操作系统配置基准Word文件下载.docx
《操作系统配置基准Word文件下载.docx》由会员分享,可在线阅读,更多相关《操作系统配置基准Word文件下载.docx(36页珍藏版)》请在冰豆网上搜索。
●新安装或者重新安装windows2000操作系统,必须安装最新的ServicePack补丁集。
●必须安装等级为严重和重要的SecurityPatch。
●有关安全方面的Hotfixes补丁应当及时安装。
●安装补丁不要留副本。
注意:
补丁更新要慎重,可能出现硬件不兼容,或者影响当前的应用系统,安装补丁之前要经过测试和验证。
3.1.2账号和口令安全配置标准
3.1.2.1“密码策略”配置要求
通过“本地安全策略”调整默认的“密码策略”,提高系统的安全水平,“密码策略”中各选项的具体要求如下表列举:
策略
默认设置
安全设置
强制执行密码历史记录
记住1个密码
记住4个密码
密码最长期限
42天
密码最短期限
0天
7天
最短密码长度
0个字符
6个字符
密码必须符合复杂性要求
禁用
启用
为域中所有用户使用可还原的加密来储存密码
“密码策略”的设置步骤如下图:
进入“控制面板/管理工具/本地安全策略”,在“账户策略->
密码策略”。
3.1.2.2密码复杂性配置要求
在“密码策略”中“密码必须符合复杂性要求”选项启动后,系统将强制要求密码的设置具备一定的强壮度,要求密码至少包含以下四种类别的字符:
●英语大写字母A,B,C,…Z
●英语小写字母a,b,c,…z
●西方阿拉伯数字0,1,2,…9
●非字母数字字符,如标点符号,@,#,$,%,&
*等
3.1.2.3账号安全控制要求
3.1.2.3.1“账户锁定策略”配置要求
有效的账号锁定策略有助于防止攻击者猜出您账号对应的密码。
要求按照下表要求调整“账户锁定策略”:
账户锁定时间
未定义
30分钟
账户锁定阈值
5次无效登录
复位账户锁定计数器
30分钟之后
账号锁定配置具体操作如下图:
账户锁定策略”。
3.1.2.3.2系统内置账号管理要求
Windows2000系统中存在不可删除的内置账号,包括Administrator和guest。
对于管理员账号,要求更改缺省账户名称,对隶属于Administrators组的账号要严格监控;
要求禁用guest(来宾)账号,以防止攻击者通过利用已知的用户名破坏远程服务器。
3.1.2.3.3其它账号管理要求
临时的测试账号和过期的无用账号应该在3个工作日内及时删除。
(注:
测试账号和无用账号不是系统默认安装时生成的,是系统操作过程中人为新增的账号,从系统安全加固的角度来看,此类账号应该及时删除。
)
3.1.3目录和文件权限控制标准
权限控制遵循以下几个原则:
∙权限是累计的
∙拒绝的权限要比允许的权限高
∙文件权限比文件夹权限高。
3.1.3.1目录保护配置要求
要求按照下表内容对受保护的目录权限进行设置,缺省情况下,Administrators组和SYSTEM具有完全控制的权限,Everyone组具有读取及运行的权限,对于多个账户使用一台主机,要求根据具体情况对重要的文件目录进行账户权限的设置,如下图:
注:
下图为目录权限设置的示例,为C:
\WINNT\system32目录的设置,在实际服务器上进行设置时,需要严格检查重要目录以及对应的账户权限设置。
建议进行权限设置保护的重要目录列表:
保护的目录
应用的权限
%systemdrive%\
Administrators:
完全控制
System:
AuthenticatedUsers:
读取和执行、列出文件夹内容、读取
%SystemRoot%\Repair
%SystemRoot%\Security
%SystemRoot%\Temp
%SystemRoot%\system32\Config
%SystemRoot%\system32\Logfiles
Creator/Owner:
%systemdrive%\Inetpub
Everyone:
%SystemRoot%定义了Windows系统文件所在的路径和文件夹名,%SystemDrive%定义了包含%systemroot%的驱动器。
3.1.3.2文件保护配置要求
要求根据下表对系统的敏感文件的权限进行修改,以避免文件被恶意用户执行:
缺省情况下,这些文件的安全设置属性为:
用户组
权限
Administrators
System
Everyone
读取及运行
Users
对于Administrator管理员组和System组,缺省的权限设置已经为完全控制,不需要更改,对于普通账户的读取及运行权限,需要对文件逐一进行检查并调整,如下图:
建议进行权限设置保护的重要文件列表:
文件
基准权限
%SystemDrive%\Boot.ini
%SystemDrive%\N
%SystemDrive%\Ntldr
%SystemDrive%\Io.sys
%SystemDrive%\Autoexec.bat
%systemdir%\config
%SystemRoot%\system32\Append.exe
%SystemRoot%\system32\Arp.exe
%SystemRoot%\system32\At.exe
%SystemRoot%\system32\Attrib.exe
%SystemRoot%\system32\Cacls.exe
%SystemRoot%\system32\Change.exe
%SystemRoot%\system32\C
%SystemRoot%\system32\Chglogon.exe
%SystemRoot%\system32\Chgport.exe
%SystemRoot%\system32\Chguser.exe
%SystemRoot%\system32\Chkdsk.exe
%SystemRoot%\system32\Chkntfs.exe
%SystemRoot%\system32\Cipher.exe
%SystemRoot%\system32\Cluster.exe
%SystemRoot%\system32\Cmd.exe
%SystemRoot%\system32\Compact.exe
%SystemRoot%\system32\Convert.exe
%SystemRoot%\system32\Cscript.exe
%SystemRoot%\system32\Debug.exe
%SystemRoot%\system32\Dfscmd.exe
%SystemRoot%\system32\D
%SystemRoot%\system32\Doskey.exe
%SystemRoot%\system32\Edlin.exe
%SystemRoot%\system32\Exe2bin.exe
%SystemRoot%\system32\Expand.exe
%SystemRoot%\system32\Fc.exe
%SystemRoot%\system32\Find.exe
%SystemRoot%\system32\Findstr.exe
%SystemRoot%\system32\Finger.exe
%SystemRoot%\system32\Forcedos.exe
%System