某世界500强公司的服务器操作系统安全配置标准VIP专享VIP免费

某世界500强公司的服务器操作系统安全配置标准－Windows中国××公司服务器操作系统安全配置标准－WindowsV1.12006年03月30日文档控制拟制:审核:标准化:读者：版本控制版本提交日期相关组织和人员版本描述V1.02005-12-08V1.12006-03-301概述11.1适用范围11.2实施11.3例外条款11.4检查和维护12适用版本23用户账号控制23.1密码策略23.2复杂性要求23.3账户锁定策略33.4内置默认账户安全33.5安全选项策略44注册表安全配置64.1注册表访问授权64.2禁止匿名访问注册表74.3针对网络攻击的安全考虑事项74.4禁用8.3格式文件名的自动生成84.5禁用LMHASH创建84.6配置NTLMSSP安全84.7禁用自动运行功能84.8附加的注册表安全配置95服务管理95.1成员服务器95.2域控制器106文件/目录控制116.1目录保护116.2文件保护127服务器操作系统补丁管理167.1确定修补程序当前版本状态167.2部署修补程序168系统审计日志169其它配置安全179.1确保所有的磁盘卷使用NTFS文件系统179.2系统启动设置179.3屏幕保护设置179.4远程管理访问要求1810防病毒管理1811附则1811.1文档信息1811.2其他信息181概述本文档规定了中国××公司企业范围内安装有Windows操作系统的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员进行Windows操作系统的安全配置。1.1适用范围本规范的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。本规范适用的范围包括：支持中国××公司运行的Windows2000Server,Windows2003服务器系统。1.2实施本规范的解释权和修改权属于中国××公司，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准一经颁布，即为生效。1.3例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国××公司信息系统管理部门进行审批备案。1.4检查和维护根据中国××公司经营活动的需要，每年检查和评估本标准，并做出适当更新。如果在突发事件处理过程中，发现需对本标准进行变更，也需要进行本标准的维护。任何变更草案将由中国××公司信息系统管理部门进行审核批准。各相关部门经理有责任与其下属的组织和员工沟通变更的内容。2适用版本Windows2000Server;Windows2003.3用户账号控制基本策略：用户被赋予唯一的用户名、用户ID（UID）。3.1密码策略默认情况下，将对域中的所有服务器强制执行一个标准密码策略。下表列出了一个标准密码策略的设置以及针对您的环境建议的最低设置。策略默认设置推荐最低设置强制执行密码历史记录记住1个密码记住4个密码密码最长期限42天42天密码最短期限0天0天最短密码长度0个字符8个字符密码必须符合复杂性要求禁用启用为域中所有用户使用可还原的加密来储存密码禁用禁用3.2复杂性要求当组策略的“密码必须符合复杂性要求”设置启用后，它要求密码必须为6个字符长（但我们建议您将此值设置为8个字符）。它还要求密码中必须包含下面类别中至少三个类别的字符：英语大写字母A,B,C,…Z英语小写字母a,b,c,…z西方阿拉伯数字0,1,2,…9非字母数字字符，如标点符号3.3账户锁定策略有效的账户锁定策略有助于防止攻击者猜出您账户的密码。下表列出了一个默认账户锁定策略的设置以及针对您的环境推荐的最低设置。策略默认设置推荐最低设置账户锁定时间未定义30分钟账户锁定阈值05次无效登录复位账户锁定计数器未定义30分钟3.4内置默认账户安全Windows有几个内置的用户账户，它们不可删除，但可以通过禁用，重命名或设置相关的权限的方式来保证一定的系统安全性。帐户名建议安全配置策略适用系统Administrator1.此帐户必须在安装后立即重命名并修改相关密码；2.对于系统管理员建议建立一个相关拥有Administrator组权限的新用户，平时使用此帐户登陆，只有在有特殊需要时才使用重命名后的Administrator进行系统登陆。Windows2000ServerWindowsServer2003Guest帐户必须禁用；如有特殊需要保留也一定要重命名。Windows2000ServerWindowsServer2003TSInternetUser此帐户是为了“TerminalServices’InternetConnectorLicense”使用而存在的，故帐户必须禁用，不会对于正常的TerminalServices的功能有影响。Windows2000...