中国人民银行信息系统安全配置指引操作系统分册

1、附件中国人民银行信息系统安全配置指引操作系统分册（V1.0）中国人民银行科技司2006年9月TOC o 1-5 h z一前言6适用范围6使用方式6验证说明6差异性说明6 HYPERLINK l bookmark4二IBMAIX安全配置7*用户安全7*为root设定复杂的口令，删除临时用户和已经不用的用户帐号7设置默认的口令策略7加固系统TCP/IP配置7根据系统应用要求关闭不必要的服务9确保不存在默认的信任主机和用户关系11在/etc/profile中设定用户自动logoff的值11&修改系统登录前的提示信息（banner）12修改Crontab文件属性12*确保只有指定的用户可以使用xhos

2、t命令12 HYPERLINK l bookmark8三Linux安全配置13 HYPERLINK l bookmark101*帐户安全13 HYPERLINK l bookmark122*强制定义密码长度13 HYPERLINK l bookmark143检查服务是否启动13 HYPERLINK l bookmark164修改部分执行文件的权限13 HYPERLINK l bookmark18修改/etc/securetty文件13 HYPERLINK l bookmark20修改/etc/services文件权限13删除登录信息14 HYPERLINK l bookmark26避免显示信息

3、和版本14防止ip欺骗14 HYPERLINK l bookmark30防止FTP反弹攻击14 HYPERLINK l bookmark32防止DoS攻击14 HYPERLINK l bookmark34删除不必要的帐号和组14 HYPERLINK l bookmark36设置/etc/rc.d/init.d目录下文件许可权15 HYPERLINK l bookmark38限制修改用户相关文件15 HYPERLINK l bookmark40文件完整性15 HYPERLINK l bookmark42修改/proc/sys/net/ipv4/ip_default_ttl：15 HYPERLIN

4、K l bookmark44修改/proc/sys/net/ipv4/tcp_fin_timeout：15 HYPERLINK l bookmark46修改/proc/sys/net/ipv4/tcp_syn_retries：16 HYPERLINK l bookmark48修改/proc/sys/net/ipv4/tcp_window_scaling：16 HYPERLINK l bookmark50修改/proc/sys/net/ipv4/tcp_syncookies16 HYPERLINK l bookmark52确保路径环境变量中不包含当前目录（.）16 HYPERLINK l boo

5、kmark54四SCOUNIX安全配置17 HYPERLINK l bookmark56*口令保护的设置17 HYPERLINK l bookmark58*Root帐号的安全性17 HYPERLINK l bookmark603设置合理的系统安全级别17 HYPERLINK l bookmark624合理设置用户17 HYPERLINK l bookmark645检查所有开启的服务，关闭不需要的服务17 HYPERLINK l bookmark66检查slip目录读写属性18 HYPERLINK l bookmark68去除非root用户读写SYSLOG和cron日志文件权限18 HYPERL

6、INK l bookmark70检查/dev目录下的设备权限18 HYPERLINK l bookmark72限制用户不成功登录的次数18 HYPERLINK l bookmark74检查/etc/default/login文件18 HYPERLINK l bookmark76正确配置.profile文件：18 HYPERLINK l bookmark78查看软件管理器18 HYPERLINK l bookmark80五Windows2000安全配置19*安装最新的操作系统补丁程序19*使用NTFS格式分区19*删除双、多操作系统:19卸载不必要的Windows组件19禁止光盘自动运行功能19

7、*Guest帐号19限制不必要的用户数量20*创建2个管理员帐号20*系统administrator帐号改名20*创建一个陷阱帐号20*设置屏幕保护密码20不让系统显示上次登录的用户名20共享文件的权限从”everyone”组改成“授权用户”21设置共享文件夹中的文件属性21对执行文件的保护21*把敏感文件存放在另外的文件服务器中21关闭不必要的服务21关闭不必要的端口22解除NetBios与TCP/IP协议的绑定22*打开安全策略22*禁止建立空连接23*关闭DirectDraw23*删除默认共享24禁止dumpfile的产生24清除temp文件夹24关机时清除页面文件24考虑使用IPSec

8、25删除IIS管理器中的无用映射25定期清理垃圾文件和整理碎片。25 HYPERLINK l bookmark82六Windows2003安全配置26*安装最新的操作系统补丁程序26*使用NTFS格式分区263*Guest帐号26限制不必要的用户数量26*创建2个管理员用帐号26*系统administrator帐号改名26*创建一个陷阱帐号26*设置屏幕保护密码27禁用不必要的服务27禁用TCP/IP上的NetBIOS27*设置审核策略27*删除默认共享：27*禁止IPC空连接：28防止SYN洪水攻击28禁止响应ICMP路由通告报文28防止ICMP重定向报文的攻击28不支持IGMP协议28 H

9、YPERLINK l bookmark84七WindowsXP安全配置30*安装最新的操作系统补丁程序30*使用NTFS格式分区30*Guest帐号30限制不必要的用户数量30*创建2个管理员用帐号30*系统administrator帐号改名30*创建一个陷阱帐号30*设置屏幕保护密码31用户权限分配设置31*审核策略设置31安全选项设置32磁盘碎片整理33*定期清理不必要的文件34 HYPERLINK l bookmark86八WindowsNT安全配置35*安装最新的操作系统补丁程序35*所有分区为NTFS35安装optionpack354安装最新的MDAC35设置权限36*设置屏幕保护3

10、6*禁止guest帐号36*更名管理员帐号36设置服务36网络服务中删除不必要的服务37仅安装TCP/IP协议37禁止NetBIOS37改动部分重要文件并加访问控制37设定如下的密码策略38*审计策略38事件查看器设置38删除OS/2和POSIX子系统39除去RDS漏洞39 、八、前言本指引是中国人民银行信息系统安全体系的一部分，旨在从技术上加固信息系统主流操作系统安全性。本指引是信息系统开发、实施及维护的技术安全参考依据。适用范围适用于中国人民银行新开发计算机应用系统及现有计算机应用系统的操作系统、客户端操作系统安全配置。使用方式对于新开发的应用系统，按照本指引相关内容配置，特殊情况应逐条书

11、面说明，相关说明与开发文档共同备案。应用系统上线验收应包括对本文档相关内容逐条检查配置情况，并在验收文档中给予说明。对于目前的生产环境，必须逐条在测试环境下测试，确保不影响应用系统的正常运行前提下，方能修改生产系统的相关配置。凡*标注的配置修改项目是最基本的安全要求，必须修改。验证说明IBMAIX安全配置通过IBMAIX5.2L环境验证。LINUX安全配置通过SUSELinuxEnterprise9环境验证。SCOUNIX安全配置通过SCOOPENSERVER5.0.6环境验证。WindowsNT安全配置通过WindowsNT4.0SP6环境验证。Windows2000安全配置通过Window

12、s2000SERVERSP4环境验证。Windows2003安全配置通过Windows2003SERVERSP1环境验证。Windowsxp安全配置通过WindowsxpSP2环境验证。差异性说明不同厂家的同一操作系统，环境参数不同。不同版本的同一操作系统，环境参数不同。同一操作系统安装的软件包不同，环境参数不同。对于不同环境的同一操作系统，可参照本指引相关内容执行。二IBMAIX安全配置*用户安全使用普通用户登录，用su取得root权限，而不是以root身份登录。使用全路径执行命令。*为root设定复杂的口令，删除临时用户和已经不用的用户帐号使用强壮口令（口令长度为8位的无规则的字母数字及特

13、殊符号的组合，并定期更换口令），修改弱口令或空口令。设置默认的口令策略通过编辑/etc/security/user文件或使用chsec命令设置默认的口令策略，并启用SAK：minage=0maxage=12maxexpired=4minalpha=4minother=1minlen=8mindiff=3maxrepeats=3加固系统TCP/IP配置通过/usr/sbin/no-oclean_partial_conns=l防止SYN的攻击；通过/usr/sbin/no-oarpt_killc=20设置arp表的清空时间；通过/usr/sbin/no-oicmpaddressmask=O防止网络

14、地址掩码的泄漏；通过/usr/sbin/no-odirected_broadcast=0防止smurf攻击；通过/usr/sbin/no-oipsrcroutesend=0；/usr/sbin/no-oipsrcrouteforward=0；/usr/sbin/no-oip6srcrouteforward=0防止源路由攻击；通过/usr/sbin/no-oipignoreredirects=1和/usr/sbin/no-oipsendredirects=0防止IP重定向；利用smitlshostsequiv/smitmkhostsequiv/smitrmhostsquiv或者直接编辑/etc/

15、hosts.equiv,检查所有其中的内容，去除信任主机和用户；禾U用smitlsftpusers/smitmkftpusers/smitrmftpusers或者直接编辑/etc/ftpusers来设定不能通过ftp登录系统的用户。设定所有关于网络配置文件的安全属性，见下表：/etcDirectoryNameOwnerGroupModePermissionsgated.confRootsystem0664rw-rw-r-hostsRootsystem0664rw-rw-r-hosts.equivRootsystem0664rw-rw-r-inetd.confRootsystem0644rw-r

16、-r-protocolsRootsystem0644rw-r-r-rc.tcpipRootsystem0774rwxrwxr-resolv.confRootsystem0644rw-rw-r-servicesRootsystem0644rw-r-r-3270.keysRootsystem0664rw-rw-r-3270keys.rtRootsystem0664rw-rw-r-/usr/binDirectoryNameOwnerGroupModePermissionsHostRootSystem4555r-sr-xr-xhostidBinBin0555r-xr-xr-xhostnameBinBi

17、n0555r-xr-xr-xfingerrootSystem0755rwxr-xr-xftprootSystem4555r-sr-xr-xrexecrootBin4555r-sr-xr-xruptimerootSystem4555r-sr-xr-xrwhorootSystem4555r-sr-xr-xTalkBinBin0555r-xr-xr-xtelnetrootSystem4555r-sr-xr-x/usr/sbinDirectoryNameOwnerGroupModePermissionsArprootsystem4555r-sr-xr-xfingerdrootsystem0554r-x

18、r-xr-Ftpdrootsystem4554r-sr-xr-gatedrootsystem4554r-sr-xr-ifconfigbinBin0555r-xr-xr-xinetdrootsystem4554r-sr-xr-namedrootsystem4554r-sr-x-rexecdrootsystem4554r-sr-xr-routerootsystem4554r-sr-xr-routedrootsystem0554r-xr-xrwhodrootsystem4554r-sr-xr-syslogdrootsystem0554r-xr-xr-talkdrootsystem4554r-sr-x

19、r-telnetdrootsystem4554r-sr-xr-/var/spool/rwhoDirectoryNameOwnerGroupModePermissionsrwho(directory)rootsystem0755drwxr-xr-x根据系统应用要求关闭不必要的服务可以通过编辑/etc/inetd.conf、/etc/rc.tcpip、/etc/rc.*和/etc/inittab等文件来实现。从系统管理的角度而言，一般只需要开放如下的服务：telnetftp可从/etc/inittab中关闭的服务：piobePrinterIOBackEndqdaemonPrinterQueuein

20、gDaemonwritesrvwriteserveruprintfdConstructsandwriteskernelmessageshttpdlitedocsearchWebServerdt（通用桌面环境，要用CDE的话不能删除）imnssdocsearchimnssDaemonimqssdocsearchimqssdaemonrcnfsNFSDaemons通过编辑文件/etc/inittab或rmitab命令完成。可从/etc/rc.tcpip中关闭的服务：routedgateddhcpcddhcpsddhcprdautoconf6ndpd-hostndpd-routerlpdnamedt

21、imedxntpdrwhodsnmpdpid2mroutedsendmailnfsdportmap可从/etc/inetd.conf中关闭的服务：shellkshellloginkloginexeccomsatuucpbootpsfingersystatnetstattftptalkntalkechodiscardchargendaytimetimecomsatwebsminstsrvimap2pop3kfclixmquery确保不存在默认的信任主机和用户关系检查系统中所有的.rhosts,.netrc,hosts.equiv等文件，确保没有存在默认的信任主机和用户关系，并使这些文件内容为空。

22、7.在/etc/profile中设定用户自动logoff的值如：TMOUT=3600#forKornShellTIMEOUT=3600#forBourneShellexportTMOUTTIMEOUT审查root的PATH环境变量，确保没有本地目录出现。修改系统登录前的提示信息（banner）启用SAK，编辑/etc/security/login.cfg文件：sak_enabled=trueherald=rnnnnnnnnnnnnnnnNOTICETOUSERSrnrnUseofthismachinewaivesallrightstoyourprivacy,rnrnandisconsentto

23、bemonitored.rnrnUnauthorizeduseprohibited.rnrnrnlogin:修改Crontab文件属性Chmod600/var/spool/cron/crontabs/eg.Lpsysadm除了root其他用户不能拥有cron访问权限*确保只有指定的用户可以使用xhost命令#chmod744/usr/bin/X11/xhost确保在运行xhost命令时，指定hostname，否则将允许所有的远程主机访问本机，这将带来潜在的危险性。 三Linux安全配置1*帐户安全使用强壮的密码（口令应为无规则的字母、数字及特殊符号的组合，并定期更换口令）；使用普通用户登录，用

24、SU取得root权限，而不是以root身份登录。2*强制定义密码长度修改/etc/login.defS-PASS_MIN_LEN83检查服务是否启动chkconfig-list需要开启或者关闭服务，使用chkconfig服务名on/off4修改部分执行文件的权限Chmod744/bin/mount/bin/umount/bin/login/bin/ping/usr/bin/chfn/usr/bin/chsh/usr/bin/newgrp/usr/bin/crontabmv/usr/bin/rlogin/usr/bin/rloginbak/usr/bin/rsh/usr/bin/rshbak/u

25、sr/bin/at/usr/bin/atbak5修改/etc/securetty文件只保留需要的tty配置。6.修改/etc/services文件权限修改etc/services文件权限，防止未经许可的删除或添加服务： #chattr+i/etc/services7删除登录信息mv/etc/issue/etc/issuebak mvmv HYPERLINK file:/etc/etc/etc/baktouch/etc/issuetouch HYPERLINK file:/etc/etc/8避免显示信息和版本改变/etc/inetd.conf文件telnetstreamtcpnowaitroot

26、/usr/sbin/tcpdin.telnetd-h加-h表示telnet不显示系统信息，而仅仅显示login:。9防止ip欺骗编辑/etc/host.conforderbind,hostsmultioffnospoofon10.防止FTP反弹攻击配置FTP服务器，禁止与发出PORT命令之外的客户端连接。11.防止DoS攻击编辑/etc/security/limits.confhardcore0hardrss5000hardnproc20编辑/etc/pam.d/login添加Isessionrequired/lib/security/pam_limits.so12.删除不必要的帐号和组use

27、rdeladmlpsyncshutdownhaltnewsuucpoperatorgamesgroupdeladmnewsuucpgamespppusers设置/etc/rcd/initd目录下文件许可权路径是/etc/init.dchmod-R700/etc/init.d/*限制修改用户相关文件chattr+i/etc/passwd/etc/shadow/etc/group文件完整性确保操作系统文件，尤其可执行程序/bin,/sbin,/usr/bin/usr/sbin目录下的系统文件不被修改。.修改/proc/sys/net/ipv4/ip_default_ttl设置从本机发出的ip包的生

28、存时间，参数值为整数，范围为0128,缺省值为64。如果你的系统经常得到“Timetoliveexceeded”的icmp回应，可以适当增大该参数的值，但是也不能过大，因为如果你的路由存在环路的话，就会增加系统报错的时间。.修改/proc/sys/net/ipv4/tcp_fin_timeout在一个tcp会话过程中，在会话结束时，A首先向B发送一个fin包，在获得B的ack确认包后，A就进入FINWAIT2状态等待B的fin包然后给B发ack确认包。这个参数就是用来设置A进入FINWAIT2状态等待对方fin包的超时时间。如果时间到了仍未收到对方的fin包就主动释放该会话。参数值为整数，单位

29、为秒，缺省为180秒。.修改/proc/sys/net/ipv4/tcp_syn_retries设置开始建立一个tcp会话时，重试发送syn连接请求包的次数。参数值为小于255的整数,缺省值为10。将该值改为5.修改/proc/sys/net/ipv4/tcp_window_scaling设置tcp/ip会话的滑动窗口大小是否可变。为1时表示可变，为0时表示不可变Tcp/ip通常使用的窗口最大可达到65535字节，对于高速网络，该值可能太小，这时候如果启用了该功能，可以使tcp/ip滑动窗口大小增大数个数量级，从而提高数据传输的能力。.修改/proc/sys/net/ipv4/tcp_sync

30、ookies把0改为1tcp_max_syn_backlog把128改512，加大缓存21.确保路径环境变量中不包含当前目录（.）检查文件，例如：/etc/rc.local、/etc/profile/、etc/bashrc、/etc/csh.cshrc、-/.bashrc、/.bash_profile、-/.cshrc-、/.login以保证路径环境变量中不包含“.”。如果使用的是shell而不是bash，则检查相应的资源文件。使用echo命令来显示当前用户的路径环境变量值：echo$PATH。 四SCOUNIX安全配置1*口令保护的设置口令一般为8个字符，口令的组成应以无规则的大小写字母、数

31、字和特殊符号相结合，应定期更换口令。通过编辑/etc/default/passwd文件，可以强制设定最小口令长度、两次口令修改之间的最短、最长时间。删除不必要的帐号。2.*Root帐号的安全性使用普通用户登录，用su取得root权限，而不是以root身份登录；设置root用户的umask为077，在需要时再改回022。设置合理的系统安全级别SCOUNIX提供了四个安全级别，分别是Low、Traditional、Improved和High级，系统缺省为Traditional级；Improved级达到美国国防部的C2级安全标准；High级则高于C2级。用户可以根据自己系统的重要性及客户数的多少，设

32、置适合自己需要的系统安全级别，具体设置步骤是：scoadminfsystemsecuritysecurityprofilemanager。如果安装数据库系统，一般建议使用Traditional级或者按照数据库系统安装手册要求设置。合理设置用户建立用户时，应考虑该用户属于哪一组，不能随便选用系统缺省的group组。如果需要，可以新增一个用户组并确定同组成员，在该用户的主目录下，新建文件的存取权限是由该用户的配置文件.profile中的umask的值决定。umask的值取决于系统安全级。检查所有开启的服务，关闭不需要的服务在/etc/inetd.conf文件中查找相应的守护进程，将其注释掉，然后重

33、启系统，该服务即被关闭。一些服务比如SENDMAIL并不被inetd启动，而是开机时自动加载启动。/etc/rc2.d/目录下放置的是开机时候自动启动的进程。直接从该目录下移除相应的启动脚本，再重新启动也可以达到停止服务的目的。直接把文件名改掉：cd/usr/libmvsendmailsendmail.bak，再重新启动也可以达到停止服务的目的。6检查slip目录读写属性slip帐号缺省uid为0,确保slip的主目录不能为非root用户可写。用Ls-l查看/usr/lib/下的slip目录读写属性。若需要可用chmod命令修改读写属性。7.去除非root用户读写SYSLOG和cron日志文件

34、权限/var/spool/cron/crontabs/root缺省创建所有用户可读的SYSLOG和cron日志文件。用chmod400去除非root用户的读写权限。8检查/dev目录下的设备权限比如：/dev/vga的权限应该是仅仅root可读写。这样做是为了防止一些用户侦听设备。限制用户不成功登录的次数限制用户不成功登录的次数,避免入侵者用猜测用户口令的方法尝试登录。为账户设置登录限制的步骤是：Scoadmin-)AccountManager-选账户-Users-LoginControls-添入新的不成功登录的次数检查/etc/default/login文件检查/etc/default/lo

35、gin文件，检查PATH当中应当不包含当前目录“./”。11.正确配置.profile文件：.profile文件提供了用户登录程序和环境变量，为了防止一般用户采用中断的方法进入$符号状态，系统管理者必须屏蔽掉键盘中断功能。具体方法是在.profile首部增加如下一行：trap012351512.查看软件管理器通过查看软件管理器检查有没有打补丁CSSA-2003-SC0.19。如果没有该项补丁记录，需要立即打上，避免普通用户通过manaPATH_INFO漏洞获得root权限。五Windows2000安全配置1*安装最新的操作系统补丁程序*使用NTFS格式分区把服务器的所有分区都改成NTFS格式。

36、NTFS文件系统要比FAT、FAT32的文件系统安全得多。（如果买品牌机时自带了厂商的操作系统，厂商会预留一个用于恢复的分区，不格式化这个恢复分区。）*删除双、多操作系统:禁止使用双、多系统，删除其他系统，如果是Ntloader引导，应该禁止引导其他系统，在boot.ini（隐藏的系统文件）中删除其他系统。并且设置boot.ini文件为隐藏的系统文件，权限只允许Administrators和SYSTEM完全控制，其余用户无权限。卸载不必要的Windows组件运行“添加/删除程序”一“添加/删除Windows组件”，卸载不必要的组件禁止光盘自动运行功能光盘中只要存autorun.inf文件，系统

37、就会自动试图执行文件中open字段后的文件路径，目前已经出现了破解屏保密码的光盘，如果不禁止光盘的自动运行功能，将会威胁系统安全。也可以修改注册表：将HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCdrom下的Autorun值由1改成0。*Guest帐号禁用Guest帐号，将Guest重命名为一个复杂的名字，增加口令，将Guest帐号从Guest组删掉。7限制不必要的用户数量去掉所有的测试用帐户、共享帐号、普通部门帐号等不必要账号。用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不使用的帐户。8*创建2个管理员帐号创建一个普通用户帐号

38、、一个Administrators权限的帐户。普通用户帐号用来收信以及处理一些日常事物，另一个拥有Administrators权限的帐户只在需要的时候使用。*系统administrator帐号改名将Administrator重命名，改为一个不易猜测的名字。*创建一个陷阱帐号创建一个名为“Administrator”的本地帐户，把它的权限设置成最低，不隶属任何组，并且加上一个超过10位的超级复杂密码。这样可以发现入侵者，并可以借此发现它们的入侵企图。*设置屏幕保护密码将屏幕保护启动时间设为5分钟，防止因为暂时离开使机器被盗用。不让系统显示上次登录的用户名默认情况下，登录对话框中会显示上次登录的帐

39、户名，这使得别人可以很容易的得到系统的一些用户名，进而作密码猜测。修改注册表可以不让对话框里显示上次登录的用户名，具体是：HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinlogonDontDisplayLastUserName把REG_SZ的键值改成1。共享文件的权限从”everyone”组改成“授权用户”“everyone”在Win2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成“everyone”组。设置共享文件夹中的文件属性对网络中的共享文件夹中的每个文件分别设置读写属性，对于不可修改的文

40、件属性设置成只读。对执行文件的保护将下列执行文件定义为只允许特定的管理员或administrators用户具有操作权限。net.exenet1.exetcmd.exet HYPERLINK ftp:/ftp.exeftp.exenetstat.exeregedit.exeat.exeattrib.execacls.exe*把敏感文件存放在另外的文件服务器中应该考虑把一些极为重要和敏感的用户数据（文件，数据表等）存放在另外一个安全的服务器中，并且经常备份它们。关闭不必要的服务Windows2000的TerminalServices（终端服务）、IIS、和RAS都可能给系统带来安全漏洞。为了能够在

41、远程方便的管理服务器，很多机器的终端服务都是开着的，如果需要开此服务，一定要确认已经正确的配置了终端服务。停止不需要的服务，注意检查下面默认开启的服务，若不需要，应关闭：ComputerBrowserserviceTCP/IPNetBIOSHelperNTLMSSPServerRPCLocatorNetlogonRemoteRegistryServiceDNSClientDHCPClientMessengerTaskschedulerTerminalServicesTelnet18关闭不必要的端口在system32driversetcservices文件中有知名端口和服务的对照表可供参考。关闭

42、不必要的端口。解除NetBios与TCP/IP协议的绑定只保留TCP/IP协议，删除NETBEUI、IPX/SPX协议；删除所有的网络共享资源，在网络连接的设置中删除文件和打印共享，只留下TCP/IP协议。使用IP安全策略，启用TCP/IP筛选功能。如果此台机器需要访问网络上其他机器，可保留Microsoft网络客户端。*打开安全策略开启必要的审核策略：策略设置审核帐户登录事件成功，失败审核帐户管理成功，失败审核登录事件成功，失败审核对象访问成功审核策略更改成功，失败审核特权使用成功，失败审核系统事件成功，失败开启密码策略：策略设置密码复杂性要求启用密码长度最小值8位强制密码历史5次密码最长留

43、存期90天开启帐户策略：策略设置复位帐户锁定计数器20分钟帐户锁定时间20分钟帐户锁定阈值3次*禁止建立空连接默认情况下，任何用户通过空连接连上服务器，进而枚举出帐号，猜测密码。通过修改注册表来禁止建立空连接：HKEY_Local_MachineSystemCurrentControlSetControlLSARestrictAnonymous的值改成”1”即可。22*关闭DirectDraw修改注册表HKLMSYSTEMCurrentControlSetControlGraphicsDriversDCI的Timeout(REG_DWORD)为0即可。23*删除默认共享将HKEY_LOCAL_

44、MACHINESYSTEMCurrentControlSetServiceslanmanserverparametersautoshareserver修改为0,若没有autoshareserver，则新建autoshareserver双字节值，修改为0；将HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparametersautosharewks修改为0，若没有autoshareserver,贝I新建autoshareserver双字节值，修改为0。禁止桌面的active功能在桌面属性的“Web”选项页禁止启用“在活动桌

45、面上显示Web内容”。禁止dumpfile的产生dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料，然而，它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。要禁止它，打开我的电脑属性高级启动和故障恢复把写入调试信息改成无。要用的时候，可以再重新打开它。清除temp文件夹一些应用程序在安装和升级的时候，会把一些东西拷贝到temp文件夹，但是当程序升级完毕或关闭的时候，它们并不会自动清除temp文件夹的内容，必须手动清除temp文件夹的内容。关机时清除页面文件页面文件是Win2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一些没有加密的密码存在内

46、存中，页面文件中也可能含有另外一些敏感的资料。要在关机的时候清除页面文件，可以修改注册表：HKLMSYSTEMCurrentControlSetControlSessionManagerMemoryManagement，把ClearPageFileAtShutdown的值设置成1。27考虑使用IPSecIPSec提供IP数据包的安全性。IPSec提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据，而接收方计算机在收到数据之后解密数据。利用IPSec可以使得系统的安全性能大大增强。删除IIS管理器中的无用映射在IIS管理器中删除无用映射和不必要的虚拟目录。定期清理垃圾文件和整理

47、碎片。 六Windows2003安全配置1*安装最新的操作系统补丁程序*使用NTFS格式分区把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT、FAT32的文件系统安全得多。（如果买品牌机时自带了厂商的操作系统，厂商会预留一个用于恢复的分区，不格式化这个恢复分区。）*Guest帐号禁用Guest帐号，将Guest重命名为一个复杂的名字，增加口令，将Guest帐号从Guest组删掉。限制不必要的用户数量去掉所有的测试用帐户、共享帐号、普通部门帐号等等不必要账号。用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不使用的帐户。*创建2个管理员用帐号创建一个一般权限帐号用来收信以

48、及处理一些日常事物，另一个拥有Administrators权限的帐户只在需要的时候使用。*系统administrator帐号改名将Administrator重命名，改为一个不易猜测的名字。*创建一个陷阱帐号创建一个名为“Administrator”的本地帐户，把它的权限设置成最低，并且加上一个超过10位的超级复杂密码。这样可以发现入侵者，并可以借此发现它们的入侵企图。8*设置屏幕保护密码9禁用不必要的服务建议禁用如下服务：RemoteRegistryServiceRoutingandRemoteAccessDNSClientDHCPClientMessengerTerminalServices

49、Telnet禁用TCP/IP上的NetBIOS网上邻居-属性-本地连接-属性Tnternet协议(TCP/IP)属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。*设置审核策略本地安全策略-审核策略中打开相应的审核，推荐的审核是：账户管理成功失败登录事件成功失败对象访问失败策略更改成功失败特权使用失败系统事件成功失败目录服务访问失败账户登录事件成功失败*删除默认共享：修改注册表：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters：AutoShareServer类型是REG

50、_DW0RD，把值改为0即可*禁止IPC空连接:修改注册表：将Local_MachineSystemCurrentControlSetControlLSARestrictAnonymous的值改成”1”即可。防止SYN洪水攻击修改注册表:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters新建DWORD值，名为SynAttackProtect,值为2EnablePMTUDiscoveryREG_DWORD0NoNameReleaseOnDemandREG_DWORD1EnableDeadGWDetectREG_DWOR

51、D0KeepAliveTimeREG_DWORD300，000PerformRouterDiscoveryREG_DWORD0EnableICMPRedirectsREG_DWORD0禁止响应ICMP路由通告报文修改注册表:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfaces新建DWORD值，名为PerformRouterDiscovery值为0防止ICMP重定向报文的攻击修改注册表:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipPara

52、meters将EnableICMPRedirects值设为0不支持IGMP协议修改注册表:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters新建DWORD值，名为IGMPLevel值为0 七WindowsXP安全配置1*安装最新的操作系统补丁程序*使用NTFS格式分区把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT、FAT32的文件系统安全得多。（如果买品牌机时自带了厂商的操作系统，厂商会预留一个用于恢复的分区，不格式化这个恢复分区。）*Guest帐号禁用Guest帐号，将Guest重命名为一个复杂的

53、名字，增加口令，将Guest帐号从Guest组删掉。限制不必要的用户数量去掉所有的测试用帐户、共享帐号、普通部门帐号等等不必要账号。用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不使用的帐户。*创建2个管理员用帐号创建一个一般权限帐号用来收信以及处理一些日常事物，另一个拥有Administrators权限的帐户只在需要的时候使用。*系统administrator帐号改名将Administrator重命名，改为一个不易猜测的名字。*创建一个陷阱帐号创建一个名为“Administrator”的本地帐户，把它的权限设置成最低，并且加上一个超过10位的超级复杂密码。这样可以发现入侵者，并可以

54、借此发现它们的入侵企图。8*设置屏幕保护密码9用户权限分配设置在WindowsXP中，可设置用户权限分配。步骤：控制面板管理工具本地安全策略本地策略用户权利指派配置如下：从网络访问此计算机通过终端服务允许登录备份文件和目录跳过遍历检查更改系统时间调试程序通过终端服务拒绝登录从远程系统强制关机在本地登录配置单一进程还原文件和目录关闭系统10.*审核策略设置Administrators,UsersNoOneAdministratorsUsersAdministratorsNoOneEveryoneAdministratorsAdministrators,UsersAdministratorsAdm

55、inistratorsAdministrators,Users # 配置WindowsXP的审核策略。步骤：控制面板管理工具本地安全策略本地策略审核策略配置如下：审核帐户登录事件成功、失败审核帐户管理成功、失败审核目录服务访问无审核审核登录事件成功、失败成功、失败成功审核对象访问审核策略更改无审核无审核成功审核特权使用审核过程跟踪审核系统事件11安全选项设置在WindowsXP中，可设置安全选项。步骤：控制面板管理工具本地安全策略本地策略安全选项配置如下：帐户:使用空白密码的本地帐户只允许进行控制台登录已启用帐户:重命名系统管理员帐户推荐帐户:重命名来宾帐户推荐设备:允许不登录脱离已禁用设备:

56、允许格式化和弹出可移动媒体Administrators设备:防止用户安装打印机驱动程序已启用设备:只有本地登录的用户才能访问CD-ROM已启用设备:只有本地登录的用户才能访问软盘已启用设备:未签名驱动程序的安装操作允许安装但发出警告域成员:需要强（Windows2000或以上版本）会话密钥已启用交互式登录:不显示上次的用户名已启用交互式登录:不需要按CTRL+ALT+DEL已禁用交互式登录:可被缓存的前次登录个数（在域控制器不可用的情况下）2交互式登录:在密码到期前提示用户更改密码30天交互式登录:智能卡移除操作锁定工作站Microsoft网络客户:数字签名的通信（若服务器同意）已启用Micr

57、osoft网络客户:发送未加密的密码到第三方SMB服务器。已禁用Microsoft网络服务器:在挂起会话之前所需的空闲时间15分钟Microsoft网络服务器:数字签名的通信（总是）已启用Microsoft网络服务器:数字签名的通信（若客户同意）已启用Microsoft网络服务器:当登录时间用完时自动注销用户已启用网络访问：允许匿名SID/名称转换已禁用网络访问:不允许SAM帐户匿名枚举已启用网络访问：不允许SAM帐户和共享的匿名枚举已启用网络访问：不允许为网络身份验证储存凭据或.NETPassports已启用网络访问：可匿名访问的共享为空网络访问：可匿名访问的命名管道为空网络访问：本地帐户的

58、共享和安全模式本地用户以自己的身份验证网络安全：不要在下次更改密码时存储LANManager的哈希值已启用网络安全：在超过登录时间后强制注销已启用网络安全：LANManager身份验证级别仅发送NTLMv2响应网络安全：基于NTLMSSP(包括安全RPC)客户的最小会话安全没有最小网络安全：基于NTLMSSP(包括安全RPC)服务器的最小会话安全没有最小故障恢复控制台：允许自动系统管理级登录已禁用故障恢复控制台：允许对所有驱动器和文件夹进行软盘复制和访问已禁用关机：允许在未登录前关机已禁用关机：清理虚拟内存页面文件已启用系统加密：使用FIPS兼容的算法来加密，哈希和签名已禁用系统对象：由管理员

59、(Administrators)组成员所创建的对象默认所有者对象创建者(Objectcreator)磁盘碎片整理开始一程序一附件一系统工具一磁盘碎片整理，定期清理垃圾文件和整理碎片。 *定期清理不必要的文件 八WindowsNT安全配置1*安装最新的操作系统补丁程序*所有分区为NTFS硬盘中只安装一种操作系统，采用NTFS格式，操作系统和应用系统安装在不同的分区，安装成独立的服务器,选择工作组成员，不选择域。安装optionpack选择自定义安装：只安装如下组件：_InternetInformationServer_InternetServiceManager_WorldWideWebServ

60、er_MicrosoftDataAccessComponents1.5_DataSources_MDAC:ADO,OBDC,andOLEDB_RemoteDataService1.5_RDSCoreFiles_MicrosoftManagementConsole_NTOptionPackCommonFiles_TransactionServer_TransactionServerCoreComponents将www安装在和操作系统不同的分区上安装transaetionserver时选择default/localadministration4安装最新的MDAC设置权限使用用户管理器在所有分区上的