中粮集团WINDOS服务器系统安全配置标准
中粮集团信息安全相关标准文档编号:COFCO-IT-SEC-004版 本 号:V1.0
二○○九年十一月
WINDOWS服务器系统安全配置标准总则 本文档规定了中粮集团内安装有Windows操作系统的主机应当遵循的操作系统安全配置标准,本标准旨在指导系统管理员进行Windows操作系统的安全配置。本标准的使用者主要是主机系统管理员。适用的范围包括:集团内所有运行的windows操作系统服务器。补丁管理当操作系统新发布严重的、直接导致系统被攻击的补丁时(如导致爆发冲击波蠕虫的补丁),应及时下载并安装,下载补丁时禁止从服务器直接连接到互联网下载,而是采用可靠的中间介质(如U盘)进行下载后再测试安装,U盘接入服务器前进行病毒检测。禁用不必要的服务Windows系统在首次安装时,会创建默认服务并将其配置为在系统启动时运行。WEB服务器应该禁用典型Web服务器需要的最小组件:公用文件、Internet 服务管理器、WWW服务器以外所有不必要的服务。其它系统主机参照如下配置要求进行配置:服务说明说明DNS Client禁用Wireless Configuration禁用Print Spooler禁用Remote Registry Service禁用Task Scheduler禁用IIS Admin service禁用(非WEB系统)WWW Publishing Service禁用(非WEB系统)TCP/IP NetBIOS Helper Service禁用具体配置位置如下图所示:
帐号重命名系统安装完成后,将Administrator帐户重命名并修改相关密码,操作完成后,可以根据实际情况建立自定义管理员帐户。帐号禁用系统安装完成后,系统默认生成的Guest 、TSInternetUser、SUPPORT_388945a0帐号必须禁止。其它帐号配置系统安装完成后,系统默认生成的IUSR_{system}、 IWAM_{system}帐号必须设置成guest组的成员。帐号配置位置见下图:
设置密码策略 对系统进行自定义密码策略设置,包括要求用户定期更改其密码、指定最短密码长度以及要求密码符合某些复杂性要求等,配置见下图:
删除默认共享运行中输入regedit,修改键值HKLM\System\CurrentControlSet\ Services\LanmanServer\Parameters\AutoShareServer 为(REG_DWORD) 0磁盘文件格式 服务器的操作系统,在格式化硬盘时候,必须格式化为NTFS的,不能使用FAT32类型,查看位置如下图所示:
日志审计配置应用程序、安全性和系统事件日志的设置要在域策略中配置并应用到域中的所有成员服务器。审计策略应根据以下设置按照具体需要修改:
日志存储配置设置日志大小为51200字节。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
