加固Windows-2003服务器系统安全加固配置手册

加固服务器  时间:2021-01-13  阅读:()

Windows 2003服务器系统安全加固配置手册

目录

Windows 2003安全加固配置手册1

关键词 4

摘要 4

缩略语 4

参考标准及其资料 4

1概述5

2安全加固内容5

3客户信息调查5

4边界及物理安全5

5升级与补丁5

6操作系统加固6

6.1 帐号安全及策略6

6.2删除各类共享7

6.3 审计7

6.4服务8

6. 5防DoS设置9

6. 7 IPSEC配置9

7 IIS加固9

8其他安全配置10

9 资源下载10

关键词

Windows 2003 、加固、 DDoS

摘要

本手册主要描述了建立Windows NT系列操作系统安全加固配置标准并以此标准为指导配置和审视客户Windows NT 系列服务器的安全性 降低系统存在的安全风险确保系统安全可靠的运行。

缩略语

参考标准及其资料

资料名称作者发布日期查阅渠道

《windows server 2003 黑客大曝光》 Joel Scambray 2004.9

《Windows server 2003 安全指南》微软网站

《Windows安全加固》 网上文章

1 概述随着计算机互联网的发展 网络应用的普及 网络规模、网上计算机数量均呈指数型增长在人们享受到网络的方便快捷的同时各种各样的攻击和病毒也更加猖狂 网络的安全防护越发重要。本文档主要说明在安全防护中基于windows平台的加固策略。当前版本适用于Windows NT系列主要以Windows 2003为主来。安全加固配置中部分加固配置可以考虑使用安全模板来实现 以减轻工作量。

2 安全加固内容客户环境调查边界及物理安全升级与补丁操作系统加固

IIS加固其他安全配置

3 客户信息调查

客户网络环境如服务器前有没有 fw有些什么服务器

硬件信息操作系统信息版本补丁情况

IIS的版本主机是否在一个windows域里是否使用数据库什么数据库是否需要远程管理是否需要终端访问服务4边界及物理安全

设置边界防火墙只允许访问服务器的必要端口 部署防御DoS的功能阻止服务器发出的主动连接

设置BIOS密码

在BIOS里设置系统只能从硬盘启动不允许从软盘和 CD-ROMB动

至少创建两个NTFS分区一个用来存放系统文件C盘 一个用来存放数据如E盘卸载不需要的组网协议5 升级与补丁

大企业带SUS 软件升级服务包的SMS 系统管理服务器 微软出品中小企业 SUS的独立版本

个人用户 MBSA 微软基准安全分析器  Reskit工具包里的srvinfo第三方工具 Shavlik公司的HFNetChk Pro

6操作系统加固帐号安全及策略删除各类共享审计

服务最小化

防DoS设置

配置IPSec过滤器

6. 1帐号安全及策略密码策略密码必须符合复杂性要求启用

密码长度最小值密码最长 8个字符

存留期密码最短存留期 70天

Guest及administrator帐号管理给guest帐号设置一个足够复杂的密码将guest帐号改名并且禁用guest 帐号禁止Guest帐号本地登录和网络登录的权限。 打开“本地安全策略” - “本地策略” - “用

帐号删除无用帐户尽可能减少系统安全隐患 隐藏控制台上次登陆用户名

HKLMSOFTWAREMicrosoftWindowsNTCurrentVersionwinlogon

键值 DontDisplayLastUserName

类型 GEG_SZ

值 1从通过网络访问此计算机中删除 Everyone组;

在用户权利指派下从通过网络访问此计算机中删除Power Users和Backup Operators; 为交互登录启动消息文本。

启用不允许匿名访问SAM帐号和共享

启用不允许为网络验证存储凭据或Passport;

启用在下一次密码变更时不存储 LANMA哈希值

启用清除虚拟内存页面文件

禁止IIS匿名用户在本地登录 用户权限指派- 〉拒绝本地登录- 〉添加IUSER_XXX

启用交互登录不显示上次的用户名

从文件共享中删除允许匿名登录的 DFS和COMCFG;

禁用活动桌面

6.2删除各类共享

关闭NetBIOS

网络和拨号连接-本地连接属性-Internet 协议-属性-高级-选项-Wins里选中"禁用tcpip

上的netbios ”

确定生效后 TCP139 UDP 137 138将被关闭。

网络和拨号连接-本地连接属性中取消选中“ Microsoft 网络的文件和打印机共享” 确定生效后 TCP 445上将

不再提供文件和打印共享服务。

KeyHKLMSystemCurrentControlSetServicesNetBTParameters添加键值 SMBDeviceEnabled类型

REG_DWORD值 0

重新启动系统后 TCP 445将被关闭

删除系统默认共享

删除ADMIN$,C$,D$,E$ . . . . .等

HKLMSYSTEMCurrentControlSetServiceslanmanserverparameters

添加键值 Autoshareserver ( 2000Professional类型

REG_DWORD

值 0

添加后应重启server服务或重启系统使之生效。对匿名连接进行限制

类型 REG_DWORD值 1

6.3审计审核帐户管理审核

帐户登陆事件审核系统事件

审核特权使用审核对象访问 成功失败

审核登陆事件审核策略更改 成功失败gpedit.msc- 日志类型应 成功失败

用程序日志安全日志系统日 成功失败

新加安全模版-事件日志

日志大小 覆盖策略

15488K 覆盖早于30天的日志

15488K 覆盖早于30天的日志

15488K 覆盖早于30天的日志

KeyHKLMSYSTEMCurrentControlSetControlLsa键值 restrictanonymous

必不可少的服务

DNS Client

Event Log

Logical Disk Manager

Plug &Play

Protected Storage

Security Accounts Manager根据实际需要的服务 Network Connections Manager Remote Procedure Call Remote Registry Service

RunAs Service域控制器需要的服务

DNS Server

Service

Kerberos Key Distribution Center

NetLogon

NTLM Service Provider

RPC Locator

Windows Time

TCPIP NetBIOS helper

Server 提供共享资源时或者运行 AD时

Workstation 连接共享资源时

IIS需要的服务

IIS Admin Service

Protected Storage

World Wide Web Publishing Service

Windows 2003不能删除的服务

Event log

Plug and Play

Remote Procedure Call RPC

Security Account Manager SAM

Terminal Services Web服务器不应安装

Windows Management Instrumentation Driver Extension应该去掉的服务

Indexing Service

Service

SMTP Service

Telnet

其他服务不在列举自行发现吧。 。 。 。

6.5防DoS设置[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters]

SynAttackProtect=dword00000002 EnablePMTUDiscovery=dword00000000

NoNameReleaseOnDemand=dword00000001 “EnableDeadGWDetec” t =dword00000000

EnableICMPRedirects=dword00000000 “InterfacePerformRouterdiscovery=dword00000000NetBtParameters NoNamereleaseOnDemand=dword00000001

KeepAliveTime=dword00300000 PerformRouterDiscovery=dword00000000

TcpMaxConnectResponseRetransmissions=dword00000002 TcpMaxHalfOpen=dword00000100

TcpMaxHalfOpenRetried=dword00000080 TcpMaxPortsExhauted=dword00000001

6.6系统检查

6. 7 IPSEC配置根据需要配置

7 IIS加固

IIS虚拟根目录

把IIS虚拟根目录如Clnetpub 挪到第二个NTFS分区比如E盘 避免Unicode和二次解码攻击。使用Reskit 工具包里的robocopy工具和SECMOV参数 以保证复制ACL表

敏感目录ACL

使用cacls工具设置Web服务器卷上systemroot%子目录及下级子目录的ACL为 “System

Full ” ” Administrators Full” ” Everyone read ”

关闭父路径设置项

IIS Admin-属性-主目录-应用程序设置-配置-应用程序选项-弃选启用父路径删除多余项目

关闭Administration 系统管理站点并删除虚拟子目录IISAdmin和IISHelp删除用不着的映射关系如.htr 和.printer映射

找出并删除ISAPI应用程序中的RevertToSelf调用防止攻击者提升 IUSR或IWAM帐号的权限把IIS的应用程序保护选项设置为 Medium或High

HTML和脚本文件里包含敏感文件或者子目录的路径名需要删除自定义返回给客户端的脚本错误消息

在脚本错误消息中选中“发送文本错误消息给客户” 在下面的文本框中自定义一段错误提示。

其它相关设置

考虑是否真的需要远程对 Web服务器进行管理如果真的需要 为Web服务器专门建立一个

单一功能的远程管理系统部署在与 Web服务器同一网段内某个位置

可以考虑安装UrlScan工具 以便限制恶意的 HTTP调用

不要把敏感信息或私人数据保存在Active Server文件或头文件里。把服务器端数据明确地用% %标记括起来防止“查看脚本源代码”攻击

8其他安全配置

域控制器

SNMP

SQL Server安全措施

Terminal Server安全措施

IE

9 资源下载

最新的MBSA可以从下列地址下载

Hfnetchk. exe下载地址

IIS Lockdown Tool 2. 1下载地址

FamilyID=dde9efc0-bb30-47eb-9a61-fd755d23cdec&DisplayLang=en

Gcore(gcorelabs)俄罗斯海参崴VPS简单测试

有一段时间没有分享Gcore(gcorelabs)的信息了,这是一家成立于2011年的国外主机商,总部位于卢森堡,主要提供VPS主机和独立服务器租用等,数据中心包括俄罗斯、美国、日本、韩国、新加坡、荷兰、中国(香港)等多个国家和地区的十几个机房,商家针对不同系列的产品分为不同管理系统,比如VPS(Hosting)、Cloud等都是独立的用户中心体系,部落分享的主要是商家的Hosting(Virtu...

美国服务器20G防御 50G防御 688元CN2回国

全球领先的IDC服务商华纳云“美国服务器”正式发售啦~~~~此次上线的美国服务器包含美国云服务器、美国服务器、美国高防服务器以及美国高防云服务器。针对此次美国服务器新品上线,华纳云也推出了史无前例的超低活动力度。美国云服务器低至3折,1核1G5M低至24元/月,20G DDos防御的美国服务器低至688元/月,年付再送2个月,两年送4个月,三年送6个月,且永久续费同价,更多款高性价比配置供您选择。...

速云:广州移动/深圳移动/广东联通/香港HKT等VDS,9折优惠,最低月付9元;深圳独立服务器1050元/首月起

速云怎么样?速云,国人商家,提供广州移动、深圳移动、广州茂名联通、香港hkt等VDS和独立服务器。现在暑期限时特惠,力度大。广州移动/深圳移动/广东联通/香港HKT等9折优惠,最低月付9元;暑期特惠,带宽、流量翻倍,深港mplc免费试用!点击进入:速云官方网站地址速云优惠码:全场9折优惠码:summer速云优惠活动:活动期间,所有地区所有配置可享受9折优惠,深圳/广州地区流量计费VDS可选择流量翻...

加固服务器为你推荐
php虚拟主机php程序在虚拟主机上怎么运行全能虚拟主机旗舰型全能主机500m(x500.特惠虚拟主机)要什么数据库外国虚拟主机为什么淘宝上的 外国的虚拟主机 这么便宜?网站空间价格普通的网站空间要多少钱一年重庆网站空间重庆有没有发展空间?香港虚拟主机推荐一下香港的虚拟主机公司!域名停靠域名停靠是什么啊? 谁能告诉我谢谢!域名劫持怎么域名劫持一个网站?买域名买域名要多少钱?org域名org域名做网站好不好
www二级域名 域名城 网站备案域名查询 中文域名交易中心 域名抢注工具 liquidweb 国外php主机 godaddy优惠券 天猫双十一秒杀 godaddy 镇江联通宽带 卡巴斯基永久免费版 个人空间申请 qq数据库下载 怎么测试下载速度 idc是什么 100m独享 申请网页 电信托管 根服务器 更多