51Testing软件测试网：win2000安全检查checklist

基本安全策略：

1、物理安全

2、禁用guest和TsInternetUser账号,并设置复杂的密码

如果TsInternetUser不存在，请创建

3、去除不需要使用的账号

a、去掉冗余、测试、共享、通用等不需要使用的账号

b、确认使用的账号，请使用组策略分配权限，并把用户审计打开

4、创建两个管理账号

a、一个为普通账号，一个具有管理权限的账号，把管理工作和日常工作分开

b、尽量使用"运行..."功能来进行管理

5、更改administrator账号名字

可以阻止一些普通骚扰者

不要用administrator类似名字

6、可以考虑创建一个虚假的管理员账号

另外的策略是创建Administrator的本地账号，并且不给与任何权限，同时具备10位以上复杂密码，把

用户审计打开，可以观察到一些入侵者

7、对于共享目录，把"everyone"更改为授权用户

8、密码安全

密码必须最少8位以上，包括数字、字母等，并且最好能通过暴力破解程序的字典进行检验

9、屏幕保护添加密码

10、所有分区使用ntfs

11、经常运行病毒查杀程序

12、对备份程序、设备进行安全加强

中级安全策略：

1、使用win2k的安全配置工具进行安全策略配置

2、不允许存在未进行监控的modem

3、关闭不需要的服务

a、自动启动

DNS Client仅仅当你需要DNS才启用

Event Log

Logical Disk Manager(LDM)

Network Connections

plug and play

Protected Strorage

RPC

RunAs Service

Security Accounts Manager(SAM)

Task Scheduler

Windows Mangement Instrumentation(WMI)

WMI Driver Extensions

UPS --- 只有当你的系统自带UPS

b、将Logical Disk Manager Administrative Service配置成手工启动

c、其他服务禁用

4、关闭不需要的端口

a、常用端口列表： %systemroot%\drivers\etc\services

b、Control Panel > Network and Dial Up Connections > Local Area Connection > Internet Protocol (TCP/IP) > Properties > Advanced > Options > TCP/IP Filtering

来对端口进行管理

5、打开审计功能

最基本的入侵检测功能就是把win2k的审计功能打开，它会告诉你更改账号策略、密码破解尝试入侵、未授权的文件访问等等

本地安全设置 > 本地策略 > 审核策略

审计配置：

事件审计级别

登录事件成功,失败

账户管理成功,失败

账户登录事件成功,失败

对象访问成功

策略更改成功,失败

特权使用成功,失败

系统事件成功,失败

6、设置安全事件日志的权限

事件日志缺省并没有任何保护措施，应该设置只有管理员和系统账号对日志有权限

7、防止登陆框显示上次用户登陆用户名

本地安全设置 > 本地策略 > 安全选项 > 登录屏幕上不要显示上次登陆的用户名

8、从微软网站检查最新的补丁

http://www.microsoft.com/TechNet/security/default.asp

高级安全设置：

1、对移动设备设置开机密码

2、关闭DirectDraw

运行regedit.exe编辑

HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI

设置Timeout(REG_DWORD) 为 0

3、关闭缺省的共享目录

a、Control Panel > Administration Tools > Services关闭“server”服务

b、或者运行regedit编辑

HKeyLocal Machine\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters

设置AutoShareServer(REG_DWORD) 为 0

4、禁用dump文件生成

Control Panel > System Properties > Advanced > Startup and Recovery

写入调试信息关闭

5、使用EFS(加密文件系统）

http://www.labmice.net/Windows2000/FileMgmt/EFS.htm

6、对注册表进行锁定

7、冠机清除页面交换文件

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management

更改ClearPageFileAtShutdown 为 1

8、禁止系统先从软盘、cd-rom等其他物理设备启动

9、关闭cd-rom等其他物理设备自动启动能力

HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services Cdrom

AutoRun 设置为 0

10、去除OS/2和posix子系统

a、删除 \winnt\system32\os2 目录

b、注册表删除如下健

Key:

HKEY_LOCAL_MACHINE\SOFTWARE

Subkey:

Microsoft\OS/2 Subsystem for NT

Entry:

delete all subkeys

Key:

HKEY_LOCAL_MACHINE\SYSTEM

Subkey:

CurrentControlSet\Control\Session Manager\Environment

Entry:

Os2LibPath

Value:

delete entry

Key:

HKEY_LOCAL_MACHINE\SYSTEM

Subkey:

CurrentControlSet\Control\Session Manager\SubSystems

Entry:

Optional

Values:

delete entry

Key:

HKEY_LOCAL_MACHINE\SYSTEM

Subkey:

CurrentControlSet\Control\Session Manager\SubSystems

Entry:

delete entries for OS2 and POSIX

11、使用smartcard或者其他设备代替密码进行验证

12、使用ipsec

http://www.labmice.net/networking/IPsec.htm

安装：

1、使用ntfs分区

2、不要使用缺省winnt目录，改为其他目录名字

3、安装完成后马上打service packs补丁

ntfs分区权限：

1、Administrators

完全控制

Authenticated Users

修改、读、执行、列目录

CREATOR OWNER

完全控制

SYSTEM

完全控制

2、移除所有用户对系统目录的所有权限

3、允许授权用户对如下目录有修改、读、执行、列目录，读写子目录内容

\Documents and Settings

\系统目录\Installer (Note: It's hidden…)

\系统目录\System32\Spool

\系统目录\System32\Config

\系统目录\Repair

4、允许授权用户对\系统目录\System32\Spool\Drivers读、执行、列目录权限

5、给用户目录设置适当的权限

网络协议：

1、关闭ipx和netbios

注册表：

1、HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services添加或者修改如下

Key: Tcpip\Parameters

Value: SynAttackProtect

Value Type: REG_DWORD

Parameter: 2

Key: Tcpip\Parameters

Value: TcpMaxHalfOpen

Value Type: REG_DWORD

Parameter: 100

Key: Tcpip\Parameters

Value: TcpMaxHalfOpenRetried

Value Type: REG_DWORD

Parameter: 80

Key: Tcpip\Parameters

Value: EnablePMTUDiscovery

Value Type: REG_DWORD

Parameter: 0

Key: Tcpip\Parameters

Value: EnableDeadGWDetect

Value Type: REG_DWORD

Parameter: 0

Key: Tcpip\Parameters

Value: KeepAliveTime

Value Type: REG_DWORD

Parameter: 300000

Key: Tcpip\Parameters

Value: EnableICMPRedirect

Value Type: REG_DWORD

Parameter: 0

Key: Tcpip\Parameters\Interfaces\

Value: PerformRouterDiscovery

Value Type: REG_DWORD

Parameter: 0

Key: Netbt\Parameters

Value: NoNameReleaseOnDemand

Value Type: REG_DWORD

Parameter: 1

2、HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Control 添加或者修改如下

Key: Lsa

Value: RestrictAnonymous

Value Type: REG_DWORD

Parameter: 1

3、更改.reg关联程序为notepad.exe之类其他的程序

控制台：

1、激活屏幕保护密码设置比较短的等待时间

木马：

1、设置

.JS

.JSE

.VBE

.VBS

.WSF

关联程序为notepad.exe

service packs：

1、打微软service packs补丁

备份：

1、使用ntbackup

事件日志：

1、日志文件路径

默认情况：%systemRoot%\system32\config目录下

可以通过修改注册表指定新值：

值名类型推荐值

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application REG_GZ 文件路径

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\System REG_GZ 文件路径

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security REG_GZ 文件路径

2、设置日志属性

计算机管理 -> 系统管理 -> 事件查看器设置日志属性：包括日志大小等