Windows2000系統(tǒng)安全配置標(biāo)準(zhǔn)

Windows2000系統(tǒng)安全配置標(biāo)準(zhǔn)系統(tǒng)補(bǔ)丁安裝標(biāo)準(zhǔn)Windows2000的與安全相關(guān)的補(bǔ)丁大致分三類：ServicePack（補(bǔ)丁包）：ServicePack是經(jīng)過測試的所有修復(fù)程序、安全更新程序、關(guān)鍵更新程序以及更新程序的累積的集合。ServicePack還可能包含自產(chǎn)品發(fā)布以來針對(duì)內(nèi)部發(fā)現(xiàn)的問題的其他修復(fù)以及設(shè)計(jì)上的更改或功能上的增加。ServicePack補(bǔ)丁包涵蓋了自發(fā)布之前的所有補(bǔ)丁，是重要的補(bǔ)丁集合。SecurityPatch（安全補(bǔ)丁）：SecurityPatch是針對(duì)特定問題廣泛發(fā)布的修復(fù)程序，用于修復(fù)特定產(chǎn)品的與安全相關(guān)的漏洞。Microsoft在發(fā)布的安全公告中將SecurityPatch分級(jí)為嚴(yán)重、重要、中等、低四個(gè)等級(jí)。嚴(yán)重的安全補(bǔ)丁缺失，會(huì)造成蠕蟲快速傳播(如振蕩波，沖擊波)，對(duì)系統(tǒng)本身和網(wǎng)絡(luò)造成重大影響，這類補(bǔ)丁需要及時(shí)應(yīng)用到操作系統(tǒng)。Hotfix(修補(bǔ)程序)：Hotfix是針對(duì)某一個(gè)具體的系統(tǒng)漏洞或安全問題而發(fā)布的專門解決該漏洞或安全問題的小程序，通常稱為修補(bǔ)程序，如果在最近發(fā)布的ServicePack后面，出現(xiàn)安全方面的漏洞，通常對(duì)應(yīng)的補(bǔ)丁會(huì)以Hotfix修補(bǔ)程序的形式發(fā)布。補(bǔ)丁安裝的原則：新安裝或者重新安裝windows2000操作系統(tǒng)，必須安裝最新的ServicePack補(bǔ)丁集。必須安裝等級(jí)為嚴(yán)重和重要的SecurityPatch。有關(guān)安全方面的Hotfixes補(bǔ)丁應(yīng)當(dāng)及時(shí)安裝。安裝補(bǔ)丁不要留副本。注意：補(bǔ)丁更新要慎重，可能出現(xiàn)硬件不兼容，或者影響當(dāng)前的應(yīng)用系統(tǒng)，安裝補(bǔ)丁之前要經(jīng)過測試和驗(yàn)證。賬號(hào)和口令安全配置標(biāo)準(zhǔn)“密碼策略”配置要求通過“本地安全策略”調(diào)整默認(rèn)的“密碼策略”，提高系統(tǒng)的安全水平，“密碼策略”中各選項(xiàng)的具體要求如下表列舉：策略默認(rèn)設(shè)置安全設(shè)置強(qiáng)制執(zhí)行密碼歷史記錄記住1個(gè)密碼記住4個(gè)密碼密碼最長期限42天42天密碼最短期限0天7天最短密碼長度0個(gè)字符6個(gè)字符密碼必須符合復(fù)雜性要求禁用啟用為域中所有用戶使用可還原的加密來儲(chǔ)存密碼禁用禁用“密碼策略”的設(shè)置步驟如下圖：進(jìn)入“控制面板/管理工具/本地安全策略”，在“賬戶策略->密碼策略”。密碼復(fù)雜性配置要求在“密碼策略”中“密碼必須符合復(fù)雜性要求”選項(xiàng)啟動(dòng)后，系統(tǒng)將強(qiáng)制要求密碼的設(shè)置具備一定的強(qiáng)壯度，要求密碼至少包含以下四種類別的字符：英語大寫字母A,B,C,…Z英語小寫字母a,b,c,…z西方阿拉伯?dāng)?shù)字0,1,2,…9非字母數(shù)字字符，如標(biāo)點(diǎn)符號(hào)，@,#,$,%,&,*等賬號(hào)安全控制要求“賬戶鎖定策略”配置要求有效的賬號(hào)鎖定策略有助于防止攻擊者猜出您賬號(hào)對(duì)應(yīng)的密碼。要求按照下表要求調(diào)整“賬戶鎖定策略”：策略默認(rèn)設(shè)置安全設(shè)置賬戶鎖定時(shí)間未定義30分鐘賬戶鎖定閾值05次無效登錄復(fù)位賬戶鎖定計(jì)數(shù)器未定義30分鐘之后賬號(hào)鎖定配置具體操作如下圖：進(jìn)入“控制面板/管理工具/本地安全策略”，在“賬戶策略->賬戶鎖定策略”。系統(tǒng)內(nèi)置賬號(hào)管理要求Windows2000系統(tǒng)中存在不可刪除的內(nèi)置賬號(hào)，包括Administrator和guest。對(duì)于管理員賬號(hào)，要求更改缺省賬戶名稱，對(duì)隸屬于Administrators組的賬號(hào)要嚴(yán)格監(jiān)控；要求禁用guest（來賓）賬號(hào)，以防止攻擊者通過利用已知的用戶名破壞遠(yuǎn)程服務(wù)器。其它賬號(hào)管理要求臨時(shí)的測試賬號(hào)和過期的無用賬號(hào)應(yīng)該在3個(gè)工作日內(nèi)及時(shí)刪除。（注：測試賬號(hào)和無用賬號(hào)不是系統(tǒng)默認(rèn)安裝時(shí)生成的，是系統(tǒng)操作過程中人為新增的賬號(hào)，從系統(tǒng)安全加固的角度來看，此類賬號(hào)應(yīng)該及時(shí)刪除。）目錄和文件權(quán)限控制標(biāo)準(zhǔn)權(quán)限控制遵循以下幾個(gè)原則：權(quán)限是累計(jì)的拒絕的權(quán)限要比允許的權(quán)限高文件權(quán)限比文件夾權(quán)限高。目錄保護(hù)配置要求要求按照下表內(nèi)容對(duì)受保護(hù)的目錄權(quán)限進(jìn)行設(shè)置，缺省情況下，Administrators組和SYSTEM具有完全控制的權(quán)限，Everyone組具有讀取及運(yùn)行的權(quán)限，對(duì)于多個(gè)賬戶使用一臺(tái)主機(jī)，要求根據(jù)具體情況對(duì)重要的文件目錄進(jìn)行賬戶權(quán)限的設(shè)置，如下圖：注：下圖為目錄權(quán)限設(shè)置的示例，為C:\WINNT\system32目錄的設(shè)置，在實(shí)際服務(wù)器上進(jìn)行設(shè)置時(shí)，需要嚴(yán)格檢查重要目錄以及對(duì)應(yīng)的賬戶權(quán)限設(shè)置。建議進(jìn)行權(quán)限設(shè)置保護(hù)的重要目錄列表：保護(hù)的目錄應(yīng)用的權(quán)限%systemdrive%\Administrators：完全控制System：完全控制AuthenticatedUsers：讀取和執(zhí)行、列出文件夾內(nèi)容、讀取%SystemRoot%\Repair%SystemRoot%\Security%SystemRoot%\Temp%SystemRoot%\system32\Config%SystemRoot%\system32\LogfilesAdministrators：完全控制Creator/Owner：完全控制System：完全控制%systemdrive%\InetpubAdministrators：完全控制System：完全控制Everyone：讀取和執(zhí)行、列出文件夾內(nèi)容、讀取%SystemRoot%定義了Windows系統(tǒng)文件所在的路徑和文件夾名，%SystemDrive%定義了包含%systemroot%的驅(qū)動(dòng)器。文件保護(hù)配置要求要求根據(jù)下表對(duì)系統(tǒng)的敏感文件的權(quán)限進(jìn)行修改，以避免文件被惡意用戶執(zhí)行：缺省情況下，這些文件的安全設(shè)置屬性為：用戶組權(quán)限Administrators完全控制System完全控制Everyone讀取及運(yùn)行Users讀取及運(yùn)行對(duì)于Administrator管理員組和System組，缺省的權(quán)限設(shè)置已經(jīng)為完全控制，不需要更改，對(duì)于普通賬戶的讀取及運(yùn)行權(quán)限，需要對(duì)文件逐一進(jìn)行檢查并調(diào)整，如下圖：建議進(jìn)行權(quán)限設(shè)置保護(hù)的重要文件列表：文件基準(zhǔn)權(quán)限%SystemDrive%\Boot.iniAdministrators：完全控制

System：完全控制%SystemDrive%\NAdministrators：完全控制

System：完全控制%SystemDrive%\NtldrAdministrators：完全控制

System：完全控制%SystemDrive%\Io.sysAdministrators：完全控制

System：完全控制%SystemDrive%\Autoexec.batAdministrators：完全控制

System：完全控制

AuthenticatedUsers：讀取和執(zhí)行、列出文件夾內(nèi)容、讀取%systemdir%\configAdministrators：完全控制

System：完全控制

AuthenticatedUsers：讀取和執(zhí)行、列出文件夾內(nèi)容、讀取%SystemRoot%\system32\Append.exeAdministrators：完全控制%SystemRoot%\system32\Arp.exeAdministrators：完全控制%SystemRoot%\system32\At.exeAdministrators：完全控制%SystemRoot%\system32\Attrib.exeAdministrators：完全控制%SystemRoot%\system32\Cacls.exeAdministrators：完全控制%SystemRoot%\system32\Change.exeAdministrators：完全控制%SystemRoot%\system32\CAdministrators：完全控制%SystemRoot%\system32\Chglogon.exeAdministrators：完全控制%SystemRoot%\system32\Chgport.exeAdministrators：完全控制%SystemRoot%\system32\Chguser.exeAdministrators：完全控制%SystemRoot%\system32\Chkdsk.exeAdministrators：完全控制%SystemRoot%\system32\Chkntfs.exeAdministrators：完全控制%SystemRoot%\system32\Cipher.exeAdministrators：完全控制%SystemRoot%\system32\Cluster.exeAdministrators：完全控制%SystemRoot%\system32\Cmd.exeAdministrators：完全控制%SystemRoot%\system32\Compact.exeAdministrators：完全控制%SystemRoot%\system32\CAdministrators：完全控制%SystemRoot%\system32\Convert.exeAdministrators：完全控制%SystemRoot%\system32\Cscript.exeAdministrators：完全控制%SystemRoot%\system32\Debug.exeAdministrators：完全控制%SystemRoot%\system32\Dfscmd.exeAdministrators：完全控制%SystemRoot%\system32\DAdministrators：完全控制%SystemRoot%\system32\DAdministrators：完全控制%SystemRoot%\system32\Doskey.exeAdministrators：完全控制%SystemRoot%\system32\Edlin.exeAdministrators：完全控制%SystemRoot%\system32\Exe2bin.exeAdministrators：完全控制%SystemRoot%\system32\Expand.exeAdministrators：完全控制%SystemRoot%\system32\Fc.exeAdministrators：完全控制%SystemRoot%\system32\Find.exeAdministrators：完全控制%SystemRoot%\system32\Findstr.exeAdministrators：完全控制%SystemRoot%\system32\Finger.exeAdministrators：完全控制%SystemRoot%\system32\Forcedos.exeAdministrators：完全控制%SystemRoot%\system32\FAdministrators：完全控制%SystemRoot%\system32\Ftp.exeAdministrators：完全控制%SystemRoot%\system32\Hostname.exeAdministrators：完全控制%SystemRoot%\system32\Iisreset.exeAdministrators：完全控制%SystemRoot%\system32\Ipconfig.exeAdministrators：完全控制%SystemRoot%\system32\Ipxroute.exeAdministrators：完全控制%SystemRoot%\system32\Label.exeAdministrators：完全控制%SystemRoot%\system32\Logoff.exeAdministrators：完全控制%SystemRoot%\system32\Lpq.exeAdministrators：完全控制%SystemRoot%\system32\Lpr.exeAdministrators：完全控制%SystemRoot%\system32\Makecab.exeAdministrators：完全控制%SystemRoot%\system32\Mem.exeAdministrators：完全控制%SystemRoot%\system32\Mmc.exeAdministrators：完全控制%SystemRoot%\system32\MAdministrators：完全控制%SystemRoot%\system32\MAdministrators：完全控制%SystemRoot%\system32\Mountvol.exeAdministrators：完全控制%SystemRoot%\system32\Msg.exeAdministrators：完全控制%SystemRoot%\system32\Nbtstat.exeAdministrators：完全控制%SystemRoot%\system32\Net.exeAdministrators：完全控制%SystemRoot%\system32\Net1.exeAdministrators：完全控制%SystemRoot%\system32\Netsh.exeAdministrators：完全控制%SystemRoot%\system32\Netstat.exeAdministrators：完全控制%SystemRoot%\system32\Nslookup.exeAdministrators：完全控制%SystemRoot%\system32\Ntbackup.exeAdministrators：完全控制%SystemRoot%\system32\Ntsd.exeAdministrators：完全控制%SystemRoot%\system32\Pathping.exeAdministrators：完全控制%SystemRoot%\system32\Ping.exeAdministrators：完全控制%SystemRoot%\system32\Print.exeAdministrators：完全控制%SystemRoot%\system32\Query.exeAdministrators：完全控制%SystemRoot%\system32\Rasdial.exeAdministrators：完全控制%SystemRoot%\system32\Rcp.exeAdministrators：完全控制%SystemRoot%\system32\Recover.exeAdministrators：完全控制%SystemRoot%\system32\Regedit.exeAdministrators：完全控制%SystemRoot%\system32\Regedt32.exeAdministrators：完全控制%SystemRoot%\system32\Regini.exeAdministrators：完全控制%SystemRoot%\system32\Register.exeAdministrators：完全控制%SystemRoot%\system32\Regsvr32.exeAdministrators：完全控制%SystemRoot%\system32\Replace.exeAdministrators：完全控制%SystemRoot%\system32\Reset.exeAdministrators：完全控制%SystemRoot%\system32\Rexec.exeAdministrators：完全控制%SystemRoot%\system32\Route.exeAdministrators：完全控制%SystemRoot%\system32\Routemon.exeAdministrators：完全控制%SystemRoot%\system32\Router.exeAdministrators：完全控制%SystemRoot%\system32\Rsh.exeAdministrators：完全控制%SystemRoot%\system32\Runas.exeAdministrators：完全控制%SystemRoot%\system32\Runonce.exeAdministrators：完全控制%SystemRoot%\system32\Secedit.exeAdministrators：完全控制%SystemRoot%\system32\Setpwd.exeAdministrators：完全控制%SystemRoot%\system32\Shadow.exeAdministrators：完全控制%SystemRoot%\system32\Share.exeAdministrators：完全控制%SystemRoot%\system32\Snmp.exeAdministrators：完全控制%SystemRoot%\system32\Snmptrap.exeAdministrators：完全控制%SystemRoot%\system32\Subst.exeAdministrators：完全控制%SystemRoot%\system32\Telnet.exeAdministrators：完全控制%SystemRoot%\system32\Termsrv.exeAdministrators：完全控制%SystemRoot%\system32\Tftp.exeAdministrators：完全控制%SystemRoot%\system32\Tlntadmin.exeAdministrators：完全控制%SystemRoot%\system32\Tlntsess.exeAdministrators：完全控制%SystemRoot%\system32\Tlntsvr.exeAdministrators：完全控制%SystemRoot%\system32\Tracert.exeAdministrators：完全控制%SystemRoot%\system32\TAdministrators：完全控制%SystemRoot%\system32\Tsadmin.exeAdministrators：完全控制%SystemRoot%\system32\Tscon.exeAdministrators：完全控制%SystemRoot%\system32\Tsdiscon.exeAdministrators：完全控制%SystemRoot%\system32\Tskill.exeAdministrators：完全控制%SystemRoot%\system32\Tsprof.exeAdministrators：完全控制%SystemRoot%\system32\Tsshutdn.exeAdministrators：完全控制%SystemRoot%\system32\UAdministrators：完全控制%SystemRoot%\system32\Wscript.exeAdministrators：完全控制%SystemRoot%\system32\Xcopy.exeAdministrators：完全控制網(wǎng)絡(luò)與服務(wù)配置標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議安裝要求要求只運(yùn)行安裝TCP/IP網(wǎng)絡(luò)協(xié)議，不允許安裝IPX，AppleTalk等其他的網(wǎng)絡(luò)協(xié)議。TCP/IP協(xié)議棧安全配置將下表注冊(cè)表項(xiàng)作為HKLM\System\CurrentControlSet\Services\Tcpip|Parameters\的子項(xiàng)添加，這些注冊(cè)表設(shè)置有助于提高Windows2000TCP/IP協(xié)議棧抵御標(biāo)準(zhǔn)類型的拒絕服務(wù)網(wǎng)絡(luò)攻擊的能力。項(xiàng)格式值（十進(jìn)制）EnableICMPRedirectDWORD0EnableSecurityFiltersDWORD1SynAttackProtectDWORD2EnableDeadGWDetectDWORD0EnablePMTUDiscoveryDWORD0KeepAliveTimeDWORD300,000DisableIPSourceRoutingDWORD2TcpMaxConnectResponseRetransmissionsDWORD2TcpMaxDataRetransmissionsDWORD3NoNameReleaseOnDemandDWORD1PerformRouterDiscoveryDWORD0TCPMaxPortsExhaustedDWORD5IIS服務(wù)要求只有需要提供Web服務(wù)的主機(jī)，才能安裝IIS服務(wù)，其他服務(wù)器不得安裝。服務(wù)管理配置標(biāo)準(zhǔn)Windows2000缺省安裝會(huì)創(chuàng)建很多默認(rèn)服務(wù)，并配置為在系統(tǒng)啟動(dòng)時(shí)運(yùn)行。實(shí)際運(yùn)行環(huán)境中并不需要運(yùn)行所有服務(wù)，而任何多余的服務(wù)都存在受攻擊的風(fēng)險(xiǎn)，因此要求禁用不必要的服務(wù)。下表列出的Windows2000系統(tǒng)提供基本管理功能之外不是必須開放的，請(qǐng)根據(jù)系統(tǒng)的應(yīng)用的情況禁用下表中提到的服務(wù)：服務(wù)服務(wù)功能實(shí)現(xiàn)BootInformationNegotiationLayer與RemoteInstallationService(RIS)一起使用，除有需要通過RIS安裝操作系統(tǒng)，否則不要運(yùn)行。Indexing負(fù)責(zé)索引磁盤上的文檔和文檔屬性，并且在一個(gè)目錄中保存信息，使得你在以后可以搜索。ClipBookClipBook支持ClipBookViewer程序，該程序可以允許剪貼頁被遠(yuǎn)程計(jì)算機(jī)上的ClipBook瀏覽，可以使得用戶能夠通過網(wǎng)絡(luò)連接來剪切和粘貼文本和圖形。DHCPclient通過注冊(cè)和更新IP地址和DNS域名來管理網(wǎng)絡(luò)配置。DNSServer負(fù)責(zé)解答DNS域名查詢Fax它負(fù)責(zé)管理傳真的發(fā)送和接收。SingleInstanceStorageGroveler該服務(wù)和RemoteInstallation服務(wù)一起使用.掃描單一實(shí)例存儲(chǔ)卷來尋找重復(fù)的文件,并將重復(fù)文件指向某個(gè)數(shù)據(jù)存儲(chǔ)點(diǎn)以節(jié)省磁盤空間。InternetAuthenticationService除了在撥號(hào)和VPN服務(wù)器上，該服務(wù)不應(yīng)該使用。TCP/IPNETBIOSHelper該服務(wù)允許在TCP/IP網(wǎng)絡(luò)上進(jìn)行NETBIOS通信。NetMeetingRemoteDesktopSharing允許授權(quán)用戶通過使用NetMeeting來遠(yuǎn)程訪問你的Windows桌面。RemoteRegistry使得經(jīng)過授權(quán)的管理員能夠?qū)ξ挥谶h(yuǎn)程主機(jī)上的注冊(cè)表項(xiàng)目進(jìn)行操作,對(duì)于一些功能,例如遠(yuǎn)程性能監(jiān)視,是需要RemoteRegistry。InternetConnectionSharing將某計(jì)算機(jī)的Internet聯(lián)機(jī)與其他一些計(jì)算機(jī)進(jìn)行共享。SimpleTCP/IP這個(gè)服務(wù)是作為基本的TCP/IP服務(wù)而運(yùn)行,打開了TCP端口7,9,13,17,19。Telephony提供電話和基于IP地語音連接。TrivialFTPDaemontftp不經(jīng)驗(yàn)證簡單ftp服務(wù)。Telnet遠(yuǎn)程登錄應(yīng)該禁止。WindowsInternetNameService是微軟用于NetBIOS網(wǎng)絡(luò)的名稱服務(wù)。下列服務(wù)是可能用到的服務(wù)，請(qǐng)根據(jù)具體運(yùn)行環(huán)境確認(rèn)是否需要：SMTP服務(wù)SMTP(SimpleMailTransferProtocol)協(xié)議，是簡單郵件傳輸協(xié)議，用在郵件服務(wù)器上，一般服務(wù)器上不必啟用。SNMP服務(wù)SNMP(SimpleNetworkManagementProtocol)協(xié)議，是網(wǎng)絡(luò)管理協(xié)議，在許多情況下，管理應(yīng)用程序都需要在每個(gè)服務(wù)器上安裝一個(gè)代理。一般地，這些代理將使用SNMP將警報(bào)消息發(fā)回到一個(gè)中央管理服務(wù)器。如果存在網(wǎng)管系統(tǒng)需要管理代理，就要啟動(dòng)SNMP服務(wù),需要更改缺省communitystring。Messenger信使服務(wù)信使服務(wù)用來傳輸客戶端和服務(wù)器之間的NetSend和Alerter（報(bào)警器）服務(wù)消息。安全選項(xiàng)配置標(biāo)準(zhǔn)請(qǐng)按照下表中的要求設(shè)置Windows2000系統(tǒng)中的安全選項(xiàng)：安全選項(xiàng)注釋安全設(shè)置LANManager身份驗(yàn)證級(jí)別確定網(wǎng)絡(luò)登錄時(shí)將使用哪個(gè)質(zhì)詢/響應(yīng)身份驗(yàn)證協(xié)議。該選項(xiàng)會(huì)影響客戶端使用的身份驗(yàn)證協(xié)議的級(jí)別、協(xié)商的會(huì)話安全級(jí)別，以及服務(wù)器所接受的身份驗(yàn)證級(jí)別。發(fā)送LM&NTLM響應(yīng)，如果已協(xié)商，使用NTLMv2安全會(huì)話對(duì)匿名連接的額外限制確定匿名連接到計(jì)算機(jī)應(yīng)具有的其他權(quán)限。不允許枚舉賬號(hào)和共享在斷開會(huì)話之前所需的空閑時(shí)間確定“服務(wù)器消息塊(SMB)”會(huì)話因?yàn)椴换顒?dòng)而被掛起之前，在該會(huì)話中必須經(jīng)過的連續(xù)空閑時(shí)間。