奥门美高梅app-最新网址

.Windows 基准安全注意事项

发布时间:2012-12-25 09:42:15 | 编辑:stu1

2010-11-06 kaida 点击:[ 12]

本文由 kaida 于2004 11月 18 at 12:19am 发表,已被阅读 29719 次

Windows 基准安全注意事项



方框

 

验证所有磁盘分区是否都用 NTFS 格式化

 

方框

 

验证管理员帐户是否有强密码

 

方框

 

禁用不必要的服务

 

方框

 

禁用或删除不必要的帐户

 

方框

 

保护文件和目录

 

方框

 

确保禁用来宾帐户

 

方框

 

防止注册表被匿名访问

 

方框

 

应用适当的注册表 ACL

 

方框

 

限制对公用本地安全机构 (LSA) 信息进行访问

 

方框

 

设置较强的密码策略

 

方框

 

设置帐户锁定策略

 

方框

 

配置管理员帐户

 

方框

 

删除所有不必要的文件共享

 

方框

 

对所有必要的文件共享设置适当的 ACL

 

方框

 

安装防病毒App和更新

 

方框

 

安装最新的 Service Pack

 

方框

 

安装适当的 Service Pack 后的安全修补程序

 

 

验证所有磁盘分区是否都用 NTFS 格式化

NTFS 分区提供访问控制和保护功能,这些都是 FAT、FAT32 或 FAT32x 文件系统所无法提供的。要确保服务器上的所有分区都使用 NTFS 格式化。如果有必要,请使用转换 实用程序在不毁坏数据的情况下将 FAT 分区转换为 NTFS。

警告 如果使用转换实用程序,它将把转换后的驱动器的 ACL 设置为“Everyone:完全控制”。有关还原 Windows 2000 计算机上默认 NTFS 权限的信息,请参阅 微软 常识库文章 Q266118

验证管理员帐户是否有强密码

Windows 2000 允许使用多达 127 个字符的密码。一般而言,较长的密码比较短的密码更强,具有多种字符类型(字母、数字、标点符号和使用 ALT 键和数字小键盘上的三位键控代码生成的非打印 ASCII 字符)的密码比单纯的字母或字母数字组成的密码更强。为达到最大限度的保护,需要确保管理员帐户密码至少要有九个字符长,并且在头七个字符中至少包含一个标点符号或非打印 ASCII 字符。另外,不能在多台服务器上使用相同的管理员帐户密码。在每一台服务器上应该使用不同的密码,以提高工作组或域中的安全级别。

禁用不必要的服务

安装 Windows 2000 Server 之后,应该禁用服务器角色不需要的任何网络服务。尤其应该考虑服务器是否需要任何 IIS 组件以及是否运行用于文件和打印共享的 Server 服务。

还应该避免在服务器上安装应用程序,除非它们对于该服务器的功能绝对有必要。例如,不要安装电子邮件客户端程序、办公工具或实用程序,它们对于服务器完成其工作并非确实需要。

禁用或删除不必要的帐户

应该在“计算机管理”管理单元中检查系统上的活动帐户列表(对于用户和应用程序),并禁用任何非活动帐户和删除不再需要的帐户。

保护文件和目录

有关默认 Windows 2000 文件系统 ACL 以及如何进行必要的修改的详细信息,请参阅 微软 TechNet 安全 Web 站点中的 Default Access Control Settings in Windows 2000(Windows 2000 中的默认访问控制设置)文档。

确保禁用来宾帐户

默认情况下,在运行 Windows 2000 Server 的系统上禁用来宾帐户。如果启用来宾帐户,则请将它禁用。

防止注册表被匿名访问

默认权限不限制对注册表的远程访问。只有管理员才应该对注册表具有远程访问权限,因为默认情况下 Windows 2000 注册表编辑工具支撑远程访问。若要限制对注册表的网络访问:

  1. 将下列项添加到注册表:
    • 配置单元

       

    • HKEY_LOCAL_MACHINE \SYSTEM

       

    •  

    • \CurrentControlSet\Control\SecurePipeServers

       

    • 值名称

       

    • \winreg

       

  2. 选择 winreg,单击“安全”菜单,然后单击“权限”。
  3. 将管理员权限设置为“完全控制”,确保不会列出其他用户或组,然后单击“确定”。

对该项设置的安全权限 (ACL) 定义哪些用户或组可连接到系统,以便远程访问注册表。另外,AllowedPaths 子项包含“Everyone”组的成员有权访问的项的列表,尽管 winreg 项中有 ACL。这允许特定的系统功能(如检查打印机状态)能正确地工作,无论通过 winreg 注册表项如何进行访问限制。AllowedPaths 注册表项上的默认安全只授予管理员管理这些路径的权力。AllowedPaths 项以及其正确用法,都在 微软 常识库文章 Q155363 中进行描述。

应用适当的注册表 ACL

有关默认 Windows 2000 文件系统 ACL 以及如何进行必要的修改的详细信息,请参阅 微软 TechNet 安全 Web 站点中的 Default Access Control Settings in Windows 2000(Windows 2000 中的默认访问控制设置)文档。

限制对公用本地安全机构 (LSA) 信息进行访问

必须能够识别系统上的所有用户,因此应该限制匿名用户,以使他们可以获得的有关 Windows NT 安全子系统的 LSA 组件的公用信息量减少。LSA 处理本地计算机上的安全管理,包括访问和权限。若要实现此限制,请创建和设置下列注册表项:

配置单元

 

HKEY_LOCAL_MACHINE \SYSTEM

 


 

CurrentControlSet\Control\LSA

 

值名称

 

RestrictAnonymous

 

类型

 

REG_DWORD

 


 

1

 

设置较强的密码策略

使用“域安全策略”(或“本地安全策略”)管理单元来加强针对密码接受的系统策略。微软 建议您进行下列更改:

  • 将最短密码长度设置为至少 8 个字符
  • 设置适合网络的最短密码期限(通常在 1 和 7 天之间)
  • 设置适合网络的密码最长期限(通常不超过 42 天)
  • 将密码历史维护设置为至少为 6(使用“记住密码”选项)

设置帐户锁定策略

Windows 2000 包含一项帐户锁定功能,将在管理员指定的登录失败次数之后禁用帐户。为确保最佳的安全,请启用在 3 到 5 次尝试失败之后锁定,在不少于 30 分钟之后复位计数器,并将锁定时间设置为“永久(直到系统管理员解除锁定)”。

Windows NT Server 资源工具箱包括一个用于调整一些帐户属性的工具,这些属性通过普通的管理工具不可访问。此工具名为 passprop.exe,用于锁定管理员帐户:

  • /adminlockout 开关用于锁定管理员帐户

配置管理员帐户

由于管理员帐户内置到每一 Windows 2000 副本中,因此为攻击者提供了熟知的目标。为了使攻击者不容易攻击管理员帐户,对每一台服务器上的域管理员帐户和本地管理员帐户实行下列操作:

  • 将帐户重命名为非明显的名称(例如,不是“admin”、“root”等。)
  • 建立一个名为“Administrator”而没有特权的假帐户。定期扫描事件日志,寻找使用此帐户的企图。
  • 通过使用 passprop 实用程序,对真实的管理员帐户启用帐户锁定
  • 禁用本地计算机的管理员帐户。

删除所有不必要的文件共享

系统上的所有不必要的文件共享都应该删除,以防止可能的信息泄露,并防止怀恶意的用户利用共享作为进入本地系统的入口。

对所有必要的文件共享设置适当的 ACL

默认情况下,所有用户都具有对新创建的文件共享的“完全控制”权限。对系统上所有需要的共享都应该设置 ACL,以使用户具有适当的共享级别访问权限(例如,Everyone = 读取)。

注意 除了共享级别权限外,还必须使用 NTFS 文件系统来对单独的文件设置 ACL。

安装防病毒App和更新

安装防病毒App并跟踪所有 Internet 和 Intranet 系统上最新的病毒签名非常重要。

微软 TechNet 安全 Web 站点上提供更多安全防病毒信息,网址是:

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/virus/virus.asp

安装最新的 Service Pack

针对 Windows 的每个 Service Pack 都包含以前版本的 Service Pack 中的所有安全修补程序。微软 建议您跟踪 Service Pack 版本,只要您的运行情况允许,就安装正确的 Service Pack。针对 Windows 2000 的当前 Service Pack 是 SP4,位于:

http://www.microsoft.com/windows2000/downloads/servicepacks/sp4/

通过“微软 产品支撑”也可获得 Service Pack。有关如何与“微软 产品支撑”联系的信息位于 http://support.microsoft.com/support/contact/default.asp

安装适当的 Service Pack 后的安全修补程序

微软 通过其安全通告服务发布安全通告。当这些通告建议安装安全修补程序时,应该马上下载修补程序,并在成员服务器上安装。

补充安全设置

还有其他本文档没有涉及的安全功能,在保护运行 Windows 2000 的服务器安全时应加以利用。有关这些安全功能(如加密文件系统 (EFS)、Kerberos、IPSEC、PKI 和 IE 安全)的信息,位于 微软 TechNet 安全 Web 站点:

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/prodtech/wn2ksec.asp

 

kaida38309.0138194444
 

上一条:Linux 安全指南 下一条:上海交通大学校园网用户安全使用网络的最低要求

关闭

 
 
 

 

XML 地图 | Sitemap 地图