操作系统配置基准Word文件下载.docx

操作系统配置基准Word文件下载.docx

《操作系统配置基准Word文件下载.docx》由会员分享，可在线阅读，更多相关《操作系统配置基准Word文件下载.docx（36页珍藏版）》请在冰豆网上搜索。

●新安装或者重新安装windows2000操作系统，必须安装最新的ServicePack补丁集。

●必须安装等级为严重和重要的SecurityPatch。

●有关安全方面的Hotfixes补丁应当及时安装。

●安装补丁不要留副本。

注意：

补丁更新要慎重，可能出现硬件不兼容，或者影响当前的应用系统，安装补丁之前要经过测试和验证。

3.1.2账号和口令安全配置标准

3.1.2.1“密码策略”配置要求

通过“本地安全策略”调整默认的“密码策略”，提高系统的安全水平，“密码策略”中各选项的具体要求如下表列举：

策略

默认设置

安全设置

强制执行密码历史记录

记住1个密码

记住4个密码

密码最长期限

42天

密码最短期限

0天

7天

最短密码长度

0个字符

6个字符

密码必须符合复杂性要求

禁用

启用

为域中所有用户使用可还原的加密来储存密码

“密码策略”的设置步骤如下图：

进入“控制面板/管理工具/本地安全策略”，在“账户策略->

密码策略”。

3.1.2.2密码复杂性配置要求

在“密码策略”中“密码必须符合复杂性要求”选项启动后，系统将强制要求密码的设置具备一定的强壮度，要求密码至少包含以下四种类别的字符：

●英语大写字母A,B,C,…Z

●英语小写字母a,b,c,…z

●西方阿拉伯数字0,1,2,…9

●非字母数字字符，如标点符号，@,#,$,%,&

*等

3.1.2.3账号安全控制要求

3.1.2.3.1“账户锁定策略”配置要求

有效的账号锁定策略有助于防止攻击者猜出您账号对应的密码。

要求按照下表要求调整“账户锁定策略”：

账户锁定时间

未定义

30分钟

账户锁定阈值

5次无效登录

复位账户锁定计数器

30分钟之后

账号锁定配置具体操作如下图：

账户锁定策略”。

3.1.2.3.2系统内置账号管理要求

Windows2000系统中存在不可删除的内置账号，包括Administrator和guest。

对于管理员账号，要求更改缺省账户名称，对隶属于Administrators组的账号要严格监控；

要求禁用guest（来宾）账号，以防止攻击者通过利用已知的用户名破坏远程服务器。

3.1.2.3.3其它账号管理要求

临时的测试账号和过期的无用账号应该在3个工作日内及时删除。

（注：

测试账号和无用账号不是系统默认安装时生成的，是系统操作过程中人为新增的账号，从系统安全加固的角度来看，此类账号应该及时删除。

）

3.1.3目录和文件权限控制标准

权限控制遵循以下几个原则：

∙权限是累计的

∙拒绝的权限要比允许的权限高

∙文件权限比文件夹权限高。

3.1.3.1目录保护配置要求

要求按照下表内容对受保护的目录权限进行设置，缺省情况下，Administrators组和SYSTEM具有完全控制的权限，Everyone组具有读取及运行的权限，对于多个账户使用一台主机，要求根据具体情况对重要的文件目录进行账户权限的设置，如下图：

注：

下图为目录权限设置的示例，为C:

\WINNT\system32目录的设置，在实际服务器上进行设置时，需要严格检查重要目录以及对应的账户权限设置。

建议进行权限设置保护的重要目录列表：

保护的目录

应用的权限

%systemdrive%\

Administrators：

完全控制

System：

AuthenticatedUsers：

读取和执行、列出文件夹内容、读取

%SystemRoot%\Repair

%SystemRoot%\Security

%SystemRoot%\Temp

%SystemRoot%\system32\Config

%SystemRoot%\system32\Logfiles

Creator/Owner：

%systemdrive%\Inetpub

Everyone：

%SystemRoot%定义了Windows系统文件所在的路径和文件夹名，%SystemDrive%定义了包含%systemroot%的驱动器。

3.1.3.2文件保护配置要求

要求根据下表对系统的敏感文件的权限进行修改，以避免文件被恶意用户执行：

缺省情况下，这些文件的安全设置属性为：

用户组

权限

Administrators

System

Everyone

读取及运行

Users

对于Administrator管理员组和System组，缺省的权限设置已经为完全控制，不需要更改，对于普通账户的读取及运行权限，需要对文件逐一进行检查并调整，如下图：

建议进行权限设置保护的重要文件列表：

文件

基准权限

%SystemDrive%\Boot.ini

%SystemDrive%\N

%SystemDrive%\Ntldr

%SystemDrive%\Io.sys

%SystemDrive%\Autoexec.bat

%systemdir%\config

%SystemRoot%\system32\Append.exe

%SystemRoot%\system32\Arp.exe

%SystemRoot%\system32\At.exe

%SystemRoot%\system32\Attrib.exe

%SystemRoot%\system32\Cacls.exe

%SystemRoot%\system32\Change.exe

%SystemRoot%\system32\C

%SystemRoot%\system32\Chglogon.exe

%SystemRoot%\system32\Chgport.exe

%SystemRoot%\system32\Chguser.exe

%SystemRoot%\system32\Chkdsk.exe

%SystemRoot%\system32\Chkntfs.exe

%SystemRoot%\system32\Cipher.exe

%SystemRoot%\system32\Cluster.exe

%SystemRoot%\system32\Cmd.exe

%SystemRoot%\system32\Compact.exe

%SystemRoot%\system32\Convert.exe

%SystemRoot%\system32\Cscript.exe

%SystemRoot%\system32\Debug.exe

%SystemRoot%\system32\Dfscmd.exe

%SystemRoot%\system32\D

%SystemRoot%\system32\Doskey.exe

%SystemRoot%\system32\Edlin.exe

%SystemRoot%\system32\Exe2bin.exe

%SystemRoot%\system32\Expand.exe

%SystemRoot%\system32\Fc.exe

%SystemRoot%\system32\Find.exe

%SystemRoot%\system32\Findstr.exe

%SystemRoot%\system32\Finger.exe

%SystemRoot%\system32\Forcedos.exe

%System