Windows Server 2008 安全基线-V0.1.doc

Windows 2008 Server安全基线目 录1 安全基线要求31.1 系统补丁31.2 帐户策略31.2.1 审核口令设置安全策略31.2.2 审核策略31.2.3 高级安全审核 系统 登录/注销 对象访问 特权使用 详细跟踪 策略更改 帐户管理 DS访问 帐户登录61.3 安全选项设置61.3.1 Microsoft网络服务器61.3.2 审核61.3.3 用户帐户控制71.3.4 网络安全71.3.5 故障恢复控制台71.3.6 关机81.3.7 系统对象81.3.8 系统加密81.3.9 系统设置81.3.10 网络访问81.3.11 帐户91.3.12 设备设置91.3.13 交互式登录设置91.4 用户权限分配101.5 注册表设置111.5.1 审核空连接设置111.5.2 审核注册表开启型木马111.5.3 SYN攻击保护111.5.4 DDOS攻击防御121.6 其他安全防护121.6.1 关闭自动播放功能121.6.2 提升时枚举管理员帐户121.6.3 审核网络共享安全121.6.4 应用程序检查131.6.5 HOSTS文件检查131.6.6 端口状态检查131.6.7 进程状态检查131 安全基线要求1.1 系统补丁配置项名称 系统Service Pack和其他Hotfix的安装情况操作步骤查看Windows Server 2008安装的SP情况：点击开始（start）运行（run），输入命令“winver”，回车；记录当前的SP版本号。查看Windows Server 2008安装的其他补丁的情况：安装所有Critical/important级别补丁，建议使用Windows Update或建立内部WSUS系统对其他级别补丁进行检查 安全建议Windows 2008 Server应安装SP2。并安装所有严重和重要级别的最新的补丁程序（hotfix）。建议：建议使用内部WSUS服务器升级所有关键补丁备注1.2 帐户策略1.2.1 审核口令设置安全策略配置项名称 审核口令设置安全策略操作步骤开始控制面板管理工具本地安全策略帐户策略安全建议密码最长使用期限为90天；强制密码历史为5个；安全标准设置密码必须符合复杂性要求为已启用；密码长度最小值为7；密码最短使用期限为1天；用可还原的加密来储存密码为已禁用；复位帐户锁定计时器为5分钟；帐户锁定时间为5分钟；帐户锁定阈值6次无效登录。 备注1.2.2 审核策略配置项名称 审核策略操作步骤开始控制面板管理工具本地安全策略本地策略审核策略安全建议安全标准设置如下：审核策略更改：成功和失败审核登录事件：成功和失败审核对象访问：成功和失败审计过程跟踪：无审核审计目录服务访问：无审核审核特权使用：无审核审核系统事件：成功和失败审核帐户登录事件：成功和失败审核帐户管理：成功和失败备注对于DC服务器，审核登录事件应只审核失败1.2.3 高级安全审核 系统配置项名称 高级安全审核策略-系统操作步骤“运行”输入gpedit.msc打开“本地组策略编辑器”计算机配置windows设置安全设置高级安全审核策略配置系统审核策略-本地组策略对象系统安全建议安全标准设置如下：审核IPsec驱动程序 成功和失败审核安全状态更改 成功和失败审核安全系统扩展 成功和失败系统完整性 成功和失败备注 登录/注销配置项名称 高级安全审核策略-登录/注销操作步骤“运行”输入gpedit.msc打开“本地组策略编辑器”计算机配置windows设置安全设置高级安全审核策略配置系统审核策略-本地组策略对象登录/注销安全建议安全标准设置如下：审核注销 成功审核登录 成功和失败审核特殊登录 成功备注 对象访问配置项名称 高级安全审核策略-对象访问操作步骤“运行”输入gpedit.msc打开“本地组策略编辑器”计算机配置windows设置安全设置高级安全审核策略配置系统审核策略-本地组策略对象对象访问安全建议安全标准设置如下：审核文件系统 失败审核注册表 失败备注 特权使用配置项名称 高级安全审核策略-特权使用操作步骤“运行”输入gpedit.msc打开“本地组策略编辑器”计算机配置windows设置安全设置高级安全审核策略配置系统审核策略-本地组策略对象特权使用安全建议安全标准设置如下：审核敏感特权使用 成功和失败备注 详细跟踪配置项名称 高级安全审核策略-详细跟踪操作步骤“运行”输入gpedit.msc打开“本地组策略编辑器”计算机配置windows设置安全设置高级安全审核策略配置系统审核策略-本地组策略对象详细跟踪安全建议安全标准设置如下：审核敏进程创建 成功备注 策略更改配置项名称 高级安全审核策略-策略更改操作步骤“运行”输入gpedit.msc打开“本地组策略编辑器”计算机配置windows设置安全设置高级安全审核策略配置系统审核策略-本地组策略对象策略更改安全建议安全标准设置如下：审核审核策略更改 成功和失败审核身份验证策略更改 成功备注 帐户管理配置项名称 高级安全审核策略-帐户管理操作步骤“运行”输入gpedit.msc打开“本地组策略编辑器”计算机配置windows设置安全设置高级安全审核策略配置系统审核策略-本地组策略对象帐户管理安全建议安全标准设置如下：审核计算机帐户管理 成功和失败审核其他帐户管理事件 成功和失败审核安全组管理 成功和失败审核用户账户管理 成功和失败备注 DS访问配置项名称 高级安全审核策略-DS访问操作步骤“运行”输入gpedit.msc打开“本地组策略编辑器”计算机配置windows设置安全设置高级安全审核策略配置系统审核策略-本地组策略对象DS访问安全建议安全标准设置如下：审核目录服务访问 成功和失败审核目录服务更改 成功和失败备注 帐户登录配置项名称 高级安全审核策略-帐户登录操作步骤“运行”输入gpedit.msc打开“本地组策略编辑器”计算机配置windows设置安全设置高级安全审核策略配置系统审核策略-本地组策略对象帐户登录安全建议安全标准设置如下：审核凭据验证 成功和失败备注1.3 安全选项设置1.3.1 Microsoft网络服务器配置项名称 安全选项- Microsoft网络服务端操作步骤开始控制面板管理工具本地安全策略本地策略安全选项安全建议登录时间过期后断开与客户端的连接 已启用；暂停会话前所需的空闲时间数量 15分钟；登录时间过期后断开与客户端的连接 已启用；备注1.3.2 审核配置项名称 安全选项- 审核操作步骤开始控制面板管理工具本地安全策略本地策略安全选项安全建议如果无法记录安全审核则立即关闭系统 已禁用；强制审核策略子类别设置（Windows Vista或更高版本）替代审核策略类别设置 已启用；备注1.3.3 用户帐户控制配置项名称 安全选项- 用户帐户控制操作步骤开始控制面板管理工具本地安全策略本地策略安全选项安全建议用户内置管理员账户的管理员批准模式 已启用；管理员批准模式中管理员的提升权限提示的行为 提示凭据；标准用户的提升提示行为 自动拒绝提升请求；检测应用程序安装并提示提升 已启用；仅提升安装在安全位置的UIAccess应用程序 已启用；以管理员批准模式运行所有管理员 已启用；提示提升时切换到安全桌面 已启用；将文件和注册表写入错误虚拟化到每用户位置 已启用；备注1.3.4 网络安全配置项名称 安全选项- 网络安全操作步骤开始控制面板管理工具本地安全策略本地策略安全选项安全建议基于NTLM SSP（包括安全RPC）服务器的最小会话安全 Require NTLMv2 session security，Require 128-bit encryption ；不要在下次更改密码时存储LAN manager的哈希值 已启用；LAN manager身份验证级别 仅发送 NTLMv2响应拒绝 LM；LDAP客户端签名要求 协商签名；基于NTLM SSP（包括安全RPC）客户端的最小会话安全 要求NTLMv2会话安全，要求128位加密备注1.3.5 故障恢复控制台配置项名称 安全选项-故障恢复控制台操作步骤开始控制面板管理工具本地安全策略本地策略安全选项安全建议允许自动管理登录 已禁用。备注1.3.6 关机配置项名称 安全选项-关机操作步骤开始控制面板管理工具本地安全策略本地策略安全选项安全建议清除虚拟内存页面文件 已禁用；允许系统在未登录的情况下关机 已禁用。备注1.3.7 系统对象配置项名称 安全选项-系统对象操作步骤开始控制面板管理工具本地安全策略本地策略安全选项安全建议非windows 子系统不要求区分大小写 已启用；加强内部系统对象的默认权限（例如，符号链接） 已启用；备注1.3.8 系统加密配置项名称 安全选项-系统加密操作步骤开始控制面板管理工具本地安全策略本地策略安全选项安全建议为计算机上存储的用户密钥强制使用强密钥保护 用户每次使用密钥时必须键入密码。备注1.3.9 系统设置配置项名称 安全选项-系统设置操作步骤开始控制面板管理工具本地安全策略本地策略安全选项安全建议可选子系统 无；备注1.3.10 网络访问配置项名称 安全选项- 网络访问操作步骤开始控制面板管理工具本地安全策略本地策略安全选项安全建议可远程访问的注册表路径和子路 无允许匿名SID/名称 转换 已禁用；不允许SAM帐户的匿名枚举 已启用；不允许SAM帐户和共享的匿名枚举 已启用；不允许为网络身份验证储存凭证或.net passports 已启用；让每个人（Everyone）权限应用于匿名用户 已禁用；可匿名访问命名管道和共享 无定义；可远程访问的注册表路径 无定义；限制对命名管道和共享的匿名访问 已启用；可匿名访问的命名管道 无；本地帐户的共享和安全模式 经典； 备注1.3.11 帐户配置项名称 安全选项- 安全选项操作步骤开始控制面板管理工具本地安全策略本地策略安全选项安全建议如果来宾帐号为非禁用状态，则也应该重命名来宾帐户 不包含“guets”字段；来宾帐户状态 已禁用；使用空白密码的本地帐户只允许进行控制台登录 已启用；备注1.3.12 设备设置配置项名称 安全选项-设备操作步骤开始控制面板管理工具本地安全策略本地策略安全选项安全建议允许格式化与弹出可移动媒体 administrators；防止用户安装打印机驱动程序 已启用将CD-ROM的访问权限仅限于本地登录的用户 已启用；将软盘驱动器的访问权限仅限于本地登录的用户 已启用；备注1.3.13 交互式登录设置配置项名称 安全选项-交互式登录操作步骤开始控制面板管理工具本地安全策略本地策略安全选项安全建议不显示上次登录的用户名 已启用；不需要按Ctrl+Alt+Del 已禁用；之前登录到缓存的次数（域控制器不可用时） 0次；提示用户在过期之前更改密码 30天；智能卡移除操作 锁定工作站；试图登录的用户的消息文本 “可设定一些祝福本组织的文字”；试图登录的用户的消息标题 “可设定一些祝福本组织的文字”；需要智能卡 已禁用；备注1.4 用户权限分配配置项名称 用户权限分配操作步骤开始控制面板管理工具本地安全策略本地策略用户权限分配安全建议调整进程的内存配额 NETWORK SERVICE，LOCAL SERVICE，Administrators；备份文件和目录 Administrators；绕过遍历检查 Administrators, Authenticated Users, Backup Operators, Local Service, Network Service；创建全局对象 Administrators, SERVICE, Local Service, Network Service；拒绝从网络访问这台计算机 Guests；从远程系统强制关机 Administrators装载和卸载设备驱动程序 Administrators；管理审核和安全日志 Administrators；执行卷维护任务 Administrators；关闭系统 Administrators；允许在本地登录 Administrators；通过终端服务允许登录 Administrators；创建符号链接 Administrators；拒绝本地登录 Guests；通过终端服务拒绝登录 Guests；生成安全审核 Local Service，Network Service增加进程工作集 Administrators, Local Service；还原文件和目录 Administrators, Backup Operators；取得文件或其他对象的所有权 Administrators.；作为受信任的呼叫方访问凭据管理器 无；备注1.5 注册表设置1.5.1 审核空连接设置配置项名称 审核空连接设置操作步骤检查注册表设置：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsarestrictanonymous REG_DWORD 0x0 缺省0x1 匿名用户无法列举本机用户列表0x2 匿名用户无法连接本机IPC$共享安全建议安全标准设置为1不建议使用2，否则可能会造成一些服务无法启动，如SQL Server。备注1.5.2 审核注册表开启型木马配置项名称 审核注册表开启型木马操作步骤运行-regedit，查看以下注册项：HKEY_LOCAL_MACHINESOFTWAR|EMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce HKEY_LOCAL_MACHINESOFTWARE|MicrosoftWindowsCurrentVersionRunOnceEx把结果分别导出为run.reg、runonce.reg、runonceex.reg安全建议删除这些注册项下的可疑键值。备注一些木马与后门程序通过改写注册表来自动装载入系统。=1.6 其他安全防护1.6.1 关闭自动播放功能配置项名称 关闭Windows自动播放功能操作步骤点击开始运行输入gpedit.msc，打开组策略编辑器，浏览到计算机配置管理模板windows组件自动播放策略，在右边窗格中双击“关闭自动播放”安全建议建议“关闭自动播放”配置已启用，启用范围：所有驱动器。备注1.6.2 提升时枚举管理员帐户配置项名称 提升时枚举管理员帐户操作步骤点击开始运行输入gpedit.msc，打开组策略编辑器，浏览到计算机配置管理模板windows组件凭据用户界面，在右边窗格中双击“提升时枚举管理员帐