某世界强公司的服务器操作系统安全配置标准

某世界强公司的服务器操作系统安全配置标准

————————————————————————————————作者：————————————————————————————————日期：

某世界500强公司的服务器操作系统安全配置标准－Windows 中国××公司

服务器操作系统安全配置标准－Windows

V 1.1

2006年03 月30 日

文档控制

拟制:

审核:

标准化:

读者：

版本控制

版本提交日期相关组织和人员版本描述

V1.0 2005-12-08

V1.1 2006-03-30

1 概述 1

1.1 适用范围 1

1.2 实施 1

1.3 例外条款 1

1.4 检查和维护 1

2 适用版本 2

3 用户账号控制 2

3.1 密码策略 2

3.2 复杂性要求 2

3.3 账户锁定策略 3

3.4 内置默认账户安全 3

3.5 安全选项策略 4

4 注册表安全配置 6

4.1 注册表访问授权 6

4.2 禁止匿名访问注册表7

4.3 针对网络攻击的安全考虑事项7

4.4 禁用8.3 格式文件名的自动生成8

4.5 禁用LMHASH 创建8

4.6 配置NTLMSSP 安全8

4.7 禁用自动运行功能8

4.8 附加的注册表安全配置9

5 服务管理9

5.1 成员服务器9

5.2 域控制器10

6 文件/目录控制11

6.1 目录保护11

6.2 文件保护12

7 服务器操作系统补丁管理16

7.1 确定修补程序当前版本状态16

7.2 部署修补程序16

8 系统审计日志16

9 其它配置安全17

9.1 确保所有的磁盘卷使用NTFS文件系统17

9.2 系统启动设置17

9.3 屏幕保护设置17

9.4 远程管理访问要求18

10 防病毒管理18

11 附则18

11.1 文档信息18

11.2 其他信息18

1 概述

本文档规定了中国××公司企业范围内安装有Windows操作系统的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员进行Windows操作系统的安全配置。

1.1 适用范围

本规范的使用者包括：

服务器系统管理员、应用管理员、网络安全管理员。

本规范适用的范围包括：

支持中国××公司运行的Windows 2000 Server, Windows 2003服务器系统。

1.2 实施

本规范的解释权和修改权属于中国××公司，在本标准的执行过程中若有任何疑问或建议，应及时反馈。

本标准一经颁布，即为生效。

1.3 例外条款

欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国××公司信息系统管理部门进行审批备案。

1.4 检查和维护

根据中国××公司经营活动的需要，每年检查和评估本标准，并做出适当更新。如果在突发事件处理过程中，发现需对本标准进行变更，也需要进行本标准的维护。

任何变更草案将由中国××公司信息系统管理部门进行审核批准。各相关部门经理有责任与其下属的组织和员工沟通变更的内容。

2 适用版本

Windows 2000 Server;

Windows 2003.

3 用户账号控制

基本策略：用户被赋予唯一的用户名、用户ID（UID）。

3.1 密码策略

默认情况下，将对域中的所有服务器强制执行一个标准密码策略。下表列出了一个标准密码策略的设置以及针对您的环境建议的最低设置。

策略默认设置推荐最低设置

强制执行密码历史记录记住 1 个密码记住 4 个密码

密码最长期限42 天42 天

密码最短期限0 天0 天

最短密码长度0 个字符8 个字符

密码必须符合复杂性要求禁用启用

为域中所有用户使用可还原的加密来储存密码禁用禁用

3.2 复杂性要求

当组策略的“密码必须符合复杂性要求”设置启用后，它要求密码必须为 6 个字符长（但我们建议您将此值设置为8 个字符）。它还要求密码中必须包含下面类别中至少三个类别的字符：

英语大写字母A, B, C, … Zν

英语小写字母a,νb, c, … z

西方阿拉伯数字0, 1, 2, … 9ν

非字母数字字符，如标点符号ν

3.3 账户锁定策略

有效的账户锁定策略有助于防止攻击者猜出您账户的密码。下表列出了一个默认账户锁定策略的设置以及针对您的环境推荐的最低设置。

策略默认设置推荐最低设置

账户锁定时间未定义30 分钟

账户锁定阈值0 5 次无效登录

复位账户锁定计数器未定义30 分钟

3.4 内置默认账户安全

Windows有几个内置的用户账户，它们不可删除，但可以通过禁用，重命名或设置相关的权限的方式来保证一定的系统安全性。

帐户名建议安全配置策略适用系统

Administrator 1. 此帐户必须在安装后立即重命名并修改相关密码；

2. 对于系统管理员建议建立一个相关拥有Administrator组权限的新用户，平时使用此帐户登陆，只有在有特殊需要时才使用重命名后的Administrator进行系统登陆。Windows 2000 Server

Windows Server 2003

Guest 帐户必须禁用；如有特殊需要保留也一定要重命名。Windows 2000 Server Windows Server 2003

TSInternetUser 此帐户是为了“Terminal Services’ Internet Connector License”使用而存在的，故帐户必须禁用，不会对于正常的Terminal Services的功能有影响。Windows 2000 Server

Windows Server 2003

SUPPORT_388945a0 此帐户是为了IT帮助和支持服务，此帐户必须禁用。Windows Server 2003

IUSR_{system} 必须只能是Guest组的成员。此帐户为IIS（Internet Information Server）服务建立的。

IWAM_{system} 必须只能是Guest组的成员。此帐户为IIS（Internet Information Server）服务建立的。

3.5 安全选项策略

域策略中的安全选项应根据以下设置按照具体需要修改：

选项设置

对匿名连接的附加限制没有显式匿名权限就无法访问

允许服务器操作员计划任务(仅用于域控制器) 禁用

允许在未登录前系统关机禁用

允许弹出可移动NTFS 媒体管理员