WindowsServer2003安全基线-V10..doc

目 录 1 安全基线要求 2 1.1 系统补丁 2 1.2 审计与账户策略 2 1.2.1 审核口令设置安全策略 2 1.2.2 审核策略 3 1.3 事件日志设置 3 1.4 安全选项设置 3 1.4.1 Microsoft网络服务器 3 1.4.2 Microsoft网络客户端 3 1.4.3 交互式登录设置 4 1.4.4 网络访问 4 1.4.5 网络安全 4 1.4.6 故障恢复控制台 5 1.4.7 关机 5 1.4.8 系统加密 5 1.4.9 系统对象 5 1.4.10 帐户 6 1.4.11 设备设置 6 1.5 用户权限分配 6 1.6 注册表设置 7 1.6.1 审核空连接设置 7 1.6.2 审核注册表开启型木马 7 1.6.3 SYN攻击保护 7 1.6.4 DDOS攻击防御 8 1.7 其他安全防护 8 1.7.1 关闭自动播放功能 8 1.7.2 Windows防火墙状态 8 1.7.3 审核网络共享安全 9 1.7.4 SNMP服务的共同体字符串设置 9 1.7.5 应用程序检查 9 1.7.6 HOSTS文件检查 9  安全基线要求 系统补丁 配置项名称 系统Service Pack和其他Hotfix的安装情况 操作步骤 查看Windows Server 2003安装的SP情况： 点击开始（start）－运行（run），输入命令“winver”，回车； 记录当前的SP版本号。 查看Windows Server 2003安装的其他补丁的情况： (导出HKLM_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current version \hotfix的内容为Hotfix.reg)，与微软必威体育精装版的补丁列表进行比对，安装所有Critical/important级别补丁，建议使用Windows Update或建立内部SUS系统对其他级别补丁进行检查 安全建议 Windows 2003 Server应安装SP2。并安装所有严重和重要级别的必威体育精装版的补丁程序（hotfix）。 建议：建议使用内部WSUS服务器升级所有关键补丁 备注 审计与账户策略 审核口令设置安全策略 配置项名称 审核口令设置安全策略 操作步骤 开始→控制面板→管理工具→本地安全策略→帐户策略 安全建议 密码必须符合复杂性要求 已启用； 密码长度最小值 7； 密码最长使用期限 42天； 密码最短使用期限 1天； 强制密码历史 6个； 用可还原的加密来储存密码 已禁用； 复位帐户锁定计时器 5分钟； 帐户锁定时间 5分钟； 帐户锁定阈值 15次。 备注 审核策略 配置项名称 审核策略 操作步骤 开始→控制面板→管理工具→本地安全策略→本地策略→审核策略 安全建议 安全标准设置如下： 审核策略更改：成功和失败 审核登录事件：成功和失败 审核对象访问：成功和失败 审计过程跟踪：无审核 审计目录服务访问：无审核 审核特权使用：无审核 审核系统事件：成功和失败 审核帐户登录事件：成功和失败 审核帐户管理：成功和失败 备注 对于DC服务器，审核登录事件应只审核失败 事件日志设置 配置项名称 事件日志设置 操作步骤 开始→控制面板→管理工具→事件查看器（在应用程序日志、安全日志和系统日志上点右键，看属性中的最大文件大小，单位为KB。） 安全建议 建议应用日志的容量为16M，安全日志的容量为80M，系统日志的容量为16M。并且用户有流程定期的转存日志。日志保存期限最小为60天。 备注 安全选项设置 Microsoft网络服务器 配置项名称 安全选项- Microsoft网络服务端 操作步骤 开始→控制面板→管理工具→本地安全策略→本地策略→安全选项 安全建议 建议设置在挂起会话之前的所需的空闲时间 15分钟； 备注 Microsoft网络客户端 配置项名称 安全选项- Microsoft网络客户端 操作步骤 开始→控制面板→管理工具→本地安全策略→本地策略→安全选项 安全建议 发送未加密的密码到第三方SMB服务器 已启用； 备注 交互式登录设置 配置项名称 安全选项-交互式登录 操作步骤 开始→控制面板→管理工具→本地安全策略→本地策略→安全选项 安全建议 建议设置不显示上次登录的用户名 已启用； 不需要按Ctrl+Alt+Del 已禁用； 用户试图登录时消息标题和消息文字 申明信息或警告信息； 在密码到期前提示用户更改密