某世界500强公司的服务器操作系统安全配置标准-Windows 中国××公司服务器操作系统安全配置标准-WindowsV 1.12006年03 月30 日文档控制拟制:审核:标准化:读者:版本控制版本提交日期相关组织和人员版本描述V1.0 2005-12-08V1.1 2006-03-301 概述 11.1 适用围 11.2 实施 11.3 例外条款 11.4 检查和维护 12 适用版本 23 用户账号控制 23.1 密码策略 23.2 复杂性要求 23.3 账户锁定策略 33.4 置默认账户安全 33.5 安全选项策略 44 注册表安全配置 64.1 注册表访问授权 64.2 禁止匿名访问注册表 74.3 针对网络攻击的安全考虑事项 74.4 禁用 8.3 格式文件名的自动生成 84.5 禁用 LMHASH 创建 84.6 配置 NTLMSSP 安全 84.7 禁用自动运行功能 84.8 附加的注册表安全配置 95 服务管理 95.1 成员服务器 95.2 域控制器 106 文件/目录控制 116.1 目录保护 116.2 文件保护 127 服务器操作系统补丁管理 167.1 确定修补程序当前版本状态 167.2 部署修补程序 168 系统审计日志 169 其它配置安全 179.1 确保所有的磁盘卷使用NTFS文件系统 179.2 系统启动设置 179.3 屏幕保护设置 179.4 远程管理访问要求 1810 防病毒管理 1811 附则 1811.1 文档信息 1811.2 其他信息 181 概述本文档规定了中国××公司企业围安装有Windows操作系统的主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员进行Windows操作系统的安全配置。
1.1 适用围本规的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。
本规适用的围包括:支持中国××公司运行的Windows 2000 Server, Windows 2003服务器系统。
1.2 实施本规的解释权和修改权属于中国××公司,在本标准的执行过程中若有任何疑问或建议,应及时反馈。
本标准一经颁布,即为生效。
1.3 例外条款欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国××公司信息系统管理部门进行审批备案。
1.4 检查和维护根据中国××公司经营活动的需要,每年检查和评估本标准,并做出适当更新。
如果在突发事件处理过程中,发现需对本标准进行变更,也需要进行本标准的维护。
任何变更草案将由中国××公司信息系统管理部门进行审核批准。
各相关部门经理有责任与其下属的组织和员工沟通变更的容。
2 适用版本Windows 2000 Server;Windows 2003.3 用户账号控制基本策略:用户被赋予唯一的用户名、用户ID(UID)。
3.1 密码策略默认情况下,将对域中的所有服务器强制执行一个标准密码策略。
下表列出了一个标准密码策略的设置以及针对您的环境建议的最低设置。
策略默认设置推荐最低设置强制执行密码历史记录记住 1 个密码记住 4 个密码密码最长期限 42 天 42 天密码最短期限 0 天 0 天最短密码长度 0 个字符 8 个字符密码必须符合复杂性要求禁用启用为域中所有用户使用可还原的加密来储存密码禁用禁用3.2 复杂性要求当组策略的“密码必须符合复杂性要求”设置启用后,它要求密码必须为 6 个字符长(但我们建议您将此值设置为 8 个字符)。
它还要求密码中必须包含下面类别中至少三个类别的字符:英语大写字母A, B, C, … Z英语小写字母 a,b, c, … z西方阿拉伯数字0, 1, 2, (9)非字母数字字符,如标点符号3.3 账户锁定策略有效的账户锁定策略有助于防止攻击者猜出您账户的密码。
下表列出了一个默认账户锁定策略的设置以及针对您的环境推荐的最低设置。
策略默认设置推荐最低设置账户锁定时间未定义 30 分钟账户锁定阈值 0 5 次无效登录复位账户锁定计数器未定义 30 分钟3.4 置默认账户安全Windows有几个置的用户账户,它们不可删除,但可以通过禁用,重命名或设置相关的权限的方式来保证一定的系统安全性。
名建议安全配置策略适用系统Administrator 1. 此必须在安装后立即重命名并修改相关密码;2. 对于系统管理员建议建立一个相关拥有Administrator组权限的新用户,平时使用此登陆,只有在有特殊需要时才使用重命名后的Administrator进行系统登陆。
Windows 2000 ServerWindows Server 2003Guest 必须禁用;如有特殊需要保留也一定要重命名。
Windows 2000 Server Windows Server 2003TSInternetUser 此是为了“Terminal Services’ Internet Connector License”使用而存在的,故必须禁用,不会对于正常的Terminal Services的功能有影响。
Windows 2000 ServerWindows Server 2003SUPPORT_388945a0 此是为了IT帮助和支持服务,此必须禁用。
Windows Server 2003IUSR_{system} 必须只能是Guest组的成员。
此为IIS(Internet Information Server)服务建立的。
IWAM_{system} 必须只能是Guest组的成员。
此为IIS(Internet Information Server)服务建立的。
3.5 安全选项策略域策略中的安全选项应根据以下设置按照具体需要修改:选项设置对匿名连接的附加限制没有显式匿名权限就无法访问允许服务器操作员计划任务 (仅用于域控制器) 禁用允许在未登录前系统关机禁用允许弹出可移动 NTFS 媒体管理员在断开会话之前所需的空闲时间 15 分钟对全局系统对象的访问进行审计禁用对备份和还原权限的使用进行审计禁用登录时间过期就自动注销用户未定义(见附注)当登录时间过期就自动注销用户(本地)启用在系统关机时清除虚拟存页面交换文件启用对客户端通讯使用数字签名(始终)启用对客户端通讯使用数字签名 (如果可能) 启用对服务器通讯使用数字签名(始终)启用对服务器通讯进行数字签名 (如果可能) 启用禁用按 CTRL+ALT+DEL 进行登录的设置禁用登录屏幕上不要显示上次登录的用户名启用LAN Manager 身份验证级别仅发送 NTLMv2 响应,拒绝 LM & NTLM用户尝试登录时消息文字用户尝试登录时消息标题缓冲保存的以前登录次数(在域控制器不可用的情况下) 0 次登录防止计算机账户密码的系统维护禁用防止用户安装打印机驱动程序启用在密码到期前提示用户更改密码 14 天故障恢复控制台:允许自动管理登录禁用故障恢复控制台:允许对驱动器和文件夹进行软盘复制和访问禁用重命名系统管理员账户未定义重命名来宾账户未定义只有本地登录的用户才能访问 CD-ROM 启用只有本地登录的用户才能访问软盘启用安全通道:对安全通道数据进行数字加密或签名(始终)启用安全通道:对安全通道数据进行数字加密(如果可能)启用安全通道:对安全通道数据进行数字签名(如果可能)启用安全通道: 需要强 (Windows 2000 Server 或以上版本) 会话密钥启用安全系统磁盘分区(只适于 RISC 操作平台)未定义发送未加密的密码以连接到第三方 SMB 服务器。
禁用如果无法记录安全审计则立即关闭系统启用(见第二条附注)智能卡移除操作锁定工作站增强全局系统对象的默认权限(例如 Symbolic Links)启用未签名驱动程序的安装操作禁止安装未签名非驱动程序的安装操作允许安装但发出警告在上面的推荐配置中,下面几项由于直接影响了域中各服务器间通讯的方式,可能会对服务器性能有影响。
对匿名连接的附加限制默认情况下,Windows 2000 Server 允许匿名用户执行某些活动,如枚举域账户和网络共享区的名称。
这使得攻击者无需用一个用户账户进行身份验证就可以查看远程服务器上的这些账户和共享名。
为更好地保护匿名访问,可以配置“没有显式匿名权限就无法访问”。
这样做的效果是将 Everyone(所有人)组从匿名用户令牌中删除。
对服务器的任何匿名访问都将被禁止,而且对任何资源都将要求显式访问。
LAN Manager身份验证级别Microsoft Windows 9x 和 Windows NT® 操作系统不能使用 Kerberos 进行身份验证,所以,在默认情况下,在 Windows 2000 域中它们使用 NTLM 协议进行网络身份验证。
您可以通过使用 NTLMv2 对 Windows 9x 和 Windows NT 强制执行一个更安全的身份验证协议。
对于登录过程,NTLMv2 引入了一个安全的通道来保护身份验证过程。
在关机时清理虚拟存页面交换文件实际存中保存的重要信息可以周期性地转储到页面交换文件中。
这有助于 Windows 2000 Server 处理多任务功能。
如果启用此选项,Windows 2000 Server 将在关机时清理页面交换文件,将存储在那里的所有信息清除掉。
根据页面交换文件的大小不同,系统可能需要几分钟的时间才能完全关闭。
对客户端/服务器通讯使用数字签名在高度安全的网络中实现数字签名有助于防止客户机和服务器被模仿(即所谓“会话劫持”或“中间人”攻击)。
服务器消息块 (SMB) 签名既可验证用户身份,又可验证托管数据的服务器的身份。
如有任何一方不能通过身份验证,数据传输就不能进行。
在实现了 SMB 后,为对服务器间的每一个数据包进行签名和验证,性能最多会降低 15%。
针对Server 2003的设置:通过运行Secpol.msc > Security Settings > Local Policies进行设置安全选项设置在用户密码过期前通知用户 7 天4 注册表安全配置4.1 注册表访问授权对于Windows注册表的访问授权必须按下列的表格进行设置,“访问授权”栏里规定了对于普通用户(例如Everyone, Users, Authenticated Users或 other groups containing general users)所赋予的最大权利。
注册表资源名称访问授权HKCR or HKLM\Software\Classes\保护对于文件扩展名和COM类注册信息的未授权修改 Read*HKLM\System\CurrentControlSet\Control\SecurePipeServers值: Winreg限制远程注册表访问权限 Read*HKLM\System\CurrentControlSet\Services\Eventlog\Security保护安全日志保存目录和配置被未授权的进行浏览。