服务器操作系统安全配置标准.doc

中国××公司服务器操作系统安全配置标准－Windows2006年03 月30 日文档控制拟 制: ? ?审 核: ? ?标准化: ? ?读 者： ? ?版本控制版本 ? ?提交日期 ? ?相关组织和人员 ? ?版本描述V1.0 ? ?2005-12-08 ? ? ? ?V1.1 ? ?2006-03-30 ? ? ? ?1 ? ?概述 ? ?11.1 ? ?适用范围 ? ?11.2 ? ?实施 ? ?11.3 ? ?例外条款 ? ?11.4 ? ?检查和维护 ? ?12 ? ?适用版本 ? ?23 ? ?用户账号控制 ? ?23.1 ? ?密码策略 ? ?23.2 ? ?复杂性要求 ? ?23.3 ? ?账户锁定策略 ? ?33.4 ? ?内置默认账户安全 ? ?33.5 ? ?安全选项策略 ? ?44 ? ?注册表安全配置 ? ?64.1 ? ?注册表访问授权 ? ?64.2 ? ?禁止匿名访问注册表 ? ?74.3 ? ?针对网络攻击的安全考虑事项 ? ?74.4 ? ?禁用 8.3 格式文件名的自动生成 ? ?84.5 ? ?禁用 LMHASH 创建 ? ?84.6 ? ?配置 NTLMSSP 安全 ? ?84.7 ? ?禁用自动运行功能 ? ?84.8 ? ?附加的注册表安全配置 ? ?95 ? ?服务管理 ? ?95.1 ? ?成员服务器 ? ?95.2 ? ?域控制器 ? ?106 ? ?文件/目录控制 ? ?116.1 ? ?目录保护 ? ?116.2 ? ?文件保护 ? ?127 ? ?服务器操作系统补丁管理 ? ?167.1 ? ?确定修补程序当前版本状态 ? ?167.2 ? ?部署修补程序 ? ?168 ? ?系统审计日志 ? ?169 ? ?其它配置安全 ? ?179.1 ? ?确保所有的磁盘卷使用NTFS文件系统 ? ?179.2 ? ?系统启动设置 ? ?179.3 ? ?屏幕保护设置 ? ?179.4 ? ?远程管理访问要求 ? ?1810 ? ?防病毒管理 ? ?1811 ? ?附则 ? ?1811.1 ? ?文档信息 ? ?1811.2 ? ?其他信息 ? ?181 ? ?概述本文档规定了中国××公司企业范围内安装有Windows操作系统的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员进行Windows操作系统的安全配置。1.1 ? ?适用范围本规范的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。本规范适用的范围包括：支持中国××公司运行的Windows 2000 Server, Windows 2003服务器系统。1.2 ? ?实施本规范的解释权和修改权属于中国××公司，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准一经颁布，即为生效。1.3 ? ?例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国××公司信息系统管理部门进行审批备案。1.4 ? ?检查和维护根据中国××公司经营活动的需要，每年检查和评估本标准，并做出适当更新。如果在突发事件处理过程中，发现需对本标准进行变更，也需要进行本标准的维护。任何变更草案将由中国××公司信息系统管理部门进行审核批准。各相关部门经理有责任与其下属的组织和员工沟通变更的内容。2 ? ?适用版本Windows 2000 Server;Windows 2003.3 ? ?用户账号控制基本策略：用户被赋予唯一的用户名、用户ID（UID）。3.1 ? ?密码策略默认情况下，将对域中的所有服务器强制执行一个标准密码策略。下表列出了一个标准密码策略的设置以及针对您的环境建议的最低设置。策略 ? ?默认设置 ? ?推荐最低设置强制执行密码历史记录 ? ?记住 1 个密码 ? ?记住 4 个密码密码最长期限 ? ?42 天 ? ?42 天密码最短期限 ? ?0 天 ? ?0 天最短密码长度 ? ?0 个字符 ? ?8 个字符密码必须符合复杂性要求 ? ?禁用 ? ?启用为域中所有用户使用可还原的加密来储存密码 ? ?禁用 ? ?禁用3.2 ? ?复杂性要求当组策略的“密码必须符合复杂性要求”设置启用后，它要求密码必须为 6 个字符长（但我们建议您将此值设置为 8 个字符）。它还要求密码中必须包含下面类别中至少三个类别的字符：  ? ?英语大写字母 A, B, C, … Z(  ? ?英语小写字母 a,( b, c, … z  ? ?西方阿拉伯数字 0, 1, 2, … 9(  ? ?非字母数字字符，如标点