《Windows_2003_加固手册1》由会员分享,可在线阅读,更多相关《Windows_2003_加固手册1(9页珍藏版)》请在金锄头文库上搜索。
1、 Windows 2003安全加固手册Windows 2003 安全加固配置手册 目 录Windows 2003 安全加固配置手册1关键词:4摘 要:4缩略语:4参考标准及其资料:41概述52安全加固内容53客户信息调查54边界及物理安全55升级与补丁56操作系统加固66.1帐号安全及策略66.2删除各类共享76.3审计76.4服务86.5防DoS设置96.7 IPSEC配置97 IIS加固98 其他安全配置109 资源下载10关键词:Windows 2003、加固、DDoS摘 要:本手册主要描述了建立Windows NT系列操作系统安全加固配置标准,并以此标准为指导,配置和审视客户Windo
2、ws NT系列服务器的安全性;降低系统存在的安全风险,确保系统安全可靠的运行。缩略语:无参考标准及其资料:1概述随着计算机互联网的发展,网络应用的普及,网络规模、网上计算机数量均呈指数型增长,在人们享受到网络的方便快捷的同时,各种各样的攻击和病毒也更加猖狂,网络的安全防护越发重要。本文档主要说明在安全防护中基于windows平台的加固策略。当前版本适用于Windows NT系列,主要以Windows 2003为主来。安全加固配置中部分加固配置可以考虑使用安全模板来实现,以减轻工作量。2安全加固内容客户环境调查边界及物理安全升级与补丁操作系统加固IIS加固其他安全配置3客户信息调查客户网络环境(
3、如:服务器前有没有fw,有些什么服务器)硬件信息操作系统信息(版本,补丁情况)IIS的版本主机是否在一个windows域里是否使用数据库,什么数据库是否需要远程管理是否需要终端访问服务4边界及物理安全设置边界防火墙只允许访问服务器的必要端口;部署防御DoS的功能;阻止服务器发出的主动连接设置BIOS密码在BIOS里设置系统只能从硬盘启动,不允许从软盘和CD-ROM启动至少创建两个NTFS分区,一个用来存放系统文件(C盘),一个用来存放数据(如E盘)卸载不需要的组网协议5升级与补丁大企业,带SUS(软件升级服务)包的SMS(系统管理服务器),微软出品中小企业,SUS的独立版本个人用户,MBSA
4、(微软基准安全分析器);Reskit工具包里的srvinfo第三方工具,Shavlik公司的HFNetChk Pro6操作系统加固帐号安全及策略删除各类共享审计服务最小化防DoS设置配置IPSec过滤器6.1帐号安全及策略密码策略密码必须符合复杂性要求:启用密码长度最小值: 8个字符密码最长存留期: 70天密码最短存留期: 30天强制密码历史: 3个记住的密码帐户锁定阀值: 5次无效登陆帐户锁定时间: 15分钟复位帐户锁定计数器: 15分钟之后Guest及administrator帐号管理给guest帐号设置一个足够复杂的密码;将guest帐号改名,并且禁用guest帐号;禁止Guest帐号本
5、地登录和网络登录的权限。(打开“本地安全策略”-“本地策略”-“用户权利指派”,在“拒绝本地登陆”和“拒绝从网络访问这台计算机”中添加guest帐号)为administrator改名,尽可能隐藏信息,防止口令猜测等攻击。其他相关策略删除无用帐户,尽可能减少系统安全隐患;隐藏控制台上次登陆用户名HKLMSOFTWAREMicrosoftWindowsNTCurrentVersionwinlogon键值:DontDisplayLastUserName类型:GEG_SZ值:1从通过网络访问此计算机中删除Everyone组; 在用户权利指派下,从通过网络访问此计算机中删除Power Users和Bac
6、kup Operators; 为交互登录启动消息文本。 启用 不允许匿名访问SAM帐号和共享; 启用 不允许为网络验证存储凭据或Passport;启用 在下一次密码变更时不存储LANMAN哈希值; 启用 清除虚拟内存页面文件; 禁止IIS匿名用户在本地登录; (用户权限指派-拒绝本地登录-添加IUSER_XXX)启用 交互登录:不显示上次的用户名; 从文件共享中删除允许匿名登录的DFS$和COMCFG; 禁用活动桌面6.2删除各类共享关闭NetBIOS网络和拨号连接-本地连接属性-Internet协议-属性-高级-选项-Wins里选中“禁用tcp/ip上的netbios” 确定生效后,TCP1
7、39 UDP 137 138将被关闭。网络和拨号连接-本地连接属性中,取消选中“Microsoft 网络的文件和打印机共享” 确定生效后,TCP 445上将不再提供文件和打印共享服务。Key:HKLMSystemCurrentControlSetServicesNetBTParameters 添加键值:SMBDeviceEnabled 类型REG_DWORD :值:0 重新启动系统后,TCP 445将被关闭删除系统默认共享删除ADMIN$,C$,D$,E$.等:HKLMSYSTEMCurrentControlSetServiceslanmanserverparameters添加键值:Autos
8、hareserver(2000Professional应添加Autosharewks)类型:REG_DWORD值:0添加后应重启server服务或重启系统使之生效。对匿名连接进行限制Key:HKLMSYSTEMCurrentControlSetControlLsa键值:restrictanonymous类型:REG_DWORD值:16.3审计 审核帐户管理 成功,失败审核帐户登陆事件 成功,失败审核系统事件 成功,失败审核特权使用 成功,失败审核对象访问 成功,失败审核登陆事件 成功,失败审核策略更改 成功,失败gpedit.msc-新加安全模版-事件日志 日志类型 日志大小 覆盖策略应用程序
9、日志 15488 K 覆盖早于 30天的日志安全日志 15488 K 覆盖早于 30天的日志系统日志 15488 K 覆盖早于 30天的日志6.4服务 必不可少的服务:DNS ClientEvent LogLogical Disk ManagerPlug & PlayProtected StorageSecurity Accounts Manager根据实际,需要的服务:Network Connections ManagerRemote Procedure CallRemote Registry ServiceRunAs Service域控制器需要的服务:DNS ServerFile Repl
10、ication ServiceKerberos Key Distribution CenterNetLogonNTLM Service ProviderRPC LocatorWindows TimeTCP/IP NetBIOS helperServer (提供共享资源时或者运行AD时)Workstation (连接共享资源时)IIS需要的服务:IIS Admin ServiceProtected StorageWorld Wide Web Publishing ServiceWindows 2003不能删除的服务:Event logPlug and PlayRemote Procedure C
11、all (RPC)Security Account Manager (SAM)Terminal Services (Web服务器不应安装)Windows Management Instrumentation Driver Extension应该去掉的服务:Indexing ServiceFTP Publishing ServiceSMTP ServiceTelnet其他服务不在列举自行发现吧。6.5防DoS设置HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters SynAttackProtect=dword:00000
12、002 EnablePMTUDiscovery=dword:00000000 NoNameReleaseOnDemand=dword:00000001 “EnableDeadGWDetect”=dword:00000000 EnableICMPRedirects=dword:00000000“InterfacePerformRouterdiscovery=dword:00000000(NetBtParameters)NoNamereleaseOnDemand=dword:00000001KeepAliveTime=dword:00300000 PerformRouterDiscovery=dw
13、ord:00000000 TcpMaxConnectResponseRetransmissions=dword:00000002 TcpMaxHalfOpen=dword:00000100 TcpMaxHalfOpenRetried=dword:00000080 TcpMaxPortsExhauted=dword:000000016.6 系统检查7 IIS加固IIS虚拟根目录把IIS虚拟根目录(如:C:Inetpub)挪到第二个NTFS分区(比如E盘),避免Unicode和二次解码攻击。使用Reskit工具包里的robocopy工具和/SEC/MOVE参数,以保证复制ACL表敏感目录ACL使用cacls工具设置Web服务器卷上%systemroot%子目录及下级子目录的ACL为: “System: Full” ”Administrators: Full” ”Everyone: read”关闭父路径设置项IIS Admin- 属性 - 主目录 - 应用程序设置 - 配置 - 应用程序选项 - 弃选 启用父路径删除多余项目关闭Administration(系统管理)站点并删除虚拟子目录IISAdmin和IISHelp删除用不着的映射关系 (如.htr和.printer映射)找出并删除ISAPI应用程序中的Reve
