Win2003安全加固方案
2.1.2 系统用户口令及策略加固
实施编号: 实施名称: 系统当前状态:
Leadsec-Win2003-1201 系统用户口令策略加固 查看系统“本地安全设置”-“帐户策略”中“ 密码策略”和“账 号锁定策略”当前情况:(以下为示例图)
实施方案:
密码必须符合复杂性要求:启用
密码长度最小值
8 个字符
密码最长使用期限:
-1-
WINDOWS 2003 安全加固配置手册
一、 安全加固配置说明
1.1 安全加固配置目的
建立 Windows Server 2003 操作系统安全加固配置标准,并以此标准为指导,配置和审视 客户 Windows Server 2003 服务器的安全性;降低系统存在的安全风险,确保系统安全可靠的 运行。
-6-
是否实施:
实施工程师备 注:
WINDOWS 2003 安全加固配置手册
实施编号:
Leadsec-Win2003-1403
实施名称:
Microsoft 网络客户端:发送未加密的密码到第三方 SMB 服务器
系统当前状态: 查看系统当前设置:
实施方案:
在管理工具->本地安全策略->选择本地策略->选择安全选项-> Microsoft 网 络 客 户 端 : 发 送 未 加 密 的 密 码 到 第 三 方 SMB 服 务 器 ( 禁 用 )
在管理工具->本地安全策略->选择本地策略->选择安全选项-> Microsoft 网络服务器:当登录时间用完时自动注销用户(改成已启用)!
实施目的:
实施风险: 是否实施:
可以避免用户在不适合的时间登录到系统,或者用户登录到系统后忘记退 出登录
无
实施工程师备 注:
实施编号:
Leadsec-Win2003-1402
90 天
强制密码历史:
24 个记住的密码
帐户锁定阀值:
3 次无效登陆
帐户锁定时间:
15 分钟
复位帐户锁定计数器: 15 分钟之后
实施目的: 实施风险: 是否实施: 实施工程师备注:
策略更改后,督促现有用户更改其登陆口令以符合最新策略要求。 保障用户账号及口令的安全,防止口令猜测攻击。 账号锁定后 15 分钟后才解锁。
无
实施工程师备 注:
实施编号: 实施名称: 系统当前状态:
Leadsec-Win2003-1406 关机时清掉页面文件 查看系统当前设置:
实施方案:
在管理工具->本地安全策略->选择本地策略->选择安全选项->关机: 清除虚拟内存页面文件(启用)
实施目的:
实施风险: 是否实施: 实施工程师备注:
某些第三方的程序可能把一些没有的加密的密码存在内存中,页面文 件中也可能含有另外一些敏感的资料。关机的时候清除页面文件,防 止造成意外的信息泄漏。
无
实施编号: 实施名称: 系统当前状态:
Leadsec-Win2003-1203 Administrator 帐户重命名
实施方案:
实施目的:
实施风险: 是否实施: 实施工程师备注:
开始—控制面板—管理工具—计算机管理—本地用户和组—用户— 选择 administrator—右键重命名 Administrator 是系统默认管理员帐户,重命名 Administrator 可增加账 号安全性。
无
2.1.3 日志及审核策略配置
实施编号: 实施名称:
Leadsec-Win2003-1301 设置主机审核策略
-4-
系统当前状态:
WINDOWS 2003 安全加固配置手册 在“本地安全策略”-“本地策略”中查看系统“审核策略”: (以下为示例图)
实施方案:
实施目的: 实施风险:
审核策略更改 成功,失败 审核登陆事件 成功,失败 审核对象访问 失败 审核目录服务访问 成功,失败 审核特权使用 失败 审核系统事件 成功,失败 审核账户登陆事件 成功,失败 审核帐户管理 成功,失败
实施方案: 实施目的:
确认系统安装了 SP2; 使用 Windows update 或者手工安装最新补丁
升级操作系统为最新版本,修补所有已知的安全漏洞
-2-
实施风险:
是否实施: 实施工程师备注:
WINDOWS 2003 安全加固配置手册
安装某些补丁可能导致主机启动失败,或其他未知情况发生,建议先 在测试机器上安装测试后再实施部署到生产机上
80000 K 80000 K 80000K
覆盖策略
覆盖早于 覆盖早于 覆盖早于
天的日志 天的日志 天的日志
覆盖策略
覆盖早于 30 天的日志 覆盖早于 30 天的日志 覆盖早于 30 天的日志
-5-
WINDOWS 2003 安全加固配置手册
其他日志(如存在) 80000 K
覆盖早于 30 天的日志
实施目的: 实施风险: 是否实施:
禁止发送未加密的密码到第三方 SMB 服务器 无
实施工程师备 注:
实施编号:
Leadsec-Win2003-1404
实施名称:
故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问
系统当前状态: 查看系统当前设置:
实施方案:
在管理工具->本地安全策略->选择本地策略->选择安全选项->故障恢复控 制台:允许对所有驱动器和文件夹进行软盘复制和访问(禁用)
对重要事件进行审核记录,方便日后出现问题时查找问题根源。
无
是否实施: 实施工程师备注:
实施编号: 实施名称: 系统当前状态:
Leadsec-Win2003-1302
调整事件日志的大小及覆盖策略
日志类型
日志大小
应用程序日志
K
安全日志
K
系统日志
K
实施方案:
日志类型
应用程序日志 安全日志 系统日志
日志大小
实施目的: 实施风险: 是否实施: 实施工程师备注:
增大日志大小,避免由于日志文件容量过小导致重要日志记录遗漏
2.1.4 安全选项策略配置
实施编号:
Leadsec-Win2003-1401
实施名称:
Microsoft 网络服务器:当登录时间用完时自动注销用户
系统当前状态: 查看系统当前设置:
实施方案:
实施名称:
Microsoft 网络服务器:在挂起会话之前所需的空闲时间
系统当前状态: 查看系统当前设置:
实施方案:
实施目的: 实施风险:
在管理工具->本地安全策略->选择本地策略->选择安全选项-> Microsoft 网络服务器:在挂起会话之前所需的空闲时间(小无
实施目的:
实施风险: 是否实施:
Windows 2003 控制台恢复的另一个特性是它禁止访问硬盘驱动器上的所 有文件和目录。它仅允许访问每个卷的根目录和%systemroot%目录及子目 录,即使是这样它还限制不允许把硬盘驱动器上的文件拷贝到软盘上。
无
实施工程师备 注:
-7-
WINDOWS 2003 安全加固配置手册
二、 主机加固方案.................................................................................................................. - 2 2.1 操作系统加固方案........................................................................................................... - 2 2.1.1 安全补丁检测及安装............................................................................................ - 2 2.1.2 系统用户口令及策略加固.................................................................................... - 3 2.1.3 日志及审核策略配置............................................................................................. - 4 2.1.4 安全选项策略配置................................................................................................ - 6 2.1.5 用户权限策略配置.............................................................................................. - 12 2.1.6 注册表安全设置.................................................................................................. - 14 2.1.7 网络与服务加固.................................................................................................. - 16 2.1.8 其他安全性加固.................................................................................................. - 18 -
