Windows XP系统专业人员安全指南：NIST安全配置清单

4.安装，备份，修补

这部分的指南包含在Windows XP建议执行装置、备份和修补Windows XP系统。论述了系统的风险上安装一个新的网络和因素需要考虑当分区Windows XP的硬盘。它还描述了各种安装技术,提供了指向更多信息执行它们。另一个重要的主题是Windows XP的能力来备份和恢复数据和系统配置信息。这一部分还讨论了如何更新现有的系统通过微软更新和其他的手段来确保他们运行最新服务包和修补程序。建议还提出了在辨别缺少补丁和安全配置错误的系统。.

有健全的组织应该配置管理政策,管理更改操作系统和应用程序,比如应用补丁操作系统或修改应用程序配置设置来提供更大的安全性。配置管理策略还应该解决初始安装的操作系统,每个应用程序的安装,角色、责任和流程执行和记录系统的变化所引起的升级补丁,和其他的改性方法。

4.1执行一个新的安装

本指南假定一个新的Windows XP安装从零开始被执行。如果管理员或用户升级现有的Windows安装,一些建议在本指南可能是不恰当的,可能会引起问题。因为一个机器是无担保的,非常容易受到剥削通过网络安装期间,建议所有的安装和初始修补了电脑没有连接到任何网络。如果一台计算机必须被连接到一个网络,那么建议网络被孤立,强烈保护(例如,保护着一个受信任的网络防火墙段),最大限度地减少暴露在任何安装期间的网络攻击。如果可能,最新的服务包和临界热补丁应该下载从微软的网站、存档只读的媒体,如cd - rom,保证在物理上是安全的。

4.1.1分区的建议

一个在安装过程中主要的决策是如何分区硬盘驱动器。主要考虑的是多大的磁盘驱动器,例如,分区是不推荐用于驱动低于6字节(GB)。对于更大的驱动器,应考虑下列因素:

� 多大的磁盘驱动器？

� 有多少物理驱动器并且机器有什么?

� 如果系统只有一个驱动器,有希望在OS和逻辑分离应用从数据吗?一个例子的好处是:如果操作系统需要升级和安装,数据可以很容易被保存下来

� 这台电脑的目的是什么?举例来说,如果一台计算机共享文件将被用来在一个工作组,它可能有用能够有一个单独的分区的文件共享。

� 为了(保证)冗余度有必要(如镜象数据分割到第二个驱动器)

Windows XP专业提供了一个特性称为动态磁盘的动态磁盘、分区大小可以根据需要改变。例如,管理员可以创建一个操作系统和应用程序分区和一个数据分区大容量磁盘上,留下了驱动器的空间可以为将来的分配。根据需要,管理员可以使用免费的空间来创建新的分区和扩大现有分区。这为未来的增长提供了相当大的灵活性。用户警告称,与任何其他新特性、动态磁盘应该测试使用他们之前在生产系统上。动态磁盘可能不符合某些应用程序,尤其是系统的维护和管理工具。

在安装过程中另一个重要的问题是哪种类型的文件系统为每个分区使用。NIST建议使用NTFS为每个分区,除非有特殊需要使用另一种类型的文件系统。第7.1节包含更多信息和其他文件系统的选项,NTFS

4.1.2安装方法

有几种方法可以进行视窗XP安装。本章涵盖的内容包括三个主要方法:本地安装,通过Sysprep克隆,偏远的安装服务(RIS)。

4.1.2.1本地安装

本地安装方式是指安装窗户传统的方法,如使用微软的一个CD。这是有效的只有安装一个小数量的电脑,因为它需要用户关注整个安装。当安装视窗XP从光盘时,遵循默认的步骤,除了如下:

�  为网络设置,选择自定义和禁用所有网络客户端、服务和协议不需要的。虽然这将有助于限制计算机的接触到基于网络的攻击,可以考虑每个服务的影响,因为这将禁用无意中打破需要的功能(例如,连接到远程服务器和打印机)。参见7.5节获取更多信息网络客户端、服务和协议。考虑禁用以下服务:

-微软网络用户(大多数用户将需要

-微软网络-客户(大多数用户将需要这种服务)

- NetWare的

-文件和打印机共享微软网络

- QoS包调度

- NWLink IPX / SPX / NetBIOS兼容的传输协议。

� 如果可能的话,分配一个因特网协议(IP)地址,默认网关、域名系统(DNS)服务器。

� 即使计算机将加入一个领域,选择只有在一个工作组,并改变工作组名和其他东西，而不是默认的工作组。

� 把所有environment-specific设置,如时区。

当安装提示输入帐户是补充说,只有一个账户应该添加最初。其他账户可以一直是后来补充说,一旦系统被完全修补和配置。默认情况下,在安装期间创建的帐户和内置的管理员帐户都属于Administrators组。在最初的安装后的引导,分配两个账户的强密码。下一个任务是安装最新的服务包和修补程序。只有在机器已提交到当前的补丁级别应该是连接到一个普通的网络。然后,网络可以更改配置,如加入工作站域,或者分配一个工作组来启用共享工作组资源(例如,共享目录、打印机)。其他服务在安装过程中禁用,如果需要,可以启用。它也帮助浏览列表组件的安装的Windows,确定哪些应用程序和实用工具(例如,网络游戏)是没有必要的,并删除它们。

4.1.2.2 Sysprep

Sysprep是一种工具,允许一个图像从一个Windows XP的计算机安装,称为黄金系统,克隆到多个系统联同一个克隆软件程序,如鬼或磁盘映像。这种技术可以降低用户参与安装过程大约5到10分钟开始安装。Sysprep的方法有几个好处。因为标准图像可以创建一个强大的安全配置,Sysprep减少人为错误的可能性在安装过程中。此外,Windows XP安装与Sysprep出现的更为迅速。 这是有益的,不仅为构建新系统,但也为重新安装和重新配置的操作系统和应用程序needed-for时快得多的例子,由于硬件故障或病毒感染。在准备“黄金”形象,Sysprep,同样的指导方针用于本地安装应该被使用,除了启用任何所需的服务和修补系统。同样重要的是图像媒体物理上是安全的,这样它就不会意外或故意改变

4.1.2.3远程安装服务

远程安装服务(RIS)允许计算机从网络启动,然后自动安装视窗XP的一个实例。RIS可以配置为执行过程或者一个完全自动化，要么与RISetup无人值守安装,或者,只需要很少的用户的出勤率(类似于Sysprep工具)和RIPrep。几个硬件和软件存在依赖关系,因此,微软的文件的工具应详细说明以商议如何配置这个安装方法。

RIS的方法具有相同的 Sysprep优点。RIS有额外的优点，不需要机器安装有直接获取物理安装媒体(比如,一个cd - rom)。这可以在一个SSLF理想的环境中,机器可能没有光盘驱动器。主要的缺点是,机器RIS必须连接到一个网络,而这是被安装。这将打开一个窗口的机会利用安全弱点安装前就完成了

4.2备份系统

提高数据的可用性,以防系统故障或数据腐败造成停电或其他事件,视窗XP有内置功能的备份和恢复数据和系统。默认情况下,用户运行备份或恢复向导,它能够自动化大部分的备份和恢复过程。例如,在一个备份用户被授予一些选择,包括备份当前用户的文件和设置,备份所有用户文件和设置,以及整个系统备份。这使得用户备份数据和系统无需手动指示哪些文件和目录应该要备份,如果用户的文件备份程序期望他们。要运行备份或恢复向导,执行以下步骤:

1。打开我的电脑。右键点击驱动包含的数据备份,选择“属性”。

2。点击工具标签。点击备份现在…”按钮。这个发射备份或恢复的向导

当备份执行时,结果是一个。bkf文件(备份。bkf默认情况下)。如果一个全系统备份执行,自动化系统恢复向导会提示用户插入软盘,这将会变成一个恢复的磁盘,可以使用了。恢复bkf文件系统真的失败了。顾名思义,这备份或恢复向导也可以被用来恢复备份从一个。bkf文件。这是非常重要的,备份和恢复定期验证可以成功执行,定期备份系统可能不是有益的如果备份是舞弊或错档案被备份,例如。组织应该有政策和程序，解决整个备份和恢复过程,以及保护和存储备份的媒体和恢复磁盘。因为备份可能包含敏感的用户数据以及系统配置和安全信息(例如,密码),备份媒体应得到合理保护,以防止未经授权的访问。

当备份或恢复向导运行时,它提供了一种选择选择高级模式。这个切换到备份工具界面,这就不像提供了很大的方便,但提供了更高的可制定性和更多的功能。例如,备份工具可以用来附表备份。一般来说,系统管理员更容易使用备份工具模式,而最终用户更容易使用备份或恢复向导模式。

除了备份向导和工具所提供的Windows XP,还有各种各样的第三方工具备份和恢复文件和系统。它是很重要的,验证第三方软件可以适当的备份和恢复Windows XP-specific资源(如Windows注册表,EFS-encrypted文件和文件夹。Windows XP的内置实用程序还使用了一个影子复制备份技术在可能的情况下,这意味着他们实际上是系统的快照,然后执行备份,快照。这就避免问题,试图打开的文件备份。第三方的备份实用程序用于Windows XP系统应该有良好的机制来处理打开的文件

4.3更新现有的系统

主机security-securing给定computer-has变得越来越重要。 因此,重要的是保持一个主机到当前的补丁级别来消除已知的漏洞和弱点。57结合杀毒软件和个人防火墙,打补丁有助于确保主机与外部攻击和剥削。微软提供了两种机制来分发安全更新:自动更新和微软更新。在较小的环境中,这两种方法都可能足以保持系统最新补丁。其他环境通常有一个软件变更管理控制过程或一个补丁管理程序,测试补丁使用他们之前;分布可能会发生,通过当地的Windows更新服务(优化)或Windows服务器更新服务(WSUS)服务器,它们提供批准使用的安全补丁的自动更新功能。本节讨论自动更新和微软更新,以及补丁管理因素管理环境。这一节还定义了类型的更新,微软通常提供

4.3.1更新通知

.  在本节的后面所述,可以配置Windows XP系统自动更新下载至关重要。然而,这还是让其他更新,只能手动下载。因此,它是重要为Windows XP系统管理员的通知,微软推出新的更新。微软的安全通知服务是一个邮件列表,它会通知用户的新安全问题和可用的所有类型的微软更新。微软安全公报也可在网上TechCenter TechNet近期安全。个人简报是发给每新的漏洞和纳入月度公报,列表的顺序的潜在严重性漏洞(例如,关键的、重要的、温和的)。每个公告关于在什么情况下提供指导建议缓解策略(如补丁)应该被应用。

4.3.2微软更新类型

微软发布最新的代码通过窗户XP-related安全问题三种机制来发挥作用:hotfixes、安全rollups、服务包。

�  热是一个补丁修复了一个特定的问题。当一个新的漏洞被发现在Windows XP或微软的应用程序(例如,Internet Explorer),微软开发的热,就可以解决问题。热补丁发布基于个别需要。应该应用修补程序一旦实际的安全漏洞,可能会被利用。(只要有可能,热补丁应该首先上试验停产的系统以确保它们不会无意中打破功能或引入一个新的安全问题,打破了先前hotfix。)

� 一个安全汇总是一家集几个热补丁。安全汇总使相同的系统发生的变化,将进行如果每个hotfix被单独安装。然而,它更容易下载和安装一个安全补丁中比10。在微软推出安全汇总

当理所当然的场合。安全是最有效的、汇总更新现有的系统没有维护和修补新系统。

服务包(SP)是一个主要的升级操作系统,解决数十功能和安全的问题,通常引入了一些新特性或叫有效配置的变化,系统。服务包合并以前发布的补丁,所以一旦SP被应用到一个系统,不需要安装补丁所包含的服务包。服务包是每几年发布;例如,Windows XP发布了2001年的秋天,SP1在2002年的秋天,SP2在2004年的夏天,SP3在2008年的春天。因为SPs经常作出重大改变操作系统,组织应该测试之前充分部署SP在生产。在SOHO区的环境,最好的方法是延迟安装SP至少几周,因此早期用户可以识别任何bug或问题。然而,如果SP提供了一个补丁以解决一个重大安全问题,和方法并不是可以通过补丁,它可能是低风险安装SP立即比让系统保持应用补丁。

4.3.3 自动更新

一个设备可以补系统没有人为干预的自动更新功能。当打开时,它会自动检查微软更新服务器来更新OS和微软的应用程序,包括服务包、安全roll-ups,hotfixes,以及最新的硬件驱动。自动更新功能,确保有一个优先次序最关键的安全更新更重要安装前的更新。

自动更新提供了三个设置用户:

通知用户下载之前或安装任何更新

自动更新但下载安装前通知用户更新

下载所有的更新并自动安装这些机器是根据规定的时间表

通常来说,最好配置系统自动下载更新,除非带宽的使用存在问题。例如,下载补丁可能会造成不利影响的功能的计算机连接到网络上慢速的连接。在这种情况下,它会比进行自动更新配置通知用户,新补丁可用。用户然后应该安排下载补丁在下次可能的时间当电脑则不需要正常的功能。选择是否安装自动更新或提示用户依赖于情况。如果用户可能忽略了通知,那么或许会更有效的进度表上安装更新。如果系统在使用在不可预测的日子和时间,那么它可能很难设定一个时间表,不会干扰系统的使用情况。另一个需要考虑的问题是,许多更新需要系统重新启动在更新生效。Windows XP提供了一个安装更新和关闭选项作为它的关闭对话框,可能有助于提醒用户启动更新的安装过程。

我们强烈推荐的自动更新服务能够保持微软操作系统和关键应用(如Internet Explorer,Outlook Express完全更新。为了使自动更新,执行以下步骤:

1。点击开始菜单并选择控制面板。

2。双击自动更新。

3。选择合适的单选按钮(如下载更新为我,但是我选择当安装他们)。点击“确定”。

一些组织不希望立即应用最新的更新他们的Windows系统。例如,在一个托管的环境可能不希望对热补丁要部署到生产系统,直到他们已经测试了由Windows管理员和安全管理员。此外,在大型环境中,许多系统可能需要下载一样的同时热。这可能会导致严重的影响网络带宽。这种担忧通常与组织建立一个当地的WSUS吴苹或更新服务器,它包含批准更新和限制的位置可以检索更新通过组策略。这个自动更新功能Windows XP系统,那么应该配置为指向本地更新服务器。不幸的是,尽管吴苹和WSUS服务提供一种方法用于分发微软更新,它们不能用于分发的第三方软件更新。

4.3.4微软更新

与本地管理员权限的用户也可以手动更新他们的系统通过访问微软更新网站。微软更新网站会检查电脑来确定安全和功能有更新可用和产生的更新列表。然后用户可以选择哪些更新应该安装在这个时间,告诉微软更新来执行安装。使用微软的更新,请执行以下步骤:

1.运行Internet Explorer

2. 从”工具”功能表中,选择窗口更新。如果一个迅速出现要求安装和运行窗口更新,单击Yes。

3. 如果出现一个提示说,一个新版本的Windows更新或微软更新软件可用,单击Install现在或下载并安装现在安装新版本。可能需要多个更新。如果收到提示,关闭ie或重新启动计算机,这样新版本的更新软件生效。(如果需要重新启动,重新启动这些指令在步骤1重启后完成。)

4.点击按钮来确认可用更新的习俗

5.微软更新检查更新,并且列出了可用的更新。根据计算机的服务包级别,要么service pack 2或3或财务部包应该显示更新。遵循相应的步骤:

a. 高档包装的更新都是按优先级高的更新,可选的最新的软件,和可选的硬件的更新。

i 检查可用的更新,选择所需的(或者接受默认设置),然后单击检查和安装更新。                                  在某些情况下,一个补丁可能需要安装本身;因此,它不可能立即安装所有所需补丁。

ii. 确认正确的更新被列出,并点击安装更新按钮来执行安装。对任何许可协议,显示相应的按钮,单击每个。

iii.下载和安装过程将开始。根据大量的更新和可用的网络带宽,这可能需要从几分钟到几小时进行下载和安装升级。当安装完成后,微软更新应该报告的更新成功安装。它还将提示用户重启电脑,如果有任何更新需要重新引导来完成安装。单击OK来重新启动立即或取消手动重启电脑之后。

b.服务包2或3可以安装通过微软更新使用下列步骤:

i.点击下载并安装了。

ii. 审查许可协议和点击了适当的按钮。

iii.服务包应该下载并安装。这可能需要相当长的时间,这取决于主要服务包的大小和类型的网络连接和可用带宽。一个安装或者安装向导可能会提示用户在某种程度上,单击Next继续。

iv. 一旦安装已经结束,总结报告,应展示安装成功了。现在点击重启计算机重新启动

v. 重新开机之后,帮助保护您的电脑屏幕上出现。这个自动更新配置后设置在指令,那么在这段时间,选择不是现在的选择并单击“下一步”。

vi. 安全中心会打开并显示出安全项目的状态。因为杀毒软件和其他安全程序尚未被安装在电脑上,目前的状态是无关紧要的。关闭安全中心。.

6.重复这些步骤,直到所有的不再有更新可用。这取决于服务包是在电脑上,和大量额外的更新,需要被应用,可能要花几轮更新计算机和重启它带来一个新的Windows XP安装完全更新。

因为Windows更新需要当地行政特权和手动运行,其使用一般不建议在企业,SSLF,FDCC环境。作为4.3.5部分所描述的,建议所有更新测试和验证过协调部署之前,使用微软更新可能规避。微软更新已经在企业环境中额外的复杂性,因为它通常是不切实际的运行任何应用程序手动从每台工作站,在定期的企业和个人用户可能没有必要的地方行政权利。

补丁管理环境

企业,SSLF,FDCC环境,特别是那些被认为是管理的环境中,应该有一个补丁管理程序,负责收购、测试和验证每个补丁,然后安排其分布到系统在整个组织。NIST SP 800 - 40版本2.0,创建一个补丁和脆弱性管理程序,提供了深入的建议建立修补过程和测试和应用补丁。对于每个补丁发布时,补丁管理团队应该研究相关的漏洞,并优先适当补丁。不常见的几个补丁发布在一个相对较短的时间,通常会有一个或两个补丁才是更重要的,比其他的组织。每个补丁应该进行测试和系统配置,代表组织的系统。一旦团队决定,这个补丁是适合部署,补丁需要分布式通过自动或手动意味着安装在所有适当的系统。(有许多第三方应用程序可供补丁管理和发行版,它支持许多类型的平台和提供的功能,支持企业需求。)最后,团队需要定期检查系统确认该补丁已经安装在每个系统上,并采取行动来确保缺少补丁应用。

微软提供了以下命令行工具也可能有助于号部署,如下:

qchain的。 exe工具允许多个hotfixes被安装在一个时间,而不是安装一个号重新启动,然后安装另一个号。

qfecheck的。 exe工具可以用来跟踪验证hotfixes安装。

4.4识别安全问题

主机安全是很大程度上取决于保持拥有最新的安全补丁以及识别和修正这些其他的安全弱点。微软的基线安全分析仪(MBSA)是一个实用工具,可以扫描本地计算机和远程计算机识别安全问题。MBSA需要当地的administrator-level访问每台计算机上说它正在扫描。 MBSA既提供了图形用户界面(GUI)和命令行接口。MBSA可以识别哪些更新丢失操作系统和常见的微软应用程序(例如,Internet Explorer,媒体播放器,互联网信息服务[IIS],Exchange服务器,结构化查询语言(SQL)服务器)在每个系统上。对于操作系统和一些应用程序(例如,Internet Explorer,IIS,SQL Server,办公室),它还可以发现其他的安全问题,例如不安全的配置和设置。MBSA仅标识问题;它没有能力更改设置或下载并安装升级到系统。在4.3节中讨论的方法应该用于下载并应用补丁。

企业配置管理工具也是可用的,可用于评估的安全状况Windows XP系统。这些工具有多种功能,比如比较安全的设置与基线设置和识别缺少补丁。有些工具还可以正确的问题,他们发现通过改变设置、安装补丁,以及执行其他的操作。这个工具可以提供一个独立的验证,即安全控制被实现为有意和可以记录这些验证用于演示遵守法律、法规和其他安全需求。NIST已经主导开发安全内容自动化协议(SCAP),这是一套规范标准化的方式表达的安全信息。企业配置管理工具,它支持SCAP可以使用安全的基线,以公开是由诸如NIST的组织,他们还可以生成输出标准化表格中可以使用的其他工具。

单独的系统还可以监视自己的安全状态和提醒用户潜在的问题。Windows XP提供Windows安全中心,这是一个服务,可以配置为监控状态的系统的防火墙(要么是Windows防火墙或第三方防火墙)和防病毒软件,以及设置为自动更新。Windows安全中心可以生成警告如果防火墙,杀毒软件,或者自动更新功能未启用,而且如果某些主要配置设置都是不安全的,比如不设置杀毒软件来执行实时扫描,而不是设置自动更新下载和安装自动更新。Windows安全中心可以监视多个类型的第三方防火墙和杀毒软件。Windows安全中心在SOHO最有帮助的环境中,这样用户可以监控系统的安全状态。在企业环境中,系统可能有更新通过其他方式而不是自动更新,并且状态的系统“防火墙和杀毒软件可能已经被监控集中。

4.5 总结的建议

�  使用本指南中提出的建议只有在新的Windows XP系统,而不是系统升级从以前版本的Windows。升级的系统的一些忠告,本指南中可能是不恰当的,可能会引起问题。

� 有健全的配置管理政策支配改变操作系统和应用程序,如应用补丁和修改的配置设置。

� 直到一个新的系统已经完全安装补过,要么让它脱离了所有的网络,或连接到一个孤立的,强烈保护网络。

� 每 个硬盘使用NTFS分区,除非有一个特别的需要来使用另一种类型的文件系统

� 禁用所有网络客户,服务,和协议,不是必需的。

�  指派强密码,内置的管理员帐号和用户帐号时所产生的安装。

� 保持系统到目前水平,以消除补丁已知漏洞和不足。

�使用MBSA或其他类似的设施定期状态识别问题。

5.整体的安全策略配置Windows XP和模板

本节介绍了Windows XP的概念,描述了如何安全模板NIST的Windows XP开发安全模板。然后它提供指导,对组织如何查看、修改和应用安全模板对个别Windows XP系统或所有Windows XP系统在一个或多个活动目录组织单元(OU)。Windows XP还提供了一种机制,比较安全的设置模板系统上的当前设置;这可以用来识别潜在的安全问题,以及组织特有的特性,可能需要整合到模板。

NIST提供组策略对象(GPO),而不是模板,为FDCC规范。看到http://fdcc.nist。 gov /的更多信息FDCC GPOs以及如何测试、修改和应用它们

5.1视窗XP安全模板

在Windows XP,安全模板是一种基于文本的文件,其中包含安全性相关的系统设置值,从而代表一个特定安全配置。模板可以创建和更新使用安全模板微软管理控制台(MMC)管理单元。模板可以被应用到一个本地计算机或导入到一个组策略对象或组策略管理控制台,有利于快速部署的安全设置在Windows XP环境。模板也可以通过各种各样的商业应用变更和配置管理工具。安全配置和分析MMC插件可用于应用模板系统,并且比较值模板中的现有设置系统来分析系统的安全状况。

Windows XP附带一些预定义的安全模板。尽管这些模板都包含在Windows XP,NIST并不推荐使用这些。微软为了的默认模板作为基础organizational-specific创建模板。 一些组织已经开发和出版他们自己的模板,通常针对特定系统的目的。例子包括模板中包含的微软Windows XP安全指南与模板从美国国家安全局(NSA)。作为本文档的发展,NIST还编制了一套模板。NIST的模板代表一致SSLF环境设置从几个组织,包括DISA、微软、NIST,国安局和美国空军(USAF);其他NIST模板都是基于微软的模板和建议。他们代表了基线所倡导的推荐设置DISA、国家安全局,NIST,微软和其他安全专家。NIST的模板已经定制和完整的记录为Windows XP工作站在SOHO、企业、SSLF和遗留环境。申请时须谨慎使用任何NIST的模板,如果有必要,修改以满足本地安全策略和文档的所有修改。NIST的查看和修改模板设置,请执行以下步骤:

1. 利用NIST的模板提供这个文件,将它们复制到% SystemRoot % \安全\ Templates88文件夹通过探险家。

2.利用启动MMC开始菜单运行命令,开放mmc.exe。

3. 点击文件,然后添加/删除大声叱骂-在。点击“添加,突出的安全模板的大声叱骂-加入,点击添加。点击关闭,然后点击OK。当竣工后,保存的控制台管理工具目录,供今后使用。

4. 使用安全模板管理单元选择的模板将被应用到工作站上。浏览安全模板设置和调整设置符合本地安全策略。当所有的变化都已完成,模板名称上单击鼠标右键,选择保存为”,并指定一个新模板名称。(NIST建议修改模板的副本而不是原件)。保存模板文件,然后可以使用本地计算机上或其他计算机上的环境。

5.2分析和配置

正如前面所提到的,安全配置和分析管理单元可以用于比较当前安全设置本地工作站设置在一个模板应用模板之前。这允许系统管理员检查和调整的变化将使安全模板电脑的设置。使用安全配置和管理单元来比较和分析应用的安全设置在当地一个Windows XP系统,执行下面的步骤:

1.利用启动MMC开始菜单运行命令,开放mmc.exe。

2 点击文件,然后添加/删除管理单元。单击Add,突出的安全配置和分析管理单元和点击添加。点击关闭,然后单击OK。完成后,保存在控制台中管理工具文件夹以供将来使用。

3. 创建一个新的数据库,右键点击安全配置和分析和选择打开数据库。数据库名称然后打开。

4. 选择模板,将用于工作站。按公开加载设置从模板。

5.右键单击安全配置和分析管理单元和选择分析计算机现在。指定默认的日志名称和位置,然后单击OK。该系统将比较当前安全设置活跃在计算机与模板设置。

6.当检查完成后,浏览类别的设置列在了安全配置和分析管理单元。模板之间的差异和计算机配置 被显示。例如,一个红色的X项目不同于模板,和条目与一个绿色的复选标记匹配该模板。其他的物品可能不是已经分析了因为没有设置是定义在模板,或者因为他们依赖于另一个值没有设置。除了图标,每个项目也给了一个口头描述,比如不分析或未定义

7. 如果回顾设置表明特定模板设置不应该应用于系统,他们还可以调整修改数据库设置显示在屏幕上。完成这个动作,双击设置,它需要被改变,做出必要的调整,并点击OK以返回到主设置清单。重复这个过程,直到所有必要调整已经完成。

8. 应用数据库设置到系统,右键单击安全配置和分析管理单元和选择配置的电脑现在。指定默认的日志名称和位置,然后单击OK。设置应用于系统。

9.当配置完成,政策用于配置应用可以被导出为未来使用这台电脑上或其他人。导出配置政策通过右键单击安全配置和分析管理单元和选择导出模板。名称和保存这个模版为未来使用本地计算机上或其他计算机上的环境。保存模板文件还可以导入到重置设置工作配置,如果未来修改造成问题。

5.3组策略分布

在一个域环境,组策略对象(GPO)可用于分发到所有计算机安全设置在一个Active Directory OU。推荐的方法是通过角色到OUs独立的计算机。例如,所有类似的配置域成员工作站在一个环境应该是在一个OU。导入安全模板到GPO中,执行以下步骤:

1.利用启动MMC开始菜单运行命令,开放mmc.exe。

2.点击文件,然后添加/删除管理单元。单击Add,突出的组策略管理单元,并单击Add。选择适当的组策略对象,并单击OK,然后单击完成。

3. 点击关闭,然后点击OK。

4. 扩大的组策略对象。其次,扩大电脑配置并点击窗口的设置。

5. 右键点击安全设置,选择进口的相关政策。

6.选择想要的模板文件,点击打开。

其中的安全设置模板现在可以部署到所有计算机。组策略只能应用使用Windows 2000服务器或者Windows 2003服务器(域控制器)在一个域环境(ad)。微软也提供了组策略管理控制台(GPMC)来管理组策略对于多种领域。这个GPMC结合了几个现有的功能组政策性工具为单个接口。GPMC可用来导入、编辑和应用安全模板到Windows系统整个企业,这是理想的受管理的环境下。一旦GPMC已经安装,它可以运行gpmc.msc只需执行。打开GPMC MMC管理单元在控制台,执行下面的步骤:

1. 利用启动MMC开始菜单运行命令,开放mmc.exe。

2.点击文件,然后添加/删除管理单元。单击Add,突出的组策略管理管理单元,并单击Add。点击关闭,然后单击OK

在GPMC,一个“低保真”版本需要被连接到一个地点,领域,或者你能够被使用。连接到一个“低保真”版本。现有殴,执行以下步骤

1. 开通GPMC

2. 上单击鼠标右键,选择适当的你现有的“低保真链接

3. GPOs表将被显示,选择一个将会被连接到你。这个建立联系。

另一个就是要创造一个新的“低保真即会自动连接到一个地点,领域,或你。创建一个新的“低保真一个殴,执行以下步骤:

1。开通GPMC。

2。上单击鼠标右键,选择适当的欧创造和链接一个“低保真”版本在这里。这将打开新的“低保真对话框。

3。提供一个“低保真”的名字。这创造了“低保真和自动链接到选定的欧。

4。上单击鼠标右键,选择“编辑新“低保真修改“低保真组策略编辑的。

GPMC能成为一个“低保真”版本。进口安全模板。这样做,执行以下步骤:

1。GPMC开放。

2。右键点击合适的“低保真和单击编辑。

3。扩大电脑配置并点击窗口的设置。

4。右键点击安全设置,选择进口的相关政策。

5。选择想要的模板文件,点击打开。

GPMC也可以用于编辑一个“低保真”版本。安全设置。这样做,执行以下步骤:

1。GPMC开放。

2。右键点击合适的“低保真和单击编辑。

3。扩大电脑配置并点击窗口的设置。

4。点击安全设置,然后按适当的政策(例如,解释政策,当地的政策,事件日志)。

5。需要修改的安全设置,点击OK透彻。

另一个有用的功能GPMC是组策略模型向导,它提供了生成的一些政策(RSoP)功能。这意味着,该向导可以确定中的应用效果GPOs的组合(例如,站点,领域和欧级)的一个特定用户或计算机。如此一个OU,执行下面的步骤:

1。GPMC开放。

2。右键单击并选择适当的欧式组策略模型向导。

3。使所需的选择的仿真,比如指定一个用户名,计算机名称、用户位置、网站、电脑位置,或安全组。

4。在总结选择屏幕,检查设置,从而确保它们是正确的并单击Next来运行仿真。

5。一旦仿真已经结束,向导会显示出该结果在组策略的结果报告。如果两个或更多的GPOs有冲突的设置为特定的政策,报告显示了哪些政策是应用。这是非常有用的,在解决冲突中GPOs和故障排除意外GPO的行为。

一些第三方系统管理和配置工具提供类似的功能GPMC-the出口能力、编辑、应用、验证、监控和报告在GPOs安全设置。这些工具还可以提供额外的功能,比如深入的审计功能。

5.4行政模板

除了安全模板,Windows XP还支持管理模板。管理模板被用来配置安全和非安全性设置(例如,用户界面配置)为Windows XP和各种微软应用程序。管理模板只能用在与GPOs协会,所以它们不能用于安全的系统在典型的SOHO环境和很多遗留环境。因此,这个出版物使用安全的模板,而不是管理模板。

管理员的系统在企业和SSLF环境可能更喜欢使用管理模板,包括安全设置,而不是同时使用二者管理模板与非安全性设置和独立的安全模板。管理员可以选择包含安全设置提出了引导他们的管理模板。Windows XP包括几个默认管理模板,解决特定类型的设置,包括一般的Windows XP设置,ie,微软NetMeeting,Windows媒体播放器,和微软更新。管理员可以使用这些模板作为起点,创建组织或环境的模板。管理员应该执行广泛的测试所有管理模板,在使用之前都要配置和安全的生产系统。

5.5总结的建议

� NIST的安全使用模板或FDCC GPOs配置安全设置在XP系统。修改模板和GPOs作必要的符合当地的安全政策,并记录所有的修改。

� 使用安全模板和安全配置和分析MMC大声创建、导入、查看、修改和出口模板设置,并比较与实际系统设置模板设置。

� 使用组策略对象编辑器,组策略管理控制台,并组策略模型向导MMC大声自动化部署的安全设置域成员系统。

6. NIST视窗XP模板和“低保真设置概要

本节概述安全设置将被放在合适的位置由NIST的模板和FDCC GPOs讨论,附录一,以及其他类型的设置,可以添加到模板和GPOs。设置分为几大类:账户政策,当地政策,事件日志政策,限制组、系统服务、文件权限,注册表的权限,注册表值。对于每个类别,本节描述在一个高水平相关的安全控制从模板和GPOs以及如何控制可以用来改善系统的安全性。本节没有涵盖所有的实际建议参数和值和GPOs安全模板。本节概述安全设置将被放在合适的位置由NIST的模板和FDCC GPOs讨论,附录一,以及其他类型的设置,可以添加到模板和GPOs。设置分为几大类:账户政策,当地政策,事件日志政策,限制组、系统服务、文件权限,注册表的权限,注册表值。对于每个类别,本节描述在一个高水平相关的安全控制从模板和GPOs以及如何控制可以用来改善系统的安全性。本节没有涵盖所有的实际建议参数和值和GPOs安全模板。

6.1帐户政策

除了培训用户有关的选择和使用良好的密码,同样重要的是,要设置的密码参数,以便有足够的密码。这减少了一个攻击者的可能性猜测或者破解密码获得非授权访问系统。第3.2.1节中描述的那样,NIST建议使用NTLM v2或Kerberos代替LM或NTLM v1进行身份验证。 Windows XP提供了相同的密码参数作为Windows 2000。 以下参数中指定了NIST模板和GPOs:

� 年龄最大的密码。这迫使用户更改其密码经常。设置这个值越低,越有可能用户将选择可怜的密码容易记住(例如,Mypasswd1,Mypasswd2,Mypasswd3)。设置值越高,越有可能会受到影响的密码和使用未授权方。。

� 年龄最小的密码。这个设置要求用户等待一定数量的天前再次改变他们的密码。这个设置防止一个用户更改密码。当它达到最高年龄,然后立即改变它回之前的密码。不幸的是,这种装置也可以防止用户无意中透露给别人一个新密码更改它立即没有管理员干预。

� 最短口令长度。该设置指定密码的最小长度的人物。这个设置背后的基本原理是长密码更难以猜测和裂缝比短的密码。不利的一面是,不再密码通常是为用户记住更加困难。组织,要设置一个相对大的最短口令长度应该鼓励他们的用户使用密码短语,它可能更容易记住比传统的密码。

� 密码必须满足复杂度需求。像最低密码长度设置,该设置可以使它更难以猜测或破解密码。启用该设置实现复杂度需求包括没有用户的密码和帐户名称中混合使用字符类型,包括大写和小写字母、数字和特殊字符,比如标点符号。

� 执行密码历史。i此设置确定有多少旧密码系统将记住每一个帐户。用户将无法重用任何旧的密码。例如,如果它设置为24,那么系统将不允许用户将重用任何过去的24个密码。旧密码可能已经暴露,或一个攻击者可能用了很长时间来破解加密的密码。重用一个旧密码可能无意中给攻击者对系统的访问

�  使用加密密码存储可逆中的所有用户域。如果启用该设置,密码会被储存在一个decryptible格式,使他们面临更高的风险的妥协。这个设置应该是禁用的,除非它需要支持一个遗留的身份验证协议,比如挑战握手身份验证协议(CHAP)。

攻击者通常试图获得访问用户帐户通过猜测密码。Windows XP可以配置为锁定(禁用)一个帐户,当有太多的失败的登录尝试为一个用户帐户发生在一个特定的时期内。以下帐户锁定参数设置在NIST的模板和GPOs::

� 帐户锁定阈值。阈值指定的最大数量的失败尝试,可以发生锁定账户之前出去。

� 帐户锁定持续时间。这个值指定用户帐户多长时间应该被锁在门外。这通常是设置为一个低但重大的值(例如,15分钟),有两个原因。首先,一个合法的用户不小心锁只有等15分钟重新使用,而不是要求管理员解锁帐户。第二,一个攻击者是猜测密码使用蛮力的方法都将只能够试着少量的密码,然后等待15分钟之前,要更多。这大大减少了蛮力攻击的机率会成功的。

� 帐户锁定计数器复位后。这指定的时间段使用的停摆阈值。例如,如果阈值设为10的尝试和持续时间设置为15分钟,然后如果超过10次登录失败发生在一个用户帐户在15分钟内,该帐号将被禁用。

一个主要的挑战在设置账户政策是平衡安全、功能和可用性。例如,用户帐户进行锁定后仅仅几个失败的登录尝试在一个长期的时间里可能也更难获得授权访问账户通过猜测密码,但也可以调用的数量大幅增加到服务台来解开账户不小心被失败的尝试了合法用户的使用。这可能也会造成更多的用户来写下他们的密码或选择easier-to-remember密码。组织应该仔细思考这些问题前设置Windows XP账户政策。

6.2当地政策

当地的政策范畴包含三个种类:系统审计政策,用户权限的任务,安全选项。每一个这些的子类进行更深度在接下来的段落。

6.2.1审计政策

Windows XP包含强大的系统审计功能。审计的目的是记录某些类型的动作,日志,所以,系统管理员可以检查日志和检测的未经授权的活动。审计日志也能帮助在调查一个安全事故。表6 - 1所示,系统审计是用于登录事件、账户管理、目录服务访问,对象访问,政策变化、权限使用、过程跟踪和系统事件。每个审计政策范畴可以配置为记录成功的事件,失败的事件,无论是成功的和失败的事件,或者都不是。第7.3节描述文件审计可以配置、以及如何事件查看器可以用来审核日志条目。

推荐设置为系统审计可以应用到系统和GPOs NIST的模板。设置也可以应用以手动执行以下步骤进行:

1。从开始菜单中,选择控制面板。

2。选择管理工具,然后选择当地的安全政策。

3。扩大地方法规,然后点击“审计政策。

4。正确的窗格列出了我国现行审计的设置。做出必要的改变正在运行的适当的项目,修改设置,点击OK拯救的变化。

NIST的模板和GPOs不要启用审计特定文件或注册表键。管理员应该考虑启用审计为最重要的目录(如% %,目录SystemDrive持有关键用户的信息)和注册表键值(例如,HKLM \软件,HKLM \ System)。因为启用审计为目录和注册表键值会导致大量的审计事件生成,管理员应该仔细测试任何此类审计设置使用他们之前在生产系统上。