NT、WIN2000操作系统安全设置文档

NT/WIN2000操作系统安全设置文档

1、密码设置是否符合规范，即长度大于等于8位，数字、字母混用，且没有

具体含义，并定期更换。

2、是否删除掉NT/WIN2K系统缺省建立的users和guest用户组里所有用户。

3、是否对系统缺省建立的帐号Administrator和guest重新命名。

NT设置：域用户管理器—>选中用户—>在用户菜单中选择更名

2K设置：管理工具—>计算机管理—>用户和组—>选择用户—>更名

4、是否及时安装系统补丁，NT安装SP6.0a，WIN2000安装SP2.0。

NT/WIN2000常见的漏洞及补丁说明如下：

5、NT/Win2000操作系统分区是否使用NTFS格式。

6、是否将系统目录c:\winnt\system32\config以及c:\winnt\repair目录只

对系统管理员开放，其他人无权访问。

7、NT/Win2000操作系统是否在启动时自动删除缺省共享ADMIN$、IPC$及每个

硬盘C、D等的共享C$、D$。

(1)禁止C$、D$一类的缺省共享：在注册表中HK_LOCAL_MACHINE\SYSTEM\

CurrentControlSet\Services\lanmanserver\parameters新增键值：

AutoShareServer、类型：REG_DWORD、0x0

(2)禁止ADMIN$缺省共享：HK_LOCAL_MACHINE\SYSTEM\CurrentControlSet

\Services\lanmanserver\parameters新增键值：AutoShareWks、

类型：REG_DWORD、0x0

(3)限制IPC$缺省共享：建立一个批处理文件DEL1.BAT，里面包含如下命令：

Net share ipc$ /delete ; 最后将此文件放到启动组里。

8、NT/Win2000操作系统建立新共享后，是否对其权限进行严格限制。

9、是否禁止和删除NT/Win2000中不必要的服务： Fax Service、www、ftp、

snmp、telnet、RPC(Remote Precedure Call)、DNS区域传输、Indexing Service、Telephony。

10、windows操作系统是否废止TCP/IP 上的NetBIOS 服务。

方法1：在HK_LOCAL_MACHINE\SYSTEM\CurrentControSet\Control\LSA 中添加名称为 RestrictAnonymous 的项，设置类型为 REG_DWORD ，设置值为 1 。

方法2：通过网络邻居“属性”设置中的“绑定”选项—禁止NetBIOS与TCP/IP之间的绑定。

11、注册表是否设置为只对系统管理员有效。

方法：点开始—运行，输入regedt32，先选中HKEY_LOCAL_MACHINE窗口，然后从“安全”菜单中选“权限”，删掉除系统管理员以外的其他用户。

12、是否对NT/WIN2000的系统日志、应用程序日志和安全日志定期查看并及

时备份。

①在C:\WINNT\system32\config目录下有三个文件分别对应系统日志、应用程序日

志和安全日志，要定期进行查看，特别观察失败审核事件，以确定无非法登录、非授权操作等情况发生。

②在系统日志和安全日志中，把筛选器中的失败审核选上，以保证系统能够记录相

应失败记录。

③根据系统使用情况，日志文件大小可根据需要进行调整。日志文件要定期备份，

以备留档查看。

13、是否隐藏上次登录的用户名。

方法：在注册表HKLM\Software\Microsoft\Windows NT\CurrentVersions\Windlogon 中新增类型为REG_DWORD的DontDisplayLastUserName项，设置其值为1。

14、上公网的机器是否安装实时防病毒软件，并及时更新病毒库。

15、NT/WIN2000机器在安装时是否删掉组件IIS（Internet信息服务）。

说明：

①本设置文档主要针对NT4.0/WIN2000系统，营业部可针对以上各项逐一

检查。

②各项设置应选择”是”，才能尽可能地保证系统的安全。

③如有其他建议和意见，请与电脑部联系。