Windows 2000 操作系统安全检查表(草案)
中国教育和科研计算机网紧急响应组(CCERT)
2003年3月
前言
步
骤
3 安装最新的系统补丁(Service
Pack)与更新(Hotfix)程序
4 为管理员(Administrator)账号指定安全的口令
3 安装最新的系统补丁(Service Pack)与更新(Hotfix)程序
大量系统入侵事件是因为用户没有及时的安装系统的补丁,管理员重要的任务之一是更新系统,保证系统安装了最新的补丁。 建议用户及时下载并安装补丁包,修补系统漏洞。Microsoft公司提供两种类型的补丁:Service Pack 和Hotfix。
Service Pack 是一系列系统漏洞的补丁程序包,最新版本的Service Pack包括了以前发布的所有的hotfix。微软公司建议用户安装最新版本的Service Pack, 现在最新的补丁包是Service Pack 3(推荐安装)。
您可以在下面的网址下载到最新的补丁包:
l http://www.microsoft.com/windows2000/downloads/servicepacks/sp3/
l http://www.microsoft.com/china/windows2000/downloads/
l http://www.ccert.edu.cn/patch/
Service Pack 3 此补丁包包括了Automatic Updates(自动升级)服务,该服务能够在重要的Windows 2000修补程序发布之时向您发出通知。Automatic Updates是一种有预见性的“拉”服务,可以自动下载和安装Windows 升级补丁,例如重要的操作系统修补和Windows安全性升级补丁。
Hotfix 通常用于修补某个特定的安全问题,一般比Service Pack 发布更为频繁。微软用过安全通知服务来发布安全公告。你可以订阅微软免费的安全通知服务:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/notify.asp
在发布新的安全补丁时,可以通过电子邮件通知你。如果公告建议你安装 hotfix,你应该尽快下载并安装这些hotfix。 你也可以在下面的网址下载最新的Hotfix 程序:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/current.asp
4 为管理员(Administrator)账号指定安全的口令
Windows 2000 允许127个字符的口令。一般来说,强壮的口令应该满足以下条件:
1. 口令应该不少于8个字符;
2. 不包含字典里的单词、不包括姓氏的汉语拼音;
3. 同时包含多种类型的字符,比如
o 大写字母(A,B,C,..Z)
o 小写字母(a,b,c..z)
o 数字(0,1,2,…9)
o 标点符号(@,#,!,$,%,& …)
4. 不要在不同的计算机上使用相同的口令。
5 把Administrator帐号重新命名
由于Windows2000的默认管理员帐号Administrator已众所周知,该帐号通常称为攻击者猜测口令攻击的对象。为了降低这种威胁,可以将帐号Administrator重新命名。操作步骤如下:
5.
点击“开始”>“设置”>“控制面板”,弹出文件夹后,双击“管理工具”图标,进入后双击“计算机管理”,打开后选择目录“系统工具”下的“本地用户和组”,这样就可以看到系统中的所有用户列表;
6. 选中Administrator,点击右键,选择重命名,将administrator改成admin、或root等;
您应该在计算机管理单元中查看系统的活动帐号列表(对用户和程序而言),并且禁用所有非活动帐户,特别是Guest,删除或者禁用不再需要的帐户。配置步骤如下:
点击“开始”>“设置”>“控制面板”,弹出文件夹后,双击“管理工具”图标,进入后双击“计算机管理”,打开后选择目录“系统工具”下的“本地用户和组”,这样就可以看到系统中的所有用户的状态。
尽管Windows 2000默认禁用了Guest帐号,但你需要确认一下。
每提供一种网络服务就增加了一份安全威胁。所以我们建议您关闭所有不必要的网络服务,特别是Web服务,因为Windows 系统包含的Web服务器IIS系统存在着大量安全漏洞。
如果您必须提供某种网络服务,那么尽量做到专机专用,不要把所有的鸡蛋都放在同一个篮子里。也就是说假如服务器提供的是web服务的话,就尽量不要在机器上提供其他的服务,这样可以尽量的降低服务器的风险。
通过开始—〉控制面板—〉管理工具—〉服务,可以配置Windows 2000的服务。微软关于Windows 2000的基准服务配置,参见附录二。
我们强烈建议您在操作系统安装之后立即安装防病毒软件,定期扫描、实时检测和清除计算机磁盘引导记录、文件系统和内存、以及电子邮件病毒。
由于新的病毒和蠕虫及其各种变种发展很快,我们强烈建议您及时更新病毒定义码。
关于防病毒软件的选择,建议您参考清华大学等各高校BBS系统中病毒栏目的相关评论和建议。
默认状态下,所有用户对于新创建的文件共享都拥有完全控制权限。系统中所有必要的共享都应当设置合适的权限,以便使用户拥有适当的共享级别访问权(例如,Everyone = 读取)。
注意 必须使用 NTFS 文件系统,才能对个别文件设置 ACL 以及共享级别权限。
Windows 2000的安全审计功能在默认安装时是关闭的。激活此功能有利于管理员很好的掌握机器的状态,有利于系统的入侵检测。你可以从日志中了解到机器是否在被人蛮力攻击、非法的文件访问等等。配置步骤如下:
“开始”>“设置”>“控制面板”>“管理工具”>“本地安全策略”,之后选择“本地策略”中的“审核策略”。 建议策略设置列表(针对您的需要更改):
|
审核策略 |
设置 |
|
帐户登录事件 |
成功,失败 |
|
帐户管理 |
成功,失败 |
|
登录事件 |
成功,失败 |
|
对象访问 |
失败 |
|
策略更改 |
成功,失败 |
|
特权使用 |
成功,失败 |
|
系统事件 |
失败 |
若想查看审核日志信息,可以用以下步骤:
“程序”>“设置”>“控制面板”>“管理工具”>“事件查看器”。
1. 从Internet上下载并运行软件时一定要谨慎,因为这些软件有可能感染病毒、藏有木马或后门。如果您必须使用这些软件,一定选择可信度高的站点。
2. 不要轻易打开陌生人的邮件,特别是邮件中的附件。
3. 重要的数据一定要定期备份。
微软安全特性(中国):http://www.microsoft.com/china/technet/security/default.asp
微软补丁下载(中国):http://www.microsoft.com/china/windows2000/downloads/
CCERT安全资源: http://www.ccert.edu.cn/certs/index.php
我们建议您对服务作如下配置(“默认”为系统初始设置,“基准”是我们建议的设置)。
|
服务 |
全称 |
默认 |
基准 |
|
Alerter |
Alerter(警报器) |
自动 |
禁用 |
|
AppMgmt |
Application
Management(应用程序管理) |
手动 |
禁用 |
|
ClipSrv |
ClipBook(剪贴簿) |
手动 |
禁用 |
|
EventSystem |
COM+
Event System(COM+
事件系统) |
手动 |
手动 |
|
Browser |
Computer
Browser(计算机浏览器) |
自动 |
禁用 |
|
DHCP |
DHCP
Client(DHCP
客户) |
自动 |
自动 |
|
Dfs |
Distributed
File System(分布式文件系统) |
自动 |
仅在
域控制器
角色中启用 |
|
TrkWks |
Distributed
Link Tracking Client(分布式链接跟踪客户)
|
自动 |
自动 |
|
TrkSrv |
Distributed
Link Tracking Server(分布式链接跟踪服务器) |
手动 |