终端安全设置细则

2008-05-13

1                  基础操作

1.1        注册表

Windows   2000/XP/2003 系统中,系统默认已经安装了注册表编辑程序,在“开始”菜单中,单击“运行”选项,在打开的对话框中输入“regedit”并确定,即可运行注册表编辑程序。

1.2        组策略

注册表是Windows系统中保存系统软件和应用软件配置的数据库,而随着Windows功能越来越丰富,注册表里的配置项目也越来越多,很多配置都可以自定义设置,但这些配置分布在注册表的各个角落,手工配置将十分困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供用户直接使用,从而达到方便管理计算机的目的。其实简单地说,组策略设置就是在修改注册表中的配置。当然,组策略使用了更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。

Windows   2000/XP/2003 系统中,系统默认已经安装了组策略程序,在“开始”菜单中,单击“运行”选项,在打开的对话框中输入“gpedit.msc”并确定,即可运行组策略。

1.3        备注

完成所有设置后,必须重新启动机器,设置内容才能生效。

2                  操作系统安全设置

2.1        帐户安全

1)密码策略

在组策略左边框中依次找到 计算机配置 ”――“ Windows 设置 ”――“ 安全设置 ”―― “帐户策略” ―― “ 密码策略”,然后在右边的边框中双击并设置相应的策略。密码复杂性要求启用; 密码长度最小值6 ; 最长存留期30 天。

2)账户锁定策略

在组策略左边框中依次找到 计算机配置 ”――“ Windows 设置 ”――“ 安全设置 ”―― “帐户策略” ―― “账户锁定策略”,然后在右边的边框中双击并设置相应的策略。账户锁定3 次错误; 登录锁定时间20分钟 ; 复位锁定计数20分钟 。

2.2        系统安全与限制

1)禁止查看指定磁盘驱动器的内容

如果某个磁盘驱动器中存放了重要的数据,不希望用户查看该驱动器的内容,可以使用此方法来禁止查看该驱动器的内容。打开注册表编辑器,新建一个双字节(REG_DWORD)值项HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrent VersionPoliciesExplorerNoViewOnDrive。该值项从最低位(0)到第25位,共26个字位,分别代表驱动器A到驱动器Z。例如我们想禁止用户使用软盘驱动器AB,以及驱动器D,可以修改“NoViewOnDrive”的值为“0000000b?013位的值为1)。修改后需要重启桌面使更改生效。这时再进入到“我的电脑”,双击驱动器D,系统会弹出一个消息框,告诉用户不能进行此操作。但是应用程序仍然可以访问被禁止的驱动器。被禁止的驱动器图标并没有被删除,仍然出现在“我的电脑”和“资源管理器”中。

2)隐藏指定的驱动器(注册表)

选择“本地机器上的HKEY_CURRENT_USER”子窗口,定位到HKEY_CURRENT_USER\Software\Microsoft\

Windows\CurrentVersion\Policies\Explorer 分支,再选择“编辑”菜单下的“添加数值”命令,弹出添加数值窗口。在数值名称中输入“NoDrives”的数据类型下拉列表框中选择“REG_DWORD”,单击“确定”按钮。在接下来弹出的DWORD值编辑器对话框的“基数”分组框中选择“十进制”单选钮,在“数据”编辑框中输入你要隐藏的驱动器号并确定,重新启动系统相应的驱动器即被隐藏。注意:在这里使用2N次方(N=123,……)来代表一个驱动器号,如:A 1, B 2, C 4, D 8, E 16, F 32, G 64……还有,如果你要隐藏ABC三个驱动器,输入7即可,因为7=124

2.3        应用软件安全

1阻止访问注册表编辑工具

在组策略左边框中依次找到 用户配置 ”――“ 管理模板 ”―― “系统”,然后在右边的边框中找到并双击 阻止访问注册表编辑工具 ,在弹出的窗口中把它设置为 已启用

2)只运行许可的Windows应用程序

在组策略左边框中依次找到 用户配置 ”――“ 管理模板 ”―― “系统”,然后在右边的边框中找到并双击 只运行许可的Windows应用程序 ,在弹出的窗口中把它设置为 已启用 ,并单击 显示 按钮,在打开的对话框中单击 添加 按钮,然后输入应用程序的执行文件名称。

3)删除任务管理器

在组策略左边框中依次找到 用户配置 ”――“ 管理模板 ”―― “系统” ―― Ctrl+Alt+Del选项”,然后在右边的边框中找到并双击 删除任务管理器 ,在弹出的窗口中把它设置为 已启用

2.4        网络安全

1)禁止安装和卸载网络协议

在组策略左边框中依次找到 用户配置 ”――“ 管理模板 ”――“ 网络 ”――“ 网络连接 ,然后在右边的边框中找到并双击 禁止添加或删除用于 LAN 连接或远程访问连接的组件 ,在弹出的窗口中把它设置为 已启用

2)禁止TCP/IP协议高级选项

在组策略左边框中依次找到 用户配置 ”――“ 管理模板 ”――“ 网络 ”――“ 网络连接 ,然后在右边的边框中找到并双击 禁用TCP/IP高级配置 ,在弹出的窗口中把它设置为 已启用

3)禁止访问网络协议属性

在组策略左边框中依次找到 用户配置 ”――“ 管理模板 ”――“ 网络 ”――“ 网络连接 ,然后在右边的边框中找到并双击 禁止访问LAN连接组件的属性 ,在弹出的窗口中把它设置为 已启用

4)为管理员启动Windows 2000网络连接设置

在组策略左边框中依次找到 用户配置 ”――“ 管理模板 ”――“ 网络 ”――“ 网络连接 ,然后在右边的边框中找到并双击 为管理员启动Windows 2000网络连接设置 ,在弹出的窗口中把它设置为 已启用

2.5        安全审核

在组策略左边框中依次找到 计算机配置 ”――“ Windows 设置 ”――“ 安全设置 ”――“ 本地策略 ”―― “审核策略”,然后在右边的边框中双击相应的审核, 设置审核的操作。推荐的审核是: 账户管理为成功、失败; 登录事件为成功、失败; 对象访问为失败;策略更改为成功、失败; 特权使用为失败; 系统事件为成功、失败; 目录服务访问为失败; 账户登录事件为成功、失败。

2.6        资源安全

1)右键点击每个分区(C 盘、D 盘等) 选属性- 安全- 删除Everyone User s (每个分区都删除)

2)建立一个记事本, 填上以下代码, 保存为批处理文件中,并加到启动项目。

net share c / del

net share d / del

net share e / del

net share f / del

net share ipc / del

net share admin / del

以上代码表示关闭admin C D $等, IPC$允许匿名用户(即未经登录的用户) 访问。

2.7        服务安全

在系统服务中,停用并禁止名称为WorkstationServerMessengerRemote RegistryAutomatic UpdatesDHCP ClientDNS Client的服务。

3                  主机安全策略

按照以下要求制定主机策略集,下发给所有内部终端。

1)登录终端系统时,使用电子钥匙验证用户身份;

2)用户离开终端时拔走钥匙,系统自动锁定;

3)系统启动时禁止进入安全模式;

4)禁止使用USB存储设备(含U盘、移动硬盘)、光驱、软驱等外部设备;

5)系统禁止接入其他网络。

4                  BIOS 安全设置

针对Dell系列台式机进行以下的BIOS安全设置:

1)修改BIOS必须输入密码,密码应具有相当强度;

2)禁止从网络、光驱、USB存储设备引导系统。