某世界500強公司的伺服器作業系統安全配置標準-Windows
伺服器作業系統安全配置標準-Windows
V 1.1
2006年03 月30 日
文件控制
擬 制:
審 核:
標準化:
讀 者:
版本控制
版本 提交日期 相關組織和人員 版本描述
V1.0 2005-12-08
V1.1 2006-03-30
1 概述 1
1.1 適用範圍 1
1.2 實施 1
1.3 例外條款 1
1.4 檢查和維護 1
2 適用版本 2
3 使用者賬號控制 2
3.1 密碼策略 2
3.2 複雜性要求 2
3.3 賬戶鎖定策略 3
3.4 內建預設賬戶安全 3
3.5 安全選項策略 4
4 登錄檔安全配置 6
4.1 登錄檔訪問授權 6
4.2 禁止匿名訪問登錄檔 7
4.3 針對網路攻擊的安全考慮事項 7
4.4 禁用 8.3 格式檔名的自動生成 8
4.5 禁用 LMHASH 建立 8
4.6 配置 NTLMSSP 安全 8
4.7 禁用自動執行功能 8
4.8 附加的登錄檔安全配置 9
5 服務管理 9
5.1 成員伺服器 9
5.2 域控制器 10
6 檔案/目錄控制 11
6.1 目錄保護 11
6.2 檔案保護 12
7 伺服器作業系統補丁管理 16
7.1 確定修補程式當前版本狀態 16
7.2 部署修補程式 16
8 系統審計日誌 16
9 其它配置安全 17
9.1 確保所有的磁碟卷使用NTFS檔案系統 17
9.2 系統啟動設定 17
9.3 螢幕保護設定 17
9.4 遠端管理訪問要求 18
10 防病毒管理 18
11 附則 18
11.1 文件資訊 18
11.2 其他資訊 18
1 概述
本文件規定了中國××公司企業範圍內安裝有Windows作業系統的主機應當遵循的作業系統安全性設定標準,本文件旨在指導系統管理人員進行Windows作業系統的安全配置。
1.1 適用範圍
本規範的使用者包括:
伺服器系統管理員、應用管理員、網路安全管理員。
本規範適用的範圍包括:
支援中國××公司執行的Windows 2000 Server, Windows 2003伺服器系統。
1.2 實施
本規範的解釋權和修改權屬於中國××公司,在本標準的執行過程中若有任何疑問或建議,應及時反饋。
本標準一經頒佈,即為生效。
1.3 例外條款
欲申請本標準的例外條款,申請人必須準備書面申請檔案,說明業務需求和原因,送交中國××公司資訊系統管理部門進行審批備案。
1.4 檢查和維護
根據中國××公司經營活動的需要,每年檢查和評估本標準,並做出適當更新。如果在突發事件處理過程中,發現需對本標準進行變更,也需要進行本標準的維護。
任何變更草案將由中國××公司資訊系統管理部門進行稽核批准。各相關部門經理有責任與其下屬的組織和員工溝通變更的內容。
2 適用版本
Windows 2000 Server;
Windows 2003.
3 使用者賬號控制
基本策略:使用者被賦予唯一的使用者名稱、使用者ID(UID)。
3.1 密碼策略
預設情況下,將對域中的所有伺服器強制執行一個標準密碼策略。下表列出了一個標準密碼策略的設定以及針對您的環境建議的最低設定。
策略 預設設定 推薦最低設定
強制執行密碼歷史記錄 記住 1 個密碼 記住 4 個密碼
密碼最長期限 42 天 42 天
密碼最短期限 0 天 0 天
最短密碼長度 0 個字元 8 個字元
密碼必須符合複雜性要求 禁用 啟用
為域中所有使用者使用可還原的加密來儲存密碼 禁用 禁用
3.2 複雜性要求
當組策略的“密碼必須符合複雜性要求”設定啟用後,它要求密碼必須為 6 個字元長(但我們建議您將此值設定為 8 個字元)。它還要求密碼中必須包含下面類別中至少三個類別的字元:
英語大寫字母 A, B, C, … Z
英語小寫字母 a, b, c, … z
西方阿拉伯數字 0, 1, 2, … 9
非字母數字字元,如標點符號
3.3 賬戶鎖定策略
有效的賬戶鎖定策略有助於防止攻擊者猜出您賬戶的密碼。下表列出了一個預設賬戶鎖定策略的設定以及針對您的環境推薦的最低設定。
策略 預設設定 推薦最低設定
賬戶鎖定時間 未定義 30 分鐘
賬戶鎖定閾值 0 5 次無效登入
復位賬戶鎖定計數器 未定義 30 分鐘
3.4 內建預設賬戶安全
Windows有幾個內建的使用者賬戶,它們不可刪除,但可以通過禁用,重新命名或設定相關的許可權的方式來保證一定的系統安全性。
帳戶名 建議安全配置策略 適用系統
Administrator 1. 此帳戶必須在安裝後立即重新命名並修改相關密碼;
2. 對於系統管理員建議建立一個相關擁有Administrator組許可權的新使用者,平時使用此帳戶登陸,只有在有特殊需要時才使用重新命名後的Administrator進行系統登陸。 Windows 2000 Server
Windows Server 2003
Guest 帳戶必須禁用;如有特殊需要保留也一定要重新命名。 Windows 2000 Server
Windows Server 2003
TSInternetUser 此帳戶是為了“Terminal Services’ Internet Connector License”使用而存在的,故帳戶必須禁用,不會對於正常的Terminal Services的功能有影響。 Windows 2000 Server
Windows Server 2003
SUPPORT_388945a0 此帳戶是為了IT幫助和支援服務,此帳戶必須禁用。 Windows Server 2003
IUSR_{system} 必須只能是Guest組的成員。 此帳戶為IIS(Internet Information Server)服務建立的。
IWAM_{system} 必須只能是Guest組的成員。 此帳戶為IIS(Internet Information Server)服務建立的。
3.5 安全選項策略
域策略中的安全選項應根據以下設定按照具體需要修改:
選項 設定
對匿名連線的附加限制 沒有顯式匿名許可權就無法訪問
允許伺服器操作員計劃任務 (僅用於域控制器) 禁用
允許在未登入前系統關機 禁用
允許彈出可移動 NTFS 媒體 管理員
在斷開會話之前所需的空閒時間 15 分鐘
對全域性系統物件的訪問進行審計 禁用
對備份和還原許可權的使用進行審計 禁用
登入時間過期就自動登出使用者 未定義(見附註)
當登入時間過期就自動登出使用者(本地) 啟用
在系統關機時清除虛擬記憶體頁面交換檔案 啟用
對客戶端通訊使用數字簽名 (始終) 啟用
對客戶端通訊使用數字簽名 (如果可能) 啟用
對伺服器通訊使用數字簽名(始終) 啟用
對伺服器通訊進行數字簽名 (如果可能) 啟用
禁用按 CTRL+ALT+DEL 進行登入的設定 禁用
登入螢幕上不要顯示上次登入的使用者名稱 啟用
LAN Manager 身份驗證級別 僅傳送 NTLMv2 響應,拒絕 LM & NTLM
使用者嘗試登入時訊息文字
使用者嘗試登入時訊息標題
緩衝儲存的以前登入次數(在域控制器不可用的情況下) 0 次登入
防止計算機賬戶密碼的系統維護 禁用
防止使用者安裝印表機驅動程式 啟用
在密碼到期前提示使用者更改密碼 14 天
故障恢復控制檯:允許自動管理登入 禁用
故障恢復控制檯:允許對驅動器和資料夾進行軟盤複製和訪問 禁用
重新命名系統管理員賬戶 未定義
重新命名來賓賬戶 未定義
只有本地登入的使用者才能訪問 CD-ROM 啟用
只有本地登入的使用者才能訪問軟盤 啟用
安全通道:對安全通道資料進行數字加密或簽名(始終) 啟用
安全通道:對安全通道資料進行數字加密 (如果可能) 啟用
安全通道:對安全通道資料進行數字簽名(如果可能) 啟用
安全通道: 需要強 (Windows 2000 Server 或以上版本) 會話金鑰 啟用
安全系統磁碟分割槽(只適於 RISC 操作平臺) 未定義
傳送未加密的密碼以連線到第三方 SMB 伺服器。 禁用
如果無法記錄安全審計則立即關閉系統 啟用(見第二條附註)
智慧卡移除操作 鎖定工作站
增強全域性系統物件的預設許可權(例如 Symbolic Links) 啟用
未簽名驅動程式的安裝操作 禁止安裝
未簽名非驅動程式的安裝操作 允許安裝但發出警告
在上面的推薦配置中,下面幾項由於直接影響了域中各伺服器間通訊的方式,可能會對伺服器效能有影響。
對匿名連線的附加限制
預設情況下,Windows 2000 Server 允許匿名使用者執行某些活動,如列舉域賬戶和網路共享區的名稱。這使得攻擊者無需用一個使用者賬戶進行身份驗證就可以檢視遠端伺服器上的這些賬戶和共享名。為更好地保護匿名訪問,可以配置“沒有顯式匿名許可權就無法訪問”。這樣做的效果是將 Everyone(所有人)組從匿名使用者令牌中刪除。對伺服器的任何匿名訪問都將被禁止,而且對任何資源都將要求顯式訪問。
LAN Manager 身份驗證級別
Microsoft Windows 9x 和 Windows NT® 作業系統不能使用 Kerberos 進行身份驗證,所以,在預設情況下,在 Windows 2000 域中它們使用 NTLM 協議進行網路身份驗證。您可以通過使用 NTLMv2 對 Windows 9x 和 Windows NT 強制執行一個更安全的身份驗證協議。對於登入過程,NTLMv2 引入了一個安全的通道來保護身份驗證過程。
在關機時清理虛擬記憶體頁面交換檔案
實際記憶體中儲存的重要資訊可以週期性地轉儲到頁面交換檔案中。這有助於 Windows 2000 Server 處理多工功能。如果啟用此選項,Windows 2000 Server 將在關機時清理頁面交換檔案,將儲存在那裡的所有資訊清除掉。根據頁面交換檔案的大小不同,系統可能需要幾分鐘的時間才能完全關閉。
對客戶端/伺服器通訊使用數字簽名
在高度安全的網路中實現數字簽名有助於防止客戶機和伺服器被模仿(即所謂“會話劫持”或“中間人”攻擊)。伺服器訊息塊 (SMB) 簽名既可驗證使用者身份,又可驗證託管資料的伺服器的身份。如有任何一方不能通過身份驗證,資料傳輸就不能進行。在實現了 SMB 後,為對伺服器間的每一個資料包進行簽名和驗證,效能最多會降低 15%。
針對Server 2003的設定:
通過執行Secpol.msc > Security Settings > Local Policies進行設定
安全選項 設定
在使用者密碼過期前通知使用者 7 天
4 登錄檔安全配置
4.1 登錄檔訪問授權
對於Windows登錄檔的訪問授權必須按下列的表格進行設定,“訪問授權”欄裡規定了對於普通使用者(例如Everyone, Users, Authenticated Users或 other groups containing general users)所賦予的最大權利。
登錄檔資源名稱 訪問授權
HKCR or HKLM/Software/Classes/
保護對於副檔名連結和COM類註冊資訊的未授權修改 Read*
HKLM/System/CurrentControlSet/Control/SecurePipeServers
值: Winreg
限制遠端登錄檔訪問許可權 Read*
HKLM/System/CurrentControlSet/Services/Eventlog/Security
保護安全日誌儲存目錄和配置被未授權的進行瀏覽。
普通使用者沒有相應許可權。
HKLM/System/CurrentControlSet/Services/Eventlog/DNS
– 適用於MS DNS服務執行環境中
-保護DNS日誌儲存目錄和配置被未授權的進行瀏覽 普通使用者沒有相應許可權。
註釋:對於‘Read‘的授權包括‘RX’(讀取和執行)和‘List Folder Contents’(列出資料夾內容)。
4.2 禁止匿名訪問登錄檔
只允許系統管理員擁有遠端訪問登錄檔的許可權。
1. 新增如下注冊表項:
專案 引數
Hive HKEY_LOCAL_MACHINE /SYSTEM
Key /CurrentControlSet/Control/SecurePipeServers
Value Name /winreg
2. 選中“winreg”,點選“Security”選單,點選“Permission”,設定系統管理員Administrator擁有“Full Control”,確保沒有其他使用者或組包含在其中,點選“OK”。
4.3 針對網路攻擊的安全考慮事項
有些拒絕服務攻擊可能會給 Windows 2000 Server 伺服器上的 TCP/IP 協議棧造成威脅。這些登錄檔設定有助於提高 Windows 2000 Server TCP/IP 協議棧抵禦標準型別的拒絕服務網路攻擊的能力。
下面的登錄檔項作為 HKLM/System/CurrentControlSet/Services/Tcpip|Parameters/ 的子項新增:
項 格式 值(十進位制)
EnableICMPRedirect DWORD 0
EnableSecurityFilters DWORD 1
SynAttackProtect DWORD 2
EnableDeadGWDetect DWORD 0
EnablePMTUDiscovery DWORD 0
KeepAliveTime DWORD 300,000
DisableIPSourceRouting DWORD 2
TcpMaxConnectResponseRetransmissions DWORD 2
TcpMaxDataRetransmissions DWORD 3
NoNameReleaseOnDemand DWORD 1
PerformRouterDiscovery DWORD 0
TCPMaxPortsExhausted DWORD 5
4.4 禁用 8.3 格式檔名的自動生成
為與 16 位應用程式的向後相容,Windows 2000 Server 支援 8.3 檔名格式。這意味著攻擊者只需要 8 個字元即可引用可能有 20 個字元長的檔案。如果您不再使用 16 位應用程式,則可以將此功能關閉。禁用 NTFS 分割槽上的短檔名生成還可以提高目錄列舉效能。下面的登錄檔項作為 HKLM/System/CurrentControlSet/Control/FileSystem/ 的子項新增:
項 格式 值(十進位制)
NtfsDisable8dot3NameCreation DWORD 1
4.5 禁用 Lmhash 建立
Windows 2000 Server 伺服器可以驗證執行任何以前 Windows 版本的計算機的身份。然而,以前版本的 Windows 不使用 Kerberos 進行身份驗證,所以 Windows 2000 Server 支援 Lan Manager (LM)、Windows NT (NTLM) 和 NTLM 版本 2 (NTLMv2)。相比之下,LM 雜湊運算的能力比 NTLM 弱,因而易在猛烈攻擊下被攻破。如果您沒有需要 LM 身份驗證的客戶機,則應禁用 LM 雜湊的儲存。Windows 2000 Server Service Pack 2 以上提供了一個登錄檔設定以禁用 LM 雜湊的儲存。
下面的登錄檔項作為 HKLM/SYSTEM/CurrentControlSet/Control/Lsa/ 的一個子項新增:
項 格式 值(十進位制)
NoLMHash DWORD 1
4.6 配置 NTLMSSP 安全
NTLM 安全支援提供程式 (NTLMSSP) 允許您按應用程式指定伺服器端網路連線的最低必需安全設定。下面的配置可以確保,如果使用了訊息保密但未協商 128 位加密,則連線將失敗。下面的登錄檔項作為 HKLM/SYSTEM/CurrentControlSet/Control/Lsa/MSV1_0/ 的一個子項新增:
項 格式 值(十六進位制)
NtlmMinServerSec DWORD 0x20000000
4.7 禁用自動執行功能
一旦媒體插入一個驅動器,自動執行功能就開始從該驅動器讀取資料。這樣,程式的安裝檔案和音訊媒體上的聲音就可以立即啟動。為防止可能有惡意的程式在媒體插入時就啟動,組策略禁用了所有驅動器的自動執行功能。下面的登錄檔項作為 HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/Explorer/的一個子項新增:
項 格式 值(十六進位制)
NoDriveTypeAutoRun DWORD 0xFF
4.8 附加的登錄檔安全配置
針對Windows 2000 Server and Server 2003安全設定,可是用登錄檔編輯器Registry Editor (Regedt32.exe)來實現如下設定
刪除下列項(該值在Server 2003上不存在)
登錄檔項: HKLM/System/CurrentControlSet/Services/SNMP/Parameters/ValidCommunities/
項: public:REG_DWORD:0x4
功能:刪除Public SNMP通訊欄位名(如不需要使用SNMP功能,否則建議保留)。
5 服務管理
5.1 成員伺服器
Windows 2000 Server 首次安裝時,建立預設服務並將其配置為在系統啟動時執行。這些服務中有一些在許多環境中都不需要執行,再者,因為任何服務都是一個潛在的受攻擊點,所以應禁用不必要的服務。
下面的配置是windows2000成員伺服器加入windows2000域並提供基本管理服務所必需的服務,建議除這些服務以外,根據實際情況禁止其它服務。
服務 啟動型別 包括在成員伺服器基準策略中的理由
COM+ 事件服務 手動 允許元件服務的管理
DHCP 客戶端 自動 更新動態 DNS 中的記錄所需
分散式連結跟蹤客戶端 自動 用來維護 NTFS 捲上的連結
DNS 客戶端 自動 允許解析 DNS 名稱
事件日誌 自動 允許在事件日誌中檢視事件日誌訊息
邏輯磁碟管理器 自動 需要它來確保動態磁碟資訊保持最新
邏輯磁碟管理器管理服務 手動 需要它以執行磁碟管理
Netlogon 自動 加入域時所需
網路連線 手動 網路通訊所需
效能日誌和警報 手動 收集計算機的效能資料,向日志中寫入或觸發警報
即插即用 自動 Windows 2000 Server 標識和使用系統硬體時所需
受保護的儲存區 自動 需要用它保護敏感資料,如私鑰
遠端過程呼叫 (RPC) 自動 Windows 2000 Server 中的內部過程所需
遠端註冊服務 自動 hfnetchk 實用工具所需(參見附註)
安全賬戶管理器 自動 儲存本地安全賬戶的賬戶資訊
伺服器 自動 hfnetchk 實用工具所需(參見附註)
系統事件通知 自動 在事件日誌中記錄條目所需
TCP/IP NetBIOS Helper 服務 自動 在組策略中進行軟體分發所需(可用來分發修補程式)
Windows 管理規範驅動程式 手動 使用“效能日誌和警報”實現效能警報時所需
Windows 時間服務 自動 需要它來保證 Kerberos 身份驗證有一致的功能
工作站 自動 加入域時所需
除上述必須的服務以外,還有一些服務可能會在具體的環境中需要:
SNMP 服務
在許多情況下,管理應用程式都需要在每個伺服器上安裝一個代理。一般地,這些代理將使用 SNMP 將警報訊息發回到一箇中央管理伺服器。如果需要管理代理,那麼有可能會需要啟動 SNMP 服務。
WMI 服務
為使用“計算機管理”來管理邏輯磁碟,您需要啟用 WMI 服務。其他許多應用程式和工具也使用 WMI。
信使服務和報警服務
儘管這兩種服務並不是明確地彼此相互依賴,但它們往往一起完成傳送管理警報的任務。信使服務將傳送由報警服務觸發的警報訊息。如果使用“效能日誌和警報”觸發警報訊息,就需要啟用這些服務。
5.2 域控制器
域控制器的服務推薦配置是在上一節成員伺服器配置的基礎上,增加如下服務:
服務 啟動型別 包括在域控制器基準策略中的理由
分散式檔案系統 自動 Active Directory Sysvol 共享所需
DNS 伺服器 自動 整合了 Active Directory 的 DNS 所需
檔案複製 自動 域控制器間的檔案複製所需
Kerberos 金鑰發行中心 自動 允許使用者使用 Kerberos v5 登入到網路
NT LM 安全支援提供程式 自動 允許客戶端使用 NTLM 身份驗證登入
RPC 定位器 自動 允許域控制器提供 RPC 名稱服務
此外,在域控制器上還有一些服務可能會在具體環境中需要:
簡單郵件傳輸協議 (SMTP)
可以使用 RPC 或 SMTP 來進行站點間複製。如果在具體環境中使用 SMTP 進行復制,則將需要啟用 SMTP 服務。
站間訊息傳遞服務
此服務用於站點間基於郵件的複製。用於複製的每一種傳輸協議都在一個單獨的外接程式動態連結庫 (DLL) 中定義。這些外接程式 DLL 載入到“站間訊息傳遞服務”中。“站間訊息傳遞服務”將傳送請求和接收請求定向到適當的傳輸協議外接程式 DLL,後者將訊息路由到目標計算機上的“站間訊息傳遞服務”。如果在具體環境中使用 SMTP 進行復制,則將需要啟用此服務。
IIS Admin 服務
如果啟動了 SMTP 服務,那麼 IIS Admin 服務也需要啟動,因為 SMTP 服務依賴 IIS Admin 服務。
分散式連結跟蹤伺服器服務
此服務用來跟蹤域中的所有 NTFS 捲上的檔案,由執行著“分散式連結跟蹤客戶機”服務的計算機與之聯絡。這些計算機將定期不斷嘗試與“分散式連結跟蹤伺服器”服務聯絡,即使在此服務被禁用後也是如此。
6 檔案/目錄控制
6.1 目錄保護
受保護的目錄如下表所示:
保護的目錄 應用的許可權
%systemdrive%/ Administrators:完全控制
System:完全控制
Authenticated Users:讀取和執行、列出資料夾內容
%SystemRoot%/Repair
%SystemRoot%/Security
%SystemRoot%/Temp
%SystemRoot%/system32/Config
%SystemRoot%/system32/Logfiles Administrators:完全控制
Creator/Owner:完全控制
System:完全控制
%systemdrive%/Inetpub Administrators:完全控制
System:完全控制
Everyone:讀取和執行、列出資料夾內容、讀取
其中%SystemRoot% 定義了 Windows 系統檔案所在的路徑和資料夾名,%SystemDrive% 定義了包含 %systemroot% 的驅動器。
6.2 檔案保護
受保護的檔案如下表所示:
檔案 基準許可權
%SystemDrive%/Boot.ini Administrators:完全控制
System:完全控制
%SystemDrive%/Ntdetect.com Administrators:完全控制
System:完全控制
%SystemDrive%/Ntldr Administrators:完全控制
System:完全控制
%SystemDrive%/Io.sys Administrators:完全控制
System:完全控制
%SystemDrive%/Autoexec.bat Administrators:完全控制
System:完全控制
Authenticated Users:讀取和執行、列出資料夾內容、讀取
%systemdir%/config Administrators:完全控制
System:完全控制
Authenticated Users:讀取和執行、列出資料夾內容、讀取
%SystemRoot%/system32/Append.exe Administrators:完全控制
%SystemRoot%/system32/Arp.exe Administrators:完全控制
%SystemRoot%/system32/At.exe Administrators:完全控制
%SystemRoot%/system32/Attrib.exe Administrators:完全控制
%SystemRoot%/system32/Cacls.exe Administrators:完全控制
%SystemRoot%/system32/Change.exe Administrators:完全控制
%SystemRoot%/system32/Chcp.com Administrators:完全控制
%SystemRoot%/system32/Chglogon.exe Administrators:完全控制
%SystemRoot%/system32/Chgport.exe Administrators:完全控制
%SystemRoot%/system32/Chguser.exe Administrators:完全控制
%SystemRoot%/system32/Chkdsk.exe Administrators:完全控制
%SystemRoot%/system32/Chkntfs.exe Administrators:完全控制
%SystemRoot%/system32/Cipher.exe Administrators:完全控制
%SystemRoot%/system32/Cluster.exe Administrators:完全控制
%SystemRoot%/system32/Cmd.exe Administrators:完全控制
%SystemRoot%/system32/Compact.exe Administrators:完全控制
%SystemRoot%/system32/Command.com Administrators:完全控制
%SystemRoot%/system32/Convert.exe Administrators:完全控制
%SystemRoot%/system32/Cscript.exe Administrators:完全控制
%SystemRoot%/system32/Debug.exe Administrators:完全控制
%SystemRoot%/system32/Dfscmd.exe Administrators:完全控制
%SystemRoot%/system32/Diskcomp.com Administrators:完全控制
%SystemRoot%/system32/Diskcopy.com Administrators:完全控制
%SystemRoot%/system32/Doskey.exe Administrators:完全控制
%SystemRoot%/system32/Edlin.exe Administrators:完全控制
%SystemRoot%/system32/Exe2bin.exe Administrators:完全控制
%SystemRoot%/system32/Expand.exe Administrators:完全控制
%SystemRoot%/system32/Fc.exe Administrators:完全控制
%SystemRoot%/system32/Find.exe Administrators:完全控制
%SystemRoot%/system32/Findstr.exe Administrators:完全控制
%SystemRoot%/system32/Finger.exe Administrators:完全控制
%SystemRoot%/system32/Forcedos.exe Administrators:完全控制
%SystemRoot%/system32/Format.com Administrators:完全控制
%SystemRoot%/system32/Ftp.exe Administrators:完全控制
%SystemRoot%/system32/Hostname.exe Administrators:完全控制
%SystemRoot%/system32/Iisreset.exe Administrators:完全控制
%SystemRoot%/system32/Ipconfig.exe Administrators:完全控制
%SystemRoot%/system32/Ipxroute.exe Administrators:完全控制
%SystemRoot%/system32/Label.exe Administrators:完全控制
%SystemRoot%/system32/Logoff.exe Administrators:完全控制
%SystemRoot%/system32/Lpq.exe Administrators:完全控制
%SystemRoot%/system32/Lpr.exe Administrators:完全控制
%SystemRoot%/system32/Makecab.exe Administrators:完全控制
%SystemRoot%/system32/Mem.exe Administrators:完全控制
%SystemRoot%/system32/Mmc.exe Administrators:完全控制
%SystemRoot%/system32/Mode.com Administrators:完全控制
%SystemRoot%/system32/More.com Administrators:完全控制
%SystemRoot%/system32/Mountvol.exe Administrators:完全控制
%SystemRoot%/system32/Msg.exe Administrators:完全控制
%SystemRoot%/system32/Nbtstat.exe Administrators:完全控制
%SystemRoot%/system32/Net.exe Administrators:完全控制
%SystemRoot%/system32/Net1.exe Administrators:完全控制
%SystemRoot%/system32/Netsh.exe Administrators:完全控制
%SystemRoot%/system32/Netstat.exe Administrators:完全控制
%SystemRoot%/system32/Nslookup.exe Administrators:完全控制
%SystemRoot%/system32/Ntbackup.exe Administrators:完全控制
%SystemRoot%/system32/Ntsd.exe Administrators:完全控制
%SystemRoot%/system32/Pathping.exe Administrators:完全控制
%SystemRoot%/system32/Ping.exe Administrators:完全控制
%SystemRoot%/system32/Print.exe Administrators:完全控制
%SystemRoot%/system32/Query.exe Administrators:完全控制
%SystemRoot%/system32/Rasdial.exe Administrators:完全控制
%SystemRoot%/system32/Rcp.exe Administrators:完全控制
%SystemRoot%/system32/Recover.exe Administrators:完全控制
%SystemRoot%/system32/Regedit.exe Administrators:完全控制
%SystemRoot%/system32/Regedt32.exe Administrators:完全控制
%SystemRoot%/system32/Regini.exe Administrators:完全控制
%SystemRoot%/system32/Register.exe Administrators:完全控制
%SystemRoot%/system32/Regsvr32.exe Administrators:完全控制
%SystemRoot%/system32/Replace.exe Administrators:完全控制
%SystemRoot%/system32/Reset.exe Administrators:完全控制
%SystemRoot%/system32/Rexec.exe Administrators:完全控制
%SystemRoot%/system32/Route.exe Administrators:完全控制
%SystemRoot%/system32/Routemon.exe Administrators:完全控制
%SystemRoot%/system32/Router.exe Administrators:完全控制
%SystemRoot%/system32/Rsh.exe Administrators:完全控制
%SystemRoot%/system32/Runas.exe Administrators:完全控制
%SystemRoot%/system32/Runonce.exe Administrators:完全控制
%SystemRoot%/system32/Secedit.exe Administrators:完全控制
%SystemRoot%/system32/Setpwd.exe Administrators:完全控制
%SystemRoot%/system32/Shadow.exe Administrators:完全控制
%SystemRoot%/system32/Share.exe Administrators:完全控制
%SystemRoot%/system32/Snmp.exe Administrators:完全控制
%SystemRoot%/system32/Snmptrap.exe Administrators:完全控制
%SystemRoot%/system32/Subst.exe Administrators:完全控制
%SystemRoot%/system32/Telnet.exe Administrators:完全控制
%SystemRoot%/system32/Termsrv.exe Administrators:完全控制
%SystemRoot%/system32/Tftp.exe Administrators:完全控制
%SystemRoot%/system32/Tlntadmin.exe Administrators:完全控制
%SystemRoot%/system32/Tlntsess.exe Administrators:完全控制
%SystemRoot%/system32/Tlntsvr.exe Administrators:完全控制
%SystemRoot%/system32/Tracert.exe Administrators:完全控制
%SystemRoot%/system32/Tree.com Administrators:完全控制
%SystemRoot%/system32/Tsadmin.exe Administrators:完全控制
%SystemRoot%/system32/Tscon.exe Administrators:完全控制
%SystemRoot%/system32/Tsdiscon.exe Administrators:完全控制
%SystemRoot%/system32/Tskill.exe Administrators:完全控制
%SystemRoot%/system32/Tsprof.exe Administrators:完全控制
%SystemRoot%/system32/Tsshutdn.exe Administrators:完全控制
%SystemRoot%/system32/Usrmgr.com Administrators:完全控制
%SystemRoot%/system32/Wscript.exe Administrators:完全控制
%SystemRoot%/system32/Xcopy.exe Administrators:完全控制
7 伺服器作業系統補丁管理
7.1 確定修補程式當前版本狀態
登錄檔中檢視HKLM/Software/Microsoft/Windows Nt/Currentversion/hotfix鍵,可以看到打過的補丁對應的修復程式的知識庫文章編號。
如果已經部署了 Microsoft Systems Management Server (SMS),則其軟體部署功能可用於將修補程式部署到環境中具有 SMS 客戶端的所有計算機,並確認每臺計算機所安裝的補丁程式的當前版本和狀態。
具體操作可以參閱相關的補丁管理規範和流程。
7.2 部署修補程式
可以使用手工執行修補程式的方法安裝,修補程式一般是一個可執行檔案,其名稱表示了修補的資訊。如:Q292435_W2K_SP3_x86_en.EXE。
Q292435 是知識庫文章編號,您可在其中查詢有關該即時修復程式的詳細資訊。
W2K 是它所針對的產品 (Microsoft Windows 2000 Server)
SP3 是將要包括它的 Service Pack。
x86 是它所面向的處理器體系結構。
en 是語言(英語)。
如果安裝了Microsoft Software Update Services (SUS)程式,可以使用SUS集中部署指定範圍(指定域或IP地址範圍)的主機的修補程式。
8 系統審計日誌
應用程式、安全性和系統事件日誌的設定都應在域策略中配置並應用到域中的所有成員伺服器。建議設定日誌大小為10M位元組,配置為不改寫事件。
審計策略應根據以下設定按照具體需要修改:
策略 計算機設定
審計賬戶登入事件 成功,失敗
審計賬戶管理 成功,失敗
審計目錄服務訪問 失敗
審計登入事件 成功,失敗
審計物件訪問 成功,失敗
審計策略更改 成功,失敗
審計特權使用 失敗
審計過程追蹤 無審計
審計系統事件 成功,失敗
限制對應用程式日誌的來賓訪問 啟用
限制對安全日誌的來賓訪問 啟用
限制對系統日誌的來賓訪問 啟用
應用程式日誌的保留方法 不要改寫事件 (手動清除日誌)
安全日誌的保留方法 不要改寫事件 (手動清除日誌)
系統日誌的保留方法 不要改寫事件 (手動清除日誌)
安全審計日誌滿後關閉計算機 未定義
經常使用其做安全性檢查,檢查的內容。
9 其它配置安全
9.1 確保所有的磁碟卷使用NTFS檔案系統
NTFS檔案系統具有更好的安全性, 提供了強大的訪問控制機制。
9.2 系統啟動設定
配置boot.ini,禁止雙重或多重啟動,設定系統啟動等待時間為零。
9.3 螢幕保護設定
設定在10分鐘內主機沒有偵測到任何活動(滑鼠或鍵盤操作),系統將自動啟動螢幕保護,並需要鍵入使用者密碼才能關閉。
9.4 遠端管理訪問要求
對於Windows的遠端管理訪問的安全性至少滿足以下的要求:
1. 對於遠端管理使用者的口令必須滿足相關的口令要求,詳見第三章節的使用者賬號控制,所有的遠端使用者登入嘗試必須被記錄並保留至少180天;
2. 必須使用有效和足夠強度的加密演算法來保護遠端管理訪問中傳輸的資訊;
3. 存取控制保證僅僅只有管理員才能夠做伺服器的遠端管理。遠端管理軟體只接受一個小範圍IP地址的連線;
注意:基於以上的安全要求,要禁止執行Windows的Telnet服務。
10 防病毒管理
依據中國××公司病毒防護管理規範。下面是一些特別要求(基於目前Symantec AntiVirus防病毒軟體環境)。
配置至少每週一次自動的全系統病毒掃描;
配置每天定時自動檢查更新病毒定義檔案;
配置對於不可修復檔案移至“Quarantine”區;
對於發現的病毒則要有相關資訊提示自動的傳送到相關管理人員處。
11 附則
11.1 文件資訊
第一條 本策略由公司資訊保安辦公室制定,並負責解釋和修訂。由公司資訊保安工作組討論通過,釋出執行。
第二條 本策略自發布之日起執行。
11.2 其他資訊
相關文章
- Windows伺服器作業系統安全配置檢查和加固方法Windows伺服器作業系統
- 作業系統的安全配置作業系統
- UNIX作業系統的版本與標準(轉)作業系統
- Asymco:iTunes公司排在了世界500強企業的第130位
- 配置安全的Linux作業系統(轉)Linux作業系統
- 初級安全入門——Windows作業系統的安全加固Windows作業系統
- Windows作業系統Windows作業系統
- 作業系統(一)作業系統歷史:從標準函式庫到雲端計算作業系統函式
- 某世界 500 強銀行資料中臺資料處理流程
- 10分鐘打造完美安全的Windows作業系統Windows作業系統
- Windows作業系統教程Windows作業系統
- 《財富》:世界500強最賺錢公司 蘋果全球第一蘋果
- 世界500強企業高管給女兒的就業忠告(轉載)就業
- 資訊 | 易念科技助力某外資500強企業開展安全意識教育活動
- 推行企業標準資訊系統與標準件
- Windows XP作業系統安全漏洞大搜尋(轉)Windows作業系統
- [俗一下]世界500強公司的面試問題與答案提示 [轉]面試
- 伺服器常用的作業系統伺服器作業系統
- 谷歌Android正成為物聯網標準作業系統谷歌Android作業系統
- AIX作業系統安全加固AI作業系統
- 獲取windows 作業系統下的硬體或作業系統資訊等Windows作業系統
- 作業系統基礎配置作業系統
- 亞信安全伺服器深度安全防護系統中標“世界最長”的城軌網路伺服器
- windows 作業系統映象下載Windows作業系統
- Windows 8 作業系統入門Windows作業系統
- Windows作業系統的基本攻擊方式Windows作業系統
- Windows作業系統的防黑經驗Windows作業系統
- 重新整理WINDOWS作業系統的DNSWindows作業系統DNS
- 淺談linux作業系統的最佳化及安全配置(轉)Linux作業系統
- 如何配置伺服器的系統服務安全伺服器
- 1.6.4.2. 準備作業系統認證作業系統
- 企業CRM系統選型的標準有哪些?
- 國產作業系統如何追趕windows?作業系統Windows
- 計算機重灌Windows作業系統計算機Windows作業系統
- FORBS企業500強ORB
- 如何修改 Windows10 作業系統裡某種檔案型別的預設圖示Windows作業系統型別
- windows作業系統支援的最大記憶體Windows作業系統記憶體
- 在Windows中檢視作業系統的uptimeWindows作業系統