微软Windows操作系统安全加固标准
Windows 安全加固建议书第 1 页 共 20 页 ,目 录1 配置标准 . .............................................
Windows 安全加固建议书
第 1 页 共 20 页
,目 录
1 配置标准 . .................................................................................................................................. 3
1.1 组策略管理 . .................................................................................................................. 3
1.1.1 组策略的重要性 . .............................................................................................. 3
1.1.2 组策略的应用方式 . .......................................................................................... 3
1.1.3 组策略的实施 . .................................................................................................. 4
1.2 用户账号控制 . .............................................................................................................. 5
1.2.1 密码策略 . .......................................................................................................... 5
1.2.2 复杂性要求 . ...................................................................................................... 5
1.2.3 账户锁定策略 . .................................................................................................. 5
1.2.4 内置账户安全 . .................................................................................................. 6
1.3 安全选项策略 . .............................................................................................................. 6
1.4 注册表安全配置 . .......................................................................................................... 8
1.4.1 针对网络攻击的安全考虑事项 . ...................................................................... 8
1.4.2 禁用文件名的自动生成 . .................................................................................. 9
1.4.3 禁用 Lmhash 创建 .......................................................................................... 9
1.4.4 配置 NTLMSSP 安全 ................................................................................... 10
1.4.5 禁用自动运行功能 . ........................................................................................ 10
1.5 补丁管理 . .................................................................................................................... 11
1.5.1 确定修补程序当前版本状态 . ........................................................................ 11
1.5.2 部署修补程序 . ................................................................................................ 11
1.6 文件/目录控制 . ........................................................................................................... 11
1.6.1 目录保护 . ........................................................................................................ 11
1.6.2 文件保护 . ........................................................................................................ 12
1.7 系统审计日志 . ............................................................................................................ 16
1.8 服务管理 . .................................................................................................................... 17
1.8.1 成员服务器 . .................................................................................................... 17
1.8.2 域控制器 . ........................................................................................................ 18
1.9 其它配置安全 . ............................................................................................................ 19
1.9.1 确保所有的磁盘卷使用NTFS 文件系统 ..................................................... 19
1.9.2 系统启动设置 . ................................................................................................ 19
1.9.3 屏保 . ................................................................................................................ 19
第 2 页 共 20 页
,1 配置标准
1.1 组策略管理
1.1.1 组策略的重要性
Windows 组策略有助于在您的 Active Directory 域中为所有工作站和服务器实现安全策略中的技术建议。可以将组策略和 OU 结构结合使用,为特定服务器角色定义其特定的安全设置。
如果使用组策略来实现安全设置,则可以确保对某一策略进行的任何更改都将应用到使用该策略的所有服务器,并且新的服务器将自动获取新的设置。
1.1.2 组策略的应用方式
一个用户或计算机对象可能受多个组策略对象(GPO ) 的约束。这些 GPO 按顺序应用,并且设置不断累积,除发生冲突外,在默认情况下,较迟的策略中的设置将替代较早的策略中的设置。
第一个应用的策略是本地 GPO ,在本地 GPO 之后,后来的 GPO 依次在站点、域、父组织单位(OU ) 和子 OU 上应用。下图显示了每个策略是如何应用的:
第 3 页 共 20 页
,1.1.3 组策略的实施
在Windows 局域网中实施安全管理应分别从服务器和工作站两方面进行。首先应在服务器上安装活动目录服务,然后在域上实施组策略;其次应将工作站置于服务器所管理的域中。
⏹ 启动活动目录服务
在“程序→管理工具→配置服务器”选项中,选定左边的“Active Directory”,启动活动目录安装向导。将服务器设置为第一个域目录树,DNS 域名输入提供的域名。
⏹ 打开组策略控制台
启动“Active Directory 目录和用户”项,在右面对象容器树中的根目录上单击右键,然后单击“属性”项,在新打开的窗口中单击“组策略”选项卡,即可打开组策略控制台。
⏹ 创建OU 结构
1) 启动 Active Directory 用户和计算机。
2) 右键单击域名,选择新建,然后选择组织单位。
3) 键入成员服务器,然后单击确定。
4) 右键单击成员服务器,选择新建,然后选择组织单位。
5) 键入应用程序服务器,然后单击确定。
6) 针对文件和打印服务器、IIS 服务器和基础结构服务器重复第 5 步和第 6 步。
⏹ 设置组策略
位于组策略对象“安全设置”节点的容器包括:账户策略、本地策略、事件日志、受限组、系统服务、注册表、文件系统、公钥策略、Active Directory中的网际协议安全策略等。具体的设置在本标准的相应章节中详细说明。
第 4 页 共 20 页
,1.2 用户账号控制
1.2.1 密码策略
默认情况下,将对域中的所有服务器强制执行一个标准密码策略。下表列出了一个标准密码策略的设置以及针对您的环境建议的最低设置。
1.2.2 复杂性要求
当组策略的“密码必须符合复杂性要求”设置启用后,它要求密码必须为 6 个字符长(但我们建议您将此值设置为 8 个字符)。它还要求密码中必须包含下面类别中至少三个类别的字符:
⏹ 英语大写字母 A, B, C, … Z ⏹ 英语小写字母 a, b, c, … z ⏹ 西方阿拉伯数字 0, 1, 2, … 9 ⏹ 非字母数字字符,如标点符号
1.2.3 账户锁定策略
有效的账户锁定策略有助于防止攻击者猜出您账户的密码。下表列出了一个默认账户锁定策略的设置以及针对您的环境推荐的最低设置。
第 5 页 共 20 页
,⏹ 用户被赋予唯一的用户名、用户ID (UID )和口令。 ⏹ 用户名口令长度规定。
1.2.4 内置账户安全
Windows 有几个内置的用户账户,它们不可删除,但可以重命名。其中Guest (来宾)账户应禁用的,管理员账户应重命名而且其描述也要更改,以防攻击者使用已知用户名破坏一个远程服务器。
1.3 安全选项策略
域策略中的安全选项应根据以下设置按照具体需要修改:
第 6 页 共 20 页
在上面的推荐配置中,下面几项由于直接影响了域中各服务器间通讯的方式,可能会对服务器性能有影响。
对匿名连接的附加限制
默认情况下,Windows 允许匿名用户执行某些活动,如枚举域账户和网络共享区的名称。这使得攻击者无需用一个用户账户进行身份验证就可以查看远程服务器上的这些账户和共享名。为更好地保护匿名访问,可以配置“没
第 7 页 共 20 页
有显式匿名权限就无法访问”。这样做的效果是将 Everyone (所有人)组从匿名用户令牌中删除。对服务器的任何匿名访问都将被禁止,而且对任何资源都将要求显式访问。
⏹ LAN Manager 身份验证级别
Microsoft Windows 9x 和 Windows NT® 操作系统不能使用 Kerberos 进行身份验证,所以,在默认情况下,在 Windows 2000 域中它们使用 NTLM 协议进行网络身份验证。您可以通过使用 NTLMv2 对 Windows 9x 和 Windows NT 强制执行一个更安全的身份验证协议。对于登录过程,NTLMv2 引入了一个安全的通道来保护身份验证过程。
⏹ 在关机时清理虚拟内存页面交换文件
实际内存中保存的重要信息可以周期性地转储到页面交换文件中。这有助于 Windows 处理多任务功能。如果启用此选项,Windows 2000 将在关机时清理页面交换文件,将存储在那里的所有信息清除掉。根据页面交换文件的大小不同,系统可能需要几分钟的时间才能完全关闭。
⏹ 对客户端/服务器通讯使用数字签名
在高度安全的网络中实现数字签名有助于防止客户机和服务器被模仿(即所谓“会话劫持”或“中间人”攻击)。服务器消息块 (SMB) 签名既可验证用户身份,又可验证托管数据的服务器的身份。如有任何一方不能通过身份验证,数据传输就不能进行。在实现了 SMB 后,为对服务器间的每一个数据包进行签名和验证,性能最多会降低 15。
1.4 注册表安全配置
1.4.1 针对网络攻击的安全考虑事项
有些拒绝服务攻击可能会给 Windows 服务器上的 TCP/IP 协议栈造成威胁。这些注册表设置有助于提高 Windows TCP/IP 协议栈抵御标准类型的拒绝服务网络攻击的能力。
下面的注册表项作为 HKLMSystemCurrentControlSetServicesTcpip|Parameters 的子项添
第 8 页 共 20 页
,加:
1.4.2 禁用文件名的自动生成
为与 16 位应用程序的向后兼容,Windows 支持 8.3 文件名格式。这意味着攻击者只需要 8 个字符即可引用可能有 20 个字符长的文件。如果您不再使用 16 位应用程序,则可以将此功能关闭。禁用 NTFS 分区上的短文件名生成还可以提高目录枚举性能。下面的注册表项作为 HKLMSystemCurrentControlSetControlFileSystem 的子项添加:
1.4.3 禁用 Lmhash 创建
Windows 服务器可以验证运行任何以前 Windows 版本的计算机的身份。然而,以前版本的 Windows 不使用 Kerberos 进行身份验证,所以 Windows 支持 Lan Manager (LM)、Windows NT (NTLM) 和 NTLM 版本 2 (NTLMv2)。相比之下,LM 散列运算的能力比 NTLM 弱,因而易在猛烈攻
第 9 页 共 20 页
,击下被攻破。如果您没有需要 LM 身份验证的客户机,则应禁用 LM 散列的存储。Windows 2000 Service Pack 2 提供了一个注册表设置以禁用 LM 散列的存储。
下面的注册表项作为 HKLMSYSTEMCurrentControlSetControlLsa 的一个子项添加:
1.4.4 配置 NTLMSSP 安全
NTLM 安全支持提供程序 (NTLMSSP) 允许您按应用程序指定服务器端网络连接的最低必需安全设置。下面的配置可以确保,如果使用了消息保密但未协商 128 位加密,则连接将失败。下面的注册表项作为 HKLMSYSTEMCurrentControlSetControlLsaMSV1_0 的一个子项添加:
1.4.5 禁用自动运行功能
一旦媒体插入一个驱动器,自动运行功能就开始从该驱动器读取数据。这样,程序的安装文件和音频媒体上的声音就可以立即启动。为防止可能有恶意的程序在媒体插入时就启动,组策略禁用了所有驱动器的自动运行功能。下面的注册表项作为 HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer的一个子项添加:
第 10 页 共 20 页