这是微软给出的,如下:
Windows 2000 Server 基准安全注意事项(professional也一样)
本文概述了保证运行Windows 2000 Server(独立运行或作为Windows NT 或Windows 2000 域的组成部分)的计算机的安全应该采取的步骤。这些步骤适用于Windows 2000 Server 和Advanced Server。
重要说明本文的目的是为在运行Windows 2000 Server 的计算机上配置基准安全级别提供相应说明。可以通过“安全配置工具集”配置安全设置并应用到本地服务器。通过使用“安全配置工具集”可以创建域安全策略,通过“组策略”则可分发和应用这些域安全策略。本指南概述了为Windows 2000 推荐的安全设置。有关使用“安全配置工具集”配置企业安全策略的分步指南,请参阅Microsoft TechNet 安全Web 站点,网址是:
http://www.microsoft.com/TechNet/prodtechnol/windows2000serv/ deploy/confeat/entsec.asp
本文包含有关编辑注册表的信息。编辑注册表之前,请确保您知道一旦发生问题应如何还原注册表。有关如何还原注册表的信息,请查看Regedit.exe 中的“还原注册表”帮助主题或Regedt32.exe 中的“还原注册表项”帮助主题。
Windows 2000 Server 配置
步骤验证所有磁盘分区是否都用NTFS 格式化验证管理员帐户是否有强密码禁用不必要的服务禁用或删除不必要的帐户保护文件和目录确保禁用来宾帐户防止注册表被匿名访问应用适当的注册表ACL 限制对公用本地安全机构(LSA) 信息进行访问设置较强的密码策略设置帐户锁定策略
配置管理员帐户删除所有不必要的文件共享对所有必要的文件共享设置适当的ACL 安装防病毒软件和更新安装最新的Service Pack 安装适当的Service Pack 后的安全修补程序
Windows 2000 Server 配置注意事项:详细信息
验证所有磁盘分区是否都用NTFS 格式化
NTFS 分区提供访问控制和保护功能,这些都是FAT、FAT32 或FAT32x 文件系统所无法提供的。要确保服务器上的所有分区都使用NTFS 格式化。如果有必要,请使用转换实用程序在不毁坏数据的情况下将FAT 分区转换为NTFS。
警告如果使用转换实用程序,它将把转换后的驱动器的ACL 设置为“Everyone:完全控制”。有关还原Windows 2000 计算机上默认NTFS 权限的信息,请参阅Microsoft 知识库文章Q266118。
验证管理员帐户是否有强密码
Windows 2000 允许使用多达127 个字符的密码。一般而言,较长的密码比较短的密码更强,具有多种字符类型(字母、数字、标点符号和使用ALT 键和数字小键盘上的三位键控代码生成的非打印ASCII 字符)的密码比单纯的字母或字母数字组成的密码更强。为达到最大限度的保护,需要确保管理员帐户密码至少要有九个字符长,并且在头七个字符中至少包含一个标点符号或非打印ASCII 字符。另外,不能在多台服务器上使用相同的管理员帐户密码。在每一台服务器上应该使用不同的密码,以提高工作组或域中的安全级别。
禁用不必要的服务
安装Windows 2000 Server 之后,应该禁用服务器角色不需要的任何网络服务。尤其应该考虑服务器是否需要任何IIS 组件以及是否运行用于文件和打印共享的Server 服务。
还应该避免在服务器上安装应用程序,除非它们对于该服务器的功能绝对有必要。例如,不要安装电子邮件客户端程序、办公工具或实用程序,它们对于服务器完成其工作并非确实需要。
禁用或删除不必要的帐户
应该在“计算机管理”管理单元中检查系统上的活动帐户列表(对于用户和应用程序),并禁用任何非活动帐户和删除不再需要的帐户。
保护文件和目录
有关默认Windows 2000 文件系统ACL 以及如何进行必要的修改的详细信息,请参阅Microsoft TechNet 安全Web 站点中的Default Access Control Settings in Windows 2000(Windows 2000 中的默认访问控制设置)文档。
确保禁用来宾帐户
默认情况下,在运行Windows 2000 Server 的系统上禁用来宾帐户。如果启用来宾帐户,则请将它禁用。
防止注册表被匿名访问
默认权限不限制对注册表的远程访问。只有管理员才应该对注册表具有远程访问权限,因为默认情况下Windows 2000 注册表编辑工具支持远程访问。若要限制对注册表的网络访问:
1. 将下列项添加到注册表:
•; 配置单元•; HKEY_LOCAL_MACHINE \SYSTEM
•; 项•; \CurrentControlSet\Control\SecurePipeServers •; 值名称•; \winreg
2. 选择winreg,单击“安全”菜单,然后单击“权限”。
3. 将管理员权限设置为“完全控制”,确保不会列出其他用户或组,然后单击“确定”。
对该项设置的安全权限(ACL) 定义哪些用户或组可连接到系统,以便远程访问注册表。另外,AllowedPaths 子项包含“Everyone”组的成员有权访问的项的列表,尽管winreg 项中有ACL。这允许特定的系统功能(如检查打印机状态)能正确地工作,无论通过winreg 注册表项如何进行访问限制。AllowedPaths 注册表项上的默认安全只授予管理员管理这些路径的权力。AllowedPaths 项以及其正确用法,都在Microsoft 知识库文章Q155363 中进行描述。
应用适当的注册表ACL
有关默认Windows 2000 文件系统ACL 以及如何进行必要的修改的详细信息,请参阅Microsoft TechNet 安全Web 站点中的Default Access Control Settings in Windows 2000(Windows 2000 中的默认访问控制设置)文档。
限制对公用本地安全机构(LSA) 信息进行访问
必须能够识别系统上的所有用户,因此应该限制匿名用户,以使他们可以获得的有关Windows NT 安全子系统的LSA 组件的公用信息量减少。LSA 处理本地计算机上的安全管理,包括访问和权限。若要实现此限制,请创建和设置下列注册表项:
配置单元HKEY_LOCAL_MACHINE \SYSTEM 项CurrentControlSet\Control\LSA 值名称RestrictAnonymous 类型REG_DWORD 值1
设置较强的密码策略
使用“域安全策略”(或“本地安全策略”)管理单元来加强针对密码接受的系统策略。Microsoft 建议您进行下列更改:
将最短密码长度设置为至少8 个字符
设置适合网络的最短密码期限(通常在1 和7 天之间)
设置适合网络的密码最长期限(通常不超过42 天)
将密码历史维护设置为至少为6(使用“记住密码”选项)
设置帐户锁定策略
Windows 2000 包含一项帐户锁定功能,将在管理员指定的登录失败次数之后禁用帐户。为确保最佳的安全,请启用在3 到5 次尝试失败之后锁定,在不少于30 分钟之后复位计数器,并将锁定时间设置为“永久(直到系统管理员解除锁定)”。
Windows NT Server 资源工具箱包括一个用于调整一些帐户属性的工具,这些属性通过普通的管理工具不可访问。此工具名为passprop.exe,用于锁定管理员帐户:
/adminlockout 开关用于锁定管理员帐户
配置管理员帐户
由于管理员帐户内置到每一Windows 2000 副本中,因此为攻击者提供了熟知的目标。为了使攻击者不容易攻击管理员帐户,对每一台服务器上的域管理员帐户和本地管理员帐户执行下列操作:
将帐户重命名为非明显的名称(例如,不是“admin”、“root”等。)
建立一个名为“Administrator”而没有特权的假帐户。定期扫描事件日志,寻找使用此帐户的企图。
通过使用passprop 实用程序,对真实的管理员帐户启用帐户锁定
禁用本地计算机的管理员帐户。
删除所有不必要的文件共享
系统上的所有不必要的文件共享都应该删除,以防止可能的信息泄露,并防止怀恶意的用户利用共享作为进入本地系统的入口。
对所有必要的文件共享设置适当的ACL
默认情况下,所有用户都具有对新创建的文件共享的“完全控制”权限。对系统上所有需要的共享都应该设置ACL,以使用户具有适当的共享级别访问权限(例如,Everyone = 读取)。
注意除了共享级别权限外,还必须使用NTFS 文件系统来对单独的文件设置ACL。
安装防病毒软件和更新
安装防病毒软件并跟踪所有Internet 和Intranet 系统上最新的病毒签名非常重要。
Microsoft TechNet 安全Web 站点上提供更多安全防病毒信息,网址是:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/virus/virus.asp
安装最新的Service Pack
针对Windows 的每个Service Pack 都包含以前版本的Service Pack 中的所有安全修补程序。Microsoft 建议您跟踪Service Pack 版本,只要您的运行情况允许,就安装正确的Service Pack。针对Windows 2000 的当前Service Pack 是SP2,位于:
http://www.microsoft.com/windows2000/downloads/servicepacks/sp2/
通过“Microsoft 产品支持”也可获得Service Pack。有关如何与“Microsoft 产品支持”联系的信息位于http://www.microsoft.com/china/technet/security/tools/w2ksvrcl.asp?°http://support.microsoft.com/support/contact/default.asp?±。
安装适当的Service Pack 后的安全修补程序
Microsoft 通过其安全通告服务发布安全通告。当这些通告建议安装安全修补程序时,应该立即下载修补程序,并在成员服务器上安装。
补充安全设置
还有其他本文档没有涉及的安全功能,在保护运行Windows 2000 的服务器安全时应加以利用。有关这些安全功能(如加密文件系统(EFS)、Kerberos、IPSEC、PKI 和IE 安全)的信息,位于Microsoft TechNet 安全Web 站点:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/prodtech/wn2ksec.asp
本文中的信息“按原样”提供,而不带任何性质的保证。MICROSOFT 不做任何保证,无论是明示的还是暗示的,包括适
