windows系统安全加固建议书

文档编号：

Windows安全加固建议书

【内部查阅】

2009年12月

目录

1 配置标准 (3)

1.1 组策略管理 (3)

1.1.1 组策略的重要性 (3)

1.1.2 组策略的应用方式 (3)

1.1.3 组策略的实施 (4)

1.2 用户账号控制 (5)

1.2.1 密码策略 (5)

1.2.2 复杂性要求 (5)

1.2.3 账户锁定策略 (5)

1.2.4 内置账户安全 (6)

1.3 安全选项策略 (6)

1.4 注册表安全配置 (8)

1.4.1 针对网络攻击的安全考虑事项 (8)

1.4.2 禁用文件名的自动生成 (9)

1.4.3 禁用Lmhash 创建 (9)

1.4.4 配置NTLMSSP 安全 (10)

1.4.5 禁用自动运行功能 (10)

1.5 补丁管理 (11)

1.5.1 确定修补程序当前版本状态 (11)

1.5.2 部署修补程序 (11)

1.6 文件/目录控制 (11)

1.6.1 目录保护 (11)

1.6.2 文件保护 (12)

1.7 系统审计日志 (16)

1.8 服务管理 (17)

1.8.1 成员服务器 (17)

1.8.2 域控制器 (18)

1.9 其它配置安全 (19)

1.9.1 确保所有的磁盘卷使用NTFS文件系统 (19)

1.9.2 系统启动设置 (19)

1.9.3 屏保 (19)

1配置标准

1.1 组策略管理

1.1.1组策略的重要性

Windows组策略有助于在您的Active Directory 域中为所有工作站和服务器实现安全策略中的技术建议。可以将组策略和OU 结构结合使用，为特定服务器角色定义其特定的安全设置。

如果使用组策略来实现安全设置，则可以确保对某一策略进行的任何更改都将应用到使用该策略的所有服务器，并且新的服务器将自动获取新的设置。

1.1.2组策略的应用方式

一个用户或计算机对象可能受多个组策略对象（GPO）的约束。这些GPO 按顺序应用，并且设置不断累积，除发生冲突外，在默认情况下，较迟的策略中的设置将替代较早的策略中的设置。

第一个应用的策略是本地GPO，在本地GPO 之后，后来的GPO 依次在站点、域、父组织单位（OU）和子OU 上应用。下图显示了每个策略是如何应用的：

1.1.3组策略的实施

在Windows局域网中实施安全管理应分别从服务器和工作站两方面进行。首先应在服务器上安装活动目录服务，然后在域上实施组策略；其次应将工作站置于服务器所管理的域中。

⏹启动活动目录服务

在“程序→管理工具→配置服务器”选项中，选定左边的“Active Directory”，启动活动目录安装向导。将服务器设置为第一个域目录树，DNS 域名输入提供的域名。

⏹打开组策略控制台

启动“Active Directory目录和用户”项，在右面对象容器树中的根目录上单击右键，然后单击“属性”项，在新打开的窗口中单击“组策略”选项卡，即可打开组策略控制台。

⏹创建OU结构

1)启动Active Directory 用户和计算机。

2)右键单击域名，选择新建，然后选择组织单位。

3)键入成员服务器，然后单击确定。

4)右键单击成员服务器，选择新建，然后选择组织单位。

5)键入应用程序服务器，然后单击确定。

6)针对文件和打印服务器、IIS 服务器和基础结构服务器重复第5

步和第 6 步。

⏹设置组策略

位于组策略对象“安全设置”节点的容器包括：账户策略、本地策略、事件日志、受限组、系统服务、注册表、文件系统、公钥策略、Active Directory 中的网际协议安全策略等。具体的设置在本标准的相应章节中详细说明。

1.2 用户账号控制

1.2.1密码策略

默认情况下，将对域中的所有服务器强制执行一个标准密码策略。下表列出了一个标准密码策略的设置以及针对您的环境建议的最低设置。

1.2.2复杂性要求

当组策略的“密码必须符合复杂性要求”设置启用后，它要求密码必须为

6 个字符长（但我们建议您将此值设置为8 个字符）。它还要求密码中必须

包含下面类别中至少三个类别的字符：

⏹英语大写字母A, B, C, … Z

⏹英语小写字母a, b, c, … z

⏹西方阿拉伯数字0, 1, 2, (9)

⏹非字母数字字符，如标点符号

1.2.3账户锁定策略

有效的账户锁定策略有助于防止攻击者猜出您账户的密码。下表列出了一个默认账户锁定策略的设置以及针对您的环境推荐的最低设置。

⏹用户被赋予唯一的用户名、用户ID（UID）和口令。

⏹用户名口令长度规定。

1.2.4内置账户安全

Windows有几个内置的用户账户，它们不可删除，但可以重命名。其中Guest（来宾）账户应禁用的，管理员账户应重命名而且其描述也要更改，以防攻击者使用已知用户名破坏一个远程服务器。

1.3 安全选项策略

域策略中的安全选项应根据以下设置按照具体需要修改：

在上面的推荐配置中，下面几项由于直接影响了域中各服务器间通讯的方式，可能会对服务器性能有影响。

对匿名连接的附加限制

默认情况下，Windows允许匿名用户执行某些活动，如枚举域账户和网络共享区的名称。这使得攻击者无需用一个用户账户进行身份验证就可以查看远程服务器上的这些账户和共享名。为更好地保护匿名访问，可以配置“没