1、Windows安全加固建議書1 配置標準31.1 組策略管理31.1.1 組策略的重要性31.1.2 組策略的應用方式31.1.3 組策略的實施41.2 用戶賬號控制51.2.1 密碼策略51.2.2 復雜性要求51.2.3 賬戶鎖定策略51.2.4 內置賬戶安全61.3 安全選項策略61.4 注冊表安全配置81.4.1 針對網絡攻擊的安全考慮事項81.4.2 禁用文件名的自動生成91.4.3 禁用Lmhash創建91.4.4 配置NTLMSSP安全101.4.5 禁用自動運行功能101.5 補丁管理111.5.1 確定修補程序當前版本狀態111.5.2 部署修補程序111.6 文件/目錄控制

2、111.6.1 目錄保護111.6.2 文件保護121.7 系統審計日志161.8 服務管理171.8.1 成員服務器171.8.2 域控制器181.9 其它配置安全191.9.1 確保所有的磁盤卷使用NTFS文件系統191.9.2 系統啟動設置191.9.3 屏保191配置標準1.1 組策略管理1.1.1 組策略的重要性Windows組策略有助于在您的ActiveDirectory域中為所有工作站和服務器實現安全策略中的技術建議。可以將組策略和OU結構結合使用，為特定服務器角色定義其特定的安全設置。如果使用組策略來實現安全設置，則可以確保對某一策略進行的任何更改都將應用到使用該策略的所有服務

3、器，并且新的服務器將自動獲取新的設置。1.1.2 組策略的應用方式一個用戶或計算機對象可能受多個組策略對象（GPO）的約束。這些GPO按順序應用，并且設置不斷累積，除發生沖突外，在默認情況下，較遲的策略中的設置將替代較早的策略中的設置。第一個應用的策略是本地GPO,在本地GPO之后，后來的GPO依次在站點、域、父組織單位（OU）和子OU上應用。下圖顯示了每個策略是如何應用的：1.1.3 組策略的實施在Windows局域網中實施安全管理應分別從服務器和工作站兩方面進行。首先應在服務器上安裝活動目錄服務，然后在域上實施組策略；其次應將工作站置于服務器所管理的域中。啟動活動目錄服務在程序-管理工具-

4、配置服務器”選項中，選定左邊的“ActiveDirectory，”啟動活動目錄安裝向導。將服務器設置為第一個域目錄樹，DNS域名輸入提供的域名。打開組策略控制臺啟動“AtiveDirectory目錄和用戶”項，在右面對象容器樹中的根目錄上單擊右鍵，然后單擊屬性”項，在新打開的窗口中單擊組策略”選項卡，即可打開組策略控制臺。創建OU結構1）啟動ActiveDirectory用戶和計算機。2）右鍵單擊域名，選擇新建，然后選擇組織單位。3）鍵入成員服務器，然后單擊確定。4）右鍵單擊成員服務器，選擇新建，然后選擇組織單位。5）鍵入應用程序服務器，然后單擊確定。6）針對文件和打印服務器、IIS服務器和基

5、礎結構服務器重復第5步和第6步。設置組策略位于組策略對象安全設置”節點的容器包括：賬戶策略、本地策略、事件日志、受限組、系統服務、注冊表、文件系統、公鑰策略、ActiveDirectory中的網際協議安全策略等。具體的設置在本標準的相應章節中詳細說明。1.2 用戶賬號控制1.2,1密碼策略默認情況下，將對域中的所有服務器強制執行一個標準密碼策略。下表列出了一個標準密碼策略的設置以及針對您的環境建議的最低設置。策略默認設置推薦最低設置強制執行密碼歷史記錄記住1個密碼記住24個密碼密碼最長期限42天42天密碼最短期限0天2天最短密碼長度0個字符8個字符密碼必須符合復雜性要求禁用啟用為域中所有用戶使

6、用可還原的加密來儲存密碼禁用禁用1.2.1 復雜性要求當組策略的密碼必須符合復雜性要求”設置啟用后，它要求密碼必須為6個字符長（但我們建議您將此值設置為8個字符）。它還要求密碼中必須包含下面類別中至少三個類別的字符：英語大寫字母A,B,C,Z英語小寫字母a,b,c,z西方阿拉伯數字0,1,2,9非字母數字字符，如標點符號1.2.2 賬戶鎖定策略有效的賬戶鎖定策略有助于防止攻擊者猜出您賬戶的密碼。下表列出了一個默認賬戶鎖定策略的設置以及針對您的環境推薦的最低設置。策略默認設置推薦最低設置賬戶鎖定時間未定義30分鐘賬戶鎖定閾值05次無效登錄復位賬戶鎖定計數器未定義30分鐘用戶被賦予唯一的用戶名、用

7、戶ID（UID）和口令。用戶名口令長度規定。1.2.3 內置賬戶安全Windows有幾個內置的用戶賬戶，它們不可刪除，但可以重命名。其中Guest（來賓）賬戶應禁用的，管理員賬戶應重命名而且其描述也要更改，以防攻擊者使用已知用戶名破壞一個遠程服務器。1.3 安全選項策略域策略中的安全選項應根據以下設置按照具體需要修改:選項設置對匿名連接的附加限制沒有顯式匿名權限就無法訪問允許服務器操作員計劃任務（僅用于域控制器）禁用允許在未登錄前系統關機禁用允許彈出可移動NTFS媒體管理員在斷開會話之前所需的空閑時間15分鐘對全局系統對象的訪問進行審計禁用對備份和還原權限的使用進行審計禁用登錄時間過期就自動注

8、銷用戶未定義（見附注）當登錄時間過期就自動注銷用戶（本地）啟用在系統關機時清除虛擬內存頁面交換文件啟用對客戶端通訊使用數字簽名（始終）啟用對客戶端通訊使用數字簽名（如果可能）啟用對服務器通訊使用數字簽名（始終）啟用對服務器通訊進行數字簽名（如果可能）啟用禁用按CTRL+ALT+DEL進行登錄的設置禁用登錄屏幕上不要顯示上次登錄的用戶名啟用LANManager身份驗證級別僅發送NTLMv2響應，拒絕LM&NTLM用戶嘗試登錄時消息文字用戶嘗試登錄時消息標題緩沖保存的以前登錄次數（在域控制器不可用的情況下）0次登錄防止計算機賬戶密碼的系統維護禁用防止用戶安裝打印機驅動程序啟用在密碼到期前提

9、示用戶更改密碼14天故障恢復控制臺：允許自動管理登錄禁用故障恢復控制臺：允許對驅動器和文件夾進行軟盤復制和訪問禁用重命名系統管理員賬戶未定義重命名來賓賬戶未定義只有本地登錄的用戶才能訪問CD-ROM啟用只有本地登錄的用戶才能訪問軟盤啟用安全通道：對安全通道數據進行數字加密或簽名（始終）啟用安全通道：對安全通道數據進行數字加密（如果可能）啟用安全通道：對安全通道數據進行數字簽名（如果可能）啟用安全通道：需要強（Windows2000或以上版本）會話密鑰啟用安全系統磁盤分區（只適于RISC操作平臺）未定義發送未加密的密碼以連接到第三方SMB服務器。禁用如果無法記錄安全審計則立即關閉系統啟用（見第二

10、條附注）智能卡移除操作鎖定工作站增強全局系統對象的默認權限（例如SymbolicLinks）啟用未簽名驅動程序的安裝操作禁止安裝未簽名非驅動程序的安裝操作允許安裝但發出警告在上面的推薦配置中，下面幾項由于直接影響了域中各服務器問通訊的方式，可能會對服務器性能有影響。對匿名連接的附加限制默認情況下，Windows允許匿名用戶執行某些活動，如枚舉域賬戶和網絡共享區的名稱。這使得攻擊者無需用一個用戶賬戶進行身份驗證就可以查看遠程服務器上的這些賬戶和共享名。為更好地保護匿名訪問，可以配置沒有顯式匿名權限就無法訪問”。這樣做的效果是將Everyone（所有人）組從匿名用戶令牌中刪除。對服務器的任何匿名訪

11、問都將被禁止，而且對任何資源都將要求顯式訪問。LANManager身份驗證級別MicrosoftWindows9x和WindowsNT?操作系統不能使用Kerberos進行身份驗證，所以，在默認情況下，在Windows2000域中它們使用NTLM協議進行網絡身份驗證。您可以通過使用NTLMv2對Windows9x和WindowsNT強制執行一個更安全的身份驗證協議。對于登錄過程，NTLMv2引入了一個安全的通道來保護身份驗證過程。在關機時清理虛擬內存頁面交換文件實際內存中保存的重要信息可以周期性地轉儲到頁面交換文件中。這有助于Windows處理多任務功能。如果啟用此選項，Windows2000

12、將在關機時清理頁面交換文件，將存儲在那里的所有信息清除掉。根據頁面交換文件的大小不同，系統可能需要幾分鐘的時間才能完全關閉。對客戶端/服務器通訊使用數字簽名在高度安全的網絡中實現數字簽名有助于防止客戶機和服務器被模仿（即所謂分話劫持”或中間人”攻擊）。服務器消息塊（SMB）簽名既可驗證用戶身份，又可驗證托管數據的服務器的身份。如有任何一方不能通過身份驗證，數據傳輸就不能進行。在實現了SMB后，為對服務器間的每一個數據包進行簽名和驗證，性能最多會降低15%。1.4 注冊表安全配置1.4.1 針對網絡攻擊的安全考慮事項有些拒絕服務攻擊可能會給Windows服務器上的TCP/IP協議棧造成威脅。這些

13、注冊表設置有助于提高WindowsTCP/IP協議棧抵御標準類型的拒絕服務網絡攻擊的能力。下面的注冊表項作為的子項添加:項格式值(十進制)EnableICMPRedirectDWORD0EnableSecurityFiltersDWORD1SynAttackProtectDWORD2EnableDeadGWDetectDWORD0EnablePMTUDiscoveryDWORD0KeepAliveTimeDWORD300,000DisableIPSourceRoutingDWORD2TcpMaxConnectResponseRetransmissionsDWORD2TcpMaxDataRetr

14、ansmissionsDWORD3NoNameReleaseOnDemandDWORD1PerformRouterDiscoveryDWORD0TCPMaxPortsExhaustedDWORD51.4.2 禁用文件名的自動生成為與16位應用程序的向后兼容，Windows支持8.3文件名格式。這意味著攻擊者只需要8個字符即可引用可能有20個字符長的文件。如果您不再使用16位應用程序，則可以將此功能關閉。禁用NTFS分區上的短文件名生成還可以提高目錄枚舉性能。下面的注冊表項作為HKLMSystemCurrentControlSetControl的子項添加：項格式值(十進制)NtfsDisable

15、8dot3NameCreationDWORD11.4.3 禁用Lmhash創建Windows服務器可以驗證運行任何以前Windows版本的計算機的身份。然而，以前版本的Windows不使用Kerberos進行身份驗證，所以Windows支持LanManager(LM)、WindowsNT(NTLM)和NTLM版本2(NTLMv2)。相比之下，LM散列運算白能力比NTLM弱，因而易在猛烈攻擊下被攻破。如果您沒有需要LM身份驗證的客戶機，則應禁用LM散列的存儲。Windows2000ServicePack2提供了一個注冊表設置以禁用LM散列的存儲。下面的注冊表項作為HKLMSYSTEMCurren

16、tControlSetControlLsa的一個子項添加：項格式值（十進制）NoLMHashDWORD11.4.4 配置NTLMSSP安全NTLM安全支持提供程序（NTLMSSP）允許您按應用程序指定服務器端網絡連接的最低必需安全設置。下面的配置可以確保，如果使用了消息保密但未協商128位加密，則連接將失敗。下面的注冊表項作為HKLMSYSTEMCurrentControlSetControlLsaMSV10的一個子項添加：項格式值（十六進制）NtlmMinServerSecDWORD0x200000001.4.5 禁用自動運行功能一旦媒體插入一個驅動器，自動運行功能就開始從該驅動器讀取數據。

17、這樣，程序的安裝文件和音頻媒體上的聲音就可以立即啟動。為防止可能有惡意的程序在媒體插入時就啟動，組策略禁用了所有驅動器的自動運行功能。下面的注冊表項作為的一個子項添加:項格式值（十六進制）NoDriveTypeAutoRunDWORD0xFF1.5 補丁管理1.5.1 確定修補程序當前版本狀態注冊表中查看HKLMSoftwareMicrosoftWindowsNtCurrentversionhotfix鍵，可以看到打過的補丁對應的修復程序的知識庫文章編號。如果已經部署了MicrosoftSystemsManagementServer(SMS)則其軟件部署功能可用于將修補程序部署到環境中具有SM

18、S客戶端的所有計算機，并確認每臺計算機所安裝的補丁程序的當前版本和狀態。1.5.2 部署修補程序可以使用手工執行修補程序的方法安裝，修補程序一般是一個可執行文件，其名稱表示了修補的信息。如：Q292435_W2K_SP3_x86_en.EXEQ292435是知識庫文章編號，您可在其中查找有關該即時修復程序的詳細信息。W2K是它所針對的產品(MicrosoftWindows2000)SP3是將要包括它的ServicePac%x86是它所面向的處理器體系結構。en是語言(英語)。如果安裝了MicrosoftSoftwareUpdateServices(SUS程序，可以使用SUS集中部署指定范圍(指

19、定域或IP地址范圍)的主機的修補程序。1.6 文件/目錄控制1.6.1 目錄保護受保護的目錄如下表所示:保護的目錄應用的權限%systemdrive%Administrators:完全控制System：完全控制AuthenticatedUsers：讀取和執行、列出文件夾內容、讀取%SystemRoot%Repair%SystemRoot%Security%SystemRoot%Temp%SystemRoot%system32Config%SystemRoot%system32LogfilesAdministrators:完全控制Creator/Owner：完全控制System：完全控制%sys

20、temdrive%InetpubAdministrators:完全控制System：完全控制Everyone：讀取和執行、列出文件夾內容、讀取其中%SystemRoot%定義了Windows系統文件所在的路徑和文件夾名，%SystemDrive%定義了包含%systemroot%的驅動器。1.6.2 文件保護受保護的文件如下表所示:文件基準權限%SystemDrive%Boot.iniAdministrators:完全控制System：完全控制%SystemDrive%NAdministrators:完全控制System：完全控制%SystemDrive%NtldrAdministrators

21、:完全控制System：完全控制%SystemDrive%Io.sysAdministrators:完全控制System：完全控制%SystemDrive%Autoexec.batAdministrators:完全控制System：完全控制AuthenticatedUsers：讀取和執行、列出文件夾內容、讀取%systemdir%configAdministrators:完全控制System：完全控制AuthenticatedUsers：讀取和執行、列出文件夾內容、讀取%SystemRoot%system32Append.exeAdministrators:完全控制%SystemRoot%sy

22、stem32Arp.exeAdministrators:完全控制%SystemRoot%system32At.exeAdministrators:完全控制%SystemRoot%system32Attrib.exeAdministrators:完全控制%SystemRoot%system32Cacls.exeAdministrators:完全控制%SystemRoot%system32Change.exeAdministrators:完全控制%SystemRoot%system32CAdministrators:完全控制%SystemRoot%system32Chglogon.exeAdmin

23、istrators:完全控制%SystemRoot%system32Chgport.exeAdministrators:完全控制%SystemRoot%system32Chguser.exeAdministrators:完全控制%SystemRoot%system32Chkdsk.exeAdministrators:完全控制%SystemRoot%system32Chkntfs.exeAdministrators:完全控制%SystemRoot%system32Cipher.exeAdministrators:完全控制%SystemRoot%system32Cluster.exeAdminis

24、trators:完全控制%SystemRoot%system32Cmd.exeAdministrators:完全控制%SystemRoot%system32Compact.exeAdministrators:完全控制%SystemRoot%system32CAdministrators:完全控制%SystemRoot%system32Convert.exeAdministrators:完全控制%SystemRoot%system32Cscript.exeAdministrators:完全控制%SystemRoot%system32Debug.exeAdministrators:完全控制%Sys

25、temRoot%system32Dfscmd.exeAdministrators:完全控制%SystemRoot%system32DAdministrators:完全控制%SystemRoot%system32DAdministrators:完全控制%SystemRoot%system32Doskey.exeAdministrators:完全控制%SystemRoot%system32Edlin.exeAdministrators:完全控制%SystemRoot%system32Exe2bin.exeAdministrators:完全控制%SystemRoot%system32Expand.e

26、xeAdministrators:完全控制%SystemRoot%system32Fc.exeAdministrators:完全控制%SystemRoot%system32Find.exeAdministrators:完全控制%SystemRoot%system32Findstr.exeAdministrators:完全控制%SystemRoot%system32Finger.exeAdministrators:完全控制%SystemRoot%system32Forcedos.exeAdministrators:完全控制%SystemRoot%system32FAdministrators:完

27、全控制%SystemRoot%system32Administrators:完全控制%SystemRoot%system32Hostname.exeAdministrators:完全控制%SystemRoot%system32Iisreset.exeAdministrators:完全控制%SystemRoot%system32Ipconfig.exeAdministrators:完全控制%SystemRoot%system32Ipxroute.exeAdministrators:完全控制%SystemRoot%system32Label.exeAdministrators:完全控制%Syste

28、mRoot%system32Logoff.exeAdministrators:完全控制%SystemRoot%system32Lpq.exeAdministrators:完全控制%SystemRoot%system32Lpr.exeAdministrators:完全控制%SystemRoot%system32Makecab.exeAdministrators:完全控制%SystemRoot%system32Mem.exeAdministrators:完全控制%SystemRoot%system32Mmc.exeAdministrators:完全控制%SystemRoot%system32MAd

29、ministrators:完全控制%SystemRoot%system32MAdministrators:完全控制%SystemRoot%system32Mountvol.exeAdministrators:完全控制%SystemRoot%system32Msg.exeAdministrators:完全控制%SystemRoot%system32Nbtstat.exeAdministrators:完全控制%SystemRoot%system32Net.exeAdministrators:完全控制%SystemRoot%system32Net1.exeAdministrators:完全控制%Sy

30、stemRoot%system32Netsh.exeAdministrators:完全控制%SystemRoot%system32Netstat.exeAdministrators:完全控制%SystemRoot%system32Nslookup.exeAdministrators:完全控制%SystemRoot%system32Ntbackup.exeAdministrators:完全控制%SystemRoot%system32Ntsd.exeAdministrators:完全控制%SystemRoot%system32Pathping.exeAdministrators:完全控制%Syst

31、emRoot%system32Ping.exeAdministrators:完全控制%SystemRoot%system32Print.exeAdministrators:完全控制%SystemRoot%system32Query.exeAdministrators:完全控制%SystemRoot%system32Rasdial.exeAdministrators:完全控制%SystemRoot%system32Rcp.exeAdministrators:完全控制%SystemRoot%system32Recover.exeAdministrators:完全控制%SystemRoot%syst

32、em32Regedit.exeAdministrators:完全控制%SystemRoot%system32Regedt32.exeAdministrators:完全控制%SystemRoot%system32Regini.exeAdministrators:完全控制%SystemRoot%system32Register.exeAdministrators:完全控制%SystemRoot%system32Regsvr32.exeAdministrators:完全控制%SystemRoot%system32Replace.exeAdministrators:完全控制%SystemRoot%sy

33、stem32Reset.exeAdministrators:完全控制%SystemRoot%system32Rexec.exeAdministrators:完全控制%SystemRoot%system32Route.exeAdministrators:完全控制%SystemRoot%system32Routemon.exeAdministrators:完全控制%SystemRoot%system32Router.exeAdministrators:完全控制%SystemRoot%system32Rsh.exeAdministrators:完全控制%SystemRoot%system32Runa

34、s.exeAdministrators:完全控制%SystemRoot%system32Runonce.exeAdministrators:完全控制%SystemRoot%system32Secedit.exeAdministrators:完全控制%SystemRoot%system32Setpwd.exeAdministrators:完全控制%SystemRoot%system32Shadow.exeAdministrators:完全控制%SystemRoot%system32Share.exeAdministrators:完全控制%SystemRoot%system32Snmp.exeAd

35、ministrators:完全控制%SystemRoot%system32Snmptrap.exeAdministrators:完全控制%SystemRoot%system32Subst.exeAdministrators:完全控制%SystemRoot%system32Telnet.exeAdministrators:完全控制%SystemRoot%system32Termsrv.exeAdministrators:完全控制%SystemRoot%system32TAdministrators:完全控制%SystemRoot%system32Tlntadmin.exeAdministrato

36、rs:完全控制%SystemRoot%system32Tlntsess.exeAdministrators:完全控制%SystemRoot%system32Tlntsvr.exeAdministrators:完全控制%SystemRoot%system32Tracert.exeAdministrators:完全控制%SystemRoot%system32TAdministrators:完全控制%SystemRoot%system32Tsadmin.exeAdministrators:完全控制%SystemRoot%system32Tscon.exeAdministrators:完全控制%Sys

37、temRoot%system32Tsdiscon.exeAdministrators:完全控制%SystemRoot%system32Tskill.exeAdministrators:完全控制%SystemRoot%system32Tsprof.exeAdministrators:完全控制%SystemRoot%system32Tsshutdn.exeAdministrators:完全控制%SystemRoot%system32UAdministrators:完全控制%SystemRoot%system32Wscript.exeAdministrators:完全控制%SystemRoot%sy

38、stem32Xcopy.exeAdministrators:完全控制1.7 系統審計日志應用程序、安全性和系統事件日志的設置都應在域策略中配置并應用到域中的所有成員服務器。建議設置日志大小為10M字節，配置為不改寫事件審計策略應根據以下設置按照具體需要修改：策略計算機設置審計賬戶登錄事件成功，失敗審計賬戶管理成功，失敗審計目錄服務訪問失敗審計登錄事件成功，失敗審計對象訪問成功，失敗審計策略更改成功，失敗審計特權使用失敗審計過程追蹤無審計審計系統事件成功，失敗限制對應用程序日志的來賓訪問啟用限制對安全日志的來賓訪問啟用限制對系統日志的來賓訪問啟用應用程序日志的保留方法不要改寫事件（手動清除日志）

39、安全日志的保留方法不要改寫事件（手動清除日志）系統日志的保留方法不要改寫事件（手動清除日志）安全審計日志滿后關閉計算機未定義經常使用其做安全性檢查，檢查的內容。1.8 服務管理1.8.1 成員服務器Windows首次安裝時，創建默認服務并將其配置為在系統啟動時運行這些服務中有一些在許多環境中都不需要運行，再者，因為任何服務都是一個潛在的受攻擊點，所以應禁用不必要的服務。下面的配置是windows成員服務器加入windows域并提供基本管理服務所必需的服務，建議除這些服務以外，根據實際情況禁止其它服務。服務啟動類型包括在成員服務器基準策略中的理由COM+事件服務手動允許組件服務的管理DHCP客戶端自動更新動態DNS中的記錄所需分布式鏈接跟蹤客戶端自動用來維護NTFS卷上的鏈接DNS客戶端自動允許解析DNS名稱事件日志自動允許在事件日志中查看事件日志消息邏輯磁盤管理器自動需要它來確保動態磁盤信息保持最新邏輯磁盤管理器管理服務手動需要它以執行磁盤管理Netlogon自動加入域時所需網絡連接手動網絡通訊所需性能日志和警報手動收集計算機的性能數據，向日志中寫入或觸發警報即插即用自動Windows2000標識和使用系統硬件時所需受保護的存儲區自動需要用它保護敏感數據，如私鑰遠程過程調用（RPC）自動Windows2000中的內部過程所需遠程注冊服務自動hfnetchk實用工具所需