windows服务器安全加固之组策略篇.PDF

2011 年第1 期 Windows 服务器安全加固之组策略篇 Windows 操作系统在服务器上安装非常广泛，企业或个人经常安装的操作系 统有Windows Server 2000、2003 和2008 等，这些操作系统的本身漏洞我们无法 控制，但我们可以通过系统安全加固手段有效降低自己服务器被黑客入侵的几 率。目前常见的加固手段主要包括账户设置、组策略设置、注册表设置、IPSec、 服务设置等，本文主要讲如何通过编程方式操控组策略从而实现 Windows 操作 系统的安全加固，下表为在组策略中需要进行的相关配置。 密码复杂性要求：启用 最短密码长度： 8 位 帐户策略 密码最长使用期限： 0 天 密码最短使用期限： 0 天 强制密码历史： 0 个记住的密码 复位帐户锁定计数器： 5 分钟 帐户锁定时间： 30 分钟 帐户锁定策略 “复位帐户锁定阈值”5 次 成功，失败：审核帐户登录事件、 审核帐户管理、审核目录服务访问、审核登录事 件、审核特权使用 审核策略 失败：审核对象访问 成功：审核策略更改、审核系统事件 处 无审核：审核过程追踪 线 通过终端服务拒绝登录：无 出 用户权限指派防 通过终端服务允许登录： Administrators 组和remote desktop users 组 明 交互式登录：不显示上次的用户名 启用 客 网络访问：不允许SAM 帐户和共享的匿名枚举 启用 注 黑 网络访问：不允许为网络身份验证储存凭证 启用 安全选项 网络访问：可匿名访问的共享 全部删除 请 网络访问：可匿名访问的命名管道 全部删除 网络访问：可远程访问的注册表路径 全部删除 载 帐户：重命名系统管理员帐户 重命名一个帐户 组策略与注册表的关系非常紧密，许多组策略中的设置可以通过修改注册 转 表，然后用RefreshPolicy 函数强制刷新组策略来实现（其实有些组策略修改的实 质也正是修改注册表相关配置），例如上表中的“不显示上次的用户名”和“不 允许 SAM 帐户和共享的匿名枚举”等。但是有些组策略的设置无法通过注册表 进行修改，例如上表中的账户策略、账户锁定策略、审核策略和用户权限指派等。 所以本文通过Windows 自带的secedit 这个命令对组策略进行设置，主要用到的 命令是secedit /configure /db FileName /cfg FileName /quiet ，其中/db 后的文件名 可任意取，一般以.sdb 为后缀名，/cfg 后的文件为我们需要配置的文件。该命令 2011 年第1 期 的其他语法和具体使用方法网上可以查到，这里不