【正文】 成員服務(wù)器 9 服務(wù)管理 95 附加的注冊(cè)表安全配置 8 禁用自動(dòng)運(yùn)行功能 8 配置 NTLMSSP 安全 8 禁用 LMHASH 創(chuàng)建 8 禁用 格式文件名的自動(dòng)生成 7 針對(duì)網(wǎng)絡(luò)攻擊的安全考慮事項(xiàng) 7 禁止匿名訪問(wèn)注冊(cè)表 6 注冊(cè)表訪問(wèn)授權(quán) 6 注冊(cè)表安全配置 44 安全選項(xiàng)策略 3 內(nèi)置默認(rèn)賬戶安全 3 賬戶鎖定策略 2 復(fù)雜性要求 2 密碼策略 2 用戶賬號(hào)控制 23 適用版本 12 檢查和維護(hù) 1 例外條款 1 實(shí)施 1 適用范圍 1 概述1 20060330 20051208 版本描述 相關(guān)組織和人員 提交日期 版本控制版本 讀 者： 標(biāo)準(zhǔn)化: 審 核:某世界500強(qiáng)公司的服務(wù)器操作系統(tǒng)安全配置標(biāo)準(zhǔn)－Windows中國(guó)公司服務(wù)器操作系統(tǒng)安全配置標(biāo)準(zhǔn)－WindowsV 2006年03 月30 日文檔控制擬 制: 適用范圍本規(guī)范的使用者包括：服務(wù)器系統(tǒng)管理員、應(yīng)用管理員、網(wǎng)絡(luò)安全管理員。 實(shí)施本規(guī)范的解釋權(quán)和修改權(quán)屬于中國(guó)公司，在本標(biāo)準(zhǔn)的執(zhí)行過(guò)程中若有任何疑問(wèn)或建議，應(yīng)及時(shí)反饋。 例外條款欲申請(qǐng)本標(biāo)準(zhǔn)的例外條款，申請(qǐng)人必須準(zhǔn)備書(shū)面申請(qǐng)文件，說(shuō)明業(yè)務(wù)需求和原因，送交中國(guó)公司信息系統(tǒng)管理部門(mén)進(jìn)行審批備案。 如果在突發(fā)事件處理過(guò)程中，發(fā)現(xiàn)需對(duì)本標(biāo)準(zhǔn)進(jìn)行變更，也需要進(jìn)行本標(biāo)準(zhǔn)的維護(hù)。各相關(guān)部門(mén)經(jīng)理有責(zé)任與其下屬的組織和員工溝通變更的內(nèi)容。 Windows 2003.3 用戶賬號(hào)控制基本策略：用戶被賦予唯一的用戶名、用戶ID（UID）。 下表列出了一個(gè)標(biāo)準(zhǔn)密碼策略的設(shè)置以及針對(duì)您的環(huán)境建議的最低設(shè)置。 它還要求密碼中必須包含下面類別中至少三個(gè)類別的字符： 英語(yǔ)大寫(xiě)字母 A, B, C, … Zn 英語(yǔ)小寫(xiě)字母 a,n b, c, … z 西方阿拉伯?dāng)?shù)字 0, 1, 2, … 9n 非字母數(shù)字字符，如標(biāo)點(diǎn)符號(hào)n 賬戶鎖定策略有效的賬戶鎖定策略有助于防止攻擊者猜出您賬戶的密碼。 策略 默認(rèn)設(shè)置 推薦最低設(shè)置賬戶鎖定時(shí)間 未定義 30 分鐘賬戶鎖定閾值 0 5 次無(wú)效登錄復(fù)位賬戶鎖定計(jì)數(shù)器 未定義 30 分鐘 內(nèi)置默認(rèn)賬戶安全Windows有幾個(gè)內(nèi)置的用戶賬戶，它們不可刪除，但可以通過(guò)禁用，重命名或設(shè)置相關(guān)的權(quán)限的方式來(lái)保證一定的系統(tǒng)安全性。 Windows 2000 ServerWindows Server 2003Guest 帳戶必須禁用；如有特殊需要保留也一定要重命名。 Windows 2000 ServerWindows Server 2003SUPPORT_388945a0 此帳戶是為了IT幫助和支持服務(wù)，此帳戶必須禁用。 此帳戶為IIS（Internet Information Server）服務(wù)建立的。 此帳戶為IIS（Internet Information Server）服務(wù)建立的。 NTLM用戶嘗試登錄時(shí)消息文字 用戶嘗試登錄時(shí)消息標(biāo)題 緩沖保存的以前登錄次數(shù)（在域控制器不可用的情況下） 0 次登錄防止計(jì)算機(jī)賬戶密碼的系統(tǒng)維護(hù) 禁用防止用戶安裝打印機(jī)驅(qū)動(dòng)程序 啟用在密碼到期前提示用戶更改密碼 14 天故障恢復(fù)控制臺(tái)：允許自動(dòng)管理登錄 禁用故障恢復(fù)控制臺(tái)：允許對(duì)驅(qū)動(dòng)器和文件夾進(jìn)行軟盤(pán)復(fù)制和訪問(wèn) 禁用重命名系統(tǒng)管理員賬戶 未定義重命名來(lái)賓賬戶 未定義只有本地登錄的用戶才能訪問(wèn) CDROM 啟用只有本地登錄的用戶才能訪問(wèn)軟盤(pán) 啟用安全通道：對(duì)安全通道數(shù)據(jù)進(jìn)行數(shù)字加密或簽名（始終） 啟用安全通道：對(duì)安全通道數(shù)據(jù)進(jìn)行數(shù)字加密 （如果可能） 啟用安全通道：對(duì)安全通道數(shù)據(jù)進(jìn)行數(shù)字簽名（如果可能） 啟用安全通道: 需要強(qiáng) (Windows 2000 Server 或以上版本) 會(huì)話密鑰 啟用安全系統(tǒng)磁盤(pán)分區(qū)（只適于 RISC 操作平臺(tái)） 未定義發(fā)送未加密的密碼以連接到第三方 SMB 服務(wù)器。 對(duì)匿名連接的附加限制n 默認(rèn)情況下，Windows 2000 Server 允許匿名用戶執(zhí)行某些活動(dòng)，如枚舉域賬戶和網(wǎng)絡(luò)共享區(qū)的名稱。為更好地保護(hù)匿名訪問(wèn)，可以配置“沒(méi)有顯式匿名權(quán)限就無(wú)法訪問(wèn)”。對(duì)服務(wù)器的任何匿名訪問(wèn)都將被禁止，而且對(duì)任何資源都將要求顯式訪問(wèn)。 reg。您可以通過(guò)使用 NTLMv2 對(duì) Windows 9x 和 Windows NT 強(qiáng)制執(zhí)行一個(gè)更安全的身份驗(yàn)證協(xié)議。n 在關(guān)機(jī)時(shí)清理虛擬內(nèi)存頁(yè)面交換文件 實(shí)際內(nèi)存中保存的重要信息可以周期性地轉(zhuǎn)儲(chǔ)到頁(yè)面交換文件中。如果啟用此選項(xiàng)，Windows 2000 Server 將在關(guān)機(jī)時(shí)清理頁(yè)面交換文件，將存儲(chǔ)在那里的所有信息清除掉。n 對(duì)客戶端/服務(wù)器通訊使用數(shù)字簽名 在高度安全的網(wǎng)絡(luò)中實(shí)現(xiàn)數(shù)字簽名有助于防止客戶機(jī)和服務(wù)器被模仿（即所謂“會(huì)話劫持”或“中間人”攻擊）。如有任何一方不能通過(guò)身份驗(yàn)證，數(shù)據(jù)傳輸就不能進(jìn)行。針對(duì)Server 2003的設(shè)置： Security Settings Local Policies進(jìn)行設(shè)置安全選項(xiàng) 設(shè)置在用戶密碼過(guò)期前通知用戶 7 天4 注冊(cè)表安全配置 注冊(cè)表訪問(wèn)授權(quán)對(duì)于Windows注冊(cè)表的訪問(wèn)授權(quán)必須按下列的表格進(jìn)行設(shè)置，“訪問(wèn)授權(quán)”欄里規(guī)定了對(duì)于普通用戶（例如Everyone, Users, Authenticated Users或 other groups containing general users）所賦予的最大權(quán)利。 普通用戶沒(méi)有相應(yīng)權(quán)限。 注釋：對(duì)于‘Read‘的授權(quán)包括‘RX’(讀取和執(zhí)行)和‘List Folder Contents’(列出文件夾內(nèi)容)。 1. 添加如下注冊(cè)表項(xiàng)：項(xiàng)目 參數(shù)Hive HKEY_LOCAL_MACHINE \SYSTEMKey \CurrentControlSet\Control\SecurePipeServersValue Name \winreg2. 選中“winreg”，點(diǎn)擊“Security”選單，點(diǎn)擊“Permission”，設(shè)置系統(tǒng)管理員Administrator擁有“Full Control”，確保沒(méi)有其他用戶或組包含在其中，點(diǎn)擊“OK”。 這些注冊(cè)表設(shè)置有助于提高 Windows 2000 Server TCP/IP 協(xié)議棧抵御標(biāo)準(zhǔn)類型的拒絕服務(wù)網(wǎng)絡(luò)攻擊的能力。 這意味著攻擊者只需要 8 個(gè)字符即可引用可能有 20 個(gè)字符長(zhǎng)的文件。禁用 NTFS 分區(qū)上的短文件名生成還可以提高目錄枚舉性能。 然而，以前版本的 Windows 不使用 Kerberos 進(jìn)行身份驗(yàn)證，所以 Windows 2000 Server 支持 Lan Manager (LM)、Windows NT (NTLM) 和 NTLM 版本 2 (NTLMv2)。如果您沒(méi)有需要 LM 身份驗(yàn)證的客戶機(jī)，則應(yīng)禁用 LM 散列的存儲(chǔ)。下面的注冊(cè)表項(xiàng)作為 HKLM\SYSTEM\CurrentControlSet\Control\Lsa\ 的一個(gè)子項(xiàng)添加：項(xiàng) 格式 值（十進(jìn)制）NoLMHash DWORD 1 配置 NTLMSSP 安全NTLM 安全支持提供程序 (NTLMSSP) 允許您按應(yīng)用程序指定服務(wù)器端網(wǎng)絡(luò)連接的最低必需安全設(shè)置。下面的注冊(cè)表項(xiàng)作為 HKLM\SYSTEM\Curren