《Windows XP 安全配置标准.docx》由会员分享,可在线阅读,更多相关《Windows XP 安全配置标准.docx(11页珍藏版)》请在第一文库网上搜索。
1、Windows XP安全配置标准3. 2.1系统补丁安装标准Windows XP的与安全相关的补丁大致分三类: Service Pack (补丁包):Service Pack是经过测试的所有修复程序、安全更新程序、关键更新程序以及更新程序的累积的集合。Service Pack还可能包含自产品发布以来针对内部发现的问题的其他修复以及设计上的更改或功能上的增加。Service Pack补丁包涵盖了自发布之前的所有补丁,是重要的补丁集合。 Security Patch (安全补丁): Security Patch是针对特定问题广泛发布的修复程序,用于修复特定产品的与安全相关的漏洞。Microsoft
2、在发布的安全公告中将Security Patch分级为严重、重要、中等、低四个等级。严重的安全补丁缺失,会造成蠕虫快速传播(如振荡波,冲击波),对系统本身和网络造成重大影响,这类补丁需要及时应用到操作系统。 Hotf i x (修补程序):Hotf i x是针对某一个具体的系统漏洞或安全问题而发布的专门解决该漏洞或安全问题的小程序,通常称为修补程序,如果在最近发布的Service Pack后面,出现安全方面的漏洞,通常对应的补丁会以Hotf ix修补程序的形式发布。补丁安装的原则: 新安装或者重新安装windows XP操作系统,必须安装最新的Service Pack补丁集。 必须安装等级为严
3、重和重要的Secur ity Patcho 有关安全方面的Hotfixes补丁应当及时安装。 最新的安全补丁发布与升级步骤,以公司内部网上提供的信息为准。注意:补丁更新要慎重,可能出现硬件不兼容,或者影响当前的应用系统,安装补丁之前要经过测试和验证。3. 2.2安全中心配置标准4. 2. 2. 1防火墙启用要求Windows XP安装了 SP2补丁会有安全中心,包括主机防火墙,自动更新,病毒防护三个主要功能,其中,要求启用Windows防火墙。防火墙启用方式如下图:叫Vindovs防火后费源色防火墙选项卡防后毒软件如何帮助力管理安全设置OVS爵票Nindo心 防火墙的其他僖息此设置阻止所有外部
4、遇连接到计算机,除了在上选择的例外获取有关“安全中心”的帮助我们您正在使月过阻止未授权用户通过Internet或网络访问您的计算避免使用均设置.关闭Windows防火墙可能使计算机更容易受病毒和入硬者的攻击.Windows防火墙防防火墙如何Windows K机来帮助C从Microsoft获取最新安全和病毒信息基酎标记为“启用.力打开控制面板.Wind。”中帮助保护我白从Windows Update检查最新的更新口不允许例外也)在不太安全的地方雨机场)连接到公共网络时谙选择此项。Windows防火墙阻止程序时不会通知您.在“例外”选项卡上的选择将被忽略.Windows防火墙正在帮助保护您的电脑M
5、icrosoft关注您的除私3. 2. 2. 2自动更新启用要求安全中心还包括自动更新功能,定期地检查针对计算机的最新的重要更新,然后自动安装这些更新。重要更新(包括关键更新和安全更新)应该在发行后尽快安装到计算机上,保护您计算机免受病毒攻击和其他安全威胁。要求启用自动更新功能,方法如图所示:3. 2. 3 “密码策略”配置要求通过“本地安全策略”调整默认的“密码策略”,提高系统的安全水平,“密码策略”中各选项的具体要求如下表列举:策略默认设置安全设置强制密码历史记住0个密码记住4个密码密码最长存留期42天42天密码最短存留期0天7天最短密码长度0个字符6个字符密码必须符合复杂性要求禁用启用为
6、域中所有用户使用可还原的加密来储存密码已停用已停用“密码策略”的设置步骤如下图:进入“控制面板/性能和维护/管理工具/本地安全策略”,在“账户策略- 密码策略”。3. 2. 3.1密码复杂性配置要求在“密码策略”中“密码必须符合复杂性要求”选项启动后,系统将强制要求密码的设置具备一定的强壮度,要求密码至少包含以下四种类别的字符: 英语大写字母A, B, C, - Z 英语小写字母a, b, c, z 西方阿拉伯数字0, 1, 2,9 非字母数字字符,如标点符号,#,$,%, &, *等3. 2. 3. 2账号安全控制要求3. 2. 3. 2.1 账户锁定策略”配置要求有效的账号锁定策略有助于防
7、止攻击者猜出您账号对应的密码。要求按照下表要求调整“账户锁定策略”:策略默认设置安全设置账户锁定时间未定义30分钟账户锁定阈值05次无效登录复位账户锁定计数器未定义30分钟之后账号锁定配置具体操作如下图:进入“控制面板/性能和维护/管理工具/本地安全策略”,在“账户策略-账户锁定策略”。3. 2. 3. 2. 2系统内置账号管理要求Windows XP系统中存在不可删除的内置账号,包括Administrator和guest。对于管理员账号,要求更改缺省账户名称,对隶属于Administrators组的账号要严格监控;要求禁用guest (来宾)账号,以防止攻击者通过利用已知的用户名破坏远程服务
8、器。3. 2.4服务管理配置标准Windows XP缺省安装会创建很多默认服务并配置为在系统启动时运行。实际运行环境中并不需要运行所有服务,而任何多余的服务都是潜在的受攻击点,因此要求禁用不必要的服务。下表列出的服务是Windows XP系统提供基本管理功能所必需的,请根据系统的应用的情况禁用下表中没有提到的服务:服务启动类型服务功能实现C0M+事件服务手动允许组件服务的管理DHCP客户端自动更新动态DNS中的记录所需Distr ibuted LinkTracking Cl ient 分布式链接跟踪客户端自动用来维护NTFS卷上的链接DNS客户端自动允许解析DNS名称Event Log事件日志
9、自动允许在事件日志中查看事件日志消息逻辑磁盘管理器自动需要它来确保动态磁盘信息保持最新逻辑磁盘管理器管理服务手动需要它以执行磁盘管理Net logon自动加入域时所需网络连接手动网络通讯所需性能日志和警报手动收集计算机的性能数据,向日志中写入或触发警报即插即用自动Windows XP标识和使用系统硬件时所需受保护的存储区自动需要用它保护敏感数据,如私钥远程过程调用(RPC)自动Windows XP中的内部过程所需安全账户管理器自动存储本地安全账户的账户信息系统事件通知自动在事件日志中记录条目所需TCP/1P NetB1 OS Helper 服务自动在组策略中进行软件分发所需(可分发修补程序)W
10、indows管理规范驱动程序手动使用“性能日志和警报”实现性能警报时所需Windows时间服务自动需要它来保证Kerberos身份验证有一致的功能工作站自动加入域时所需安全选项配置标准请按照下表中的要求设置Windows XP系统中的安全选项:.安全选项安全设置账户:使用空白密码的本地账户只允许进行控制台登录已启用账户:重命名系统管理员账户重命名账户:重命名来宾账户重命名设备:允许不登录移除已禁用设备:允许格式化和弹出可移动媒体Administrators设备:防止用户安装打印机驱动程序已禁用设备:只有本地登录的用户才能访问CD-ROM已启用设备:只有本地登录的用户才能访问软盘已启用设备:未签
11、名驱动程序的安装操作允许安装但发出警告交互式登录:不显示上次的用户名已启用交互式登录:不需要按CTRL+ALT+DEL已禁用交互式登录:用户试图登录时消息文字此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。交互式登录:可被缓存的前次登录个数(在域控制器不可用的情况下)1交互式登录:在密码到期前提示用户更改密码14天Microsoft网络客户:发送未加密的密码到第三方SMB服务器。已禁用Microsoft网络服务器:在挂起会话之前所需的空闲时间15分钟Microsoft网络服务器:数字签名的通信(若客户同意)已启用Microsoft网络服务器:当登录时间用完时自动注销用户已禁用网络
12、访问:允许匿名SID/名称转换已禁用网络访问:不允许SAM账户和共享的匿名枚举已启用网络访问:不允许为网络身份验证储存凭据或. NETPassports已启用网络访问:限制匿名访问命名管道和共享已启用网络访问:本地账户的共享和安全模式经典-本地用户以自己的身份验证网络安全:不要在下次更改密码时存储LAN Manager的哈希值已启用网络安全:在超过登录时间后强制注销已禁用网络安全:基于NTLM SSP (包括安全RPC)客户的最小会话安全要求NTLMv2会话安全要求128-位加密关机:允许在未登录前关机已禁用关机:清理虚拟内存页面文件已启用具体设置方法为:进入“控制面板/性能和维护/管理工具/
13、本地安全策略 在“本地策略- 安全选项中完成上表提及的各个“安全选项”的调整。Wi文件9 操作查看9 帮助01)项安全设置 3帐户策略+ 1逢密码策略L帐户锁定策略 H本地策略+前审核策略+笛用户权利指派+海安全选项+。公钥策略 软件限制策略 M IP安全策略,在本地H策略竭域由员段域成员嬲域成员阈域成购域控跚域控顾域控躅域控阙域控般帐户型帐户跚帐户跚帐户躅帐户对安全通道数据进行数字加密口果可能)对安全通道数据进行数字加密或签名虑是)对安全通道数据进行数字签名口果可能)安全设置已启用已启用已启用3. 2.5安全审计配置标准Windows XP系统的缺省配置是不开任何安全审核,要求通过开启“审核
14、策略”,记录以下操作:审核策略默认配置安全设置审核登录事件无审核成功,失败审核账户登录事件无审核成功,失败配置方法:通过“控制面板/管理工具/本地安全策略”,在“本地策略-审核策略”中打开相应的审核选项:融本地安全设置文件国)镰作 查看9 帮助向 直同国手安全设置一1力帐户策略国密码策略+ 帐户锁定策略二i C3本地策略+ 1常审核策略4L3用户权利指派+ L3安全选项+1公钥策略策略/安全设置r助审核策略更改无审核掰审核登录事件成功,失败跚审核对象访问无审核演审核过程追踪无审核融审核目录服务访问无审核跚审核特权使用无审核啜审核系统事件无审核喳审核帐户登录事件成功,失败十 1 -v 1 rK RRa+曼IP安全策略,在本地日跚审核帐
免费区 
