windows服务器安全加固指南问题.docx

国网四川省电力公司主机Windows操作系统安全配置基线标准第一章 目的建立Windows 2003安全配置标准并以此标准为指导，配置和审视四川省电力公司的Windows 2003服务器的安全性;降低系统存在的安全风险，确保系统安全可靠的运行。第二章 范围本标准适用于Windows 2003 Server。第三章 参考《Windows 2003安全配置》《Windows NT网络的安全性》第四章 Windows 2003系统的安全配置标准第一条停掉Guest帐号在计算机管理的用户里将把guest帐号停用掉，任何时候都不允许使用guest帐号登陆系统。安全等级: ***** 第二条限制不必要的用户数量不清楚用户功能去掉所有的测试用帐户、共享帐号、普通部门帐号等等不必要账号。用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不使用的帐户。这些帐户很多时候都是黑客们入侵系统的突破口，系统的帐户越多，黑客们得到合法用户的权限可能性一般也就越大。安全等级: **** 第三条创建2个管理员用帐号 原业务系统都是运行在Administrators用户下，如果停运或者更换管理员账号，可能会造成业务系统停运创建一个一般权限帐号用来收信以及处理一些日常事物，另一个拥有Administrators权限的帐户只在需要的时候使用。可以让管理员使用 RunAS命令来执行一些需要特权才能作的一些工作，以方便管理。安全等级. **** 第四条共享文件的权限从 everyone组更改为授权用户everyone在Windows 2003中意味着任何有权进入你的网络的用户都能够获得该共享资料。任何时候都不要把共享文件的用户设置成everyone组。安全等级:*****第五条使用安全密码要求用户首次登陆时更改成复杂密码，应为字母和数字及特殊字符的混合并不得与用户名相同，并注意经常更改密码。安全等级. ***** 第六条设置屏幕保护密码设置屏幕保护密码是防止内部人员破坏服务器的一个很简单也很有必要屏障。安全等级: *****第七条使用NTFS格式分区服务器的所有分区都设置为NTFS格式。NTFS文件系统比FAT、FAT32的文件系统更具安全性。分区无法改变格式安全等级: ***** 第八条运行防毒软件必须运行公司统一部署的防毒软件。可查杀病毒、木马和后门程序。安全等级. ***** 第九条保障备份盘的安全系统资料一旦被破坏，可利用备份盘进行资料恢复。备份后的资料确认无误后存放在安全的地方。安全等级. *** 没有备份盘第十条关闭不必要的服务批处理，各个业务系统依赖的基础服务不同，直接关闭可能造成业务系统停运Windows 2003的Terminal Services (终端服务)、lIS、和RAS都可能系统带来安全漏洞。为了能够在远程方便的管理服务器，很多机器的终端服务都是开着的，如果需要开此服务，一定要确认已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。应留意服务器上面开启的所有服务，周期性(每天)检查。1、将以下服务设置为手动COM+ System Application Computer Browser CrYPtographic ServicesDHCP Client Distributed File System Distributed Transaction Coordinator DNS Client Error Reporting Service HTTP SSL Human Interface Device Access Logical Disk Manager Administrative Service Microsoft Software Shadow Copy Provider MSSQLServerADHelper Net Logon Network Connections Network Location Awareness (NLA) Network Provisioning Service NTLM Security Support Provider Perforrmance Logs and Alerts Remote Access Auto Connection Manager Remote Access Connection Manager Remote Desktop Help Session ManagerRemote Procedure Call (RPC) Locator Removable Storage Resultant Set of Policy Provider Server Smart Card Special Administration Console Helper SQ