2008 non-R2

<p><strong>1.&nbsp;概述</strong></p> <p>本文档提供了有关为Microsoft Windows Server建立安全配置状态的说明性指导。</p> <p>&nbsp;</p> <p><strong>2.&nbsp;密码策略</strong></p> <p><strong>(1)设置密码长度</strong></p> <p>密码攻击的类型包括字典攻击(试图使用常用词语和短语)和暴力攻击(试图使用每种可能的字符组合)。此外,攻击者有时会尝试获取帐户数据库,以便他们可以使用工具来发现帐户和密码。在Microsoft Windows 2000或更高版本中,密码短语可能很长并且可以包含空格。因此,诸如&ldquo;我想喝5元奶昔&rdquo;之类的短语是有效的密码短语; 它是一个比8或10个字符的随机数字和字母更强的密码,但更容易记住。必须教育用户正确选择和维护密码,尤其是密码长度。在企业环境中,&ldquo;最小密码长度&rdquo;设置的理想值为8-12个字符,但您应调整此值以满足组织的要求。</p> <p>此设置的建议状态为:8或更多字符。</p> <p><strong>修复:</strong></p> <p>要通过GPEDIT.MSC建立建议的配置,请将以下UI路径设置为8个或更多字符:</p> <table border="1" cellpadding="0" cellspacing="0"> <tbody> <tr> <td style="vertical-align:top"> <p>Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy\Minimum password length</p> </td> </tr> </tbody> </table> <p><strong>默认值:</strong></p> <p>0个字符。</p> <p><strong>(2)启用&ldquo;密码必须符合复杂性要求&rdquo;</strong></p> <p>使用几种公开可用的工具可以非常容易地发现仅包含字母数字字符的密码。此策略设置检查所有新密码,以确保它们符合强密码的基本要求。</p> <p>启用此策略后,密码必须满足以下最低要求:</p> <ul> <li>不包含用户的帐户名称或超过两个连续字符的用户全名部分</li> <li>长度至少为六个字符</li> </ul> <p>包含以下四个字符中的三个字符类别:</p> <ul> <li>英文大写字母(A到Z)</li> <li>英文小写字母(a到z)</li> <li>基数10位数(0到9)</li> <li>非字母字符(例如,!,$,#,%)</li> </ul> <p>密码中的每个附加字符都会以指数方式增加其复杂性。例如,七个字符的全小写字母密码将具有267(大约8 x 109或80亿)个可能的组合。在每秒1,000,000次尝试(许多密码破解实用程序的功能),它只需要133分钟才能破解。带有区分大小写的七字符字母密码有527种组合。没有标点符号的七个字符区分大小写的字母数字密码有627种组合。八个字符的密码有268(或2 x 1011)种可能的组合。虽然这可能看起来很大,但每秒尝试1,000,000次,尝试所有可能的密码只需要59个小时。请记住,对于使用ALT字符和其他特殊键盘字符(如&ldquo;!&rdquo;)的密码,这些时间会显着增加。要么 &rdquo;@&rdquo;。正确使用密码设置可能有助于安装暴力攻击。</p> <p>此设置的建议状态为:启用。</p> <p><strong>修复:</strong></p> <p>要通过GPEDIT.MSC建立建议的配置,请将以下UI路径设置为&ldquo;已启用&rdquo;:</p> <table border="1" cellpadding="0" cellspacing="0"> <tbody> <tr> <td style="vertical-align:top"> <p>Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy\Password must meet complexity requirements</p> </td> </tr> </tbody> </table> <p><strong>默认值:</strong>禁用。</p> <p>&nbsp;</p> <p><strong>3. 用户权限分配</strong></p> <p><strong>(1)配置&ldquo;从网络访问此计算机&rdquo;</strong></p> <p>此策略设置允许网络上的其他用户连接到计算机。</p> <p>此设置的建议状态为:管理员,经过身份验证的用户。</p> <p><strong>修复:</strong></p> <p>要通过GPEDIT.MSC建立建议的配置,请配置以下UI路径:</p> <table border="1" cellpadding="0" cellspacing="0"> <tbody> <tr> <td style="vertical-align:top"> <p>Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Access this computer from the network</p> </td> </tr> </tbody> </table> <p><strong>默认值:</strong></p> <p>管理员,备份操作员,用户,所有人。</p> <p><strong>(2)设置&ldquo;允许本地登录&rdquo;仅为&ldquo;管理员&rdquo;</strong></p> <p><strong>描述:</strong></p> <p>具有&ldquo;允许本地登录&rdquo;用户权限的任何帐户都可以在计算机的控制台上登录。 如果您不将此用户权限限制为需要能够登录计算机控制台的合法用户,则未经授权的用户可以下载并运行恶意软件以提升其权限。</p> <p>此设置的建议状态为:管理员。</p> <p><strong>修复:</strong></p> <p>要通过GPEDIT.MSC建立建议的配置,请配置以下UI路径:</p> <table border="1" cellpadding="0" cellspacing="0"> <tbody> <tr> <td style="vertical-align:top"> <p>Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Allow log on locally</p> </td> </tr> </tbody> </table> <p><strong>默认值:</strong></p> <p>管理员,备份操作员,高级用户,用户,访客。</p> <p>&nbsp;</p> <p><strong>4. 登录安全选项</strong></p> <p><strong>(1)启用&ldquo;不显示上次用户名&rdquo;</strong></p> <p><strong>描述:</strong></p> <p>此策略设置确定登录到组织中的客户端计算机的最后一个用户的帐户名是否将显示在每台计算机的相应Windows登录屏幕中。启用此策略设置可防止入侵者从组织中的台式机或笔记本电脑的屏幕上直观地收集帐户名称。</p> <p>此设置的建议状态为:启用。</p> <p><strong>检测:</strong></p> <p>可前往&ldquo;修复&rdquo;部分中阐明的UI路径确认其按照规定设置,此组策略设置由以下注册表位置支持:</p> <table border="1" cellpadding="0" cellspacing="0"> <tbody> <tr> <td style="vertical-align:top"> <p>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System:</p> <p>DontDisplayLastUserName</p> </td> </tr> </tbody> </table> <p><strong>修复:</strong></p> <p>要通过GPEDIT.MSC建立建议的配置,请将以下UI路径设置为启用:</p> <table border="1" cellpadding="0" cellspacing="0" style="width:0px"> <tbody> <tr> <td style="vertical-align:top"> <p>Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Interactive logon: Do not display last user name</p> </td> </tr> </tbody> </table> <p><strong>影响:</strong>成功登录的最后一个用户的名称不会显示在Windows登录屏幕中。</p> <p><strong>默认值:</strong>禁用。(登录的最后一个用户的名称显示在Windows登录屏幕中。)</p> <p>&nbsp;</p> <p><strong>5. Windows组件</strong></p> <p><strong>(1)事件日志服务建议</strong></p> <p>如果未记录应用日志,则可能难以或不可能确定系统问题的根本原因或恶意用户的未授权活动。建议&ldquo;应用程序:指定最大日志文件大小(KB)&rdquo;设置为&ldquo;已启用:81,920或更高。可根据磁盘空间配置日志文件大小,记录的日志越多越好。建议同时也设置安全事件日志、安装事件日志、系统事件日志空间。</p> <p><strong>检测:</strong></p> <p>前往&ldquo;修复&rdquo;部分中明确指出的UI路径,并确认其按照规定设置。此组策略设置由以下注册表位置支持:</p> <table border="1" cellpadding="0" cellspacing="0"> <tbody> <tr> <td style="vertical-align:top"> <p>HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\EventLog\Application:MaxSize</p> </td> </tr> </tbody> </table> <p><strong>修复:</strong></p> <p>要通过GPEDIT.MSC建立建议的配置,请将以下组策略设置为&ldquo;已启用&rdquo;:81,920或更高版本:</p> <table border="1" cellpadding="0" cellspacing="0"> <tbody> <tr> <td style="vertical-align:top"> <p>Computer Configuration\Policies\Administrative Templates\Windows Components\Event Log Service\Application\Specify the maximum log file size(KB)</p> </td> </tr> </tbody> </table> <p><strong>影响:</strong></p> <p>当事件日志填满容量时,它们将停止记录信息,除非设置了每个的保留方法,以便计算机将覆盖最旧的条目和最新的条目。为了降低丢失最新数据的风险,您可以配置保留方法,以便根据需要覆盖旧事件。</p> <p>此配置的结果是将从日志中删除旧事件。攻击者可以利用这样的配置,因为他们可以生成大量无关事件来覆盖其攻击的任何证据。如果自动化事件日志数据的归档和备份,则可以稍微降低这些风险。</p> <p>理想情况下,应将所有特定监视的事件发送到使用Microsoft System Center Operations Manager(SCOM)或其他一些自动监视工具的服务器。这样的配置特别重要,因为成功破坏服务器的攻击者可以清除安全日志。如果所有事件都发送到监视服务器,那么您将能够收集有关攻击者活动的取证信息。</p> <p><strong>默认值:</strong></p> <p>禁用。(默认日志大小为20,480 KB - 本地管理员可以使用&ldquo;日志属性&rdquo;对话框更改此值。)</p> <p><strong>(2)远程桌面连接客户端</strong></p> <p><strong>1)允许保存密码&rdquo;设置为&ldquo;启用&rdquo;</strong></p> <p>具有物理访问权限的攻击者可能会破坏保护密码的保护。攻击者破坏用户的帐户并连接到他们的计算机可以使用保存的密码来访问其他主机。此策略设置有助于防止远程桌面服务/终端服务客户端在计算机上保存密码。</p> <p>此设置的建议状态为:启用。</p> <p>注意:如果此策略设置先前已配置为&ldquo;已禁用&rdquo;或&ldquo;未配置&rdquo;,则在第一次终端服务客户端与任何服务器断开连接时,将删除以前保存的所有密码。</p> <p><strong>检测:</strong></p> <p>前往&ldquo;修复&rdquo;部分中明确指出的UI路径,并确认其按照规定设置。此组策略设置由以下注册表位置支持:</p> <table border="1" cellpadding="0" cellspacing="0"> <tbody> <tr> <td style="vertical-align:top"> <p>HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal</p> <p>Services:DisablePasswordSaving</p> </td> </tr> </tbody> </table> <p><strong>修复:</strong></p> <p>要通过GPEDIT.MSC建立建议的配置,请将以下UI路径设置为启用:</p> <table border="1" cellpadding="0" cellspacing="0"> <tbody> <tr> <td style="vertical-align:top"> <p>Computer Configuration\Policies\Administrative Templates\Windows</p> <p>Components\Remote Desktop Services\Remote Desktop Connection Client\Do not</p> <p>allow passwords to be saved</p> </td> </tr> </tbody> </table> <p><strong>影响:</strong>远程桌面服务/终端服务客户端将禁用密码保存复选框,用户将无法保存密码。</p> <p><strong>默认值:</strong>禁用。(用户可以使用远程桌面连接保存密码。)</p> <p><strong>2)&ldquo;连接时始终提示输入密码&rdquo;设置为&ldquo;已启用&rdquo;</strong></p> <p>用户可以选择在创建新的远程桌面连接快捷方式时存储用户名和密码。如果运行终端服务的服务器允许使用此功能的用户登录服务器但不输入密码,那么获得对用户计算机的物理访问权限的攻击者可能会通过该服务器连接到终端服务器。远程桌面连接快捷方式,即使他们可能不知道用户的密码。</p> <p>此策略设置指定终端服务是否始终在连接时提示客户端计算机输入密码。 您可以使用此策略设置为登录到终端服务的用户强制执行密码提示,即使他们已在远程桌面连接客户端中提供了密码。</p> <p>此设置的建议状态为:启用。</p> <p><strong>检测:</strong></p> <p>前往&ldquo;修复&rdquo;部分中明确指出的UI路径,并确认其按照规定设置。此组策略设置由以下注册表位置支持:</p> <table border="1" cellpadding="0" cellspacing="0"> <tbody> <tr> <td style="vertical-align:top"> <p>HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal</p> <p>Services:fPromptForPassword</p> </td> </tr> </tbody> </table> <p><strong>修复:</strong></p> <p>要通过GPEDIT.MSC建立建议的配置,请将以下UI路径设置为启用:</p> <table border="1" cellpadding="0" cellspacing="0"> <tbody> <tr> <td style="vertical-align:top"> <p>Computer Configuration\Policies\Administrative Templates\Windows</p> <p>Components\Remote Desktop Services\Remote Desktop Session</p> <p>Host\Security\Always prompt for password upon connection</p> </td> </tr> </tbody> </table> <p><strong>影响:</strong>用户无法通过在远程桌面连接客户端中提供密码自动登录到终端服务。系统将提示他们输入密码进行登录。</p> <p><strong>默认值:</strong>禁用。(远程桌面服务/终端服务允许用户在远程桌面连接客户端中输入密码时自动登录。)</p>
以上内容是否解决了您的问题?
请补全提交信息!
咨询·建议

电话咨询

400-151-8800

邮件咨询

cloud@pingan.com

在线客服

工单支持

解决云产品相关技术问题