Windows XP 安全配置标准.docx
《Windows XP 安全配置标准.docx》由会员分享,可在线阅读,更多相关《Windows XP 安全配置标准.docx(11页珍藏版)》请在冰豆网上搜索。
WindowsXP安全配置标准
WindowsXP安全配置标准
3.2.1系统补丁安装标准
WindowsXP的与安全相关的补丁大致分三类:
●ServicePack(补丁包):
ServicePack是经过测试的所有修复程序、安全更新程序、关键更新程序以及更新程序的累积的集合。
ServicePack还可能包含自产品发布以来针对内部发现的问题的其他修复以及设计上的更改或功能上的增加。
ServicePack补丁包涵盖了自发布之前的所有补丁,是重要的补丁集合。
●SecurityPatch(安全补丁):
SecurityPatch是针对特定问题广泛发布的修复程序,用于修复特定产品的与安全相关的漏洞。
Microsoft在发布的安全公告中将SecurityPatch分级为严重、重要、中等、低四个等级。
严重的安全补丁缺失,会造成蠕虫快速传播(如振荡波,冲击波),对系统本身和网络造成重大影响,这类补丁需要及时应用到操作系统。
●Hotfix(修补程序):
Hotfix是针对某一个具体的系统漏洞或安全问题而发布的专门解决该漏洞或安全问题的小程序,通常称为修补程序,如果在最近发布的ServicePack后面,出现安全方面的漏洞,通常对应的补丁会以Hotfix修补程序的形式发布。
补丁安装的原则:
∙新安装或者重新安装windowsXP操作系统,必须安装最新的ServicePack补丁集。
∙必须安装等级为严重和重要的SecurityPatch。
∙有关安全方面的Hotfixes补丁应当及时安装。
∙最新的安全补丁发布与升级步骤,以公司内部网上提供的信息为准。
注意:
补丁更新要慎重,可能出现硬件不兼容,或者影响当前的应用系统,安装补丁之前要经过测试和验证。
3.2.2安全中心配置标准
3.2.2.1防火墙启用要求
WindowsXP安装了SP2补丁会有安全中心,包括主机防火墙,自动更新,病毒防护三个主要功能,其中,要求启用Windows防火墙。
防火墙启用方式如下图:
3.2.2.2自动更新启用要求
安全中心还包括自动更新功能,定期地检查针对计算机的最新的重要更新,然后自动安装这些更新。
重要更新(包括关键更新和安全更新)应该在发行后尽快安装到计算机上,保护您计算机免受病毒攻击和其他安全威胁。
要求启用自动更新功能,方法如图所示:
3.2.3“密码策略”配置要求
通过“本地安全策略”调整默认的“密码策略”,提高系统的安全水平,“密码策略”中各选项的具体要求如下表列举:
策略
默认设置
安全设置
强制密码历史
记住0个密码
记住4个密码
密码最长存留期
42天
42天
密码最短存留期
0天
7天
最短密码长度
0个字符
6个字符
密码必须符合复杂性要求
禁用
启用
为域中所有用户使用可还原的加密来储存密码
已停用
已停用
“密码策略”的设置步骤如下图:
进入“控制面板/性能和维护/管理工具/本地安全策略”,在“账户策略->密码策略”。
3.2.3.1密码复杂性配置要求
在“密码策略”中“密码必须符合复杂性要求”选项启动后,系统将强制要求密码的设置具备一定的强壮度,要求密码至少包含以下四种类别的字符:
⏹英语大写字母A,B,C,…Z
⏹英语小写字母a,b,c,…z
⏹西方阿拉伯数字0,1,2,…9
⏹非字母数字字符,如标点符号,@,#,$,%,&,*等
3.2.3.2账号安全控制要求
3.2.3.2.1“账户锁定策略”配置要求
有效的账号锁定策略有助于防止攻击者猜出您账号对应的密码。
要求按照下表要求调整“账户锁定策略”:
策略
默认设置
安全设置
账户锁定时间
未定义
30分钟
账户锁定阈值
0
5次无效登录
复位账户锁定计数器
未定义
30分钟之后
账号锁定配置具体操作如下图:
进入“控制面板/性能和维护/管理工具/本地安全策略”,在“账户策略->账户锁定策略”。
3.2.3.2.2系统内置账号管理要求
WindowsXP系统中存在不可删除的内置账号,包括Administrator和guest。
对于管理员账号,要求更改缺省账户名称,对隶属于Administrators组的账号要严格监控;要求禁用guest(来宾)账号,以防止攻击者通过利用已知的用户名破坏远程服务器。
3.2.4服务管理配置标准
WindowsXP缺省安装会创建很多默认服务并配置为在系统启动时运行。
实际运行环境中并不需要运行所有服务,而任何多余的服务都是潜在的受攻击点,因此要求禁用不必要的服务。
下表列出的服务是WindowsXP系统提供基本管理功能所必需的,请根据系统的应用的情况禁用下表中没有提到的服务:
服务
启动
类型
服务功能实现
COM+事件服务
手动
允许组件服务的管理
DHCP客户端
自动
更新动态DNS中的记录所需
DistributedLinkTrackingClient分布式链接跟踪客户端
自动
用来维护NTFS卷上的链接
DNS客户端
自动
允许解析DNS名称
EventLog事件日志
自动
允许在事件日志中查看事件日志消息
逻辑磁盘管理器
自动
需要它来确保动态磁盘信息保持最新
逻辑磁盘管理器管理服务
手动
需要它以执行磁盘管理
Netlogon
自动
加入域时所需
网络连接
手动
网络通讯所需
性能日志和警报
手动
收集计算机的性能数据,向日志中写入或触发警报
即插即用
自动
WindowsXP标识和使用系统硬件时所需
受保护的存储区
自动
需要用它保护敏感数据,如私钥
远程过程调用(RPC)
自动
WindowsXP中的内部过程所需
安全账户管理器
自动
存储本地安全账户的账户信息
系统事件通知
自动
在事件日志中记录条目所需
TCP/IPNetBIOSHelper服务
自动
在组策略中进行软件分发所需(可分发修补程序)
Windows管理规范驱动程序
手动
使用“性能日志和警报”实现性能警报时所需
Windows时间服务
自动
需要它来保证Kerberos身份验证有一致的功能
工作站
自动
加入域时所需
安全选项配置标准
请按照下表中的要求设置WindowsXP系统中的安全选项:
安全选项
安全设置
账户:
使用空白密码的本地账户只允许进行控制台登录
已启用
账户:
重命名系统管理员账户
重命名
账户:
重命名来宾账户
重命名
设备:
允许不登录移除
已禁用
设备:
允许格式化和弹出可移动媒体
Administrators
设备:
防止用户安装打印机驱动程序
已禁用
设备:
只有本地登录的用户才能访问CD-ROM
已启用
设备:
只有本地登录的用户才能访问软盘
已启用
设备:
未签名驱动程序的安装操作
允许安装但发出警告
交互式登录:
不显示上次的用户名
已启用
交互式登录:
不需要按CTRL+ALT+DEL
已禁用
交互式登录:
用户试图登录时消息文字
此系统限制为仅授权用户。
尝试进行XX访问的个人将受到起诉。
交互式登录:
可被缓存的前次登录个数(在域控制器不可用的情况下)
1
交互式登录:
在密码到期前提示用户更改密码
14天
Microsoft网络客户:
发送未加密的密码到第三方SMB服务器。
已禁用
Microsoft网络服务器:
在挂起会话之前所需的空闲时间
15分钟
Microsoft网络服务器:
数字签名的通信(若客户同意)
已启用
Microsoft网络服务器:
当登录时间用完时自动注销用户
已禁用
网络访问:
允许匿名SID/名称转换
已禁用
网络访问:
不允许SAM账户和共享的匿名枚举
已启用
网络访问:
不允许为网络身份验证储存凭据或.NETPassports
已启用
网络访问:
限制匿名访问命名管道和共享
已启用
网络访问:
本地账户的共享和安全模式
经典-本地用户以自己的身份验证
网络安全:
不要在下次更改密码时存储LANManager的哈希值
已启用
网络安全:
在超过登录时间后强制注销
已禁用
网络安全:
基于NTLMSSP(包括安全RPC)客户的最小会话安全
要求NTLMv2会话安全要求128-位加密
关机:
允许在未登录前关机
已禁用
关机:
清理虚拟内存页面文件
已启用
具体设置方法为:
进入“控制面板/性能和维护/管理工具/本地安全策略”,在“本地策略->安全选项”中完成上表提及的各个“安全选项”的调整。
3.2.5安全审计配置标准
WindowsXP系统的缺省配置是不开任何安全审核,要求通过开启“审核策略”,记录以下操作:
审核策略
默认配置
安全设置
审核登录事件
无审核
成功,失败
审核账户登录事件
无审核
成功,失败
配置方法:
通过“控制面板/管理工具/本地安全策略”,在“本地策略->审核策略”中打开相应的审核选项:
3.2.6其它安全配置参考
3.2.6.1使用NTFS文件系统
NTFS文件系统比FAT和FAT32强壮和稳定,不易崩溃,WindowsXP提供了基于NTFS文件系统的对文件和目录的访问控制列表(ACL)。
请确保所有的磁盘卷都使用了NTFS文件系统。
3.2.6.2共享管理
要求停用所有不必要的文件共享,特别注意系统默认启用的隐含系统共享,如C$、D$、IPC$等。
关闭默认共享的方法有两种:
a)在服务配置中禁用Server服务;
b)更改注册表键值:
在HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\下,增加REG_DWORD类型的AutoShareServer键,值为0。
3.2.6.3开机密码安全设置
为系统启动设置BIOS开机密码。
3.2.6.4屏蔽CDROM自动运行
避免光盘上恶意程序自动运行,设置CDROM的属性,禁止自动运行。
3.2.6.5启用屏幕保护
请设置带密码的屏幕保护,并将时间设定为5分钟,使得系统在无人操作5分钟后自动启用屏幕保护,再次进入系统需要认证。
升级会员 