WINDOWS2003安全评估加固手册
文档名: 服务器名称: 生成地点: 客户确认签字: 编号 1 账户策略 口令要求 口令设置必须是十位或以上,口令必须 至少是数字、字母、特殊符号的两种以上的组合。 口令更改 管理员口令更改周期不能长于1周 加固容 加固项目 检查方法 检查结果 文档编号: 服务器IP: 加固时间: 加操密码策略 打开“控制面版”-“管理工具”-“本 地安全策略”,在“策略”中。(运行secpol.msc命令) 密码必须符合复杂性要求:已启用 密码长度最小值:10个字符 密码最长存留期:7天 - -可修编.
. .
密码最短存留期:0天 强制密码历史:2个记住的密码 设置完成之后,需要重启计算机方可生效 账户锁定打开“控制面版”-“管理工具”-“本 策略 地安全策略”,在“策略”-“锁定策略”中。 复位锁定计数器:0分钟后 锁定时间:0分钟 锁定阙值:3次无效登录 2 本地安全安全服务在断开会话之前所需的空闲时间:5分 策略 选项 钟 在关机时清理虚拟存页面交换文件:启用 在密码到期前提示用户更改密码:14天 禁止本地登录的用户访问软盘:启用 防止用户安装打印机驱动程序:启用 交互式登录时不显示上次用户名:启用 登录时不需要按Ctrl+Alt+Del :停用 在超过登录时间后强制注销:启用 不允许SAM的匿名枚举:启用 不允许SAM和共享的匿名枚举:启用 - -可修编.
. .
在下一次密码变更时不存储LANMAN哈希值:启用 不允许为网络验证存储凭据或.NET Passport:启用 从文件共享中删除允许匿名登录的DFS$和CFG; 从通过网络访问此计算机中删除Power Users和Backup Operators; 安全管理 打开控制面板->管理工具->本地安全 策略,选择安全选项 更改默认管理员administrator名称 更改默认来宾名称guest为(用户定义) 禁用的服1使用services.msc查看服务列表,注意 务 以下互操作服务,确定服务不需要则禁用,设置为手动启动: Task Scheduler Remote Registry Service RunAs Service Messenger Windows Time 其它服务设置见附表 2.关闭不必要的端口 - -可修编.
. .
3 安全策略 安全审计 运行secpol.msc命令,打开“本地安全 设置”-“本地策略”-“审核策略”。 启用所有审核策略“成功和失败”; 事件日志事件日志调整,查看“系统工具”-“事 调整 件查看器”-“属性”,(依据系统空间情况) 安全日志日志容量100M、日志改写时间30天 应用程序日志容量100M、日志改写时间30天 系统日志日志容量100M、日志改写时间30天 4 共享设置 关闭共享 1、使用net share 命令检查当前的共享 情况。 2、删除ADMIN$、C$、等默认共享 关闭默认在注册表中添加如下容: 和管理共HKEY_LOCAL_MACHINE\\System\\CurrentC享、限制ontrolSet 匿名连接\\Services\\LanManServer\\Parameters 和空连接 键值:AutoShareServer 类型:REG_DWORD 数值:0 - -可修编.
. .
5 系统补丁 系统补丁检查系统补丁更新: 更新 安装操作系统ServicePack以及HotFix对于 Windows 2003安装SP2;(注册表查看:local machine\\software\\microsoft\\Updates\\windows 2003\\...) 6 病毒防护 防病毒系软件版本。 病毒库版本。 统 安装后升级病毒库,安装过程为默认安装。设置自动更新病毒库为每天更新。 其它安全设置屏保 屏幕保护设置为3分钟,恢复时有密码 设置 口令 去除自动执行Gpedit.msc,打开组策略面板,关 播放功能 闭系统自动播放功能 拒绝服务拒绝服务攻击设置: 攻击设置 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services Tcpip\\Parameter\\ SynAttackProtect键值数值为1
系统优化服务设置:
Automatic Update
启动:禁用
启动:手动
Background Intelligent Transfer Service DHCP Client
启动:禁用
- -可修编.
. .
puter Browers启动:禁用
启动:禁用
Internet Connection Sharing Messenger Net Logon
启动:禁用 启动:自动
Remote Registry Service启动:禁用 启动:禁用
Routing and Remote Access Telnet
启动:禁用
Terminal Services启动:禁用
启动:禁用
Universal Plug and Play Device Host WebClient
启动:禁用
启动:禁用
Wireless Configuration Alerter:启动:禁用 Clipbook:启动:禁用
distributed link tracking client:启动:禁用 internet connection sharing:启动:禁用 ipsec policy agent:启动:禁用
logical disk manager administrative service:启动:自动 message queuing:启动:自动 messenger:启动:自动
network dde:你没有连入局域网:启动:禁用 network dde dsdm:你没有连入局域网:启动:禁用 performance logs and alerts:启动:禁用
- -可修编.
. .
qos rsvp:启动:禁用
routing and remote access: 启动:禁用 smart card:启动:禁用 smart card helper:启动:禁用
uninterruptible power supply:启动:禁用 utility manager:启动:禁用
windows management instrumentation:启动:禁用-
-可修编.
因篇幅问题不能全部显示,请点此查看更多更全内容