windows2008加固手册V1.0(6页).doc

-windows2008加固手册V1.0-第 6 页3.2 Windows 2008 3.2.1 系统分区采用NTFS格式在安装系统时，应该直接将分区格式化为NTFS格式，NTFS格式能带来更高的使用效率，和更好的安全性能，能提供ACL访问控制，文件加密，压缩等功能。如果磁盘文件系统为FAT32，应该将系统文件转化成NTFS格式。3.2.2 系统补丁加固时需要根据Windows update的补丁更新通告，及时安装Windows最新补丁，并需要定时进行检查是否有新的补丁。Windows 2008自动更新选项在：开始Windows Update查看高级选项，可以根据需要选择windows安装更新的方法。注意事项：建议打补丁前先做好系统及数据的备份，并在实验环境中测试成功后方可在业务系统上进行补丁安装。获取补丁：l Window update： 选择“复查并安装更新”，根据系统需求选择需要的补丁。l 获取单个补丁程序：安装补丁：更新补丁到最新l Window update安装方式可以根据提示直接安装, 安装完后需要重新启动使补丁生效。l 单个补丁，下载完后，直接双击安装，安装完后需要重新启动使补丁生效。3.2.3 权限设置严格设置文件系统权限，防止非法用户未经授权访问敏感文件、文件夹或使用危险的系统命令。对winntsystem32目录下的部分文件需做特殊权限设置，只允许system和administrators组完全控制，其余帐户、帐户组无任何权限，文件列表如下：net.exe attrib.exe net1.exe cacls.exe cmd.exe telnet.exeat.exe3.2.4 用户和组权限系统默认的用户和组可能存在安全隐患，关闭guest用户及系统无用的用户。在“控制面板/管理工具/计算机管理”中设置。用户 隐患 解决方法Administrator 管理员帐号拥有最高权限，默认的用户 administrator不能被删除停用，建 也容易被人实施穷举猜测等攻击。 议更改用户名并设置强密码，同时建立一个普通帐户的administrator用户来迷惑攻击者。Guest 来宾帐号能访问everybody权限的任何 应该检查系统guest用户是否被停 文件。 用，如果没有应该设置该用户停用。3.2.5 帐户策略(密码策略和帐户锁定策略)在“控制面板/管理工具/本地安全策略”中，在左边的选项树中选择“安全设置/帐户码策略/密码策略”。系统默认没有开启任何帐户策略，处于安全的考虑应该开启相应的策略来保障帐户的安全性。策略 设置 密码策略密码必须符合复杂性要求 启用密码长度最小值 8位密码最长保存期 60天密码最短保存期 2天强制密码历史 24个为域中用户使用可还原的加密来存储密码 停用在“控制面板/管理工具/本地安全策略”中，在左边的选项树中选择“安全设置/帐户码策略/帐户锁定策略”。 策略 设置 帐户锁定策略复位帐户锁定计数器 15分钟帐户锁定时间 15分钟帐户锁定阀值 5次无效登陆3.2.6 审核策略在“控制面板/管理工具/本地安全策略”中，在左边的选项树中选择“安全设置/本地策略/审核策略”。用户审核策略能够监控用户的登陆等事件和系统事件，合理的设置能便于发生事件后进行跟踪调查。策略 设置审核策略更改 成功/失败审核登陆事件 成功/失败审核对象访问 失败审核过程追踪 失败审核目录服务访问 失败审核特权使用 失败审核系统事件 成功/失败审核帐户登陆事件 成功/失败审核帐户管理 成功/失败3.2.7 用户权限分配在“控制面板/管理工具/本地安全策略”中，在左边的选项树中选择“安全设置/本地策略/用户权限分配”，查看以下参数的设置是否符合需求：l 从网络上访问此计算机：可以设置禁止everyone用户访问，注意，不能禁止IIS的账号的访问权利；l 关闭系统：administratorsl 取得文件或其它对象的所有权：administrators3.2.8 安全选项在“控制面板/管理工具/本地安全策略”中，在左边的选项树中选择“安全设置/本地策略/安全选项”。系统默认的部分安全选项存在安全隐患，进行合适的安全选项设置能更好的加强系统安全性。l Microsoft网络服务器：在挂起会话之前所需的空闲时间： 15 分钟 l Microsoft网络服务器：当登录时间用完时就自动注销用户： 启用 l 关机：清除虚拟内存页面文件： 启用 l 交互式登陆：不需要按 CTRL+ALT+DEL： 禁用 l 交互式登陆：不显示上次的用户名： 启用 l 网络安全：LAN Manager 身份验证级别： 仅发送 NTLMv2 响应，拒绝 LM & NTLM （可能造成某些系统无法进行身份访问）l 交互式登陆：可被缓存的以前登录次数（在域控制器不可用的情况下）： 0 次登录 l 交互式登陆：在密码到期前提示用户更改密码： 14 天 l 设备：只有本地登录的用户才能访问 CD-ROM： 启用 l 设备：只有本地登录的用户才能访问软盘： 启用 3.2.9 日志设置系统默认设置中“事件查看器”的日志文件大小为16384K，按需要覆盖事件。默认的日志文件大小,时间也过短，为便于后期事件查看应该进行更改。在“控制面板/管理工具/事件查看器”中，用鼠标右键逐一单击窗口左侧的“应用程序日志”、“安全日志”、“系统日志”，在弹出菜单中选择“属性”，在属性对话框中将日志大小该为51200KB。3.2.10 系统服务设置对系统运行的服务应该进行严格控制，一些不应该开启的服务或是会带来安全性问题的服务原则上都应该关闭。停止不需要的服务：DHCP ClientWINS ServiceSNMP ServiceFax ServiceIndexing ServicesMessenger ServicePrint SpoolerRemote Registry ServiceSimple TCP/IP ServicesTCP/IP Netbios Helper ServiceSMTP/FTP/IIS Admin/WWW Publish3.2.11 Netbios共享连接Netbios共享能带来非常高的安全威胁，默认的Admin$，IPC$，磁盘共享都能带来安全问题，建议将不需要的共享进行关闭。可通过修改注册表彻底禁止共享。参考3.2.11注册表设置。 共享 说明 设置IPC$ 远程IPC共享 关闭共享ADMIN$ 默认管理共享 关闭共享C$ 系统默认共享 关闭共享D$ 系统默认共享 关闭共享E$ 系统默认共享 关闭共享3.2.12其他安全项设置1：屏幕保护程序合理的使用屏幕保护程序能保护用户在暂时离开电脑时，被本地攻击者使用系统。启动屏幕保护程序，设置自动启动时间为5分钟，并设置密码。2：注册表设置 检查RUN、RUNONCE是否有异常程序HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun禁止C$、D$一类的缺省共享，禁止ADMIN$缺省共享HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters新建如下键：名称：AutoShareServer、类型：DWORD、值：0