终端安全设置细则
1 基础操作
1.1 注册表
在Windows 2000/XP/2003系统中,系统默认已经安装了注册表编辑程序,在“开始”菜单中,单击“运行”选项,在打开的对话框中输入“regedit”并确定,即可运行注册表编辑程序。
1.2 组策略
注册表是Windows系统中保存系统软件和应用软件配置的数据库,而随着Windows功能越来越丰富,注册表里的配置项目也越来越多,很多配置都可以自定义设置,但这些配置分布在注册表的各个角落,手工配置将十分困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供用户直接使用,从而达到方便管理计算机的目的。其实简单地说,组策略设置就是在修改注册表中的配置。当然,组策略使用了更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。
在Windows 2000/XP/2003系统中,系统默认已经安装了组策略程序,在“开始”菜单中,单击“运行”选项,在打开的对话框中输入“gpedit.msc”并确定,即可运行组策略。
1.3 备注
完成所有设置后,必须重新启动机器,设置内容才能生效。
2 操作系统安全设置
2.1 帐户安全
(1)密码策略
在组策略左边框中依次找到“计算机配置”――“Windows设置”――“安全设置”――“帐户策略” ――“ 密码策略”,然后在右边的边框中双击并设置相应的策略。密码复杂性要求启用; 密码长度最小值6 位; 最长存留期30 天。
(2)账户锁定策略
在组策略左边框中依次找到“计算机配置”――“Windows设置”――“安全设置”――“帐户策略” ――“账户锁定策略”,然后在右边的边框中双击并设置相应的策略。账户锁定3 次错误; 登录锁定时间20分钟 ; 复位锁定计数20分钟 。
2.2 系统安全与限制
(1)禁止查看指定磁盘驱动器的内容
如果某个磁盘驱动器中存放了重要的数据,不希望用户查看该驱动器的内容,可以使用此方法来禁止查看该驱动器的内容。打开注册表编辑器,新建一个双字节(REG_DWORD)值项HKEY_CURRENT_USER\Software\Microsoft\ Windows\Current Version\Policies\Explorer\NoViewOnDrive。该值项从最低位(第0位)到第25位,共26个字位,分别代表驱动器A到驱动器Z。例如我们想禁止用户使用软盘驱动器A和B,以及驱动器D,可以修改“NoViewOnDrive”的值为“0000000b?第0、1、3位的值为1)。修改后需要重启桌面使更改生效。这时再进入到“我的电脑”,双击驱动器D,系统会弹出一个消息框,告诉用户不能进行此操作。但是应用程序仍然可以访问被禁止的驱动器。被禁止的驱动器图标并没有被删除,仍然出现在“我的电脑”和“资源管理器”中。
(2)隐藏指定的驱动器(注册表)
选择“本地机器上的HKEY_CURRENT_USER”子窗口,定位到HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\Explorer分支,再选择“编辑”菜单下的“添加数值”命令,弹出添加数值窗口。在数值名称中输入“NoDrives”的数据类型下拉列表框中选择“REG_DWORD”,单击“确定”按钮。在接下来弹出的DWORD值编辑器对话框的“基数”分组框中选择“十进制”单选钮,在“数据”编辑框中输入你要隐藏的驱动器号并确定,重新启动系统相应的驱动器即被隐藏。注意:在这里使用2的N次方(N=1,2,3,……)来代表一个驱动器号,如:A为 1, B为 2, C为 4, D为 8, E为 16, F为 32, G为 64……还有,如果你要隐藏A、B、C三个驱动器,输入7即可,因为7=1+2+4。
2.3 应用软件安全
(1)阻止访问注册表编辑工具
在组策略左边框中依次找到“用户配置”――“管理模板”――“系统”,然后在右边的边框中找到并双击“阻止访问注册表编辑工具”,在弹出的窗口中把它设置为“已启用”。
(2)只运行许可的Windows应用程序
在组策略左边框中依次找到“用户配置”――“管理模板”――“系统”,然后在右边的边框中找到并双击“只运行许可的Windows应用程序”,在弹出的窗口中把它设置为“已启用”,并单击“显示”按钮,在打开的对话框中单击“添加”按钮,然后输入应用程序的执行文件名称。
(3)删除任务管理器
在组策略左边框中依次找到“用户配置”――“管理模板”――“系统”――“Ctrl+Alt+Del选项”,然后在右边的边框中找到并双击“删除任务管理器”,在弹出的窗口中把它设置为“已启用”。
2.4 网络安全
(1)禁止安装和卸载网络协议
在组策略左边框中依次找到“用户配置”――“管理模板”――“网络”――“网络连接”,然后在右边的边框中找到并双击“禁止添加或删除用于 LAN 连接或远程访问连接的组件”,在弹出的窗口中把它设置为“已启用”。
(2)禁止TCP/IP协议高级选项
在组策略左边框中依次找到“用户配置”――“管理模板”――“网络”――“网络连接”,然后在右边的边框中找到并双击“禁用TCP/IP高级配置”,在弹出的窗口中把它设置为“已启用”。
(3)禁止访问网络协议属性
在组策略左边框中依次找到“用户配置”――“管理模板”――“网络”――“网络连接”,然后在右边的边框中找到并双击“禁止访问LAN连接组件的属性”,在弹出的窗口中把它设置为“已启用”。
(4)为管理员启动Windows 2000网络连接设置
在组策略左边框中依次找到“用户配置”――“管理模板”――“网络”――“网络连接”,然后在右边的边框中找到并双击“为管理员启动Windows 2000网络连接设置”,在弹出的窗口中把它设置为“已启用”。
2.5 安全审核
在组策略左边框中依次找到“计算机配置”――“Windows设置”――“安全设置”――“本地策略”――“审核策略”,然后在右边的边框中双击相应的审核, 设置审核的操作。推荐的审核是: 账户管理为成功、失败; 登录事件为成功、失败; 对象访问为失败;策略更改为成功、失败; 特权使用为失败; 系统事件为成功、失败; 目录服务访问为失败; 账户登录事件为成功、失败。
2.6 资源安全
(1)右键点击每个分区(C 盘、D 盘等) 选属性- 安全- 删除Everyone 和User s 组(每个分区都删除) ;
(2)建立一个记事本, 填上以下代码, 保存为批处理文件中,并加到启动项目。
net share c $/ del
net share d $/ del
net share e $/ del
net share f $/ del
net share ipc $/ del
net share admin $/ del
以上代码表示关闭admin $C $D $等, 而IPC$允许匿名用户(即未经登录的用户) 访问。
2.7 服务安全
在系统服务中,停用并禁止名称为Workstation、Server、Messenger、Remote Registry、Automatic Updates、DHCP Client、DNS Client的服务。
3 主机安全策略
按照以下要求制定主机策略集,下发给所有内部终端。
(1)登录终端系统时,使用电子钥匙验证用户身份;
(2)用户离开终端时拔走钥匙,系统自动锁定;
(3)系统启动时禁止进入安全模式;
(4)禁止使用USB存储设备(含U盘、移动硬盘)、光驱、软驱等外部设备;
(5)系统禁止接入其他网络。
4 BIOS安全设置
针对Dell系列台式机进行以下的BIOS安全设置:
(1)修改BIOS必须输入密码,密码应具有相当强度;
(2)禁止从网络、光驱、USB存储设备引导系统。
