9,506
社区成员
发帖
与我相关
我的任务
分享nt2 and c2(之一)
Windows NT 4.0系统安全策略
一 帐户策略
1. 密码策略
1.1 密码必须符合复杂性要求。
【说明】密码必须满足以下最低要求:
不包含全部或部分的用户帐户名
长度至少为六个字符
包含来自以下四个类别中的三个的字符:
英文大写字母(从 A 到 Z)
英文小写字母(从 a 到 z)
10 个基本数字(从 0 到 9)
非字母字符(例如,!、$、#、%)
1.2 密码长度最小值为 8 个字符。
1.3 密码最长存留期(密码过期时间) 30 天。
1.4 密码最短存留期:在 0 天后可以更改密码,0表示可以立即更改密码。
1.5 强制密码历史:保留历史密码 3 个。
2. 帐户锁定策略
2.1 帐户锁定阈值:3 次无效登陆锁定帐户。
2.2 帐户锁定时间:120 分钟。
2.3 复位帐户锁定计数器:120 分钟之后复位帐户锁定计数器。
二 本地策略
1. 审核策略
1.1 审核策略更改:审核成功和失败。
1.2 审核帐户管理:审核成功和失败。
1.3 审核对象访问:审核成功和失败。
1.4 审核过程跟踪:审核成功和失败。
【说明】确定是否审核事件(例如程序激活、进程退出、处理副本和间接对象访问等)的详细跟踪信息。
1.5 审核特权使用:审核成功和失败。
【说明】确定是否审核用户实施其权限的每一个实例。
1.6 审核系统事件:审核成功和失败。
1.7 审核登陆事件:审核成功和失败。
2. 用户权利指派
2.1 从网络访问该计算机:Administrators不能通过网络连接计算机。
2.2 作为操作系统的一部分:不配置。
2.3 将工作站添加到域:不配置,该策略仅在域控制器上有效。
2.4 备份文件和目录:Administrators、Backup Operators。
2.5 忽略遍历检查:Everyone。
2.6 更改系统时间:Administrators、Power Users。
2.7 创建页面文件:Administrators。
2.8 创建令牌对象:默认值。
2.9 创建永久共享的对象:默认值。
2.10 调试程序:Administrators。
2.11 从远程系统强制地关机:Administrators、Power Users。
2.12 生成安全审核:默认值。
2.13 增加调度优先级:Administrators、Power Users
2.14 加载和卸载设备驱动程序:Administrators。
2.15 锁定内存中的页面:默认值。
2.16 作为批处理作业登录:不配置。
2.17 作为服务登录:不配置
2.18 本地登录:Administrators、Power Users、Backup Operators、Users。
2.19 管理审核和安全日志:Administrators。
2.20 修改固件环境值:Administrators。
2.21 配置单一进程:Administrators、Power Users。
2.22 配置文件系统性能:Administrators。
2.23 替换进程级令牌:默认。
2.24 还原文件和目录:Administrators、Power Users。
2.25 关闭系统:Administrators、Power Users、Users、Backup Operators。
2.26 获得文件或其它对象的所有权:Administrators。
3. 安全选项
3.1 重命名管理员帐户:不配置。
3.2 重命名客户帐户:不配置。
3.3 审核内部系统对象的访问:启用。
3.4 审核备份和还原特权的使用:不配置。
3.5 如果无法记录安全审计需立即关闭系统:Disable。
3.6 防止用户安装打印机驱动程序:Enable。
3.7 将对CD-ROM的访问限制到仅为本地登录用户:Enable。
3.8 将对软盘的访问限制到仅为本地登录用户:Enable。
3.9 允许服务器操作员计划任务(仅域控制器):不配置。
3.10 数字加密或安全信道数据签名(始终):Disable。
3.11 安全信道资料数字加密(可能情况下):Enable。
3.12 安全信道资料数字签名(可能情况下):Enable。
3.13 交互式登录:不显示用户的名称:Enable。
3.14 交互式登录:用户试图登录的消息文本:默认。
3.15 交互式登录:用户试图登录的消息标题:默认。
3.16 交互式登录:缓存中的已登录数(如果域控制器不可用):10
3.17 Microsoft网络客户端:数字签名通讯(总是):Disable。
3.18 Microsoft网络客户端:数字签名通讯(如果服务器允许):Enable。
3.19 Microsoft网络客户端:发送未加密的密码连接第三方的SMB服务器:Disable。
3.20 Microsoft网络服务器:挂起会话前所需的空闲时间:15分钟。
3.21 Microsoft网络服务器:数字签名通讯(总是):Disable。
3.22 Microsoft网络服务器:数字化的签名通讯(如果客户机允许):Enable。
3.23 网络访问:不允许匿名列举SAM账户和共享:Enable。
3.24 网络安全:登录时间过期时强制注销:不配置。
3.25 关机:允许无需登录而关闭系统:Disable。
3.26 关机:清除虚拟内存页面文件:Enable。
3.27 限制如COM1等共享资源的管理:Disable。
3.28 加密系统分区(针对RISC平台):不配置。
3.29 发送低级LanMan兼容密码:As Request。
三 事件日志
1. 应用程序日志大小的最大值:10000Kbyte。
2. 安全日志的最大值:10000Kbyte。
3. 系统日志的最大值:10000Kbyte。
4. 防止本地来宾组访问应用程序日志:Enable。
5. 防止本地来宾组访问安全日志:Enable。
6. 防止本地来宾组访问系统日志:Enable。
7. 保留应用程序日志:7天。
8. 保留安全日志:7天。
9. 保留系统日志:7天。
10. 应用程序日志的保留方法:Do not overwrite events(clean log manually)。
11. 安全日志的保留方法:Do not overwrite events(clean log manually)。
12. 系统日志的保留方法:Do not overwrite events(clean log manually)。
13. 当安全审核日志变满时关闭系统:Disable。
四 受限制的组
默认。
五 系统服务
服务名字(SERVICE_NAME) 服务显示名字(DISPLAY_NAME) 缺省 安全配置
Alerter Alerter
Browser Computer Browser Enable
ClipSrv ClipBook Server
DHCP DHCP Client
EventLog EventLog Enable
EventSystem COM+ Event System
GOPHERSVC Gopher Publishing Service
LanmanServer Server Enable
LanmanWorkstation Workstation Enable
LicenseService License Logging Service
LmHosts TCP/IP NetBIOS Helper Enable
Messenger Messenger
MSDTC MSDTC
MSFTPSVC FTP Publishing Service
MSSQLServer MSSQLServer
NetDDE Network DDE
NetDDEdsdm Network DDE DSDM
Netlogon Net Logon Enable
NtLmSsp NT LM Security Support Provider Enable
PlugPlay Plug and Play
ProtectedStorage Protected Storage
Replicator Directory Replicator
RPCLOCATOR Remote Procedure Call (RPC) Locator Enable
RpcSs Remote Procedure Call (RPC) Service Enable
Schedule Task Scheduler
SENS System Event Notification
Spooler Spooler Enable
SQLServerAgent SQLServerAgent
TapiSrv Telephony Service
W3SVC World Wide Web Publishing Service
六 注册表
应用服务器安全级别模版(Windwos NT 4.0 Resource Kit自带)。
七 文件系统
应用服务器安全级别模版(Windwos Windwos NT 4.0 Resource Kit自带)。
八 参考文献
1) 《Microsoft Security Configuration Manager for Windows NT 4.0》
一 帐户策略
1. 密码策略
1.1 密码必须符合复杂性要求。
【说明】密码必须满足以下最低要求:
不包含全部或部分的用户帐户名
长度至少为六个字符
包含来自以下四个类别中的三个的字符:
英文大写字母(从 A 到 Z)
英文小写字母(从 a 到 z)
10 个基本数字(从 0 到 9)
非字母字符(例如,!、$、#、%)
1.2 密码长度最小值为 8 个字符。
1.3 密码最长存留期(密码过期时间) 30 天。
1.4 密码最短存留期:在 0 天后可以更改密码,0表示可以立即更改密码。
1.5 强制密码历史:保留历史密码 3 个。
2. 帐户锁定策略
2.1 帐户锁定阈值:3 次无效登陆锁定帐户。
2.2 帐户锁定时间:120 分钟。
2.3 复位帐户锁定计数器:120 分钟之后复位帐户锁定计数器。
二 本地策略
1. 审核策略
1.1 审核策略更改:审核成功和失败。
1.2 审核帐户管理:审核成功和失败。
1.3 审核对象访问:审核成功和失败。
1.4 审核过程跟踪:审核成功和失败。
【说明】确定是否审核事件(例如程序激活、进程退出、处理副本和间接对象访问等)的详细跟踪信息。
1.5 审核特权使用:审核成功和失败。
【说明】确定是否审核用户实施其权限的每一个实例。
1.6 审核系统事件:审核成功和失败。
1.7 审核登陆事件:审核成功和失败。
2. 用户权利指派
2.1 从网络访问该计算机:Administrators不能通过网络连接计算机。
2.2 作为操作系统的一部分:不配置。
2.3 将工作站添加到域:不配置,该策略仅在域控制器上有效。
2.4 备份文件和目录:Administrators、Backup Operators。
2.5 忽略遍历检查:Everyone。
2.6 更改系统时间:Administrators、Power Users。
2.7 创建页面文件:Administrators。
2.8 创建令牌对象:默认值。
2.9 创建永久共享的对象:默认值。
2.10 调试程序:Administrators。
2.11 从远程系统强制地关机:Administrators、Power Users。
2.12 生成安全审核:默认值。
2.13 增加调度优先级:Administrators、Power Users
2.14 加载和卸载设备驱动程序:Administrators。
2.15 锁定内存中的页面:默认值。
2.16 作为批处理作业登录:不配置。
2.17 作为服务登录:不配置
2.18 本地登录:Administrators、Power Users、Backup Operators、Users。
2.19 管理审核和安全日志:Administrators。
2.20 修改固件环境值:Administrators。
2.21 配置单一进程:Administrators、Power Users。
2.22 配置文件系统性能:Administrators。
2.23 替换进程级令牌:默认。
2.24 还原文件和目录:Administrators、Power Users。
2.25 关闭系统:Administrators、Power Users、Users、Backup Operators。
2.26 获得文件或其它对象的所有权:Administrators。
3. 安全选项
3.1 重命名管理员帐户:不配置。
3.2 重命名客户帐户:不配置。
3.3 审核内部系统对象的访问:启用。
3.4 审核备份和还原特权的使用:不配置。
3.5 如果无法记录安全审计需立即关闭系统:Disable。
3.6 防止用户安装打印机驱动程序:Enable。
3.7 将对CD-ROM的访问限制到仅为本地登录用户:Enable。
3.8 将对软盘的访问限制到仅为本地登录用户:Enable。
3.9 允许服务器操作员计划任务(仅域控制器):不配置。
3.10 数字加密或安全信道数据签名(始终):Disable。
3.11 安全信道资料数字加密(可能情况下):Enable。
3.12 安全信道资料数字签名(可能情况下):Enable。
3.13 交互式登录:不显示用户的名称:Enable。
3.14 交互式登录:用户试图登录的消息文本:默认。
3.15 交互式登录:用户试图登录的消息标题:默认。
3.16 交互式登录:缓存中的已登录数(如果域控制器不可用):10
3.17 Microsoft网络客户端:数字签名通讯(总是):Disable。
3.18 Microsoft网络客户端:数字签名通讯(如果服务器允许):Enable。
3.19 Microsoft网络客户端:发送未加密的密码连接第三方的SMB服务器:Disable。
3.20 Microsoft网络服务器:挂起会话前所需的空闲时间:15分钟。
3.21 Microsoft网络服务器:数字签名通讯(总是):Disable。
3.22 Microsoft网络服务器:数字化的签名通讯(如果客户机允许):Enable。
3.23 网络访问:不允许匿名列举SAM账户和共享:Enable。
3.24 网络安全:登录时间过期时强制注销:不配置。
3.25 关机:允许无需登录而关闭系统:Disable。
3.26 关机:清除虚拟内存页面文件:Enable。
3.27 限制如COM1等共享资源的管理:Disable。
3.28 加密系统分区(针对RISC平台):不配置。
3.29 发送低级LanMan兼容密码:As Request。
三 事件日志
1. 应用程序日志大小的最大值:10000Kbyte。
2. 安全日志的最大值:10000Kbyte。
3. 系统日志的最大值:10000Kbyte。
4. 防止本地来宾组访问应用程序日志:Enable。
5. 防止本地来宾组访问安全日志:Enable。
6. 防止本地来宾组访问系统日志:Enable。
7. 保留应用程序日志:7天。
8. 保留安全日志:7天。
9. 保留系统日志:7天。
10. 应用程序日志的保留方法:Do not overwrite events(clean log manually)。
11. 安全日志的保留方法:Do not overwrite events(clean log manually)。
12. 系统日志的保留方法:Do not overwrite events(clean log manually)。
13. 当安全审核日志变满时关闭系统:Disable。
四 受限制的组
默认。
五 系统服务
服务名字(SERVICE_NAME) 服务显示名字(DISPLAY_NAME) 缺省 安全配置
Alerter Alerter
Browser Computer Browser Enable
ClipSrv ClipBook Server
DHCP DHCP Client
EventLog EventLog Enable
EventSystem COM+ Event System
GOPHERSVC Gopher Publishing Service
LanmanServer Server Enable
LanmanWorkstation Workstation Enable
LicenseService License Logging Service
LmHosts TCP/IP NetBIOS Helper Enable
Messenger Messenger
MSDTC MSDTC
MSFTPSVC FTP Publishing Service
MSSQLServer MSSQLServer
NetDDE Network DDE
NetDDEdsdm Network DDE DSDM
Netlogon Net Logon Enable
NtLmSsp NT LM Security Support Provider Enable
PlugPlay Plug and Play
ProtectedStorage Protected Storage
Replicator Directory Replicator
RPCLOCATOR Remote Procedure Call (RPC) Locator Enable
RpcSs Remote Procedure Call (RPC) Service Enable
Schedule Task Scheduler
SENS System Event Notification
Spooler Spooler Enable
SQLServerAgent SQLServerAgent
TapiSrv Telephony Service
W3SVC World Wide Web Publishing Service
六 注册表
应用服务器安全级别模版(Windwos NT 4.0 Resource Kit自带)。
七 文件系统
应用服务器安全级别模版(Windwos Windwos NT 4.0 Resource Kit自带)。
八 参考文献
1) 《Microsoft Security Configuration Manager for Windows NT 4.0》
...全文
请发表友善的回复…
发表回复
