2012 non-R2
<p><strong>1. 概述</strong></p>
<p>本文档提供了有关为Microsoft Windows Server建立安全配置状态的说明性指导。</p>
<p> </p>
<p><strong>2. 密码策略</strong></p>
<p>本节包含密码策略的建议。</p>
<p><strong>(1)设置密码长度</strong></p>
<p>密码攻击的类型包括字典攻击(试图使用常用词语和短语)和暴力攻击(试图使用每种可能的字符组合)。此外,攻击者有时会尝试获取帐户数据库,以便他们可以使用工具来发现帐户和密码。此策略设置确定组成用户帐户密码的最少字符数。关于如何确定组织的最佳密码长度有许多不同的理论,但也许“密码短语”是比“密码”更好的术语。在Microsoft Windows 2000或更高版本中,密码短语可能很长并且可以包含空格。因此,诸如“我想喝5元奶昔”之类的短语是有效的密码短语;它是一个比8或10个字符的随机数字和字母更强的密码,但更容易记住。在企业环境中,“最小密码长度”设置的理想值为8个字符,但您应调整此值以满足组织的业务要求。</p>
<p>此设置的建议状态为:8或更多字符。</p>
<p><strong>修复:</strong></p>
<p>要通过GPEDIT.MSC建立建议的配置,请将以下UI路径设置为8个或更多字符:</p>
<table border="1" cellpadding="0" cellspacing="0">
<tbody>
<tr>
<td style="vertical-align:top">
<p>Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy\Minimum password length</p>
</td>
</tr>
</tbody>
</table>
<p><strong>默认值:</strong>0个字符。</p>
<p><strong>(2)启用“密码必须符合复杂性要求”</strong></p>
<p>使用几种公开可用的工具可以非常容易地发现仅包含字母数字字符的密码。此策略设置检查所有新密码,以将它们符合强密码的基本要求。</p>
<p>启用此策略后,密码必须满足以下最低要求:</p>
<ul>
<li>不包含用户的帐户名称或超过两个连续字符的用户全名部分</li>
<li>长度至少为六个字符</li>
</ul>
<p>包含以下四个字符中的三个字符类别:</p>
<ul>
<li>英文大写字母(A到Z)</li>
<li>英文小写字母(a到z)</li>
<li>基数10位数(0到9)</li>
<li>非字母字符(例如,!,$,#,%)</li>
</ul>
<p>密码中的每个附加字符都会以指数方式增加其复杂性。例如,七个字符的全小写字母密码将具有267(大约8 x 109或80亿)个可能的组合。在每秒1,000,000次尝试(许多密码破解实用程序的功能),它只需要133分钟才能破解。带有区分大小写的七字符字母密码有527种组合。没有标点符号的七个字符区分大小写的字母数字密码有627种组合。八个字符的密码有268(或2 x 1011)种可能的组合。虽然这可能看起来很大,但每秒尝试1,000,000次,尝试所有可能的密码只需要59个小时。请记住,对于使用ALT字符和其他特殊键盘字符(如“!”)的密码,这些时间会显着增加。要么 ”@”。正确使用密码设置可能有助于安装暴力攻击。</p>
<p>此设置的建议状态为:开启。</p>
<p><strong>修复:</strong></p>
<p>要通过GPEDIT.MSC建立建议的配置,请将以下UI路径设置为“已启用”:</p>
<table border="1" cellpadding="0" cellspacing="0">
<tbody>
<tr>
<td style="vertical-align:top">
<p>Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy\Password must meet complexity requirements</p>
</td>
</tr>
</tbody>
</table>
<p><strong>影响:</strong>使用ALT键字符组合可以极大地增强密码的复杂性。</p>
<p><strong>默认值:</strong>禁用。</p>
<p> </p>
<p><strong>3. 用户权限分配</strong></p>
<p>本节包含有关用户权限分配的建议。</p>
<p><strong>(1)配置“从网络访问此计算机”</strong></p>
<p>可以从其计算机连接到网络的用户可以访问他们有权访问的目标计算机上的资源。此策略设置允许网络上的其他用户连接到计算机。</p>
<p>此设置的建议状态为:管理员,经过身份验证的用户。</p>
<p><strong>修复:</strong></p>
<p>要通过GPEDIT.MSC建立建议的配置,请配置以下UI路径:</p>
<table border="1" cellpadding="0" cellspacing="0">
<tbody>
<tr>
<td style="vertical-align:top">
<p>Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Access this computer from the network</p>
</td>
</tr>
</tbody>
</table>
<p><strong>默认值:</strong>管理员,备份操作员,用户,所有人。</p>
<p><strong>(2)设置“允许本地登录”为“管理员”</strong></p>
<p>具有“允许本地登录”用户权限的任何帐户都可以在计算机的控制台上登录。 如果您不将此用户权限限制为需要能够登录计算机控制台的合法用户,则未经授权的用户可以下载并运行恶意软件以提升其权限。</p>
<p>此设置的建议状态为:管理员。</p>
<p><strong>修复:</strong></p>
<p>要通过GPEDIT.MSC建立建议的配置,请配置以下UI路径:</p>
<table border="1" cellpadding="0" cellspacing="0">
<tbody>
<tr>
<td style="vertical-align:top">
<p>Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Allow log on locally</p>
</td>
</tr>
</tbody>
</table>
<p><strong>默认值:</strong>管理员,备份操作员,高级用户,用户,访客。</p>
<p> </p>
<p><strong>4. 登录安全选项</strong></p>
<p><strong>(1)启用“不显示上次用户名”</strong></p>
<p>可以访问控制台的攻击者(例如,具有物理访问权限的人或能够通过终端服务连接到服务器的人)可以查看登录到服务器的最后一个用户的名称。然后,攻击者可以尝试猜测密码,使用字典或使用暴力攻击来尝试登录。此策略设置确定登录到组织中的客户端计算机的最后一个用户的帐户名是否将显示在每台计算机的相应Windows登录屏幕中。启用此策略设置可防止入侵者从组织中的台式机或笔记本电脑的屏幕上直观地收集帐户名称。</p>
<p>此设置的建议状态为:开启。</p>
<p><strong>检测:</strong></p>
<p>可前往“修复”部分中阐明的UI路径确认其按照规定设置,此组策略设置由以下注册表位置支持:</p>
<table border="1" cellpadding="0" cellspacing="0">
<tbody>
<tr>
<td style="vertical-align:top">
<p>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System:</p>
<p>DontDisplayLastUserName</p>
</td>
</tr>
</tbody>
</table>
<p><strong>修复:</strong></p>
<p>要通过GPEDIT.MSC建立建议的配置,请将以下UI路径设置为开启:</p>
<table border="1" cellpadding="0" cellspacing="0" style="width:0px">
<tbody>
<tr>
<td style="vertical-align:top">
<p>Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Interactive logon: Do not display last user name</p>
</td>
</tr>
</tbody>
</table>
<p><strong>影响:</strong>成功登录的最后一个用户的名称不会显示在Windows登录屏幕中。</p>
<p><strong>默认值:</strong>禁用。(登录的最后一个用户的名称显示在Windows登录屏幕中。)</p>
<p><strong>(2)启用“不显示密码显示按钮”</strong></p>
<p>输入长而复杂的密码时,这是一项非常有用的功能,尤其是在使用触摸屏时。 潜在的风险是,其他人可能会在偷偷观察您的屏幕时看到您的密码。此策略设置允许您在密码输入用户体验中配置密码显示按钮的显示。</p>
<p>此设置的建议状态为:已启用。</p>
<p><strong>检测:</strong></p>
<p>前往“修复”部分中明确指出的UI路径,并确认其按照规定设置。此组策略设置由以下注册表位置支持:</p>
<table border="1" cellpadding="0" cellspacing="0">
<tbody>
<tr>
<td style="vertical-align:top">
<p>HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredUI:DisablePassword</p>
<p>Reveal</p>
</td>
</tr>
</tbody>
</table>
<p><strong>修复:</strong></p>
<p>要通过GPEDIT.MSC建立建议的配置,请将以下UI路径设置为启用:</p>
<table border="1" cellpadding="0" cellspacing="0">
<tbody>
<tr>
<td style="vertical-align:top">
<p>Computer Configuration\Policies\Administrative Templates\Windows Components\Credential User Interface\Do not display the password reveal button</p>
</td>
</tr>
</tbody>
</table>
<p><strong>影响:</strong>用户在密码输入文本框中键入密码后,将不会显示密码显示按钮。</p>
<p><strong>默认值:</strong>禁用。(用户在密码输入文本框中输入密码后显示密码显示按钮。如果用户点击该按钮,则输入的密码将以明文形式显示在屏幕上。)</p>
<p><strong>(3)禁用“不要求CTRL + ALT + DEL”</strong></p>
<p>Microsoft开发此功能是为了让具有某些类型的物理损伤的用户更容易登录到运行Windows的计算机。如果用户不需要按CTRL + ALT + DEL,则他们很容易受到试图拦截其密码的攻击。如果在登录前需要CTRL + ALT + DEL,则通过可信路径传递用户密码。</p>
<p>攻击者可以安装类似于标准Windows登录对话框的特洛伊木马程序并捕获用户的密码。然后,攻击者可以使用用户拥有的任何级别的权限登录受感染的帐户。</p>
<p>此策略设置确定用户在登录前是否必须按CTRL + ALT + DEL。</p>
<p>此设置的建议状态为:禁用。</p>
<p><strong>检测:</strong></p>
<p>可前往“修复”部分中阐明的UI路径确认其按照规定设置,此组策略设置由以下注册表位置支持:</p>
<table border="1" cellpadding="0" cellspacing="0">
<tbody>
<tr>
<td style="vertical-align:top">
<p>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System:</p>
<p>DisableCAD</p>
</td>
</tr>
</tbody>
</table>
<p><strong>修复:</strong></p>
<p>要通过GPEDIT.MSC建立建议的配置,请将以下UI路径设置为禁用:</p>
<table border="1" cellpadding="0" cellspacing="0" style="width:0px">
<tbody>
<tr>
<td style="vertical-align:top">
<p>Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Interactive logon: Do not require CTRL+ALT+DEL</p>
</td>
</tr>
</tbody>
</table>
<p><strong>默认值:</strong>在Windows Server 2008 R2或更早版本上:已禁用。在Windows Server 2012(非R2)或更新版本:已启用。</p>
<p> </p>
<p><strong>5. Windows组件</strong></p>
<p><strong>(1)事件日志服务建议</strong></p>
<p>如果未记录应用日志,则可能难以或不可能确定系统问题的根本原因或恶意用户的未授权活动。建议“应用程序:指定最大日志文件大小(KB)”设置为“已启用:81,920或更高。可根据磁盘空间配置日志文件大小,记录的日志越多越好。建议同时也设置安全事件日志、安装事件日志、系统事件日志空间。</p>
<p><strong>检测:</strong></p>
<p>前往“修复”部分中明确指出的UI路径,并确认其按照规定设置。此组策略设置由以下注册表位置支持:</p>
<table border="1" cellpadding="0" cellspacing="0">
<tbody>
<tr>
<td style="vertical-align:top">
<p>HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\EventLog\Application:MaxSize</p>
</td>
</tr>
</tbody>
</table>
<p><strong>修复:</strong></p>
<p>要通过GPEDIT.MSC建立建议的配置,请将以下组策略设置为“已启用”:81,920或更高版本:</p>
<table border="1" cellpadding="0" cellspacing="0">
<tbody>
<tr>
<td style="vertical-align:top">
<p>Computer Configuration\Policies\Administrative Templates\Windows Components\Event Log Service\Application\Specify the maximum log file size(KB)</p>
</td>
</tr>
</tbody>
</table>
<p><strong>影响:</strong></p>
<p>当事件日志填满容量时,它们将停止记录信息,除非设置了每个的保留方法,以便计算机将覆盖最旧的条目和最新的条目。为了降低丢失最新数据的风险,您可以配置保留方法,以便根据需要覆盖旧事件。</p>
<p>此配置的结果是将从日志中删除旧事件。攻击者可以利用这样的配置,因为他们可以生成大量无关事件来覆盖其攻击的任何证据。如果自动化事件日志数据的归档和备份,则可以稍微降低这些风险。</p>
<p>理想情况下,应将所有特定监视的事件发送到使用Microsoft System Center Operations Manager(SCOM)或其他一些自动监视工具的服务器。这样的配置特别重要,因为成功破坏服务器的攻击者可以清除安全日志。如果所有事件都发送到监视服务器,那么您将能够收集有关攻击者活动的取证信息。</p>
<p><strong>默认值:</strong></p>
<p>禁用。(默认日志大小为20,480 KB - 本地管理员可以使用“日志属性”对话框更改此值。)</p>
<p><strong>(2)远程桌面连接客户端</strong></p>
<p><strong>1)“不允许保存密码”设置为“启用”</strong></p>
<p>此策略设置有助于防止远程桌面服务/终端服务客户端在计算机上保存密码。</p>
<p>此设置的建议状态为:启用。</p>
<p>注意:如果此策略设置先前已配置为“已禁用”或“未配置”,则在第一次终端服务客户端与任何服务器断开连接时,将删除以前保存的所有密码。</p>
<p><strong>检测:</strong></p>
<p>前往“修复”部分中明确指出的UI路径,并确认其按照规定设置。此组策略设置由以下注册表位置支持:</p>
<table border="1" cellpadding="0" cellspacing="0">
<tbody>
<tr>
<td style="vertical-align:top">
<p>HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services:DisablePasswordSaving</p>
</td>
</tr>
</tbody>
</table>
<p><strong>修复:</strong></p>
<p>要通过GPEDIT.MSC建立建议的配置,请将以下UI路径设置为启用:</p>
<table border="1" cellpadding="0" cellspacing="0">
<tbody>
<tr>
<td style="vertical-align:top">
<p>Computer Configuration\Policies\Administrative Templates\Windows</p>
<p>Components\Remote Desktop Services\Remote Desktop Connection Client\Do not allow passwords to be saved</p>
</td>
</tr>
</tbody>
</table>
<p><strong>影响:</strong>远程桌面服务/终端服务客户端将禁用密码保存复选框,用户将无法保存密码。</p>
<p><strong>默认值:</strong>禁用。(用户可以使用远程桌面连接保存密码。)</p>
<p><strong>2)“连接时始终提示输入密码”设置为“已启用”</strong></p>
<p>用户可以选择在创建新的远程桌面连接快捷方式时存储用户名和密码。如果运行终端服务的服务器允许使用此功能的用户登录服务器但不输入密码,那么获得对用户计算机的物理访问权限的攻击者可能会通过该服务器连接到终端服务器。远程桌面连接快捷方式,即使他们可能不知道用户的密码。</p>
<p>此策略设置指定终端服务是否始终在连接时提示客户端计算机输入密码。 您可以使用此策略设置为登录到终端服务的用户强制执行密码提示,即使他们已在远程桌面连接客户端中提供了密码。</p>
<p>此设置的建议状态为:启用。</p>
<p><strong>检测:</strong></p>
<p>前往“修复”部分中明确指出的UI路径,并确认其按照规定设置。此组策略设置由以下注册表位置支持:</p>
<table border="1" cellpadding="0" cellspacing="0">
<tbody>
<tr>
<td style="vertical-align:top">
<p>HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services:fPromptForPassword</p>
</td>
</tr>
</tbody>
</table>
<p><strong>修复:</strong></p>
<p>要通过GPEDIT.MSC建立建议的配置,请将以下UI路径设置为启用:</p>
<table border="1" cellpadding="0" cellspacing="0">
<tbody>
<tr>
<td style="vertical-align:top">
<p>Computer Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Security\Always prompt for password upon connection</p>
</td>
</tr>
</tbody>
</table>
<p><strong>影响:</strong>用户无法通过在远程桌面连接客户端中提供密码自动登录到终端服务。系统将提示他们输入密码进行登录。</p>
<p><strong>默认值:</strong>禁用。(远程桌面服务/终端服务允许用户在远程桌面连接客户端中输入密码时自动登录。)</p>
提交成功!非常感谢您的反馈,我们会继续努力做到更好!