首页 » 系统安全 » Windows » 正文

Windows 2003 系统安全加固配置

未完成,需修订

需加入加固位置截图


1.账户

1.1 管理账户分配

说明:应按照不同的用户分配不同的账号,避免不同用户间共享账号,避免用户账号和设备间通信使用的账号共享。应删除或锁定与设备运行、维护等工作无关的账号。

操作步骤:

开始-运行-compmgmt.msc,在“系统工具->本地用户和组(或直接:开始-运行-lusrmgr.msc)”
注:域控主机无此项。

参考配置:

开始-运行-compmgmt.msc,在“系统工具->本地用户和组(或直接:开始-运行-lusrmgr.msc)”:根据系统的要求,设定不同的账户和账户组,管理员用户,数据库用户,审计用户,来宾用户。删除或锁定不必要的账户。
也可通过net命令(开始-运行-cmd):
删除账号:net user username/de1
      停用账号:net user username/active:no

1.2 管理缺省账户

说明:重命名Administrator;禁用guest(来宾)帐号。

操作步骤:

(1)开始->运行->gpedit.msc(组策略编辑器)->计算机配置->Windows设置->安全设置->本地策略->安全选项-帐户: 重命名管理员帐户->属性->修改管理员账户名。
(2)进入“开始-运行-compmgmt.msc”,在“系统工具->本地用户和组”(或直接:开始-运行-lusrmgr.msc):Guest 帐号->属性->账户已禁用。
注:域控主机无此项。

参考配置:

(1)开始->运行->gpedit.msc(组策略编辑器)->计算机配置->Windows设置->安全设置->本地策略->安全选项-帐户: 重命名管理员帐户->属性->修改管理员账户名。
(2)进入“开始-运行-compmgmt.msc”,在“系统工具->本地用户和组”(或直接:开始-运行-lusrmgr.msc):Guest 帐号->属性->账户已禁用。

2.口令


2.1 密码复杂度

说明:

密码长度要求:最少8位
密码复杂度要求:至少包含以下四种类别的字符中的三种:
英语大写字母 A, B, C, … Z 
英语小写字母 a, b, c, … z 
阿拉伯数字 0, 1, 2, … 9 
非字母数字字符,如标点符号,@, #, $, %, &, *等。

操作步骤:

进入“开始-运行-secpol.msc”,在“帐户策略->密码策略”:
    “密码必须符合复杂性要求”选择“已启动”
    “密码长度最小值”设置为“8”。

参考配置:

(1)	非域环境下:
进入“开始-运行-secpol.msc”,在“帐户策略->密码策略”:
    “密码必须符合复杂性要求”选择“已启动”
    “密码长度最小值”设置为“8”。
(2)	域环境下:
在域控制器上,点击开始->管理工具->域安全策略->windows设置->安全设置,在“帐户策略->密码策略”:“密码必须符合复杂性要求”选择“已启动”,“密码长度最小值”设置为“8”。
域控主机,点击开始->管理工具->域控制器策略->windows设置->安全设置,在“帐户策略->密码策略”:“密码必须符合复杂性要求”选择“已启动”,“密码长度最小值”设置为“8”。

2.2 密码生存期

说明:对于采用静态口令认证技术的设备,帐户口令的生存期不长于90天。

操作步骤:

进入“开始-运行-secpol.msc”,在“帐户策略->密码策略”:“密码最长存留期”设置为“90天”;“密码最短存留期”设置为“7天”。

考配置

(1)	非域环境下:
进入“开始-运行-secpol.msc”,在“帐户策略->密码策略”:“密码最长存留期”设置为“90天”;“密码最短存留期”设置为“7天”。
(2)	域环境下:
在域控制器上,点击开始->管理工具->域安全策略->windows设置->安全设置,在“帐户策略->密码策略”:“密码最长存留期”设置为“90天”;“密码最短存留期”设置为“7天”。
域控主机,在域控制器上,点击开始->管理工具->域控制器安全策略->windows设置->安全设置,在“帐户策略->密码策略”:“密码最长存留期”设置为“90天”;“密码最短存留期”设置为“7天”。

2.3 密码历史

说明:对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令。

操作步骤:

进入“开始-运行-secpol.msc”,在“帐户策略->密码策略”:“强制密码历史”设置为“记住5个密码”。

参考配置:

(1)	非域环境下:
进入“开始-运行-secpol.msc”,在“帐户策略->密码策略”:“强制密码历史”设置为“记住5个密码”。
(2)	域环境下:
在域控制器上,点击开始->管理工具->域安全策略->windows设置->安全设置,在“帐户策略->密码策略”:“强制密码历史”设置为“记住5个密码”。
域控主机,在域控制器上,点击开始->管理工具->域控制器安全策略->windows设置->安全设置,在“帐户策略->密码策略”:“强制密码历史”设置为“记住5个密码”。

2.4 账户锁定策略

说明:对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。

操作步骤:

进入“开始-运行-secpol.msc”,在“帐户策略->帐户锁定策略”:“帐户锁定阈值”设置为6次无效登陆;“帐户锁定时间”设置为30分钟。

参考配置:

(1)	非域环境下:
进入“开始-运行-secpol.msc”,在“帐户策略->帐户锁定策略”:“帐户锁定阈值”设置为6次无效登陆;“帐户锁定时间”设置为30分钟。
(2)	域环境下:
在域控制器上,点击开始->管理工具->域安全策略->windows设置->安全设置,在“帐户策略->账户锁定策略”:“账户锁定阀值”设置为“6次”,设置解锁阈值:30分钟。
域控主机,在域控制器上,点击开始->管理工具->域控制器安全策略->windows设置->安全设置,在“帐户策略->账户锁定策略”:“账户锁定阀值”设置为“6次”,设置解锁阈值:30分钟。

3.授权

3.1 用户权利指派

说明:在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators;本地、远端系统强制关机只指派给Administrators组。

操作步骤:

进入“开始-运行-secpol.msc”,在“本地策略->用户权限分配”:
     “取得文件或其它对象的所有权”设置为“只指派给Administrators组”
     “从远端系统强制关机”设置为“只指派给Administrator组”;
     “关闭系统”设置为“只指派给Administrators组”。

参考配置:

(1)	非域环境下:
开始->运行->secpol.msc,在“本地策略->用户权利指派”:
 “取得文件或其它对象的所有权”设置为“只指派给Administrators组”
 “从远端系统强制关机”设置为“只指派给Administrator组”
“关闭系统”设置为“只指派给Administrators组”。
(2)	域环境下:
在域控制器上,点击开始->管理工具->域安全策略->windows设置->安全设置,在“本地策略->用户权利指派”:
 “取得文件或其它对象的所有权”设置为“只指派给Administrators组”
 “从远端系统强制关机”设置为“只指派给Administrator组”
 “关闭系统”设置为“只指派给Administrators组”。
域控主机,在域控制器上,点击开始->管理工具->域控制器安全策略->windows设置->安全设置,在“本地策略->用户权利指派”:
 “取得文件或其它对象的所有权”设置为“只指派给Administrators组”
 “从远端系统强制关机”设置为“只指派给Administrator组”
 “关闭系统”设置为“只指派给Administrators组”。

3.2 本地及远程登录

说明:在本地安全设置中只允许授权帐号本地、远程访问登陆此计算机。

操作步骤:

进入“开始-运行-secpol.msc”,在“本地策略->用户权限分配”
    “允许本地登录”,检查是否无“Guest”用户
“从网络访问此计算机”,检查是否无“Guest”用户、“Everyone”组。

参考配置:

(1)	非域环境下:
开始->运行->secpol.msc,在“本地策略->用户权利指派”
“允许本地登录”,删除“Guest”用户
“从网络访问此计算机”,删除“Guest”用户、“Everyone”组。
(2)	域环境下:
在域控制器上,点击开始->管理工具->域安全策略->windows设置->安全设置,在“本地策略->用户权利指派”
  “允许本地登录”,删除“Guest”用户
  “从网络访问此计算机”,删除“Guest”用户、“Everyone”组。
域控主机,在域控制器上,点击开始->管理工具->域控制器安全策略->windows设置->安全设置,在“本地策略->用户权利指派”
“允许本地登录”,删除“Guest”用户
“从网络访问此计算机”,删除“Guest”用户、“Everyone”组。
注:从网络访问此计算机删除everyone权限后,无明显权限的用户远程通过\\IP方式访问时,需输入目标主机的用户名及密码,否则可直接访问。

4.补丁

4.1 Service Pack补丁

说明:在不影响业务的情况下,应安装最新的Service Pack补丁集。对服务器系统应先进行兼容性测试。

操作步骤:

“我的电脑”->右键->属性,在常规选项卡中查看,目前:Windows 2003 的Service Pack为SP2。

参考配置:

安装最新的Service Pack 补丁集,目前:Windows 2003 的Service Pack为SP2。

5.防护软件


5.1 Windows防火墙

说明:启用自带防火墙或安装第三方威胁防护软件。根据业务需要限定允许访问网络的应用程序,和允许远程登陆该设备的IP地址范围。

操作步骤:

进入“开始-运行-control ->网络连接->本地连接”,右击“本地连接->属性->高级->设置”,在“Windows防火墙”,勾选“启用(推荐)”,选择“例外”,请将需要接入网络的业务程序添加至例外中。

参考配置:

进入“开始-运行-control ->网络连接->本地连接”,右击“本地连接->属性->高级->设置”,在“Windows防火墙”,勾选“启用(推荐)”,选择“例外”,请将需要接入网络的业务程序添加至例外中。
注:需要将远程桌面、共享、域服务等添加入防火墙例外,否则无法使用。

5.2 防病毒软件

说明:安装防病毒软件,并及时更新。

操作步骤:

根据实际安装的杀毒软件,查看最近更新时间,最近一次更新时间不能超过一个月。

参考配置:

安装防病毒软件,并及时更新。最近一次更新时间不能超过一个月。

6.日志安全


6.1 审核策略

说明:开启审核策略,以便出现安全问题后进行追查。

操作步骤:

进入“开始-运行-secpol.msc->本地策略->审核策略”
“审核登录事件”,设置为成功和失败都审核。
“审核策略更改”,设置为“成功”和“失败”都审核;                        
“审核系统事件”,设置为“成功”和“失败”都审核;
“审核对象访问”,设置为“成功”和“失败”都审核;               
“审核过程追踪”,设置“失败”审核;     
“审核目录服务访问”,设置为“成功”和“失败”都审核;
“审核特权使用”,设置为“成功”和“失败”都审核;
“审核账户管理”,设置为“成功”和“失败”都审核。

参考配置:

(1)	非域环境下:
进入“开始-运行-secpol.msc->本地策略->审核策略”
“审核登录事件”,设置为成功和失败都审核。
“审核策略更改”,设置为“成功”和“失败”都审核;                        
“审核系统事件”,双击,设置为“成功”和“失败”都审核;
“审核对象访问”,设置为“成功”和“失败”都审核;               
“审核过程追踪”,设置“失败”审核;     
“审核目录服务访问”,设置为“成功”和“失败”都审核;
“审核特权使用”,设置为“成功”和“失败”都审核;
“审核账户管理”,设置为“成功”和“失败”都审核。
(2)	域环境下:
在域控制器上,点击开始->管理工具->域安全策略->windows设置->安全设置,本地策略->审核策略”
  “审核登录事件”,设置为“成功”和“失败”都审核。
  “审核策略更改”,设置为“成功”和“失败”都审核
  “审核对象访问”,设置为“成功”和“失败”都审核
  “审核目录服务器访问”,设置为“成功”和“失败”都审核
  “审核特权使用”,设置为“成功”和“失败”都审核
   “审核系统事件”,双击,设置为“成功”和“失败”都审核
  “审核账户管理”,设置为“成功”和“失败”都审核
  “审核过程追踪”,设置“失败”审核。
域控主机,在域控制器上,点击开始->管理工具->域控制器安全策略->windows设置->安全设置,本地策略->审核策略”
  “审核登录事件”,设置为“成功”和“失败”都审核。
  “审核策略更改”,设置为“成功”和“失败”都审核
  “审核对象访问”,设置为“成功”和“失败”都审核
  “审核目录服务器访问”,设置为“成功”和“失败”都审核
  “审核特权使用”,设置为“成功”和“失败”都审核
  “审核系统事件”,双击,设置为“成功”和“失败”都审核
  “审核账户管理”,设置为“成功”和“失败”都审核
  “审核过程追踪”,设置“失败”审核。

6.2 日志存储

说明:设置日志容量和覆盖规则,保证日志存储

操作步骤:

进入“开始-运行-eventvwr->事件查看器(本地)”
    设置“应用日志”、“系统日志”、“安全日志”属性中的日志大小不小于“8192KB” 
    设置当达到最大的日志尺寸时,“按需要覆盖事件”。

参考配置:

开始->运行->compmgmt.msc->系统工具->事件查看器
    设置“应用日志”、“系统日志”、“安全日志”属性中的日志大小不小于“8192KB” 
    设置当达到最大的日志尺寸时,“按需要覆盖事件”。

7.关闭不必要的服务与端口


7.1 关闭服务

说明:关闭不必要的服务。

操作步骤:

进入“开始-运行-compmgmt.msc”,进入“服务和应用程序”,点击“服务”,查看所有服务,在此列表的服务需关闭:
    一般不用开启的服务:NetMeeting Remote Desktop Sharing、Messenger、Remote Registry、Performance Logs And Alerts、Remote Desktop Help Session Manager
    建议关闭的服务:Alerter、Indexing Service、Clipbook、Imapi Cd-burning Com Service、Network DDE、Network DDE DSDM、Routing and Remote Access、(TCP/IP NetBIOS Helper)、Print Spooler、(Workstation)、Error Reporting Service、Application Layer Gateway Service、Uninterruptible Power Supply、Smart Card、(Net Logon) 
注:括号中的服务域主机无需检查。

参考配置:

(1)	非域环境下:
进入“开始-运行-compmgmt.msc”,进入“服务和应用程序”,点击“服务”,查看所有服务,在此列表的服务需关闭:
一般不用开启的服务:NetMeeting Remote Desktop Sharing、Messenger、Remote Registry、Performance Logs And Alerts、Remote Desktop Help Session Manager
    建议关闭的服务:Alerter、Indexing Service、Clipbook、Imapi Cd-burning Com Service、Network DDE、Network DDE DSDM、Routing and Remote Access、TCP/IP NetBIOS Helper、Print Spooler、Workstation、Error Reporting Service、Application Layer Gateway Service、Uninterruptible Power Supply、Smart Card、Net Logon
(2)	域环境下:
进入开始->管理工具->域安全策略->windows设置->安全设置->系统服务,查看所有服务,在此列表的服务需关闭:
一般不用开启的服务:NetMeeting Remote Desktop Sharing、Messenger、Performance Logs And Alerts、Remote Desktop Help Session Manager
建议关闭的服务:Alerter、Indexing Service、Clipbook、Imapi Cd-burning Com Service、Network DDE、Network DDE DSDM、Routing and Remote Access、Print Spooler、Error Reporting Service、Application Layer Gateway Service、Uninterruptible Power Supply、Smart Card
注:Remote Registry:关闭后无法从其它主机通过网络注册表访问,不影响域登录,未明显发现影响域策略下发(关闭服务后,测试更改强制密码历史及关闭系统权限,域策略下发成功)
TCP/IP NetBIOS Helper:关闭后域账户登录显示RPC服务不可用。
workstation:关闭后无法登录到域,无法建立连接,影响局域网共享功能,并导致NetLogon服务无法使用。
Netlogon:依赖于workstation,关闭后无法登录到域。

7.2 SNMP服务

说明:如需启用SNMP服务,则修改默认的SNMP Community String设置。

操作步骤:

进入“开始-运行-compmgmt.msc”,进入“服务和应用程序”,点击“服务”,找到“SNMP Service”,单击右键打开“属性”面板中的“安全”选项卡,在这个配置界面中,可以修改community strings(“团体名称”)不为默认的public。

参考配置:

进入“开始-运行-services.msc”,找到“SNMP Service”,单击右键打开“属性”面板中的“安全”选项卡,在这个配置界面中,可以修改community strings,也就是微软所说的“团体名称”。

7.3 Windows Terminal服务

说明:如对互联网开放WindowsTerminial服务(Remote Desktop),需修改默认服务端口。

操作步骤:

开始->运行->regedt32,查找此项: 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp
找到“PortNumber”子项,使用十六进制数值修改此端口号不为默认的00000D3D,它是3389的十六进制表示形式,并保存新值。

参考配置:

开始->运行->regedt32,查找此项: 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp
找到“PortNumber”子项,会看到默认值00000D3D,它是3389的十六进制表示形式。使用十六进制数值修改此端口号,并保存新值。

7.4 开放端口

说明:应根据业务需要,仅开放必要的端口,其余端口需关闭。

参考配置:

根据列出的必要的端口,从公网确认端口开放情况,关闭不必要的端口。

8.关闭自动播放

8.1 Windows自动播放功能

说明:关闭Windows自动播放功能。

操作步骤:

开始->运行->gpedit.msc,在计算机配置->管理模板->系统中,找到“关闭自动播放”,设置为已启用。

参考配置:

开始->运行->gpedit.msc,在计算机配置->管理模板->系统中,找到“关闭自动播放”,设置为已启用。
注:windows server 2003自动播放无法从域策略上设置。

9共享文件夹


9.1 默认共享

说明:在非域环境下,关闭Windows硬盘默认共享,例如C$,D$。

参考配置:

(1)进入“开始->运行->regedit”,进入注册表编辑器,查找注册表键值:  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters  查看是否存在AutoShareServer,不存在则增加REG_DWORD类型的AutoShareServer键,值为0,关闭硬盘各分区的共享。
(2)查找HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa下的“restrictanonymous”,将键值置为1。
(3)修改完毕,请重启服务器使其生效。
备注:域内主机配置中
AutoShareServer:设0后,Admin$与C$\D$等均关闭,无法从其它主机访问。
AutoShareWks:server03无需修改此键值。
restrictanonymous:修改前后未发现明显影响。

9.2 文件夹访问权限

说明 设置共享文件夹的访问权限,只允许授权的账户拥有权限共享此文件夹。

参考配置:

开始->运行->compmgmt.msc,进入“系统工具->共享文件夹”,查看每个共享文件夹的共享权限:删除“everyone”组。
注:删除everyone后,域主机本地账户可看到共享,但无法访问;未删除时可访问。即如不删除everyone权限,任何可连入网中的用户均可访问该共享。

10.使用NTFS系统


10.1 文件系统

说明:在不毁坏数据的情况下,将FAT分区改为NTFS格式。

参考配置:

将FAT卷转换成NTFS分区,命令如下:
    CONVERT volume /FS:NTFS[/V] [/CvtArea:filename][/NoSecurity] [/X]
        Volume    指定驱动器号(后面加一个冒号)、装载点或卷名
        /FS:    NTFS指定要被转换成NTFS的卷
        /V    指定CONVERT应该用详述模式运行
        /CvtArea: filename将根目录中的一个接续文件指定为NTFS系统文件的占位符
        /NoSecurity 指定每个人都可以访问转换的文件和目录的安全设置
        /X  如果必要,先强行卸载卷,有打开的句柄则无效
例如:Covert C:/FS:NTFS
补充操作说明:
(1)新上线系统必须要求NTFS分区,已上线系统在不损坏数据的情况下应用。
(2)在有其他非WIN系统访问、存在数据共享的情况下,不建议将FAT分区改为NTFS格式。

11会话超时设置


11.1 远程登录账户

说明:对于远程登录的账户,设置不活动所连接时间15分钟。

参考配置:

(1)	非域环境下:
进入“开始-运行-secpol.msc”,在“本地策略->安全选项”:
“Microsoft 网络服务器: 在挂起会话之前所需的空闲时间”设置为15分钟。
(2)	域环境下:
在域控制器上,点击开始->管理工具->域安全策略->windows设置->安全设置,在“本地策略->安全选项”:“Microsoft 网络服务器: 在挂起会话之前所需的空闲时间”设置为15分钟。
域控主机,在域控制器上,点击开始->管理工具->域控制器安全策略->windows设置->安全设置,在“本地策略->安全选项”:“Microsoft 网络服务器: 在挂起会话之前所需的空闲时间”设置为15分钟。

12关闭自动登录


12.1 Windows自动登录

说明:关闭wiondows自动登录。

参考配置:

在“系统-运行”中执行命令regedit打开注册表,修改下述内容:
自动登录:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\之下,将AutoAdminLogon的值设置为0,若该值不存在,可以自己创建,类型为REG_DWORD。

13.启动项


13.1 无效的启动项

说明:关闭无效启动项。

参考配置:

“开始->运行->msconfig”启动菜单中,取消不必要的启动项。

14.网络访问


14.1 匿名访问命名管道及共享

说明:禁用匿名访问命名管道和共享。

参考配置:

(1)	非域环境下:
“开始-运行-secpol.msc”,在“本地策略->安全选项->网络访问:可匿名访问的共享”:设置为全部删除。
“开始-运行-secpol.msc”,在“本地策略->安全选项->网络访问:可匿名访问的命名管道”:设置为全部删除。
(2)	域环境下:
在域控制器上,点击开始->管理工具->域安全策略->windows设置->安全设置,在“本地策略->安全选项->”
      网络访问:可匿名访问的共享”:设置为全部删除。
      网络访问:可匿名访问的命名管道”:设置为全部删除。
域控主机,在域控制器上,点击开始->管理工具->域控制器安全策略->windows设置->安全设置,在“本地策略->安全选项->”
      网络访问:可匿名访问的共享”:设置为全部删除。
      网络访问:可匿名访问的命名管道”:设置为全部删除。

14.2 可远程访问的注册表路径和子路径

说明:禁用可远程访问的注册表路径和子路径。

参考配置:

(1)	非域环境下:
“开始-运行-secpol.msc”,在“本地策略->安全选项->网络访问:可远程访问的注册表路径”:设置为全部删除。
“开始-运行-secpol.msc”,在“本地策略->安全选项->网络访问:可远程访问的注册表路径和子路径”:设置为全部删除。
(2)	域环境下:
在域控制器上,点击开始->管理工具->域安全策略->windows设置->安全设置,在“本地策略->安全选项->”
      网络访问:可远程访问的注册表路径”:设置为全部删除。
      网络访问:可远程访问的注册表路径和子路径”:设置为全部删除。
域控主机,在域控制器上,点击开始->管理工具->域控制器安全策略->windows设置->安全设置,在“本地策略->安全选项->”
      网络访问:可远程访问的注册表路径”:设置为全部删除。
      网络访问:可远程访问的注册表路径和子路径”:设置为全部删除。

发表评论