《系统安全加固技术》由会员分享,可在线阅读,更多相关《系统安全加固技术(59页珍藏版)》请在金锄头文库上搜索。
1、系统安全加固技术 计算机系 蔡灿民v系统的安全加固:通过配置目录权限,系统 安全策略,协议栈加强,系统服务和访问控 制加固您的系统,整体提高服务器的安全性 。 WINDOWS篇-补丁检查及安 装 v补丁安装的原则:新安装或者重新安装Windows操作系统,必须 安装最新的Service Pack补丁集(以下示例若 无特别说明,均是以Windows2003操作系统为 例。截止到2009年4月Windows2003最新补丁 集为SP2,Windows XP最新补丁集为SP3, Windows Vista最新补丁集为SP1)。必须及时安装与安全相关的Hotfixes补丁。WINDOWS篇-补丁检查及
2、安 装更新补丁前,要求先在测试系统上对补丁进行 可用性和兼容性验证。最新的安全补丁发布与升级步骤,请参照微软 网站的公告,具体网址链接为: http:/ y/default.mspx注意:微软于2009-4-14起,停止Windows XP 的主流支持服务,改为扩展支持服务,微软将 不再发布Windows XP除安全更新外的软件更新 。WINDOWS篇-账号和口令安 全 v要求通过“本地安全策略”调整“密码策略”,提 高系统的安全水平,具体要求如下表:WINDOWS篇-密码策略配置要 求策略默认设认设 置安全设设置 强制执行密码历史 记录记住 0 个密码记住 5个密码密码最长期限42 天90
3、天 密码最短期限0 天0 天 最短密码长度0 个字符8 个字符 密码必须符合复杂 性要求禁用启用为域中所有用户使 用可还原的加密 来储存密码禁用禁用“密码策略”的设置步骤v落不明进入“控制面板/管理工具/本地安全策 略”,在“帐户策略密码策略”。 WINDOWS篇-密码复杂性配置 要求 v在“密码策略”中 启用“密码必须符合复杂性要求”选项 后,系统将强制要求密码的设置具备一定的强壮度 ,要求密码密码必须符合下列最低要求:v不能包含用户的账户名,不能包含用户姓名中超过 两个连续字符的部分v至少有六个字符长v包含以下四类字符中的三类字符:v英文大写字母(A 到 Z)v英文小写字母(a 到 z)v
4、10 个基本数字(0 到 9)v非字母数字字符(例如 !、$、#、%) WINDOWS篇-账号安全控制要 求 v“帐户锁定策略”配置要求v有效的账号锁定策略有助于防止针对账号的暴力 破解。 策略默认设认设 置安全设设置帐户锁 定时间未定义20 分钟帐户锁 定阈值0次无效登录5 次无效登录复位帐户锁 定计数器未定义20 分钟之后v账号锁定配置具体操作:进入“控制面板/管 理工具/本地安全策略”,在“帐户策略帐户 锁定策略”。 系统内置账号管理要求v Windows系统中内置账号,包括 Administrator和guest。对于管理员账号, 要求更改缺省帐户名称(如图所示),对隶 属于Admin
5、istrators组的账号要严格监控; 要求禁用guest(来宾)账号,以防止攻击 者通过利用已知的用户名破坏远程服务器。其它账号管理要求 v临时的测试帐户和过期的无用帐户应该在3 个工作日内及时删除。v注:测试帐户和无用帐户不是系统默认安装 时生成的,是系统操作过程中人为新增的帐 户,从系统安全加固的角度来看,此类帐户 应该及时删除。WINDOWS篇-文件系统、注册 表权限控制标准 v目录保护配置要求v文件保护配置要求 v注册表保护配置要求 WINDOWS篇-目录保护配置要 求v要求按照下表内容对受保护的目录权限进行 设置。对于多个帐户使用一台主机,要求根 据具体情况对重要的文件目录进行账户
6、权限 的设置。 v注:其中%SystemRoot% 定义了 Windows 系统文件所在的路径和文件夹名, %SystemDrive% 定义了包含 %systemroot% 的驱动器。 保护护的目录录基准权权限%systemdrive%Administrators:完全控制 System:完全控制 Authenticated Users:读取和执行、 列出文件夹内容、读取 %SystemRoot%Repair %SystemRoot%Security %SystemRoot%Temp %SystemRoot%system32Config %SystemRoot%system32Logfiles
7、Administrators:完全控制 Creator/Owner:完全控制 System:完全控制%systemdrive%InetpubAdministrators:完全控制 System:完全控制 Everyone:读取和执行、列出文件 夹内容、读取文件保护配置要求v对系统的敏感文件的权限进行修改,以避免文件 被恶意用户读取或执行。 文件基准权权限%SystemDrive%Boot.iniAdministrators:完全控制 System:完全控制%SystemDrive%NAdministrators:完全控制 System:完全控制%SystemDrive%NtldrAdminis
8、trators:完全控制 System:完全控制%SystemDrive%Io.sysAdministrators:完全控制 System:完全控制%SystemDrive%Autoexec.batAdministrators:完全控制 System:完全控制 Authenticated Users:读取和执行 、列出文件夹内容、读取%SystemRoot%system32 Administrators:完全控制注册表保护配置要求v建议将以下注册表键值的权限配置为: Administrators和system完全控制, everyone只读。在配置前,必须首先测试 注册表键值权限更改对服务器应
9、用可能产生 的影响。 vHKEY_LOCAL_MACHINESoftwareClassesregfileshellopencom mandvHKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonvHKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionPerflibvHKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSec urePipeServerswinregvHKEY_LOCAL_MACHINESYST
10、EMCurrentControlSetControlLsavHKEY_LOCAL_MACHINE SOFTWAREMicrosoftWindowsCurrentVersionRunvHKEY_LOCAL_MACHINE SOFTWAREMicrosoftWindowsCurrentVersionRunOncevHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent VersionRunOnceExWINDOWS篇-网络与服务配置 标准 网络协议安装要求v要求只运行安装TCP/IP网络协议,不允许 安装IPX,AppleTalk等其他的网络协议。如 果
11、存在其他协议,在本地连接属性里,将其 他协议卸载或者不选择。v注:如要安装其它协议再添加。服务管理配置标准 v Windows缺省安装会创建很多默认服务, 并配置为在系统启动时运行。实际运行环境 中并不需要运行所有服务,而任何多余的服 务都存在受攻击的风险,因此要求禁用不必 要的服务。 v建议禁用下列的不必要服务: 服务务服务务功能实现实现 Alerter通知所选用户和计算机有关系统管理级警报 Indexing Service负责 索引磁盘上的文档和文档属性,并且在一个目录中保存信息,使得你在以后可以搜索 ClipBookClipBook支持ClipBook Viewer程序,该程序可以允许剪
12、贴页 被远程计算机上的ClipBook 浏览 .可以使得用户能够通过网络连 接来剪切和粘贴文本和图形 DHCP client通过注册和更新IP地址和DNS域名来管理网络配置 DNS Server负责 解答DNS域名查询 Fax负责 管理传真的发送和接收 Messenger主机间发 消息的程序,有漏洞建议关闭 File Replication主机间文件复制的支持程序,不需要 Help and Support Windows 系统的帮助服务 TCP/IP NETBIOS Helper该服务允许在TCP/IP网络上进行NETBIOS通信 NetMeeting Remote Desktop Shari
13、ng允许授权用户通过使用NetMeeting来远程访问 你的Windows桌面 Remote Registry使得经过 授权的管理员能够对 位于远程主机上的注册表项目进行操作,对于一些功能,例 如远程性能监视 ,是需要Remote Registry Internet Connection Sharing将某计算机的Internet联机与其他一些计算机进行共享 Simple TCP/IP这个服务是作为基本的TCP/IP服务而运行,打开了TCP端口7,9,13,17,19 Telephony提供电话 和基于IP地语音连接. Trivial FTP DaemonTftp不经验证简单 ftp服务 Te
14、lnet远程登录必须禁止 Terminal Services如果不需要远程桌面服务,必须禁止 License Logging 认证 服务相关,一般不需要 Print spooler如果不需要打印文档,必须关闭 Wireless Configuration一般服务器不需要无线设 置 Net Logon域账号登录用,如果没有域,必须关闭v下列服务是可能用到的服务,应根据具体运行环境确认是否 需要开启这些服务:vSMTP服务vFTP服务vIIS admin 服务vWEB服务器的管理服务,一般服务器上不必启用。vWWW服务 vSNMP 服务vSNMP,是网络管理协议,在不需要通过SNMP进行网管的 情
15、况下,可禁用该服务。vTerminal远程桌面服务 v如果启用了远程桌面管理服务,要求做以下安全配置。1、 通过外部防火墙软件限制对3389端口的访问,只允许一定 范围内的IP访问此机器的3389端口;2、限制或者指定通过 远程桌面可以登录的用户名称, 限制通过远程桌面可以登录的用户名称 WINDOWS篇-安全选项配置标 准 v具体设置方法为: “控制面板/管理工具/本 地安全策略”,在“本地策略安全选项”中 安全选项选项注释释安全设设置LAN Manager身份 验证级别确定网络登录时将使用哪个质询/响应身份 验证协议 。该选项 会影响客户端使用的 身份验证协议 的级别、协商的会话安全 级别
16、,以及服务器所接受的身份验证级 别。发送LM& NTLM响应, 如果已协商 ,使用 NTLMv2安全 会话不允许SAM帐户和 共享的匿名枚举确定匿名连接到计算机应具有的其他权限。已启用如果无法记录安全 审计则 立即关 闭系统确定当系统无法记录安全事件时是否关闭系 统。已禁用不显示上次的用户 名确定是否将上次登录到计算机的用户名显示 在 Windows 登录画面中。已启用在关机时清理虚拟 内存页面文件确定在关闭系统时是否清除虚拟内存页面文 件。已启用在密码到期前提示 用户更改密码确定提前多长时间 (单位为天)警告用户 其密码将过期。通过这种提前警告,用 户可以有时间创 建具有足够安全性的密 码。14天WINDOWS篇-日志与审计配置 标准 v“审核策略”配置要求 审审核策略默认认配置安全设设置
