Windows 2003 安全加固配置指南
2012-06-06 00:12:07 来源:我爱运维网 评论:0 点击:
本指南主要描述了建立Windows NT系列操作系统安全加固配置标准,并以此标准为指导,配置和审视客户Windows NT系列服务器的安全性;降低系统存在的安全风险,确保系统安全可靠的运行。
1概述
随着计算机互联网的发展,网络应用的普及,网络规模、网上计算机数量均呈指数型增长,在人们享受到网络的方便快捷的同时,各种各样的攻击和病毒也更加猖狂,网络的安全防护越发重要。本文档主要说明在安全防护中基于windows平台的加固策略。当前版本适用于Windows NT系列,主要以Windows 2003为主来。安全加固配置中部分加固配置可以考虑使用安全模板来实现,以减轻工作量。2安全加固内容
客户环境调查边界及物理安全
升级与补丁
操作系统加固
IIS加固
其他安全配置
3客户信息调查
客户网络环境(如:服务器前有没有fw,有些什么服务器)硬件信息
操作系统信息(版本,补丁情况)
IIS的版本
主机是否在一个windows域里
是否使用数据库,什么数据库
是否需要远程管理
是否需要终端访问服务
4边界及物理安全
设置边界防火墙只允许访问服务器的必要端口;部署防御DoS的功能;阻止服务器发出的主动连接设置BIOS密码
在BIOS里设置系统只能从硬盘启动,不允许从软盘和CD-ROM启动
至少创建两个NTFS分区,一个用来存放系统文件(C盘),一个用来存放数据(如E盘)
卸载不需要的组网协议
5升级与补丁
大企业,带SUS(软件升级服务)包的SMS(系统管理服务器),微软出品中小企业,SUS的独立版本
个人用户,MBSA (微软基准安全分析器);Reskit工具包里的srvinfo
第三方工具,Shavlik公司的HFNetChk Pro
6操作系统加固
帐号安全及策略删除各类共享
审计
服务最小化
防DoS设置
配置IPSec过滤器
6.1帐号安全及策略
密码策略密码必须符合复杂性要求:启用
密码长度最小值: 8个字符
密码最长存留期: 70天
密码最短存留期: 30天
强制密码历史: 3个记住的密码
帐户锁定阀值: 5次无效登陆
帐户锁定时间: 15分钟
复位帐户锁定计数器: 15分钟之后
Guest及administrator帐号管理
给guest帐号设置一个足够复杂的密码;
将guest帐号改名,并且禁用guest帐号;
禁止Guest帐号本地登录和网络登录的权限。(打开“本地安全策略”-“本地策略”-“用户权利指派”,在“拒绝本地登陆”和“拒绝从网络访问这台计算机”中添加guest帐号)
为administrator改名,尽可能隐藏信息,防止口令猜测等攻击。
其他相关策略
删除无用帐户,尽可能减少系统安全隐患;
隐藏控制台上次登陆用户名
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\winlogon
键值:DontDisplayLastUserName
类型:GEG_SZ
值:1
从通过网络访问此计算机中删除Everyone组;
在用户权利指派下,从通过网络访问此计算机中删除Power Users和Backup Operators;
为交互登录启动消息文本。
启用 不允许匿名访问SAM帐号和共享;
启用 不允许为网络验证存储凭据或Passport;
启用 在下一次密码变更时不存储LANMAN哈希值;
启用 清除虚拟内存页面文件;
禁止IIS匿名用户在本地登录; (用户权限指派-〉拒绝本地登录-〉添加IUSER_XXX)
启用 交互登录:不显示上次的用户名;
从文件共享中删除允许匿名登录的DFS$和COMCFG;
禁用活动桌面
6.2删除各类共享
关闭NetBIOS网络和拨号连接->本地连接属性->Internet协议->属性->高级->选项->Wins里选中“禁用tcp/ip上的netbios”
确定生效后,TCP139 UDP 137 138将被关闭。
网络和拨号连接->本地连接属性中,取消选中“Microsoft 网络的文件和打印机共享”
确定生效后,TCP 445上将不再提供文件和打印共享服务。
Key:HKLM\\System\CurrentControlSet\Services\NetBT\Parameters 添加键值:SMBDeviceEnabled
类型REG_DWORD :值:0
重新启动系统后,TCP 445将被关闭
删除系统默认共享
删除ADMIN$,C$,D$,E$......等:
HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
添加键值:Autoshareserver(2000Professional应添加Autosharewks)
类型:REG_DWORD
值:0
添加后应重启server服务或重启系统使之生效。
对匿名连接进行限制
Key:HKLM\SYSTEM\CurrentControlSet\Control\Lsa
键值:restrictanonymous
类型:REG_DWORD
值:1
6.3审计
审核帐户管理 成功,失败审核帐户登陆事件 成功,失败
审核系统事件 成功,失败
审核特权使用 成功,失败
审核对象访问 成功,失败
审核登陆事件 成功,失败
审核策略更改 成功,失败
gpedit.msc->新加安全模版->事件日志
日志类型 日志大小 覆盖策略
应用程序日志 15488 K 覆盖早于30天的日志
安全日志 15488 K 覆盖早于30天的日志
系统日志 15488 K 覆盖早于30天的日志
6.4服务
必不可少的服务:DNS Client
Event Log
Logical Disk Manager
Plug & Play
Protected Storage
Security Accounts Manager
根据实际,需要的服务:
Network Connections Manager
Remote Procedure Call
Remote Registry Service
RunAs Service
域控制器需要的服务:
DNS Server
File Replication Service
KerberosKey Distribution Center
NetLogon
NTLM Service Provider
RPC Locator
Windows Time
TCP/IP NetBIOS helper
Server (提供共享资源时或者运行AD时)
Workstation (连接共享资源时)
IIS需要的服务:
IIS Admin Service
Protected Storage
World Wide Web Publishing Service
Windows 2003不能删除的服务:
Event log
Plug and Play
Remote Procedure Call (RPC)
Security Account Manager (SAM)
Terminal Services (Web服务器不应安装)
Windows Management Instrumentation Driver Extension
应该去掉的服务:
Indexing Service
FTP Publishing Service
SMTP Service
Telnet
其他服务不在列举自行发现吧。。。。
6.5防DoS设置
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]"SynAttackProtect"=dword:00000002
"EnablePMTUDiscovery"=dword:00000000
"NoNameReleaseOnDemand"=dword:00000001
“EnableDeadGWDetect”=dword:00000000
"EnableICMPRedirects"=dword:00000000
“Interface\PerformRouterdiscovery"=dword:00000000
"(NetBt\Parameters\)NoNamereleaseOnDemand"=dword:00000001
"KeepAliveTime"=dword:00300000
"PerformRouterDiscovery"=dword:00000000
"TcpMaxConnectResponseRetransmissions"=dword:00000002
"TcpMaxHalfOpen"=dword:00000100
"TcpMaxHalfOpenRetried"=dword:00000080
"TcpMaxPortsExhauted"=dword:00000001
6.6 系统检查
6.7 IPSEC配置
根据需要配置7 IIS加固
上一篇:反运营商DNS劫持解决方案
下一篇:Apache后缀名解析漏洞
分享到:
收藏