Windows 安全加固建議書(shū)第 1 頁(yè) 共 20 頁(yè) ,目 錄1 配置標(biāo)準(zhǔn) . .............................................

Windows 安全加固建議書(shū)

第 1 頁(yè) 共 20 頁(yè)

目 錄

1 配置標(biāo)準(zhǔn) . .................................................................................................................................. 3

1.1 組策略管理 . .................................................................................................................. 3

1.1.1 組策略的重要性 . .............................................................................................. 3

1.1.2 組策略的應(yīng)用方式 . .......................................................................................... 3

1.1.3 組策略的實(shí)施 . .................................................................................................. 4

1.2 用戶賬號(hào)控制 . .............................................................................................................. 5

1.2.1 密碼策略 . .......................................................................................................... 5

1.2.2 復(fù)雜性要求 . ...................................................................................................... 5

1.2.3 賬戶鎖定策略 . .................................................................................................. 5

1.2.4 內(nèi)置賬戶安全 . .................................................................................................. 6

1.3 安全選項(xiàng)策略 . .............................................................................................................. 6

1.4 注冊(cè)表安全配置 . .......................................................................................................... 8

1.4.1 針對(duì)網(wǎng)絡(luò)攻擊的安全考慮事項(xiàng) . ...................................................................... 8

1.4.2 禁用文件名的自動(dòng)生成 . .................................................................................. 9

1.4.3 禁用 Lmhash 創(chuàng)建 .......................................................................................... 9

1.4.4 配置 NTLMSSP 安全 ................................................................................... 10

1.4.5 禁用自動(dòng)運(yùn)行功能 . ........................................................................................ 10

1.5 補(bǔ)丁管理 . .................................................................................................................... 11

1.5.1 確定修補(bǔ)程序當(dāng)前版本狀態(tài) . ........................................................................ 11

1.5.2 部署修補(bǔ)程序 . ................................................................................................ 11

1.6 文件/目錄控制 . ........................................................................................................... 11

1.6.1 目錄保護(hù) . ........................................................................................................ 11

1.6.2 文件保護(hù) . ........................................................................................................ 12

1.7 系統(tǒng)審計(jì)日志 . ............................................................................................................ 16

1.8 服務(wù)管理 . .................................................................................................................... 17

1.8.1 成員服務(wù)器 . .................................................................................................... 17

1.8.2 域控制器 . ........................................................................................................ 18

1.9 其它配置安全 . ............................................................................................................ 19

1.9.1 確保所有的磁盤(pán)卷使用NTFS 文件系統(tǒng) ..................................................... 19

1.9.2 系統(tǒng)啟動(dòng)設(shè)置 . ................................................................................................ 19

1.9.3 屏保 . ................................................................................................................ 19

第 2 頁(yè) 共 20 頁(yè)

1 配置標(biāo)準(zhǔn)

1.1 組策略管理

1.1.1 組策略的重要性

Windows 組策略有助于在您的 Active Directory 域中為所有工作站和服務(wù)器實(shí)現(xiàn)安全策略中的技術(shù)建議?？梢詫⒔M策略和 OU 結(jié)構(gòu)結(jié)合使用，為特定服務(wù)器角色定義其特定的安全設(shè)置。

如果使用組策略來(lái)實(shí)現(xiàn)安全設(shè)置，則可以確保對(duì)某一策略進(jìn)行的任何更改都將應(yīng)用到使用該策略的所有服務(wù)器，并且新的服務(wù)器將自動(dòng)獲取新的設(shè)置。

1.1.2 組策略的應(yīng)用方式

一個(gè)用戶或計(jì)算機(jī)對(duì)象可能受多個(gè)組策略對(duì)象（GPO ） 的約束。這些 GPO 按順序應(yīng)用，并且設(shè)置不斷累積，除發(fā)生沖突外，在默認(rèn)情況下，較遲的策略中的設(shè)置將替代較早的策略中的設(shè)置。

第一個(gè)應(yīng)用的策略是本地 GPO ，在本地 GPO 之后，后來(lái)的 GPO 依次在站點(diǎn)、域、父組織單位（OU ） 和子 OU 上應(yīng)用。下圖顯示了每個(gè)策略是如何應(yīng)用的：

第 3 頁(yè) 共 20 頁(yè)

1.1.3 組策略的實(shí)施

在Windows 局域網(wǎng)中實(shí)施安全管理應(yīng)分別從服務(wù)器和工作站兩方面進(jìn)行。首先應(yīng)在服務(wù)器上安裝活動(dòng)目錄服務(wù)，然后在域上實(shí)施組策略；其次應(yīng)將工作站置于服務(wù)器所管理的域中。

? 啟動(dòng)活動(dòng)目錄服務(wù)

在“程序→管理工具→配置服務(wù)器”選項(xiàng)中，選定左邊的“Active Directory”，啟動(dòng)活動(dòng)目錄安裝向?qū)?。將服?wù)器設(shè)置為第一個(gè)域目錄樹(shù)，DNS 域名輸入提供的域名。

? 打開(kāi)組策略控制臺(tái)

啟動(dòng)“Active Directory 目錄和用戶”項(xiàng)，在右面對(duì)象容器樹(shù)中的根目錄上單擊右鍵，然后單擊“屬性”項(xiàng)，在新打開(kāi)的窗口中單擊“組策略”選項(xiàng)卡，即可打開(kāi)組策略控制臺(tái)。

? 創(chuàng)建OU 結(jié)構(gòu)

1) 啟動(dòng) Active Directory 用戶和計(jì)算機(jī)。

2) 右鍵單擊域名，選擇新建，然后選擇組織單位。

3) 鍵入成員服務(wù)器，然后單擊確定。

4) 右鍵單擊成員服務(wù)器，選擇新建，然后選擇組織單位。

5) 鍵入應(yīng)用程序服務(wù)器，然后單擊確定。

6) 針對(duì)文件和打印服務(wù)器、IIS 服務(wù)器和基礎(chǔ)結(jié)構(gòu)服務(wù)器重復(fù)第 5 步和第 6 步。

? 設(shè)置組策略

位于組策略對(duì)象“安全設(shè)置”節(jié)點(diǎn)的容器包括：賬戶策略、本地策略、事件日志、受限組、系統(tǒng)服務(wù)、注冊(cè)表、文件系統(tǒng)、公鑰策略、Active Directory中的網(wǎng)際協(xié)議安全策略等。具體的設(shè)置在本標(biāo)準(zhǔn)的相應(yīng)章節(jié)中詳細(xì)說(shuō)明。

第 4 頁(yè) 共 20 頁(yè)

1.2 用戶賬號(hào)控制

1.2.1 密碼策略

默認(rèn)情況下，將對(duì)域中的所有服務(wù)器強(qiáng)制執(zhí)行一個(gè)標(biāo)準(zhǔn)密碼策略。下表列出了一個(gè)標(biāo)準(zhǔn)密碼策略的設(shè)置以及針對(duì)您的環(huán)境建議的最低設(shè)置。

1.2.2 復(fù)雜性要求

當(dāng)組策略的“密碼必須符合復(fù)雜性要求”設(shè)置啟用后，它要求密碼必須為 6 個(gè)字符長(zhǎng)（但我們建議您將此值設(shè)置為 8 個(gè)字符）。它還要求密碼中必須包含下面類別中至少三個(gè)類別的字符：

? 英語(yǔ)大寫(xiě)字母 A, B, C, … Z ? 英語(yǔ)小寫(xiě)字母 a, b, c, … z ? 西方阿拉伯?dāng)?shù)字 0, 1, 2, … 9 ? 非字母數(shù)字字符，如標(biāo)點(diǎn)符號(hào)

1.2.3 賬戶鎖定策略

有效的賬戶鎖定策略有助于防止攻擊者猜出您賬戶的密碼。下表列出了一個(gè)默認(rèn)賬戶鎖定策略的設(shè)置以及針對(duì)您的環(huán)境推薦的最低設(shè)置。

第 5 頁(yè) 共 20 頁(yè)

? 用戶被賦予唯一的用戶名、用戶ID （UID ）和口令。 ? 用戶名口令長(zhǎng)度規(guī)定。

1.2.4 內(nèi)置賬戶安全

Windows 有幾個(gè)內(nèi)置的用戶賬戶，它們不可刪除，但可以重命名。其中Guest （來(lái)賓）賬戶應(yīng)禁用的，管理員賬戶應(yīng)重命名而且其描述也要更改，以防攻擊者使用已知用戶名破壞一個(gè)遠(yuǎn)程服務(wù)器。

1.3 安全選項(xiàng)策略

域策略中的安全選項(xiàng)應(yīng)根據(jù)以下設(shè)置按照具體需要修改：

第 6 頁(yè) 共 20 頁(yè)

在上面的推薦配置中，下面幾項(xiàng)由于直接影響了域中各服務(wù)器間通訊的方式，可能會(huì)對(duì)服務(wù)器性能有影響。

對(duì)匿名連接的附加限制

默認(rèn)情況下，Windows 允許匿名用戶執(zhí)行某些活動(dòng)，如枚舉域賬戶和網(wǎng)絡(luò)共享區(qū)的名稱。這使得攻擊者無(wú)需用一個(gè)用戶賬戶進(jìn)行身份驗(yàn)證就可以查看遠(yuǎn)程服務(wù)器上的這些賬戶和共享名。為更好地保護(hù)匿名訪問(wèn)，可以配置“沒(méi)

第 7 頁(yè) 共 20 頁(yè)

有顯式匿名權(quán)限就無(wú)法訪問(wèn)”。這樣做的效果是將 Everyone （所有人）組從匿名用戶令牌中刪除。對(duì)服務(wù)器的任何匿名訪問(wèn)都將被禁止，而且對(duì)任何資源都將要求顯式訪問(wèn)。

? LAN Manager 身份驗(yàn)證級(jí)別

Microsoft Windows 9x 和 Windows NT? 操作系統(tǒng)不能使用 Kerberos 進(jìn)行身份驗(yàn)證，所以，在默認(rèn)情況下，在 Windows 2000 域中它們使用 NTLM 協(xié)議進(jìn)行網(wǎng)絡(luò)身份驗(yàn)證。您可以通過(guò)使用 NTLMv2 對(duì) Windows 9x 和 Windows NT 強(qiáng)制執(zhí)行一個(gè)更安全的身份驗(yàn)證協(xié)議。對(duì)于登錄過(guò)程，NTLMv2 引入了一個(gè)安全的通道來(lái)保護(hù)身份驗(yàn)證過(guò)程。

? 在關(guān)機(jī)時(shí)清理虛擬內(nèi)存頁(yè)面交換文件

實(shí)際內(nèi)存中保存的重要信息可以周期性地轉(zhuǎn)儲(chǔ)到頁(yè)面交換文件中。這有助于 Windows 處理多任務(wù)功能。如果啟用此選項(xiàng)，Windows 2000 將在關(guān)機(jī)時(shí)清理頁(yè)面交換文件，將存儲(chǔ)在那里的所有信息清除掉。根據(jù)頁(yè)面交換文件的大小不同，系統(tǒng)可能需要幾分鐘的時(shí)間才能完全關(guān)閉。

? 對(duì)客戶端/服務(wù)器通訊使用數(shù)字簽名

在高度安全的網(wǎng)絡(luò)中實(shí)現(xiàn)數(shù)字簽名有助于防止客戶機(jī)和服務(wù)器被模仿（即所謂“會(huì)話劫持”或“中間人”攻擊）。服務(wù)器消息塊 (SMB) 簽名既可驗(yàn)證用戶身份，又可驗(yàn)證托管數(shù)據(jù)的服務(wù)器的身份。如有任何一方不能通過(guò)身份驗(yàn)證，數(shù)據(jù)傳輸就不能進(jìn)行。在實(shí)現(xiàn)了 SMB 后，為對(duì)服務(wù)器間的每一個(gè)數(shù)據(jù)包進(jìn)行簽名和驗(yàn)證，性能最多會(huì)降低 15。

1.4 注冊(cè)表安全配置

1.4.1 針對(duì)網(wǎng)絡(luò)攻擊的安全考慮事項(xiàng)

有些拒絕服務(wù)攻擊可能會(huì)給 Windows 服務(wù)器上的 TCP/IP 協(xié)議棧造成威脅。這些注冊(cè)表設(shè)置有助于提高 Windows TCP/IP 協(xié)議棧抵御標(biāo)準(zhǔn)類型的拒絕服務(wù)網(wǎng)絡(luò)攻擊的能力。

下面的注冊(cè)表項(xiàng)作為 HKLMSystemCurrentControlSetServicesTcpip|Parameters 的子項(xiàng)添

第 8 頁(yè) 共 20 頁(yè)

加：

1.4.2 禁用文件名的自動(dòng)生成

為與 16 位應(yīng)用程序的向后兼容，Windows 支持 8.3 文件名格式。這意味著攻擊者只需要 8 個(gè)字符即可引用可能有 20 個(gè)字符長(zhǎng)的文件。如果您不再使用 16 位應(yīng)用程序，則可以將此功能關(guān)閉。禁用 NTFS 分區(qū)上的短文件名生成還可以提高目錄枚舉性能。下面的注冊(cè)表項(xiàng)作為 HKLMSystemCurrentControlSetControlFileSystem 的子項(xiàng)添加：

1.4.3 禁用 Lmhash 創(chuàng)建

Windows 服務(wù)器可以驗(yàn)證運(yùn)行任何以前 Windows 版本的計(jì)算機(jī)的身份。然而，以前版本的 Windows 不使用 Kerberos 進(jìn)行身份驗(yàn)證，所以 Windows 支持 Lan Manager (LM)、Windows NT (NTLM) 和 NTLM 版本 2 (NTLMv2)。相比之下，LM 散列運(yùn)算的能力比 NTLM 弱，因而易在猛烈攻

第 9 頁(yè) 共 20 頁(yè)

擊下被攻破。如果您沒(méi)有需要 LM 身份驗(yàn)證的客戶機(jī)，則應(yīng)禁用 LM 散列的存儲(chǔ)。Windows 2000 Service Pack 2 提供了一個(gè)注冊(cè)表設(shè)置以禁用 LM 散列的存儲(chǔ)。

下面的注冊(cè)表項(xiàng)作為 HKLMSYSTEMCurrentControlSetControlLsa 的一個(gè)子項(xiàng)添加：

1.4.4 配置 NTLMSSP 安全

NTLM 安全支持提供程序 (NTLMSSP) 允許您按應(yīng)用程序指定服務(wù)器端網(wǎng)絡(luò)連接的最低必需安全設(shè)置。下面的配置可以確保，如果使用了消息保密但未協(xié)商 128 位加密，則連接將失敗。下面的注冊(cè)表項(xiàng)作為 HKLMSYSTEMCurrentControlSetControlLsaMSV1_0 的一個(gè)子項(xiàng)添加：

1.4.5 禁用自動(dòng)運(yùn)行功能

一旦媒體插入一個(gè)驅(qū)動(dòng)器，自動(dòng)運(yùn)行功能就開(kāi)始從該驅(qū)動(dòng)器讀取數(shù)據(jù)。這樣，程序的安裝文件和音頻媒體上的聲音就可以立即啟動(dòng)。為防止可能有惡意的程序在媒體插入時(shí)就啟動(dòng)，組策略禁用了所有驅(qū)動(dòng)器的自動(dòng)運(yùn)行功能。下面的注冊(cè)表項(xiàng)作為 HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer的一個(gè)子項(xiàng)添加：

第 10 頁(yè) 共 20 頁(yè)