微軟Windows操作系統(tǒng)安全加固標(biāo)準(zhǔn)

1、第 1 頁(yè) 共 20 頁(yè)windows安全加固建議書第 2 頁(yè) 共 20 頁(yè)目 錄1 配置標(biāo)準(zhǔn) . 31.1 組策略管理 . 31.1.1 組策略的重要性. 31.1.2 組策略的應(yīng)用方式. 31.1.3 組策略的實(shí)施 . 41.2 用戶賬號(hào)控制. 51.2.1 密碼策略 . 51.2.2 復(fù)雜性要求 . 51.2.3 賬戶鎖定策略 . 51.2.4 內(nèi)置賬戶安全 . 61.3 安全選項(xiàng)策略. 61.4 注冊(cè)表安全配置. 81.4.1 針對(duì)網(wǎng)絡(luò)攻擊的安全考慮事項(xiàng). 81.4.2 禁用文件名的自動(dòng)生成. 91.4.3 禁用 lmhash 創(chuàng)建 . 91.4.4 配置 ntlmssp 安全 . 1

2、0 1.4.5 禁用自動(dòng)運(yùn)行功能. 10 1.5 補(bǔ)丁管理 . 11 1.5.1 確定修補(bǔ)程序當(dāng)前版本狀態(tài). 11 1.5.2 部署修補(bǔ)程序 . 11 1.6 文件 /目錄控制 . 11 1.6.1 目錄保護(hù) . 11 1.6.2 文件保護(hù) . 12 1.7 系統(tǒng)審計(jì)日志. 16 1.8 服務(wù)管理 . 17 1.8.1 成員服務(wù)器 . 17 1.8.2 域控制器 . 18 1.9 其它配置安全. 19 1.9.1 確保所有的磁盤卷使用ntfs 文件系統(tǒng) . 19 1.9.2 系統(tǒng)啟動(dòng)設(shè)置 . 19 1.9.3 屏保 . 19 第 3 頁(yè) 共 20 頁(yè)1 配置標(biāo)準(zhǔn)1.1 組策略管理1.1.1組策

3、略的重要性windows 組策略有助于在您的active directory 域中為所有工作站和服務(wù)器實(shí)現(xiàn)安全策略中的技術(shù)建議?？梢詫⒔M策略和ou 結(jié)構(gòu)結(jié)合使用， 為特定服務(wù)器角色定義其特定的安全設(shè)置。如果使用組策略來(lái)實(shí)現(xiàn)安全設(shè)置，則可以確保對(duì)某一策略進(jìn)行的任何更改都將應(yīng)用到使用該策略的所有服務(wù)器，并且新的服務(wù)器將自動(dòng)獲取新的設(shè)置。1.1.2組策略的應(yīng)用方式一個(gè)用戶或計(jì)算機(jī)對(duì)象可能受多個(gè)組策略對(duì)象（gpo） 的約束。這些gpo 按順序應(yīng)用，并且設(shè)置不斷累積，除發(fā)生沖突外，在默認(rèn)情況下，較遲的策略中的設(shè)置將替代較早的策略中的設(shè)置。第一個(gè)應(yīng)用的策略是本地gpo，在本地 gpo 之后，后來(lái)的 gpo

4、 依次在站點(diǎn)、域、父組織單位（ ou） 和子 ou 上應(yīng)用。下圖顯示了每個(gè)策略是如何應(yīng)用的：第 4 頁(yè) 共 20 頁(yè)1.1.3組策略的實(shí)施在 windows 局域網(wǎng)中實(shí)施安全管理應(yīng)分別從服務(wù)器和工作站兩方面進(jìn)行。首先應(yīng)在服務(wù)器上安裝活動(dòng)目錄服務(wù)，然后在域上實(shí)施組策略；其次應(yīng)將工作站置于服務(wù)器所管理的域中。啟動(dòng)活動(dòng)目錄服務(wù)在“ 程 序 管 理 工 具 配 置 服 務(wù) 器 ” 選 項(xiàng) 中 ， 選 定 左 邊 的 “active directory”，啟動(dòng)活動(dòng)目錄安裝向?qū)А⒎?wù)器設(shè)置為第一個(gè)域目錄樹(shù)，dns域名輸入提供的域名。打開(kāi)組策略控制臺(tái)啟動(dòng)“active directory 目錄和用戶 ”

5、項(xiàng)，在右面對(duì)象容器樹(shù)中的根目錄上單擊右鍵，然后單擊 “ 屬性” 項(xiàng)，在新打開(kāi)的窗口中單擊“ 組策略 ” 選項(xiàng)卡，即可打開(kāi)組策略控制臺(tái)。創(chuàng)建 ou 結(jié)構(gòu)1)啟動(dòng) active directory 用戶和計(jì)算機(jī)。2)右鍵單擊域名，選擇新建，然后選擇組織單位。3)鍵入成員服務(wù)器，然后單擊確定。4)右鍵單擊成員服務(wù)器，選擇新建，然后選擇組織單位。5)鍵入應(yīng)用程序服務(wù)器，然后單擊確定。6)針對(duì)文件和打印服務(wù)器、iis 服務(wù)器和基礎(chǔ)結(jié)構(gòu)服務(wù)器重復(fù)第5 步和第 6 步。設(shè)置組策略位于組策略對(duì)象 “ 安全設(shè)置 ” 節(jié)點(diǎn)的容器包括：賬戶策略、本地策略、事件日志、受限組、系統(tǒng)服務(wù)、注冊(cè)表、文件系統(tǒng)、公鑰策略、ac

6、tive directory中的網(wǎng)際協(xié)議安全策略等。具體的設(shè)置在本標(biāo)準(zhǔn)的相應(yīng)章節(jié)中詳細(xì)說(shuō)明。第 5 頁(yè) 共 20 頁(yè)1.2 用戶賬號(hào)控制1.2.1密碼策略默認(rèn)情況下，將對(duì)域中的所有服務(wù)器強(qiáng)制執(zhí)行一個(gè)標(biāo)準(zhǔn)密碼策略。下表列出了一個(gè)標(biāo)準(zhǔn)密碼策略的設(shè)置以及針對(duì)您的環(huán)境建議的最低設(shè)置。策略默認(rèn)設(shè)置推薦最低設(shè)置強(qiáng)制執(zhí)行密碼歷史記錄記住 1 個(gè)密碼記住24 個(gè)密碼密碼最長(zhǎng)期限42 天42 天密碼最短期限0 天2 天最短密碼長(zhǎng)度0 個(gè)字符8 個(gè)字符密碼必須符合復(fù)雜性要求禁用啟用為域中所有用戶使用可還原的加密來(lái)儲(chǔ)存密碼禁用禁用1.2.2復(fù)雜性要求當(dāng)組策略的 “ 密碼必須符合復(fù)雜性要求” 設(shè)置啟用后，它要求密碼必

7、須為6 個(gè)字符長(zhǎng)（但我們建議您將此值設(shè)置為8 個(gè)字符） 。它還要求密碼中必須包含下面類別中至少三個(gè)類別的字符：英語(yǔ)大寫字母a, b, c, z 英語(yǔ)小寫字母a, b, c, z 西方阿拉伯?dāng)?shù)字0, 1, 2, 9 非字母數(shù)字字符，如標(biāo)點(diǎn)符號(hào)1.2.3賬戶鎖定策略有效的賬戶鎖定策略有助于防止攻擊者猜出您賬戶的密碼。下表列出了一個(gè)默認(rèn)賬戶鎖定策略的設(shè)置以及針對(duì)您的環(huán)境推薦的最低設(shè)置。策略默認(rèn)設(shè)置推薦最低設(shè)置賬戶鎖定時(shí)間未定義30 分鐘賬戶鎖定閾值0 5 次無(wú)效登錄第 6 頁(yè) 共 20 頁(yè)復(fù)位賬戶鎖定計(jì)數(shù)器未定義30 分鐘用戶被賦予唯一的用戶名、用戶id（uid）和口令。用戶名口令長(zhǎng)度規(guī)定。1.2.

8、4內(nèi)置賬戶安全windows 有幾個(gè)內(nèi)置的用戶賬戶，它們不可刪除，但可以重命名。其中g(shù)uest （來(lái)賓）賬戶應(yīng)禁用的，管理員賬戶應(yīng)重命名而且其描述也要更改，以防攻擊者使用已知用戶名破壞一個(gè)遠(yuǎn)程服務(wù)器。1.3 安全選項(xiàng)策略域策略中的安全選項(xiàng)應(yīng)根據(jù)以下設(shè)置按照具體需要修改：選項(xiàng)設(shè)置對(duì)匿名連接的附加限制沒(méi)有顯式匿名權(quán)限就無(wú)法訪問(wèn)允許服務(wù)器操作員計(jì)劃任務(wù)(僅用于域控制器 ) 禁用允許在未登錄前系統(tǒng)關(guān)機(jī)禁用允許彈出可移動(dòng)ntfs 媒體管理員在斷開(kāi)會(huì)話之前所需的空閑時(shí)間15 分鐘對(duì)全局系統(tǒng)對(duì)象的訪問(wèn)進(jìn)行審計(jì)禁用對(duì)備份和還原權(quán)限的使用進(jìn)行審計(jì)禁用登錄時(shí)間過(guò)期就自動(dòng)注銷用戶未定義（見(jiàn)附注）當(dāng)?shù)卿洉r(shí)間過(guò)期就自動(dòng)

9、注銷用戶（本地）啟用在系統(tǒng)關(guān)機(jī)時(shí)清除虛擬內(nèi)存頁(yè)面交換文件啟用對(duì)客戶端通訊使用數(shù)字簽名（始終）啟用對(duì)客戶端通訊使用數(shù)字簽名(如果可能 ) 啟用對(duì)服務(wù)器通訊使用數(shù)字簽名（始終）啟用對(duì)服務(wù)器通訊進(jìn)行數(shù)字簽名(如果可能 ) 啟用禁用按ctrl+alt+del 進(jìn)行登錄的設(shè)置禁用登錄屏幕上不要顯示上次登錄的用戶名啟用第 7 頁(yè) 共 20 頁(yè)lan manager 身份驗(yàn)證級(jí)別僅發(fā)送ntlmv2 響應(yīng)，拒絕 lm & ntlm 用戶嘗試登錄時(shí)消息文字用戶嘗試登錄時(shí)消息標(biāo)題緩沖保存的以前登錄次數(shù)（在域控制器不可用的情況下）0 次登錄防止計(jì)算機(jī)賬戶密碼的系統(tǒng)維護(hù)禁用防止用戶安裝打印機(jī)驅(qū)動(dòng)程序啟用在密碼

10、到期前提示用戶更改密碼14 天故障恢復(fù)控制臺(tái)：允許自動(dòng)管理登錄禁用故障恢復(fù)控制臺(tái)： 允許對(duì)驅(qū)動(dòng)器和文件夾進(jìn)行軟盤復(fù)制和訪問(wèn)禁用重命名系統(tǒng)管理員賬戶未定義重命名來(lái)賓賬戶未定義只有本地登錄的用戶才能訪問(wèn)cd-rom 啟用只有本地登錄的用戶才能訪問(wèn)軟盤啟用安全通道：對(duì)安全通道數(shù)據(jù)進(jìn)行數(shù)字加密或簽名（始終）啟用安全通道：對(duì)安全通道數(shù)據(jù)進(jìn)行數(shù)字加密（如果可能）啟用安全通道：對(duì)安全通道數(shù)據(jù)進(jìn)行數(shù)字簽名（如果可能）啟用安全通道 : 需要強(qiáng)(windows 2000 或以上版本 ) 會(huì)話密鑰啟用安全系統(tǒng)磁盤分區(qū)（只適于risc 操作平臺(tái)）未定義發(fā)送未加密的密碼以連接到第三方smb 服務(wù)器。禁用如果無(wú)法記錄安全

11、審計(jì)則立即關(guān)閉系統(tǒng)啟用（見(jiàn)第二條附注）智能卡移除操作鎖定工作站增強(qiáng)全局系統(tǒng)對(duì)象的默認(rèn)權(quán)限（例如symbolic links ）啟用未簽名驅(qū)動(dòng)程序的安裝操作禁止安裝未簽名非驅(qū)動(dòng)程序的安裝操作允許安裝但發(fā)出警告在上面的推薦配置中，下面幾項(xiàng)由于直接影響了域中各服務(wù)器間通訊的方式，可能會(huì)對(duì)服務(wù)器性能有影響。對(duì)匿名連接的附加限制默認(rèn)情況下， windows 允許匿名用戶執(zhí)行某些活動(dòng)，如枚舉域賬戶和網(wǎng)絡(luò)共享區(qū)的名稱。這使得攻擊者無(wú)需用一個(gè)用戶賬戶進(jìn)行身份驗(yàn)證就可以查看遠(yuǎn)程服務(wù)器上的這些賬戶和共享名。為更好地保護(hù)匿名訪問(wèn)， 可以配置 “ 沒(méi)第 8 頁(yè) 共 20 頁(yè)有顯式匿名權(quán)限就無(wú)法訪問(wèn)” 。這樣做的效果是

12、將everyone（所有人）組從匿名用戶令牌中刪除。對(duì)服務(wù)器的任何匿名訪問(wèn)都將被禁止，而且對(duì)任何資源都將要求顯式訪問(wèn)。lan manager 身份驗(yàn)證級(jí)別microsoft windows 9x 和 windows nt? 操作系統(tǒng)不能使用kerberos 進(jìn)行身份驗(yàn)證，所以， 在默認(rèn)情況下，在 windows 2000 域中它們使用ntlm 協(xié)議進(jìn)行網(wǎng)絡(luò)身份驗(yàn)證。您可以通過(guò)使用ntlmv2 對(duì)windows 9x 和windows nt 強(qiáng)制執(zhí)行一個(gè)更安全的身份驗(yàn)證協(xié)議。對(duì)于登錄過(guò)程， ntlmv2 引入了一個(gè)安全的通道來(lái)保護(hù)身份驗(yàn)證過(guò)程。在關(guān)機(jī)時(shí)清理虛擬內(nèi)存頁(yè)面交換文件實(shí)際內(nèi)存中保存的重要

13、信息可以周期性地轉(zhuǎn)儲(chǔ)到頁(yè)面交換文件中。這有助于 windows 處理多任務(wù)功能。如果啟用此選項(xiàng)，windows 2000 將在關(guān)機(jī)時(shí)清理頁(yè)面交換文件，將存儲(chǔ)在那里的所有信息清除掉。根據(jù)頁(yè)面交換文件的大小不同，系統(tǒng)可能需要幾分鐘的時(shí)間才能完全關(guān)閉。對(duì)客戶端 /服務(wù)器通訊使用數(shù)字簽名在高度安全的網(wǎng)絡(luò)中實(shí)現(xiàn)數(shù)字簽名有助于防止客戶機(jī)和服務(wù)器被模仿（即所謂 “ 會(huì)話劫持 ” 或“ 中間人 ” 攻擊）。服務(wù)器消息塊(smb) 簽名既可驗(yàn)證用戶身份，又可驗(yàn)證托管數(shù)據(jù)的服務(wù)器的身份。如有任何一方不能通過(guò)身份驗(yàn)證，數(shù)據(jù)傳輸就不能進(jìn)行。在實(shí)現(xiàn)了smb 后，為對(duì)服務(wù)器間的每一個(gè)數(shù)據(jù)包進(jìn)行簽名和驗(yàn)證，性能最多會(huì)降低1

14、5%。1.4 注冊(cè)表安全配置1.4.1針對(duì)網(wǎng)絡(luò)攻擊的安全考慮事項(xiàng)有些拒絕服務(wù)攻擊可能會(huì)給windows 服務(wù)器上的tcp/ip 協(xié)議棧造成威脅。這些注冊(cè)表設(shè)置有助于提高windows tcp/ip 協(xié)議棧抵御標(biāo)準(zhǔn)類型的拒絕服務(wù)網(wǎng)絡(luò)攻擊的能力。下面的注冊(cè)表項(xiàng)作為的 子 項(xiàng) 添第 9 頁(yè) 共 20 頁(yè)加：項(xiàng)格式值（十進(jìn)制）enableicmpredirect dword 0 enablesecurityfilters dword 1 synattackprotect dword 2 enabledeadgwdetect dword 0 enablepmtudiscovery dword 0 kee

15、palivetime dword 300,000 disableipsourcerouting dword 2 tcpmaxconnectresponseretransmissions dword 2 tcpmaxdataretransmissions dword 3 nonamereleaseondemand dword 1 performrouterdiscovery dword 0 tcpmaxportsexhausted dword 5 1.4.2禁用文件名的自動(dòng)生成為與 16 位應(yīng)用程序的向后兼容， windows 支持 8.3 文件名格式。這意味著攻擊者只需要8 個(gè)字符即可引用可能

16、有20 個(gè)字符長(zhǎng)的文件。如果您不再使用 16 位應(yīng)用程序， 則可以將此功能關(guān)閉。 禁用 ntfs 分區(qū)上的短文件名 生 成 還 可 以 提 高 目 錄 枚 舉 性 能 。 下 面 的 注 冊(cè) 表 項(xiàng) 作 為hklmsystemcurrentcontrolsetcontrolfilesystem 的子項(xiàng)添加：項(xiàng)格式值（十進(jìn)制）ntfsdisable8dot3namecreation dword 1 1.4.3禁用lmhash 創(chuàng)建windows 服務(wù)器可以驗(yàn)證運(yùn)行任何以前windows 版本的計(jì)算機(jī)的身份。然而，以前版本的windows 不使用kerberos 進(jìn)行身份驗(yàn)證，所以windows

17、支持 lan manager (lm) 、windows nt (ntlm) 和 ntlm 版本 2 (ntlmv2) 。相比之下， lm 散列運(yùn)算的能力比ntlm 弱，因而易在猛烈攻第 10 頁(yè) 共 20 頁(yè)擊下被攻破。如果您沒(méi)有需要lm 身份驗(yàn)證的客戶機(jī)，則應(yīng)禁用lm 散列的存儲(chǔ)。windows 2000 service pack 2 提供了一個(gè)注冊(cè)表設(shè)置以禁用lm 散列的存儲(chǔ)。下面 的注 冊(cè)表 項(xiàng) 作 為hklmsystemcurrentcontrolsetcontrollsa 的一個(gè)子項(xiàng)添加：項(xiàng)格式值（十進(jìn)制）nolmhash dword 1 1.4.4配置ntlmssp 安全ntlm

18、 安全支持提供程序(ntlmssp) 允許您按應(yīng)用程序指定服務(wù)器端網(wǎng)絡(luò)連接的最低必需安全設(shè)置。 下面的配置可以確保， 如果使用了消息保密但未協(xié)商128 位 加 密 ， 則 連 接 將 失 敗 。 下 面 的注 冊(cè) 表 項(xiàng) 作 為hklmsystemcurrentcontrolsetcontrollsamsv1_0 的一個(gè)子項(xiàng)添加：項(xiàng)格式值（十六進(jìn)制）ntlmminserversec dword 0 x20000000 1.4.5禁用自動(dòng)運(yùn)行功能一旦媒體插入一個(gè)驅(qū)動(dòng)器，自動(dòng)運(yùn)行功能就開(kāi)始從該驅(qū)動(dòng)器讀取數(shù)據(jù)。這樣，程序的安裝文件和音頻媒體上的聲音就可以立即啟動(dòng)。為防止可能有惡意的程序在媒體插入時(shí)就

19、啟動(dòng)， 組策略禁用了所有驅(qū)動(dòng)器的自動(dòng)運(yùn)行功能。下面的注冊(cè)表項(xiàng)作為的 一個(gè)子項(xiàng)添加：項(xiàng)格式值（十六進(jìn)制）nodrivetypeautorun dword 0 xff 第 11 頁(yè) 共 20 頁(yè)1.5 補(bǔ)丁管理1.5.1確定修補(bǔ)程序當(dāng)前版本狀態(tài)注冊(cè)表中查看hklmsoftwaremicrosoftwindows ntcurrentversionhotfix 鍵，可以看到打過(guò)的補(bǔ)丁對(duì)應(yīng)的修復(fù)程序的知識(shí)庫(kù)文章編號(hào)。如果已經(jīng)部署了microsoft systems management server (sms) ，則其軟件部署功能可用于將修補(bǔ)程序部署到環(huán)境中具有sms 客戶端的所有計(jì)算機(jī)，并確認(rèn)每臺(tái)計(jì)算

20、機(jī)所安裝的補(bǔ)丁程序的當(dāng)前版本和狀態(tài)。1.5.2部署修補(bǔ)程序可以使用手工執(zhí)行修補(bǔ)程序的方法安裝，修補(bǔ)程序一般是一個(gè)可執(zhí)行文件，其名稱表示了修補(bǔ)的信息。如：q292435_w2k_sp3_x86_en.exe 。q292435 是知識(shí)庫(kù)文章編號(hào)，您可在其中查找有關(guān)該即時(shí)修復(fù)程序的詳細(xì)信息。w2k 是它所針對(duì)的產(chǎn)品(microsoft windows 2000) sp3 是將要包括它的service pack 。x86 是它所面向的處理器體系結(jié)構(gòu)。en 是語(yǔ)言（英語(yǔ)）。如果安裝了 microsoft software update services (sus) 程序， 可以使用 sus集中部署指定范

21、圍（指定域或ip 地址范圍）的主機(jī)的修補(bǔ)程序。1.6 文件 /目錄控制1.6.1目錄保護(hù)受保護(hù)的目錄如下表所示：保護(hù)的目錄應(yīng)用的權(quán)限%systemdrive% administrators ：完全控制第 12 頁(yè) 共 20 頁(yè)system：完全控制authenticated users：讀取和執(zhí)行、列出文件夾內(nèi)容、讀取%systemroot%repair %systemroot%security %systemroot%temp %systemroot%system32config %systemroot%system32logfiles administrators ：完全控制creator

22、/owner：完全控制system：完全控制%systemdrive%inetpub administrators ：完全控制system：完全控制everyone：讀取和執(zhí)行、列出文件夾內(nèi)容、讀取其中 %systemroot% 定義了windows 系統(tǒng)文件所在的路徑和文件夾名，%systemdrive% 定義了包含%systemroot% 的驅(qū)動(dòng)器。1.6.2文件保護(hù)受保護(hù)的文件如下表所示：文件基準(zhǔn)權(quán)限%systemdrive%boot.ini administrators ：完全控制system：完全控制%systemdrive%n administrators ：完全控制system：

23、完全控制%systemdrive%ntldr administrators ：完全控制system：完全控制%systemdrive%io.sys administrators ：完全控制system：完全控制%systemdrive%autoexec.bat administrators ：完全控制system：完全控制authenticated users：讀取和執(zhí)行、列出文件夾內(nèi)容、讀取%systemdir%config administrators ：完全控制system：完全控制authenticated users：讀取和執(zhí)行、列出文件夾內(nèi)容、讀取%systemroot%syste

24、m32append.exe administrators ：完全控制%systemroot%system32arp.exe administrators ：完全控制%systemroot%system32at.exe administrators ：完全控制%systemroot%system32attrib.exe administrators ：完全控制第 13 頁(yè) 共 20 頁(yè)%systemroot%system32cacls.exe administrators ：完全控制%systemroot%system32change.exe administrators ：完全控制%syste

25、mroot%system32c administrators ：完全控制%systemroot%system32chglogon.exe administrators ：完全控制%systemroot%system32chgport.exe administrators ：完全控制%systemroot%system32chguser.exe administrators ：完全控制%systemroot%system32chkdsk.exe administrators ：完全控制%systemroot%system32chkntfs.exe administrators ：完全控制%sys

26、temroot%system32cipher.exe administrators ：完全控制%systemroot%system32cluster.exe administrators ：完全控制%systemroot%system32cmd.exe administrators ：完全控制%systemroot%system32compact.exe administrators ：完全控制%systemroot%system32c administrators ：完全控制%systemroot%system32convert.exe administrators ：完全控制%system

27、root%system32cscript.exe administrators ：完全控制%systemroot%system32debug.exe administrators ：完全控制%systemroot%system32dfscmd.exe administrators ：完全控制%systemroot%system32d administrators ：完全控制%systemroot%system32d administrators ：完全控制%systemroot%system32doskey.exe administrators ：完全控制%systemroot%system3

28、2edlin.exe administrators ：完全控制%systemroot%system32exe2bin.exe administrators ：完全控制%systemroot%system32expand.exe administrators ：完全控制%systemroot%system32fc.exe administrators ：完全控制%systemroot%system32find.exe administrators ：完全控制%systemroot%system32findstr.exe administrators ：完全控制%systemroot%system

29、32finger.exe administrators ：完全控制%systemroot%system32forcedos.exe administrators ：完全控制%systemroot%system32f administrators ：完全控制%systemroot%system32ftp.exe administrators ：完全控制第 14 頁(yè) 共 20 頁(yè)%systemroot%system32hostname.exe administrators ：完全控制%systemroot%system32iisreset.exe administrators ：完全控制%syst

30、emroot%system32ipconfig.exe administrators ：完全控制%systemroot%system32ipxroute.exe administrators ：完全控制%systemroot%system32label.exe administrators ：完全控制%systemroot%system32logoff.exe administrators ：完全控制%systemroot%system32lpq.exe administrators ：完全控制%systemroot%system32lpr.exe administrators ：完全控制%s

31、ystemroot%system32makecab.exe administrators ：完全控制%systemroot%system32mem.exe administrators ：完全控制%systemroot%system32mmc.exe administrators ：完全控制%systemroot%system32m administrators ：完全控制%systemroot%system32m administrators ：完全控制%systemroot%system32mountvol.exe administrators ：完全控制%systemroot%syste

32、m32msg.exe administrators ：完全控制%systemroot%system32nbtstat.exe administrators ：完全控制%systemroot%system32net.exe administrators ：完全控制%systemroot%system32net1.exe administrators ：完全控制%systemroot%system32netsh.exe administrators ：完全控制%systemroot%system32netstat.exe administrators ：完全控制%systemroot%system

33、32nslookup.exe administrators ：完全控制%systemroot%system32ntbackup.exe administrators ：完全控制%systemroot%system32ntsd.exe administrators ：完全控制%systemroot%system32pathping.exe administrators ：完全控制%systemroot%system32ping.exe administrators ：完全控制%systemroot%system32print.exe administrators ：完全控制%systemroot

34、%system32query.exe administrators ：完全控制%systemroot%system32rasdial.exe administrators ：完全控制%systemroot%system32rcp.exe administrators ：完全控制%systemroot%system32recover.exe administrators ：完全控制第 15 頁(yè) 共 20 頁(yè)%systemroot%system32regedit.exe administrators ：完全控制%systemroot%system32regedt32.exe administrat

35、ors ：完全控制%systemroot%system32regini.exe administrators ：完全控制%systemroot%system32register.exe administrators ：完全控制%systemroot%system32regsvr32.exe administrators ：完全控制%systemroot%system32replace.exe administrators ：完全控制%systemroot%system32reset.exe administrators ：完全控制%systemroot%system32rexec.exe ad

36、ministrators ：完全控制%systemroot%system32route.exe administrators ：完全控制%systemroot%system32routemon.exe administrators ：完全控制%systemroot%system32router.exe administrators ：完全控制%systemroot%system32rsh.exe administrators ：完全控制%systemroot%system32runas.exe administrators ：完全控制%systemroot%system32runonce.ex

37、e administrators ：完全控制%systemroot%system32secedit.exe administrators ：完全控制%systemroot%system32setpwd.exe administrators ：完全控制%systemroot%system32shadow.exe administrators ：完全控制%systemroot%system32share.exe administrators ：完全控制%systemroot%system32snmp.exe administrators ：完全控制%systemroot%system32snmpt

38、rap.exe administrators ：完全控制%systemroot%system32subst.exe administrators ：完全控制%systemroot%system32telnet.exe administrators ：完全控制%systemroot%system32termsrv.exe administrators ：完全控制%systemroot%system32tftp.exe administrators ：完全控制%systemroot%system32tlntadmin.exe administrators ：完全控制%systemroot%syst

39、em32tlntsess.exe administrators ：完全控制%systemroot%system32tlntsvr.exe administrators ：完全控制%systemroot%system32tracert.exe administrators ：完全控制%systemroot%system32t administrators ：完全控制%systemroot%system32tsadmin.exe administrators ：完全控制第 16 頁(yè) 共 20 頁(yè)%systemroot%system32tscon.exe administrators ：完全控制%s

40、ystemroot%system32tsdiscon.exe administrators ：完全控制%systemroot%system32tskill.exe administrators ：完全控制%systemroot%system32tsprof.exe administrators ：完全控制%systemroot%system32tsshutdn.exe administrators ：完全控制%systemroot%system32u administrators ：完全控制%systemroot%system32wscript.exe administrators ：完全控制

41、%systemroot%system32xcopy.exe administrators ：完全控制1.7 系統(tǒng)審計(jì)日志應(yīng)用程序、安全性和系統(tǒng)事件日志的設(shè)置都應(yīng)在域策略中配置并應(yīng)用到域中的所有成員服務(wù)器。 建議設(shè)置日志大小為10m 字節(jié)，配置為不改寫事件。審計(jì)策略應(yīng)根據(jù)以下設(shè)置按照具體需要修改：策略計(jì)算機(jī)設(shè)置審計(jì)賬戶登錄事件成功，失敗審計(jì)賬戶管理成功，失敗審計(jì)目錄服務(wù)訪問(wèn)失敗審計(jì)登錄事件成功，失敗審計(jì)對(duì)象訪問(wèn)成功，失敗審計(jì)策略更改成功，失敗審計(jì)特權(quán)使用失敗審計(jì)過(guò)程追蹤無(wú)審計(jì)審計(jì)系統(tǒng)事件成功，失敗限制對(duì)應(yīng)用程序日志的來(lái)賓訪問(wèn)啟用限制對(duì)安全日志的來(lái)賓訪問(wèn)啟用限制對(duì)系統(tǒng)日志的來(lái)賓訪問(wèn)啟用應(yīng)用程序日志

42、的保留方法不要改寫事件(手動(dòng)清除日志 ) 安全日志的保留方法不要改寫事件(手動(dòng)清除日志 ) 系統(tǒng)日志的保留方法不要改寫事件(手動(dòng)清除日志 ) 第 17 頁(yè) 共 20 頁(yè)安全審計(jì)日志滿后關(guān)閉計(jì)算機(jī)未定義經(jīng)常使用其做安全性檢查，檢查的內(nèi)容。1.8 服務(wù)管理1.8.1成員服務(wù)器windows 首次安裝時(shí)，創(chuàng)建默認(rèn)服務(wù)并將其配置為在系統(tǒng)啟動(dòng)時(shí)運(yùn)行。這些服務(wù)中有一些在許多環(huán)境中都不需要運(yùn)行，再者，因?yàn)槿魏畏?wù)都是一個(gè)潛在的受攻擊點(diǎn)，所以應(yīng)禁用不必要的服務(wù)。下面的配置是 windows 成員服務(wù)器加入 windows 域并提供基本管理服務(wù)所必需的服務(wù)，建議除這些服務(wù)以外，根據(jù)實(shí)際情況禁止其它服務(wù)。服務(wù)啟動(dòng)

43、類型包括在成員服務(wù)器基準(zhǔn)策略中的理由com+ 事件服務(wù)手動(dòng)允許組件服務(wù)的管理dhcp 客戶端自動(dòng)更新動(dòng)態(tài)dns 中的記錄所需分布式鏈接跟蹤客戶端自動(dòng)用來(lái)維護(hù)ntfs 卷上的鏈接dns 客戶端自動(dòng)允許解析dns 名稱事件日志自動(dòng)允許在事件日志中查看事件日志消息邏輯磁盤管理器自動(dòng)需要它來(lái)確保動(dòng)態(tài)磁盤信息保持最新邏輯磁盤管理器管理服務(wù)手動(dòng)需要它以執(zhí)行磁盤管理netlogon 自動(dòng)加入域時(shí)所需網(wǎng)絡(luò)連接手動(dòng)網(wǎng)絡(luò)通訊所需性能日志和警報(bào)手動(dòng)收集計(jì)算機(jī)的性能數(shù)據(jù)，向日志中寫入或觸發(fā)警報(bào)即插即用自動(dòng)windows 2000 標(biāo)識(shí)和使用系統(tǒng)硬件時(shí)所需受保護(hù)的存儲(chǔ)區(qū)自動(dòng)需要用它保護(hù)敏感數(shù)據(jù)，如私鑰遠(yuǎn)程過(guò)程調(diào)用(rpc) 自動(dòng)windows 2000 中的內(nèi)部過(guò)程所需遠(yuǎn)程注冊(cè)服務(wù)自動(dòng)hfnetchk 實(shí)用工具所需（參見(jiàn)附注