Beispiele für allgemeine Sicherheitskonfigurationen für Windows-Systeme

Dieser Artikel stellt Ihnen gängige Sicherheitskonfigurationsbeispiele von Windows-Systemen vor, wie folgt:

1: Gemeinsame Kontoprüfung

配置名称：账号分配检查，避免共享账号存在
配置要求： 1、系统需按照实际用户分配账号；          2、根据系统的使用需求，设定不同的账户和账户组，包括管理员用户，数据库用户，审计用户，来宾用户等；          3、避免出现共享账号情况；
操作指南：参考配置操作（适用2000、2003）
         ”控制面板->管理工具->计算机管理->系统工具->本地用户和组”。
          参考配置操作（适用2008 x64）
         ”管理工具->服务器管理->配置->本地用户和组”。
检查方法：查看已创建账户和账户组，与管理员确认有无无用的或共用的账户，如果每一账户都按需创建和划分账户组的则符合要求。
配置方法：根据系统实际使用需求，设定不同的账户和账户组，如：管理员用户，数据库用户，审计用户，来宾用户。
使用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64。

Zwei: Überprüfung des Gastkontos

配置名称：禁用来宾账户
配置要求：禁用guest（来宾）用户
操作指南：参考配置操作（适用2000、2003）
        ”控制面板->管理工具->计算机管理”，在”系统工具->本地用户和组->Guest账户>属性->“常规”页
         参考配置操作（适用2008 x64）
         ”管理工具->服务器管理”，在”配置->本地用户和组->Guest账户->属性-> “常规”页
检查方法：检查复选框”账户已禁用”项状态，勾选为已禁用来宾账号
配置方法：勾选复选框”账户已禁用”项，禁用来宾账号。
适用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64。

Drei: Strategie zur Passwortkomplexität

配置名称：口令复杂度策略
配置要求：1、最短密码长度 12个字符；          2、启用本机组策略中密码必须符合复杂性要求的策略，即密码至少包含以下四种类别的字符中的三种：
            	英语大写字母 A, B, C, … Z 
            	英语小写字母 a, b, c, … z 
            	西方阿拉伯数字 0, 1, 2, … 9 
            	非字母数字字符，如标点符号，@, #, $, %, &, *等
操作指南：参考配置操作（适用2000、2003）1、”控制面板->管理工具->本地安全策略->帐户策略->密码策略->密码长度最小值->属性”2、”控制面板->管理工具->本地安全策略->帐户策略->密码策略->密码必须符合复杂性要求->属性”
          参考配置操作（适用2008 x64）1、”管理工具->本地安全策略->帐户策略->密码策略->密码长度最小值->属性”2、”管理工具->本地安全策略->帐户策略->密码策略->密码必须符合复杂性要求->属性”
检查方法：1、检查最小值设置，大于等于12为符合要求；          2、检查单选框”已启动”状态，选中”已启动”为符合。
配置方法：1、将密码最小值设置为大于等于12；          2、将”密码必须符合复杂性要求”项，选中”已启动”。
使用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

Viertens: Strategie zur maximalen Passwortlebensdauer

配置名称：口令最长生存期策略
配置要求：要求操作系统的账户口令的最长生存期不长于90天。
操作指南：参考配置操作（适用2000、2003）
          ”控制面板->管理工具->本地安全策略->帐户策略->密码策略->密码最长存留期->属性”
          参考配置操作（适用2008 x64）
          ”管理工具->本地安全策略->帐户策略->密码策略->密码最长存留期->属性”
检查方法：检查”密码最长使用期限”小于等于90为符合。
配置方法：检查”密码最长使用期限”小于等于90为符合。
使用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

Fünf: Autorisierung zum Fernabschalten

配置名称：本地安全设置中远程关机授权只指派给Administrators组
配置要求：在本地安全设置中从远端系统强制关机只指派给Administrators组。
操作指南：参考配置操作（适用2000、2003）
          ”控制面板->管理工具->本地安全策略->本地策略->用户权利指派->从远端系统强制关机->属性”
          参考配置操作（适用2008 x64）
          ”管理工具->本地安全策略->本地策略->用户权限分配->从远程系统强制关机->属性”
检查方法：查看”从远端系统强制关机”权限指派情况”，仅指派给 administrators，符合要求。
配置方法：设置为”只指派给Administrators组”
使用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

Sechs: Autorisierung zum Herunterfahren des Systems

配置名称：本地安全设置中关闭系统仅指派给Administrators组
配置要求：检测本地安全设置中关闭系统仅指派给Administrators组
操作指南：参考配置操作（适用2003）
          ”控制面板->管理工具->本地安全策略->本地策略->用户权利指派->关闭系统->属性”
          参考配置操作（适用2008 x64）
          ”管理工具->本地安全策略->本地策略->用户权限分配->关闭系统->属性”
检查方法：查看”关闭系统”权限指派情况，内容为administrators，表示符合要求。
配置方法：设置为”只指派给Administrators组”
使用版本：Windows Server 2003、Windows Server 2008 X64

Sieben: Dateiberechtigungszuweisung

配置名称：文件权限指派
配置要求：在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。
操作指南：参考配置操作（适用2003）
          ”控制面板->管理工具->本地安全策略->本地策略->用户权利指派->取得文件或其它
          对象的所有权->属性”
          参考配置操作（适用2008 x64）
         ”管理工具->本地安全策略->本地策略->用户权限分配->用户权利指派->取得文件或其它对象的所有权->属性”
检查方法：查看“取得文件或其它对象”的仅限指情况，指派给Administrators”为符合要求。
配置方法：设置为”只指派给Administrators组”
使用版本：Windows Server 2003、Windows Server 2008 X64

Acht: Anonyme Berechtigungsbeschränkungen

配置名称：网络连接中限制匿名用户连接权限
配置要求：在组策略中只允许授权帐号从网络访问(包括网络共享等，但不包括终端服务)此计算机。
操作指南：参考配置操作（适用2003）
          ”控制面板->管理工具->本地安全策略->本地策略->用户权利指派->从网络访问此计算机->属性”
          参考配置操作（适用2008 x64）
          ”管理工具->本地安全策略->本地策略->用户权限分配->从网络访问此计算机->属性”
检查方法：检查属性列表，不包括”Users”和”Everyone”组和其他无用组为符合要求.
配置方法：根据需求添加访问组。
适用版本：Windows Server 2003、Windows Server 2008 X64

Acht: Überprüfung des Anmeldeprotokolls

配置名称：检测是否设置审核账户登录事件
配置要求：系统应启用日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。
操作指南：参考配置操作（适用2000、2003）
         ”控制面板->管理工具->本地安全策略->审核策略->审核登录事件->属性”。
         参考配置操作（适用2008 x64）
         ”管理工具->本地安全策略->审核策略->审核登录事件->属性”。
检查方法：检查是否同时勾选了”成功”和”失败”，同时勾选为符合要求。
配置方法：设置为成功和失败都审核。
适用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

9: Vollständigkeitsprüfung des Systemprotokolls

配置名称：系统日志完备性检查，检查是否启用系统多项审核策略
配置要求：系统应配置完整的审核策略，启用本地策略中审核策略中如下项。每项都需要设置为”成功”和”失败”都要审核。
          参考配置操作（适用2000、2003）
          ”控制面板->管理工具->本地安全策略->需要配置的策略：
          参考配置操作（适用2008 x64）
          ”管理工具->本地安全策略->需要配置的策略：
          	审核策略更改
          	审核对象访问
          	审核进程跟踪
          	审核目录服务访问
          	审核特权使用
          	审核系统事件
          	审核账户管理
操作指南：参考配置操作
         进入”控制面板->管理工具->本地安全策略->本地策略->审核策略”中。进入如下项的”属性页” 
        	审核策略更改
        	审核对象访问
        	审核进程跟踪
        	审核目录服务访问
        	审核特权使用
        	审核系统事件
        	审核账户管理
检查方法：检查项包括以下7子项：
            	检测是否启用对Windows系统的审核策略更改
            	检测是否启用对Windows系统的审核对象访问
            	检测是否启用Windows系统审核目录服务访问
            	检测是否启用Windows系统审核特权使用
            	检测是否启用Windows系统审核系统事件
            	检测是否启用Windows系统的审核账户管理
            	检测是否启用Windows系统的审核过程追踪
        以上每一项都要勾选”成功”和”失败”项，才符合要求。
配置方法：分别进入以上7个子项配置页，勾选”成功”和”失败”复选框。
适用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

10: Einstellung der Protokollgröße

配置名称：检测系统日志、应用日志、安全日志的大小以及扩展设置是否符合规范
配置要求：1、设置系统日志文件大小至少为32MB，设置当达到最大的日志尺寸时，按需要改写事件。          2、设置应用日志文件大小至少为32M B，设置当达到最大的日志尺寸时，按需要改写事件。          3、设置安全日志文件大小至少为32M B，设置当达到最大的日志尺寸时，按需要改写事件。
操作指南：参考配置操作（适用2000、2003）
          进入”控制面板->管理工具->事件查看器”，在”事件查看器（本地）”中的：
          “系统日志”属性页；
          “应用日志”属性页；
          “安全日志”属性页。
          参考配置操作（适用2008 x64）
          进入”管理工具->服务器管理”， 在”诊断->事件查看器->windows日志”中的：
         “系统日志”属性页；
         “应用日志”属性页；
         “安全日志”属性页。
检查方法：检查包括以下6子项
        	应用日志文件大小至少为32M B
        	当达到最大的应用日志尺寸时，按需要改写事件
        	系统日志文件大小至少为32M B
        	当达到最大的应用日志尺寸时，按需要改写事件
        	安全日志文件大小至少为32M B
        	当达到最大的安全日志尺寸时，按需要改写事件
        以上检查内容符合，整体才符合要求。
配置方法：1、设置应用日志文件大小至少为32M B
            设置当达到最大的应用日志尺寸时，按需要改写事件          2、设置系统日志文件大小至少为32M B
            设置当达到最大的应用日志尺寸时，按需要改写事件          3、设置安全日志文件大小至少为32M B
             设置当达到最大的安全日志尺寸时，按需要改写事件
适用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

Elf: Konfiguration des Remote-Login-Timeouts

配置名称：远程登陆超时配置
配置要求：检查设置：对于远程登陆的帐号，设置不活动断连时间15分钟
操作指南：参考配置操作（适用2003）
         ”控制面板->管理工具->本地安全策略->本地策略->安全选项->Microsoft网络服务器”
         参考配置操作（适用2008 x64）
         ”管理工具->本地安全策略->本地策略->安全选项->Microsoft网络服务器” 
检查方法：检查”对于远程登陆的帐号设置”，不活动断连时间15分钟或小于15分钟为符合要求。
配置方法：设置为”在挂起会话之前所需的空闲时间”为15分钟或更小。
适用版本：Windows Server 2003、Windows Server 2008 X64

Zwölf: Standard-Freigabeprüfung

配置名称：默认共享检查
配置要求：非域环境中，关闭Windows硬盘默认共享，例如C$，D$。
操作指南：参考配置操作
         ”开始－>运行－>net share”
检查方法：检查有无默认共享，无任何默认共享为符合要求。
配置方法：”开始－>运行－>Regedit”，进入注册表编辑器，
          定位到HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\下，
          增加REG_DWORD类型的AutoShareServer 键，值为 0。
        Windows Server 2008X64环境配置检查位置：HKEY_LOCAL_MACHINE//SYSTEM//CurrentControlSet//Services//lanmanserver//parameters”
适用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

Dreizehn: Freigabe Berechtigungsprüfung

配置名称：共享权限检查
配置要求：查看每个共享文件夹的共享权限，只允许授权的账户拥有权限共享此文件夹，禁止使用共享权限为”everyone”
操作指南：参考配置操作（适用2000、2003）
          ”控制面板->管理工具->计算机管理->系统工具－>共享文件夹”
          参考配置操作（适用2008 x64）
          ”管理工具->共享和存储管理”
检查方法：1、查看每个共享文件夹的共享权限仅限于业务需要，不设置成为”everyone”         2、输出所有共享文件夹信息和具体权限信息；但权限是否符合需求需要后期处理确认
配置方法：在”共享文件”属性页中，只保留需要的账户。
适用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

Vierzehn: Antiviren-Verwaltung

配置名称：防病毒管理
配置要求：安装防病毒软件，并及时更新。
操作指南：参考配置操作
          定位到杀毒软件版本信息页面。
检查方法：检查防病毒进程运行是否正常及当前病毒库版本是否为最新。
配置方法：安装防病毒软件，并检查是否更新到最新病毒定义。
适用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

Fünfzehn: Patch-Verteilungsverwaltung

配置名称：补丁分发管理
配置要求：加入网上交易WSUS系统，及时更新系统补丁。
操作指南：参考配置操作1、定位到注册表项：
        HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate WUServer键2、”开始->运行->services.msc->Automatic Updates”
检查方法：1、键值是否为http://10.1.30.233。若是，则表明加入了网上交易WSUS，否则没有正确加入网上交易WSUS系统。          2、检查服务项Automatic Updates服务是否开启，启动类型是否设置为自动。
          以上2项都满足为符合要求。
配置方法：登录http://10.1.30.233，下载并运行网上交易服务器补丁注册脚本。在导入注册表后检查自动更新选项是否显示为灰色不可选，
        如是则表明注册表导入成功，之后重启Automatic Updates服务。
适用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

Sechzehn: Server-Pack-Verwaltung

配置名称：Service Pack管理
配置要求：安装最新的Service Pack
操作指南：参考配置操作
          右键”我的电脑->属性->常规页”
检查方法：检查是否安装了最新的Service Pack。
          目前Windows 2000 server最新版本Service Pack为SP4，Windows Server 2003 
          最新的Service Pack为SP2
配置方法：安装最新的Service Pack，并及时更新。
        登录http://10.1.30.233，下载并安装最新的Service Pack。
适用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

Siebzehn: Bildschirmschoner-Passwortschutz

配置名称：密码屏幕保护
配置要求：设置带密码的屏幕保护，并将时间设定为15分钟。
操作指南：参考配置操作（适用2000、2003） 
          ”控制面板->显示->屏幕保护程序”：
          参考配置操作（适用2008 x64）
          ”控制面板->外观->显示->屏幕保护程序”：
检查方法：检查是否启用了”在恢复时使用密码保护”，并设置等待时间为15分钟或者更短，两项都满足为符合要求。
配置方法：1、设置等待时间为”15分钟”；          2、勾选”在恢复时使用密码保护”选择框。
适用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

Achtzehn: Automatische Wiedergabe

配置名称：自动播放关闭
配置要求：关闭Windows自动播放功能
操作指南：参考配置操作（适用2000）
          ”开始->运行->Regedit”，进入注册表编辑器，定位到注册表：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CDRom 
         参考配置操作（适用2003）
         点击开始→运行→输入gpedit.msc，打开组策略编辑器，浏览到计算机配置→管理模板→系统”
         参考配置操作（适用2008 x64）
         点击开始->运行→输入gpedit.msc，打开组策略编辑器，浏览到计算机配置->管理模板->Windows 组件->自动播放策略”
检查方法：Windows2000：检查”Autorun”键值，为0符合要求；
         Windows 2003：检查”关闭自动播放”对话框，选择了所有驱动器为符合要求；
        Windows 2008：检查”关闭自动播放”对话框，选择了所有驱动器，为符合要求。
配置方法：Windows 2000：将”Autorun”键值更改为0。
          Windows2003：在右边窗格中双击”关闭自动播放”，对话框中选择所有驱动器，确定即可。
          Windows2008：，在右边窗格中双击”关闭自动播放”，对话框中选择所有驱动器，确定即可。
适用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

Neunzehn: Ändern Sie das SNMP-Standardkennwort

配置名称：SNMP默认口令修改
配置要求：如需启用SNMP服务，则修改默认的SNMP Community String设置。
操作指南：参考配置操作（适用2003）
          打开”控制面板”，打开”管理工具”中的”服务”，找到”SNMP Service”，单击右键打开”属性”面板中的”安全”选项卡。
          参考配置操作（适用2008 x64）
          进入”管理工具->服务器管理”，在”配置->服务”，找到”SNMP Service”，单击右键打开”属性”面板中的”安全”选项卡
检查方法：1、确认SNMP 服务已启动；          2、服务如启动，检查Community String是否使用默认public和private，如果没使用为符合要求
配置方法：在这个配置界面中，修改community strings，避免使用默认密码。
适用版本：Windows Server 2003、Windows Server 2008 X64

Zwanzig: Überprüfung der Startelemente

配置名称：启动项检查
配置要求：列出系统启动时自动加载的进程和服务列表，不在此列表的需关闭。
操作指南：参考配置操作
         “开始->运行->MSconfig”启动系统配置实用程序。
检查方法：查看是否有可疑启动项，对于无法确认程序，需要与管理员进行确认。
配置方法：直接将可以启动项前的勾选框勾选掉。
适用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

Einundzwanzig: Namensänderung des Administratorkontos

配置名称：管理员账号更改名称
配置要求：对于管理员帐号，要求更改缺省帐户名称administrator
操作指南：参考配置操作（适用2003）
          进入”控制面板->管理工具->计算机管理”，在”系统工具->本地用户和组”
          参考配置操作（适用2008 x64）
          进入”管理工具->服务器管理->配置->本地用户和组”
检查方法：检测管理员帐户是否改名，已更名为符合要求
配置方法：“右键Administrator->属性”，更改名称即可
适用版本：Windows Server 2003、Windows Server 2008 X64

Zweiundzwanzig: Strategie zur Kontosperrung bei fehlgeschlagener Anmeldung

配置名称：配置登录失败账户锁定策略，超过8次登录失败锁定账号策略
配置要求：应配置当用户短时间内连续认证失败次数超过8次（不含8次），锁定该用户使用的账号；设置账户锁定时间为30分钟。
操作指南：参考配置操作（适用2003）
          进入”控制面板->管理工具->本地安全策略->帐户策略->帐户锁定策略->账户锁定时间->属性页” 
          参考配置操作（适用2008 x64）
          进入”管理工具->服务器管理->帐户策略->帐户锁定策略->账户锁定阀值->属性页” 
检查方法：1、”静态口令认证技术的设备用户是否连续认证失败次数超过8次（不含8次），锁定该用户的账号”；          2、检查是否设置账号锁定时间为30分钟或更长；
          符合以上2项检查为符合要求。
配置方法：1、在”账户锁定阀值”属性页中，设置为 8次；          2、在”账户锁定时间”属性页中，设置为30分钟
适用版本：Windows Server 2003、Windows Server 2008 X64

Dreiundzwanzig: Lokale Firewall-Einstellungen

配置名称：检查Windows是否启用自带防火墙
配置要求：启用Windows 自带防火墙。根据业务需要限定允许访问网络的应用程序，和允许远程登陆该设备的IP地址范围。
操作指南：参考配置操作（适用2003）
          ”控制面板－>网络连接－>本地连接->高级选项” 
          参考配置操作（适用2008 x64）
          ”控制面板－>系统和安全－>Windows防火墙->打开或关闭Windows防火墙选项” 
检查方法：检查Windows是否启用自带防火墙”.
配置方法：1、启用Windows防火墙。
          在”例外”中配置允许业务所需的程序接入网络。
          在”例外->编辑->更改范围”编辑允许接入的网络地址范围。
适用版本：Windows Server 2003、Windows Server 2008 X64

Vierundzwanzig: DEP-Funktion aktivieren

配置名称：DEP功能启用
配置要求：对于Windows 2003及Windows 2008对Windows操作系统程序和服务启用系统自带DEP功能(数据执行保护)，防止在受保护内存位置运行有害代码。
操作指南：参考配置操作（适用2003、2008 x64）
         进入”控制面板->系统”，在”高级”选项卡的”性能”下的”设置”。进入 “数据执行保护”选项卡。
检查方法：检测Windows是否启用数据执行保护，启动为符合要求。
配置方法：在“数据执行保护”选项卡中，设置为”仅为基本 Windows 操作系统程序和服务启用DEP”。
适用版本：Windows Server 2003、Windows Server 2008 X64

Fünfundzwanzig : Serviceinspektion

配置名称：Windows服务输出
配置要求：列出所需要服务的列表(包括所需的系统服务)，通过与系统管理员确认无异常服务存在。一般情况下，如无特殊必要，
不应安装IIS、DNS、WINS、DHCP等服务或组件。
配置指南：参考配置操作（适用2000、2003）
          进入”控制面板->管理工具->计算机管理”，进入”服务和应用程序”：
          查看所有服务，输出所有服务列表，查看是否有异常服务。
          参考配置操作（适用2008 x64）
          进入”管理工具->服务器管理”，在”配置->服务”：
          查看所有服务，输出所有服务列表，查看是否有异常服务。
检查方法：1、系统管理员应出具系统所必要的服务列表。          2、查看所有服务，不在此列表的服务需关闭。
          或建议关闭Task Scheduler 计划任务，Routing and Remote Access在局域网以及广域网环境中为企业提供路由服务。
          RemoteRegistry使远程用户能修改此计算机上的注册表设置。Print Spooler将文件加载到内存中以便迟后打印。关闭无线服务和telnet服务。
配置方法：进入”控制面板->管理工具->计算机管理”，进入”服务和应用程序”：
          查看所有服务，不在此列表的服务是否已关闭。
适用版本：Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

Das obige ist der detaillierte Inhalt vonBeispiele für allgemeine Sicherheitskonfigurationen für Windows-Systeme. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!