Windows_2003_加固手冊.doc

Windows 2003安全加固手冊Windows 2003 安全加固配置手冊 目 錄Windows 2003 安全加固配置手冊1關(guān)鍵詞：4摘 要：4縮略語：4參考標(biāo)準(zhǔn)及其資料：41概述52安全加固內(nèi)容53客戶信息調(diào)查54邊界及物理安全55升級與補(bǔ)丁56操作系統(tǒng)加固66.1帳號安全及策略66.2刪除各類共享76.3審計76.4服務(wù)86.5防DoS設(shè)置96.7 IPSEC配置97 IIS加固98 其他安全配置109 資源下載10關(guān)鍵詞：Windows 2003、加固、DDoS摘 要：本手冊主要描述了建立Windows NT系列操作系統(tǒng)安全加固配置標(biāo)準(zhǔn)，并以此標(biāo)準(zhǔn)為指導(dǎo)，配置和審視客戶Windows NT系列服務(wù)器的安全性；降低系統(tǒng)存在的安全風(fēng)險，確保系統(tǒng)安全可靠的運行?？s略語：無參考標(biāo)準(zhǔn)及其資料：1概述隨著計算機(jī)互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)應(yīng)用的普及，網(wǎng)絡(luò)規(guī)模、網(wǎng)上計算機(jī)數(shù)量均呈指數(shù)型增長，在人們享受到網(wǎng)絡(luò)的方便快捷的同時，各種各樣的攻擊和病毒也更加猖狂，網(wǎng)絡(luò)的安全防護(hù)越發(fā)重要。本文檔主要說明在安全防護(hù)中基于windows平臺的加固策略。當(dāng)前版本適用于Windows NT系列，主要以Windows 2003為主來。安全加固配置中部分加固配置可以考慮使用安全模板來實現(xiàn)，以減輕工作量。2安全加固內(nèi)容客戶環(huán)境調(diào)查邊界及物理安全升級與補(bǔ)丁操作系統(tǒng)加固IIS加固其他安全配置3客戶信息調(diào)查客戶網(wǎng)絡(luò)環(huán)境（如：服務(wù)器前有沒有fw，有些什么服務(wù)器）硬件信息操作系統(tǒng)信息（版本，補(bǔ)丁情況）IIS的版本主機(jī)是否在一個windows域里是否使用數(shù)據(jù)庫，什么數(shù)據(jù)庫是否需要遠(yuǎn)程管理是否需要終端訪問服務(wù)4邊界及物理安全設(shè)置邊界防火墻只允許訪問服務(wù)器的必要端口；部署防御DoS的功能；阻止服務(wù)器發(fā)出的主動連接設(shè)置BIOS密碼在BIOS里設(shè)置系統(tǒng)只能從硬盤啟動，不允許從軟盤和CD-ROM啟動至少創(chuàng)建兩個NTFS分區(qū)，一個用來存放系統(tǒng)文件（C盤），一個用來存放數(shù)據(jù)（如E盤）卸載不需要的組網(wǎng)協(xié)議5升級與補(bǔ)丁大企業(yè)，帶SUS（軟件升級服務(wù)）包的SMS（系統(tǒng)管理服務(wù)器），微軟出品中小企業(yè)，SUS的獨立版本個人用戶，MBSA （微軟基準(zhǔn)安全分析器）；Reskit工具包里的srvinfo第三方工具，Shavlik公司的HFNetChk Pro6操作系統(tǒng)加固帳號安全及策略刪除各類共享審計服務(wù)最小化防DoS設(shè)置配置IPSec過濾器6.1帳號安全及策略密碼策略密碼必須符合復(fù)雜性要求：啟用密碼長度最小值： 8個字符密碼最長存留期： 70天密碼最短存留期： 30天強(qiáng)制密碼歷史： 3個記住的密碼帳戶鎖定閥值： 5次無效登陸帳戶鎖定時間： 15分鐘復(fù)位帳戶鎖定計數(shù)器： 15分鐘之后Guest及administrator帳號管理給guest帳號設(shè)置一個足夠復(fù)雜的密碼；將guest帳號改名，并且禁用guest帳號；禁止Guest帳號本地登錄和網(wǎng)絡(luò)登錄的權(quán)限。（打開“本地安全策略”-“本地策略”-“用戶權(quán)利指派”，在“拒絕本地登陸”和“拒絕從網(wǎng)絡(luò)訪問這臺計算機(jī)”中添加guest帳號）為administrator改名，盡可能隱藏信息，防止口令猜測等攻擊。其他相關(guān)策略刪除無用帳戶，盡可能減少系統(tǒng)安全隱患；隱藏控制臺上次登陸用戶名HKLMSOFTWAREMicrosoftWindowsNTCurrentVersionwinlogon鍵值：DontDisplayLastUserName類型：GEG_SZ值：1從通過網(wǎng)絡(luò)訪問此計算機(jī)中刪除Everyone組; 在用戶權(quán)利指派下，從通過網(wǎng)絡(luò)訪問此計算機(jī)中刪除Power Users和Backup Operators; 為交互登錄啟動消息文本。 啟用 不允許匿名訪問SAM帳號和共享; 啟用 不允許為網(wǎng)絡(luò)驗證存儲憑據(jù)或Passport;啟用 在下一次密碼變更時不存儲LANMAN哈希值; 啟用 清除虛擬內(nèi)存頁面文件; 禁止IIS匿名用戶在本地登錄; (用戶權(quán)限指派-拒絕本地登錄-添加IUSER_XXX)啟用 交互登錄:不顯示上次的用戶名; 從文件共享中刪除允許匿名登錄的DFS$和COMCFG; 禁用活動桌面6.2刪除各類共享關(guān)閉NetBIOS網(wǎng)絡(luò)和撥號連接-本地連接屬性-Internet協(xié)議-屬性-高級-選項-Wins里選中“禁用tcp/ip上的netbios” 確定生效后，TCP139 UDP 137 138將被關(guān)閉。網(wǎng)絡(luò)和撥號連接-本地連接屬性中，取消選中“Microsoft 網(wǎng)絡(luò)的文件和打印機(jī)共享” 確定生效后，TCP 445上將不再提供文件和打印共享服務(wù)。Key:HKLMSystemCurrentControlSetServicesNetBTParameters 添加鍵值：SMBDeviceEnabled 類型REG_DWORD ：值：0 重新啟動系統(tǒng)后，TCP 445將被關(guān)閉刪除系統(tǒng)默認(rèn)共享刪除ADMIN$,C$,D$,E$.等：HKLMSYSTEMCurrentControlSetServiceslanmanserverparameters添加鍵值：Autoshareserver（2000Professional應(yīng)添加Autosharewks）類型：REG_DWORD值：0添加后應(yīng)重啟server服務(wù)或重啟系統(tǒng)使之生效。對匿名連接進(jìn)行限制Key:HKLMSYSTEMCurrentControlSetControlLsa鍵值：restrictanonymous類型：REG_DWORD值：16.3審計 審核帳戶管理 成功，失敗審核帳戶登陸事件 成功，失敗審核系統(tǒng)事件 成功，失敗審核特權(quán)使用 成功，失敗審核對象訪問 成功，失敗審核登陸事件 成功，失敗審核策略更改 成功，失敗gpedit.msc-新加安全模版-事件日志 日志類型 日志大小 覆蓋策略應(yīng)用程序日志 15488 K 覆蓋早于 30天的日志安全日志 15488 K 覆蓋早于 30天的日志系統(tǒng)日志 15488 K 覆蓋早于 30天的日志6.4服務(wù) 必不可少的服務(wù)：DNS ClientEvent LogLogical Disk ManagerPlug & PlayProtected StorageSecurity Accounts Manager根據(jù)實際，需要的服務(wù)：Network Connections ManagerRemote Procedure CallRemote Registry ServiceRunAs Service域控制器需要的服務(wù)：DNS ServerFile Replication ServiceKerberos Key Distribution CenterNetLogonNTLM Service ProviderRPC LocatorWindows TimeTCP/IP NetBIOS helperServer (提供共享資源時或者運行AD時)Workstation (連接共享資源時)IIS需要的服務(wù)：IIS Admin ServiceProtected StorageWorld Wide Web Publishing ServiceWindows 2003不能刪除的服務(wù)：Event logPlug and PlayRemote Procedure Call (RPC)Security Account Manager (SAM)Terminal Services (Web服務(wù)器不應(yīng)安裝)Windows Management Instrumentation Driver Extension應(yīng)該去掉的服務(wù)：Indexing ServiceFTP Publishing ServiceSMTP ServiceTelnet其他服務(wù)不在列舉自行發(fā)現(xiàn)吧。6.5防DoS設(shè)置HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters SynAttackProtect=dword:00000002 EnablePMTUDiscovery=dword:00000000 NoNameReleaseOnDemand=dword:00000001 “EnableDeadGWDetect”=dword:00000000 EnableICMPRedirects=dword:00000000“InterfacePerformRouterdiscovery=dword:00000000(NetBtParameters)NoNamereleaseOnDemand=dword:00000001KeepAliveTime=dword:00300000 PerformRouterDiscovery=dword:00000000 TcpMaxConnectResponseRetransmissions=dword:00000002 TcpMaxHalfOpen=dword:00000100 TcpMaxHalfOpenRetried=dword:00000080 TcpMaxPortsExhauted=dword:000000016.6 系統(tǒng)檢查7 IIS加固IIS虛擬根目錄把IIS虛擬根目錄（如：C:Inetpub）挪到第二個NTFS分區(qū)（比如E盤），避免Unicode和二次解碼攻擊。使用Reskit工具包里的robocopy工具和/SEC/MOVE參數(shù)，以保證復(fù)制ACL表敏感目錄ACL使用cacls工具設(shè)置Web服務(wù)器卷上%systemroot%子目錄及下級子目錄的ACL為: “System: Full” ”Administrators: Full” ”Everyone: read”關(guān)閉父路徑設(shè)置項IIS Admin- 屬性 - 主目錄 - 應(yīng)用程序設(shè)置 - 配置 - 應(yīng)用程序選項 - 棄選 啟用父路徑刪除多余項目關(guān)閉Administration（系統(tǒng)管理）站點并刪除虛擬子目錄IISAdmin和IISHelp刪除用不著的映射關(guān)系 （如.htr和.printer映射）找出并刪除ISAPI應(yīng)用程序中的RevertToSelf調(diào)用，防止攻擊者提升IUSR或IWAM帳號的權(quán)限；把IIS的應(yīng)用程序保護(hù)選項設(shè)置為Medium或HighHTML和腳本文件里包含敏感文件或者子目錄的路徑名，需要刪除自定義返回給客戶端的腳本錯誤消息在腳本錯誤消息中，選中“發(fā)送文本錯誤消息給客戶”，在下面的文本框中自定義一段錯誤提示。其它相關(guān)設(shè)置考慮是否真的需要遠(yuǎn)程對Web服務(wù)器進(jìn)行管理，如果真的需