微软windows操作系统安全加固标准.docVIP

第 PAGE 3 页 共 NUMPAGES 20 页 Windows安全加固建议书 目 录 TOC \o 1-3 \u 1 配置标准 3 1.1 组策略管理 3 1.1.1 组策略的重要性 3 1.1.2 组策略的应用方式 3 1.1.3 组策略的实施 4 1.2 用户账号控制 5 1.2.1 密码策略 5 1.2.2 复杂性要求 5 1.2.3 账户锁定策略 5 1.2.4 内置账户安全 6 1.3 安全选项策略 6 1.4 注册表安全配置 8 1.4.1 针对网络攻击的安全考虑事项 8 1.4.2 禁用文件名的自动生成 9 1.4.3 禁用 Lmhash 创建 9 1.4.4 配置 NTLMSSP 安全 10 1.4.5 禁用自动运行功能 10 1.5 补丁管理 11 1.5.1 确定修补程序当前版本状态 11 1.5.2 部署修补程序 11 1.6 文件/目录控制 11 1.6.1 目录保护 11 1.6.2 文件保护 12 1.7 系统审计日志 16 1.8 服务管理 17 1.8.1 成员服务器 17 1.8.2 域控制器 18 1.9 其它配置安全 19 1.9.1 确保所有的磁盘卷使用NTFS文件系统 19 1.9.2 系统启动设置 19 1.9.3 屏保 19 配置标准 组策略管理 组策略的重要性 Windows组策略有助于在您的 Active Directory 域中为所有工作站和服务器实现安全策略中的技术建议。可以将组策略和 OU 结构结合使用，为特定服务器角色定义其特定的安全设置。 如果使用组策略来实现安全设置，则可以确保对某一策略进行的任何更改都将应用到使用该策略的所有服务器，并且新的服务器将自动获取新的设置。 组策略的应用方式 一个用户或计算机对象可能受多个组策略对象（GPO） 的约束。这些 GPO 按顺序应用，并且设置不断累积，除发生冲突外，在默认情况下，较迟的策略中的设置将替代较早的策略中的设置。 第一个应用的策略是本地 GPO，在本地 GPO 之后，后来的 GPO 依次在站点、域、父组织单位（OU） 和子 OU 上应用。下图显示了每个策略是如何应用的： 组策略的实施 在Windows局域网中实施安全管理应分别从服务器和工作站两方面进行。首先应在服务器上安装活动目录服务，然后在域上实施组策略；其次应将工作站置于服务器所管理的域中。 启动活动目录服务 在“程序→管理工具→配置服务器”选项中，选定左边的“Active Directory”，启动活动目录安装向导。将服务器设置为第一个域目录树，DNS域名输入提供的域名。 打开组策略控制台 启动“Active Directory目录和用户”项，在右面对象容器树中的根目录上单击右键，然后单击“属性”项，在新打开的窗口中单击“组策略”选项卡，即可打开组策略控制台。 创建OU结构 启动 Active Directory 用户和计算机。 右键单击域名，选择新建，然后选择组织单位。 键入成员服务器，然后单击确定。 右键单击成员服务器，选择新建，然后选择组织单位。 键入应用程序服务器，然后单击确定。 针对文件和打印服务器、IIS 服务器和基础结构服务器重复第 5 步和第 6 步。 设置组策略 位于组策略对象“安全设置”节点的容器包括：账户策略、本地策略、事件日志、受限组、系统服务、注册表、文件系统、公钥策略、Active Directory中的网际协议安全策略等。具体的设置在本标准的相应章节中详细说明。 用户账号控制 密码策略 默认情况下，将对域中的所有服务器强制执行一个标准密码策略。下表列出了一个标准密码策略的设置以及针对您的环境建议的最低设置。 策略 默认设置 推荐最低设置 强制执行密码历史记录 记住 1 个密码 记住 24 个密码 密码最长期限 42 天 42 天 密码最短期限 0 天 2 天 最短密码长度 0 个字符 8 个字符 密码必须符合复杂性要求 禁用 启用 为域中所有用户使用可还原的加密来储存密码 禁用 禁用 复杂性要求 当组策略的“密码必须符合复杂性要求”设置启用后，它要求密码必须为 6 个字符长（但我们建议您将此值设置为 8 个字符）。它还要求密码中必须包含下面类别中至少三个类别的字符： 英语大写字母 A, B, C, … Z 英语小写字母 a, b, c, … z 西方阿拉伯数字 0, 1, 2, … 9 非字母数字字符，如标点符号 账户锁定策略 有效的账户锁定策略有助于防止攻击者猜出您账户的密码。下表列出了一个默认账户锁定策略的设置以及针对您的环境推荐的最低设置。 策略 默认设置 推荐最低设置 账户锁定时间 未定义 30 分钟 账户锁定阈值 0