Windows主机安全配置手册

Windows主机安全配置手册 德信诚培训网 Windows主机安全配置手册 1. 适用范围 本文档的适用操作系统为 Microsoft Windows 2000 Server/Advanced Server Microsoft Windows 2003 Server/Advanced Server 2 更新要求 本文档每年必须由负责人员重新审查内容，并按照需求修正。 各操作系统厂商推出新版本时，亦必须重新审查内容及修正。 3.1用户、用户组及其权限管理 描述:创建用户组和用户，并对其分配合适的权限是WINDOWS安全机制的核心内容之一。 3.1.1对系统管理员账号进行限制 编号: 3001 名称: 对系统管理员账号进行限制 重要等级: 高 基本信息: 系统管理员对系统具有最高的权限，Windows系统管理员的默认账号名为Administrator，很容易成为攻击者猜测和攻击的重要目标，因此需要对系统管理员账号作出必要的设置。 检测内容: 更多免费资料下载请进: 好好学习社区 德信诚培训网 , 查看是否有名为administrator的用户帐号; , 查看administrator用户是否属于administrators组 建议操作: , 将系统管理员账号重命名为一个普通的、不易引起注意的账号名 , 打开控制面板,管理工具,本地安全策略; , 选择本地策略,安全选项; , 改写:重命名管理员帐户; , 建立一个以administrator命名的账号，将所属用户组清除，即所属组为空， 不赋予该帐号权限; , 管理员账号的口令应该遵循比“密码策略”更严格的策略 操作结果: , 对系统管理员账号进行限制，一般不会对系统造成任何不良的影响。 , 有少数应用软件需要administrator名的系统用户，请视应用情况对该项进 行修改。 3.1.2 密码策略 编号: 3002 名称: 密码策略 重要等级: 高 基本信息: 通过启用“密码必须符合复杂性要求”，设置“密码长度最小值”、“密码最长存留期”、“密码最短存留期”、“密码强制历史”，停用“为域中用户使用可还原的更多免费资料下载请进: 好好学习社区 德信诚培训网 加密来存储”可以明显的提高用户账户的安全性。 检测内容: , 查看本地安全策略|账户策略|密码策略来核实是否设置了合适的密码策略 , 打开控制面板,管理工具,本地安全策略; , 选择帐户策略,密码策略; , 检查各项设置; 建议操作: , 启用“密码必须必须符合复杂性要求”; , “密码最小长度”大于7; , “密码最长存留期”小于90天; , “密码最短存留期”大于5天; , “密码强制历史”不小于5; , 停用“为域中用户使用可还原的加密来存储”; 操作结果: , 密码策略对已经存在的密码无效，需要对已存在的密码进行检查 , 进行密码策略设置，不会对系统造成任何不良的影响。 , 特例:在安全策略中定义的策略和添加用户时选择的密码永不过期和用户无 法自己修改密码，以后者为准。 更多免费资料下载请进: 好好学习社区 德信诚培训网 3.1.3 账户锁定策略 编号: 3003 名称: 账户锁定策略 重要等级: 高 基本信息: 通过设置“账户锁定时间”，“账户锁定阈值”，“复位账户锁定计数器”来防止远程的密码猜测攻击。 检测内容: , 查看本地安全策略|账户策略|账户锁定策略来核实是否设置了合适的密码 策略 , 打开控制面板,管理工具,本地安全策略; , 选择帐户策略,帐户锁定策略; , 检查各项设置; 建议操作: , “复位账户锁定计数器”时间不短于5分钟; , “账户锁定时间”不短于5分钟; , “账户锁定阈值”不多于10次; 操作结果: , 进行账户锁定策略设置时，不会对系统造成任何不良的影响。 3.2远程访问主机系统 更多免费资料下载请进: 好好学习社区 德信诚培训网 描述:被配置为接受远程访问连接的任何基于 Windows的计算机用户。 3.2.1 对可以远程使用telnet服务的用户进行限定 编号: 3004 名称: 对可以远程使用telnet重要等级: 中 服务的用户进行限定 基本信息: Windows系统从2000开始提供远程telnet访问服务，建议不要开启telnet服务，如特殊情况必须开启telnet服务，必须遵守本规定对可以远程访问telnet服务的用户进行限制。 检测内容: 检测是否为Telnet终端创建了TelnetClients组，并赋予恰当的访问权限。 建议操作: , 创建TelnetClients组，并将需要远程使用telnet服务的用户加入该组 , 对TelnetClients组进行授权 , 打开控制面板,管理工具,本地安全策略; , 本地策略,用户权力指派; , 按需要进行授权; 操作结果: , 进行TelnetClients账户授权策略设置时，不会对系统造成任何不良的影 响。 , 需要注意尽量避免对Administrator组用户进行授权修改，以免造成系统更多免费资料下载请进: 好好学习社区 德信诚培训网 应用、管理失败。 3.2.2 Pcanywhere远程接入 编号: 3005 名称: Pcanywhere远程接入安重要等级: 中 全设置 基本信息: Windows系统可以使用Pcanywhere工具方式进行远程管理，遵守一下设定对可以提高远程管理安全性。 检测内容: , 是否使用高版本(10.0)软件，较低版本软件存在大量安全漏洞 , 是否设置加密传输，建议采用pcanywhere加密级别 , 回话结束后是否注销用户 建议操作: , 创建新被控端 , 对被控端进行安全配置 , 选择TCP/IP方式; , 设置面板,回话正常(异常)结束后使用注销用户保护; , 安全选项,限制每个呼叫登陆尝试次数为3，完成登陆时间为3分钟; , 安全选项,设置加密为pcanywhere级别，拒绝较低加密级别; 更多免费资料下载请进: 好好学习社区 德信诚培训网 操作结果: , 设置生效需要重新启动Pcanywhere服务，主控端应配置与被控端相应加 密级别; , 需要注意本设置与系统本身认证机制无关。 3.3系统补丁 描述:补丁是实现Windows主机系统安全的重要途径。 3.3.1安装Windows补丁 编号: 3006 名称: 安装Windows补丁 重要等级: 高 基本信息: 补丁是实现Windows主机系统安全的重要途径。针对Windows 2000操作系统的漏洞，微软已经发布了三个大补丁包Windows 2000 Service Pack 1、2、3。针对Windows NT4操作系统的漏洞，微软已经发布到的最高补丁版本为SP6a。及时安装最近的service pack后发布的Hotfix补丁也十分重要。 检测内容: 1. 使用Windows Update在线更新工具;(对NT系统无效) , 点击“开始,Windows Update”直接连接到微软的Windows Update网站; , 点击扫描检测最新的补丁。补丁分为与安全相关、与Windows相关和与驱动相关三个 部分。 , 扫描的结果就是该Windows主机系统上所有没有安装的补丁。 更多免费资料下载请进: 好好学习社区 德信诚培训网 2. 使用微软的微软安全分析(MBSA)工具; , 下载地址: , 然后双击安装MBSA1.1; , 启动Microsoft Baseline Security Analyzer，得出扫描结果。 3. 使用hfnetchk工具;(本工具建议在线使用) , 首先下载该工具nshc332.exe，下载地址: , 安装nshc332.exe , 在命令行方式转到安装目录下，输入hfnetchk.exe，回车即可。 4. 对于没有与Internet相连的主机，如何通过离线的方式检查系统未安装的补丁, 注:上面提到任选其一。 建议操作: 1、根据使用“检测内容”中提到的补丁测试方法，对系统进行全面的测试，然后根据实际结果确定更新系统的哪些补丁程序。 下面给出部分与微软windows 2000和windows NT系统补丁相关的下载网址: 微软简体中文更新网址: 微软英文更新网址:更多免费资料下载请进: 好好学习社区 德信诚培训网 Windows 2000简体中文版SP3下载网址: p3.exe Windows 2000英文版SP3下载网址: Windows NT SP6a下载网址: .asp Windows NT SP6a安全补丁集合(SRP) 下载网址: asp 1. 下载完毕后，双击补丁程序，按照安装过程给出的提示，一步一步进行。 2. 安装结束后，重新启动系统即可。 3. hotfix的安装过程与SP补丁相同，安装完毕后根据安装程序的提示决定是否需要重 新启动机器。 4. 对于没有直接与Internet互联的主机，可利用微软提供的光盘升级包完成补丁加载; 或在Internet网络上的主机下载最新升级包并刻录至光盘载体，在需升级的主机上 安装。 操作结果: 更多免费资料下载请进: 好好学习社区 德信诚培训网 Windows的补丁是系统安全中重要组成部分，通常情况下安装补丁不会对系统造成任何不良的影响。 注意: 在安装系统补丁的过程中不能够使系统断电或非正常安装完毕而重新启动系统，这样可能会造成系统不能正常启动的严重后果。 更多免费资料下载请进: 好好学习社区 德信诚培训网 3.4文件系统增强 描述: NTFS支持细致的文件权限控制，磁盘配额管理、文件加密等特性。NTFS可为用户提供更高层次的安全保证。而FAT和FAT32系统则不具备上述特性。 3.4.1使用NTFS文件系统 编号: 3007 名称: 使用NTFS文件系统 重要等级: 高 基本信息: NTFS是微软Windows NT/2000/XP支持的文件系统。NTFS支持细致的文件权限控制，磁盘配额管理、文件加密等特性。NTFS可为用户提供更高层次的安全保证。 检测内容: 打开“我的电脑”――选中要检测的磁盘驱动器――单击鼠标右键选择“属性”――查看文件系统类型，是否为NTFS格式; 建议操作: 如果文件系统类型不是NTFS格式，需要转换为NTFS格式，以增加文件系统的安全性。 具体方法: 在cmd(命令行)方式下，键入: convert <驱动器盘符>: /fs:ntfs 注:一旦将某个驱动器或分区转换为NTFS格式，您便无法将其恢复回FAT或FAT32格式。如需返回FAT或FAT32格式，您必须对驱动器或分区进行重新格式化，并从相应分区上删除包括程序及个人文件在内的所有数据。 操作结果: 更多免费资料下载请进: 好好学习社区 德信诚培训网 , 实施文件系统安全增强，不会对系统造成任何不良的影响。 , 注意:微软没有提供将NTFS系统转换为其它的文件系统，如FAT和FAT32的功能， 如要对文件系统进行其它格式转换需使用第三方工具完成。 3.4.2删除OS/2和POSIX子系统 编号: 3008 名称: 删除OS/2和POSIX子系统 重要等级: 中 基本信息: Windows2000和NT系统提供了OS/2和POSIX操作环境子系统。这些子系统一般情况下不会使用，应该卸载OS/2和POSIX子系统。 检测内容: 检测注册表下面的键值: 配置单元项 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OS/2 Subsystem for NT 检测内容 所有子项 配置单元项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control \Session Manager\Environment 名称 Os2LibPath 检测内容 是否存在Os2LibPath项 配置单元项 HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Control\Session Manager\SubSystems 更多免费资料下载请进: 好好学习社区 德信诚培训网 检测内容 Posix和OS/2项 建议操作: 通过执行下列注册表操作删除这些子系统: 配置单元项 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OS/2 Subsystem for NT 操作 删除所有子项 配置单元项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control \Session Manager\Environment 名称 Os2LibPath 操作 删除Os2LibPath项 配置单元项 HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Control\Session Manager\SubSystems 操作 删除可选的Posix和OS/2项 然后删除 \winnt\system32\os2 目录及其所有子目录。更改将在下一次重新启动时生效。 操作结果: , 删除OS/2和POSIX子系统，不会对系统造成任何不良的影响。 , 可在网络服务中卸载其它系统类型服务、。 更多免费资料下载请进: 好好学习社区 德信诚培训网 3.4.3移动和对关键文件进行访问控制 编号: 3009 名称: 移动并对关键文件重要等级: 高 进行访问控制 基本信息: 将所有常用的管理工具放在 %systemroot% 外的特殊目录下，并对其进行严格的访问控制，保证只有管理员才具有执行这些工具的权限。 检测内容: 检测%systemroot%\system32\目录下的下列文件，确认其是否具有合适的访问权限: xcopy.exe wscript.exe cscript.exe net.exe ftp.exe telnet.exe arp.exe edlin.exe ping.exe route.exe at.exe finger.exe posix.exe rsh.exe atsvc.exe qbasic.exe runonce.exe syskey.exe cacls.exe ipconfig.exe rcp.exe secfixup.exe nbtstat.exe rdisk.exe debug.exe regedt32.exe regedit.exe edit.com netstat.exe tracert.exe nslookup.exe rexec.exe cmd.exe 建议操作: 创建称为 \CommonTools 的目录，然后将下列文件放在这一目录下，并对它们设置相应的 ACL 权限以便只有管理员对这些文件拥有全部权限。建议使用以下的访问控制(ACL) Administrators :完全控制 SYSTEM :完全控制 Creator Owner :完全控制 Everyone :只读 更多免费资料下载请进: 好好学习社区 德信诚培训网 xcopy.exe wscript.exe cscript.exe net.exe ftp.exe telnet.exe arp.exe edlin.exe ping.exe route.exe at.exe finger.exe posix.exe rsh.exe atsvc.exe qbasic.exe runonce.exe syskey.exe cacls.exe ipconfig.exe rcp.exe secfixup.exe nbtstat.exe rdisk.exe debug.exe regedt32.exe regedit.exe edit.com netstat.exe tracert.exe nslookup.exe rexec.exe cmd.exe 操作结果: , 以上文件根据WINDOWS版本不同默认存储路径可能不同。 , 移动上面所列出的命令并进行严格的访问控制，不会对系统造成任何不良的影响。 3.4.4关闭 NTFS 生成 8.3 文件名格式 编号: 3010 名称: 关闭 NTFS 生成 8.3 文件名格重要等级: 高 式; 基本信息: 关闭 NTFS 生成 8.3 文件名格式，即文件名为1,8个字符，扩展名为1,3个字符，此种文件格式文件纠错和文件属性能力也相对较弱，应该予以关闭; 检测内容: 查看注册表:*请参见第二章中注册表相关章节 Hive HKEY_LOCAL_MACHINE\SYSTEM Key \CurrentControlSet\Control\FileSystem 更多免费资料下载请进: 好好学习社区 德信诚培训网 Name NtfsDisable8dot3NameCreation Type REG_DWORD Value 查看此键值是否为“1” 建议操作: 修改注册表，关闭 NTFS 生成 8.3 文件名格式: Hive HKEY_LOCAL_MACHINE\SYSTEM Key \CurrentControlSet\Control\FileSystem Name NtfsDisable8dot3NameCreation Type REG_DWORD Value 1 修改注册表后在重新启动机器后生效。 操作结果: 实施文件系统安全增强，不会对系统造成任何不良的影响。 3.4.5设置 NTFS 的访问控制列表 编号: 3011 名称: 设置 NTFS 的访问控制列表 重要等级: 中 基本信息: 在使用 NTFS 文件系统的驱动器上，利用Windows NT/2000中的访问控制列表，可以对访问计算机数据或网络数据的人加以限制。 访问控制功能可用于对特定用户、计算机或更多免费资料下载请进: 好好学习社区 德信诚培训网 用户组的访问权限进行限制。 检测内容: 查看对各个重要的目录是否设置了访问控制列表; 建议操作: 对各个重要目录的访问控制列表的设置参考下表: F(全部)，R(只读)，N/A(所有限制) ACLs Path Admin CREATE Authentice SYSTEMO _istrator OWNER _ted Users SYSTEM PERATORS Others %system F R R F N/A N/A drive%\ %system drive% F F F F N/A N/A \temp %systemdrive% F R R F N/A N/A \program files %system F F R F N/A N/A root% %system F N/A N/A F N/A N/A root%\repair 更多免费资料下载请进: 好好学习社区 德信诚培训网 %systemroot, F F L F N/A N/A \system32\config %system F F C F R N/A root%\system32\spool %systemroot%\profiles F A F F N/A N/A %systemdrive%\boot.ini F N/A N/A F N/A N/A %systemdrive%\ntdetect.com F N/A N/A F N/A N/A %systemdrive%\ntldr F N/A N/A F N/A N/A %systemdrive%\autoexec.bat F N/A R F N/A N/A %systemdrive%\config.sys F N/A R F N/A N/A %systemroot%\poledit.exe F N/A N/A F N/A N/A %systemroot%\regedit.exe F N/A N/A F N/A N/A %systemroot%\system32\*.exe F N/A N/A F N/A N/A 操作结果: 实施文件系统安全增强，不会对系统造成任何不良的影响。 3.5防病毒 描述:计算机病毒是具有传染性的恶意计算机代码。病毒成为危害windows系统的安全主要威胁之一。防止计算机病毒必须根据系统的实际制定防病毒策略、部署多层防御、定期更新防病毒定义文件和引擎、定期备份文件，及时获得来自安全服务提供商的病毒信息。 更多免费资料下载请进: 好好学习社区 德信诚培训网 3.5.1安装防病毒软件及其更新 编号: 3012 名称: 安装防病毒软件及其更新 重要等级: 高 基本信息: , 保护系统时，最重要的事情之一就是使用防病毒软件并确保它的及时更新。Internet 上的所有系统、公司的 Intranet都应该安装防病毒软件。并且建立适当的策略确保 病毒库得到及时的更新。 检测内容: , 检测并下载来自防病毒软件提供商的最新病毒库。 建议操作: , 设置防病毒系统升级策略，凌晨2:00下载病毒代码并分发升级。因数据量较大，可 选择非业务忙时进行。 , 根据病毒软件来更新病毒库。 操作结果: , 安装防病毒软件及其更新，不会对系统造成任何不良的影响。 , 但病毒软件对文件系统扫描时会降低系统性能，故需要按服务情况定制扫描策略。 3.5.2 对web浏览器和电子邮件客户端的策略 编号: 3013 名称: 限制在服务器上使用web浏览器和电重要等级: 高 子邮件客户端 基本信息: , 浏览web页面和收取电子邮件，将会导致恶意代码在本地执行。不应该在服务器系统更多免费资料下载请进: 好好学习社区 德信诚培训网 上浏览web和查收电子邮件 检测内容: 通过浏览器的历史，浏览器的临时目录和网络设备的日志检查 建议操作: , 通过管理策略禁止用户在服务器等重要设备上，浏览web页面和查收电子邮件 操作结果: 属于管理策略，不会对系统带来任何影响。 3.6系统服务调整 描述:Windows提供的服务种类繁多，不同服务对安全的要求不一，如通过注册表、修改服务配置、停掉不必要的服务和组件等。 3.6.1通过注册表项增强服务安全 编号: 3014 名称: 通过注册表项增强服务安全 重要等级: 高 基本信息: , 通过注册表项增强服务安全 检测内容: 1、在注册表检查RestrictAnonymous键: Hive HKEY_LOCAL_MACHINE\SYSTEM 更多免费资料下载请进: 好好学习社区 德信诚培训网 Key CurrentControlSet\Control\LSA Name RestrictAnonymous Type REG_DWORD Value 1 2、在网络邻居里隐藏重要服务器，增加以下键值: Hive HKEY_LOCAL_MACHINE\SYSTEM Key CurrentControlSet\Services\LanManServer\Parameters Name Hidden Type REG_DWORD Value 1 建议操作: 1、在注册表设置RestrictAnonymous键: Hive HKEY_LOCAL_MACHINE\SYSTEM Key CurrentControlSet\Control\LSA Name RestrictAnonymous Type REG_DWORD Value 1 更多免费资料下载请进: 好好学习社区 德信诚培训网 在win2000系统下，使用本地安全策略(如果是域服务器就是在域服务器安全和域安全策略中)有选项RestrictAnonymous(匿名连接的额外限制)，这个选项有三个值: 0:None. Rely on default permissions(无，取决于默认的权限) 1:Do not allow enumeration of SAM accounts and shares(不允许枚举SAM帐号和共享) 2:No access without explicit anonymous permissions(没有显式匿名权限就不允许访问) 0这个值是系统默认的，无任何限制，远程用户可以获得系统所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum等等，对服务器来说这样的设置非常危险。 1这个值是只允许非NULL用户存取SAM账号信息和共享信息。 2这个值是在win2000中才支持的，需要注意的是，一旦使用了这个值，所有共享都会失效。 控制对注册表的访问，新创建下面键值: Hive HKEY_LOCAL_MACHINE\SYSTEM Key \CurrentControlSet\Control\SecurePipeServers Name \winreg 确定注册表的访问权限是安全的: Hive HKEY_LOCAL_MACHINE\SYSTEM 更多免费资料下载请进: 好好学习社区 德信诚培训网 Key CurrentControlSet\Control\SecurePipeServers\winreg\AllowPaths\winreg Name AllowPaths Type REG_DWORD Value 1 限制注册表修改权限，对下列关键注册表项应该加以监控，防止trojan木马自动运行。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Hive 隐藏最Key 后一次 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce Hive 登陆用Key 户的用 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Hive 户名: CurrentVersion\RunOnceEx Key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\ Hive CurrentVersion\AeDebug Key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\ Hive CurrentVersion\WinLogon Key Hive HKEY_LOCAL_MACHINE\SOFTWARE Key \Microsoft\Windows NT\Current Version\Winlogon Name DontDisplayLastUserName 更多免费资料下载请进: 好好学习社区 德信诚培训网 Type REG_SZ Value 1 操作结果: 通过注册表项增强服务安全，不会对系统造成任何不良的影响。 3.6.2停止schedule服务 编号: 3015 名称: 停止schedule服务 重要等级: 中 基本信息: , WINDOWS的Schedule服务可以帮助系统管理员设计一个在某个时间执行的批任务。由 于Schedule 服务通常在系统帐号下执行，它可以修改帐号的权限。这就意味着入侵 者可以修改Schedule配置并放入一个TROJAN木马程序来修改网络的访问权限。 检测内容: 察看是否禁止SCHEDULE服务。 建议操作: , 打开控制面板; , 选择任务; , 删除已有任务计划; , 点击高级菜单,停用任务计划程序; 操作结果: , 停止schedule服务，不会对系统造成任何不良的影响; 更多免费资料下载请进: 好好学习社区 德信诚培训网 , 该操作不影响应用程序自定义计划执行; , 如有调用系统schedule服务的应用，请慎重操作; 3.6.3根据情况停掉不必要的服务和组件 编号: 3016 名称: 根据情况停掉不必要的服务和组件 重要等级: 中 基本信息: , WindowsNT/2000服务器在默认安装情况下会安装上大量的服务和组件，从服务器安全 角度来考虑，结合用户应用，很多服务和组件都是没有必要开启而且容易造成安全隐 患的，可根据实际情况关闭或卸载。 检测内容: , 常用的服务和组件:证书服务、群集服务、索引服务、IIS、管理和监视工具、消息 排队服务、网络、连接服务(DNS,WINS等)、远程安装服务、远程存储服务、脚本调 试器、终端服务和终端、许可程序、媒体服务、IE中禁止运行ActiveX,JavaApplets， Cookies写入权限等 , 服务说明请参考“控制面板,管理工具,服务”中的描述 建议操作: , 请单击“控制面板”中的“管理工具”，然后根据具体要求，选择启用或禁用服务和 组件。 操作结果: 根据情况停掉不必要的服务和组件，将会对影响系统提供相应服务。 更多免费资料下载请进: 好好学习社区 德信诚培训网 3.6.4 SNMP服务安全策略 编号: 3017 名称: 限制对SNMP的访问 重要等级: 中 基本信息: 开启SNMP服务会导致信息泄漏的安全问题，对没有必要网管的设备建议关闭该服务。对于必须开放该服务的主机，需要在网关设备上限制对SNMP的访问，同时，监视是否有猜测SNMP口令的行为。在主机上需要遵守下面的安全策略。 检测内容: 通过控制面板|管理工具|服务察看community字符串是否为public，和检查是否限制可以访问SNMP服务的主机。 建议操作: , 打开控制面板,管理工具,服务 , 察看SNMP服务的属性，在Security标签下，增加可以访问本机SNMP服务的主机的 IP地址，同时，修改具有读取权限和写入权限的缺省字符串。 操作结果: , 如果修改了字符串需要在相应的网管设备在修改配置，以保证可以对该设备进行正常 的网管 3.7安全设置优化 描述:在 Windows中，存储关于计算机配置信息的数据库，优化配置提高安全性。 更多免费资料下载请进: 好好学习社区 德信诚培训网 3.7.1隐含最后登陆用户名 编号: 3018 名称: 隐含最后登陆用户名 重要等级: 中 基本信息: Windows NT/2000在缺省情况下最后登陆的用户名，使得攻击者可以猜测系统内的用户信息。 检测内容: 注销当前用户查看登陆界面上是否显示上次登陆用户。 建议操作: , Win2000系统:启用“本地安全策略|本地策略|安全选项|屏幕上不显示上次登陆的用 户名” , windowsNT: , 打开注册表管理器regedit , 打开HKEY_LOCAL_MACHINE/SOFTWARE/MICROSOFT/Windows NT/Current Version/Winlogon , 清空“DefaultDomainName”和“DefaultUserName”键值 操作结果: 隐含最后登陆用户名不会对系统造成任何不良的影响。 3.7.2登陆前显示一条警示信息 编号: 3019 名称: 登陆前显示一条警示信息 重要等级: 中 更多免费资料下载请进: 好好学习社区 德信诚培训网 基本信息: 利用此项功能可以在登陆前提示一些警示信息或注意事项，以保持系统的正常安全运行。 同时防止用户对远程终端服务口令进行自动化的脚本猜测。 检测内容: 注销当前用户查看登陆界面上是否显示登陆警告信息。 建议操作: , Win2000:设置“本地安全策略|本地策略|安全选项|用户试图登录时消息文字” , WinNT: , 打开注册表管理器regedit , HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WindowsNT\Current Version\Winlogon\ , 修改“LegalNoticeCaption”键值为警告信息。 操作结果: 登陆前显示一条警示信息不会对系统造成任何不良的影响。 3.7.3从登陆对话框中删除关机按钮 编号: 3020 名称: 从登陆对话框中删除关机按钮 重要等级: 高 基本信息: 如果在登陆界面上出现“关机”按钮的话，所有能够接触到该主机的用户都可以关闭机器，这是及其危险的，因此建议在登陆界面上删除“关机”按钮。 更多免费资料下载请进: 好好学习社区 德信诚培训网 检测内容: 注销当前用户查看登陆界面上是否显示有关机按钮。 建议操作: , Win2000:停用“本地安全策略|本地策略|安全选项|允许为登录前关机” , WinNT: , 打开注册表管理器regedit , HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WindowsNT\Current Version\Winlogon\ , 修改“ShutdownWithoutLogon”键值为0。 , 注销用户 操作结果: 从登陆对话框中删除关机按钮不会对系统造成任何不良的影响。 3.7.4阻止未授权访问注册表 编号: 3021 名称: 阻止未授权访问注册表 重要等级: 高 基本信息: 1、注册表编辑器支持远程 Windows NT 注册表访问。 2、禁止远程注册表访问。 检测内容: 更多免费资料下载请进: 好好学习社区 德信诚培训网 1、检测注册表 Hive HKEY_LOCAL_MACHINE\SYSTEM Key \CurrentControlSet\Control\SecurePipeServers Name \winreg 在该键值中设置的安全权限定义哪些用户或组可以连接到系统以便对注册表进行远程访问。默认的 Windows NT Workstation 安装未定义该键值，不限制对注册表的远程访问。Windows NT Server 只允许管理员远程访问绝大多数注册表。在KEY_LOCAL_MACHINE\System\CurrentControlSet\Contro\SecurePipeServers \winreg\AllowedPaths 键值中指定义了某些允许非管理员访问的路径 2、关闭远程用户修改此计算机上的注册表设置，只有此计算机上的用户才能修改注册表。 建议操作: 1. 添加上述注册表键值，限制对远程注册表的访问。 2. 在控制面板|管理工具|服务里停止或禁用Remote Registry服务。(windows2000 默认打开) 操作结果: 上述设置限制了对注册表的远程访问，不会对系统造成任何不良的影响。 更多免费资料下载请进: 好好学习社区 德信诚培训网 3.7.5对关键注册表项进行访问控制 编号: 3022 名称: 对关键注册表项进行访问控制 重要等级: 高 基本信息: 应在限定用户对注册表访问权限后，对一些关键的注册表项应该严格访问控制并进行严密监视，防止它们被攻击者用于启动 trojan 木马程序。 检测内容: 检测注册表下面的内容: 注册表路径: HKEY_Local Machine\SOFTWARE\Microsoft\Widows\CurrentVersion\ 键名 缺省权限 能启动代码执行的值 Run Everyone 设置值 任意 RunOnce Server Operators 设置任意 值 RunOnceEx Everyone 设置值 任意 AeDebug Everyone 设置值 Debugger Winlogon Server Operators 设置Userinit 值 建议操作: 注册表路径: HKEY_Local Machine\SOFTWARE\Microsoft\Widows\CurrentVersion\ 对其默认的属性进行修改，推荐值为: 更多免费资料下载请进: 好好学习社区 德信诚培训网 键名 缺省权限 能启动代码执行的值 Run Everyone 设置值 任意 RunOnce Server Operators 设置任意 值 RunOnceEx Everyone 设置值 任意 AeDebug Everyone 设置值 Debugger Winlogon Server Operators 设置Userinit 值 , Creator Owner Full Control , Administrator Full Control , System Full Control , Everyone Read 操作结果: 对所有重要的注册表项进行访问控制限制，不会对系统造成任何不良的影响。 3.8TCP/IP协议参数调整和端口过滤 描述:调整Windows系统TCP/IP协议参数的设置，可以提高windows抵抗拒绝服务攻击的能力，同时可以防止利用网络配置的“跳板式”攻击。 3.8.1优化TCP/IP，抵抗DoS攻击 编号: 3023 名称: 优化TCP/IP参数，抵抗拒绝服务重要等级: 高 更多免费资料下载请进: 好好学习社区 德信诚培训网 (DOS)攻击 基本信息: Windows主机系统可以通过调整TCP/IP参数来提高系统抵抗Dos攻击的能力，但是，发生Dos攻击时，通过在网络设备上进行包过滤将是一个更有效的策略。 检测内容: 检测以下注册表的键值 建议操作: 将“检测内容”中的注册表键值，添加、更改为下面的推荐设置: , SynAttackProtect(在windows 200 professional 未发现这个键值，是否需要创建, , 类型:REG_DWORD , 推荐值:2 , 描述:使TCP/IP调整SYN-ACKS的重传。当出现SYN-ATTACK迹象时，使连接 对超时的响应更快。键值设为2，Socket的以下选项不再工作: , 可伸缩窗口(RFC1323) , 单个适配器的TCP参数(初始RTT、窗口大小) , EnableDeadGWDetect , 类型: REG_DWORD , 推荐值:0 , 描述: 当键值为1时，允许TCP做网关失效检测(dead-gateway detect), 当出现大量连接时会自动切换到后备网关，而使攻击者可以利用这个特性使系统 切换到他们所希望的网关。设置为0时，攻击不能迫使系统切换到他们所希望的更多免费资料下载请进: 好好学习社区 德信诚培训网 网关。 , EnablePMTUDiscovery , 类型: REG_DWORD , 推荐值:0 , 描述:键值设为1时，Tcp会发现传输路径上的最大传输单元(MTU)，这样就消除传输路径上的分片。因为分片可以影响TCP的吞吐量并引起网络拥塞。当设为0时，就只使用576字节的MTU来连接所有的非本地子网主机，防止攻击者强制将MTU限制为小的值而使TCP堆栈负担过重而崩溃。 , KeepAliveTime , 类型: REG_DWORD , 推荐值:300000(5分钟) , 描述:控制TCP多长时间发一个keep-alive分组去确认某个空连接是否完整。如果远程系统仍然可达而且工作，则保持该传输的连接。缺省情况下不发送keep-alive分组，往往由应用程序打开。 , 该设置时缺省设置，作用于所有接口 , 对于用于管理或者冗余的适配器，该值应该更大一些。 , \Interfaces\NoNameReleaseOnDemand , 类型: REG_DWORD , 推荐值:1 , 描述:设为1决定计算机收到网络上的名字发布请求(NameRelease)时，计算机不发布其NETBIOS名字。 , \Interfaces\PerformRouterDiscovery 未发现 更多免费资料下载请进: 好好学习社区 德信诚培训网 , 类型: REG_DWORD , 推荐值:0 , 描述:设为0可以禁止Windows 2000/NT基于每个接口进行路由器发现 (RFC 1256讨论这个问题)，所以可以防止伪造的路由器攻击(Router Spoofing)。 , EnableICMPRedirects , 类型: REG_DWORD , 推荐值:0 , 描述:禁止ICMP复位向。 , IPEnableRouter , 类型: REG_DWORD , 推荐值:0 , 描述:禁止转发路由。 , EnableSecurityFilters , 类型: REG_DWORD , 推荐值:0 , 描述:禁止IP过滤。 操作结果: 上述设置加固TCP/IP堆栈，应付DoS的攻击，不会对系统造成任何不良的影响。 3.8.2禁用 IP 路由转发 编号: 3024 名称: 禁用 IP 路由转发 重要等级: 中 更多免费资料下载请进: 好好学习社区 德信诚培训网 基本信息: 如果启用路由，将可能发生在 Intranet 和 Internet 之间传递数据的危险。 该危险存在于多网卡系统主机上。 检测内容: 打开“控制面板”,“网络”,“协议”,“TCP/IP 协议”,“属性”,“路由”，查看在“启用IP转发”复选框前是否被选中，如果选中则代表该主机会启用IP转发。 建议操作: 若要禁用路由，打开“控制面板”,“网络”,“协议”,“TCP/IP 协议”,“属性”,“路由”然后清除“启用IP转发”复选框。 操作结果: 如果系统并不承担IP路由转发工作，禁用 IP 路由转发不会对系统造成任何不良的影响。 3.9Windows主机上DNS服务的安全增强(NT、2000 Server自带 的DNS服务) 描述:在 DNS 客户/服务器模型中，通过设置转发，限制区域文件传输等方式增强安全性能。 3.9.1限制区域文件传输 编号: 3025 名称: 限制区域文件传输 重要等级: 高 基本信息: 更多免费资料下载请进: 好好学习社区 德信诚培训网 , DNS服务器提供区域文件传输功能，一般用在主DNS和辅DNS服务器之间进行数据同 步的情况。如果网络中只有一个DNS服务器，应该禁止该功能;如果存在辅DNS服务 器，应该限制区域文件传输的DNS服务器范围。 检测内容: , 检测方式参考下面“建议部分”的内容 建议操作: , 选择——程序——管理工具——DNS选项，打开DNS管理器，连接到需要配置的DNS 服务器后，选择需要限制区域传输的域，鼠标右键菜单中选择属性选项，在区域复制 面板中设置允许主机的IP地址。 操作结果: 限制区域文件传输，不会对系统造成任何不良的影响。 3.10 Windows主机上WWW服务的安全增强(IIS4、5) 描述:IIS是 Windows 组件，此组件可以很容易将信息和业务应用程序发布到 Web。 3.10.1及时升级最新的IIS版本和安装最新的补丁 编号: 3026 名称: 及时升级最新的IIS版本和重要等级: 高 安装最新的补丁 基本信息: IIS的漏洞已经成为危害Windows系统的主要安全隐患，解决IIS安全漏洞的最直接的更多免费资料下载请进: 好好学习社区 德信诚培训网 办法就是及时的升级IIS版本和安装最新的安全补丁。同时，可以在 bulletin/notify.asp 上预定 Microsoft 安全通知服务，以便及时知道有关 Microsoft 安全问题和修补程序的信息。 检测内容: 检测是否按安装了最新的IIS版本和最新的补丁 建议操作:升级的操作 1. 打开 Internet Explorer。 2. 导航到 。 3. 从“收藏”菜单中选择“添加到收藏夹”。 4. 选中“允许脱机使用”复选框。 5. 单击“自定义”。 6. 在“脱机收藏夹向导”中单击“下一步”。 7. 选中“是”选项按钮并指定下载与该页链接的 2 层网页。 8. 单击“下一步”。 9. 选中“创建新的计划”选项按钮，然后单击“下一步”。 10. 接受默认设置，再单击“下一步”。 11. 单击“完成”。 12. 单击“确定”。 13. 从“收藏”菜单中选中“整理收藏夹”。 14. 在“整理收藏夹”对话框中选择“Microsoft TechNet Security”快捷方式。 15. 单击“属性”。 更多免费资料下载请进: 好好学习社区 德信诚培训网 16. 单击“Microsoft TechNet Security 属性”对话框的“下载”选项卡。 17. 取消选中“跟踪本页 Web 站点之外的链接”复选框。 18. 单击“确定”，然后单击“关闭”。 操作结果: 及时升级IIS安全补丁有助于提高整个操作系统安全性，并避免WEB信息被篡改。 3.10.2启用日志记录 编号: 3027 名称: 启用日志记录 重要等级: 高 基本信息: 查看服务器是否正在受到攻击，日志将非常重要。 检测内容: 客户 IP 地址， 用户名， 方法， URI 资源 ，HTTP 状态， Win32 错误， 用户代理， 服务器 IP 地址， 服务器端口 建议操作: 1. 加载 Internet Information Services 工具。 2. 右键单击怀疑有问题的站点，然后从上下文菜单中选择“属性”。 3. 单击“网站”选项卡。 4. 选中“启用日志”复选框。 5. 从“活动日志格式”下拉列表中选择“W3C 扩展日志文件格式”。 更多免费资料下载请进: 好好学习社区 德信诚培训网 6. 单击“属性”并配置日志记录项。 操作结果: 启用日志记录不会对系统造成任何不良的影响。 3.10.3删除未使用的脚本映射 编号: 3028 名称: 删除未使用的脚本映射 重要等级: 中 基本信息: IIS 被预先配置成支持常见的文件扩展名，如 .asp 和 .shtm。当 IIS 接收到针对其中某一类型文件的请求时，该调用由 DLL 进行处理。 检测内容: 删除下面这些引用: 如果没有使用 请删除此项 基于 Web 的密码重设 .htr 索引服务器 .ida Internet 数据库连接器 .idc (新的网站不使用此连接器;它们使用 活动 Active Server Pages 的 ADO) 更多免费资料下载请进: 好好学习社区 德信诚培训网 服务器端包含程序 .shtm、.stm、.shtml 建议操作: 1. 打开 Internet 服务管理器。 2. 右键单击 Web 服务器，然后选择“属性”。 3. 单击“主属性”。 4. 选择“WWW 服务”，单击“编辑”，单击“HomeDirectory”，然后单击“配置”。 操作结果: 删除未使用的脚本映射不会对系统造成任何不良的影响。 3.10.4在 IIS 服务器上更新根目录的 CA 证书 编号: 3029 名称: 在 IIS 服务器上更新根目重要等级: 高 录的 CA 证书 基本信息: 添加所有信任的新根目录证书颁发机构 (CA) 证书—尤其是任何通过使用 Microsoft Certificate Services 2.0 创建的新根目录 CA 证书。 检测内容: 不知道发布根目录证书的公司名称，那么就不应当信任他们，删除其证书～注意，不要删除 Microsoft 或 VeriSign 根目录。操作系统会大量使用它们。 更多免费资料下载请进: 好好学习社区 德信诚培训网 建议操作: 1. 打开 Microsoft Management Console (MMC)。 2. 从“控制台”菜单中选择“添加/删除管理单元”，然后单击“添加”。 3. 选择“证书”并单击“添加”。 4. 单击“计算机帐户”选项按钮。 5. 单击“下一步”。 6. 选中所指机器。 7. 单击“完成”。 8. 单击“关闭”，再单击“确定”。 9. 展开证书节点。 10.扩展信任的根目录证书颁发机构。 11.选择证书 操作结果: 在 IIS 服务器上更新根目录的 CA 证书不会对系统造成任何不良的影响。 3.11Windows主机上SQL SERVER服务的安全增强(V7、V2000) 更多免费资料下载请进: 好好学习社区 德信诚培训网 3.11.1 使用安全的密码策略 编号: 3030 名称: 使用安全的密码策略 重要等级: 高 基本信息: SQL Server的认证模式有Windows身份认证和混合身份认证两种。由于SQL Server不能更改sa用户名称，也不能删除这个超级用户，所以，我们必须对这个帐号进行最强的保护。 检测内容: 数据库管理员新建立一个拥有与sa一样权限的超级用户来管理数据库。安全的帐号策略还包括不要让管理员权限的帐号泛滥。 建议操作: 如果数据库管理员不希望操作系统管理员来通过操作系统登陆来接触数据库的话，可以在帐号管理中把系统帐号“BUILTIN\Administrators”删除。不过这样做的结果是一旦sa帐号忘记密码的话，就没有办法来恢复了。 很多主机使用数据库应用只是用来做查询、修改等简单功能的，请根据实际需要分配帐号，并赋予仅仅能够满足应用要求和需要的权限。比如，只要查询功能的，那么就使用一个简单的public帐号能够select就可以了。 操作结果: 使用安全的密码策略，不会对系统造成任何不良的影响。 更多免费资料下载请进: 好好学习社区 德信诚培训网 3.11.2加强数据库日志的记录 编号: 3031 名称: 加强数据库日志的记录 重要等级: 中 基本信息: 审核数据库登录事件的“失败和成功”，在实例属性中选择“安全性”，将其中的审核级别选定为全部，这样在数据库系统和操作系统日志里面，就详细记录了所有帐号的登录事件。 检测内容: 审核数据库登录事件的“失败和成功”， 建议操作: 1、请定期查看SQL Server日志检查是否有可疑的登录事件发生，或者使用DOS命令。 findstr /C:"登录" d:\Microsoft SQL Server\MSSQL\LOG\*.* 2、在实例属性中选择“安全性”，将其中的审核级别选定为全部，这样在数据库系统和操作系统日志里面，就详细记录了所有帐号的登录事件。: 操作结果: 加强数据库日志的记录，不会对系统造成任何不良的影响。 3.11.3管理扩展存储过程 编号: 3032 名称: 管理扩展存储过程 重要等级: 中 基本信息: 更多免费资料下载请进: 好好学习社区 德信诚培训网 对存储过程进行大手术，并且对帐号调用扩展存储过程的权限要慎重。其实在多数应用中根本用不到多少系统的存储过程，而SQL Server的这么多系统存储过程只是用来适应广大用户需求的，所以请删除不必要的存储过程，因为有些系统的存储过程能很容易地被人利用起来提升权限或进行破坏。 检测内容: 审核数据库登录事件的“失败和成功”， 建议操作: 1、如果你不需要扩展存储过程xp_cmdshell请把它去掉。使用这个SQL语句: use master sp_dropextendedproc 'xp_cmdshell' xp_cmdshell是进入操作系统的最佳捷径，是数据库留给操作系统的一个大后门。如果你需要这个存储过程，请用这个语句也可以恢复过来。 sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll' 2、如果你不需要请丢弃OLE自动存储过程(会造成管理器中的某些特征不能使用)，这些过程包括如下: Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod Sp_OASetProperty Sp_OAStop 去掉不需要的注册表访问的存储过程，注册表存储过程甚至能够读出操作系统管理员的密码来，如下: Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue 更多免费资料下载请进: 好好学习社区 德信诚培训网 Xp_regenumvalues Xp_regread Xp_regremovemultistring Xp_regwrite 3、还有一些其它的扩展存储过程，你也最好检查检查。 在处理存储过程的时候，请确认一下，避免造成对数据库或应用程序的伤害。 操作结果: 管理扩展存储过程，不会对系统造成任何不良的影响。 3.11.4对网络连接进行IP限制 编号: 3033 名称: 对网络连接进行IP限制 重要等级: 中 基本信息: SQL Server 2000数据库系统本身没有提供网络连接的安全解决办法，但是Windows 2000提供了这样的安全机制。使用操作系统自己的IPSec可以实现IP数据包的安全性。 检测内容: 关于IPSec的使用请参看: 建议操作: 更多免费资料下载请进: 好好学习社区 德信诚培训网 对IP连接进行限制，只保证自己的IP能够访问，也拒绝其它IP进行的端口连接，把来自网络上的安全威胁进行有效的控制。 操作结果: 对网络连接进行IP限制，不会对系统造成任何不良的影响。 3.11.5针对SLAMMER蠕虫 SLAMMER蠕虫 编号: 3034 名称: 重要等级: 高 基本信息: 在 2003 年 1 月 24 日(周五)晚，Microsoft 发现一种导致世界范围内网络流量激增的 Internet 攻击，名为 Sapphire 或 Slammer 的蠕虫病毒。 检测内容: 查看是否安装最新的SLAMMER蠕虫补丁程序。 建议操作: 1、安装最新的SQL安全补丁 2、在防火墙处禁止使用1434端口，防止来访入侵。 操作结果: 使用安全的密码策略，不会对系统造成任何不良的影响。 3.12 Windows主机上共享服务的安全增强 更多免费资料下载请进: 好好学习社区 德信诚培训网 3.12.1删除所有默认的网络共享 编号: 3035 名称: 删除所有默认的网络共享 重要等级: 高 基本信息: 默认的情况下，硬盘中所有逻辑分区都是被设置成共享的，但是通过网上邻居是不能看见这些共享的分区，这种“隐形”就是通过共享名称后面加上“$”来实现的，要访问这些隐形的分区则必须使用UNC路径，即在地址栏中键入“\\计算机名称\共享名”或者使用映射网络驱动器将其映射成本地的硬盘，由于一些扫描网络共享工具的出现，给设置了共享的主机带来极大的不安全因素。 检测内容: 从cmd(命令行)运行 Net Share命令，查看资源共享情况，看是否有共享资源存在，系统默认情况下会共享c$、d$、admin$等资源，可以使用 Net Share /d命令将其删除(如net share c$ /d)，但是机器重启后，所有默认共享会重新共享。 建议操作: 修改注册表: Hive HKEY_LOCAL_MACHINE\SYSTEM Key CurrentControlSet\Services\LanmanServer\Parameters Name AutoShareServer (nt,2000/server) Autosharewks(nt/workstation,2000 professional) Type REG_DWORD 更多免费资料下载请进: 好好学习社区 德信诚培训网 Value 0 修改注册表后在重新启动机器后生效。 操作结果: 关闭默认共享不会对系统造成任何不良的影响。 3.12.2限制匿名网络访问 编号: 3036 名称: 限制匿名网络访问 重要等级: 高 基本信息: Windows NT 、2000允许未授权用户开列域中的用户。如果允许匿名网络访问，则会导致域内主机信息、共享资源的非授权访问。 检测内容: 检测注册表下面的内容: Hive HKEY_LOCAL_MACHINE\SYSTEM Key CurrentControlSet\Control\LSA Name RestrictAnonymous Type REG_DWORD Value 2 看其键值是否为“2” 建议操作: 更多免费资料下载请进: 好好学习社区 德信诚培训网 将注册表键值更改为推荐值: Hive HKEY_LOCAL_MACHINE\SYSTEM Key CurrentControlSet\Control\LSA Name RestrictAnonymous Type REG_DWORD Value 2 操作结果: 上述设置禁止了对系统的匿名访问，不会对系统造成任何不良的影响。 3.12.3关闭文件和打印机共享 编号: 3037 名称: 关闭文件和打印机共享 重要等级: 高 基本信息: 对于不需要共享服务的主机，彻底关闭文件和打印机共享服务，可以根本解决由于windows的共享功能，带来的安全隐患。 检测内容: 通过检测拨号与网络连接的属性页中，连接上安装的网络组键和高级TCP/IP设置属性页中的WINS栏里面有关netbios的设置可以判断文件和打印共享是否测底关闭” 建议操作: 更多免费资料下载请进: 好好学习社区 德信诚培训网 , 在拨号和网络连接属性里，取消“Microsoft 网络的文件和打印机共享” , 在高级TCP/IP设置属性页中的WINS栏里面，选择“禁用TCP/IP上的NetBios; 操作结果: 对于不需要共享文件和打印机的主机，采用上面策略不会对系统造成任何不良影响。 3.13审计和日志 3.13.1开启系统和文件审核 编号: 3038 名称: 开启系统和文件审核 重要等级: 高 基本信息: , Windows的日志文件通常有应用程序日志，安全日志、系统日志、DNS服务器日志、 FTP日志、WWW日志等等，可能会根据服务器所开启的服务不同而不同。 检测内容: , 通过本地安全策略|本地策略|审核策略可以察看是否开启系统和文件审核 建议操作: , WindowsNT系统下 1) 确保NTFS分区 2) 在“域用户管理器”中，“规则”选项，选择“审核”开启相关事件的审核 3) 针对具体的目录，右键—属性—安全—审核，可开启针对用户和组的审核 更多免费资料下载请进: 好好学习社区 德信诚培训网 , Window2000系统下 1) 确保NTFS分区 2) 在“本地安全策略”中开启相应的审核策略 3) 针对具体目录，右键—属性—安全—高级—审核，可开启针对用户和组的审核 操作结果: 开启系统和文件审核，不会对系统造成任何不良的影响。 3.13.2针对注册表的审核 编号: 3039 名称: 针对注册表的审核 重要等级: 高 基本信息: , 通过将所选类型的事件记录在服务器或工作站的安全日志中来跟踪用户活动的过程。 检测内容: , 开启对注册表的审核，一定把审核事件降低到最低限度，防止日志文件过大。 建议操作: , WindowsNT系统下 使用Regedt32注册表编辑器 选择安全选项,审核 , Window2000系统下 更多免费资料下载请进: 好好学习社区 德信诚培训网 使用Regedt32注册表编辑器 选择安全,权限,高级,审核 操作结果: 针对注册表的审核，不会对系统造成任何不良的影响。 3.13.3日志文件的管理 编号: 3040 名称: 日志文件的管理 重要等级: 高 基本信息: , Internet服务的LOG文件一般在于:\WINNT\system32\LogFiles目录下，其它第三方 NT服务软件的日志有它们自己的目录，一般来说，第三方的软件都把目录放在他自己 的程序目录下。 检测内容: , 这就要求我们建立一个统一的好的管理LOG策略，使得管理员对日志管理更加安全、 统一，易于查找和加强对日志的审计。 建议操作: (1)更改日志文件目录 通过修改注册表来更改日志文件的存放目录;(应用程序LOG，安全LOG，系统LOG，DNS服务器LOG，目录服务，和文件复制服务的LOG文件都是可以通过Eventlog查看器查看的，他们的键值保存在HKLM\System\CurrentControlSet\Services\Eventlog下。 更多免费资料下载请进: 好好学习社区 德信诚培训网 (2)注意Schedule Logs Schedule Logs 是个重要的LOG，需要管理员经常查看。它是位于C:\WINNT\SchedLgU.Txt下，其记录着所有由SCHEDULER服务启动的所有行为，如服务的启动和停止，如果系统被攻击过，有不少后门是通过这个服务来启动的，所以管理员应该仔细查找这文件的里的内容，重新定位这个文件的位置，可以通过编辑下面的键值来完成: HKLM\SOFTWARE\Microsoft\SchedulingAgent (3)监视Performance Logs Performance Logs是性能监视记录器建立的，它们可以通过编辑注册表中的 HKLM\System\CurrentControlSet\Services\SysmonLog的DefaultLogFileFolder 值来完成。 (4)应用程序的LOG 一般来说你如果有第三方的WEB服务程序或者FTP，MAIL服务程序，管理员也需要跟踪他们的LOG，并从注册表中更改他们记录复位向到你新的分区。 (5)目录列表记录 管理员可以把它看成自己设定的LOG记录，安排每天的一些敏感目录列表复位向到你的LOG分区是一个比较好的办法，如果有新的文件突然产生，就可以跟踪它。它可以通过下面的方法来完成:dir C:\InetPub\wwwroot\ /S /B > [LogPartition]. 操作结果: 日志文件的管理，不会对系统造成任何不良的影响。 更多免费资料下载请进: 好好学习社区