1、 windows 2003安全加固手冊(cè)windows 2003 安全加固配置手冊(cè) 目 錄windows 2003 安全加固配置手冊(cè)1關(guān)鍵詞：4摘 要：4縮略語(yǔ)：4參考標(biāo)準(zhǔn)及其資料：41概述52安全加固內(nèi)容53客戶(hù)信息調(diào)查54邊界及物理安全55升級(jí)與補(bǔ)丁56操作系統(tǒng)加固66.1帳號(hào)安全及策略66.2刪除各類(lèi)共享76.3審計(jì)76.4服務(wù)86.5防dos設(shè)置96.7 ipsec配置97 iis加固98 其他安全配置109 資源下載10關(guān)鍵詞：windows 2003、加固、ddos摘 要：本手冊(cè)主要描述了建立windows nt系列操作系統(tǒng)安全加固配置標(biāo)準(zhǔn)，并以此標(biāo)準(zhǔn)為指導(dǎo)，配置和審視客戶(hù)windo

2、ws nt系列服務(wù)器的安全性；降低系統(tǒng)存在的安全風(fēng)險(xiǎn)，確保系統(tǒng)安全可靠的運(yùn)行?？s略語(yǔ)：無(wú)參考標(biāo)準(zhǔn)及其資料：資料名稱(chēng)作者發(fā)布日期查閱渠道windows server 2003黑客大曝光joel scambray2004.9windows server 2003 安全指南微軟網(wǎng)站windows 安全加固網(wǎng)上文章1概述隨著計(jì)算機(jī)互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)應(yīng)用的普及，網(wǎng)絡(luò)規(guī)模、網(wǎng)上計(jì)算機(jī)數(shù)量均呈指數(shù)型增長(zhǎng)，在人們享受到網(wǎng)絡(luò)的方便快捷的同時(shí)，各種各樣的攻擊和病毒也更加猖狂，網(wǎng)絡(luò)的安全防護(hù)越發(fā)重要。本文檔主要說(shuō)明在安全防護(hù)中基于windows平臺(tái)的加固策略。當(dāng)前版本適用于windows nt系列，主要以windo

3、ws 2003為主來(lái)。安全加固配置中部分加固配置可以考慮使用安全模板來(lái)實(shí)現(xiàn)，以減輕工作量。2安全加固內(nèi)容客戶(hù)環(huán)境調(diào)查邊界及物理安全升級(jí)與補(bǔ)丁操作系統(tǒng)加固iis加固其他安全配置3客戶(hù)信息調(diào)查客戶(hù)網(wǎng)絡(luò)環(huán)境（如：服務(wù)器前有沒(méi)有fw，有些什么服務(wù)器）硬件信息操作系統(tǒng)信息（版本，補(bǔ)丁情況）iis的版本主機(jī)是否在一個(gè)windows域里是否使用數(shù)據(jù)庫(kù)，什么數(shù)據(jù)庫(kù)是否需要遠(yuǎn)程管理是否需要終端訪問(wèn)服務(wù)4邊界及物理安全設(shè)置邊界防火墻只允許訪問(wèn)服務(wù)器的必要端口；部署防御dos的功能；阻止服務(wù)器發(fā)出的主動(dòng)連接設(shè)置bios密碼在bios里設(shè)置系統(tǒng)只能從硬盤(pán)啟動(dòng)，不允許從軟盤(pán)和cd-rom啟動(dòng)至少創(chuàng)建兩個(gè)ntfs分區(qū)，一

4、個(gè)用來(lái)存放系統(tǒng)文件（c盤(pán)），一個(gè)用來(lái)存放數(shù)據(jù)（如e盤(pán)）卸載不需要的組網(wǎng)協(xié)議5升級(jí)與補(bǔ)丁大企業(yè)，帶sus（軟件升級(jí)服務(wù)）包的sms（系統(tǒng)管理服務(wù)器），微軟出品中小企業(yè)，sus的獨(dú)立版本個(gè)人用戶(hù)，mbsa （微軟基準(zhǔn)安全分析器）；reskit工具包里的srvinfo第三方工具，shavlik公司的hfnetchk pro6操作系統(tǒng)加固帳號(hào)安全及策略刪除各類(lèi)共享審計(jì)服務(wù)最小化防dos設(shè)置配置ipsec過(guò)濾器6.1帳號(hào)安全及策略密碼策略密碼必須符合復(fù)雜性要求：?jiǎn)⒂妹艽a長(zhǎng)度最小值： 8個(gè)字符密碼最長(zhǎng)存留期： 70天密碼最短存留期： 30天強(qiáng)制密碼歷史： 3個(gè)記住的密碼帳戶(hù)鎖定閥值： 5次無(wú)效登陸帳戶(hù)鎖定

5、時(shí)間： 15分鐘復(fù)位帳戶(hù)鎖定計(jì)數(shù)器： 15分鐘之后guest及administrator帳號(hào)管理給guest帳號(hào)設(shè)置一個(gè)足夠復(fù)雜的密碼；將guest帳號(hào)改名，并且禁用guest帳號(hào)；禁止guest帳號(hào)本地登錄和網(wǎng)絡(luò)登錄的權(quán)限。（打開(kāi)“本地安全策略”-“本地策略”-“用戶(hù)權(quán)利指派”，在“拒絕本地登陸”和“拒絕從網(wǎng)絡(luò)訪問(wèn)這臺(tái)計(jì)算機(jī)”中添加guest帳號(hào)）為administrator改名，盡可能隱藏信息，防止口令猜測(cè)等攻擊。其他相關(guān)策略刪除無(wú)用帳戶(hù)，盡可能減少系統(tǒng)安全隱患；隱藏控制臺(tái)上次登陸用戶(hù)名hklmsoftwaremicrosoftwindowsntcurrentversionwinlogon

6、鍵值：dontdisplaylastusername類(lèi)型：geg_sz值：1從通過(guò)網(wǎng)絡(luò)訪問(wèn)此計(jì)算機(jī)中刪除everyone組; 在用戶(hù)權(quán)利指派下，從通過(guò)網(wǎng)絡(luò)訪問(wèn)此計(jì)算機(jī)中刪除power users和backup operators; 為交互登錄啟動(dòng)消息文本。 啟用 不允許匿名訪問(wèn)sam帳號(hào)和共享; 啟用 不允許為網(wǎng)絡(luò)驗(yàn)證存儲(chǔ)憑據(jù)或passport;啟用 在下一次密碼變更時(shí)不存儲(chǔ)lanman哈希值; 啟用 清除虛擬內(nèi)存頁(yè)面文件; 禁止iis匿名用戶(hù)在本地登錄; (用戶(hù)權(quán)限指派-拒絕本地登錄-添加iuser_xxx)啟用 交互登錄:不顯示上次的用戶(hù)名; 從文件共享中刪除允許匿名登錄的dfs$和com

7、cfg; 禁用活動(dòng)桌面6.2刪除各類(lèi)共享關(guān)閉netbios網(wǎng)絡(luò)和撥號(hào)連接-本地連接屬性-internet協(xié)議-屬性-高級(jí)-選項(xiàng)-wins里選中“禁用tcp/ip上的netbios” 確定生效后，tcp139 udp 137 138將被關(guān)閉。網(wǎng)絡(luò)和撥號(hào)連接-本地連接屬性中，取消選中“microsoft 網(wǎng)絡(luò)的文件和打印機(jī)共享” 確定生效后，tcp 445上將不再提供文件和打印共享服務(wù)。key:hklmsystemcurrentcontrolsetservicesnetbtparameters 添加鍵值：smbdeviceenabled 類(lèi)型reg_dword ：值：0 重新啟動(dòng)系統(tǒng)后，tcp 4

8、45將被關(guān)閉刪除系統(tǒng)默認(rèn)共享刪除admin$,c$,d$,e$.等：hklmsystemcurrentcontrolsetserviceslanmanserverparameters添加鍵值：autoshareserver（2000professional應(yīng)添加autosharewks）類(lèi)型：reg_dword值：0添加后應(yīng)重啟server服務(wù)或重啟系統(tǒng)使之生效。對(duì)匿名連接進(jìn)行限制key:hklmsystemcurrentcontrolsetcontrollsa鍵值：restrictanonymous類(lèi)型：reg_dword值：16.3審計(jì) 審核帳戶(hù)管理 成功，失敗審核帳戶(hù)登陸事件 成功，失敗

9、審核系統(tǒng)事件 成功，失敗審核特權(quán)使用 成功，失敗審核對(duì)象訪問(wèn) 成功，失敗審核登陸事件 成功，失敗審核策略更改 成功，失敗gpedit.msc-新加安全模版-事件日志 日志類(lèi)型 日志大小 覆蓋策略應(yīng)用程序日志 15488 k 覆蓋早于 30天的日志安全日志 15488 k 覆蓋早于 30天的日志系統(tǒng)日志 15488 k 覆蓋早于 30天的日志6.4服務(wù) 必不可少的服務(wù)：dns clientevent loglogical disk managerplug & playprotected storagesecurity accounts manager根據(jù)實(shí)際，需要的服務(wù)：network conn

10、ections managerremote procedure callremote registry servicerunas service域控制器需要的服務(wù)：dns serverfile replication servicekerberos key distribution centernetlogonntlm service providerrpc locatorwindows timetcp/ip netbios helperserver (提供共享資源時(shí)或者運(yùn)行ad時(shí))workstation (連接共享資源時(shí))iis需要的服務(wù)：iis admin serviceprotected

11、 storageworld wide web publishing servicewindows 2003不能刪除的服務(wù)：event logplug and playremote procedure call (rpc)security account manager (sam)terminal services (web服務(wù)器不應(yīng)安裝)windows management instrumentation driver extension應(yīng)該去掉的服務(wù)：indexing serviceftp publishing servicesmtp servicetelnet6.5防dos設(shè)置hkey_l

12、ocal_machinesystemcurrentcontrolsetservicestcpipparameters synattackprotect=dword:00000002 enablepmtudiscovery=dword:00000000 nonamereleaseondemand=dword:00000001 “enabledeadgwdetect”=dword:00000000 enableicmpredirects=dword:00000000“interfaceperformrouterdiscovery=dword:00000000(netbtparameters)non

13、amereleaseondemand=dword:00000001keepalivetime=dword:00300000 performrouterdiscovery=dword:00000000 tcpmaxconnectresponseretransmissions=dword:00000002 tcpmaxhalfopen=dword:00000100 tcpmaxhalfopenretried=dword:00000080 tcpmaxportsexhauted=dword:000000016.6 系統(tǒng)檢查6.7 ipsec配置根據(jù)需要配置7 iis加固iis虛擬根目錄把iis虛擬根

14、目錄（如：c:inetpub）挪到第二個(gè)ntfs分區(qū)（比如e盤(pán)），避免unicode和二次解碼攻擊。使用reskit工具包里的robocopy工具和/sec/move參數(shù)，以保證復(fù)制acl表敏感目錄acl使用cacls工具設(shè)置web服務(wù)器卷上%systemroot%子目錄及下級(jí)子目錄的acl為: “system: full” ”administrators: full” ”everyone: read”關(guān)閉父路徑設(shè)置項(xiàng)iis admin- 屬性 - 主目錄 - 應(yīng)用程序設(shè)置 - 配置 - 應(yīng)用程序選項(xiàng) - 棄選 啟用父路徑刪除多余項(xiàng)目關(guān)閉administration（系統(tǒng)管理）站點(diǎn)并刪除虛擬子

15、目錄iisadmin和iishelp刪除用不著的映射關(guān)系 （如.htr和.printer映射）找出并刪除isapi應(yīng)用程序中的reverttoself調(diào)用，防止攻擊者提升iusr或iwam帳號(hào)的權(quán)限；把iis的應(yīng)用程序保護(hù)選項(xiàng)設(shè)置為medium或highhtml和腳本文件里包含敏感文件或者子目錄的路徑名，需要?jiǎng)h除自定義返回給客戶(hù)端的腳本錯(cuò)誤消息在腳本錯(cuò)誤消息中，選中“發(fā)送文本錯(cuò)誤消息給客戶(hù)”，在下面的文本框中自定義一段錯(cuò)誤提示。其它相關(guān)設(shè)置考慮是否真的需要遠(yuǎn)程對(duì)web服務(wù)器進(jìn)行管理，如果真的需要，為web服務(wù)器專(zhuān)門(mén)建立一個(gè)單一功能的遠(yuǎn)程管理系統(tǒng)，部署在與web服務(wù)器同一網(wǎng)段內(nèi)某個(gè)位置可以考慮安裝urlscan工具，以便限制惡意的http調(diào)用不要把敏感信息或私人數(shù)據(jù)保存在activ