51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

查看: 2698|回复: 0

win2000安全检查checklist

[复制链接]

该用户从未签到

发表于 2008-9-3 00:13:18 | 显示全部楼层 |阅读模式
基本安全策略:
    1、物理安全
    2、禁用guest和TsInternetUser账号,并设置复杂的密码
    如果TsInternetUser不存在,请创建
    3、去除不需要使用的账号
    a、去掉冗余、测试、共享、通用等不需要使用的账号
    b、确认使用的账号,请使用组策略分配权限,并把用户审计打开
    4、创建两个管理账号
    a、一个为普通账号,一个具有管理权限的账号,把管理工作和日常工作分开
    b、尽量使用"运行……"功能来进行管理
    5、更改administrator账号名字
    可以阻止一些普通骚扰者
    不要用administrator类似名字
    6、可以考虑创建一个虚假的管理员账号
    另外的策略是创建Administrator的本地账号,并且不给与任何权限,同时具备10位以上复杂密码,把
    用户审计打开,可以观察到一些入侵者
    7、对于共享目录,把"everyone"更改为授权用户
    8、密码安全
    密码必须最少8位以上,包括数字、字母等,并且最好能通过暴力破解程序的字典进行检验
    9、屏幕保护添加密码
    10、所有分区使用ntfs
    11、经常运行病毒查杀程序
    12、对备份程序、设备进行安全加强
    中级安全策略:
    1、使用win2k的安全配置工具进行安全策略配置
    2、不允许存在未进行监控的modem
    3、关闭不需要的服务
    a、自动启动
    DNS Client仅仅当你需要DNS才启用
    Event Log
    Logical Disk Manager(LDM)
    Network Connections
    plug and play
    Protected Strorage
    RPC
    RunAs Service
    Security Accounts Manager(SAM)
    Task Scheduler
    Windows Mangement Instrumentation(WMI)
    WMI Driver Extensions
    UPS —— 只有当你的系统自带UPS
    b、将Logical Disk Manager Administrative Service配置成手工启动
    c、其他服务禁用
    4、关闭不需要的端口
    a、常用端口列表: %systemroot%\drivers\etc\services
    b、Control Panel > Network and Dial Up Connections > Local Area Connection > Internet Protocol (TCP/IP) > Properties > Advanced > Options > TCP/IP Filtering
    来对端口进行管理
    5、打开审计功能
    最基本的入侵检测功能就是把win2k的审计功能打开,它会告诉你更改账号策略、密码破解尝试入侵、未授权的文件访问等等
    本地安全设置 > 本地策略 > 审核策略

    审计配置:
    事件                     审计级别
    登录事件                 成功,失败
    账户管理                 成功,失败
    账户登录事件             成功,失败
    对象访问                 成功
    策略更改                 成功,失败
    特权使用                 成功,失败
    系统事件                 成功,失败

    6、设置安全事件日志的权限
    事件日志缺省并没有任何保护措施,应该设置只有管理员和系统账号对日志有权限
    7、防止登陆框显示上次用户登陆用户名
    本地安全设置 > 本地策略 > 安全选项  > 登录屏幕上不要显示上次登陆的用户名
    8、从微软网站检查最新的补丁
    http://www.microsoft.com/TechNet/security/default.asp
    高级安全设置:
    1、对移动设备设置开机密码
    2、关闭DirectDraw
    运行regedit.exe编辑
    HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI
    设置Timeout(REG_DWORD) 为 0
    3、关闭缺省的共享目录
    a、Control Panel > Administration Tools > Services关闭“server”服务
    b、或者运行regedit编辑
    HKeyLocal Machine\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters
    设置AutoShareServer(REG_DWORD) 为 0
    4、禁用dump文件生成
    Control Panel > System Properties > Advanced > Startup and Recovery
    写入调试信息关闭
    5、使用EFS(加密文件系统)
    http://www.labmice.net/Windows2000/FileMgmt/EFS.htm
    6、对注册表进行锁定
    7、冠机清除页面交换文件
    HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
    更改ClearPageFileAtShutdown  为 1
    8、禁止系统先从软盘、cd-rom等其他物理设备启动
    9、关闭cd-rom等其他物理设备自动启动能力
    HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services Cdrom
    AutoRun 设置为 0
    10、去除OS/2和posix子系统
    a、删除 \winnt\system32\os2 目录
    b、注册表删除如下健
    Key:
    HKEY_LOCAL_MACHINE\SOFTWARE
    Subkey:
    Microsoft\OS/2 Subsystem for NT
    Entry:
    delete all subkeys
    Key:
    HKEY_LOCAL_MACHINE\SYSTEM
    Subkey:
    CurrentControlSet\Control\Session Manager\Environment
    Entry:
    Os2LibPath
    Value:
    delete entry
    Key:
    HKEY_LOCAL_MACHINE\SYSTEM
    Subkey:
    CurrentControlSet\Control\Session Manager\SubSystems
    Entry:
    Optional
    Values:
    delete entry
    Key:
    HKEY_LOCAL_MACHINE\SYSTEM
    Subkey:
    CurrentControlSet\Control\Session Manager\SubSystems
    Entry:
    delete entries for OS2 and POSIX
    11、使用smartcard或者其他设备代替密码进行验证
    12、使用ipsec
回复

使用道具 举报

本版积分规则

关闭

站长推荐上一条 /1 下一条

小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

GMT+8, 2024-3-29 13:01 , Processed in 0.067768 second(s), 28 queries .

Powered by Discuz! X3.2

© 2001-2024 Comsenz Inc.

快速回复 返回顶部 返回列表