Windows 2000 操作系统安全检查表
文章作者:
发布时间:
2006-12-28
浏览次数:
11239
Windows 2000 操作系统安全检查表(草案)
中国教育和科研计算机网紧急响应组(CCERT)
2003年3月
步 骤
1 建议
3安装最新的系统补丁(Service Pack)与更新(Hotfix)程序
大量系统入侵事件是因为用户没有及时的安装系统的补丁,管理员重要的任务之一是更新系统,保证系统安装了最新的补丁。 建议用户及时下载并安装补丁包,修补系统漏洞。Microsoft公司提供两种类型的补丁:Service Pack 和Hotfix。
Service Pack 是一系列系统漏洞的补丁程序包,最新版本的Service Pack包括了以前发布的所有的hotfix。微软公司建议用户安装最新版本的Service Pack, 现在最新的补丁包是Service Pack 3(推荐安装)。
您可以在下面的网址下载到最新的补丁包:
l http://www.microsoft.com/windows2000/downloads/servicepacks/sp3/
Service Pack 3 此补丁包包括了Automatic Updates(自动升级)服务,该服务能够在重要的Windows 2000修补程序发布之时向您发出通知。Automatic Updates是一种有预见性的“拉”服务,可以自动下载和安装Windows 升级补丁,例如重要的操作系统修补和Windows安全性升级补丁。
Hotfix 通常用于修补某个特定的安全问题,一般比Service Pack 发布更为频繁。微软用过安全通知服务来发布安全公告。你可以订阅微软免费的安全通知服务:
在发布新的安全补丁时,可以通过电子邮件通知你。如果公告建议你安装 hotfix,你应该尽快下载并安装这些hotfix。 你也可以在下面的网址下载最新的Hotfix 程序:
4 为管理员(Administrator)账号指定安全的口令
Windows 2000 允许127个字符的口令。一般来说,强壮的口令应该满足以下条件:
1. 口令应该不少于8个字符;
2. 不包含字典里的单词、不包括姓氏的汉语拼音;
3. 同时包含多种类型的字符,比如
o 大写字母(A,B,C,..Z)
o 小写字母(a,b,c..z)
o 数字(0,1,2,…9)
o 标点符号(@,#,!,$,%,& …)
4.不要在不同的计算机上使用相同的口令。
5 把Administrator帐号重新命名
由于Windows2000的默认管理员帐号Administrator已众所周知,该帐号通常称为攻击者猜测口令攻击的对象。为了降低这种威胁,可以将帐号Administrator重新命名。操作步骤如下:
5.点击“开始”>“设置”>“控制面板”,弹出文件夹后,双击“管理工具”图标,进入后双击“计算机管理”,打开后选择目录“系统工具”下的“本地用户和组”,这样就可以看到系统中的所有用户列表;
6.选中Administrator,点击右键,选择重命名,将administrator改成admin、或root等;
您应该在计算机管理单元中查看系统的活动帐号列表(对用户和程序而言),并且禁用所有非活动帐户,特别是Guest,删除或者禁用不再需要的帐户。配置步骤如下:
点击“开始”>“设置”>“控制面板”,弹出文件夹后,双击“管理工具”图标,进入后双击“计算机管理”,打开后选择目录“系统工具”下的“本地用户和组”,这样就可以看到系统中的所有用户的状态。
尽管Windows 2000默认禁用了Guest帐号,但你需要确认一下。
每提供一种网络服务就增加了一份安全威胁。所以我们建议您关闭所有不必要的网络服务,特别是Web服务,因为Windows 系统包含的Web服务器IIS系统存在着大量安全漏洞。
如果您必须提供某种网络服务,那么尽量做到专机专用,不要把所有的鸡蛋都放在同一个篮子里。也就是说假如服务器提供的是web服务的话,就尽量不要在机器上提供其他的服务,这样可以尽量的降低服务器的风险。
通过开始—〉控制面板—〉管理工具—〉服务,可以配置Windows 2000的服务。微软关于Windows 2000的基准服务配置,参见附录二。
我们强烈建议您在操作系统安装之后立即安装防病毒软件,定期扫描、实时检测和清除计算机磁盘引导记录、文件系统和内存、以及电子邮件病毒。
由于新的病毒和蠕虫及其各种变种发展很快,我们强烈建议您及时更新病毒定义码。
关于防病毒软件的选择,建议您参考清华大学等各高校BBS系统中病毒栏目的相关评论和建议。
默认状态下,所有用户对于新创建的文件共享都拥有完全控制权限。系统中所有必要的共享都应当设置合适的权限,以便使用户拥有适当的共享级别访问权(例如,Everyone = 读取)。
注意 必须使用 NTFS 文件系统,才能对个别文件设置 ACL 以及共享级别权限。
Windows 2000的安全审计功能在默认安装时是关闭的。激活此功能有利于管理员很好的掌握机器的状态,有利于系统的入侵检测。你可以从日志中了解到机器是否在被人蛮力攻击、非法的文件访问等等。配置步骤如下:
“开始”>“设置”>“控制面板”>“管理工具”>“本地安全策略”,之后选择“本地策略”中的“审核策略”。 建议策略设置列表(针对您的需要更改):
| 审核策略 | 设置 |
| 帐户登录事件 | 成功,失败 |
| 帐户管理 | 成功,失败 |
| 登录事件 | 成功,失败 |
| 对象访问 | 失败 |
| 策略更改 | 成功,失败 |
| 特权使用 | 成功,失败 |
| 系统事件 | 失败 |
若想查看审核日志信息,可以用以下步骤:
“程序”>“设置”>“控制面板”>“管理工具”>“事件查看器”。
1.从Internet上下载并运行软件时一定要谨慎,因为这些软件有可能感染病毒、藏有木马或后门。如果您必须使用这些软件,一定选择可信度高的站点。
2.不要轻易打开陌生人的邮件,特别是邮件中的附件。
3.重要的数据一定要定期备份。
微软安全特性(中国):http://www.microsoft.com/china/technet/security/default.asp
CCERT安全资源: http://www.ccert.edu.cn/certs/index.php
附录二、windows 2000 服务配置参考
我们建议您对服务作如下配置(“默认”为系统初始设置,“基准”是我们建议的设置)。
| 服务 | 全称 | 默认 | 基准 |
| Alerter | Alerter(警报器) | 自动 | 禁用 |
| AppMgmt | Application Management(应用程序管理) | 手动 | 禁用 |
| ClipSrv | ClipBook(剪贴簿) | 手动 | 禁用 |
| EventSystem | COM+ Event System(COM+ 事件系统) | 手动 | 手动 |
| Browser | Computer Browser(计算机浏览器) | 自动 | 禁用 |
| DHCP | DHCP Client(DHCP 客户) | 自动 | 自动 |
| Dfs | Distributed File System(分布式文件系统) | 自动 | 仅在 域控制器 角色中启用 |
| TrkWks | Distributed Link Tracking Client(分布式链接跟踪客户) | 自动 | 自动 |
| TrkSrv | Distributed Link Tracking Server(分布式链接跟踪服务器) | 手动 | 禁用 |
| MSDTC | Distributed Transaction Coordinator(分布式事务协调器) | 自动 | 禁用 |
| DNSCache | DNS Client(DNS 客户) | 自动 | 自动 |
| EventLog | Event Log(事件日志) | 自动 | 自动 |
| Fax | Fax Service(传真服务) | 手动 | 禁用 |
| NtFrs | File Replication(文件复制) | 手动 | 禁用 |
| IISADMIN | IIS Admin Service(IIS 管理服务) | 自动 | 禁用 |
| Cisvc | Indexing Service(索引服务) | 手动 | 禁用 |
| SharedAccess | Internet Connection Sharing(Internet 连接共享) | 手动 | 禁用 |
| IsmServ | Intersite Messaging(站间消息传递) | 禁用 | 禁用 |
| PolicyAgent | IPSEC Policy Agent(IPSEC Service)(IPSEC 策略代理程序(IPSEC 服务)) | 自动 | 禁用 |
| Kdc | Kerberos Key Distribution Center(Kerberos 密钥分发中心) | 禁用 | 仅在 DC 角色中启用 |
| LicenseService | License Logging Service(许可证记录服务) | 自动 | 禁用 |
| Dmserver | Logical Disk Manager(逻辑磁盘管理器) | 自动 | 自动 |
| Dmadmin | Logical Disk Manager Administrative Service(逻辑磁盘管理器管理服务) | 手动 | 手动 |
| Messenger | Messenger(信使) | 自动 | 禁用 |
| Netlogon | Net Logon(网络登录) | 自动* | 自动 |
| Mnmsrvc | NetMeeting Remote Desktop Sharing(NetMeeting 远程桌面共享) | 手动 | 禁用 |
| Netman | Network Connections(网络连接) | 手动 | 手动 |
| NetDDE | Network DDE(网络 DDE) | 手动 | 禁用 |
| NetDDEdsdm | Network DDE DSDM(网络 Network DDE DSDM) | 手动 | 禁用 |
| NtLmSsp | NTLM Security Support Provider(NTLM 安全支持提供程序) | 手动 | 禁用 |
| SysmonLog | Performance Logs and Alerts(性能日志和警报) | 手动 | 手动 |
| PlugPLay | Plug and Play(即插即用) | 自动 | 自动 |
| Spooler | Print Spooler(打印后台处理程序) | 自动 | 仅在“文件和打印”角色中启用 |
| ProtectedStorage | Protected Storage(受保护存储) | 自动 | 自动 |
| RSVP | QoS Admission Control (RSVP)(QoS 许可控制 (RSVP)) | 手动 | 禁用 |
| RasAuto | Remote Access Auto Connection Manager(远程访问自动连接管理器) | 手动 | 禁用 |
| RasMan | Remote Access Connection Manager(远程访问连接管理器) | 手动 | 禁用 |
| RpcSs | Remote Procedure Call(远程过程调用,RPC) | 自动 | 自动 |
| Rpclocator | Remote Procedure Call (RPC) Locator(远程过程调用 (RPC) 定位器 | 手动 | 仅在 DC 角色中启用 |
| RemoteRegistry | Remote Registry Service(远程注册表服务) | 自动 | 自动 |
| NtmsSvc | Removable Storage(可移动存储) | 自动 | 禁用 |
| RemoteAccess | Routing and Remote Access(路由和远程访问) | 禁用 | 禁用 |
| Seclogon | RunAs Service(RunAs 服务) | 自动 | 禁用 |
| SamSs | Security Accounts Manager(安全帐户管理器) | 自动 | 自动 |
| Lanmanserver | Server(服务器) | 自动 | 自动 |
| SMTPSVC | Simple Mail Transport Protocol(简单邮件传输协议,SMTP) | 自动 | 禁用 |
| ScardSvr | Smart Card(智能卡) | 手动 | 禁用 |
| ScardDrv | Smart Card Helper(智能卡助手) | 手动 | 禁用 |
| SENS | System Event Notification(系统事件通知) | 自动 | 自动 |
| Schedule | Task Scheduler(任务计划程序) | 自动 | 禁用 |
| LmHosts | TCP/IP NetBIOS Helper Service(TCP/IP NetBIOS 支持服务) | 自动 | 自动 |
| TapiSrv | Telephony(电话服务) | 手动 | 禁用 |
| TlntSvr | Telnet(远程登录协议) | 手动 | 禁用 |
| TermService | Terminal Services(终端服务) | 禁用 | 禁用 |
| UPS | Uninterruptible Power Supply(不间断电源) | 手动 | 禁用 |
| UtilMan | Utility Manager(工具管理器) | 手动 | 禁用 |
| MSIServer | Windows Installer(Windows 安装服务) | 手动 | 禁用 |
| WinMgmt | Windows Management Instrumentation(Windows 管理规范) | 手动 | 禁用 |
| WMI | Windows Management Instrumentation Driver Extensions(Windows 管理规范驱动程序扩展) | 手动 | 手动 |
| W32Time | Windows Time(Windows 时间服务) | 自动* | 自动 |
| LanmanWorkstation | WorkStation(工作站) | 自动 | 自动 |
| W3svc | World Wide Web Publishing Service(万维网发布服务) | 自动 | 仅在 IIS 角色中启用 |
相关链接
