Window2003系统安全配置指南.doc

Window2003系统安全配置指南Window2003系统安全配置指南过程描述序号项目说明1病毒检查保证安全初始化前机器没有病毒和木马存在2设置自动更新保证安装修补最新的系统安全漏洞补丁3安全补丁OS / IE保证主机安装当前最新安全补丁，在接入网络后能够按照策略自动更新安全漏洞补丁4安全策略设置主机安全策略、注册等与主机系统安全有关的设置5病毒防护保证主机在接入网络前就具有病毒防御能力6注意事项在安全初始化完成后，查看注意事项7定期审核对安全初始化情况及主机运行状况进行定期审核一 病毒检查序号内 容1从微软官方网站下载当前最新版本的恶意软件清除工具Windows-KB890830/china/technet/security/default.mspx2使用该工具进行检查，如有问题应立刻通知管理员并进行处理（若是新安装的系统，可省略此步骤）二 设置自动更新序号内 容方法手动1、运行GPEDIT.msc 2、若没有Windows Update项，则调用WUAU.adm模板3、在管理模板中设置参数：(1)配置自动更新：启用、选项3(自动下载并通知安装)；(2)指定 Interanet Microsoft 更新服务位置：启用、设置服务器为http:/XXX.XXX.XXX.XXX；(3)计划的自动更新安装后不自动重启动： 启用；设置完成后，控制面板自动更新的设置界面表现为锁定状态。设置完成后，请检查Windows以下两个服务状态为“自动 / 启动”：Automatic Updates服务Background Intelligent Transfer Service服务设置完成后，在“运行”中执行wuauclt.exe / detectnow，完成立刻更新。三 安全补丁序号内 容1-1安装Win2003 SP21-2安装Win2003 SP2之后的所有安全补丁1-3如有特殊要求，应安装应用程序补丁目录下的IE补丁四 安全策略序号内 容1保证所有分区为NTFS格式2.1密码策略默认值建议值2.1.1密码复杂性要求停用启用（询问）2.1.2密码长度最小值072.1.3密码最长使用期限 _ 天42752.1.4密码最短使用期限 _ 天01（询问）2.1.5强制密码历史_记忆密码052.1.6用可还原的加密来储存密码（针对域中的所有用户）停用停用2.2帐户锁定策略默认值建议值2.2.1复位帐户锁定计数器无定义302.2.2帐户锁定时间无定义302.2.3账户锁定阀值053.1审核策略默认值建议值3.1.1审核策略更改 无定义成功3.1.2审核登录事件 成功成功/失败3.1.3审核对象访问无定义成功/失败3.1.4审核过程跟踪 无定义无定义3.1.5审核目录服务访问无定义无定义3.1.6审核特权使用 无定义失败3.1.7审核帐户管理 无定义成功/失败3.1.8审核系统事件 无定义成功/失败3.1.9审核帐户登录事件成功成功/失败4.1日志审核默认建议值4.1.1应用程序日志大小最大值16384KB40960KB4.1.2安全日志最大值16384KB40960KB4.1.3系统日志大小最大值 16384KB40960KB4.1.4应用程序日志保留方法 7天按需要覆盖4.1.5安全日志的保留方法7天按需要覆盖4.1.6系统日志保留方法7天按需要覆盖5关闭不必要的服务默认建议值5.1.1Clipbook禁用禁用5.1.2Distributed Transaction Coordinator启用禁用5.1.3DHCP Client启用禁用（询问）5.1.4Help and Support自动手动5.1.5IIS Admin Service自动禁用（询问）5.1.6Indexing Service禁用禁用5.1.7NetMeeting Remote Desktop Sharing禁用禁用5.18Performance Logs and Alerts 手动禁用5.1.9Print Spooler启用禁用5.1.10Remote Access Auto Connection Manager启用禁用5.1.11Remote Access Connection Manager启用禁用5.1.12Remote Registry自动禁用5.1.13Remote Procedure Call (RPC) Locator启用禁用5.1.14Routing and Remote Access启用禁用5.1.15World Wide Web Publishing Service 启用禁用（询问）5.1.16Task Scheduler启用禁用5.1.17Telephony启用禁用5.1.18Telnet禁用禁用5.1.19Uninterruptible Power Supply手动禁用（询问）5.1.20Time Service禁用禁用（询问）6安全选项默认建议值6.1.1设备：未签名驱动程序的安装操作未定义允许安装但发出警告6.1.2交互式登录：用户试图登录时消息文字未定义本系统仅供XXXXX及其员工被授权的业务使用。未经许可的访问或活动是违反XXXXX相关条例的行为。出于安全考虑，所有的系统活动均受到监控。6.1.3交互式登录：用户试图登录时消息标题未定义警告6.1.4交互式登录：可被缓冲保存的前次登录个数（在域控制器不可用的情况下）100次登录6.1.5交互式登录：在密码到期前提示用户更改密码147天6.1.6网络访问：可匿名访问的共享已启用禁用6.1.7网络安全：LAN Manager身份验证级别仅发送NTLM响应发送LM & NTLM相应 如果已协商，使用NTLMv2会话安全6.1.7可远程访问的注册表路径和子路径空6.1.8不显示上次的用户名禁用已启用7用户权利分配默认建议值7.1.1关闭系统Administrators8防火墙8.1.1防火墙“例外”中设置例外程序及端口（咨询管理员，视具体情况定）8.1.2防火墙“高级”中配置防火墙安全日志记录（开启“记录被丢弃的包”，“记录成功的连接”；日志记录建议放在非系统盘下X:WinFireWallpfirewall.log；大小建议为8192KB）8.1.3防火墙“高级”中配置ICMP（开启“允许传入的回显请求”即允许被别人“Ping”通）9设置屏幕保护10分钟生效10关闭自动播放在组策略中，计算机配置管理模块系统关闭自动播放，设置为“已启用”，关闭“所有驱动器”11禁用除 Adminstrator 的其他帐号五 病毒防护六 注意事项序号内 容1在客户主机D：SEC 目录下保留安全初始化所需补丁和安装文件2填写技术响应报告记录操作过程中与本流程内容不符