WindowsProfessional基准安全注意事项.docVIP

Windows 2000 Professional 基准安全注意事项本文概述了保证运行 Windows 2000 Professional（独立运行或作为 Windows NT 或 Windows 2000 域的组成部分）的计算机的安全应该采取的步骤。 重要说明 本文的目的是为在运行 Windows 2000 Professional 的计算机上配置基准安全级别提供相应说明。可以通过“安全配置工具集”配置安全设置，并应用到本地。通过使用“安全配置工具集”可以创建安全策略，通过“组策略”则可针对域中的那些计算机分发和应用这些安全策略。本指南概述了为 Windows 2000 推荐的安全设置。有关使用“安全配置工具集”配置企业安全策略的分步指南，请参阅 Microsoft TechNet 安全 Web 站点，网址是： /TechNet/prodtechnol/windows2000serv/deploy/confeat/entsec.asp 本文包含有关编辑注册表的信息。编辑注册表之前，请确保您知道一旦发生问题应如何还原注册表。有关如何还原注册表的信息，请查看 Regedit.exe 中的“还原注册表”帮助主题或 Regedt32.exe 中的“还原注册表项”帮助主题。 Windows 2000 Professional 配置 步骤验证所有磁盘分区是否都用 NTFS 格式化验证管理员帐户是否有强密码禁用不必要的服务禁用或删除不必要的帐户保护文件和目录确保禁用来宾帐户防止注册表被匿名访问应用适当的注册表 ACL限制对公用本地安全机构 (LSA) 信息进行访问设置较强的密码策略设置帐户锁定策略配置管理员帐户删除所有不必要的文件共享对所有必要的文件共享设置适当的 ACL安装防病毒软件和更新安装最新的 Service Pack安装适当的 Service Pack 后的安全修补程序Windows 2000 Professional 配置注意事项：详细信息 验证所有磁盘分区是否都用 NTFS 格式化 NTFS 分区提供访问控制和保护，这些都是 FAT、FAT32 和 FAT32x 文件系统所无法提供的。要确保计算机上的所有分区都使用 NTFS 格式化。如果有必要，请使用 convert 实用程序非破坏性地将 FAT 分区转换为 NTFS。 警告 如果使用转换实用程序，它将把转换后的驱动器的 ACL 设置为“Everyone：完全控制”。有关还原 Windows 2000 计算机上默认 NTFS 权限的信息，请参阅 Microsoft 知识库文章 Q266118。 验证管理员帐户是否有强密码 Windows 2000 允许使用多达 127 个字符的密码。一般而言，较长的密码比较短的密码更强，具有多种字符类型（字母、数字、标点符号以及使用 ALT 键和数字小键盘上的三位键控代码生成的非打印 ASCII 字符）的密码比单纯的字母或字母数字组成的密码更强。为达到最大限度的保护，要确保管理员帐户密码至少要有九个字符长，并且在头七个字符中至少包含一个标点符号或非打印 ASCII 字符。另外，不能在多台计算机上使用相同的管理员帐户密码。在每一台计算机上应该使用不同的密码，以提高工作组或域中的安全级别。 禁用不必要的服务 安装 Windows 2000 之后，应该禁用该计算机不需要的所有网络服务。尤其应该考虑计算机是否需要任何 IIS 5.1 Web 服务。 禁用或删除不必要的帐户 应该在“计算机管理”管理单元中检查系统上的活动帐户列表（用于用户和应用程序），并禁用任何非活动帐户和删除不再需要的帐户。 保护文件和目录 有关默认 Windows 2000 注册表 ACL 以及如何进行必要的修改的详细信息，请参阅 Microsoft TechNet 安全 Web 站点中的 Default Access Control Settings in Windows 2000（Windows 2000 中的默认访问控制设置）文档。 确保禁用来宾帐户 默认情况下，在运行 Windows 2000 的系统上禁用来宾帐户。如果启用了来宾帐户，则请将它禁用。 防止注册表被匿名访问 默认权限将远程注册表访问限制到管理员和备份操作员。若要更改对注册表的网络访问限制： 1. 将下列项添加到注册表： 配置单元 HKEY_LOCAL_MACHINE SYSTEM 项 CurrentControlSetControlSecurePipeServers 值名称 winreg 2. 选择 winreg，单击“安全”菜单，然后单击“权限”。 3. 将管理员权限设置为“完全控制”，确保不会列出其他用户或组，然后单击“确定”。 对该项设置的安全权限 (ACL) 定义哪些用户或组可连接到系统，以便远程访问注册表。另外，AllowedPaths 子项包含“Everyone”组的成员有权访问的项的列表，尽管 winreg 项中有 ACL。这允许特定的系统功能（如检查打印机状态）能正确地工作，无论通过 winreg 注册表项如何进行访问限制。AllowedPaths 注册表项上的默认安全只授予管理员管理这些路径的权力。AllowedPaths 项以及其正确用法，都在 Microsoft 知识库文章 Q155363 中进行描述。 应用适当的注册表 ACL 有关默认 Windows 2000 注册表 ACL 以及如何进行必要的修改的详细信息，请参阅 Microsoft TechNet 安全 Web 站点中的 Default Access Control Settings in Windows 2000（Windows 2000 中的默认访问控制设置）文档。 限制对公用本地安全机构 (LSA) 信息进行访问 必须能够识别系统上的所有用户，因此应该限制匿名用户，以使他们可以获得的有关 Windows NT 安全子系统的 LSA 组件的公用信息量减少。LSA 处理本地计算机上的安全管理，包括访问和权限。若要实现此限制，请创建和设置下列注册表项： 配置单元 HKEY_LOCAL_MACHINE SYSTEM 项 CurrentControlSetControlLSA 值名称 RestrictAnonymous 类型 REG_DWORD值 1 设置较强的密码策略 使用“本地安全策略”管理单元来加强针对密码接受的系统策略。Microsoft 建议您进行下列更改： 将最短密码长度设置为至少 8 个字符 设置适合网络的最短密码期限（通常在 1 和 7 天之间） 设置适合网络的密码最长期限（通常不超过 42 天） 将密码历史维护设置为至少为 6（使用“记住密码”选项） 设置帐户锁定策略 Windows 2000 包含一项帐户锁定功能，将在管理员指定的登录失败次数之后禁用帐户。为确保最佳的安全，请启用在 3 到 5 次尝试失败之后锁定，在不少于 30 分钟之后复位计数器，并将锁定时间设置为“永久（直到系统管理员解除锁定）”。 Windows NT Server 资源工具箱包括一个用于调整一些帐户属性的工具，这些属性通过普通的管理工具不可访问。此工具名为 passprop.exe，用于锁定管理员帐户： /adminlockout 开关用于锁定管理员帐户 配置管理员帐户 由于管理员帐户内置到每一 Windows 2000 副本中，因此为攻击者提供了熟知的目标。为了使攻击者不容易攻击管理员帐户，对每一台计算机上的本地管理员帐户执行下列操作： 将帐户重命名为非明显的名称（例如，不是“admin”、“root”等。） 建立一个名为“Administrator”而没有特权的假帐户。定期扫描事件日志，寻找使用此帐户的企图。 通过使用 passprop 实用程序，对真实的管理员帐户启用帐户锁定 禁用本地计算机的管理员帐户。 删除所有不必要的文件共享 系统上的所有不必要的文件共享都应该删除，以防止可能的信息泄露，并防止怀恶意的用户利用共享作为进入本地系统的入口。 对所有必要的文件共享设置适当的 ACL 默认情况下，所有用户都具有对新创建的文件共享的“完全控制”权限。对系统上所有需要的共享都应该设置 ACL，以使用户具有适当的共享级别访问权限（例如，Everyone = 读取）。 注意 除了共享级别权限外，还必须使用 NTFS 文件系统来对单独的文件设置 ACL。 安装防病毒软件和更新 安装防病毒软件并跟踪所有 Internet 和 Intranet 系统上最新的病毒签名非常重要。 Microsoft TechNet 安全 Web 站点上提供更多安全防病毒信息，网址是： /technet/treeview/default.asp?url=/technet/security/virus/virus.asp 安装最新的 Service Pack 针对 Windows 的每个 Service Pack 都包含以前版本的 Service Pack 中的所有安全修补程序。Microsoft 建议您跟踪 Service Pack 版本，只要您的运行情况允许，就安装正确的 Service Pack。针对 Windows 2000 的当前 Service Pack 是 SP2，位于： /windows2000/downloads/servicepacks/sp2/ 通过“Microsoft 产品支持”也可获得 Service Pack。有关如何与“Microsoft 产品支持”联系的信息位于 /support/contact/default.asp。 安装适当的 Service Pack 后的安全修补程序 Microsoft 通过其安全通告服务发布安全通告。当这些通告建议安装安全修补程序时，应该立即下载修补程序，并在成员计算机上安装。 补充安全设置 还有其他本文档没有涉及的安全功能，在保护运行 Windows 2000 的系统的安全时应加以利用。有关这些安全功能（如加密文件系统 (EFS)、Kerberos、IPSEC、PKI 和 IE 安全）的信息，位于 Microsoft TechNet 安全 Web 站点： /technet/treeview/default.asp?url=/technet/security/prodtech/wn2ksec.asp 本文中的信息“按原