微軟Windows操作系統(tǒng)安全加固標(biāo)準(zhǔn)

1、Windows安全加固建議書1 配置標(biāo)準(zhǔn)31.1 組策略管理31.1.1 組策略的重要性31.1.2 組策略的應(yīng)用方式31.1.3 組策略的實(shí)施41.2 用戶賬號(hào)控制51.2.1 密碼策略51.2.2 復(fù)雜性要求51.2.3 賬戶鎖定策略51.2.4 內(nèi)置賬戶安全61.3 安全選項(xiàng)策略61.4 注冊(cè)表安全配置81.4.1 針對(duì)網(wǎng)絡(luò)攻擊的安全考慮事項(xiàng)81.4.2 禁用文件名的自動(dòng)生成91.4.3 禁用Lmhash創(chuàng)建91.4.4 配置NTLMSSP安全101.4.5 禁用自動(dòng)運(yùn)行功能101.5 補(bǔ)丁管理111.5.1 確定修補(bǔ)程序當(dāng)前版本狀態(tài)111.5.2 部署修補(bǔ)程序111.6 文件/目錄控制

2、111.6.1 目錄保護(hù)111.6.2 文件保護(hù)121.7 系統(tǒng)審計(jì)日志161.8 服務(wù)管理171.8.1 成員服務(wù)器171.8.2 域控制器181.9 其它配置安全191.9.1 確保所有的磁盤卷使用NTFS文件系統(tǒng)191.9.2 系統(tǒng)啟動(dòng)設(shè)置191.9.3 屏保191配置標(biāo)準(zhǔn)1.1 組策略管理1.1.1 組策略的重要性Windows組策略有助于在您的ActiveDirectory域中為所有工作站和服務(wù)器實(shí)現(xiàn)安全策略中的技術(shù)建議?？梢詫⒔M策略和OU結(jié)構(gòu)結(jié)合使用，為特定服務(wù)器角色定義其特定的安全設(shè)置。如果使用組策略來(lái)實(shí)現(xiàn)安全設(shè)置，則可以確保對(duì)某一策略進(jìn)行的任何更改都將應(yīng)用到使用該策略的所有服務(wù)

3、器，并且新的服務(wù)器將自動(dòng)獲取新的設(shè)置。1.1.2 組策略的應(yīng)用方式一個(gè)用戶或計(jì)算機(jī)對(duì)象可能受多個(gè)組策略對(duì)象（GPO）的約束。這些GPO按順序應(yīng)用，并且設(shè)置不斷累積，除發(fā)生沖突外，在默認(rèn)情況下，較遲的策略中的設(shè)置將替代較早的策略中的設(shè)置。第一個(gè)應(yīng)用的策略是本地GPO,在本地GPO之后，后來(lái)的GPO依次在站點(diǎn)、域、父組織單位（OU）和子OU上應(yīng)用。下圖顯示了每個(gè)策略是如何應(yīng)用的：1.1.3 組策略的實(shí)施在Windows局域網(wǎng)中實(shí)施安全管理應(yīng)分別從服務(wù)器和工作站兩方面進(jìn)行。首先應(yīng)在服務(wù)器上安裝活動(dòng)目錄服務(wù)，然后在域上實(shí)施組策略；其次應(yīng)將工作站置于服務(wù)器所管理的域中。啟動(dòng)活動(dòng)目錄服務(wù)在程序-管理工具-

4、配置服務(wù)器”選項(xiàng)中，選定左邊的“ActiveDirectory，”啟動(dòng)活動(dòng)目錄安裝向?qū)А⒎?wù)器設(shè)置為第一個(gè)域目錄樹(shù)，DNS域名輸入提供的域名。打開(kāi)組策略控制臺(tái)啟動(dòng)“AtiveDirectory目錄和用戶”項(xiàng)，在右面對(duì)象容器樹(shù)中的根目錄上單擊右鍵，然后單擊屬性”項(xiàng)，在新打開(kāi)的窗口中單擊組策略”選項(xiàng)卡，即可打開(kāi)組策略控制臺(tái)。創(chuàng)建OU結(jié)構(gòu)1）啟動(dòng)ActiveDirectory用戶和計(jì)算機(jī)。2）右鍵單擊域名，選擇新建，然后選擇組織單位。3）鍵入成員服務(wù)器，然后單擊確定。4）右鍵單擊成員服務(wù)器，選擇新建，然后選擇組織單位。5）鍵入應(yīng)用程序服務(wù)器，然后單擊確定。6）針對(duì)文件和打印服務(wù)器、IIS服務(wù)器和基

5、礎(chǔ)結(jié)構(gòu)服務(wù)器重復(fù)第5步和第6步。設(shè)置組策略位于組策略對(duì)象安全設(shè)置”節(jié)點(diǎn)的容器包括：賬戶策略、本地策略、事件日志、受限組、系統(tǒng)服務(wù)、注冊(cè)表、文件系統(tǒng)、公鑰策略、ActiveDirectory中的網(wǎng)際協(xié)議安全策略等。具體的設(shè)置在本標(biāo)準(zhǔn)的相應(yīng)章節(jié)中詳細(xì)說(shuō)明。1.2 用戶賬號(hào)控制1.2,1密碼策略默認(rèn)情況下，將對(duì)域中的所有服務(wù)器強(qiáng)制執(zhí)行一個(gè)標(biāo)準(zhǔn)密碼策略。下表列出了一個(gè)標(biāo)準(zhǔn)密碼策略的設(shè)置以及針對(duì)您的環(huán)境建議的最低設(shè)置。策略默認(rèn)設(shè)置推薦最低設(shè)置強(qiáng)制執(zhí)行密碼歷史記錄記住1個(gè)密碼記住24個(gè)密碼密碼最長(zhǎng)期限42天42天密碼最短期限0天2天最短密碼長(zhǎng)度0個(gè)字符8個(gè)字符密碼必須符合復(fù)雜性要求禁用啟用為域中所有用戶使

6、用可還原的加密來(lái)儲(chǔ)存密碼禁用禁用1.2.1 復(fù)雜性要求當(dāng)組策略的密碼必須符合復(fù)雜性要求”設(shè)置啟用后，它要求密碼必須為6個(gè)字符長(zhǎng)（但我們建議您將此值設(shè)置為8個(gè)字符）。它還要求密碼中必須包含下面類別中至少三個(gè)類別的字符：英語(yǔ)大寫字母A,B,C,Z英語(yǔ)小寫字母a,b,c,z西方阿拉伯?dāng)?shù)字0,1,2,9非字母數(shù)字字符，如標(biāo)點(diǎn)符號(hào)1.2.2 賬戶鎖定策略有效的賬戶鎖定策略有助于防止攻擊者猜出您賬戶的密碼。下表列出了一個(gè)默認(rèn)賬戶鎖定策略的設(shè)置以及針對(duì)您的環(huán)境推薦的最低設(shè)置。策略默認(rèn)設(shè)置推薦最低設(shè)置賬戶鎖定時(shí)間未定義30分鐘賬戶鎖定閾值05次無(wú)效登錄復(fù)位賬戶鎖定計(jì)數(shù)器未定義30分鐘用戶被賦予唯一的用戶名、用

7、戶ID（UID）和口令。用戶名口令長(zhǎng)度規(guī)定。1.2.3 內(nèi)置賬戶安全Windows有幾個(gè)內(nèi)置的用戶賬戶，它們不可刪除，但可以重命名。其中Guest（來(lái)賓）賬戶應(yīng)禁用的，管理員賬戶應(yīng)重命名而且其描述也要更改，以防攻擊者使用已知用戶名破壞一個(gè)遠(yuǎn)程服務(wù)器。1.3 安全選項(xiàng)策略域策略中的安全選項(xiàng)應(yīng)根據(jù)以下設(shè)置按照具體需要修改:選項(xiàng)設(shè)置對(duì)匿名連接的附加限制沒(méi)有顯式匿名權(quán)限就無(wú)法訪問(wèn)允許服務(wù)器操作員計(jì)劃任務(wù)（僅用于域控制器）禁用允許在未登錄前系統(tǒng)關(guān)機(jī)禁用允許彈出可移動(dòng)NTFS媒體管理員在斷開(kāi)會(huì)話之前所需的空閑時(shí)間15分鐘對(duì)全局系統(tǒng)對(duì)象的訪問(wèn)進(jìn)行審計(jì)禁用對(duì)備份和還原權(quán)限的使用進(jìn)行審計(jì)禁用登錄時(shí)間過(guò)期就自動(dòng)注

8、銷用戶未定義（見(jiàn)附注）當(dāng)?shù)卿洉r(shí)間過(guò)期就自動(dòng)注銷用戶（本地）啟用在系統(tǒng)關(guān)機(jī)時(shí)清除虛擬內(nèi)存頁(yè)面交換文件啟用對(duì)客戶端通訊使用數(shù)字簽名（始終）啟用對(duì)客戶端通訊使用數(shù)字簽名（如果可能）啟用對(duì)服務(wù)器通訊使用數(shù)字簽名（始終）啟用對(duì)服務(wù)器通訊進(jìn)行數(shù)字簽名（如果可能）啟用禁用按CTRL+ALT+DEL進(jìn)行登錄的設(shè)置禁用登錄屏幕上不要顯示上次登錄的用戶名啟用LANManager身份驗(yàn)證級(jí)別僅發(fā)送NTLMv2響應(yīng)，拒絕LM&NTLM用戶嘗試登錄時(shí)消息文字用戶嘗試登錄時(shí)消息標(biāo)題緩沖保存的以前登錄次數(shù)（在域控制器不可用的情況下）0次登錄防止計(jì)算機(jī)賬戶密碼的系統(tǒng)維護(hù)禁用防止用戶安裝打印機(jī)驅(qū)動(dòng)程序啟用在密碼到期前提

9、示用戶更改密碼14天故障恢復(fù)控制臺(tái)：允許自動(dòng)管理登錄禁用故障恢復(fù)控制臺(tái)：允許對(duì)驅(qū)動(dòng)器和文件夾進(jìn)行軟盤復(fù)制和訪問(wèn)禁用重命名系統(tǒng)管理員賬戶未定義重命名來(lái)賓賬戶未定義只有本地登錄的用戶才能訪問(wèn)CD-ROM啟用只有本地登錄的用戶才能訪問(wèn)軟盤啟用安全通道：對(duì)安全通道數(shù)據(jù)進(jìn)行數(shù)字加密或簽名（始終）啟用安全通道：對(duì)安全通道數(shù)據(jù)進(jìn)行數(shù)字加密（如果可能）啟用安全通道：對(duì)安全通道數(shù)據(jù)進(jìn)行數(shù)字簽名（如果可能）啟用安全通道：需要強(qiáng)（Windows2000或以上版本）會(huì)話密鑰啟用安全系統(tǒng)磁盤分區(qū)（只適于RISC操作平臺(tái)）未定義發(fā)送未加密的密碼以連接到第三方SMB服務(wù)器。禁用如果無(wú)法記錄安全審計(jì)則立即關(guān)閉系統(tǒng)啟用（見(jiàn)第二

10、條附注）智能卡移除操作鎖定工作站增強(qiáng)全局系統(tǒng)對(duì)象的默認(rèn)權(quán)限（例如SymbolicLinks）啟用未簽名驅(qū)動(dòng)程序的安裝操作禁止安裝未簽名非驅(qū)動(dòng)程序的安裝操作允許安裝但發(fā)出警告在上面的推薦配置中，下面幾項(xiàng)由于直接影響了域中各服務(wù)器問(wèn)通訊的方式，可能會(huì)對(duì)服務(wù)器性能有影響。對(duì)匿名連接的附加限制默認(rèn)情況下，Windows允許匿名用戶執(zhí)行某些活動(dòng)，如枚舉域賬戶和網(wǎng)絡(luò)共享區(qū)的名稱。這使得攻擊者無(wú)需用一個(gè)用戶賬戶進(jìn)行身份驗(yàn)證就可以查看遠(yuǎn)程服務(wù)器上的這些賬戶和共享名。為更好地保護(hù)匿名訪問(wèn)，可以配置沒(méi)有顯式匿名權(quán)限就無(wú)法訪問(wèn)”。這樣做的效果是將Everyone（所有人）組從匿名用戶令牌中刪除。對(duì)服務(wù)器的任何匿名訪

11、問(wèn)都將被禁止，而且對(duì)任何資源都將要求顯式訪問(wèn)。LANManager身份驗(yàn)證級(jí)別MicrosoftWindows9x和WindowsNT?操作系統(tǒng)不能使用Kerberos進(jìn)行身份驗(yàn)證，所以，在默認(rèn)情況下，在Windows2000域中它們使用NTLM協(xié)議進(jìn)行網(wǎng)絡(luò)身份驗(yàn)證。您可以通過(guò)使用NTLMv2對(duì)Windows9x和WindowsNT強(qiáng)制執(zhí)行一個(gè)更安全的身份驗(yàn)證協(xié)議。對(duì)于登錄過(guò)程，NTLMv2引入了一個(gè)安全的通道來(lái)保護(hù)身份驗(yàn)證過(guò)程。在關(guān)機(jī)時(shí)清理虛擬內(nèi)存頁(yè)面交換文件實(shí)際內(nèi)存中保存的重要信息可以周期性地轉(zhuǎn)儲(chǔ)到頁(yè)面交換文件中。這有助于Windows處理多任務(wù)功能。如果啟用此選項(xiàng)，Windows2000

12、將在關(guān)機(jī)時(shí)清理頁(yè)面交換文件，將存儲(chǔ)在那里的所有信息清除掉。根據(jù)頁(yè)面交換文件的大小不同，系統(tǒng)可能需要幾分鐘的時(shí)間才能完全關(guān)閉。對(duì)客戶端/服務(wù)器通訊使用數(shù)字簽名在高度安全的網(wǎng)絡(luò)中實(shí)現(xiàn)數(shù)字簽名有助于防止客戶機(jī)和服務(wù)器被模仿（即所謂分話劫持”或中間人”攻擊）。服務(wù)器消息塊（SMB）簽名既可驗(yàn)證用戶身份，又可驗(yàn)證托管數(shù)據(jù)的服務(wù)器的身份。如有任何一方不能通過(guò)身份驗(yàn)證，數(shù)據(jù)傳輸就不能進(jìn)行。在實(shí)現(xiàn)了SMB后，為對(duì)服務(wù)器間的每一個(gè)數(shù)據(jù)包進(jìn)行簽名和驗(yàn)證，性能最多會(huì)降低15%。1.4 注冊(cè)表安全配置1.4.1 針對(duì)網(wǎng)絡(luò)攻擊的安全考慮事項(xiàng)有些拒絕服務(wù)攻擊可能會(huì)給Windows服務(wù)器上的TCP/IP協(xié)議棧造成威脅。這些

13、注冊(cè)表設(shè)置有助于提高WindowsTCP/IP協(xié)議棧抵御標(biāo)準(zhǔn)類型的拒絕服務(wù)網(wǎng)絡(luò)攻擊的能力。下面的注冊(cè)表項(xiàng)作為的子項(xiàng)添加:項(xiàng)格式值(十進(jìn)制)EnableICMPRedirectDWORD0EnableSecurityFiltersDWORD1SynAttackProtectDWORD2EnableDeadGWDetectDWORD0EnablePMTUDiscoveryDWORD0KeepAliveTimeDWORD300,000DisableIPSourceRoutingDWORD2TcpMaxConnectResponseRetransmissionsDWORD2TcpMaxDataRetr

14、ansmissionsDWORD3NoNameReleaseOnDemandDWORD1PerformRouterDiscoveryDWORD0TCPMaxPortsExhaustedDWORD51.4.2 禁用文件名的自動(dòng)生成為與16位應(yīng)用程序的向后兼容，Windows支持8.3文件名格式。這意味著攻擊者只需要8個(gè)字符即可引用可能有20個(gè)字符長(zhǎng)的文件。如果您不再使用16位應(yīng)用程序，則可以將此功能關(guān)閉。禁用NTFS分區(qū)上的短文件名生成還可以提高目錄枚舉性能。下面的注冊(cè)表項(xiàng)作為HKLMSystemCurrentControlSetControl的子項(xiàng)添加：項(xiàng)格式值(十進(jìn)制)NtfsDisable

15、8dot3NameCreationDWORD11.4.3 禁用Lmhash創(chuàng)建Windows服務(wù)器可以驗(yàn)證運(yùn)行任何以前Windows版本的計(jì)算機(jī)的身份。然而，以前版本的Windows不使用Kerberos進(jìn)行身份驗(yàn)證，所以Windows支持LanManager(LM)、WindowsNT(NTLM)和NTLM版本2(NTLMv2)。相比之下，LM散列運(yùn)算白能力比NTLM弱，因而易在猛烈攻擊下被攻破。如果您沒(méi)有需要LM身份驗(yàn)證的客戶機(jī)，則應(yīng)禁用LM散列的存儲(chǔ)。Windows2000ServicePack2提供了一個(gè)注冊(cè)表設(shè)置以禁用LM散列的存儲(chǔ)。下面的注冊(cè)表項(xiàng)作為HKLMSYSTEMCurren

16、tControlSetControlLsa的一個(gè)子項(xiàng)添加：項(xiàng)格式值（十進(jìn)制）NoLMHashDWORD11.4.4 配置NTLMSSP安全NTLM安全支持提供程序（NTLMSSP）允許您按應(yīng)用程序指定服務(wù)器端網(wǎng)絡(luò)連接的最低必需安全設(shè)置。下面的配置可以確保，如果使用了消息保密但未協(xié)商128位加密，則連接將失敗。下面的注冊(cè)表項(xiàng)作為HKLMSYSTEMCurrentControlSetControlLsaMSV10的一個(gè)子項(xiàng)添加：項(xiàng)格式值（十六進(jìn)制）NtlmMinServerSecDWORD0x200000001.4.5 禁用自動(dòng)運(yùn)行功能一旦媒體插入一個(gè)驅(qū)動(dòng)器，自動(dòng)運(yùn)行功能就開(kāi)始從該驅(qū)動(dòng)器讀取數(shù)據(jù)。

17、這樣，程序的安裝文件和音頻媒體上的聲音就可以立即啟動(dòng)。為防止可能有惡意的程序在媒體插入時(shí)就啟動(dòng)，組策略禁用了所有驅(qū)動(dòng)器的自動(dòng)運(yùn)行功能。下面的注冊(cè)表項(xiàng)作為的一個(gè)子項(xiàng)添加:項(xiàng)格式值（十六進(jìn)制）NoDriveTypeAutoRunDWORD0xFF1.5 補(bǔ)丁管理1.5.1 確定修補(bǔ)程序當(dāng)前版本狀態(tài)注冊(cè)表中查看HKLMSoftwareMicrosoftWindowsNtCurrentversionhotfix鍵，可以看到打過(guò)的補(bǔ)丁對(duì)應(yīng)的修復(fù)程序的知識(shí)庫(kù)文章編號(hào)。如果已經(jīng)部署了MicrosoftSystemsManagementServer(SMS)則其軟件部署功能可用于將修補(bǔ)程序部署到環(huán)境中具有SM

18、S客戶端的所有計(jì)算機(jī)，并確認(rèn)每臺(tái)計(jì)算機(jī)所安裝的補(bǔ)丁程序的當(dāng)前版本和狀態(tài)。1.5.2 部署修補(bǔ)程序可以使用手工執(zhí)行修補(bǔ)程序的方法安裝，修補(bǔ)程序一般是一個(gè)可執(zhí)行文件，其名稱表示了修補(bǔ)的信息。如：Q292435_W2K_SP3_x86_en.EXEQ292435是知識(shí)庫(kù)文章編號(hào)，您可在其中查找有關(guān)該即時(shí)修復(fù)程序的詳細(xì)信息。W2K是它所針對(duì)的產(chǎn)品(MicrosoftWindows2000)SP3是將要包括它的ServicePac%x86是它所面向的處理器體系結(jié)構(gòu)。en是語(yǔ)言(英語(yǔ))。如果安裝了MicrosoftSoftwareUpdateServices(SUS程序，可以使用SUS集中部署指定范圍(指

19、定域或IP地址范圍)的主機(jī)的修補(bǔ)程序。1.6 文件/目錄控制1.6.1 目錄保護(hù)受保護(hù)的目錄如下表所示:保護(hù)的目錄應(yīng)用的權(quán)限%systemdrive%Administrators:完全控制System：完全控制AuthenticatedUsers：讀取和執(zhí)行、列出文件夾內(nèi)容、讀取%SystemRoot%Repair%SystemRoot%Security%SystemRoot%Temp%SystemRoot%system32Config%SystemRoot%system32LogfilesAdministrators:完全控制Creator/Owner：完全控制System：完全控制%sys

20、temdrive%InetpubAdministrators:完全控制System：完全控制Everyone：讀取和執(zhí)行、列出文件夾內(nèi)容、讀取其中%SystemRoot%定義了Windows系統(tǒng)文件所在的路徑和文件夾名，%SystemDrive%定義了包含%systemroot%的驅(qū)動(dòng)器。1.6.2 文件保護(hù)受保護(hù)的文件如下表所示:文件基準(zhǔn)權(quán)限%SystemDrive%Boot.iniAdministrators:完全控制System：完全控制%SystemDrive%NAdministrators:完全控制System：完全控制%SystemDrive%NtldrAdministrators

21、:完全控制System：完全控制%SystemDrive%Io.sysAdministrators:完全控制System：完全控制%SystemDrive%Autoexec.batAdministrators:完全控制System：完全控制AuthenticatedUsers：讀取和執(zhí)行、列出文件夾內(nèi)容、讀取%systemdir%configAdministrators:完全控制System：完全控制AuthenticatedUsers：讀取和執(zhí)行、列出文件夾內(nèi)容、讀取%SystemRoot%system32Append.exeAdministrators:完全控制%SystemRoot%sy

22、stem32Arp.exeAdministrators:完全控制%SystemRoot%system32At.exeAdministrators:完全控制%SystemRoot%system32Attrib.exeAdministrators:完全控制%SystemRoot%system32Cacls.exeAdministrators:完全控制%SystemRoot%system32Change.exeAdministrators:完全控制%SystemRoot%system32CAdministrators:完全控制%SystemRoot%system32Chglogon.exeAdmin

23、istrators:完全控制%SystemRoot%system32Chgport.exeAdministrators:完全控制%SystemRoot%system32Chguser.exeAdministrators:完全控制%SystemRoot%system32Chkdsk.exeAdministrators:完全控制%SystemRoot%system32Chkntfs.exeAdministrators:完全控制%SystemRoot%system32Cipher.exeAdministrators:完全控制%SystemRoot%system32Cluster.exeAdminis

24、trators:完全控制%SystemRoot%system32Cmd.exeAdministrators:完全控制%SystemRoot%system32Compact.exeAdministrators:完全控制%SystemRoot%system32CAdministrators:完全控制%SystemRoot%system32Convert.exeAdministrators:完全控制%SystemRoot%system32Cscript.exeAdministrators:完全控制%SystemRoot%system32Debug.exeAdministrators:完全控制%Sys

25、temRoot%system32Dfscmd.exeAdministrators:完全控制%SystemRoot%system32DAdministrators:完全控制%SystemRoot%system32DAdministrators:完全控制%SystemRoot%system32Doskey.exeAdministrators:完全控制%SystemRoot%system32Edlin.exeAdministrators:完全控制%SystemRoot%system32Exe2bin.exeAdministrators:完全控制%SystemRoot%system32Expand.e

26、xeAdministrators:完全控制%SystemRoot%system32Fc.exeAdministrators:完全控制%SystemRoot%system32Find.exeAdministrators:完全控制%SystemRoot%system32Findstr.exeAdministrators:完全控制%SystemRoot%system32Finger.exeAdministrators:完全控制%SystemRoot%system32Forcedos.exeAdministrators:完全控制%SystemRoot%system32FAdministrators:完

27、全控制%SystemRoot%system32Administrators:完全控制%SystemRoot%system32Hostname.exeAdministrators:完全控制%SystemRoot%system32Iisreset.exeAdministrators:完全控制%SystemRoot%system32Ipconfig.exeAdministrators:完全控制%SystemRoot%system32Ipxroute.exeAdministrators:完全控制%SystemRoot%system32Label.exeAdministrators:完全控制%Syste

28、mRoot%system32Logoff.exeAdministrators:完全控制%SystemRoot%system32Lpq.exeAdministrators:完全控制%SystemRoot%system32Lpr.exeAdministrators:完全控制%SystemRoot%system32Makecab.exeAdministrators:完全控制%SystemRoot%system32Mem.exeAdministrators:完全控制%SystemRoot%system32Mmc.exeAdministrators:完全控制%SystemRoot%system32MAd

29、ministrators:完全控制%SystemRoot%system32MAdministrators:完全控制%SystemRoot%system32Mountvol.exeAdministrators:完全控制%SystemRoot%system32Msg.exeAdministrators:完全控制%SystemRoot%system32Nbtstat.exeAdministrators:完全控制%SystemRoot%system32Net.exeAdministrators:完全控制%SystemRoot%system32Net1.exeAdministrators:完全控制%Sy

30、stemRoot%system32Netsh.exeAdministrators:完全控制%SystemRoot%system32Netstat.exeAdministrators:完全控制%SystemRoot%system32Nslookup.exeAdministrators:完全控制%SystemRoot%system32Ntbackup.exeAdministrators:完全控制%SystemRoot%system32Ntsd.exeAdministrators:完全控制%SystemRoot%system32Pathping.exeAdministrators:完全控制%Syst

31、emRoot%system32Ping.exeAdministrators:完全控制%SystemRoot%system32Print.exeAdministrators:完全控制%SystemRoot%system32Query.exeAdministrators:完全控制%SystemRoot%system32Rasdial.exeAdministrators:完全控制%SystemRoot%system32Rcp.exeAdministrators:完全控制%SystemRoot%system32Recover.exeAdministrators:完全控制%SystemRoot%syst

32、em32Regedit.exeAdministrators:完全控制%SystemRoot%system32Regedt32.exeAdministrators:完全控制%SystemRoot%system32Regini.exeAdministrators:完全控制%SystemRoot%system32Register.exeAdministrators:完全控制%SystemRoot%system32Regsvr32.exeAdministrators:完全控制%SystemRoot%system32Replace.exeAdministrators:完全控制%SystemRoot%sy

33、stem32Reset.exeAdministrators:完全控制%SystemRoot%system32Rexec.exeAdministrators:完全控制%SystemRoot%system32Route.exeAdministrators:完全控制%SystemRoot%system32Routemon.exeAdministrators:完全控制%SystemRoot%system32Router.exeAdministrators:完全控制%SystemRoot%system32Rsh.exeAdministrators:完全控制%SystemRoot%system32Runa

34、s.exeAdministrators:完全控制%SystemRoot%system32Runonce.exeAdministrators:完全控制%SystemRoot%system32Secedit.exeAdministrators:完全控制%SystemRoot%system32Setpwd.exeAdministrators:完全控制%SystemRoot%system32Shadow.exeAdministrators:完全控制%SystemRoot%system32Share.exeAdministrators:完全控制%SystemRoot%system32Snmp.exeAd

35、ministrators:完全控制%SystemRoot%system32Snmptrap.exeAdministrators:完全控制%SystemRoot%system32Subst.exeAdministrators:完全控制%SystemRoot%system32Telnet.exeAdministrators:完全控制%SystemRoot%system32Termsrv.exeAdministrators:完全控制%SystemRoot%system32TAdministrators:完全控制%SystemRoot%system32Tlntadmin.exeAdministrato

36、rs:完全控制%SystemRoot%system32Tlntsess.exeAdministrators:完全控制%SystemRoot%system32Tlntsvr.exeAdministrators:完全控制%SystemRoot%system32Tracert.exeAdministrators:完全控制%SystemRoot%system32TAdministrators:完全控制%SystemRoot%system32Tsadmin.exeAdministrators:完全控制%SystemRoot%system32Tscon.exeAdministrators:完全控制%Sys

37、temRoot%system32Tsdiscon.exeAdministrators:完全控制%SystemRoot%system32Tskill.exeAdministrators:完全控制%SystemRoot%system32Tsprof.exeAdministrators:完全控制%SystemRoot%system32Tsshutdn.exeAdministrators:完全控制%SystemRoot%system32UAdministrators:完全控制%SystemRoot%system32Wscript.exeAdministrators:完全控制%SystemRoot%sy

38、stem32Xcopy.exeAdministrators:完全控制1.7 系統(tǒng)審計(jì)日志應(yīng)用程序、安全性和系統(tǒng)事件日志的設(shè)置都應(yīng)在域策略中配置并應(yīng)用到域中的所有成員服務(wù)器。建議設(shè)置日志大小為10M字節(jié)，配置為不改寫事件審計(jì)策略應(yīng)根據(jù)以下設(shè)置按照具體需要修改：策略計(jì)算機(jī)設(shè)置審計(jì)賬戶登錄事件成功，失敗審計(jì)賬戶管理成功，失敗審計(jì)目錄服務(wù)訪問(wèn)失敗審計(jì)登錄事件成功，失敗審計(jì)對(duì)象訪問(wèn)成功，失敗審計(jì)策略更改成功，失敗審計(jì)特權(quán)使用失敗審計(jì)過(guò)程追蹤無(wú)審計(jì)審計(jì)系統(tǒng)事件成功，失敗限制對(duì)應(yīng)用程序日志的來(lái)賓訪問(wèn)啟用限制對(duì)安全日志的來(lái)賓訪問(wèn)啟用限制對(duì)系統(tǒng)日志的來(lái)賓訪問(wèn)啟用應(yīng)用程序日志的保留方法不要改寫事件（手動(dòng)清除日志）

39、安全日志的保留方法不要改寫事件（手動(dòng)清除日志）系統(tǒng)日志的保留方法不要改寫事件（手動(dòng)清除日志）安全審計(jì)日志滿后關(guān)閉計(jì)算機(jī)未定義經(jīng)常使用其做安全性檢查，檢查的內(nèi)容。1.8 服務(wù)管理1.8.1 成員服務(wù)器Windows首次安裝時(shí)，創(chuàng)建默認(rèn)服務(wù)并將其配置為在系統(tǒng)啟動(dòng)時(shí)運(yùn)行這些服務(wù)中有一些在許多環(huán)境中都不需要運(yùn)行，再者，因?yàn)槿魏畏?wù)都是一個(gè)潛在的受攻擊點(diǎn)，所以應(yīng)禁用不必要的服務(wù)。下面的配置是windows成員服務(wù)器加入windows域并提供基本管理服務(wù)所必需的服務(wù)，建議除這些服務(wù)以外，根據(jù)實(shí)際情況禁止其它服務(wù)。服務(wù)啟動(dòng)類型包括在成員服務(wù)器基準(zhǔn)策略中的理由COM+事件服務(wù)手動(dòng)允許組件服務(wù)的管理DHCP客戶端自動(dòng)更新動(dòng)態(tài)DNS中的記錄所需分布式鏈接跟蹤客戶端自動(dòng)用來(lái)維護(hù)NTFS卷上的鏈接DNS客戶端自動(dòng)允許解析DNS名稱事件日志自動(dòng)允許在事件日志中查看事件日志消息邏輯磁盤管理器自動(dòng)需要它來(lái)確保動(dòng)態(tài)磁盤信息保持最新邏輯磁盤管理器管理服務(wù)手動(dòng)需要它以執(zhí)行磁盤管理Netlogon自動(dòng)加入域時(shí)所需網(wǎng)絡(luò)連接手動(dòng)網(wǎng)絡(luò)通訊所需性能日志和警報(bào)手動(dòng)收集計(jì)算機(jī)的性能數(shù)據(jù)，向日志中寫入或觸發(fā)警報(bào)即插即用自動(dòng)Windows2000標(biāo)識(shí)和使用系統(tǒng)硬件時(shí)所需受保護(hù)的存儲(chǔ)區(qū)自動(dòng)需要用它保護(hù)敏感數(shù)據(jù)，如私鑰遠(yuǎn)程過(guò)程調(diào)用（RPC）自動(dòng)Windows2000中的內(nèi)部過(guò)程所需遠(yuǎn)程注冊(cè)服務(wù)自動(dòng)hfnetchk實(shí)用工具所需