Windows_2003_加固手冊.doc

Windows 2003安全加固手冊Windows 2003 安全加固配置手冊 目 錄Windows 2003 安全加固配置手冊1關鍵詞：4摘 要：4縮略語：4參考標準及其資料：41概述52安全加固內容53客戶信息調查54邊界及物理安全55升級與補丁56操作系統(tǒng)加固66.1帳號安全及策略66.2刪除各類共享76.3審計76.4服務86.5防DoS設置96.7 IPSEC配置97 IIS加固98 其他安全配置109 資源下載10關鍵詞：Windows 2003、加固、DDoS摘 要：本手冊主要描述了建立Windows NT系列操作系統(tǒng)安全加固配置標準，并以此標準為指導，配置和審視客戶Windows NT系列服務器的安全性；降低系統(tǒng)存在的安全風險，確保系統(tǒng)安全可靠的運行?？s略語：無參考標準及其資料：1概述隨著計算機互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡應用的普及，網(wǎng)絡規(guī)模、網(wǎng)上計算機數(shù)量均呈指數(shù)型增長，在人們享受到網(wǎng)絡的方便快捷的同時，各種各樣的攻擊和病毒也更加猖狂，網(wǎng)絡的安全防護越發(fā)重要。本文檔主要說明在安全防護中基于windows平臺的加固策略。當前版本適用于Windows NT系列，主要以Windows 2003為主來。安全加固配置中部分加固配置可以考慮使用安全模板來實現(xiàn)，以減輕工作量。2安全加固內容客戶環(huán)境調查邊界及物理安全升級與補丁操作系統(tǒng)加固IIS加固其他安全配置3客戶信息調查客戶網(wǎng)絡環(huán)境（如：服務器前有沒有fw，有些什么服務器）硬件信息操作系統(tǒng)信息（版本，補丁情況）IIS的版本主機是否在一個windows域里是否使用數(shù)據(jù)庫，什么數(shù)據(jù)庫是否需要遠程管理是否需要終端訪問服務4邊界及物理安全設置邊界防火墻只允許訪問服務器的必要端口；部署防御DoS的功能；阻止服務器發(fā)出的主動連接設置BIOS密碼在BIOS里設置系統(tǒng)只能從硬盤啟動，不允許從軟盤和CD-ROM啟動至少創(chuàng)建兩個NTFS分區(qū)，一個用來存放系統(tǒng)文件（C盤），一個用來存放數(shù)據(jù)（如E盤）卸載不需要的組網(wǎng)協(xié)議5升級與補丁大企業(yè)，帶SUS（軟件升級服務）包的SMS（系統(tǒng)管理服務器），微軟出品中小企業(yè)，SUS的獨立版本個人用戶，MBSA （微軟基準安全分析器）；Reskit工具包里的srvinfo第三方工具，Shavlik公司的HFNetChk Pro6操作系統(tǒng)加固帳號安全及策略刪除各類共享審計服務最小化防DoS設置配置IPSec過濾器6.1帳號安全及策略密碼策略密碼必須符合復雜性要求：啟用密碼長度最小值： 8個字符密碼最長存留期： 70天密碼最短存留期： 30天強制密碼歷史： 3個記住的密碼帳戶鎖定閥值： 5次無效登陸帳戶鎖定時間： 15分鐘復位帳戶鎖定計數(shù)器： 15分鐘之后Guest及administrator帳號管理給guest帳號設置一個足夠復雜的密碼；將guest帳號改名，并且禁用guest帳號；禁止Guest帳號本地登錄和網(wǎng)絡登錄的權限。（打開“本地安全策略”-“本地策略”-“用戶權利指派”，在“拒絕本地登陸”和“拒絕從網(wǎng)絡訪問這臺計算機”中添加guest帳號）為administrator改名，盡可能隱藏信息，防止口令猜測等攻擊。其他相關策略刪除無用帳戶，盡可能減少系統(tǒng)安全隱患；隱藏控制臺上次登陸用戶名HKLMSOFTWAREMicrosoftWindowsNTCurrentVersionwinlogon鍵值：DontDisplayLastUserName類型：GEG_SZ值：1從通過網(wǎng)絡訪問此計算機中刪除Everyone組; 在用戶權利指派下，從通過網(wǎng)絡訪問此計算機中刪除Power Users和Backup Operators; 為交互登錄啟動消息文本。 啟用 不允許匿名訪問SAM帳號和共享; 啟用 不允許為網(wǎng)絡驗證存儲憑據(jù)或Passport;啟用 在下一次密碼變更時不存儲LANMAN哈希值; 啟用 清除虛擬內存頁面文件; 禁止IIS匿名用戶在本地登錄; (用戶權限指派-拒絕本地登錄-添加IUSER_XXX)啟用 交互登錄:不顯示上次的用戶名; 從文件共享中刪除允許匿名登錄的DFS$和COMCFG; 禁用活動桌面6.2刪除各類共享關閉NetBIOS網(wǎng)絡和撥號連接-本地連接屬性-Internet協(xié)議-屬性-高級-選項-Wins里選中“禁用tcp/ip上的netbios” 確定生效后，TCP139 UDP 137 138將被關閉。網(wǎng)絡和撥號連接-本地連接屬性中，取消選中“Microsoft 網(wǎng)絡的文件和打印機共享” 確定生效后，TCP 445上將不再提供文件和打印共享服務。Key:HKLMSystemCurrentControlSetServicesNetBTParameters 添加鍵值：SMBDeviceEnabled 類型REG_DWORD ：值：0 重新啟動系統(tǒng)后，TCP 445將被關閉刪除系統(tǒng)默認共享刪除ADMIN$,C$,D$,E$.等：HKLMSYSTEMCurrentControlSetServiceslanmanserverparameters添加鍵值：Autoshareserver（2000Professional應添加Autosharewks）類型：REG_DWORD值：0添加后應重啟server服務或重啟系統(tǒng)使之生效。對匿名連接進行限制Key:HKLMSYSTEMCurrentControlSetControlLsa鍵值：restrictanonymous類型：REG_DWORD值：16.3審計 審核帳戶管理 成功，失敗審核帳戶登陸事件 成功，失敗審核系統(tǒng)事件 成功，失敗審核特權使用 成功，失敗審核對象訪問 成功，失敗審核登陸事件 成功，失敗審核策略更改 成功，失敗gpedit.msc-新加安全模版-事件日志 日志類型 日志大小 覆蓋策略應用程序日志 15488 K 覆蓋早于 30天的日志安全日志 15488 K 覆蓋早于 30天的日志系統(tǒng)日志 15488 K 覆蓋早于 30天的日志6.4服務 必不可少的服務：DNS ClientEvent LogLogical Disk ManagerPlug & PlayProtected StorageSecurity Accounts Manager根據(jù)實際，需要的服務：Network Connections ManagerRemote Procedure CallRemote Registry ServiceRunAs Service域控制器需要的服務：DNS ServerFile Replication ServiceKerberos Key Distribution CenterNetLogonNTLM Service ProviderRPC LocatorWindows TimeTCP/IP NetBIOS helperServer (提供共享資源時或者運行AD時)Workstation (連接共享資源時)IIS需要的服務：IIS Admin ServiceProtected StorageWorld Wide Web Publishing ServiceWindows 2003不能刪除的服務：Event logPlug and PlayRemote Procedure Call (RPC)Security Account Manager (SAM)Terminal Services (Web服務器不應安裝)Windows Management Instrumentation Driver Extension應該去掉的服務：Indexing ServiceFTP Publishing ServiceSMTP ServiceTelnet其他服務不在列舉自行發(fā)現(xiàn)吧。6.5防DoS設置HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters SynAttackProtect=dword:00000002 EnablePMTUDiscovery=dword:00000000 NoNameReleaseOnDemand=dword:00000001 “EnableDeadGWDetect”=dword:00000000 EnableICMPRedirects=dword:00000000“InterfacePerformRouterdiscovery=dword:00000000(NetBtParameters)NoNamereleaseOnDemand=dword:00000001KeepAliveTime=dword:00300000 PerformRouterDiscovery=dword:00000000 TcpMaxConnectResponseRetransmissions=dword:00000002 TcpMaxHalfOpen=dword:00000100 TcpMaxHalfOpenRetried=dword:00000080 TcpMaxPortsExhauted=dword:000000016.6 系統(tǒng)檢查7 IIS加固IIS虛擬根目錄把IIS虛擬根目錄（如：C:Inetpub）挪到第二個NTFS分區(qū)（比如E盤），避免Unicode和二次解碼攻擊。使用Reskit工具包里的robocopy工具和/SEC/MOVE參數(shù)，以保證復制ACL表敏感目錄ACL使用cacls工具設置Web服務器卷上%systemroot%子目錄及下級子目錄的ACL為: “System: Full” ”Administrators: Full” ”Everyone: read”關閉父路徑設置項IIS Admin- 屬性 - 主目錄 - 應用程序設置 - 配置 - 應用程序選項 - 棄選 啟用父路徑刪除多余項目關閉Administration（系統(tǒng)管理）站點并刪除虛擬子目錄IISAdmin和IISHelp刪除用不著的映射關系 （如.htr和.printer映射）找出并刪除ISAPI應用程序中的RevertToSelf調用，防止攻擊者提升IUSR或IWAM帳號的權限；把IIS的應用程序保護選項設置為Medium或HighHTML和腳本文件里包含敏感文件或者子目錄的路徑名，需要刪除自定義返回給客戶端的腳本錯誤消息在腳本錯誤消息中，選中“發(fā)送文本錯誤消息給客戶”，在下面的文本框中自定義一段錯誤提示。其它相關設置考慮是否真的需要遠程對Web服務器進行管理，如果真的需