操作系統(tǒng)和數(shù)據(jù)庫(kù)安全策略作業(yè)指導(dǎo)書(shū)-信息技術(shù)管理制度.doc

China Advanced Construction Materials Group信息技術(shù)管理制度版 本 頁(yè)標(biāo) 題：China Advanced Construction Materials Group信息技術(shù)管理制度主 題：操作系統(tǒng)和數(shù)據(jù)庫(kù)安全策略作業(yè)指導(dǎo)書(shū)文檔編號(hào)：版本說(shuō)明：版本號(hào)版本日期作者備注 V1.0創(chuàng)建V1.0審批操作系統(tǒng)和數(shù)據(jù)庫(kù)安全策略作業(yè)指導(dǎo)書(shū)版 本 頁(yè)1操作系統(tǒng)和數(shù)據(jù)庫(kù)安全策略作業(yè)指導(dǎo)書(shū)21.防火墻配置基準(zhǔn)32.數(shù)據(jù)庫(kù)配置基準(zhǔn)42.1.SQL Server 2000/2008數(shù)據(jù)庫(kù)安全配置標(biāo)準(zhǔn)42.1.1安裝數(shù)據(jù)庫(kù)的主機(jī)要求42.1.2數(shù)據(jù)庫(kù)補(bǔ)丁安裝標(biāo)準(zhǔn)42.1.3存儲(chǔ)過(guò)程配置標(biāo)準(zhǔn)42.1.4數(shù)據(jù)庫(kù)口令安全配置標(biāo)準(zhǔn)52.1.5目錄和文件安全標(biāo)準(zhǔn)52.1.6數(shù)據(jù)庫(kù)網(wǎng)絡(luò)服務(wù)配置標(biāo)準(zhǔn)62.1.7數(shù)據(jù)庫(kù)審計(jì)配置標(biāo)準(zhǔn)73.操作系統(tǒng)配置基準(zhǔn)83.1.Windows2000系統(tǒng)安全配置標(biāo)準(zhǔn)83.1.1系統(tǒng)補(bǔ)丁安裝標(biāo)準(zhǔn)83.1.2賬號(hào)和口令安全配置標(biāo)準(zhǔn)83.1.3目錄和文件權(quán)限控制標(biāo)準(zhǔn)113.1.4網(wǎng)絡(luò)與服務(wù)配置標(biāo)準(zhǔn)173.1.5安全選項(xiàng)配置標(biāo)準(zhǔn)203.1.6日志與審計(jì)配置標(biāo)準(zhǔn)213.1.7其它安全配置參考223.2.Windows XP 安全配置標(biāo)準(zhǔn)233.2.1系統(tǒng)補(bǔ)丁安裝標(biāo)準(zhǔn)233.2.2安全中心配置標(biāo)準(zhǔn)243.2.3“密碼策略”配置要求253.2.4服務(wù)管理配置標(biāo)準(zhǔn)273.2.5安全審計(jì)配置標(biāo)準(zhǔn)303.2.6其它安全配置參考313.3.Windows2003安全配置標(biāo)準(zhǔn)323.3.1系統(tǒng)補(bǔ)丁安裝標(biāo)準(zhǔn)323.3.2補(bǔ)丁安裝的原則333.3.3賬號(hào)和口令安全配置標(biāo)準(zhǔn)333.3.4服務(wù)管理配置標(biāo)準(zhǔn)353.3.5安全選項(xiàng)配置標(biāo)準(zhǔn)363.3.6安全審計(jì)配置標(biāo)準(zhǔn)383.3.7其它安全配置參考381. 防火墻配置基準(zhǔn)1、 防火墻的缺省包過(guò)濾規(guī)則為允許，在調(diào)試過(guò)程完成，測(cè)試結(jié)束后，一定要將防火墻的默認(rèn)允許，改為禁止。2、 若防火墻的默認(rèn)規(guī)則為全通的規(guī)則，請(qǐng)刪除默認(rèn)的安全規(guī)則，然后按照網(wǎng)絡(luò)實(shí)際環(huán)境配置相應(yīng)的安全規(guī)則，并且盡量不要設(shè)置地址和服務(wù)有ANY的規(guī)則，3、 為了有效保護(hù)內(nèi)網(wǎng)與防火墻自身的抗攻擊能力，可以打開(kāi)防火墻的抗攻擊功能，（建議在網(wǎng)絡(luò)流量大的情況下不會(huì)開(kāi)此功能，會(huì)影響網(wǎng)絡(luò)的處理速度）4、 為了有效的保護(hù)內(nèi)部的網(wǎng)絡(luò)地址，并解決網(wǎng)絡(luò)地址不足的問(wèn)題，請(qǐng)盡量使用防火墻的功能，把內(nèi)網(wǎng)的IP地址轉(zhuǎn)換成防火墻的公網(wǎng)地址后再訪問(wèn)外部網(wǎng)絡(luò)。5、 為了保證防火墻本身的主機(jī)安全，不要隨意開(kāi)啟防火墻的遠(yuǎn)程管理功能，建議使用WEB+HTTPS+密鑰等有效的管理方法。6、 為了分析防火墻的數(shù)據(jù)包記錄日志，應(yīng)將防火墻的包過(guò)濾日志信息記錄下來(lái)，用于對(duì)事件分析。2. 數(shù)據(jù)庫(kù)配置基準(zhǔn)2.1. SQL Server 2000/2008數(shù)據(jù)庫(kù)安全配置標(biāo)準(zhǔn)2.1.1 安裝數(shù)據(jù)庫(kù)的主機(jī)要求l 主機(jī)應(yīng)當(dāng)專(zhuān)門(mén)用于數(shù)據(jù)庫(kù)的安裝和使用l 數(shù)據(jù)庫(kù)主機(jī)避免安裝在域控制器上l 主機(jī)操作系統(tǒng)層面應(yīng)當(dāng)保證安全：n SQL Server 2000/2008數(shù)據(jù)庫(kù)需要安裝在Windows Server系統(tǒng)上n 數(shù)據(jù)庫(kù)軟件安裝之前，應(yīng)當(dāng)保證主機(jī)操作系統(tǒng)層面的安全n 需要對(duì)主機(jī)進(jìn)行安全設(shè)置n 補(bǔ)丁更新n 防病毒軟件安裝2.1.2 數(shù)據(jù)庫(kù)補(bǔ)丁安裝標(biāo)準(zhǔn)在新安裝或者重新安裝的數(shù)據(jù)庫(kù)系統(tǒng)上，必須安裝最新的Service Pack類(lèi)補(bǔ)丁。2.1.3 存儲(chǔ)過(guò)程配置標(biāo)準(zhǔn)應(yīng)刪除SQL server中無(wú)用的存儲(chǔ)過(guò)程，這些存儲(chǔ)過(guò)程極容易被攻擊者利用，攻擊數(shù)據(jù)庫(kù)系統(tǒng)。刪除的存儲(chǔ)過(guò)程包括：n xp_cmdshelln xp_regaddmultistringn xp_regdeletekeyn xp_regdeletevaluen xp_regenumvaluesn xp_regreadn xp_regremovemultistrinn xp_regwriten xp_sendmail注意：刪除存儲(chǔ)過(guò)程要慎重，需要測(cè)試哪些存儲(chǔ)過(guò)程是數(shù)據(jù)庫(kù)實(shí)例所需要的。2.1.4 數(shù)據(jù)庫(kù)口令安全配置標(biāo)準(zhǔn)SQL Server 2000/2008有兩種登錄驗(yàn)證方式：一是通過(guò)操作系統(tǒng)賬號(hào)登錄，另一個(gè)是通過(guò)數(shù)據(jù)庫(kù)賬戶進(jìn)行登錄驗(yàn)證。由于應(yīng)用的需要，大多數(shù)據(jù)庫(kù)安裝選擇兩種驗(yàn)證的混合方式，其中sa為SQL Server 2000/2008內(nèi)置的數(shù)據(jù)庫(kù)賬戶，需要為sa賬戶密碼的復(fù)雜強(qiáng)度進(jìn)行設(shè)置。另外，應(yīng)用系統(tǒng)可能還會(huì)建立普通的賬戶，擁有特定數(shù)據(jù)庫(kù)的存取權(quán)限，對(duì)于普通賬戶，也要設(shè)置強(qiáng)壯的密碼。 密碼復(fù)雜性配置要求l 密碼長(zhǎng)度至少為6位l 必須為sa賬戶和普通賬戶提供復(fù)雜的口令，需要包含以下字符：n 英語(yǔ)大寫(xiě)字母 A, B, C, Z n 英語(yǔ)小寫(xiě)字母 a, b, c, z n 西方阿拉伯?dāng)?shù)字 0, 1, 2, 9 n 非字母數(shù)字字符，如標(biāo)點(diǎn)符號(hào)，, #, $, %, &, *等 禁用guest賬戶在操作系統(tǒng)層面禁用guest賬戶。2.1.5 目錄和文件安全標(biāo)準(zhǔn) 數(shù)據(jù)庫(kù)安裝文件系統(tǒng)要求數(shù)據(jù)庫(kù)軟件應(yīng)當(dāng)安裝在NTFS分區(qū)的文件系統(tǒng)上。 目錄保護(hù)配置要求受保護(hù)的目錄如下表所示：保護(hù)的目錄應(yīng)用的權(quán)限X:Program FilesMicrosoft SQL ServerAdministrators：完全控制System：完全控制Authenticated Users：讀取和執(zhí)行、列出文件夾內(nèi)容、讀取Users:讀取及運(yùn)行、列出文件夾目錄X代表磁盤(pán)符號(hào)，如C盤(pán)。 初始安裝文件刪除要求安裝完數(shù)據(jù)庫(kù)系統(tǒng)，應(yīng)當(dāng)刪除安裝日志文件。文件名目錄setup.issX:Program FilesMicrosoft SQL ServerInstallsqlstp.logX:Program FilesMicrosoft SQL ServerInstallsqlsp.logX:Program FilesMicrosoft SQL ServerInstall2.1.6 數(shù)據(jù)庫(kù)網(wǎng)絡(luò)服務(wù)配置標(biāo)準(zhǔn) 數(shù)據(jù)庫(kù)在網(wǎng)絡(luò)的位置在多層應(yīng)用中，數(shù)據(jù)庫(kù)應(yīng)當(dāng)與業(yè)務(wù)邏輯層和前端展示層分離，并且要求在業(yè)務(wù)邏輯層和數(shù)據(jù)庫(kù)之間設(shè)置訪問(wèn)控制列表(ACL)，只允許業(yè)務(wù)邏輯層的主機(jī)訪問(wèn)數(shù)據(jù)庫(kù)監(jiān)聽(tīng)端口(TCP1433)。 數(shù)據(jù)庫(kù)使用的網(wǎng)絡(luò)協(xié)議SQL Server 2000/2008支持多個(gè)網(wǎng)絡(luò)協(xié)議，TCP/IP、IPX/SPX、命名管道、AppleTalk等。配置只啟用TCP/IP網(wǎng)絡(luò)協(xié)議，禁用其他協(xié)議。圖：SQL Server 網(wǎng)絡(luò)實(shí)用程序 數(shù)據(jù)庫(kù)使用的端口當(dāng)SQL Server 2000/2008支持TCP/IP網(wǎng)絡(luò)協(xié)議后，數(shù)據(jù)庫(kù)監(jiān)聽(tīng)如下端口：端口協(xié)議安全配置說(shuō)明1433TCP開(kāi)放客戶端連接端口1434UDP通過(guò)防火墻等設(shè)備進(jìn)行屏蔽數(shù)據(jù)庫(kù)發(fā)現(xiàn)端口 數(shù)據(jù)庫(kù)服務(wù)配置標(biāo)準(zhǔn)SQL Server 2000/2008提供的服務(wù)：服務(wù)名稱(chēng)安全配置說(shuō)明SQL Server啟用數(shù)據(jù)庫(kù)引擎服務(wù)，必須啟用SQL Server Agent禁用數(shù)據(jù)庫(kù)代理服務(wù)Microsoft Search禁用全文搜索服務(wù)MSDTC(Distributed Transaction Coordinator)除非在集群環(huán)境下或者數(shù)據(jù)庫(kù)復(fù)制，否則禁用服務(wù)分布事物進(jìn)程2.1.7 數(shù)據(jù)庫(kù)審計(jì)配置標(biāo)準(zhǔn)數(shù)據(jù)庫(kù)的默認(rèn)安裝不開(kāi)任何安全審核，在審核級(jí)別設(shè)置登錄失敗審核。3. 操作系統(tǒng)配置基準(zhǔn)3.1. Windows2000系統(tǒng)安全配置標(biāo)準(zhǔn)3.1.1 系統(tǒng)補(bǔ)丁安裝標(biāo)準(zhǔn) Windows 2000的與安全相關(guān)的補(bǔ)丁大致分三類(lèi)：l Service Pack（補(bǔ)丁包）： Service Pack 是經(jīng)過(guò)測(cè)試的所有修復(fù)程序、安全更新程序、關(guān)鍵更新程序以及更新程序的累積的集合。 Service Pack 還可能包含自產(chǎn)品發(fā)布以來(lái)針對(duì)內(nèi)部發(fā)現(xiàn)的問(wèn)題的其他修復(fù)以及設(shè)計(jì)上的更改或功能上的增加。Service Pack補(bǔ)丁包涵蓋了自發(fā)布之前的所有補(bǔ)丁，是重要的補(bǔ)丁集合。l Security Patch（安全補(bǔ)丁）：Security Patch是針對(duì)特定問(wèn)題廣泛發(fā)布的修復(fù)程序，用于修復(fù)特定產(chǎn)品的與安全相關(guān)的漏洞。Microsoft在發(fā)布的安全公告中將Security Patch分級(jí)為嚴(yán)重、重要、中等、低四個(gè)等級(jí)。嚴(yán)重的安全補(bǔ)丁缺失，會(huì)造成蠕蟲(chóng)快速傳播(如振蕩波，沖擊波)，對(duì)系統(tǒng)本身和網(wǎng)絡(luò)造成重大影響，這類(lèi)補(bǔ)丁需要及時(shí)應(yīng)用到操作系統(tǒng)。l Hotfix(修補(bǔ)程序)：Hotfix是針對(duì)某一個(gè)具體的系統(tǒng)漏洞或安全問(wèn)題而發(fā)布的專(zhuān)門(mén)解決該漏洞或安全問(wèn)題的小程序，通常稱(chēng)為修補(bǔ)程序，如果在最近發(fā)布的Service Pack后面，出現(xiàn)安全方面的漏洞，通常對(duì)應(yīng)的補(bǔ)丁會(huì)以Hotfix修補(bǔ)程序的形式發(fā)布。 補(bǔ)丁安裝的原則：l 新安裝或者重新安裝windows 2000操作系統(tǒng)，必須安裝最新的Service Pack補(bǔ)丁集。l 必須安裝等級(jí)為嚴(yán)重和重要的Security Patch。l 有關(guān)安全方面的Hotfixes補(bǔ)丁應(yīng)當(dāng)及時(shí)安裝。l 安裝補(bǔ)丁不要留副本。注意：補(bǔ)丁更新要慎重，可能出現(xiàn)硬件不兼容，或者影響當(dāng)前的應(yīng)用系統(tǒng)，安裝補(bǔ)丁之前要經(jīng)過(guò)測(cè)試和驗(yàn)證。3.1.2 賬號(hào)和口令安全配置標(biāo)準(zhǔn) “密碼策略”配置要求通過(guò)“本地安全策略”調(diào)整默認(rèn)的“密碼策略”，提高系統(tǒng)的安全水平，“密碼策略”中各選項(xiàng)的具體要求如下表列舉：策略默認(rèn)設(shè)置安全設(shè)置強(qiáng)制執(zhí)行密碼歷史記錄記住 1 個(gè)密碼記住 4個(gè)密碼密碼最長(zhǎng)期限42 天42 天密碼最短期限0 天7 天最短密碼長(zhǎng)度0 個(gè)字符6 個(gè)字符密碼必須符合復(fù)雜性要求禁用啟用為域中所有用戶使用可還原的加密來(lái)儲(chǔ)存密碼禁用禁用“密碼策略”的設(shè)置步驟如下圖：進(jìn)入“控制面板/管理工具/本地安全策略”，在“賬戶策略-密碼策略”。 密碼復(fù)雜性配置要求在“密碼策略”中 “密碼必須符合復(fù)雜性要求”選項(xiàng)啟動(dòng)后，系統(tǒng)將強(qiáng)制要求密碼的設(shè)置具備一定的強(qiáng)壯度，要求密碼至少包含以下四種類(lèi)別的字符：l 英語(yǔ)大寫(xiě)字母 A, B, C, Z l 英語(yǔ)小寫(xiě)字母 a, b, c, z l 西方阿拉伯?dāng)?shù)字 0, 1, 2, 9 l 非字母數(shù)字字符，如標(biāo)點(diǎn)符號(hào)，, #, $, %, &, *等 賬號(hào)安全控制要求.1 “賬戶鎖定策略”配置要求有效的賬號(hào)鎖定策略有助于防止攻擊者猜出您賬號(hào)對(duì)應(yīng)的密碼。要求按照下表要求調(diào)整“賬戶鎖定策略”：策略默認(rèn)設(shè)置安全設(shè)置賬戶鎖定時(shí)間未定義30 分鐘賬戶鎖定閾值05 次無(wú)效登錄復(fù)位賬戶鎖定計(jì)數(shù)器未定義30 分鐘之后賬號(hào)鎖定配置具體操作如下圖：進(jìn)入“控制面板/管理工具/本地安全策略”，在“賬戶策略-賬戶鎖定策略”。.2 系統(tǒng)內(nèi)置賬號(hào)管理要求Windows2000系統(tǒng)中存在不可刪除的內(nèi)置賬號(hào)，包括Administrator和guest。對(duì)于管理員賬號(hào)，要求更改缺省賬戶名稱(chēng)，對(duì)隸屬于Administrators組的賬號(hào)要嚴(yán)格監(jiān)控；要求禁用guest（來(lái)賓）賬號(hào)，以防止攻擊者通過(guò)利用已知的用戶名破壞遠(yuǎn)程服務(wù)器。.3 其它賬號(hào)管理要求臨時(shí)的測(cè)試賬號(hào)和過(guò)期的無(wú)用賬號(hào)應(yīng)該在3個(gè)工作日內(nèi)及時(shí)刪除。（注：測(cè)試賬號(hào)和無(wú)用賬號(hào)不是系統(tǒng)默認(rèn)安裝時(shí)生成的，是系統(tǒng)操作過(guò)程中人為新增的賬號(hào)，從系統(tǒng)安全加固的角度來(lái)看，此類(lèi)賬號(hào)應(yīng)該及時(shí)刪除。）3.1.3 目錄和文件權(quán)限控制標(biāo)準(zhǔn)權(quán)限控制遵循以下幾個(gè)原則： 權(quán)限是累計(jì)的 拒絕的權(quán)限要比允許的權(quán)限高 文件權(quán)限比文件夾權(quán)限高。 目錄保護(hù)配置要求要求按照下表內(nèi)容對(duì)受保護(hù)的目錄權(quán)限進(jìn)行設(shè)置，缺省情況下，Administrators組和SYSTEM具有完全控制的權(quán)限，Everyone組具有讀取及運(yùn)行的權(quán)限，對(duì)于多個(gè)賬戶使用一臺(tái)主機(jī)，要求根據(jù)具體情況對(duì)重要的文件目錄進(jìn)行賬戶權(quán)限的設(shè)置，如下圖：注：下圖為目錄權(quán)限設(shè)置的示例，為C:WINNTsystem32目錄的設(shè)置，在實(shí)際服務(wù)器上進(jìn)行設(shè)置時(shí)，需要嚴(yán)格檢查重要目錄以及對(duì)應(yīng)的賬戶權(quán)限設(shè)置。建議進(jìn)行權(quán)限設(shè)置保護(hù)的重要目錄列表：保護(hù)的目錄應(yīng)用的權(quán)限%systemdrive%Administrators：完全控制System：完全控制Authenticated Users：讀取和執(zhí)行、列出文件夾內(nèi)容、讀取%SystemRoot%Repair%SystemRoot%Security%SystemRoot%Temp%SystemRoot%system32Config%SystemRoot%system32LogfilesAdministrators：完全控制Creator/Owner：完全控制System：完全控制%systemdrive%InetpubAdministrators：完全控制System：完全控制Everyone：讀取和執(zhí)行、列出文件夾內(nèi)容、讀取%SystemRoot% 定義了 Windows 系統(tǒng)文件所在的路徑和文件夾名，%SystemDrive% 定義了包含 %systemroot% 的驅(qū)動(dòng)器。 文件保護(hù)配置要求要求根據(jù)下表對(duì)系統(tǒng)的敏感文件的權(quán)限進(jìn)行修改，以避免文件被惡意用戶執(zhí)行：缺省情況下，這些文件的安全設(shè)置屬性為：用戶組權(quán)限Administrators完全控制System完全控制Everyone讀取及運(yùn)行Users讀取及運(yùn)行對(duì)于Administrator管理員組和System組，缺省的權(quán)限設(shè)置已經(jīng)為完全控制，不需要更改，對(duì)于普通賬戶的讀取及運(yùn)行權(quán)限，需要對(duì)文件逐一進(jìn)行檢查并調(diào)整，如下圖：建議進(jìn)行權(quán)限設(shè)置保護(hù)的重要文件列表：文件基準(zhǔn)權(quán)限%SystemDrive%Boot.iniAdministrators：完全控制System：完全控制%SystemDrive%NAdministrators：完全控制System：完全控制%SystemDrive%NtldrAdministrators：完全控制System：完全控制%SystemDrive%Io.sysAdministrators：完全控制System：完全控制%SystemDrive%Autoexec.batAdministrators：完全控制System：完全控制Authenticated Users：讀取和執(zhí)行、列出文件夾內(nèi)容、讀取%systemdir%configAdministrators：完全控制System：完全控制Authenticated Users：讀取和執(zhí)行、列出文件夾內(nèi)容、讀取%SystemRoot%system32Append.exeAdministrators：完全控制%SystemRoot%system32Arp.exeAdministrators：完全控制%SystemRoot%system32At.exeAdministrators：完全控制%SystemRoot%system32Attrib.exeAdministrators：完全控制%SystemRoot%system32Cacls.exeAdministrators：完全控制%SystemRoot%system32Change.exeAdministrators：完全控制%SystemRoot%system32CAdministrators：完全控制%SystemRoot%system32Chglogon.exeAdministrators：完全控制%SystemRoot%system32Chgport.exeAdministrators：完全控制%SystemRoot%system32Chguser.exeAdministrators：完全控制%SystemRoot%system32Chkdsk.exeAdministrators：完全控制%SystemRoot%system32Chkntfs.exeAdministrators：完全控制%SystemRoot%system32Cipher.exeAdministrators：完全控制%SystemRoot%system32Cluster.exeAdministrators：完全控制%SystemRoot%system32Cmd.exeAdministrators：完全控制%SystemRoot%system32Compact.exeAdministrators：完全控制%SystemRoot%system32CAdministrators：完全控制%SystemRoot%system32Convert.exeAdministrators：完全控制%SystemRoot%system32Cscript.exeAdministrators：完全控制%SystemRoot%system32Debug.exeAdministrators：完全控制%SystemRoot%system32Dfscmd.exeAdministrators：完全控制%SystemRoot%system32DAdministrators：完全控制%SystemRoot%system32DAdministrators：完全控制%SystemRoot%system32Doskey.exeAdministrators：完全控制%SystemRoot%system32Edlin.exeAdministrators：完全控制%SystemRoot%system32Exe2bin.exeAdministrators：完全控制%SystemRoot%system32Expand.exeAdministrators：完全控制%SystemRoot%system32Fc.exeAdministrators：完全控制%SystemRoot%system32Find.exeAdministrators：完全控制%SystemRoot%system32Findstr.exeAdministrators：完全控制%SystemRoot%system32Finger.exeAdministrators：完全控制%SystemRoot%system32Forcedos.exeAdministrators：完全控制%SystemRoot%system32FAdministrators：完全控制%SystemRoot%system32Ftp.exeAdministrators：完全控制%SystemRoot%system32Hostname.exeAdministrators：完全控制%SystemRoot%system32Iisreset.exeAdministrators：完全控制%SystemRoot%system32Ipconfig.exeAdministrators：完全控制%SystemRoot%system32Ipxroute.exeAdministrators：完全控制%SystemRoot%system32Label.exeAdministrators：完全控制%SystemRoot%system32Logoff.exeAdministrators：完全控制%SystemRoot%system32Lpq.exeAdministrators：完全控制%SystemRoot%system32Lpr.exeAdministrators：完全控制%SystemRoot%system32Makecab.exeAdministrators：完全控制%SystemRoot%system32Mem.exeAdministrators：完全控制%SystemRoot%system32Mmc.exeAdministrators：完全控制%SystemRoot%system32MAdministrators：完全控制%SystemRoot%system32MAdministrators：完全控制%SystemRoot%system32Mountvol.exeAdministrators：完全控制%SystemRoot%system32Msg.exeAdministrators：完全控制%SystemRoot%system32Nbtstat.exeAdministrators：完全控制%SystemRoot%system32Net.exeAdministrators：完全控制%SystemRoot%system32Net1.exeAdministrators：完全控制%SystemRoot%system32Netsh.exeAdministrators：完全控制%SystemRoot%system32Netstat.exeAdministrators：完全控制%SystemRoot%system32Nslookup.exeAdministrators：完全控制%SystemRoot%system32Ntbackup.exeAdministrators：完全控制%SystemRoot%system32Ntsd.exeAdministrators：完全控制%SystemRoot%system32Pathping.exeAdministrators：完全控制%SystemRoot%system32Ping.exeAdministrators：完全控制%SystemRoot%system32Print.exeAdministrators：完全控制%SystemRoot%system32Query.exeAdministrators：完全控制%SystemRoot%system32Rasdial.exeAdministrators：完全控制%SystemRoot%system32Rcp.exeAdministrators：完全控制%SystemRoot%system32Recover.exeAdministrators：完全控制%SystemRoot%system32Regedit.exeAdministrators：完全控制%SystemRoot%system32Regedt32.exeAdministrators：完全控制%SystemRoot%system32Regini.exeAdministrators：完全控制%SystemRoot%system32Register.exeAdministrators：完全控制%SystemRoot%system32Regsvr32.exeAdministrators：完全控制%SystemRoot%system32Replace.exeAdministrators：完全控制%SystemRoot%system32Reset.exeAdministrators：完全控制%SystemRoot%system32Rexec.exeAdministrators：完全控制%SystemRoot%system32Route.exeAdministrators：完全控制%SystemRoot%system32Routemon.exeAdministrators：完全控制%SystemRoot%system32Router.exeAdministrators：完全控制%SystemRoot%system32Rsh.exeAdministrators：完全控制%SystemRoot%system32Runas.exeAdministrators：完全控制%SystemRoot%system32Runonce.exeAdministrators：完全控制%SystemRoot%system32Secedit.exeAdministrators：完全控制%SystemRoot%system32Setpwd.exeAdministrators：完全控制%SystemRoot%system32Shadow.exeAdministrators：完全控制%SystemRoot%system32Share.exeAdministrators：完全控制%SystemRoot%system32Snmp.exeAdministrators：完全控制%SystemRoot%system32Snmptrap.exeAdministrators：完全控制%SystemRoot%system32Subst.exeAdministrators：完全控制%SystemRoot%system32Telnet.exeAdministrators：完全控制%SystemRoot%system32Termsrv.exeAdministrators：完全控制%SystemRoot%system32Tftp.exeAdministrators：完全控制%SystemRoot%system32Tlntadmin.exeAdministrators：完全控制%SystemRoot%system32Tlntsess.exeAdministrators：完全控制%SystemRoot%system32Tlntsvr.exeAdministrators：完全控制%SystemRoot%system32Tracert.exeAdministrators：完全控制%SystemRoot%system32TAdministrators：完全控制%SystemRoot%system32Tsadmin.exeAdministrators：完全控制%SystemRoot%system32Tscon.exeAdministrators：完全控制%SystemRoot%system32Tsdiscon.exeAdministrators：完全控制%SystemRoot%system32Tskill.exeAdministrators：完全控制%SystemRoot%system32Tsprof.exeAdministrators：完全控制%SystemRoot%system32Tsshutdn.exeAdministrators：完全控制%SystemRoot%system32UAdministrators：完全控制%SystemRoot%system32Wscript.exeAdministrators：完全控制%SystemRoot%system32Xcopy.exeAdministrators：完全控制3.1.4 網(wǎng)絡(luò)與服務(wù)配置標(biāo)準(zhǔn) 網(wǎng)絡(luò)協(xié)議安裝要求要求只運(yùn)行安裝TCP/IP網(wǎng)絡(luò)協(xié)議，不允許安裝IPX，AppleTalk等其他的網(wǎng)絡(luò)協(xié)議。 TCP/IP協(xié)議棧安全配置將下表注冊(cè)表項(xiàng)作為HKLMSystemCurrentControlSetServicesTcpip|Parameters的子項(xiàng)添加，這些注冊(cè)表設(shè)置有助于提高 Windows 2000 TCP/IP 協(xié)議棧抵御標(biāo)準(zhǔn)類(lèi)型的拒絕服務(wù)網(wǎng)絡(luò)攻擊的能力。項(xiàng)格式值（十進(jìn)制）EnableICMPRedirectDWORD0EnableSecurityFiltersDWORD1SynAttackProtectDWORD2EnableDeadGWDetectDWORD0EnablePMTUDiscoveryDWORD0KeepAliveTimeDWORD300,000DisableIPSourceRoutingDWORD2TcpMaxConnectResponseRetransmissionsDWORD2TcpMaxDataRetransmissionsDWORD3NoNameReleaseOnDemandDWORD1PerformRouterDiscoveryDWORD0TCPMaxPortsExhaustedDWORD IIS服務(wù)要求只有需要提供Web服務(wù)的主機(jī)，才能安裝IIS服務(wù)，其他服務(wù)器不得安裝。 服務(wù)管理配置標(biāo)準(zhǔn)Windows 2000缺省安裝會(huì)創(chuàng)建很多默認(rèn)服務(wù)，并配置為在系統(tǒng)啟動(dòng)時(shí)運(yùn)行。實(shí)際運(yùn)行環(huán)境中并不需要運(yùn)行所有服務(wù)，而任何多余的服務(wù)都存在受攻擊的風(fēng)險(xiǎn)，因此要求禁用不必要的服務(wù)。下表列出的Windows2000系統(tǒng)提供基本管理功能之外不是必須開(kāi)放的，請(qǐng)根據(jù)系統(tǒng)的應(yīng)用的情況禁用下表中提到的服務(wù)：服務(wù)服務(wù)功能實(shí)現(xiàn)Boot Information Negotiation Layer與Remote Installation Service(RIS)一起使用，除有需要通過(guò)RIS安裝操作系統(tǒng)，否則不要運(yùn)行。Indexing負(fù)責(zé)索引磁盤(pán)上的文檔和文檔屬性，并且在一個(gè)目錄中保存信息，使得你在以后可以搜索。ClipBookClipBook支持ClipBook Viewer程序，該程序可以允許剪貼頁(yè)被遠(yuǎn)程計(jì)算機(jī)上的ClipBook瀏覽，可以使得用戶能夠通過(guò)網(wǎng)絡(luò)連接來(lái)剪切和粘貼文本和圖形。DHCP client通過(guò)注冊(cè)和更新IP地址和DNS域名來(lái)管理網(wǎng)絡(luò)配置。DNS Server負(fù)責(zé)解答DNS域名查詢Fax它負(fù)責(zé)管理傳真的發(fā)送和接收。Single Instance Storage Groveler該服務(wù)和Remote Installation服務(wù)一起使用.掃描單一實(shí)例存儲(chǔ)卷來(lái)尋找重復(fù)的文件,并將重復(fù)文件指向某個(gè)數(shù)據(jù)存儲(chǔ)點(diǎn)以節(jié)省磁盤(pán)空間。Internet Authentication Service除了在撥號(hào)和VPN服務(wù)器上，該服務(wù)不應(yīng)該使用。TCP/IP NETBIOS Helper該服務(wù)允許在TCP/IP網(wǎng)絡(luò)上進(jìn)行NETBIOS通信。NetMeeting Remote Desktop Sharing允許授權(quán)用戶通過(guò)使用NetMeeting來(lái)遠(yuǎn)程訪問(wèn)你的Windows桌面。Remote Registry使得經(jīng)過(guò)授權(quán)的管理員能夠?qū)ξ挥谶h(yuǎn)程主機(jī)上的注冊(cè)表項(xiàng)目進(jìn)行操作,對(duì)于一些功能,例如遠(yuǎn)程性能監(jiān)視,是需要Remote Registry。Internet Connection Sharing將某計(jì)算機(jī)的Internet聯(lián)機(jī)與其他一些計(jì)算機(jī)進(jìn)行共享。Simple TCP/IP這個(gè)服務(wù)是作為基本的TCP/IP服務(wù)而運(yùn)行,打開(kāi)了TCP端口7,9,13,17,19。Telephony提供電話和基于IP地語(yǔ)音連接。Trivial FTP Daemontftp不經(jīng)驗(yàn)證簡(jiǎn)單ftp服務(wù)。Telnet遠(yuǎn)程登錄應(yīng)該禁止。Windows Internet Name Service是微軟用于NetBIOS網(wǎng)絡(luò)的名稱(chēng)服務(wù)。下列服務(wù)是可能用到的服務(wù)，請(qǐng)根據(jù)具體運(yùn)行環(huán)境確認(rèn)是否需要：l SMTP服務(wù)SMTP(Simple Mail Transfer Protocol)協(xié)議，是簡(jiǎn)單郵件傳輸協(xié)議，用在郵件服務(wù)器上，一般服務(wù)器上不必啟用。l SNMP 服務(wù)SNMP(Simple Network Management Protocol)協(xié)議，是網(wǎng)絡(luò)管理協(xié)議，在許多情況下，管理應(yīng)用程序都需要在每個(gè)服務(wù)器上安裝一個(gè)代理。一般地，這些代理將使用 SNMP 將警報(bào)消息發(fā)回到一個(gè)中央管理服務(wù)器。如果存在網(wǎng)管系統(tǒng)需要管理代理，就要啟動(dòng) SNMP 服務(wù),需要更改缺省community string。l Messenger信使服務(wù)信使服務(wù)用來(lái)傳輸客戶端和服務(wù)器之間的Net Send和Alerter（報(bào)警器）服務(wù)消息。3.1.5 安全選項(xiàng)配置標(biāo)準(zhǔn)請(qǐng)按照下表中的要求設(shè)置Windows 2000系統(tǒng)中的安全選項(xiàng)：安全選項(xiàng)注釋安全設(shè)置LAN Manager身份驗(yàn)證級(jí)別確定網(wǎng)絡(luò)登錄時(shí)將使用哪個(gè)質(zhì)詢/響應(yīng)身份驗(yàn)證協(xié)議。該選項(xiàng)會(huì)影響客戶端使用的身份驗(yàn)證協(xié)議的級(jí)別、協(xié)商的會(huì)話安全級(jí)別，以及服務(wù)器所接受的身份驗(yàn)證級(jí)別。發(fā)送LM& NTLM響應(yīng)，如果已協(xié)商，使用NTLMv2安全會(huì)話對(duì)匿名連接的額外限制確定匿名連接到計(jì)算機(jī)應(yīng)具有的其他權(quán)限。不允許枚舉賬號(hào)和共享在斷開(kāi)會(huì)話之前所需的空閑時(shí)間確定“服務(wù)器消息塊 (SMB)”會(huì)話因?yàn)椴换顒?dòng)而被掛起之前，在該會(huì)話中必須經(jīng)過(guò)的連續(xù)空閑時(shí)間。15分鐘如果無(wú)法記錄安全審計(jì)則立即關(guān)閉系統(tǒng)確定當(dāng)系統(tǒng)無(wú)法記錄安全事件時(shí)是否關(guān)閉系統(tǒng)。停用登錄屏幕上不要顯示上次登錄的用戶名確定是否將上次登錄到計(jì)算機(jī)的用戶名顯示在 Windows 登錄畫(huà)面中。啟用在關(guān)機(jī)時(shí)清理虛擬內(nèi)存頁(yè)面交換文件確定在關(guān)閉系統(tǒng)時(shí)是否清除虛擬內(nèi)存頁(yè)面文件。啟用發(fā)送未加密的密碼到第三方 SMB 服務(wù)器如果啟用該策略，將允許“服務(wù)器消息塊 (SMB)”重定向器向身份驗(yàn)證期間不支持密碼加密的非 Microsoft SMB 服務(wù)器發(fā)送明文密碼。停用在密碼到期前提示用戶更改密碼確定提前多長(zhǎng)時(shí)間（單位為天）警告用戶其密碼將過(guò)期。通過(guò)這種提前警告，用戶可以有時(shí)間創(chuàng)建具有足夠安全性的密碼。14天具體設(shè)置方法為：進(jìn)入“控制面板/管理工具/本地安全策略”，在“本地策略-安全選項(xiàng)”中完成上表提及的各個(gè)“安全選項(xiàng)”的調(diào)整。3.1.6 日志與審計(jì)配置標(biāo)準(zhǔn) “審核策略”配置要求Windows 2000系統(tǒng)的缺省配置是不開(kāi)任何安全審核，要求通過(guò)開(kāi)啟“審核策略”，記錄以下操作：審核策略默認(rèn)配置安全設(shè)置審核策略更改無(wú)審核成功，失敗審核登錄事件無(wú)審核成功，失敗審核對(duì)象訪問(wèn)無(wú)審核失敗審核過(guò)程追蹤無(wú)審核無(wú)審核審核目錄服務(wù)訪問(wèn)無(wú)審核失敗審核特權(quán)使用無(wú)審核失敗審核系統(tǒng)事件無(wú)審核成功，失敗審核賬戶登錄事件無(wú)審核成功，失敗審核賬戶管理無(wú)審核成功，失敗配置方法：通過(guò)“控制面板/管理工具/本地安全策略”，在“本地策略-審核策略”中打開(kāi)相應(yīng)的審核選項(xiàng)： 日志屬性配置要求請(qǐng)根據(jù)下表調(diào)整Windows 2000系統(tǒng)的各種日志屬性： 日志類(lèi)別安全設(shè)置應(yīng)用程序日志大小10240K當(dāng)達(dá)到最大日志大小時(shí)不改寫(xiě)事件（手動(dòng)清除日志）安全性日志大小10240K當(dāng)達(dá)到最大日志大小時(shí)不改寫(xiě)事件（手動(dòng)清除日志）系統(tǒng)日志大小10240K當(dāng)達(dá)到最大日志大小時(shí)不改寫(xiě)事件（手動(dòng)清除日志）3.1.7 其它安全配置參考 使用NTFS文件系統(tǒng)NTFS文件系統(tǒng)比FAT和FAT32強(qiáng)壯和穩(wěn)定，不易崩潰，Windows2000提供了基于NTFS文件系統(tǒng)的對(duì)文件和目錄的訪問(wèn)控制列表(ACL)。請(qǐng)確保所有的磁盤(pán)卷都使用了NTFS文件系統(tǒng)。 共享管理要求停用所有不必要的文件共享，特別注意系統(tǒng)默認(rèn)啟用的隱含系統(tǒng)共享，如C$、D$、IPC$等。關(guān)閉默認(rèn)共享的方法有兩種：1. 在服務(wù)配置中禁用Server服務(wù)；2. 更改注冊(cè)表鍵值：在HKLMSystemCurrentControlSetServicesLanmanServerParameters下，增加REG_DWORD類(lèi)型的AutoShareServer 鍵，值為0。 啟用屏幕保護(hù)請(qǐng)?jiān)O(shè)置帶密碼的屏幕保護(hù)，并將時(shí)間設(shè)定為5分鐘，使得系統(tǒng)在無(wú)人操作5分鐘后自動(dòng)啟用屏幕保護(hù)，再次進(jìn)入系統(tǒng)需要認(rèn)證。3.2. Windows XP 安全配置標(biāo)準(zhǔn)3.2.1 系統(tǒng)補(bǔ)丁安裝標(biāo)準(zhǔn)Windows XP的與安全相關(guān)的補(bǔ)丁大致分三類(lèi)：l Service Pack（補(bǔ)丁包）： Service Pack 是經(jīng)過(guò)測(cè)試的所有修復(fù)程序、安全更新程序、關(guān)鍵更新程序以及更新程序的累積的集合。 Service Pack 還可能包含自產(chǎn)品發(fā)布以來(lái)針對(duì)內(nèi)部發(fā)現(xiàn)的問(wèn)題的其他修復(fù)以及設(shè)計(jì)上的更改或功能上的增加。Service Pack補(bǔ)丁包涵蓋了自發(fā)布之前的所有補(bǔ)丁，是重要的補(bǔ)丁集合。l Security Patch（安全補(bǔ)?。篠ecurity Patch是針對(duì)特定問(wèn)題廣泛發(fā)布的修復(fù)程序，用于修復(fù)特定產(chǎn)品的與安全相關(guān)的漏洞。Microsoft在發(fā)布的安全公告中將Security Patch分級(jí)為嚴(yán)重、重要、中等、低四個(gè)等級(jí)。嚴(yán)重的安全補(bǔ)丁缺失，會(huì)造成蠕蟲(chóng)快速傳播(如振蕩波，沖擊波)，對(duì)系統(tǒng)本身和網(wǎng)絡(luò)造成重大影響，這類(lèi)補(bǔ)丁需要及時(shí)應(yīng)用到操作系統(tǒng)。l Hotfix(修補(bǔ)程序)：Hotfix是針對(duì)某一個(gè)具體的系統(tǒng)漏洞或安全問(wèn)題而發(fā)布的專(zhuān)門(mén)解決該漏洞或安全問(wèn)題的小程序，通常稱(chēng)為修補(bǔ)程序，如果在最近發(fā)布的Service Pack后面，出現(xiàn)安全方面的漏洞，通常對(duì)應(yīng)的補(bǔ)丁會(huì)以Hotfix修補(bǔ)程序的形式發(fā)布。補(bǔ)丁安裝的原則： 新安裝或者重新安裝windows XP操作系統(tǒng)，必須安裝最新的Service Pack補(bǔ)丁集。 必須安裝等級(jí)為嚴(yán)重和重要的Security Patch。 有關(guān)安全方面的Hotfixes補(bǔ)丁應(yīng)當(dāng)及時(shí)安裝。 最新的安全補(bǔ)丁發(fā)布與升級(jí)步驟，以公司內(nèi)部網(wǎng)上提供的信息為準(zhǔn)。注意：補(bǔ)丁更新要慎重，可能出現(xiàn)硬件不兼容，或者影響當(dāng)前的應(yīng)用系統(tǒng)，安裝補(bǔ)丁之前要經(jīng)過(guò)測(cè)試和驗(yàn)證。3.2.2 安全中心配置標(biāo)準(zhǔn) 防火墻啟用要求Windows XP安裝了SP2補(bǔ)丁會(huì)有安全中心，包括主機(jī)防火墻，自動(dòng)更新，病毒防護(hù)三個(gè)主要功能，其中，要求啟用Windows防火墻。防火墻啟用方式如下圖： 自動(dòng)更新啟用要求安全中心還包括自動(dòng)更新功能，定期地檢查針對(duì)計(jì)算機(jī)的最新的重要更新，然后自動(dòng)安裝這些更新。重要更新（包括關(guān)鍵更新和安全更新）應(yīng)該在發(fā)行后盡快安裝到計(jì)算機(jī)上，保護(hù)您計(jì)算機(jī)免受病毒攻擊和其他安全威脅。要求啟用自動(dòng)更新功能，方法如圖所示：3.2.3 “密碼策略”配置要求通過(guò)“本地安全策略”調(diào)整默認(rèn)的“密碼策略”，提高系統(tǒng)的安全水平，“密碼策略”中各選項(xiàng)的具體要求如下表列舉：策略默認(rèn)設(shè)置安全設(shè)置強(qiáng)制密碼歷史記住 0 個(gè)密碼記住 4個(gè)密碼密碼最長(zhǎng)存留期42 天42 天密碼最短存留期0 天7 天最短密碼長(zhǎng)度0 個(gè)字符6 個(gè)字符密碼必須符合復(fù)雜性要求禁用啟用為域中所有用戶使用可還原的加密來(lái)儲(chǔ)存密碼已停用已停用“密碼策略”的設(shè)置步驟如下圖：進(jìn)入“控制面板/性能和維護(hù)/管理工具/本地安全策略”，在“賬戶策略-密碼策略”。 密碼復(fù)雜性配置要求在“密碼策略”中 “密碼必須符合復(fù)雜性要求”選項(xiàng)啟動(dòng)后，系統(tǒng)將強(qiáng)制要求密碼的設(shè)置具備一定的強(qiáng)壯度，要求密碼至少包含以下四種類(lèi)別的字符：n 英語(yǔ)大寫(xiě)字母 A, B, C, Z n 英語(yǔ)小寫(xiě)字母 a, b, c, z n 西方阿拉伯?dāng)?shù)字 0, 1, 2, 9 n 非字母數(shù)字字符，如標(biāo)點(diǎn)符號(hào)，, #, $, %, &, *等 賬號(hào)安全控制要求.1 “賬戶鎖定策略”配置要求有效的賬號(hào)鎖定策略有助于防止攻擊者猜出您賬號(hào)對(duì)應(yīng)的密碼。要求按照下表要求調(diào)整“賬戶鎖定策略”：策略默認(rèn)設(shè)置安全設(shè)置賬戶鎖定時(shí)間未定義30 分鐘賬戶鎖定閾