Win 2003 加固手册.doc_咨信网zixin.com.cn

资源描述

Windows 2003安全加固手册 Windows 2003 安全加固配置手册目录 Windows 2003 安全加固配置手册 1 关键词： 4 摘要： 4 缩略语： 4 参考标准及其资料： 4 1概述 5 2安全加固内容 5 3客户信息调查 5 4边界及物理安全 5 5升级与补丁 5 6操作系统加固 6 6.1帐号安全及策略 6 6.2删除各类共享 7 6.3审计 7 6.4服务 8 6.5防DoS设置 9 6.7 IPSEC配置 9 7 IIS加固 9 8 其他安全配置 10 9 资源下载 10 关键词： Windows 2003、加固、DDoS. 摘要：本手册主要描述了建立Windows NT系列操作系统安全加固配置标准，并以此标准为指导，配置和审视客户Windows NT系列服务器的安全性；降低系统存在的安全风险，确保系统安全可靠的运行. 缩略语：无参考标准及其资料：资料名称作者发布日期查阅渠道《windows server 2003黑客大曝光》 Joel Scambray 2004.9 《Windows server 2003 安全指南》微软网站《Windows 安全加固》网上文章 1概述随着计算机互联网的发展，网络应用的普及，网络规模、网上计算机数量均呈指数型增长，在人们享受到网络的方便快捷的同时，各种各样的攻击和病毒也更加猖狂，网络的安全防护越发重要。本文档主要说明在安全防护中基于windows平台的加固策略。当前版本适用于Windows NT系列，主要以Windows 2003为主来。安全加固配置中部分加固配置可以考虑使用安全模板来实现，以减轻工作量。 2安全加固内容客户环境调查边界及物理安全升级与补丁操作系统加固 IIS加固其他安全配置 3客户信息调查客户网络环境（如：服务器前有没有fw，有些什么服务器）硬件信息操作系统信息（版本，补丁情况） IIS的版本主机是否在一个windows域里是否使用数据库，什么数据库是否需要远程管理是否需要终端访问服务 4边界及物理安全设置边界防火墙只允许访问服务器的必要端口；部署防御DoS的功能；阻止服务器发出的主动连接设置BIOS密码在BIOS里设置系统只能从硬盘启动，不允许从软盘和CD-ROM启动至少创建两个NTFS分区，一个用来存放系统文件（C盘），一个用来存放数据（如E盘）卸载不需要的组网协议 5升级与补丁大企业，带SUS（软件升级服务）包的SMS（系统管理服务器），微软出品中小企业，SUS的独立版本个人用户，MBSA （微软基准安全分析器）；Reskit工具包里的srvinfo 第三方工具，Shavlik公司的HFNetChk Pro 6操作系统加固帐号安全及策略删除各类共享审计服务最小化防DoS设置配置IPSec过滤器 6.1帐号安全及策略密码策略密码必须符合复杂性要求：启用密码长度最小值： 8个字符密码最长存留期： 70天密码最短存留期： 30天强制密码历史： 3个记住的密码帐户锁定阀值： 5次无效登陆帐户锁定时间： 15分钟复位帐户锁定计数器： 15分钟之后 Guest及administrator帐号管理给guest帐号设置一个足够复杂的密码；将guest帐号改名，并且禁用guest帐号；禁止Guest帐号本地登录和网络登录的权限。（打开“本地安全策略”-“本地策略”-“用户权利指派”，在“拒绝本地登陆”和“拒绝从网络访问这台计算机”中添加guest帐号）为administrator改名，尽可能隐藏信息，防止口令猜测等攻击。其他相关策略删除无用帐户，尽可能减少系统安全隐患；隐藏控制台上次登陆用户名 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\winlogon 键值：DontDisplayLastUserName 类型：GEG_SZ 值：1 从通过网络访问此计算机中删除Everyone组; 在用户权利指派下，从通过网络访问此计算机中删除Power Users和Backup Operators; 为交互登录启动消息文本。启用不允许匿名访问SAM帐号和共享; 启用不允许为网络验证存储凭据或Passport; 启用在下一次密码变更时不存储LANMAN哈希值; 启用清除虚拟内存页面文件; 禁止IIS匿名用户在本地登录; (用户权限指派-〉拒绝本地登录-〉添加IUSER_XXX) 启用交互登录:不显示上次的用户名; 从文件共享中删除允许匿名登录的DFS$和COMCFG; 禁用活动桌面 6.2删除各类共享关闭NetBIOS 网络和拨号连接->本地连接属性->Internet协议->属性->高级->选项->Wins里选中“禁用tcp/ip上的netbios” 确定生效后，TCP139 UDP 137 138将被关闭。网络和拨号连接->本地连接属性中，取消选中“Microsoft 网络的文件和打印机共享” 确定生效后，TCP 445上将不再提供文件和打印共享服务。 Key:HKLM\\System\CurrentControlSet\Services\NetBT\Parameters 添加键值：SMBDeviceEnabled 类型REG_DWORD ：值：0 重新启动系统后，TCP 445将被关闭删除系统默认共享删除ADMIN$,C$,D$,E$......等： HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters 添加键值：Autoshareserver（2000Professional应添加Autosharewks）类型：REG_DWORD 值：0 添加后应重启server服务或重启系统使之生效。对匿名连接进行限制 Key:HKLM\SYSTEM\CurrentControlSet\Control\Lsa 键值：restrictanonymous 类型：REG_DWORD 值：1 6.3审计审核帐户管理成功，失败审核帐户登陆事件成功，失败审核系统事件成功，失败审核特权使用成功，失败审核对象访问成功，失败审核登陆事件成功，失败审核策略更改成功，失败 gpedit.msc->新加安全模版->事件日志日志类型日志大小覆盖策略应用程序日志 15488 K 覆盖早于 30天的日志安全日志 15488 K 覆盖早于 30天的日志系统日志 15488 K 覆盖早于 30天的日志 6.4服务必不可少的服务： DNS Client Event Log Logical Disk Manager Plug & Play Protected Storage Security Accounts Manager 根据实际，需要的服务： Network Connections Manager Remote Procedure Call Remote Registry Service RunAs Service 域控制器需要的服务： DNS Server File Replication Service Kerberos Key Distribution Center NetLogon NTLM Service Provider RPC Locator Windows Time TCP/IP NetBIOS helper Server (提供共享资源时或者运行AD时) Workstation (连接共享资源时) IIS需要的服务： IIS Admin Service Protected Storage World Wide Web Publishing Service Windows 2003不能删除的服务： Event log Plug and Play Remote Procedure Call (RPC) Security Account Manager (SAM) Terminal Services (Web服务器不应安装) Windows Management Instrumentation Driver Extension 应该去掉的服务： Indexing Service FTP Publishing Service SMTP Service Telnet 其他服务不在列举自行发现吧。。。。 6.5防DoS设置 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] "SynAttackProtect"=dword:00000002 "EnablePMTUDiscovery"=dword:00000000 "NoNameReleaseOnDemand"=dword:00000001 “EnableDeadGWDetect”=dword:00000000 　 "EnableICMPRedirects"=dword:00000000 “Interface\PerformRouterdiscovery"=dword:00000000 "(NetBt\Parameters\)NoNamereleaseOnDemand"=dword:00000001 "KeepAliveTime"=dword:00300000 "PerformRouterDiscovery"=dword:00000000 "TcpMaxConnectResponseRetransmissions"=dword:00000002 "TcpMaxHalfOpen"=dword:00000100 "TcpMaxHalfOpenRetried"=dword:00000080 "TcpMaxPortsExhauted"=dword:00000001 6.6 系统检查 6.7 IPSEC配置根据需要配置 7 IIS加固 IIS虚拟根目录把IIS虚拟根目录（如：C:\Inetpub）挪到第二个NTFS分区（比如E盘），避免Unicode和二次解码攻击。使用Reskit工具包里的robocopy工具和/SEC/MOVE参数，以保证复制ACL表敏感目录ACL 使用cacls工具设置Web服务器卷上%systemroot%子目录及下级子目录的ACL为: “System: Full” ”Administrators: Full” ”Everyone: read” 关闭父路径设置项 IIS Admin-> 属性 -> 主目录 -> 应用程序设置 -> 配置 -> 应用程序选项 -> 弃选启用父路径删除多余项目关闭Administration（系统管理）站点并删除虚拟子目录IISAdmin和IISHelp 删除用不着的映射关系（如.htr和.printer映射）找出并删除ISAPI应用程序中的RevertToSelf调用，防止攻击者提升IUSR或IWAM帐号的权限；把IIS的应用程序保护选项设置为Medium或High HTML和脚本文件里包含敏感文件或者子目录的路径名，需要删除自定义返回给客户端的脚本错误消息在脚本错误消息中，选中“发送文本错误消息给客户”，在下面的文本框中自定义一段错误提示。其它相关设置考虑是否真的需要远程对Web服务器进行管理，如果真的需要，为Web服务器专门建立一个单一功能的远程管理系统，部署在与Web服务器同一网段内某个位置可以考虑安装UrlScan工具，以便限制恶意的HTTP调用不要把敏感信息或私人数据保存在Active Server文件或头文件里。把服务器端数据明确地用<% %>标记括起来，防止“查看脚本源代码”攻击 8 其他安全配置域控制器 SNMP SQL Server安全措施 Terminal Server安全措施 IE 9 资源下载最新的MBSA可以从下列地址下载： Hfnetchk.exe下载地址： IIS Lockdown Tool 2.1下载地址： FamilyID=dde9efc0-bb30-47eb-9a61-fd755d23cdec&DisplayLang=en 版权所有，违者必究第9页，共9页

展开阅读全文