Windows 2000 Server 基准安全清单概述了一系列您应当遵循的步骤,来确保那些独立运行或作为 Windows NT 或 Windows 2000 域的一部分运行 Windows 2000 Server 的计算机的安全。这些步骤适用于Windows2000 Server 和 Windows 2000 Advanced Server。
要点 本清单旨在提供为 Windows 2000 Server 计算机配置安全基准级别的指导。可以通过“安全配置工具集”配置安全设置,并将其应用到本地服务器。可以通过“安全配置工具集”创建域安全策略,并通过“组策略”分发和应用它们。
该指南建议了用于 Windows 2000 的安全设置。有关利用“安全配置工具集”配置企业安全策略的分步指南,请访问 Microsoft TechNet 安全网站。
本清单包含有关编辑注册表的信息。在编辑注册表之前,请确认您知道在出现问题时如何恢复注册表。有关如何操作的信息,请参阅 Regedit.exe 中的“恢复注册表”帮助主题或 Regedt32.exe 中的“恢复注册表项”帮助主题。Windows 2000 Server 配置
步骤
验证所有的磁盘分区都以 NTFS 格式进行了格式化
验证管理员帐户拥有一个可靠的密码
禁用不必要的服务
禁用或删除不必要的帐户
保护文件和目录
确保禁用来宾帐户
保护注册表防止匿名访问
应用适当的注册表 ACL
限制对公用的本地安全权限 (LSA) 信息的访问
设置更加可靠的密码策略
设置帐户锁定策略
配置管理员帐户
取消所有不必要的文件共享
给所有必要的文件共享设置适当的 ACL
安装防病毒软件及其更新
安装最新的 Service Pack
在安装 Service Pack 之后安装适当的安全修补程序
Windows 2000 Server 配置清单详细资料
#验证所有的磁盘分区都以 NTFS 格式进行了格式化
NTFS 分区能够提供 FAT、FAT32 或 FAT32x 文件系统所不能提供的访问控制与保护。确保服务器中的所有分区使用 NTFS 格式进行了格式化。如果需要,请使用转换实用程序将 FAT 分区非破坏性地转换为 NTFS 格式。 警告 如果使用转换实用程序,它就会将转换的驱动器的 ACL 设置为“Everyone:完全控制”。使用Windows NT Server Resource Kit 中的 fixacls.exe 实用程序将其设置为更合理的数值。
#验证管理员帐户拥有一个可靠的密码
Windows 2000 支持最长为 127 个字符的密码。一般情况下,长密码比短密码可靠,而包含多种字符类型(字母、数字、标点符号和使用 ALT 键和数字键盘上的三个数位的密钥代码而产生的非打印 ASCII 字符)的密码又比字母密码或字母数字密码更可靠。为获得最大限度的保护,请确保管理员帐户的密码至少包含 9 个字符,并且在前 7 个字符中至少包含一个标点符号或非打印 ASCII 字符。
另外,多台服务器不应该使用相同的管理员帐户密码。每个服务器上应使用不同的密码,以提高工作组或域中的安全级别。
#禁用不必要的服务
安装完 Windows 2000 Server 之后,应禁用不是服务器所必需的任何网络服务。特别是,应该考虑服务器否需要任何 IIS 组件,以及它是否应运行用于文件和打印共享的服务器服务。还应该避免在服务器上安装应用程序,除非是那些对于服务器运行所必需的应用程序。例如,不应当安装电子邮件客户端、办公效率工具或对服务器来说并非完全必要的实用程序。
#禁用或删除不必要的帐户
您应该在计算机管理单元中查看系统的活动帐户列表(对用户和程序而言)并且禁用所有非活动帐户,删除不再需要的帐户。
#保护文件和目录
全新安装的 Windows 2000 系统在文件系统上具有安全的默认 ACL。然而,从以前版本(例如,Windows NT 4)进行的升级不会修改从前的安全设置,应当应用默认的 Windows 2000 的设置。关于默认的 Windows 2000 文件系统 ACL 以及如何进行必要修改的详细信息,请参阅位于 Microsoft TechNet 安全网站中的 efault Access Control Settings in Windows 2000 文档。
#确保禁用来宾帐户
默认情况下,运行 Windows 2000 Server 系统禁用来宾帐户。如果已启用来宾帐户,请将其禁用。
#保护注册表防止匿名访问
默认权限并不限制对注册表的远程访问。只有管理员才应具有对注册表的远程访问权限,因为默认情况下 Windows 2000 注册表编辑工具支持远程访问。限制对注册表的网络访问:
将下列项添加到注册表中:
配置单元
HKEY_LOCAL_MACHINE \SYSTEM
项
\CurrentControlSet\Control\SecurePipeServers
值名
\winreg
选择 winreg,单击“安全”菜单,然后单击“权限”。 将管理员权限设置为“完全控制”,确保表中没有列出其他用户或组,然后单击“确定”。该项中设置的安全权限 (ACL) 定义了哪些用户和组可以连接到系统中,进行远程注册表访问。
此外,尽管存在 winreg 项中设置的 ACL,但在 AllowedPaths 子项中还包含一个列表,其中的项可供 Everyone 组的成员进行访问。这会允许诸如检查打印机状态等特定的系统功能正常工作,而不会受到 winreg 注册表项中访问限制的影响。AllowedPaths 注册表项的默认安全级别只授予管理员管理这些路径的权限。有关 AllowedPaths 项及其适当使用方法的内容见于 Microsoft 知识库文章 Q155363。
#应用适当的注册表 ACL
全新安装的 Windows 2000 系统具有有关注册表的安全默认 ACL。然而,从以前版本(例如,Windows NT 4)进行的升级不会修改从前的安全设置,应当应用默认的 Windows 2000 的设置。有关 Windows 2000 默认注册表 ACL 以及如何进行必要修改的详细信息,请参阅位于 Microsoft TechNet 安全网站上的 Default Access Control Settings in Windows 2000 文档。
#限制对公用的本地安全权限 (LSA) 信息的访问
您需要能够识别系统上的所有用户,因此,应该限制匿名用户,这样才能减少用户可以获得的有关 Windows NT 安全子系统的 LSA 组件的公共信息的数量。LSA 处理本地计算机的各方面安全管理,其中包括访问与权限。要实现该限制,请创建并设置下列注册表项:
配置单元
HKEY_LOCAL_MACHINE \SYSTEM
项
CurrentControlSet\Control\LSA
值名
RestrictAnonymous
类型
REG_DWORD
值
1
#设置更加可靠的密码策略
使用“域安全策略”(或“本地安全策略”)管理单元来加强接受密码的系统策略。
Microsoft 建议您进行下列修改:
将最小密码长度设置为 8 个字符
设置一个适合您网络的最短密码期限(通常介于 1 至 7 天之间)
设置一个适合您网络的最长密码期限(通常不超过 42 天)
设置最小为 6 的密码历史记录维护(使用“记住密码”选项)
设置帐户锁定策略 Windows 2000 包括帐户锁定功能,当登录失败次数超过管理员指定值时禁用该帐户。
要获得最大程度的安全性,请在3到3次尝试失败后启用锁定帐户,不要在30分钟内重新启动该帐户,并将锁定时间设置为“永远锁定(直到管理员解开锁定)”。 Windows NT Server Resource Kit 包括一个允许您调节某些帐户属性的工具,它并不通过通常的管理工具进行访问。该工具 (passprop.exe) 可以使您锁定管理员帐户: /adminlockout 开关允许将管理员帐户锁定 配置管理员帐户 由于管理员帐户内建于所有的 Windows 2000 中,它对攻击者来说是个已知的目标。要使管理员帐户更难攻击,请在每台服务器上的域管理员帐户和本地管理员帐户设置中遵循下面两点:
将帐户重命名为不明显的管理员名称(例如,不是“admin”、“root”等)建立一个名为“Administrator”的没有特权的假帐户。定期扫描事件日志,寻找使用该帐户的尝试。
使用 Passprop 实用程序,对真正的管理员帐户启用帐户锁定 禁用本地计算机的管理员帐户。 取消所有不必要的文件共享 系统中所有不必要的文件共享都应当被取消,以防止可能的信息泄漏,并避免怀有恶意的用户利用共享作为本地系统的入口。
#给所有必要的文件共享设置适当的 ACL 默认状态下,所有用户对于新创建的文件共享都拥有完全控制权限。
系统中所有必要的共享都应当设置 ACL,以便使用户拥有适当的共享级别访问权(例如,Everyone = 读取)。
注意 必须使用 NTFS 文件系统,才能对个别文件设置 ACL 以及共享级别权限。
#安装防病毒软件及其更新
必须在所有的 Internet 和 Intranet 系统中安装防病毒软件,并及时更新为最新的病毒签名。关于防病毒安全方面的详细信息可以在 Microsoft TechNet 安全网站中获得。
#安装最新的 Service Pack Windows 的每个 Service Pack 都包含以前的 Service Pack 的所有安全修补程序。
Microsoft 建议在操作环境允许的情况下使用最新的 Service Pack 版本并为您的服务器安装适当的Service Pack。Windows 2000、SP2 当前的 Service Pack 可以从 Microsoft 网站上获得。 也可以通过“Microsoft 产品支持”获得。有关与“Microsoft 产品支持”联系的信息,请访问 Microsoft 网站。
#在安装 Service Pack 之后安装适当的安全修补程序
Microsoft 通过安全通知服务发布其安全公告。当这些公告建议安装安全修补程序时,应立即下载修补程序并在成员服务器上进行安装。
#其他安全设置
某些确保 Windows 2000 服务器安全运行的安全功能在本文档中没有提及。有关这些安全功能(例如,加密文件系统 (EFS)、Kerberos、IPSEC、PKI 以及 IE 安全)的详细信息,请访问 Microsoft TechNet 安全网站。
要点 本清单旨在提供为 Windows 2000 Server 计算机配置安全基准级别的指导。可以通过“安全配置工具集”配置安全设置,并将其应用到本地服务器。可以通过“安全配置工具集”创建域安全策略,并通过“组策略”分发和应用它们。
该指南建议了用于 Windows 2000 的安全设置。有关利用“安全配置工具集”配置企业安全策略的分步指南,请访问 Microsoft TechNet 安全网站。
本清单包含有关编辑注册表的信息。在编辑注册表之前,请确认您知道在出现问题时如何恢复注册表。有关如何操作的信息,请参阅 Regedit.exe 中的“恢复注册表”帮助主题或 Regedt32.exe 中的“恢复注册表项”帮助主题。Windows 2000 Server 配置
步骤
验证所有的磁盘分区都以 NTFS 格式进行了格式化
验证管理员帐户拥有一个可靠的密码
禁用不必要的服务
禁用或删除不必要的帐户
保护文件和目录
确保禁用来宾帐户
保护注册表防止匿名访问
应用适当的注册表 ACL
限制对公用的本地安全权限 (LSA) 信息的访问
设置更加可靠的密码策略
设置帐户锁定策略
配置管理员帐户
取消所有不必要的文件共享
给所有必要的文件共享设置适当的 ACL
安装防病毒软件及其更新
安装最新的 Service Pack
在安装 Service Pack 之后安装适当的安全修补程序
Windows 2000 Server 配置清单详细资料
#验证所有的磁盘分区都以 NTFS 格式进行了格式化
NTFS 分区能够提供 FAT、FAT32 或 FAT32x 文件系统所不能提供的访问控制与保护。确保服务器中的所有分区使用 NTFS 格式进行了格式化。如果需要,请使用转换实用程序将 FAT 分区非破坏性地转换为 NTFS 格式。 警告 如果使用转换实用程序,它就会将转换的驱动器的 ACL 设置为“Everyone:完全控制”。使用Windows NT Server Resource Kit 中的 fixacls.exe 实用程序将其设置为更合理的数值。
#验证管理员帐户拥有一个可靠的密码
Windows 2000 支持最长为 127 个字符的密码。一般情况下,长密码比短密码可靠,而包含多种字符类型(字母、数字、标点符号和使用 ALT 键和数字键盘上的三个数位的密钥代码而产生的非打印 ASCII 字符)的密码又比字母密码或字母数字密码更可靠。为获得最大限度的保护,请确保管理员帐户的密码至少包含 9 个字符,并且在前 7 个字符中至少包含一个标点符号或非打印 ASCII 字符。
另外,多台服务器不应该使用相同的管理员帐户密码。每个服务器上应使用不同的密码,以提高工作组或域中的安全级别。
#禁用不必要的服务
安装完 Windows 2000 Server 之后,应禁用不是服务器所必需的任何网络服务。特别是,应该考虑服务器否需要任何 IIS 组件,以及它是否应运行用于文件和打印共享的服务器服务。还应该避免在服务器上安装应用程序,除非是那些对于服务器运行所必需的应用程序。例如,不应当安装电子邮件客户端、办公效率工具或对服务器来说并非完全必要的实用程序。
#禁用或删除不必要的帐户
您应该在计算机管理单元中查看系统的活动帐户列表(对用户和程序而言)并且禁用所有非活动帐户,删除不再需要的帐户。
#保护文件和目录
全新安装的 Windows 2000 系统在文件系统上具有安全的默认 ACL。然而,从以前版本(例如,Windows NT 4)进行的升级不会修改从前的安全设置,应当应用默认的 Windows 2000 的设置。关于默认的 Windows 2000 文件系统 ACL 以及如何进行必要修改的详细信息,请参阅位于 Microsoft TechNet 安全网站中的 efault Access Control Settings in Windows 2000 文档。
#确保禁用来宾帐户
默认情况下,运行 Windows 2000 Server 系统禁用来宾帐户。如果已启用来宾帐户,请将其禁用。
#保护注册表防止匿名访问
默认权限并不限制对注册表的远程访问。只有管理员才应具有对注册表的远程访问权限,因为默认情况下 Windows 2000 注册表编辑工具支持远程访问。限制对注册表的网络访问:
将下列项添加到注册表中:
配置单元
HKEY_LOCAL_MACHINE \SYSTEM
项
\CurrentControlSet\Control\SecurePipeServers
值名
\winreg
选择 winreg,单击“安全”菜单,然后单击“权限”。 将管理员权限设置为“完全控制”,确保表中没有列出其他用户或组,然后单击“确定”。该项中设置的安全权限 (ACL) 定义了哪些用户和组可以连接到系统中,进行远程注册表访问。
此外,尽管存在 winreg 项中设置的 ACL,但在 AllowedPaths 子项中还包含一个列表,其中的项可供 Everyone 组的成员进行访问。这会允许诸如检查打印机状态等特定的系统功能正常工作,而不会受到 winreg 注册表项中访问限制的影响。AllowedPaths 注册表项的默认安全级别只授予管理员管理这些路径的权限。有关 AllowedPaths 项及其适当使用方法的内容见于 Microsoft 知识库文章 Q155363。
#应用适当的注册表 ACL
全新安装的 Windows 2000 系统具有有关注册表的安全默认 ACL。然而,从以前版本(例如,Windows NT 4)进行的升级不会修改从前的安全设置,应当应用默认的 Windows 2000 的设置。有关 Windows 2000 默认注册表 ACL 以及如何进行必要修改的详细信息,请参阅位于 Microsoft TechNet 安全网站上的 Default Access Control Settings in Windows 2000 文档。
#限制对公用的本地安全权限 (LSA) 信息的访问
您需要能够识别系统上的所有用户,因此,应该限制匿名用户,这样才能减少用户可以获得的有关 Windows NT 安全子系统的 LSA 组件的公共信息的数量。LSA 处理本地计算机的各方面安全管理,其中包括访问与权限。要实现该限制,请创建并设置下列注册表项:
配置单元
HKEY_LOCAL_MACHINE \SYSTEM
项
CurrentControlSet\Control\LSA
值名
RestrictAnonymous
类型
REG_DWORD
值
1
#设置更加可靠的密码策略
使用“域安全策略”(或“本地安全策略”)管理单元来加强接受密码的系统策略。
Microsoft 建议您进行下列修改:
将最小密码长度设置为 8 个字符
设置一个适合您网络的最短密码期限(通常介于 1 至 7 天之间)
设置一个适合您网络的最长密码期限(通常不超过 42 天)
设置最小为 6 的密码历史记录维护(使用“记住密码”选项)
设置帐户锁定策略 Windows 2000 包括帐户锁定功能,当登录失败次数超过管理员指定值时禁用该帐户。
要获得最大程度的安全性,请在3到3次尝试失败后启用锁定帐户,不要在30分钟内重新启动该帐户,并将锁定时间设置为“永远锁定(直到管理员解开锁定)”。 Windows NT Server Resource Kit 包括一个允许您调节某些帐户属性的工具,它并不通过通常的管理工具进行访问。该工具 (passprop.exe) 可以使您锁定管理员帐户: /adminlockout 开关允许将管理员帐户锁定 配置管理员帐户 由于管理员帐户内建于所有的 Windows 2000 中,它对攻击者来说是个已知的目标。要使管理员帐户更难攻击,请在每台服务器上的域管理员帐户和本地管理员帐户设置中遵循下面两点:
将帐户重命名为不明显的管理员名称(例如,不是“admin”、“root”等)建立一个名为“Administrator”的没有特权的假帐户。定期扫描事件日志,寻找使用该帐户的尝试。
使用 Passprop 实用程序,对真正的管理员帐户启用帐户锁定 禁用本地计算机的管理员帐户。 取消所有不必要的文件共享 系统中所有不必要的文件共享都应当被取消,以防止可能的信息泄漏,并避免怀有恶意的用户利用共享作为本地系统的入口。
#给所有必要的文件共享设置适当的 ACL 默认状态下,所有用户对于新创建的文件共享都拥有完全控制权限。
系统中所有必要的共享都应当设置 ACL,以便使用户拥有适当的共享级别访问权(例如,Everyone = 读取)。
注意 必须使用 NTFS 文件系统,才能对个别文件设置 ACL 以及共享级别权限。
#安装防病毒软件及其更新
必须在所有的 Internet 和 Intranet 系统中安装防病毒软件,并及时更新为最新的病毒签名。关于防病毒安全方面的详细信息可以在 Microsoft TechNet 安全网站中获得。
#安装最新的 Service Pack Windows 的每个 Service Pack 都包含以前的 Service Pack 的所有安全修补程序。
Microsoft 建议在操作环境允许的情况下使用最新的 Service Pack 版本并为您的服务器安装适当的Service Pack。Windows 2000、SP2 当前的 Service Pack 可以从 Microsoft 网站上获得。 也可以通过“Microsoft 产品支持”获得。有关与“Microsoft 产品支持”联系的信息,请访问 Microsoft 网站。
#在安装 Service Pack 之后安装适当的安全修补程序
Microsoft 通过安全通知服务发布其安全公告。当这些公告建议安装安全修补程序时,应立即下载修补程序并在成员服务器上进行安装。
#其他安全设置
某些确保 Windows 2000 服务器安全运行的安全功能在本文档中没有提及。有关这些安全功能(例如,加密文件系统 (EFS)、Kerberos、IPSEC、PKI 以及 IE 安全)的详细信息,请访问 Microsoft TechNet 安全网站。
回复Comments
作者:
{commentrecontent}