当前位置:文档之家 › Win2003安全加固方案

Win2003安全加固方案

  • 格式:pdf
  • 大小:295.72 KB
  • 文档页数:19

下载文档原格式

  / 19

合集下载

项目02Windows系统安全加固

项目02Windows系统安全加固
16
这里重点说说139端口,139端口也就是NetBIOS Session端口,用作文件和打印的共享。
关闭139端口的方法是在“本地连接”中选取 “Internet协议(TCP/IP)”属性,进入“高级TCP/IP 设置”,在“WINS”选项卡中,有一“禁用TCP/IP的 NETBIOS”选项,选中后即可关闭139端口。
打开组策略后在左侧列表区域中的“‘本地计算机’策略”→“计 算机配置”→“Windows设置”→“安全设置”→“本地策 略”→“审核策略”选项,在“审核策略”中找到“审核对象访 问”,选中属性界面中的“失败”、“成功”选项,以后出现问题 时就能有针对性地进入系统安全日志文件,来查看相关事件记录。
19
5
操作系统内的活动都可以认为是主体对计算机系统内 部所有客体的一系列操作。
主体是指发出访问操作、存取请求的主动方,它包括 用户、用户组、主机、终端或应用进程等。主体可以 访问客体。
客体是指被调用的程序或要存取的数据访问,它包括 文件、程序、内存、目录、队列、进程间报文、I/O 设备和物理介质等。
主体对客体的安全访问策略是一套规则,可用于确定 一个主体是否对客体拥有访问能力。
6
一般所说的操作系统的安全通常包含两方面的含义: ① 操作系统在设计时通过权限访问控制、信息加密性
保护、完整性鉴定等机制实现的安全; ② 操作系统在使用中,通过一系列的配置,保证操作
系统避免由于实现时的缺陷或是应用环境因素产生的 不安全因素。 只有在这两方面同时努力,才能够最大可能地建立安 全的操作系统。
9
我们知道,在 TCP和 UDP协议中,源端 口和目标端口是用一个16位无符号整数 来表示的,这就意味着端口号共有 65536个(=216,0~65535)。

Windows 2003服务器安全加固方案(最新)

Windows 2003服务器安全加固方案(最新)

Windows 2003服务器安全加固方案sql服务器安全加固安装最新的mdac()5.1 密码策略由于sql server不能更改sa用户名称,也不能删除这个超级用户,所以,我们必须对这个帐号进行最强的保护,当然,包括使用一个非常强壮的密码,最好不要在数据库应用中使用sa帐号。

新建立一个拥有与sa一样权限的超级用户来管理数据库。

同时养成定期修改密码的好习惯。

数据库管理员应该定期查看是否有不符合密码要求的帐号。

比如使用下面的sql语句:use masterselect name,password from syslogins where password is null5.2 数据库日志的记录核数据库登录事件的"失败和成功",在实例属性中选择"安全性",将其中的审核级别选定为全部,这样在数据库系统和操作系统日志里面,就详细记录了所有帐号的登录事件。

5.3 管理扩展存储过程xp_cmdshell是进入操作系统的最佳捷径,是数据库留给操作系统的一个大后门。

请把它去掉。

使用这个sql语句:use mastersp_d ropextendedproc ’xp_cmdshell’注:如果你需要这个存储过程,请用这个语句也可以恢复过来。

sp_addextendedproc ’xp_cmdshell’, ’xpsql70.dll’ole自动存储过程(会造成管理器中的某些特征不能使用),这些过程包括如下(不需要可以全部去掉:sp_oacreate sp_oadestroy sp_oageterrorinfo sp_oagetpropertysp_oamethod sp_oasetproperty sp_oastop去掉不需要的注册表访问的存储过程,注册表存储过程甚至能够读出操作系统管理员的密码来,如下:xp_regaddmultistring xp_regkey xp_regvalue xp_regenumvaluesxp_regread xp_regremovemultistring xp_regwrite5.4 防tcp/ip端口探测在实例属性中选择tcp/ip协议的`属性。

windows加固脚本-2003

windows加固脚本-2003
echo "Retention"=dword:00000000 >>1.reg
rem 配置防御SYN攻击
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]>>1.reg
echo "SynAttackProtect"=dword:00000002>>1.reg
echo [HKEY_CURRENT_USER\Control Panel\Desktop]>>1.reg
echo "ScreenSaveTimeOut"="300" >>1.reg
echo "ScreenSaverIsSecure"="1" >>1.reg
rem 配置远程登陆不活动断连时间15分钟
echo SeRemoteShutdownPrivilege = Administrators >>1.inf
echo SeShutdownPrivilege=Administrators >>1.inf
echo SeTakeOwnershipPrivilege = Administrators >>1.inf
REM 关闭 TCP 445
echo [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters] >>1.reg
echo "SMBDeviceEnabled"=dword:00000000 >>1.reg

WIN2003服务器安全加固方案

WIN2003服务器安全加固方案
维普资讯

强|
。 一
பைடு நூலகம்
实 指 l 务 ■ 战 南l i B [ ÷ ∞
导 安全加固方案

哄电局 ,广东 江门 5 9 0 ) 22 0
摘 要 : 当 Wn w ios d
其 他 应 用场 合 , 系 殊 文 件 的权 限设 置
系统 的安 全性 进 行
.,



o S r e 20 ws e v r 03
置 于 公 网之 中对 外提 供服 务 时 , 面临 的安 全威胁 要 远 大 于
不 的 服 几 面何 W 必 系务个 对增i 要 统 等 方 如 强d n
够 , 需要 人 为加 1 。该 文从 安 全 策略 、默 认共 享 的 清 除和 特 1 1
Ke w o d y r s: Wi n 200 3; S crt euiy; N t r Oprig y t m e Wok etn S se
本 文 主 要 探 讨 当 W id ws e v r 03服 务 器 被 用 作 n o S r e 2 0 W e 、DNS TP ma l b 、F 、E i 等服 务器 ,置 于 公 网之 中时 ,如 何 从 操 作 系统 设 置 方 面 来 增 强 其 安 全 性 。 系统 安 全是 一 个 系 统 工 程 ,需 要 方 方 面 面 的 密切 配 合 ,限 于 篇 幅 ,本 文 的 内 容
操作系统本身设置方面来讲 ,我们就 可以采用多种方法来增
强 W id ws e v r 0 3系统 的 安 全 性 。 本 文 将分 别从 安 n o S r e 2 0
全 策略、默认共 享的清除和特殊文件 的权 限设置 、注册表 的

主机操作系统加固策略

主机操作系统加固策略

一. 主机操作系统加固策略1.1Windows 2003操作系统加固方案1.1.1系统基本信息1.1.2安全补丁检测及安装实施工程师备注:1.1.3系统用户口令及策略加固实施编号:Topsec—Win2003—1201实施名称:系统用户口令策略加固系统当前状态: 查看系统“本地安全设置”-“帐户策略”中“密码策略”和“账号锁定策略”当前情况:(以下为示例图)实施方案:密码必须符合复杂性要求:启用密码长度最小值8个字符密码最长使用期限:90天强制密码历史:24个记住的密码帐户锁定阀值:3次无效登陆帐户锁定时间:15分钟复位帐户锁定计数器:15分钟之后策略更改后,督促现有用户更改其登陆口令以符合最新策略要求。

实施目的:保障用户账号及口令的安全,防止口令猜测攻击。

实施风险: 账号锁定后15分钟后才解锁。

回退方案恢复默认值是否实施:实施工程师备注:实施编号:Topsec-Win2003—1202实施名称:禁用guest账户权限1.1.4日志及审核策略配置系统当前状态: 在“本地安全策略”-“本地策略"中查看系统“审核策略”:(以下为示例图)实施方案:审核策略更改成功,失败审核登陆事件成功,失败审核对象访问失败审核目录服务访问成功,失败审核特权使用失败审核系统事件成功,失败审核账户登陆事件成功,失败审核帐户管理成功,失败实施目的:对重要事件进行审核记录,方便日后出现问题时查找问题根源。

实施风险:无回退方案恢复默认状态是否实施:实施工程师备注:实施编号:Topsec—Win2003-1302实施名称: 调整事件日志的大小及覆盖策略系统当前状态:日志类型日志大小覆盖策略应用程序日志K 覆盖早于天的日志安全日志K 覆盖早于天的日志系统日志K 覆盖早于天的日志实施方案:日志类型日志大小覆盖策略应用程序日志80000 K 覆盖早于30天的日志安全日志80000 K 覆盖早于30天的日志系统日志80000K 覆盖早于30天的日志其他日志(如存在)80000 K 覆盖早于30天的日志实施目的:增大日志大小,避免由于日志文件容量过小导致重要日志记录遗漏实施风险:回退方案恢复默认设置是否实施:实施工程师备注:1.1.5安全选项策略配置实施编号: Topsec—Win2003-1401实施名称:Microsoft 网络服务器:当登录时间用完时自动注销用户系统当前状态:查看系统当前设置:实施方案:在管理工具->本地安全策略->选择本地策略->选择安全选项-> Microsoft 网络服务器:当登录时间用完时自动注销用户(改成已启用)!实施目的:可以避免用户在不适合的时间登录到系统,或者用户登录到系统后忘记退出登录实施风险: 无回退方案恢复默认设置是否实施:实施工程师备注:实施编号: Topsec—Win2003—1402实施名称:Microsoft 网络服务器:在挂起会话之前所需的空闲时间系统当前状态:查看系统当前设置:实施方案:在管理工具—〉本地安全策略->选择本地策略->选择安全选项—> Microsoft 网络服务器:在挂起会话之前所需的空闲时间(小于等于30分钟)实施目的: 设置挂起会话之前所需的空闲时间为30分钟实施风险:无回退方案无是否实施:实施工程师备注:实施编号:Topsec-Win2003—1403实施名称: Microsoft 网络客户端:发送未加密的密码到第三方SMB服务器系统当前状态:查看系统当前设置:实施方案: 在管理工具—〉本地安全策略-〉选择本地策略—>选择安全选项—〉Microsoft 网络客户端:发送未加密的密码到第三方SMB服务器(禁用)实施目的:禁止发送未加密的密码到第三方SMB服务器实施风险: 无回退方案无是否实施:实施工程师备注:实施编号:Topsec—Win2003-1404实施名称:故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问系统当前状态:查看系统当前设置:实施方案: 在管理工具->本地安全策略—>选择本地策略->选择安全选项—〉故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问(禁用)实施目的:Windows 2003控制台恢复的另一个特性是它禁止访问硬盘驱动器上的所有文件和目录。

Win2003系统安全解决方案-推荐下载

Win2003系统安全解决方案-推荐下载
4
对全部高中资料试卷电气设备,在安装过程中以及安装结束后进行高中资料试卷调整试验;通电检查所有设备高中资料电试力卷保相护互装作置用调与试相技互术通关,1系电过,力管根保线据护敷生高设产中技工资术艺料0不高试仅中卷可资配以料置解试技决卷术吊要是顶求指层,机配对组置电在不气进规设行范备继高进电中行保资空护料载高试与中卷带资问负料题荷试2下卷2,高总而中体且资配可料置保试时障卷,各调需类控要管试在路验最习;大题对限到设度位备内。进来在行确管调保路整机敷使组设其高过在中程正资1常料中工试,况卷要下安加与全强过,看度并22工且22作尽22下可22都能22可地护以缩1关正小于常故管工障路作高高;中中对资资于料料继试试电卷卷保破连护坏接进范管行围口整,处核或理对者高定对中值某资,些料审异试核常卷与高弯校中扁对资度图料固纸试定,卷盒编工位写况置复进.杂行保设自护备动层与处防装理腐置,跨高尤接中其地资要线料避弯试免曲卷错半调误径试高标方中高案资等,料,编试要5写、卷求重电保技要气护术设设装交备备置底4高调、动。中试电作管资高气,线料中课并敷3试资件且、设卷料中拒管技试试调绝路术验卷试动敷中方技作设包案术,技含以来术线及避槽系免、统不管启必架动要等方高多案中项;资方对料式整试,套卷为启突解动然决过停高程机中中。语高因文中此电资,气料电课试力件卷高中电中管气资壁设料薄备试、进卷接行保口调护不试装严工置等作调问并试题且技,进术合行,理过要利关求用运电管行力线高保敷中护设资装技料置术试做。卷到线技准缆术确敷指灵设导活原。。则对对:于于在调差分试动线过保盒程护处中装,高置当中高不资中同料资电试料压卷试回技卷路术调交问试叉题技时,术,作是应为指采调发用试电金人机属员一隔,变板需压进要器行在组隔事在开前发处掌生理握内;图部同纸故一资障线料时槽、,内设需,备要强制进电造行回厂外路家部须出电同具源时高高切中中断资资习料料题试试电卷卷源试切,验除线报从缆告而敷与采设相用完关高毕技中,术资要资料进料试行,卷检并主查且要和了保检解护测现装处场置理设。备高中资料试卷布置情况与有关高中资料试卷电气系统接线等情况,然后根据规范与规程规定,制定设备调试高中资料试卷方案。

windows2003安全配置大全

windows2003安全配置大全windows2003安全配置大全一直以来,很少在网络上看到关于windows服务器管理的全方面的文章,即使是在windows网络安全设置方面,虽然网络上有着不少的关于这个方面的话题,但是这些文章当中并没有完全彻底的贯彻“最少的服务+最小的权限=最大的安全”这一原则,笔者由于前段时间工作于一家虚拟主机提供商,因工作需要对此进行了深入的探索。

本文所有的环境均是在windows 2000 adv server上测试,因此部分内容可能不适合于windows 2003系统,但是大部分内容是通用的。

这里我们以虚拟主机为例来探讨。

第一部分服务器安全设置安装之前的准备工作很多时候,一部分的安全问题在你将windows安装光盘放入光驱中的时候就已产生,所以,在安装之前我们必须做好一些必要的准备工作。

主要包括安装源和物理介质的安全检查以及服务器的安全规划。

这部分内容主要包括以下几个方面:1.确保你的安装光盘没有任何问题,这里所说的是指光盘内容没有经过第三方加以修改和光盘没有遭到物理损坏。

对于刻录的安装光盘请确认你的源文件安全可靠,尽量使用集成了SP4的安装光盘,以减少后面打补丁的工作量。

2.确保你的硬盘没有任何问题,请尽量使用新硬盘,对于使用过的硬盘应先进行低级格式化。

无论新旧硬盘需要确认硬盘本身没有遭受到病毒感染。

3.规划好系统安装过程与服务器的所需要的程序、服务等并准备好这些安装程序且确保这些安装程序没有任何问题,尽量使用官方提供的安装程序。

规划好硬盘的分区以及各分区的功用。

分区方案建议分四个分区,将系统存放在C盘,应用程序放在D盘,备份文件和一些重要的日志等放在E盘,用户站点等放在F盘中,尽可能少的向系统盘写入非系统文件以减少系统备份的工作量,至于各分区的容量视情况而定。

不要安装任何多余的程序或组件,遵循“最少的服务+最小的权限=最大的安全”原则。

4.完成之后以上工作,对bios进行所需的相关设置,便可以进行安装了,如需要做raid,则需要在安装前完成raid的设置工作。

Windows2003安全防护

如何让Windows 2003系统更加安全Windows Server 2003作为Microsoft 最新推出的服务器操作系统,相比Windows 2000/XP 系统来说,各方面的功能确实得到了增强,尤其在安全方面,总体感觉做的还算不错。

但“金无足赤”任何事物也没有十全十美的,微软Windows 2003也是如此,照样存在着系统漏洞、存在着不少安全隐患!无论你用计算机欣赏音乐、上网冲浪、运行游戏,还是编写文档都要不可避免地遭受新病毒泛滥时的威胁,如何让Server 2003更加安全,成为广大用户十分关注的问题。

一、取消IE安全提示对话框面对黑客组织恶意程序的攻击,微软公司一直都在努力致力于降低产品的安全隐患,这是有目共睹的。

微软新一代的Server 2003操作系统在安全性能方面就得到了加强。

比如在使用Server 2003自带的IE浏览器浏览网页时,每次都会弹出一个安全提示框,“不厌其烦”地提示我们,是否需要将当前访问的网站添加到自己信任的站点中去;如果表示不信任的话,只能单击“关闭”按钮;而要是想浏览该站点的话,就必须单击“添加”按钮,将该网页添加到信任网站的列表中去。

不过每次访问网页,都要经过这样的步骤,实在是太烦琐了。

其实我们可以通过下面的方法来让IE取消对网站安全性的检查:1.一旦系统打开安全提示页面时,你可以用鼠标将其中的“当网站的内容被堵塞时继续提示”复选项选中;2.在浏览界面中,用鼠标单击“工具”菜单项,从打开的下拉菜单中执行“Internet选项”命令;3.在弹出的选项设置界面中,你可以将系统默认状态下的最高安全级别设置为中等级别;4.设置时,只要在“安全”标签页面中,拖动其中的安全滑块到“中”位置处就可以了;5.完成设置后,单击“确定”按钮,就可以将浏览器的安全自动提示页面取消了。

经过修改IE的默认安全级别的设置,再上网的时候,IE就不会自动去检查网站的安全性了,麻烦解决了吧!二、重新支持ASP脚本提起ASP(ActiveServerPage)大家都会联想到Windows,它以其强大的功能,简单易学的特点而受到广大开发人员的喜欢。

服务器操作系统WIN2K3安全加固


性 打开t c p / i p筛 选 ,添 加 需要 的 t c p ,
u d p ,协 议 即可 。
把计 算机 管理 用户里 面的 g u e s t 帐 号 停用掉 ,不 允许 g u e s t 帐 号在任何 时
候 登 陆 系统 。 为 了安 全 起 见 ,最 好 给 g u e s t加 一 个 复 杂 的 密 码 ,你 可 以 打 开
服务器操作 系统W l N2 K 3 安全加 固
内蒙古锡林郭勒职业学 院 孙 国华
服 务 器 操 作 系 统 的 安 全 维 护 非 常 重 要 ,任 何 漏 洞 都 有 可 能 给 整 个 校 园 网 带 码 。 这样 可 以让 那 些 攻 击 者 忙 上 一 段 时 间 了 ,并 且 可 以 借 此 发 现 它们 的 入 侵 企
图。 或者 在 它 的 I o g i n s c r i p t s上 面 做 点 手脚。
微 软 集 成 了 一 套 的 基 于 M MC ( 管
理 控 制 台 )安 全 配 置 和 分 析 工 具 ,利 用
来 安全 隐患。 目前 对校 园网服务 器 的威 胁 主要 来 自两 方面 : 一 是蓄意 的攻 击行 为 ,如拒绝服务 攻击 D DOS 、网络病毒 、 数 据库缓存 溢出工具 、DN S劫持、 密码 爆 破攻 击等 ,这些行 为 占用 大量的服 务
器 资 源 , 影 响 服 务 器 的 正 常 请 求 响 应 和
他 们 可 以很 方 便 的 配 置 服 务 器 以 满 足 你
的 要 求
四、 把 共 享 文件 的权 限从”e v e r y o n e ”
八 、关 闭 不 必 要 的 端 口
组改成 “ 授权用户”

Windows_Server_2003_安全加固设置

Windows Server 2003安全加固设置一、用户账户安全1.Administrator账户的安全性a)重命名adminstrator,并将其禁用。

右击“我的电脑”,在单击“管理”,选择“本地用户和组",选择“用户”,右侧窗口的“administrator”右击“重命名”“administrator”右击“属性”b)创建一个用户账户并将其加入管理员组,日常管理工作使用这个账户完成。

操作步骤:在右侧窗口空白处右击鼠标,再单击“新用户”a)即可以用创建的“test"用户名和密码,赋予“test”用户管理员的权限,日常管理工作使用这个账户完成.当我们再次登录时,administrator用户无法登陆用“test”用户登录系统,才能成功,且“test”用户拥有管理员的权限。

思考:我们为什么要这么做??2.启用账户锁定策略开始—-程序——管理工具—-本地安全策略-—账户策略——账户锁定策略-—设置“账户锁定阈值为3”3.修改本地策略限制用户权限开始——程序—-管理工具——本地安全策略——本地策略——用户权限分配—-设置“拒绝从网络访问这台计算机”,限制从网络访问该服务器的账户。

二、服务器性能优化,稳定性优化1.“我的电脑"右键属性——高级-—性能-—设置-—设置为“性能最佳”2.“我的电脑”右键属性——高级——性能-—设置——高级页面为如图设置3.停止暂时未用到的服务a)在开始“运行”中输入:services.mscb)停止并禁用以下服务puter Browser 计算机浏览2.Distributed Link Tracking Client如果此服务被停用,这台计算机上的链接将不会维护或跟踪.3.Print Spooler(如果没有打印需求可以停止该服务)4.Remote Registry 远程注册表5.Remote Registry(如果没有无线设备可以停止该服务)6.TCP/IP NetBIOS Helper三、系统安全及网络安全设置1.开启自动更新“我的电脑"右键“属性”--“自动更新"Windows Server 2003会自动下载更新,无须人为打补丁。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

2.1.2 系统用户口令及策略加固
实施编号: 实施名称: 系统当前状态:
Leadsec-Win2003-1201 系统用户口令策略加固 查看系统“本地安全设置”-“帐户策略”中“ 密码策略”和“账 号锁定策略”当前情况:(以下为示例图)
实施方案:
密码必须符合复杂性要求:启用
密码长度最小值
8 个字符
密码最长使用期限:
-1-
WINDOWS 2003 安全加固配置手册
一、 安全加固配置说明
1.1 安全加固配置目的
建立 Windows Server 2003 操作系统安全加固配置标准,并以此标准为指导,配置和审视 客户 Windows Server 2003 服务器的安全性;降低系统存在的安全风险,确保系统安全可靠的 运行。
-6-
是否实施:
实施工程师备 注:
WINDOWS 2003 安全加固配置手册
实施编号:
Leadsec-Win2003-1403
实施名称:
Microsoft 网络客户端:发送未加密的密码到第三方 SMB 服务器
系统当前状态: 查看系统当前设置:
实施方案:
在管理工具->本地安全策略->选择本地策略->选择安全选项-> Microsoft 网 络 客 户 端 : 发 送 未 加 密 的 密 码 到 第 三 方 SMB 服 务 器 ( 禁 用 )
在管理工具->本地安全策略->选择本地策略->选择安全选项-> Microsoft 网络服务器:当登录时间用完时自动注销用户(改成已启用)!
实施目的:
实施风险: 是否实施:
可以避免用户在不适合的时间登录到系统,或者用户登录到系统后忘记退 出登录

实施工程师备 注:
实施编号:
Leadsec-Win2003-1402
90 天
强制密码历史:
24 个记住的密码
帐户锁定阀值:
3 次无效登陆
帐户锁定时间:
15 分钟
复位帐户锁定计数器: 15 分钟之后
实施目的: 实施风险: 是否实施: 实施工程师备注:
策略更改后,督促现有用户更改其登陆口令以符合最新策略要求。 保障用户账号及口令的安全,防止口令猜测攻击。 账号锁定后 15 分钟后才解锁。

实施工程师备 注:
实施编号: 实施名称: 系统当前状态:
Leadsec-Win2003-1406 关机时清掉页面文件 查看系统当前设置:
实施方案:
在管理工具->本地安全策略->选择本地策略->选择安全选项->关机: 清除虚拟内存页面文件(启用)
实施目的:
实施风险: 是否实施: 实施工程师备注:
某些第三方的程序可能把一些没有的加密的密码存在内存中,页面文 件中也可能含有另外一些敏感的资料。关机的时候清除页面文件,防 止造成意外的信息泄漏。

实施编号: 实施名称: 系统当前状态:
Leadsec-Win2003-1203 Administrator 帐户重命名
实施方案:
实施目的:
实施风险: 是否实施: 实施工程师备注:
开始—控制面板—管理工具—计算机管理—本地用户和组—用户— 选择 administrator—右键重命名 Administrator 是系统默认管理员帐户,重命名 Administrator 可增加账 号安全性。

2.1.3 日志及审核策略配置
实施编号: 实施名称:
Leadsec-Win2003-1301 设置主机审核策略
-4-
系统当前状态:
WINDOWS 2003 安全加固配置手册 在“本地安全策略”-“本地策略”中查看系统“审核策略”: (以下为示例图)
实施方案:
实施目的: 实施风险:
审核策略更改 成功,失败 审核登陆事件 成功,失败 审核对象访问 失败 审核目录服务访问 成功,失败 审核特权使用 失败 审核系统事件 成功,失败 审核账户登陆事件 成功,失败 审核帐户管理 成功,失败
实施方案: 实施目的:
确认系统安装了 SP2; 使用 Windows update 或者手工安装最新补丁
升级操作系统为最新版本,修补所有已知的安全漏洞
-2-
实施风险:
是否实施: 实施工程师备注:
WINDOWS 2003 安全加固配置手册
安装某些补丁可能导致主机启动失败,或其他未知情况发生,建议先 在测试机器上安装测试后再实施部署到生产机上
80000 K 80000 K 80000K
覆盖策略
覆盖早于 覆盖早于 覆盖早于
天的日志 天的日志 天的日志
覆盖策略
覆盖早于 30 天的日志 覆盖早于 30 天的日志 覆盖早于 30 天的日志
-5-
WINDOWS 2003 安全加固配置手册
其他日志(如存在) 80000 K
覆盖早于 30 天的日志
实施目的: 实施风险: 是否实施:
禁止发送未加密的密码到第三方 SMB 服务器 无
实施工程师备 注:
实施编号:
Leadsec-Win2003-1404
实施名称:
故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问
系统当前状态: 查看系统当前设置:
实施方案:
在管理工具->本地安全策略->选择本地策略->选择安全选项->故障恢复控 制台:允许对所有驱动器和文件夹进行软盘复制和访问(禁用)
对重要事件进行审核记录,方便日后出现问题时查找问题根源。

是否实施: 实施工程师备注:
实施编号: 实施名称: 系统当前状态:
Leadsec-Win2003-1302
调整事件日志的大小及覆盖策略
日志类型
日志大小
应用程序日志
K
安全日志
K
系统日志
K
实施方案:
日志类型
应用程序日志 安全日志 系统日志
日志大小
实施目的: 实施风险: 是否实施: 实施工程师备注:
增大日志大小,避免由于日志文件容量过小导致重要日志记录遗漏
2.1.4 安全选项策略配置
实施编号:
Leadsec-Win2003-1401
实施名称:
Microsoft 网络服务器:当登录时间用完时自动注销用户
系统当前状态: 查看系统当前设置:
实施方案:
实施名称:
Microsoft 网络服务器:在挂起会话之前所需的空闲时间
系统当前状态: 查看系统当前设置:
实施方案:
实施目的: 实施风险:
在管理工具->本地安全策略->选择本地策略->选择安全选项-> Microsoft 网络服务器:在挂起会话之前所需的空闲时间(小无
实施目的:
实施风险: 是否实施:
Windows 2003 控制台恢复的另一个特性是它禁止访问硬盘驱动器上的所 有文件和目录。它仅允许访问每个卷的根目录和%systemroot%目录及子目 录,即使是这样它还限制不允许把硬盘驱动器上的文件拷贝到软盘上。

实施工程师备 注:
-7-
WINDOWS 2003 安全加固配置手册
二、 主机加固方案.................................................................................................................. - 2 2.1 操作系统加固方案........................................................................................................... - 2 2.1.1 安全补丁检测及安装............................................................................................ - 2 2.1.2 系统用户口令及策略加固.................................................................................... - 3 2.1.3 日志及审核策略配置............................................................................................. - 4 2.1.4 安全选项策略配置................................................................................................ - 6 2.1.5 用户权限策略配置.............................................................................................. - 12 2.1.6 注册表安全设置.................................................................................................. - 14 2.1.7 网络与服务加固.................................................................................................. - 16 2.1.8 其他安全性加固.................................................................................................. - 18 -