议
2 安装过程中的建议
2
3 安装最新的系统补丁(Service Pack)与更新(Hotfix)程序
大量系统入侵事件是因为用户没有及时的安装系统的补丁,管理员重要的任务之一是更新系统,保证系统安装了最新的补丁。

建议用户及时下载并安装补丁包,修补系统漏洞。

Microsoft 公司提供两种类型的补丁:Service Pack 和Hotfix 。

Service Pack 是一系列系统漏洞的补丁程序包,最新版本的Service Pack 包括了以前发布的所有的hotfix 。

微软公司建议用户安装最新版本的Service Pack , 现在最新的补丁包是Service Pack 3(推荐安装)。

您可以在下面的网址下载到最新的补丁包:
● /windows2000/downloads/servicepacks/sp3/ ● /china/windows2000/downloads/ ●
/patch/
Service Pack 3 此补丁包包括了Automatic Updates (自动升级)服务,该服务能够在重要的Windows 2000修补程序发布之时向您发出通知。

Automatic Updates 是一种有预见性的“拉”服务,可以自动下载和安装Windows 升级补丁,例如重要的操作系统修补和Windows 安全性升级补丁。

Hotfix 通常用于修补某个特定的安全问题,一般比Service Pack 发布更为频繁。

微软用过安全通知服务来发布安全公告。

你可以订阅微软免费的安全通知服务:
/technet/treeview/default.asp?url=/technet/security/bulletin/notify.asp 在发布新的安全补丁时,可以通过电子邮件通知你。

如果公告建议你安装 hotfix ,你应该尽快下载并安装这些hotfix 。

你也可以在下面的网址下载最新的Hotfix 程序:
/technet/treeview/default.asp?url=/technet/security/current.asp
4 为管理员(Administrator )账号指定安全的口令
Windows 2000 允许127个字符的口令。

一般来说,强壮的口令应该满足以下条件: 1. 口令应该不少于8个字符;
2. 不包含字典里的单词、不包括姓氏的汉语拼音;
3. 同时包含多种类型的字符,比如
o 大写字母(A,B,C,..Z) o 小写字母(a,b,c..z) o 数字(0,1,2,…9)
o 标点符号(@,#,!,$,%,& …) 4. 不要在不同的计算机上使用相同的口令。

5 把Administrator 帐号重新命名
由于Windows2000的默认管理员帐号Administrator 已众所周知,该帐号通常称为攻击者猜
3
测口令攻击的对象。

为了降低这种威胁,可以将帐号Administrator 重新命名。

操作步骤如下:
5.
点击“开始”>“设置”>“控制面板”,弹出文件夹后,双击“管理工具”图标,进入后双击“计算机管理”,打开后选择目录“系统工具”下的“本地用户和组”,这样就可以看到系统中的所有用户列表;
6.
选中Administrator ,点击右键,选择重命名,将administrator 改成admin 、或root 等;
6 禁用或删除不必要的帐号
您应该在计算机管理单元中查看系统的活动帐号列表(对用户和程序而言),并且禁用所有非活动帐户,特别是Guest ,删除或者禁用不再需要的帐户。

配置步骤如下:
点击“开始”>“设置”>“控制面板”,弹出文件夹后,双击“管理工具”图标,进入后双击“计算机管理”,打开后选择目录“系统工具”下的“本地用户和组”,这样就可以看到系统中的所有用户的状态。

尽管Windows 2000默认禁用了Guest 帐号,但你需要确认一下。

7 关闭不必要的服务
每提供一种网络服务就增加了一份安全威胁。

所以我们建议您关闭所有不必要的网络服务,特别是Web 服务,因为Windows 系统包含的Web 服务器IIS 系统存在着大量安全漏洞。

如果您必须提供某种网络服务,那么尽量做到专机专用,不要把所有的鸡蛋都放在同一个篮子里。

也就是说假如服务器提供的是web 服务的话,就尽量不要在机器上提供其他的服务,这样可以尽量的降低服务器的风险。

通过开始—〉控制面板—〉管理工具—〉服务,可以配置Windows 2000的服务。

微软关于Windows 2000的基准服务配置,参见附录二。

8 安装防病毒软件
我们强烈建议您在操作系统安装之后立即安装防病毒软件,定期扫描、实时检测和清除计算机磁盘引导记录、文件系统和内存、以及电子邮件病毒。

由于新的病毒和蠕虫及其各种变种发展很快,我们强烈建议您及时更新病毒定义码。

关于防病毒软件的选择,建议您参考清华大学等各高校BBS 系统中病毒栏目的相关评论和建议。

9 给所有必要的文件共享设置适当的访问控制权限
默认状态下,所有用户对于新创建的文件共享都拥有完全控制权限。

系统中所有必要的共享都应当设置合适的权限,以便使用户拥有适当的共享级别访问权(例如,Everyone = 读取)。

注意 必须使用 NTFS 文件系统,才能对个别文件设置 ACL 以及共享级别权限。

4
10 激活系统的审计功能
Windows 2000的安全审计功能在默认安装时是关闭的。

激活此功能有利于管理员很好的掌握机器的状态,有利于系统的入侵检测。

你可以从日志中了解到机器是否在被人蛮力攻击、非法的文件访问等等。

配置步骤如下:
“开始”>“设置”>“控制面板”>“管理工具”>“本地安全策略”,之后选择“本地策
若想查看审核日志信息,可以用以下步骤:
“程序”>“设置”>“控制面板”>“管理工具”>“事件查看器”。

11 关于应用软件方面的建议
1. 从Internet 上下载并运行软件时一定要谨慎,因为这些软件有可能感染病毒、藏有木马
或后门。

如果您必须使用这些软件,一定选择可信度高的站点。

2. 不要轻易打开陌生人的邮件,特别是邮件中的附件。

3.
重要的数据一定要定期备份。

附录一、网络上的参考资源
微软安全特性(中国):/china/technet/security/default.asp 微软补丁下载(中国):/china/windows2000/downloads/ CCERT 安全资源: /certs/index.php
附录二、windows 2000 服务配置参考
我们建议您对服务作如下配置(“默认”为系统初始设置,“基准”是我们建议的设置)。

5
6。

相关主题