Windows 2003 安全加固配置指南
2012-06-06 00:12:07   来源：我爱运维网   评论：0 点击：

1概述

随着计算机互联网的发展，网络应用的普及，网络规模、网上计算机数量均呈指数型增长，在人们享受到网络的方便快捷的同时，各种各样的攻击和病毒也更加猖狂，网络的安全防护越发重要。本文档主要说明在安全防护中基于windows平台的加固策略。当前版本适用于Windows NT系列，主要以Windows 2003为主来。安全加固配置中部分加固配置可以考虑使用安全模板来实现，以减轻工作量。

2安全加固内容

客户环境调查
边界及物理安全
升级与补丁
操作系统加固
IIS加固
其他安全配置

3客户信息调查

客户网络环境（如：服务器前有没有fw，有些什么服务器）
硬件信息
操作系统信息（版本，补丁情况）
IIS的版本
主机是否在一个windows域里
是否使用数据库，什么数据库
是否需要远程管理
是否需要终端访问服务

4边界及物理安全

设置边界防火墙只允许访问服务器的必要端口；部署防御DoS的功能；阻止服务器发出的主动连接
设置BIOS密码
在BIOS里设置系统只能从硬盘启动，不允许从软盘和CD-ROM启动
至少创建两个NTFS分区，一个用来存放系统文件（C盘），一个用来存放数据（如E盘）
卸载不需要的组网协议

5升级与补丁

大企业，带SUS（软件升级服务）包的SMS（系统管理服务器），微软出品
中小企业，SUS的独立版本
个人用户，MBSA （微软基准安全分析器）；Reskit工具包里的srvinfo
第三方工具，Shavlik公司的HFNetChk Pro

6操作系统加固

帐号安全及策略
删除各类共享
审计
服务最小化
防DoS设置
配置IPSec过滤器

6.1帐号安全及策略

密码策略
密码必须符合复杂性要求：启用
密码长度最小值：        8个字符
密码最长存留期：        70天
密码最短存留期：        30天
强制密码历史：          3个记住的密码
帐户锁定阀值：          5次无效登陆
帐户锁定时间：          15分钟
复位帐户锁定计数器：    15分钟之后
 
Guest及administrator帐号管理
给guest帐号设置一个足够复杂的密码；
将guest帐号改名，并且禁用guest帐号；
禁止Guest帐号本地登录和网络登录的权限。（打开“本地安全策略”-“本地策略”-“用户权利指派”，在“拒绝本地登陆”和“拒绝从网络访问这台计算机”中添加guest帐号）
为administrator改名，尽可能隐藏信息，防止口令猜测等攻击。
 
其他相关策略
删除无用帐户，尽可能减少系统安全隐患；
隐藏控制台上次登陆用户名
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\winlogon
键值：DontDisplayLastUserName
类型：GEG_SZ
值：1
从通过网络访问此计算机中删除Everyone组;
在用户权利指派下，从通过网络访问此计算机中删除Power Users和Backup Operators;
为交互登录启动消息文本。
启用 不允许匿名访问SAM帐号和共享;
启用 不允许为网络验证存储凭据或Passport;
启用 在下一次密码变更时不存储LANMAN哈希值;
启用 清除虚拟内存页面文件;
禁止IIS匿名用户在本地登录;  (用户权限指派-〉拒绝本地登录-〉添加IUSER_XXX)
启用 交互登录:不显示上次的用户名;
从文件共享中删除允许匿名登录的DFS$和COMCFG;
禁用活动桌面

6.2删除各类共享

关闭NetBIOS
网络和拨号连接->本地连接属性->Internet协议->属性->高级->选项->Wins里选中“禁用tcp/ip上的netbios”
    确定生效后，TCP139  UDP 137 138将被关闭。
网络和拨号连接->本地连接属性中，取消选中“Microsoft 网络的文件和打印机共享”
     确定生效后，TCP 445上将不再提供文件和打印共享服务。
Key:HKLM\\System\CurrentControlSet\Services\NetBT\Parameters 添加键值：SMBDeviceEnabled
    类型REG_DWORD ：值：0
    重新启动系统后，TCP 445将被关闭
 
删除系统默认共享
删除ADMIN$,C$,D$,E$......等：
HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
添加键值：Autoshareserver（2000Professional应添加Autosharewks）
类型：REG_DWORD
值：0
添加后应重启server服务或重启系统使之生效。
 
对匿名连接进行限制
Key:HKLM\SYSTEM\CurrentControlSet\Control\Lsa
键值：restrictanonymous
类型：REG_DWORD
值：1

6.3审计

审核帐户管理        成功，失败
审核帐户登陆事件    成功，失败
审核系统事件        成功，失败
审核特权使用        成功，失败
审核对象访问        成功，失败
审核登陆事件        成功，失败
审核策略更改        成功，失败
 
gpedit.msc->新加安全模版->事件日志   
 
日志类型          日志大小            覆盖策略
应用程序日志      15488 K        覆盖早于30天的日志
安全日志          15488 K        覆盖早于30天的日志
系统日志          15488 K        覆盖早于30天的日志

6.4服务

必不可少的服务：
DNS Client
Event Log
Logical Disk Manager
Plug & Play
Protected Storage
Security Accounts Manager
 
根据实际，需要的服务：
Network Connections Manager
Remote Procedure Call
Remote Registry Service
RunAs Service
 
域控制器需要的服务：
DNS Server
File Replication Service
KerberosKey Distribution Center
NetLogon
NTLM Service Provider
RPC Locator
Windows Time
TCP/IP NetBIOS helper
Server (提供共享资源时或者运行AD时)
Workstation (连接共享资源时)
 
IIS需要的服务：
IIS Admin Service
Protected Storage
World Wide Web Publishing Service
 
Windows 2003不能删除的服务：
Event log
Plug and Play
Remote Procedure Call (RPC)
Security Account Manager (SAM)
Terminal Services (Web服务器不应安装)
Windows Management Instrumentation Driver Extension
 
应该去掉的服务：
Indexing Service
FTP Publishing Service
SMTP Service
Telnet
其他服务不在列举自行发现吧。。。。

6.5防DoS设置

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
 
"SynAttackProtect"=dword:00000002
"EnablePMTUDiscovery"=dword:00000000
"NoNameReleaseOnDemand"=dword:00000001
“EnableDeadGWDetect”=dword:00000000 　
"EnableICMPRedirects"=dword:00000000
“Interface\PerformRouterdiscovery"=dword:00000000
"(NetBt\Parameters\)NoNamereleaseOnDemand"=dword:00000001
"KeepAliveTime"=dword:00300000
"PerformRouterDiscovery"=dword:00000000
"TcpMaxConnectResponseRetransmissions"=dword:00000002
"TcpMaxHalfOpen"=dword:00000100
"TcpMaxHalfOpenRetried"=dword:00000080
"TcpMaxPortsExhauted"=dword:00000001
6.6 系统检查

6.7 IPSEC配置

根据需要配置

7 IIS加固