Windows_2003服务器系统安全加固配置手册 目 录
Windows 2003 安全加固配置手册 1 关键词: 4 摘 要: 4 缩略语: 4
参考标准及其资料: 4 1概述 5 2安全加固内容 5 3客户信息调查 5 4边界及物理安全 5 5升级与补丁 5 6操作系统加固 6 6.1帐号安全及策略 6 6.2删除各类共享 7 6.3审计 7 6.4服务 8 6.5防DoS设置 9 6.7 IPSEC配置 9 7 IIS加固 9 8 其他安全配置 10 9 资源下载 10 关键词:
Windows 2003、加固、DDoS 摘 要:
本手册主要描述了建立Windows NT系列操作系统安全加固配置标准,并以此标准为指导,配置和审视客户Windows NT系列服务器的安全性;降低系统存在的安全风险,确保系统安全可靠的运行。 缩略语: 无
参考标准及其资料:
资料名称 作者 发布日期 查阅渠道
《windows server 2003黑客大曝光》 Joel Scambray 2004.9 《Windows server 2003 安全指南》 微软网站 《Windows 安全加固》 网上文章
1概述
随着计算机互联网的发展,网络应用的普及,网络规模、网上计算机数量均呈指数型增长,在人们享受到网络的方便快捷的同时,各种各样的攻击和病毒也更加猖狂,网络的安全防护越发重要。本文档主要说明在安全防护中基于windows平台的加固策略。当前版本适用于Windows NT系列,主要以Windows 2003为主来。安全加固配置中部分加固配置可以考虑使用安全模板来实现,以减轻工作量。 2安全加固内容 客户环境调查 边界及物理安全 升级与补丁 操作系统加固 IIS加固
其他安全配置 3客户信息调查
客户网络环境(如:服务器前有没有fw,有些什么服务器) 硬件信息
操作系统信息(版本,补丁情况) IIS的版本
主机是否在一个windows域里 是否使用数据库,什么数据库 是否需要远程管理 是否需要终端访问服务 4边界及物理安全
设置边界防火墙只允许访问服务器的必要端口;部署防御DoS的功能;阻止服务器发出的主动连接
设置BIOS密码
在BIOS里设置系统只能从硬盘启动,不允许从软盘和CD-ROM启动
至少创建两个NTFS分区,一个用来存放系统文件(C盘),一个用来存放数据(如E盘) 卸载不需要的组网协议 5升级与补丁
大企业,带SUS(软件升级服务)包的SMS(系统管理服务器),微软出品 中小企业,SUS的独立版本
个人用户,MBSA (微软基准安全分析器);Reskit工具包里的srvinfo 第三方工具,Shavlik公司的HFNetChk Pro 6操作系统加固 帐号安全及策略 删除各类共享 审计
服务最小化 防DoS设置
配置IPSec过滤器 6.1帐号安全及策略 密码策略
密码必须符合复杂性要求:启用
密码长度最小值: 8个字符 密码最长存留期: 70天 密码最短存留期: 30天
强制密码历史: 3个记住的密码 帐户锁定阀值: 5次无效登陆 帐户锁定时间: 15分钟 复位帐户锁定计数器: 15分钟之后 Guest及administrator帐号管理
给guest帐号设置一个足够复杂的密码; 将guest帐号改名,并且禁用guest帐号; 禁止Guest帐号本地登录和网络登录的权限。(打开“本地安全策略”-“本地策略”-“用户权利指派”,在“拒绝本地登陆”和“拒绝从网络访问这台计算机”中添加guest帐号) 为administrator改名,尽可能隐藏信息,防止口令猜测等攻击。 其他相关策略
删除无用帐户,尽可能减少系统安全隐患; 隐藏控制台上次登陆用户名
HKLMSOFTWAREMicrosoftWindowsNTCurrentVersionwinlogon 键值:DontDisplayLastUserName 类型:GEG_SZ 值:1
从通过网络访问此计算机中删除Everyone组;
在用户权利指派下,从通过网络访问此计算机中删除Power Users和Backup Operators; 为交互登录启动消息文本。
启用 不允许匿名访问SAM帐号和共享;
启用 不允许为网络验证存储凭据或Passport; 启用 在下一次密码变更时不存储LANMAN哈希值; 启用 清除虚拟内存页面文件;
禁止IIS匿名用户在本地登录; (用户权限指派-〉拒绝本地登录-〉添加IUSER_XXX) 启用 交互登录不显示上次的用户名;
从文件共享中删除允许匿名登录的DFS$和COMCFG; 禁用活动桌面 6.2删除各类共享 关闭NetBIOS
网络和拨号连接-本地连接属性-Internet协议-属性-高级-选项-Wins里选中“禁用tcpip上的netbios”
确定生效后,TCP139 UDP 137 138将被关闭。
网络和拨号连接-本地连接属性中,取消选中“Microsoft 网络的文件和打印机共享” 确定生效后,TCP 445上将不再提供文件和打印共享服务。
KeyHKLMSystemCurrentControlSetServicesNetBTParameters 添加键值:SMBDeviceEnabled 类型REG_DWORD :值:0
重新启动系统后,TCP 445将被关闭 删除系统默认共享
删除ADMIN$,C$,D$,E$......等:
HKLMSYSTEMCurrentControlSetServiceslanmanserverparameters
添加键值:Autoshareserver(2000Professional应添加Autosharewks) 类型:REG_DWORD 值:0
添加后应重启server服务或重启系统使之生效。 对匿名连接进行限制
KeyHKLMSYSTEMCurrentControlSetControlLsa 键值:restrictanonymous 类型:REG_DWORD 值:1 6.3审计
审核帐户管理 成功,失败 审核帐户登陆事件 成功,失败 审核系统事件 成功,失败 审核特权使用 成功,失败 审核对象访问 成功,失败 审核登陆事件 成功,失败 审核策略更改 成功,失败
gpedit.msc-新加安全模版-事件日志
日志类型 日志大小 覆盖策略
应用程序日志 15488 K 覆盖早于 30天的日志 安全日志 15488 K 覆盖早于 30天的日志 系统日志 15488 K 覆盖早于 30天的日志 6.4服务
必不可少的服务: DNS Client Event Log
Logical Disk Manager Plug & Play
Protected Storage
Security Accounts Manager 根据实际,需要的服务:
Network Connections Manager Remote Procedure Call Remote Registry Service RunAs Service
域控制器需要的服务: DNS Server
File Replication Service
Kerberos Key Distribution Center NetLogon
NTLM Service Provider RPC Locator Windows Time
TCPIP NetBIOS helper
Server (提供共享资源时或者运行AD时) Workstation (连接共享资源时) IIS需要的服务: IIS Admin Service Protected Storage
World Wide Web Publishing Service Windows 2003不能删除的服务: Event log Plug and Play
Remote Procedure Call (RPC) Security Account Manager (SAM)
Terminal Services (Web服务器不应安装)
Windows Management Instrumentation Driver Extension 应该去掉的服务: Indexing Service
FTP Publishing Service SMTP Service Telnet
其他服务不在列举自行发现吧。。。。 6.5防DoS设置
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters] SynAttackProtect=dword00000002 EnablePMTUDiscovery=dword00000000 NoNameReleaseOnDemand=dword00000001 “EnableDeadGWDetect”=dword00000000 EnableICMPRedirects=dword00000000
“InterfacePerformRouterdiscovery=dword00000000
(NetBtParameters)NoNamereleaseOnDemand=dword00000001 KeepAliveTime=dword00300000
PerformRouterDiscovery=dword00000000
TcpMaxConnectResponseRetransmissions=dword00000002 TcpMaxHalfOpen=dword00000100
TcpMaxHalfOpenRetried=dword00000080 TcpMaxPortsExhauted=dword00000001 6.6 系统检查 6.7 IPSEC配置 根据需要配置 7 IIS加固 IIS虚拟根目录
把IIS虚拟根目录(如:CInetpub)挪到第二个NTFS分区(比如E盘),避免Unicode和二次解码攻击。使用Reskit工具包里的robocopy工具和SECMOVE参数,以保证复制ACL表
敏感目录ACL
使用cacls工具设置Web服务器卷上%systemroot%子目录及下级子目录的ACL为 “System
Full” ”Administrators Full””Everyone read” 关闭父路径设置项
IIS Admin- 属性 - 主目录 - 应用程序设置 - 配置 - 应用程序选项 - 弃选 启用父路径 删除多余项目
关闭Administration(系统管理)站点并删除虚拟子目录IISAdmin和IISHelp 删除用不着的映射关系 (如.htr和.printer映射)
找出并删除ISAPI应用程序中的RevertToSelf调用,防止攻击者提升IUSR或IWAM帐号的权限;把IIS的应用程序保护选项设置为Medium或High
HTML和脚本文件里包含敏感文件或者子目录的路径名,需要删除 自定义返回给客户端的脚本错误消息 在脚本错误消息中,选中“发送文本错误消息给客户”,在下面的文本框中自定义一段错误提示。
其它相关设置
考虑是否真的需要远程对Web服务器进行管理,如果真的需要,为Web服务器专门建立一个单一功能的远程管理系统,部署在与Web服务器同一网段内某个位置 可以考虑安装UrlScan工具,以便限制恶意的HTTP调用 不要把敏感信息或私人数据保存在Active Server文件或头文件里。把服务器端数据明确地用% %标记括起来,防止“查看脚本源代码”攻击 8 其他安全配置 域控制器 SNMP
SQL Server安全措施
Terminal Server安全措施 IE
9 资源下载
最新的MBSA可以从下列地址下载:
http://www.microsoft.comtechnetsecuritytoolsmbsahome.mspx Hfnetchk.exe下载地址:
http://hfnetchk.shavlik.com
IIS Lockdown Tool 2.1下载地址:
http://www.microsoft.comdownloadsdetails.aspx
FamilyID=dde9efc0-bb30-47eb-9a61-fd755d23cdec&DisplayLang=en