Win 2003 加固手册.doc

1、 Windows 2003安全加固手册 Windows 2003 安全加固配置手册 目 录 Windows 2003 安全加固配置手册 1 关键词： 4 摘 要： 4 缩略语： 4 参考标准及其资料： 4 1概述 5 2安全加固内容 5 3客户信息调查 5 4边界及物理安全 5 5升级与补丁 5 6操作系统加固 6 6.1帐号安全及策略 6 6.2删除各

2、类共享 7 6.3审计 7 6.4服务 8 6.5防DoS设置 9 6.7 IPSEC配置 9 7 IIS加固 9 8 其他安全配置 10 9 资源下载 10 关键词： Windows 2003、加固、DDoS. 摘 要： 本手册主要描述了建立Windows NT系列操作系统安全加固配置标准，并以此标准为指导，配置和审视客户Windows NT系列服务器的安全性；降低系统存在的安全风险，确保系统安全可靠的运行. 缩略语： 无 参考标准及其资料： 资料名称 作者 发布日期 查阅渠道 《windows serv

3、er 2003黑客大曝光》 Joel Scambray 2004.9 《Windows server 2003 安全指南》 微软网站 《Windows 安全加固》 网上文章 1概述 随着计算机互联网的发展，网络应用的普及，网络规模、网上计算机数量均呈指数型增长，在人们享受到网络的方便快捷的同时，各种各样的攻击和病毒也更加猖狂，网络的安全防护越发重要。本文档主要说明在安全防护中基于windows平台的加固策略。当前版本适用于Windows NT系列，主要以Windows 2003为主来。安全加固配置中部分加固配置可以考虑

4、使用安全模板来实现，以减轻工作量。 2安全加固内容 客户环境调查 边界及物理安全 升级与补丁 操作系统加固 IIS加固 其他安全配置 3客户信息调查 客户网络环境（如：服务器前有没有fw，有些什么服务器） 硬件信息 操作系统信息（版本，补丁情况） IIS的版本 主机是否在一个windows域里 是否使用数据库，什么数据库 是否需要远程管理 是否需要终端访问服务 4边界及物理安全 设置边界防火墙只允许访问服务器的必要端口；部署防御DoS的功能；阻止服务器发出的主动连接 设置BIOS密码 在BIOS里设置系统只能从硬盘启动，不允许从软盘和CD-ROM启动

5、至少创建两个NTFS分区，一个用来存放系统文件（C盘），一个用来存放数据（如E盘） 卸载不需要的组网协议 5升级与补丁 大企业，带SUS（软件升级服务）包的SMS（系统管理服务器），微软出品 中小企业，SUS的独立版本 个人用户，MBSA （微软基准安全分析器）；Reskit工具包里的srvinfo 第三方工具，Shavlik公司的HFNetChk Pro 6操作系统加固 帐号安全及策略 删除各类共享 审计 服务最小化 防DoS设置 配置IPSec过滤器 6.1帐号安全及策略 密码策略 密码必须符合复杂性要求：启用 密码长度最小值： 8个字符

6、密码最长存留期： 70天 密码最短存留期： 30天 强制密码历史： 3个记住的密码 帐户锁定阀值： 5次无效登陆 帐户锁定时间： 15分钟 复位帐户锁定计数器： 15分钟之后 Guest及administrator帐号管理 给guest帐号设置一个足够复杂的密码； 将guest帐号改名，并且禁用guest帐号； 禁止Guest帐号本地登录和网络登录的权限。（打开“本地安全策略”-“本地策略”-“用户权利指派”，在“拒绝本地登陆”和“拒绝从网络访问这台计算机”中添加guest帐号） 为

7、administrator改名，尽可能隐藏信息，防止口令猜测等攻击。 其他相关策略 删除无用帐户，尽可能减少系统安全隐患； 隐藏控制台上次登陆用户名 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\winlogon 键值：DontDisplayLastUserName 类型：GEG_SZ 值：1 从通过网络访问此计算机中删除Everyone组; 在用户权利指派下，从通过网络访问此计算机中删除Power Users和Backup Operators; 为交互登录启动消息文本。 启用 不允许匿名访问SAM帐号和共享;

8、 启用 不允许为网络验证存储凭据或Passport; 启用 在下一次密码变更时不存储LANMAN哈希值; 启用 清除虚拟内存页面文件; 禁止IIS匿名用户在本地登录; (用户权限指派-〉拒绝本地登录-〉添加IUSER_XXX) 启用 交互登录:不显示上次的用户名; 从文件共享中删除允许匿名登录的DFS$和COMCFG; 禁用活动桌面 6.2删除各类共享 关闭NetBIOS 网络和拨号连接->本地连接属性->Internet协议->属性->高级->选项->Wins里选中“禁用tcp/ip上的netbios” 确定生效后，TCP139 UDP 137 1

9、38将被关闭。 网络和拨号连接->本地连接属性中，取消选中“Microsoft 网络的文件和打印机共享” 确定生效后，TCP 445上将不再提供文件和打印共享服务。 Key:HKLM\\System\CurrentControlSet\Services\NetBT\Parameters 添加键值：SMBDeviceEnabled 类型REG_DWORD ：值：0 重新启动系统后，TCP 445将被关闭 删除系统默认共享 删除ADMIN$,C$,D$,E$......等： HKLM\SYSTEM\CurrentControlSet\Services\

10、lanmanserver\parameters 添加键值：Autoshareserver（2000Professional应添加Autosharewks） 类型：REG_DWORD 值：0 添加后应重启server服务或重启系统使之生效。 对匿名连接进行限制 Key:HKLM\SYSTEM\CurrentControlSet\Control\Lsa 键值：restrictanonymous 类型：REG_DWORD 值：1 6.3审计 审核帐户管理 成功，失败 审核帐户登陆事件 成功，失败 审核系统事件 成功，失败 审核特权使

11、用 成功，失败 审核对象访问 成功，失败 审核登陆事件 成功，失败 审核策略更改 成功，失败 gpedit.msc->新加安全模版->事件日志 日志类型 日志大小 覆盖策略 应用程序日志 15488 K 覆盖早于 30天的日志 安全日志 15488 K 覆盖早于 30天的日志 系统日志 15488 K 覆盖早于 30天的日志 6.4服务 必不可少的服务： DNS Clien

12、t Event Log Logical Disk Manager Plug & Play Protected Storage Security Accounts Manager 根据实际，需要的服务： Network Connections Manager Remote Procedure Call Remote Registry Service RunAs Service 域控制器需要的服务： DNS Server File Replication Service Kerberos Key Distribution Center NetLogon NT

13、LM Service Provider RPC Locator Windows Time TCP/IP NetBIOS helper Server (提供共享资源时或者运行AD时) Workstation (连接共享资源时) IIS需要的服务： IIS Admin Service Protected Storage World Wide Web Publishing Service Windows 2003不能删除的服务： Event log Plug and Play Remote Procedure Call (RPC) Security Account

14、 Manager (SAM) Terminal Services (Web服务器不应安装) Windows Management Instrumentation Driver Extension 应该去掉的服务： Indexing Service FTP Publishing Service SMTP Service Telnet 其他服务不在列举自行发现吧。。。。 6.5防DoS设置 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] "SynAttackProtect

15、"=dword:00000002 "EnablePMTUDiscovery"=dword:00000000 "NoNameReleaseOnDemand"=dword:00000001 “EnableDeadGWDetect”=dword:00000000 　 "EnableICMPRedirects"=dword:00000000 “Interface\PerformRouterdiscovery"=dword:00000000 "(NetBt\Parameters\)NoNamereleaseOnDemand"=dword:00000001 "KeepAliveTime

16、"=dword:00300000 "PerformRouterDiscovery"=dword:00000000 "TcpMaxConnectResponseRetransmissions"=dword:00000002 "TcpMaxHalfOpen"=dword:00000100 "TcpMaxHalfOpenRetried"=dword:00000080 "TcpMaxPortsExhauted"=dword:00000001 6.6 系统检查 6.7 IPSEC配置 根据需要配置 7 IIS加固 IIS虚拟根目录 把IIS虚拟根目录（如：C:\Inetp

17、ub）挪到第二个NTFS分区（比如E盘），避免Unicode和二次解码攻击。使用Reskit工具包里的robocopy工具和/SEC/MOVE参数，以保证复制ACL表 敏感目录ACL 使用cacls工具设置Web服务器卷上%systemroot%子目录及下级子目录的ACL为: “System: Full” ”Administrators: Full” ”Everyone: read” 关闭父路径设置项 IIS Admin-> 属性 -> 主目录 -> 应用程序设置 -> 配置 -> 应用程序选项 -> 弃选 启用父路径 删除多余项目 关闭Administration（系统管

18、理）站点并删除虚拟子目录IISAdmin和IISHelp 删除用不着的映射关系 （如.htr和.printer映射） 找出并删除ISAPI应用程序中的RevertToSelf调用，防止攻击者提升IUSR或IWAM帐号的权限；把IIS的应用程序保护选项设置为Medium或High HTML和脚本文件里包含敏感文件或者子目录的路径名，需要删除 自定义返回给客户端的脚本错误消息 在脚本错误消息中，选中“发送文本错误消息给客户”，在下面的文本框中自定义一段错误提示。 其它相关设置 考虑是否真的需要远程对Web服务器进行管理，如果真的需要，为Web服务器专门建立一个单一功能的远程管

19、理系统，部署在与Web服务器同一网段内某个位置 可以考虑安装UrlScan工具，以便限制恶意的HTTP调用 不要把敏感信息或私人数据保存在Active Server文件或头文件里。把服务器端数据明确地用<% %>标记括起来，防止“查看脚本源代码”攻击 8 其他安全配置 域控制器 SNMP SQL Server安全措施 Terminal Server安全措施 IE 9 资源下载 最新的MBSA可以从下列地址下载： Hfnetchk.exe下载地址： IIS Lockdown Tool 2.1下载地址： FamilyID=dde9efc0-bb30-47eb-9a61-fd755d23cdec&DisplayLang=en 版权所有，违者必究 第9页，共9页