文档介绍：中国××公司
服务器操作系统安全配置标准-Windows
V
2006年03 月30 日
文档控制
拟制:
审核:
标准化:
读者:
版本控制
版本提交日期相关组织和人员版本描述
2005-12-08
2006-03-30
1 概述 1
适用范围 1
实施 1
例外条款 1
检查和维护 1
2 适用版本 2
3 用户账号控制 2
密码策略 2
复杂性要求 2
账户锁定策略 3
内置默认账户安全 3
安全选项策略 4
4 注册表安全配置 6
注册表访问授权 6
禁止匿名访问注册表 7
针对网络攻击的安全考虑事项 7
禁用 格式文件名的自动生成 8
禁用 LMHASH 创建 8
配置 NTLMSSP 安全 8
禁用自动运行功能 8
附加的注册表安全配置 9
5 服务管理 9
成员服务器 9
域控制器 10
6 文件/目录控制 11
目录保护 11
文件保护 12
7 服务器操作系统补丁管理 16
确定修补程序当前版本状态 16
部署修补程序 16
8 系统审计日志 16
9 其它配置安全 17
确保所有的磁盘卷使用NTFS文件系统 17
系统启动设置 17
屏幕保护设置 17
远程管理访问要求 18
10 防病毒管理 18
11 附则 18
文档信息 18
其他信息 18
1 概述
本文档规定了中国××公司企业范围内安装有Windows操作系统的主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员进行Windows操作系统的安全配置。
适用范围
本规范的使用者包括:
服务器系统管理员、应用管理员、网络安全管理员。
本规范适用的范围包括:
支持中国××公司运行的Windows 2000 Server, Windows 2003服务器系统。
实施
本规范的解释权和修改权属于中国××公司,在本标准的执行过程中若有任何疑问或建议,应及时反馈。
本标准一经颁布,即为生效。
例外条款
欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国××公司信息系统管理部门进行审批备案。
检查和维护
根据中国××公司经营活动的需要,每年检查和评估本标准,并做出适当更新。如果在突发事件处理过程中,发现需对本标准进行变更,也需要进行本标准的维护。
任何变更草案将由中国××公司信息系统管理部门进行审核批准。各相关部门经理有责任与其下属的组织和员工沟通变更的内容。
2 适用版本
Windows 2000 Server;
Windows 2003.
3 用户账号控制
基本策略:用户被赋予唯一的用户名、用户ID(UID)。
密码策略
默认情况下,将对域中的所有服务器强制执行一个标准密码策略。下表列出了一个标准密码策略的设置以及针对您的环境建议的最低设置。
策略默认设置推荐最低设置
强制执行密码历史记录记住 1 个密码记住 4 个密码
密码最长期限 42 天 42 天
密码最短期限 0 天 0 天
最短密码长度 0 个字符 8 个字符
密码必须符合复杂性要求禁用启用
为域中所有用户使用可还原的加密来储存密码禁用禁用
复杂性要求
当组策略的“密码必须符合复杂性要求”设置启用后,它要求密码必须为 6 个字符长(但我们建议您将此值设置为 8 个字符)。它还要求密码中必须包含下面类别中至少三个类别的字符:
n 英语大写字母 A, B, C, … Z
n 英语小写字母 a, b, c, … z
n 西方阿拉伯数字 0, 1, 2, … 9
n 非字母数字字符,如标点符号
账户锁定策略
有效的账户锁定策略有助于防止攻击者猜出您账户的密码。下表列出了一个默认账户锁定策略的设置以及针对您的环境推荐的最低设置。
策略默认设置推荐最低设置
账户锁定时间未定义 30 分钟
账户锁定阈值 0 5 次无效登录
复位账户锁定计数器未定义 30 分钟
内置默认账户安全
Windows有几个内置的用户账户,它们不可删除,但可以通过禁用,重命名或设置相关的权限的方式来保证一定的系统安全性。
帐户名建议安全配置策略适用系统
Administrator 1. 此帐户必须在安装后立即重命名并修改相关密码;
2. 对于系统管理员建议建立一