windows系统安全加固建议书文档格式.docx
《windows系统安全加固建议书文档格式.docx》由会员分享,可在线阅读,更多相关《windows系统安全加固建议书文档格式.docx(22页珍藏版)》请在冰豆网上搜索。
1.8.2域控制器18
1.9其它配置安全19
1.9.1确保所有的磁盘卷使用NTFS文件系统19
1.9.2系统启动设置19
1.9.3屏保19
配置标准
组策略管理
1.1.1组策略的重要性
Windows组策略有助于在您的ActiveDirectory域中为所有工作站和服务器实现安全策略中的技术建议。
可以将组策略和OU结构结合使用,为特定服务器角色定义其特定的安全设置。
如果使用组策略来实现安全设置,则可以确保对某一策略进行的任何更改都将应用到使用该策略的所有服务器,并且新的服务器将自动获取新的设置。
1.1.2组策略的应用方式
一个用户或计算机对象可能受多个组策略对象(GPO)的约束。
这些GPO按顺序应用,并且设置不断累积,除发生冲突外,在默认情况下,较迟的策略中的设置将替代较早的策略中的设置。
第一个应用的策略是本地GPO,在本地GPO之后,后来的GPO依次在站点、域、父组织单位(OU)和子OU上应用。
下图显示了每个策略是如何应用的:
1.1.3组策略的实施
在Windows局域网中实施安全管理应分别从服务器和工作站两方面进行。
首先应在服务器上安装活动目录服务,然后在域上实施组策略;
其次应将工作站置于服务器所管理的域中。
⏹启动活动目录服务
在“程序→管理工具→配置服务器”选项中,选定左边的“ActiveDirectory”,启动活动目录安装向导。
将服务器设置为第一个域目录树,DNS域名输入提供的域名。
⏹打开组策略控制台
启动“ActiveDirectory目录和用户”项,在右面对象容器树中的根目录上单击右键,然后单击“属性”项,在新打开的窗口中单击“组策略”选项卡,即可打开组策略控制台。
⏹创建OU结构
1)启动ActiveDirectory用户和计算机。
2)右键单击域名,选择新建,然后选择组织单位。
3)键入成员服务器,然后单击确定。
4)右键单击成员服务器,选择新建,然后选择组织单位。
5)键入应用程序服务器,然后单击确定。
6)针对文件和打印服务器、IIS服务器和基础结构服务器重复第5步和第6步。
⏹设置组策略
位于组策略对象“安全设置”节点的容器包括:
账户策略、本地策略、事件日志、受限组、系统服务、注册表、文件系统、公钥策略、ActiveDirectory中的网际协议安全策略等。
具体的设置在本标准的相应章节中详细说明。
用户账号控制
1.1.4密码策略
默认情况下,将对域中的所有服务器强制执行一个标准密码策略。
下表列出了一个标准密码策略的设置以及针对您的环境建议的最低设置。
策略
默认设置
推荐最低设置
强制执行密码历史记录
记住1个密码
记住24个密码
密码最长期限
42天
密码最短期限
0天
2天
最短密码长度
0个字符
8个字符
密码必须符合复杂性要求
禁用
启用
为域中所有用户使用可还原的加密来储存密码
1.1.5复杂性要求
当组策略的“密码必须符合复杂性要求”设置启用后,它要求密码必须为6个字符长(但我们建议您将此值设置为8个字符)。
它还要求密码中必须包含下面类别中至少三个类别的字符:
⏹英语大写字母A,B,C,…Z
⏹英语小写字母a,b,c,…z
⏹西方阿拉伯数字0,1,2,…9
⏹非字母数字字符,如标点符号
1.1.6账户锁定策略
有效的账户锁定策略有助于防止攻击者猜出您账户的密码。
下表列出了一个默认账户锁定策略的设置以及针对您的环境推荐的最低设置。
账户锁定时间
未定义
30分钟
账户锁定阈值
5次无效登录
复位账户锁定计数器
⏹用户被赋予唯一的用户名、用户ID(UID)和口令。
⏹用户名口令长度规定。
1.1.7内置账户安全
Windows有几个内置的用户账户,它们不可删除,但可以重命名。
其中Guest(来宾)账户应禁用的,管理员账户应重命名而且其描述也要更改,以防攻击者使用已知用户名破坏一个远程服务器。
安全选项策略
域策略中的安全选项应根据以下设置按照具体需要修改:
选项
设置
对匿名连接的附加限制
没有显式匿名权限就无法访问
允许服务器操作员计划任务(仅用于域控制器)
允许在未登录前系统关机
允许弹出可移动NTFS媒体
管理员
在断开会话之前所需的空闲时间
15分钟
对全局系统对象的访问进行审计
对备份和还原权限的使用进行审计
登录时间过期就自动注销用户
未定义(见附注)
当登录时间过期就自动注销用户(本地)
在系统关机时清除虚拟内存页面交换文件
对客户端通讯使用数字签名(始终)
对客户端通讯使用数字签名(如果可能)
对服务器通讯使用数字签名(始终)
对服务器通讯进行数字签名(如果可能)
禁用按CTRL+ALT+DEL进行登录的设置
登录屏幕上不要显示上次登录的用户名
LANManager身份验证级别
仅发送NTLMv2响应,拒绝LM&
NTLM
用户尝试登录时消息文字
用户尝试登录时消息标题
缓冲保存的以前登录次数(在域控制器不可用的情况下)
0次登录
防止计算机账户密码的系统维护
防止用户安装打印机驱动程序
在密码到期前提示用户更改密码
14天
故障恢复控制台:
允许自动管理登录
允许对驱动器和文件夹进行软盘复制和访问
重命名系统管理员账户
重命名来宾账户
只有本地登录的用户才能访问CD-ROM
只有本地登录的用户才能访问软盘
安全通道:
对安全通道数据进行数字加密或签名(始终)
对安全通道数据进行数字加密(如果可能)
对安全通道数据进行数字签名(如果可能)
安全通道:
需要强(Windows2000或以上版本)会话密钥
安全系统磁盘分区(只适于RISC操作平台)
发送未加密的密码以连接到第三方SMB服务器。
如果无法记录安全审计则立即关闭系统
启用(见第二条附注)
智能卡移除操作
锁定工作站
增强全局系统对象的默认权限(例如SymbolicLinks)
未签名驱动程序的安装操作
禁止安装
未签名非驱动程序的安装操作
允许安装但发出警告
在上面的推荐配置中,下面几项由于直接影响了域中各服务器间通讯的方式,可能会对服务器性能有影响。
⏹对匿名连接的附加限制
默认情况下,Windows允许匿名用户执行某些活动,如枚举域账户和网络共享区的名称。
这使得攻击者无需用一个用户账户进行身份验证就可以查看远程服务器上的这些账户和共享名。
为更好地保护匿名访问,可以配置“没有显式匿名权限就无法访问”。
这样做的效果是将Everyone(所有人)组从匿名用户令牌中删除。
对服务器的任何匿名访问都将被禁止,而且对任何资源都将要求显式访问。
⏹LANManager身份验证级别
MicrosoftWindows9x和WindowsNT®
操作系统不能使用Kerberos进行身份验证,所以,在默认情况下,在Windows2000域中它们使用NTLM协议进行网络身份验证。
您可以通过使用NTLMv2对Windows9x和WindowsNT强制执行一个更安全的身份验证协议。
对于登录过程,NTLMv2引入了一个安全的通道来保护身份验证过程。
⏹在关机时清理虚拟内存页面交换文件
实际内存中保存的重要信息可以周期性地转储到页面交换文件中。
这有助于Windows处理多任务功能。
如果启用此选项,Windows2000将在关机时清理页面交换文件,将存储在那里的所有信息清除掉。
根据页面交换文件的大小不同,系统可能需要几分钟的时间才能完全关闭。
⏹对客户端/服务器通讯使用数字签名
在高度安全的网络中实现数字签名有助于防止客户机和服务器被模仿(即所谓“会话劫持”或“中间人”攻击)。
服务器消息块(SMB)签名既可验证用户身份,又可验证托管数据的服务器的身份。
如有任何一方不能通过身份验证,数据传输就不能进行。
在实现了SMB后,为对服务器间的每一个数据包进行签名和验证,性能最多会降低15%。
注册表安全配置
1.1.8针对网络攻击的安全考虑事项
有些拒绝服务攻击可能会给Windows服务器上的TCP/IP协议栈造成威胁。
这些注册表设置有助于提高WindowsTCP/IP协议栈抵御标准类型的拒绝服务网络攻击的能力。
下面的注册表项作为HKLM\System\CurrentControlSet\Services\Tcpip|Parameters\的子项添加:
项
格式
值(十进制)
EnableICMPRedirect
DWORD
EnableSecurityFilters
1
SynAttackProtect
2
EnableDeadGWDetect
EnablePMTUDiscovery
KeepAliveTime
300,000
DisableIPSourceRouting
TcpMaxConnectResponseRetransmissions
TcpMaxDataRetransmissions
3
NoNameReleaseOnDemand
PerformRouterDiscovery
TCPMaxPortsExhausted
5
1.1.9禁用文件名的自动生成
为与16位应用程序的向后兼容,Windows支持8.3文件名格式。
这意味着攻击者只需要8个字符即可引用可能有20个字符长的文件。
如果您不再使用16位应用程序,则可以将此功能关闭。
禁用NTFS分区上的短文件名生成还可以提高目录枚举性能。
下面的注册表项作为HKLM\System\CurrentControlSet\Control\FileSystem\的子项添加:
NtfsDisable8dot3NameCreation
1.1.10禁用Lmhash创建
Windows服务器可以验证运行任何以前Windows版本的计算机的身份。
然而,以前版本的Windows不使用Kerberos进行身份验证,所以Windows支持LanManager(LM)、WindowsNT(NTLM)和NTLM版本2(NTLMv2)。
相比之下,LM散列运算的能力比NTLM弱,因而易在猛烈攻击下被攻破。
如果您没有需要LM身份验证的客户机,则应禁用LM散列的存储。
Windows2000ServicePack2提供了一个注册表设置以禁用LM散列的存储。
下面的注册表项作为HKLM\SYSTEM\CurrentControlSet\Control\Lsa\的一个子项添加:
NoLMHash
1.1.11配置NTLMSSP安全
NTLM安全支持提供程序(NTLMSSP)允许您按应用程序指定服务器端网络连接的最低必需安全设置。
下面的配置可以确保,如果使用了消息保密但未协商128位加密,则连接将失败。
下面的注册表项作为HKLM\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\的一个子项添加:
值(十六进制)
NtlmMinServerSec
0x20000000
1.1.12禁用自动运行功能
一旦媒体插入一个驱动器,自动运行功能就开始从该驱动器读取数据。
这样,程序的安装文件和音频媒体上的声音就可以立即启动。
为防止可能有恶意的程序在媒体插入时就启动,组策略禁用了所有驱动器的自动运行功能。
下面的注册表项作为HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\的一个子项添加:
NoDriveTypeAutoRun
0xFF
补丁管理
1.1.13确定修补程序当前版本状态
注册表中查看HKLM\Software\Microsoft\WindowsNt\Currentversion\hotfix键,可以看到打过的补丁对应的修复程序的知识库文章编号。
如果已经部署了MicrosoftSystemsManagementServer(SMS),则其软件部署功能可用于将修补程序部署到环境中具有SMS客户端的所有计算机,并确认每台计算机所安装的补丁程序的当前版本和状态。
1.1.14部署修补程序
可以使用手工执行修补程序的方法安装,修补程序一般是一个可执行文件,其名称表示了修补的信息。
如:
Q292435_W2K_SP3_x86_en.EXE。
⏹Q292435是知识库文章编号,您可在其中查找有关该即时修复程序的详细信息。
⏹W2K是它所针对的产品(MicrosoftWindows2000)
⏹SP3是将要包括它的ServicePack。
⏹x86是它所面向的处理器体系结构。
⏹en是语言(英语)。
如果安装了MicrosoftSoftwareUpdateServices(SUS)程序,可以使用SUS集中部署指定范围(指定域或IP地址范围)的主机的修补程序。
文件/目录控制
1.1.15目录保护
受保护的目录如下表所示:
保护的目录
应用的权限
%systemdrive%\
Administrators:
完全控制
System:
AuthenticatedUsers:
读取和执行、列出文件夹内容、读取
%SystemRoot%\Repair
%SystemRoot%\Security
%SystemRoot%\Temp
%SystemRoot%\system32\Config
%SystemRoot%\system32\Logfiles
Creator/Owner:
%systemdrive%\Inetpub
Everyone:
其中%SystemRoot%定义了Windows系统文件所在的路径和文件夹名,%SystemDrive%定义了包含%systemroot%的驱动器。
1.1.16文件保护
受保护的文件如下表所示:
文件
基准权限
%SystemDrive%\Boot.ini
%SystemDrive%\N
%SystemDrive%\Ntldr
%SystemDrive%\Io.sys
%SystemDrive%\Autoexec.bat
%systemdir%\config
%SystemRoot%\system32\Append.exe
%SystemRoot%\system32\Arp.exe
%SystemRoot%\system32\At.exe
%SystemRoot%\system32\Attrib.exe
%SystemRoot%\system32\Cacls.exe
%SystemRoot%\system32\Change.exe
%SystemRoot%\system32\C
%SystemRoot%\system32\Chglogon.exe
%SystemRoot%\system32\Chgport.exe
%SystemRoot%\system32\Chguser.exe
%SystemRoot%\system32\Chkdsk.exe
%SystemRoot%\system32\Chkntfs.exe
%SystemRoot%\system32\Cipher.exe
%SystemRoot%\system32\Cluster.exe
%SystemRoot%\system32\Cmd.exe
%SystemRoot%\system32\Compact.exe
%SystemRoot%\system32\Convert.exe
%SystemRoot%\system32\Cscript.exe
%SystemRoot%\system32\Debug.exe
%SystemRoot%\system32\Dfscmd.exe
%SystemRoot%\system32\D
%SystemRoot%\system32\Doskey.exe
%SystemRoot%\system32\Edlin.exe
%SystemRoot%\system32\Exe2bin.exe
%SystemRoot%\system32\Expand.exe
%SystemRoot%\system32\Fc.exe
%SystemRoot%\system32\Find.exe
%SystemRoot%\system32\Findstr.exe
%SystemRoot%\system32\Finger.exe
%SystemRoot%\system32\Forcedos.exe
%SystemRoot%\system32\F
%SystemRoot%\system32\Ftp.exe
%SystemRoot%\system32\Hostname.exe
%SystemRoot%\system32\Iisreset.exe
%SystemRoot%\system32\Ipconfig.exe
%SystemRoot%\system32\Ipxroute.exe
%SystemRoot%\system32\Label.exe
%SystemRoot%\system32\Logoff.exe
%SystemRoot%\system32\Lpq.exe
%SystemRoot%\system32\Lpr.exe
%SystemRoot%\system32\Makecab.exe
%SystemRoot%\system32\Mem.exe
%SystemRoot%\system32\Mmc.exe
%SystemRoot%\system32\M
升级会员 