操作系统配置基准.docx

上传人:lao****ou 文档编号:84386 上传时间:2023-02-18 格式:DOCX 页数:36 大小:1.27MB
下载 相关 举报
操作系统配置基准.docx_第1页
第1页 / 共36页
操作系统配置基准.docx_第2页
第2页 / 共36页
操作系统配置基准.docx_第3页
第3页 / 共36页
操作系统配置基准.docx_第4页
第4页 / 共36页
操作系统配置基准.docx_第5页
第5页 / 共36页
亲,该文档总共36页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

《操作系统配置基准.docx》由会员分享,可在线阅读,更多相关《操作系统配置基准.docx(36页珍藏版)》请在第一文库网上搜索。

1、操作系统配置基准1.1. W i ndows2000系统安全配置标准1.1.1 系统补丁安装标准1.1.1.1 Windows 2000的与安全相关的补丁大致分三类: Service Pack (补丁包):Service Pack是经过测试的所有修复程序、安全更新程序、关键更新程序以及更新程序的累积的集合。Service Pack还可能包含自产品发布以来针对内部发现的问题的其他修复以及设计上的更改或功能上的增加。Service Pack补丁包涵盖了自发布之前的所有补丁,是重要的补丁集合。 Security Patch (安全补丁): Security Patch是针对特定问题广泛发布的修复程序

2、,用于修复特定产品的与安全相关的漏洞。Microsoft在发布的安全公告中将Security Patch分级为严重、重要、中等、低四个等级。严重的安全补丁缺失,会造成蠕虫快速传播(如振荡波,冲击波),对系统本身和网络造成重大影响,这类补丁需要及时应用到操作系统。 Hotf i x (修补程序):Hotf i x是针对某一个具体的系统漏洞或安全问题而发布的专门解决该漏洞或安全问题的小程序,通常称为修补程序,如果在最近发布的ServicePack后面,出现安全方面的漏洞,通常对应的补丁会以Hotfix修补程序的形式发布。1.1.1.2 补丁安装的原则: 新安装或者重新安装windows 2000操

3、作系统,必须安装最新的Service Pack补丁集。 必须安装等级为严重和重要的Secur ity Patcho 有关安全方面的Hotfixes补丁应当及时安装。 安装补丁不要留副本。注意:补丁更新要慎重,可能出现硬件不兼容,或者影响当前的应用系统,安装补丁之前要经过测试和验证。1.1.2 账号和口令安全配置标准3. 1.2.1 “密码策略”配置要求通过“本地安全策略”调整默认的“密码策略二提高系统的安全水平,“密码策略”中各选项的具体要求如下表列举:策略默认设置安全设置强制执行密码历史记录记住1个密码记住4个密码密码最长期限42天42天密码最短期限0天7天最短密码长度0个字符6个字符密码必

4、须符合复杂性要求禁用启用为域中所有用户使用可还原的加密来储存密码禁用禁用“密码策略”的设置步骤如下图:进入“控制面板/管理工具/本地安全策略”,在“账户策略密码策略”。3. 1.2.2密码复杂性配置要求在“密码策略”中“密码必须符合复杂性要求”选项启动后,系统将强制要求密码的设置具备一定的强壮度,要求密码至少包含以下四种类别的字符: 英语大写字母A, B. C,Z 英语小写字母a, b, c, z 西方阿拉伯数字0, 1. 2, - 9 非字母数字字符,如标点符号,, #, $, %, &, *等3. 1.2.3账号安全控制要求3. 1.2. 3.1 ”账户锁定策略”配置要求有效的账号锁定策略

5、有助于防止攻击者猜出您账号对应的密码。要求按照下表要求调整“账户锁定策略”:策略默认设置安全设置1账户锁定时间未定义30分钟账户锁定阈值05次无效登录复位账户锁定计数器未定义30分钟之后账号锁定配置具体操作如下图:进入“控制面板/管理工具/本地安全策略”,在“账户策略-账户锁定策略”。3.1.2. 3.2系统内置账号管理要求Wi ndows2000系统中存在不可删除的内置账号,包括Admi n i strator和guest。对于管理员账号,要求更改缺省账户名称,对隶属于Administrators组的账号要严格监控;要求禁用guest (来宾)账号,以防止攻击者通过利用已知的用户名破坏远程服

6、务器。3.1.3. 3.3其它账号管理要求临时的测试账号和过期的无用账号应该在3个工作日内及时删除。(注:测试账号和无用账号不是系统默认安装时生成的,是系统操作过程中人为新增的账号,从系统安全加固的角度来看,此类账号应该及时删除。)3.1.4. 录和文件权限控制标准权限控制遵循以下几个原则: 权限是累计的 拒绝的权限要比允许的权限高 文件权限比文件夹权限高。3. 1.3.1目录保护配置要求要求按照下表内容对受保护的目录权限进行设置,缺省情况下,Administrators组和SYSTEM具有完全控制的权限,Everyone组具有读取及运行的权限,对于多个账户使用一台主机,要求根据具体情况对重要

7、的文件目录进行账户权限的设置,如下图:注:下图为目录权限设置的示例,为C:WINNTsystem32目录的设置,在实际服务器上进行设置时,需要严格检查重要目录以及对应的账户权限设置。sy$tent32 ft ft?J d第捉|共享安全winscard.dll winpy.ime winqb.ime%l Jwinfax.dl!winabAdministrators IjltfYAdministrat .侬CREATOR OWNEREveryonePower Users OHlTVPower Users) I订 r删除如3m32Kesy$Um32的bH敦收宣允许拒绝完全控制修改读取及运行列出文件夹

8、目录读取写入0 0 0 0 0 0类型名称权限I应用于IUsers (MWYWstrx)读取及运行3T该文件夹,子文件夹及权限|审核|所有者|权限项目(X):Id硼9厂允许将来自父系的可继承权限传播给该对象国)许许许许允允允允Administrators (.CREATOR OWNEREveryoneSYSTEM完全控制完全控制读取及运行完全控制该文件夹,子文件夹及一只有子文件夹及文件只有该文件夹该文件夹,子文件夹及添加I m森 I查看/编辑9修一dr%一仟确定:取消应用0 systemI由 H sy$tem321回 TasksO Temp由 D twain.32O USB2L*1 O Web

9、Cj Windows Update Setup Files我的音乐直接在该对象上定义这个权限.子对象继承该权限.一elr允许将来自父系的可继承权限传播给该对象国)v重置所有子对象的权隈并允许传播可继承抄版():确定二 取消:应用3 I,中建议进行权限设置保护的重要目录列表:保护的目录应用的权限%systemdr ive%Administrators:完全控制System:完全控制Authenticated Users:读取和执行、列出文件夹内容、读取%SystemRoot%Repa i r%SystemRoot%Secur ity%SystemRoot%Temp%SystemRoot%syst

10、em32Conf i g%SystemRoot%system32Logf iIesAdministrators:完全控制Creator/Owner :完全控制System:完全控制%systemdr i ve%InetpubAdministrators:完全控制System:完全控制Everyone:读取和执行、列出文件夹内容、读取%SystemRoot%定义了 Windows系统文件所在的路径和文件夹名,%SystemDr i ve%定义了包含%systemroot%的驱动器。3. 1.3. 2文件保护配置要求要求根据下表对系统的敏感文件的权限进行修改,以避免文件被恶意用户执行:缺省情况下,

11、这些文件的安全设置属性为:用户组权限Admini strators完全控制System完全控制Everyone读取及运行Users读取及运行对于Administrator管理员组和System组,缺省的权限设置已经为完全控制,不需要更改,对于普通账户的读取及运行权限,需要对文件逐一进行检查并调整,如下图:ace!汨kiadCh,n FiLJSI3:SI3::Ser:Uni:Um:Uni:Uni:Uni:Uni:Uni:Uni:Unir修读读写改取取入高级W)添加也).I 删除 I查看/编辑99允许将来自父系的可继承权限传播给该对象区确定该权限是从父对象继承来的,并且控制对该对象的访问.要停止继

12、承权限,话不要复选下面的复选框只能在定义该权限的父对象上对其进行编辑.子对象没有继承?|2j:UninstallKB835732$名称1在文件夹中J:UninstallKB8370011GuestMWY:UmnstallKB8396451的 testMWY:UninstallKB8403151C WSR.MWYMWYJ:UninstallKB8409871stratorsMVY_J:UninstallKB8413561jQBackup OperatorsMWY查找范围1):国名称如:UninstallKB833407$:UninstallKB834707-IE6SPl-20040929.091

13、9i:UninstallKB8418721:UninstallKB841873$:UninstallKB8425261:UninstallKB8427731取消建议进行权限设置保护的重要文件列表:文件基准权限%SystemDr i ve%Boot. i n i%SystemDr ive%Ntdetect. com%SystemDr i ve%NtI dr%SystemDr i ve%Io. sys%SystemDr i ve%Autoexec. batAdministrators:完全控制System:完全控制Administrators:完全控制System:完全控制Administrato

14、rs:完全控制System:完全控制Administrators:完全控制System:完全控制Administrators:完全控制System:完全控制Authent icated Users:读取和执行、列出文件夹内容、读取权限|审核|所有者|权限项目d):类我名称I权限黑允许 Everyone完全控制L%systemd i r%conf i gAdministrators:完全控制System:完全控制Authenticated Users:读取和执行、列出文件夹内容、读取%SystemRoot%system32Append. exeAdministrators:完全控制%SystemRoot%system32Arp. exeAdministrators:完全控制%SystemRoot%system32At. exe

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 应用文档 > 汇报材料

copyright@ 2008-2022 001doc.com网站版权所有   

经营许可证编号:宁ICP备2022001085号

本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有,必要时第一文库网拥有上传用户文档的转载和下载权。第一文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知第一文库网,我们立即给予删除!



客服