终端安全设置细则

终端安全设置细则<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" /> 2008-05-13

1                  基础操作

1.1        注册表

在Windows   2000/XP/2003 系统中，系统默认已经安装了注册表编辑程序，在“开始”菜单中，单击“运行”选项，在打开的对话框中输入“regedit”并确定，即可运行注册表编辑程序。

1.2        组策略

注册表是Windows系统中保存系统软件和应用软件配置的数据库，而随着Windows功能越来越丰富，注册表里的配置项目也越来越多，很多配置都可以自定义设置，但这些配置分布在注册表的各个角落，手工配置将十分困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供用户直接使用，从而达到方便管理计算机的目的。其实简单地说，组策略设置就是在修改注册表中的配置。当然，组策略使用了更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。

在Windows   2000/XP/2003 系统中，系统默认已经安装了组策略程序，在“开始”菜单中，单击“运行”选项，在打开的对话框中输入“gpedit.msc”并确定，即可运行组策略。

1.3        备注

完成所有设置后，必须重新启动机器，设置内容才能生效。

2                  操作系统安全设置

2.1        帐户安全

（1）密码策略

在组策略左边框中依次找到 “ 计算机配置 ”――“ Windows 设置 ”――“ 安全设置 ”―― “帐户策略” ―― “ 密码策略”，然后在右边的边框中双击并设置相应的策略。密码复杂性要求启用; 密码长度最小值6 位; 最长存留期30 天。

（2）账户锁定策略

在组策略左边框中依次找到 “ 计算机配置 ”――“ Windows 设置 ”――“ 安全设置 ”―― “帐户策略” ―― “账户锁定策略”，然后在右边的边框中双击并设置相应的策略。账户锁定3 次错误; 登录锁定时间20分钟 ; 复位锁定计数20分钟 。

2.2        系统安全与限制

（1）禁止查看指定磁盘驱动器的内容

如果某个磁盘驱动器中存放了重要的数据，不希望用户查看该驱动器的内容，可以使用此方法来禁止查看该驱动器的内容。打开注册表编辑器，新建一个双字节(REG＿DWORD)值项HKEY＿CURRENT＿USER＼Software＼Microsoft＼ Windows＼Current Version＼Policies＼Explorer＼NoViewOnDrive。该值项从最低位(第0位)到第25位，共26个字位，分别代表驱动器A到驱动器Z。例如我们想禁止用户使用软盘驱动器A和B，以及驱动器D，可以修改“NoViewOnDrive”的值为“0000000b?第0、1、3位的值为1)。修改后需要重启桌面使更改生效。这时再进入到“我的电脑”，双击驱动器D，系统会弹出一个消息框，告诉用户不能进行此操作。但是应用程序仍然可以访问被禁止的驱动器。被禁止的驱动器图标并没有被删除，仍然出现在“我的电脑”和“资源管理器”中。

（2）隐藏指定的驱动器（注册表）

选择“本地机器上的HKEY_CURRENT_USER”子窗口，定位到HKEY_CURRENT_USER\Software\Microsoft\

Windows\CurrentVersion\Policies\Explorer 分支，再选择“编辑”菜单下的“添加数值”命令，弹出添加数值窗口。在数值名称中输入“NoDrives”的数据类型下拉列表框中选择“REG_DWORD”，单击“确定”按钮。在接下来弹出的DWORD值编辑器对话框的“基数”分组框中选择“十进制”单选钮，在“数据”编辑框中输入你要隐藏的驱动器号并确定，重新启动系统相应的驱动器即被隐藏。注意：在这里使用2的N次方（N=1，2，3，……）来代表一个驱动器号，如：A为 1, B为 2, C为 4, D为 8, E为 16, F为 32, G为 64……还有，如果你要隐藏A、B、C三个驱动器，输入7即可，因为7=1＋2＋4。

2.3        应用软件安全

（1）阻止访问注册表编辑工具

在组策略左边框中依次找到 “ 用户配置 ”――“ 管理模板 ”―― “系统”，然后在右边的边框中找到并双击 “ 阻止访问注册表编辑工具 ” ，在弹出的窗口中把它设置为 “ 已启用 ” 。

（2）只运行许可的Windows应用程序

在组策略左边框中依次找到 “ 用户配置 ”――“ 管理模板 ”―― “系统”，然后在右边的边框中找到并双击 “ 只运行许可的Windows应用程序 ” ，在弹出的窗口中把它设置为 “ 已启用 ” ，并单击 “ 显示 ” 按钮，在打开的对话框中单击 “ 添加 ” 按钮，然后输入应用程序的执行文件名称。

（3）删除任务管理器

在组策略左边框中依次找到 “ 用户配置 ”――“ 管理模板 ”―― “系统” ―― “Ctrl+Alt+Del选项”，然后在右边的边框中找到并双击 “ 删除任务管理器 ” ，在弹出的窗口中把它设置为 “ 已启用 ” 。

2.4        网络安全

（1）禁止安装和卸载网络协议

在组策略左边框中依次找到 “ 用户配置 ”――“ 管理模板 ”――“ 网络 ”――“ 网络连接 ” ，然后在右边的边框中找到并双击 “ 禁止添加或删除用于 LAN 连接或远程访问连接的组件 ” ，在弹出的窗口中把它设置为 “ 已启用 ” 。

（2）禁止TCP/IP协议高级选项

在组策略左边框中依次找到 “ 用户配置 ”――“ 管理模板 ”――“ 网络 ”――“ 网络连接 ” ，然后在右边的边框中找到并双击 “ 禁用TCP/IP高级配置 ” ，在弹出的窗口中把它设置为 “ 已启用 ” 。

（3）禁止访问网络协议属性

在组策略左边框中依次找到 “ 用户配置 ”――“ 管理模板 ”――“ 网络 ”――“ 网络连接 ” ，然后在右边的边框中找到并双击 “ 禁止访问LAN连接组件的属性 ” ，在弹出的窗口中把它设置为 “ 已启用 ” 。

（4）为管理员启动Windows 2000网络连接设置

在组策略左边框中依次找到 “ 用户配置 ”――“ 管理模板 ”――“ 网络 ”――“ 网络连接 ” ，然后在右边的边框中找到并双击 “ 为管理员启动Windows 2000网络连接设置 ” ，在弹出的窗口中把它设置为 “ 已启用 ” 。

2.5        安全审核

在组策略左边框中依次找到 “ 计算机配置 ”――“ Windows 设置 ”――“ 安全设置 ”――“ 本地策略 ”―― “审核策略”，然后在右边的边框中双击相应的审核, 设置审核的操作。推荐的审核是: 账户管理为成功、失败; 登录事件为成功、失败; 对象访问为失败;策略更改为成功、失败; 特权使用为失败; 系统事件为成功、失败; 目录服务访问为失败; 账户登录事件为成功、失败。

2.6        资源安全

（1）右键点击每个分区(C 盘、D 盘等) 选属性- 安全- 删除Everyone 和User s 组(每个分区都删除) ；

（2）建立一个记事本, 填上以下代码, 保存为批处理文件中，并加到启动项目。

net share c ＄/ del

net share d ＄/ del

net share e ＄/ del

net share f ＄/ del

net share ipc ＄/ del

net share admin ＄/ del

以上代码表示关闭admin ＄C ＄D ＄等, 而IPC＄允许匿名用户(即未经登录的用户) 访问。

2.7        服务安全

在系统服务中，停用并禁止名称为Workstation、Server、Messenger、Remote Registry、Automatic Updates、DHCP Client、DNS Client的服务。

3                  主机安全策略

按照以下要求制定主机策略集，下发给所有内部终端。

（1）登录终端系统时，使用电子钥匙验证用户身份；

（2）用户离开终端时拔走钥匙，系统自动锁定；

（3）系统启动时禁止进入安全模式；

（4）禁止使用USB存储设备（含U盘、移动硬盘）、光驱、软驱等外部设备；

（5）系统禁止接入其他网络。

4                  BIOS 安全设置

针对Dell系列台式机进行以下的BIOS安全设置：

（1）修改BIOS必须输入密码，密码应具有相当强度；

（2）禁止从网络、光驱、USB存储设备引导系统。

 

 

 

 

转载于:https://blog.51cto.com/cyberspace/83257