加固Windows-2003服务器系统安全加固配置手册

Windows 2003服务器系统安全加固配置手册

目录

Windows 2003安全加固配置手册1

关键词 4

摘要 4

缩略语 4

参考标准及其资料 4

1概述5

2安全加固内容5

3客户信息调查5

4边界及物理安全5

5升级与补丁5

6操作系统加固6

6.1 帐号安全及策略6

6.2删除各类共享7

6.3 审计7

6.4服务8

6. 5防DoS设置9

6. 7 IPSEC配置9

7 IIS加固9

8其他安全配置10

9 资源下载10

关键词

Windows 2003 、加固、 DDoS

摘要

本手册主要描述了建立Windows NT系列操作系统安全加固配置标准并以此标准为指导配置和审视客户Windows NT 系列服务器的安全性 降低系统存在的安全风险确保系统安全可靠的运行。

缩略语

无

参考标准及其资料

资料名称作者发布日期查阅渠道

《windows server 2003 黑客大曝光》 Joel Scambray 2004.9

《Windows server 2003 安全指南》微软网站

《Windows安全加固》 网上文章

1 概述随着计算机互联网的发展 网络应用的普及 网络规模、网上计算机数量均呈指数型增长在人们享受到网络的方便快捷的同时各种各样的攻击和病毒也更加猖狂 网络的安全防护越发重要。本文档主要说明在安全防护中基于windows平台的加固策略。当前版本适用于Windows NT系列主要以Windows 2003为主来。安全加固配置中部分加固配置可以考虑使用安全模板来实现 以减轻工作量。

2 安全加固内容客户环境调查边界及物理安全升级与补丁操作系统加固

IIS加固其他安全配置

3 客户信息调查

客户网络环境如服务器前有没有 fw有些什么服务器

硬件信息操作系统信息版本补丁情况

IIS的版本主机是否在一个windows域里是否使用数据库什么数据库是否需要远程管理是否需要终端访问服务4边界及物理安全

设置边界防火墙只允许访问服务器的必要端口 部署防御DoS的功能阻止服务器发出的主动连接

设置BIOS密码

在BIOS里设置系统只能从硬盘启动不允许从软盘和 CD-ROMB动

至少创建两个NTFS分区一个用来存放系统文件C盘 一个用来存放数据如E盘卸载不需要的组网协议5 升级与补丁

大企业带SUS 软件升级服务包的SMS 系统管理服务器 微软出品中小企业 SUS的独立版本

个人用户 MBSA 微软基准安全分析器  Reskit工具包里的srvinfo第三方工具 Shavlik公司的HFNetChk Pro

6操作系统加固帐号安全及策略删除各类共享审计

服务最小化

防DoS设置

配置IPSec过滤器

6. 1帐号安全及策略密码策略密码必须符合复杂性要求启用

密码长度最小值密码最长 8个字符

存留期密码最短存留期 70天

Guest及administrator帐号管理给guest帐号设置一个足够复杂的密码将guest帐号改名并且禁用guest 帐号禁止Guest帐号本地登录和网络登录的权限。 打开“本地安全策略” - “本地策略” - “用

帐号删除无用帐户尽可能减少系统安全隐患 隐藏控制台上次登陆用户名

HKLMSOFTWAREMicrosoftWindowsNTCurrentVersionwinlogon

键值 DontDisplayLastUserName

类型 GEG_SZ

值 1从通过网络访问此计算机中删除 Everyone组;

在用户权利指派下从通过网络访问此计算机中删除Power Users和Backup Operators; 为交互登录启动消息文本。

启用不允许匿名访问SAM帐号和共享

启用不允许为网络验证存储凭据或Passport;

启用在下一次密码变更时不存储 LANMA哈希值

启用清除虚拟内存页面文件

禁止IIS匿名用户在本地登录 用户权限指派- 〉拒绝本地登录- 〉添加IUSER_XXX

启用交互登录不显示上次的用户名

从文件共享中删除允许匿名登录的 DFS和COMCFG;

禁用活动桌面

6.2删除各类共享

关闭NetBIOS

网络和拨号连接-本地连接属性-Internet 协议-属性-高级-选项-Wins里选中"禁用tcpip

上的netbios ”

确定生效后 TCP139 UDP 137 138将被关闭。

网络和拨号连接-本地连接属性中取消选中“ Microsoft 网络的文件和打印机共享” 确定生效后 TCP 445上将

不再提供文件和打印共享服务。

KeyHKLMSystemCurrentControlSetServicesNetBTParameters添加键值 SMBDeviceEnabled类型

REG_DWORD值 0

重新启动系统后 TCP 445将被关闭

删除系统默认共享

删除ADMIN$,C$,D$,E$ . . . . .等

HKLMSYSTEMCurrentControlSetServiceslanmanserverparameters

添加键值 Autoshareserver ( 2000Professional类型

REG_DWORD

值 0

添加后应重启server服务或重启系统使之生效。对匿名连接进行限制

类型 REG_DWORD值 1

6.3审计审核帐户管理审核

帐户登陆事件审核系统事件

审核特权使用审核对象访问 成功失败

审核登陆事件审核策略更改 成功失败gpedit.msc- 日志类型应 成功失败

用程序日志安全日志系统日 成功失败

新加安全模版-事件日志

日志大小 覆盖策略

15488K 覆盖早于30天的日志

15488K 覆盖早于30天的日志

15488K 覆盖早于30天的日志

KeyHKLMSYSTEMCurrentControlSetControlLsa键值 restrictanonymous

必不可少的服务

DNS Client

Event Log

Logical Disk Manager

Plug &Play

Protected Storage

Security Accounts Manager根据实际需要的服务 Network Connections Manager Remote Procedure Call Remote Registry Service

RunAs Service域控制器需要的服务

DNS Server

Service

Kerberos Key Distribution Center

NetLogon

NTLM Service Provider

RPC Locator

Windows Time

TCPIP NetBIOS helper

Server 提供共享资源时或者运行 AD时

Workstation 连接共享资源时

IIS需要的服务

IIS Admin Service

Protected Storage

World Wide Web Publishing Service

Windows 2003不能删除的服务

Event log

Plug and Play

Remote Procedure Call RPC

Security Account Manager SAM

Terminal Services Web服务器不应安装

Windows Management Instrumentation Driver Extension应该去掉的服务

Indexing Service

Service

SMTP Service

Telnet

其他服务不在列举自行发现吧。 。 。 。

6.5防DoS设置[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters]

SynAttackProtect=dword00000002 EnablePMTUDiscovery=dword00000000

NoNameReleaseOnDemand=dword00000001 “EnableDeadGWDetec” t =dword00000000

EnableICMPRedirects=dword00000000 “InterfacePerformRouterdiscovery=dword00000000NetBtParameters NoNamereleaseOnDemand=dword00000001

KeepAliveTime=dword00300000 PerformRouterDiscovery=dword00000000

TcpMaxConnectResponseRetransmissions=dword00000002 TcpMaxHalfOpen=dword00000100

TcpMaxHalfOpenRetried=dword00000080 TcpMaxPortsExhauted=dword00000001

6.6系统检查

6. 7 IPSEC配置根据需要配置

7 IIS加固

IIS虚拟根目录

把IIS虚拟根目录如Clnetpub 挪到第二个NTFS分区比如E盘 避免Unicode和二次解码攻击。使用Reskit 工具包里的robocopy工具和SECMOV参数 以保证复制ACL表

敏感目录ACL

使用cacls工具设置Web服务器卷上systemroot%子目录及下级子目录的ACL为 “System

Full ” ” Administrators Full” ” Everyone read ”

关闭父路径设置项

IIS Admin-属性-主目录-应用程序设置-配置-应用程序选项-弃选启用父路径删除多余项目

关闭Administration 系统管理站点并删除虚拟子目录IISAdmin和IISHelp删除用不着的映射关系如.htr 和.printer映射

找出并删除ISAPI应用程序中的RevertToSelf调用防止攻击者提升 IUSR或IWAM帐号的权限把IIS的应用程序保护选项设置为 Medium或High

HTML和脚本文件里包含敏感文件或者子目录的路径名需要删除自定义返回给客户端的脚本错误消息

在脚本错误消息中选中“发送文本错误消息给客户” 在下面的文本框中自定义一段错误提示。

其它相关设置

考虑是否真的需要远程对 Web服务器进行管理如果真的需要 为Web服务器专门建立一个

单一功能的远程管理系统部署在与 Web服务器同一网段内某个位置

可以考虑安装UrlScan工具 以便限制恶意的 HTTP调用

不要把敏感信息或私人数据保存在Active Server文件或头文件里。把服务器端数据明确地用% %标记括起来防止“查看脚本源代码”攻击

8其他安全配置

域控制器

SNMP

SQL Server安全措施

Terminal Server安全措施

IE

9 资源下载

最新的MBSA可以从下列地址下载

Hfnetchk. exe下载地址

IIS Lockdown Tool 2. 1下载地址

FamilyID=dde9efc0-bb30-47eb-9a61-fd755d23cdec&DisplayLang=en