操作系统安全配置检查表

Windows 2000 操作系统安全配置检查表

Windows 2000 操作系统安全检查表（草案）

中国教育和科研计算机网紧急响应组(CCERT)

2003年3月

前言

步 骤

1 建议

2 安装过程中的建议

3 安装最新的系统补丁(Service Pack)与更新(Hotfix)程序 4 为管理员（Administrator）账号指定安全的口令 5 把Administrator帐号重新命名 6 禁用或删除不必要的帐号 7 关闭不必要的服务 8 安装防病毒软件

9 给所有必要的文件共享设置适当的访问控制权限 10 激活系统的审计功能 11

关于应用软件方面的建议

附录一、网络上的参考资源

附录二、windows 2000 服务配置参考

1 建议

2 安装过程中的建议

中国教育和科研计算机网紧急响应组 清华大学主楼310 100084 电 话：+86-10-62784301 传 真：+86-10-62785933 电子邮件：report@ccert.edu.cn 主 页：http://www.ccert.edu.cn

1

Windows 2000 操作系统安全配置检查表

3 安装最新的系统补丁(Service Pack)与更新(Hotfix)程序

大量系统入侵事件是因为用户没有及时的安装系统的补丁，管理员重要的任务之一是更新系统，保证系统安装了最新的补丁。 建议用户及时下载并安装补丁包，修补系统漏洞。Microsoft公司提供两种类型的补丁：Service Pack 和Hotfix。

Service Pack 是一系列系统漏洞的补丁程序包，最新版本的Service Pack包括了以前发布的所有的hotfix。微软公司建议用户安装最新版本的Service Pack， 现在最新的补丁包是Service Pack 3（推荐安装）。

您可以在下面的网址下载到最新的补丁包：

  

http://www.microsoft.com/windows2000/downloads/servicepacks/sp3/ http://www.microsoft.com/china/windows2000/downloads/ http://www.ccert.edu.cn/patch/

Service Pack 3 此补丁包包括了Automatic Updates（自动升级）服务，该服务能够在重要的Windows 2000修补程序发布之时向您发出通知。Automatic Updates是一种有预见性的“拉”服务，可以自动下载和安装Windows 升级补丁，例如重要的操作系统修补和Windows安全性升级补丁。

Hotfix 通常用于修补某个特定的安全问题，一般比Service Pack 发布更为频繁。微软用过安全通知服务来发布安全公告。你可以订阅微软免费的安全通知服务：

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/notify.asp 在发布新的安全补丁时，可以通过电子邮件通知你。如果公告建议你安装 hotfix，你应该尽快下载并安装这些hotfix。 你也可以在下面的网址下载最新的Hotfix 程序：

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/current.asp

4 为管理员（Administrator）账号指定安全的口令

Windows 2000 允许127个字符的口令。一般来说，强壮的口令应该满足以下条件： 1. 口令应该不少于8个字符；

2. 不包含字典里的单词、不包括姓氏的汉语拼音； 3. 同时包含多种类型的字符，比如

o 大写字母(A,B,C,..Z) o 小写字母(a,b,c..z) o 数字(0,1,2,…9)

o 标点符号(@,#,!,$,%,& …) 4. 不要在不同的计算机上使用相同的口令。

5 把Administrator帐号重新命名

由于Windows2000的默认管理员帐号Administrator已众所周知，该帐号通常称为攻击者猜

2

中国教育和科研计算机网紧急响应组 清华大学主楼310 100084 电 话：+86-10-62784301 传 真：+86-10-62785933 电子邮件：report@ccert.edu.cn 主 页：http://www.ccert.edu.cn

Windows 2000 操作系统安全配置检查表

测口令攻击的对象。为了降低这种威胁，可以将帐号Administrator重新命名。操作步骤如下：

5.

点击“开始”>“设置”>“控制面板”，弹出文件夹后，双击“管理工具”图标，进入后双击“计算机管理”，打开后选择目录“系统工具”下的“本地用户和组”，这样就可以看到系统中的所有用户列表；

选中Administrator，点击右键，选择重命名，将administrator改成admin、或root等；

6.

6 禁用或删除不必要的帐号

您应该在计算机管理单元中查看系统的活动帐号列表（对用户和程序而言），并且禁用所有非活动帐户，特别是Guest，删除或者禁用不再需要的帐户。配置步骤如下：

点击“开始”>“设置”>“控制面板”，弹出文件夹后，双击“管理工具”图标，进入后双击“计算机管理”，打开后选择目录“系统工具”下的“本地用户和组”，这样就可以看到系统中的所有用户的状态。

尽管Windows 2000默认禁用了Guest帐号，但你需要确认一下。

7 关闭不必要的服务

每提供一种网络服务就增加了一份安全威胁。所以我们建议您关闭所有不必要的网络服务，特别是Web服务，因为Windows 系统包含的Web服务器IIS系统存在着大量安全漏洞。 如果您必须提供某种网络服务，那么尽量做到专机专用，不要把所有的鸡蛋都放在同一个篮子里。也就是说假如服务器提供的是web服务的话，就尽量不要在机器上提供其他的服务，这样可以尽量的降低服务器的风险。

通过开始—〉控制面板—〉管理工具—〉服务，可以配置Windows 2000的服务。微软关于Windows 2000的基准服务配置，参见附录二。

8 安装防病毒软件

我们强烈建议您在操作系统安装之后立即安装防病毒软件，定期扫描、实时检测和清除计算机磁盘引导记录、文件系统和内存、以及电子邮件病毒。

由于新的病毒和蠕虫及其各种变种发展很快，我们强烈建议您及时更新病毒定义码。 关于防病毒软件的选择，建议您参考清华大学等各高校BBS系统中病毒栏目的相关评论和建议。

9 给所有必要的文件共享设置适当的访问控制权限

默认状态下，所有用户对于新创建的文件共享都拥有完全控制权限。系统中所有必要的共享都应当设置合适的权限，以便使用户拥有适当的共享级别访问权（例如，Everyone = 读取）。

注意 必须使用 NTFS 文件系统，才能对个别文件设置 ACL 以及共享级别权限。

3

中国教育和科研计算机网紧急响应组 清华大学主楼310 100084 电 话：+86-10-62784301 传 真：+86-10-62785933 电子邮件：report@ccert.edu.cn 主 页：http://www.ccert.edu.cn

Windows 2000 操作系统安全配置检查表

10 激活系统的审计功能

Windows 2000的安全审计功能在默认安装时是关闭的。激活此功能有利于管理员很好的掌握机器的状态，有利于系统的入侵检测。你可以从日志中了解到机器是否在被人蛮力攻击、非法的文件访问等等。配置步骤如下：

“开始”>“设置”>“控制面板”>“管理工具”>“本地安全策略”，之后选择“本地策略”中的“审核策略”。 建议策略设置列表（针对您的需要更改）： 审核策略 帐户登录事件 帐户管理 登录事件 对象访问 策略更改 特权使用 系统事件 设置 成功，失败 成功，失败 成功，失败 失败 成功，失败 成功，失败 失败 若想查看审核日志信息，可以用以下步骤：

“程序”>“设置”>“控制面板”>“管理工具”>“事件查看器”。

11 关于应用软件方面的建议

1. 2. 3.

从Internet上下载并运行软件时一定要谨慎，因为这些软件有可能感染病毒、藏有木马

或后门。如果您必须使用这些软件，一定选择可信度高的站点。 不要轻易打开陌生人的邮件，特别是邮件中的附件。 重要的数据一定要定期备份。

附录一、网络上的参考资源

微软安全特性（中国）：http://www.microsoft.com/china/technet/security/default.asp 微软补丁下载（中国）：http://www.microsoft.com/china/windows2000/downloads/ CCERT安全资源： http://www.ccert.edu.cn/certs/index.php

附录二、windows 2000 服务配置参考

我们建议您对服务作如下配置（“默认”为系统初始设置，“基准”是我们建议的设置）。 服务 Alerter Alerter（警报器） 全称 默认 自动 禁用 基准 4

中国教育和科研计算机网紧急响应组 清华大学主楼310 100084 电 话：+86-10-62784301 传 真：+86-10-62785933 电子邮件：report@ccert.edu.cn 主 页：http://www.ccert.edu.cn

AppMgmt ClipSrv EventSystem Browser DHCP Dfs TrkWks TrkSrv MSDTC DNSCache EventLog Fax NtFrs IISADMIN Cisvc SharedAccess IsmServ PolicyAgent Windows 2000 操作系统安全配置检查表 Application Management（应用程序管理） ClipBook（剪贴簿） COM+ Event System（COM+ 事件系统） Computer Browser（计算机浏览器） DHCP Client（DHCP 客户） Distributed File System（分布式文件系统） 手动 禁用 手动 禁用 手动 手动 自动 禁用 自动 自动 自动 仅在 域控制器 角色中启用 Distributed Link Tracking Client（分布式链接跟踪客户） 自动 自动 Distributed Link Tracking Server（分布式链接跟踪服务器） 手动 禁用 Distributed Transaction Coordinator（分布式事务协调器） 自动 禁用 DNS Client（DNS 客户） Event Log（事件日志） Fax Service（传真服务） File Replication（文件复制） IIS Admin Service（IIS 管理服务） Indexing Service（索引服务） Internet Connection Sharing（Internet 连接共享） Intersite Messaging（站间消息传递） IPSEC Policy Agent(IPSEC Service)（IPSEC 策略代理程序（IPSEC 服务）） Kerberos Key Distribution Center（Kerberos 密钥分发中心） License Logging Service（许可证记录服务） Logical Disk Manager（逻辑磁盘管理器） Logical Disk Manager Administrative Service（逻辑磁盘管理器管理服务） Messenger（信使） Net Logon（网络登录） NetMeeting Remote Desktop Sharing（NetMeeting 远程桌面共享） Network Connections（网络连接） Network DDE（网络 DDE） Network DDE DSDM（网络 Network DDE DSDM） 自动 自动 自动 自动 手动 禁用 手动 禁用 自动 禁用 手动 禁用 手动 禁用 禁用 禁用 自动 禁用 仅在 DC 角色中启用 Kdc LicenseService Dmserver Dmadmin Messenger Netlogon 禁用 自动 禁用 自动 自动 手动 手动 自动 禁用 自动* 自动 Mnmsrvc Netman NetDDE NetDDEdsdm 手动 禁用 手动 手动 手动 禁用 手动 禁用 5

中国教育和科研计算机网紧急响应组 清华大学主楼310 100084

电 话：+86-10-62784301 传 真：+86-10-62785933 电子邮件：report@ccert.edu.cn 主 页：http://www.ccert.edu.cn

NtLmSsp SysmonLog PlugPLay Spooler ProtectedStorage RSVP RasAuto Windows 2000 操作系统安全配置检查表 NTLM Security Support Provider（NTLM 安全支持提供程序） Performance Logs and Alerts（性能日志和警报） Plug and Play（即插即用） Print Spooler（打印后台处理程序） Protected Storage（受保护存储） 手动 禁用 手动 手动 自动 自动 自动 仅在“文件和打印”角色中启用 自动 自动 QoS Admission Control (RSVP)（QoS 许可控制 (RSVP)） 手动 禁用 Remote Access Auto Connection Manager（远程访问自动连接管理器） Remote Access Connection Manager（远程访问连接管理器） Remote Procedure Call（远程过程调用，RPC） Remote Procedure Call (RPC) Locator（远程过程调用 (RPC) 定位器 Remote Registry Service（远程注册表服务） Removable Storage（可移动存储） Routing and Remote Access（路由和远程访问） RunAs Service（RunAs 服务） Security Accounts Manager（安全帐户管理器） Server（服务器） 手动 禁用 RasMan RpcSs Rpclocator RemoteRegistry NtmsSvc RemoteAccess Seclogon SamSs Lanmanserver SMTPSVC ScardSvr ScardDrv SENS Schedule LmHosts TapiSrv TlntSvr TermService UPS UtilMan MSIServer 手动 禁用 自动 自动 手动 仅在 DC 角色中启用 自动 自动 自动 禁用 禁用 禁用 自动 禁用 自动 自动 自动 自动 Simple Mail Transport Protocol（简单邮件传输协议，SMTP） 自动 禁用 Smart Card（智能卡） Smart Card Helper（智能卡助手） System Event Notification（系统事件通知） Task Scheduler（任务计划程序） TCP/IP NetBIOS Helper Service（TCP/IP NetBIOS 支持服务） Telephony（电话服务） Telnet（远程登录协议） Terminal Services（终端服务） Uninterruptible Power Supply（不间断电源） Utility Manager（工具管理器） Windows Installer（Windows 安装服务） 手动 禁用 手动 禁用 自动 自动 自动 禁用 自动 自动 手动 禁用 手动 禁用 禁用 禁用 手动 禁用 手动 禁用 手动 禁用 6

中国教育和科研计算机网紧急响应组 清华大学主楼310 100084

电 话：+86-10-62784301 传 真：+86-10-62785933 电子邮件：report@ccert.edu.cn 主 页：http://www.ccert.edu.cn