Windows 安全加固建議書第 1 頁 共 20 頁 ,目 錄1 配置標(biāo)準(zhǔn) . .............................................

Windows 安全加固建議書

第 1 頁 共 20 頁

目 錄

1 配置標(biāo)準(zhǔn) . .................................................................................................................................. 3

1.1 組策略管理 . .................................................................................................................. 3

1.1.1 組策略的重要性 . .............................................................................................. 3

1.1.2 組策略的應(yīng)用方式 . .......................................................................................... 3

1.1.3 組策略的實施 . .................................................................................................. 4

1.2 用戶賬號控制 . .............................................................................................................. 5

1.2.1 密碼策略 . .......................................................................................................... 5

1.2.2 復(fù)雜性要求 . ...................................................................................................... 5

1.2.3 賬戶鎖定策略 . .................................................................................................. 5

1.2.4 內(nèi)置賬戶安全 . .................................................................................................. 6

1.3 安全選項策略 . .............................................................................................................. 6

1.4 注冊表安全配置 . .......................................................................................................... 8

1.4.1 針對網(wǎng)絡(luò)攻擊的安全考慮事項 . ...................................................................... 8

1.4.2 禁用文件名的自動生成 . .................................................................................. 9

1.4.3 禁用 Lmhash 創(chuàng)建 .......................................................................................... 9

1.4.4 配置 NTLMSSP 安全 ................................................................................... 10

1.4.5 禁用自動運行功能 . ........................................................................................ 10

1.5 補丁管理 . .................................................................................................................... 11

1.5.1 確定修補程序當(dāng)前版本狀態(tài) . ........................................................................ 11

1.5.2 部署修補程序 . ................................................................................................ 11

1.6 文件/目錄控制 . ........................................................................................................... 11

1.6.1 目錄保護(hù) . ........................................................................................................ 11

1.6.2 文件保護(hù) . ........................................................................................................ 12

1.7 系統(tǒng)審計日志 . ............................................................................................................ 16

1.8 服務(wù)管理 . .................................................................................................................... 17

1.8.1 成員服務(wù)器 . .................................................................................................... 17

1.8.2 域控制器 . ........................................................................................................ 18

1.9 其它配置安全 . ............................................................................................................ 19

1.9.1 確保所有的磁盤卷使用NTFS 文件系統(tǒng) ..................................................... 19

1.9.2 系統(tǒng)啟動設(shè)置 . ................................................................................................ 19

1.9.3 屏保 . ................................................................................................................ 19

第 2 頁 共 20 頁

1 配置標(biāo)準(zhǔn)

1.1 組策略管理

1.1.1 組策略的重要性

Windows 組策略有助于在您的 Active Directory 域中為所有工作站和服務(wù)器實現(xiàn)安全策略中的技術(shù)建議?？梢詫⒔M策略和 OU 結(jié)構(gòu)結(jié)合使用，為特定服務(wù)器角色定義其特定的安全設(shè)置。

如果使用組策略來實現(xiàn)安全設(shè)置，則可以確保對某一策略進(jìn)行的任何更改都將應(yīng)用到使用該策略的所有服務(wù)器，并且新的服務(wù)器將自動獲取新的設(shè)置。

1.1.2 組策略的應(yīng)用方式

一個用戶或計算機(jī)對象可能受多個組策略對象（GPO ） 的約束。這些 GPO 按順序應(yīng)用，并且設(shè)置不斷累積，除發(fā)生沖突外，在默認(rèn)情況下，較遲的策略中的設(shè)置將替代較早的策略中的設(shè)置。

第一個應(yīng)用的策略是本地 GPO ，在本地 GPO 之后，后來的 GPO 依次在站點、域、父組織單位（OU ） 和子 OU 上應(yīng)用。下圖顯示了每個策略是如何應(yīng)用的：

第 3 頁 共 20 頁

1.1.3 組策略的實施

在Windows 局域網(wǎng)中實施安全管理應(yīng)分別從服務(wù)器和工作站兩方面進(jìn)行。首先應(yīng)在服務(wù)器上安裝活動目錄服務(wù)，然后在域上實施組策略；其次應(yīng)將工作站置于服務(wù)器所管理的域中。

? 啟動活動目錄服務(wù)

在“程序→管理工具→配置服務(wù)器”選項中，選定左邊的“Active Directory”，啟動活動目錄安裝向?qū)?。將服?wù)器設(shè)置為第一個域目錄樹，DNS 域名輸入提供的域名。

? 打開組策略控制臺

啟動“Active Directory 目錄和用戶”項，在右面對象容器樹中的根目錄上單擊右鍵，然后單擊“屬性”項，在新打開的窗口中單擊“組策略”選項卡，即可打開組策略控制臺。

? 創(chuàng)建OU 結(jié)構(gòu)

1) 啟動 Active Directory 用戶和計算機(jī)。

2) 右鍵單擊域名，選擇新建，然后選擇組織單位。

3) 鍵入成員服務(wù)器，然后單擊確定。

4) 右鍵單擊成員服務(wù)器，選擇新建，然后選擇組織單位。

5) 鍵入應(yīng)用程序服務(wù)器，然后單擊確定。

6) 針對文件和打印服務(wù)器、IIS 服務(wù)器和基礎(chǔ)結(jié)構(gòu)服務(wù)器重復(fù)第 5 步和第 6 步。

? 設(shè)置組策略

位于組策略對象“安全設(shè)置”節(jié)點的容器包括：賬戶策略、本地策略、事件日志、受限組、系統(tǒng)服務(wù)、注冊表、文件系統(tǒng)、公鑰策略、Active Directory中的網(wǎng)際協(xié)議安全策略等。具體的設(shè)置在本標(biāo)準(zhǔn)的相應(yīng)章節(jié)中詳細(xì)說明。

第 4 頁 共 20 頁

1.2 用戶賬號控制

1.2.1 密碼策略

默認(rèn)情況下，將對域中的所有服務(wù)器強(qiáng)制執(zhí)行一個標(biāo)準(zhǔn)密碼策略。下表列出了一個標(biāo)準(zhǔn)密碼策略的設(shè)置以及針對您的環(huán)境建議的最低設(shè)置。

1.2.2 復(fù)雜性要求

當(dāng)組策略的“密碼必須符合復(fù)雜性要求”設(shè)置啟用后，它要求密碼必須為 6 個字符長（但我們建議您將此值設(shè)置為 8 個字符）。它還要求密碼中必須包含下面類別中至少三個類別的字符：

? 英語大寫字母 A, B, C, … Z ? 英語小寫字母 a, b, c, … z ? 西方阿拉伯?dāng)?shù)字 0, 1, 2, … 9 ? 非字母數(shù)字字符，如標(biāo)點符號

1.2.3 賬戶鎖定策略

有效的賬戶鎖定策略有助于防止攻擊者猜出您賬戶的密碼。下表列出了一個默認(rèn)賬戶鎖定策略的設(shè)置以及針對您的環(huán)境推薦的最低設(shè)置。

第 5 頁 共 20 頁

? 用戶被賦予唯一的用戶名、用戶ID （UID ）和口令。 ? 用戶名口令長度規(guī)定。

1.2.4 內(nèi)置賬戶安全

Windows 有幾個內(nèi)置的用戶賬戶，它們不可刪除，但可以重命名。其中Guest （來賓）賬戶應(yīng)禁用的，管理員賬戶應(yīng)重命名而且其描述也要更改，以防攻擊者使用已知用戶名破壞一個遠(yuǎn)程服務(wù)器。

1.3 安全選項策略

域策略中的安全選項應(yīng)根據(jù)以下設(shè)置按照具體需要修改：

第 6 頁 共 20 頁

在上面的推薦配置中，下面幾項由于直接影響了域中各服務(wù)器間通訊的方式，可能會對服務(wù)器性能有影響。

對匿名連接的附加限制

默認(rèn)情況下，Windows 允許匿名用戶執(zhí)行某些活動，如枚舉域賬戶和網(wǎng)絡(luò)共享區(qū)的名稱。這使得攻擊者無需用一個用戶賬戶進(jìn)行身份驗證就可以查看遠(yuǎn)程服務(wù)器上的這些賬戶和共享名。為更好地保護(hù)匿名訪問，可以配置“沒

第 7 頁 共 20 頁

有顯式匿名權(quán)限就無法訪問”。這樣做的效果是將 Everyone （所有人）組從匿名用戶令牌中刪除。對服務(wù)器的任何匿名訪問都將被禁止，而且對任何資源都將要求顯式訪問。

? LAN Manager 身份驗證級別

Microsoft Windows 9x 和 Windows NT? 操作系統(tǒng)不能使用 Kerberos 進(jìn)行身份驗證，所以，在默認(rèn)情況下，在 Windows 2000 域中它們使用 NTLM 協(xié)議進(jìn)行網(wǎng)絡(luò)身份驗證。您可以通過使用 NTLMv2 對 Windows 9x 和 Windows NT 強(qiáng)制執(zhí)行一個更安全的身份驗證協(xié)議。對于登錄過程，NTLMv2 引入了一個安全的通道來保護(hù)身份驗證過程。

? 在關(guān)機(jī)時清理虛擬內(nèi)存頁面交換文件

實際內(nèi)存中保存的重要信息可以周期性地轉(zhuǎn)儲到頁面交換文件中。這有助于 Windows 處理多任務(wù)功能。如果啟用此選項，Windows 2000 將在關(guān)機(jī)時清理頁面交換文件，將存儲在那里的所有信息清除掉。根據(jù)頁面交換文件的大小不同，系統(tǒng)可能需要幾分鐘的時間才能完全關(guān)閉。

? 對客戶端/服務(wù)器通訊使用數(shù)字簽名

在高度安全的網(wǎng)絡(luò)中實現(xiàn)數(shù)字簽名有助于防止客戶機(jī)和服務(wù)器被模仿（即所謂“會話劫持”或“中間人”攻擊）。服務(wù)器消息塊 (SMB) 簽名既可驗證用戶身份，又可驗證托管數(shù)據(jù)的服務(wù)器的身份。如有任何一方不能通過身份驗證，數(shù)據(jù)傳輸就不能進(jìn)行。在實現(xiàn)了 SMB 后，為對服務(wù)器間的每一個數(shù)據(jù)包進(jìn)行簽名和驗證，性能最多會降低 15。

1.4 注冊表安全配置

1.4.1 針對網(wǎng)絡(luò)攻擊的安全考慮事項

有些拒絕服務(wù)攻擊可能會給 Windows 服務(wù)器上的 TCP/IP 協(xié)議棧造成威脅。這些注冊表設(shè)置有助于提高 Windows TCP/IP 協(xié)議棧抵御標(biāo)準(zhǔn)類型的拒絕服務(wù)網(wǎng)絡(luò)攻擊的能力。

下面的注冊表項作為 HKLMSystemCurrentControlSetServicesTcpip|Parameters 的子項添

第 8 頁 共 20 頁

加：

1.4.2 禁用文件名的自動生成

為與 16 位應(yīng)用程序的向后兼容，Windows 支持 8.3 文件名格式。這意味著攻擊者只需要 8 個字符即可引用可能有 20 個字符長的文件。如果您不再使用 16 位應(yīng)用程序，則可以將此功能關(guān)閉。禁用 NTFS 分區(qū)上的短文件名生成還可以提高目錄枚舉性能。下面的注冊表項作為 HKLMSystemCurrentControlSetControlFileSystem 的子項添加：

1.4.3 禁用 Lmhash 創(chuàng)建

Windows 服務(wù)器可以驗證運行任何以前 Windows 版本的計算機(jī)的身份。然而，以前版本的 Windows 不使用 Kerberos 進(jìn)行身份驗證，所以 Windows 支持 Lan Manager (LM)、Windows NT (NTLM) 和 NTLM 版本 2 (NTLMv2)。相比之下，LM 散列運算的能力比 NTLM 弱，因而易在猛烈攻

第 9 頁 共 20 頁

擊下被攻破。如果您沒有需要 LM 身份驗證的客戶機(jī)，則應(yīng)禁用 LM 散列的存儲。Windows 2000 Service Pack 2 提供了一個注冊表設(shè)置以禁用 LM 散列的存儲。

下面的注冊表項作為 HKLMSYSTEMCurrentControlSetControlLsa 的一個子項添加：

1.4.4 配置 NTLMSSP 安全

NTLM 安全支持提供程序 (NTLMSSP) 允許您按應(yīng)用程序指定服務(wù)器端網(wǎng)絡(luò)連接的最低必需安全設(shè)置。下面的配置可以確保，如果使用了消息保密但未協(xié)商 128 位加密，則連接將失敗。下面的注冊表項作為 HKLMSYSTEMCurrentControlSetControlLsaMSV1_0 的一個子項添加：

1.4.5 禁用自動運行功能

一旦媒體插入一個驅(qū)動器，自動運行功能就開始從該驅(qū)動器讀取數(shù)據(jù)。這樣，程序的安裝文件和音頻媒體上的聲音就可以立即啟動。為防止可能有惡意的程序在媒體插入時就啟動，組策略禁用了所有驅(qū)動器的自動運行功能。下面的注冊表項作為 HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer的一個子項添加：

第 10 頁 共 20 頁