Windows2000系统安全配置标准.docx

《Windows2000系统安全配置标准.docx》由会员分享，可在线阅读，更多相关《Windows2000系统安全配置标准.docx（18页珍藏版）》请在第一文库网上搜索。

1、Windows2000系统安全配置标准3.1.1 系统补丁安装标准3.1.1.1 Windows 2000的与安全相关的补丁大致分三类： Service Pack （补丁包）：Service Pack是经过测试的所有修复程序、安全更新程序、关键更新程序以及更新程序的累积的集合。Service Pack还可能包含自产品发布以来针对内部发现的问题的其他修复以及设计上的更改或功能上的增加。Service Pack补丁包涵盖了自发布之前的所有补丁，是重要的补丁集合。 Security Patch （安全补丁）： Security Patch是针对特定问题广泛发布的修复程序，用于修复特定产品的与安全相关

2、的漏洞。Microsoft在发布的安全公告中将Security Patch分级为严重、重要、中等、低四个等级。严重的安全补丁缺失，会造成蠕虫快速传播（如振荡波，冲击波），对系统本身和网络造成重大影响，这类补丁需要及时应用到操作系统。 Hotf i x （修补程序）：Hotf i x是针对某一个具体的系统漏洞或安全问题而发布的专门解决该漏洞或安全问题的小程序，通常称为修补程序，如果在最近发布的Service Pack后面，出现安全方面的漏洞，通常对应的补丁会以Hotf ix修补程序的形式发布。3.1.1.2 补丁安装的原则： 新安装或者重新安装windows 2000操作系统，必须安装最新的Se

3、rvice Pack补丁集。 必须安装等级为严重和重要的Secur ity Patcho 有关安全方面的Hotfixes补丁应当及时安装。 安装补丁不要留副本。注意：补丁更新要慎重，可能出现硬件不兼容，或者影响当前的应用系统，安装补丁之前要经过测试和验证。3.1.2 账号和口令安全配置标准3. 1.2.1 “密码策略”配置要求通过“本地安全策略”调整默认的“密码策略”，提高系统的安全水平，“密码策略”中各选项的具体要求如下表列举：策略默认设置安全设置强制执行密码历史记录记住1个密码记住4个密码密码最长期限42天42天密码最短期限0天7天最短密码长度0个字符6个字符密码必须符合复杂性要求禁用启用

4、为域中所有用户使用可还原的加密来储存密码禁用禁用“密码策略”的设置步骤如下图：进入“控制面板/管理工具/本地安全策略”，在“账户策略-密码策略”。3. 1.2.2密码复杂性配置要求在“密码策略”中“密码必须符合复杂性要求”选项启动后，系统将强制要求密码的设置具备一定的强壮度，要求密码至少包含以下四种类别的字符： 英语大写字母A, B, C,Z 英语小写字母a, b, c, z 西方阿拉伯数字0, 1, 2,9 非字母数字字符，如标点符号，#, $, %, &, *等3. 1.2.3账号安全控制要求3.1.2. 3.1 ”账户锁定策略”配置要求有效的账号锁定策略有助于防止攻击者猜出您账号对应的密

5、码。要求按照下表要求调整“账户锁定策略”：策略默认设置安全设置账户锁定时间未定义30分钟账户锁定阈值05次无效登录复位账户锁定计数器未定义30分钟之后账号锁定配置具体操作如下图：-W本地策略3审核策略3用户权利指派3安全选项日口公钥策喏_1经过加密的数据恢复代理王g 3安全策略,在本地机器进入“控制面板/管理工具/本地安全策略”，在“账户策略-账户锁定策略”。岸本地安全设置，口1 x|操作（9查看（口回的 X -学安全设置B X帐户策略帐户锁定策略常密码策略3.1.2. 3.2系统内置账号管理要求Windows2000系统中存在不可删除的内置账号，包括Administrator和guesto对

6、于管理员账号，要求更改缺省账户名称，对隶属于Administrators组的账号要严格监控；要求禁用guest （来宾）账号，以防止攻击者通过利用已知的用户名破坏远程服务器。3.1.2. 3.3其它账号管理要求临时的测试账号和过期的无用账号应该在3个工作日内及时删除。（注：测试账号和无用账号不是系统默认安装时生成的，是系统操作过程中人为新增的账号，从系统安全加固的角度来看，此类账号应该及时删除。）3.1.3目录和文件权限控制标准权限控制遵循以下几个原则：权限是累计的拒绝的权限要比允许的权限高文件权限比文件夹权限高。3. 1.3.1目录保护配置要求要求按照下表内容对受保护的目录权限进行设置，缺省

7、情况下，Administrators组和SYSTEM具有完全控制的权限，Everyone组具有读取及运行的权限，对于多个账户使用一台主机，要求根据具体情况对重要的文件目录进行账户权限的设置，如下图：注：下图为目录权限设置的示例，为C:WINNTsystem32目录的设置，在实际服务器上进行设置时，需要严格检查重要目录以及对应的账户权限设置。-”一1m32 回 得 国 画 Hsystem32的访H控及式权限审核所有者|权限项目4)类型名称硒 应用于许许许许许允允允允允Users (HWYWsers)读取及运行该文件夹，子文件夹及Power Users W，.修改该文件夹，子文件夹及. .Admi

8、nistrators (.CREATOR OWNEREveryoneSYSTEM建议进行权限设置保护的重要目录列表：完全控制该文件夹,子文件夹及.充全控制只有子文件夹及文件读取及运行只有该文件夹完全控制该文件夹，子文件夹及. . .删除I查看/编辑叟)直接在该对象上定义这个权限。子对象继承该权限。r允许将来自父系的可继承权限传插给该对象国)r重置所有子对象的权限并允许传播可继承权限)确定 | 取消 保护的目录应用的权限%systemdr i ve%Administrators：完全控制System：完全控制drAuthenticated Users：读取和执行、列出文件夹内容、读取%Syste

9、mRoot%Repa i r%SystemRoot%Secur ity%SystemRoot%Temp%SystemRoot%system32Conf i g%SystemRoot%system32Logf i lesAdministrators：完全控制Creator/Owner ：完全控制System：完全控制%systemdr i ve%InetpubAdministrators：完全控制System：完全控制Everyone：读取和执行、列出文件夹内容、读取%SystemRoot%定义了 Windows系统文件所在的路径和文件夹名，%SystemDr i ve%定义了包含%system

10、root%的驱动器。3. 1.3. 2文件保护配置要求要求根据下表对系统的敏感文件的权限进行修改，以避免文件被恶意用户执行：缺省情况下，这些文件的安全设置属性为：用户组权限Admini strators完全控制System完全控制Everyone读取及运行Users读取及运行对于Administrator管理员组和System组，缺省的权限设置已经为完全控制，不需要更改，对于普通账户的读取及运行权限，需要对文件逐一进行检查并调整，如下图：AUTOEXEC.BAT 属性h,n Fi权限电）：常规安全I摘要Iace!汨t.adC添加也）nil ipz 、权限I审核|所有者|权限项目S）：允许类型

11、I名称卜 允许 EveryoneAUTOEXEC.BAT R认。心M&A|权限完全控制513：SI3：:Ser:Uni:Uni:Uni:Uni:Uni:Uni:Um:Uni:Unif改取取入修读读写高级W)厂允许将来自父系的可继承权限传播给该对象量:确定全桂用户或叔:UninstallKB8334071：UninstallKB834707-IE6SP 1 -20040929.09191:UninstallKB8357321:Unin531KB837001$:UnmstallKB8396451:UninstallKB8403151:Unins31KB840987$:UninstallKB8413

12、561:Unin$tallKB8415331:UninstallKB8418721:Unin531KB841873$:UnmstallKB8425261:UninstallKB8427731添加）.I 删除 I查看/编辑W）该权限是从父对象继承来的，并且控制对该对象的访问.要停止继承权限，请不要复选下面的复选框.只能在定义该权限的父对象上对其进行编辑.子对象没有继承诙幻“.?l2d二名称在文件夹中JGuestMWY的 testMtfYC WSR.MWYMWYJ口) Adm ini stratorsMWYBackup OperatorsMWY查找范围）：叵一名称国）：Doiand建议进行权限设置保护的重要文件列表:文件基准权限%SystemDr i ve%Boot. i n iAdministrators：完全控制System：完全控制%SystemDr ive%Ntdetect. comAdministrators：完全控制System：完全控制%SystemDr i ve%NtIdrAdministrators：完全控制System：完全控制%SystemDr ive%Io. sysAdministrators：完全控制System：完全控制%SystemDr i ve