Windows-2003服务器系统安全加固配置手册

Windows_2003服务器系统平安加固配置手册

目

录

Windows2003平安加固配置手册1

关键词：4

摘

要：4

缩略语：4

参考标准及其资料：4

1概述5

2平安加固内容5

3客户信息调查5

4边界及物理平安5

5升级与补丁5

6操作系统加固6

6.1帐号平安及策略6

6.2删除各类共享7

6.3审计7

6.4服务8

6.5防DoS设置9

6.7IPSEC配置9

7IIS加固9

8其他平安配置10

9资源下载10

关键词：

Windows2003、加固、DDoS

摘

要：

本手册主要描述了建立WindowsNT系列操作系统平安加固配置标准，并以此标准为指导，配置和谛视客户WindowsNT系列服务器的平安性；降低系统存在的平安风险，确保系统平安牢靠的运行。

缩略语：

无

参考标准及其资料：

资料名称作者发布日期查阅渠道

《windowsserver2003黑客大曝光》JoelScambray2004.9

《Windowsserver2003平安指南》

微软网站

《Windows平安加固》

网上文章1概述

随着计算机互联网的发展，网络应用的普及，网络规模、网上计算机数量均呈指数型增长，在人们享受到网络的便利快捷的同时，各种各样的攻击和病毒也更加猖狂，网络的平安防护更加重要。本文档主要说明在平安防护中基于windows平台的加固策略。当前版本适用于WindowsNT系列，主要以Windows2003为主来。平安加固配置中部分加固配置可以考虑运用平安模板来实现，以减轻工作量。

2平安加固内容

客户环境调查

边界及物理平安

升级与补丁

操作系统加固

IIS加固

其他平安配置

3客户信息调查

客户网络环境（如：服务器前有没有fw，有些什么服务器）

硬件信息

操作系统信息（版本，补丁状况）

IIS的版本

主机是否在一个windows域里

是否运用数据库，什么数据库

是否须要远程管理

是否须要终端访问服务

4边界及物理平安

设置边界防火墙只允许访问服务器的必要端口；部署防卫DoS的功能；阻挡服务器发出的主动连接

设置BIOS密码

在BIOS里设置系统只能从硬盘启动，不允许从软盘和CD-ROM启动

至少创建两个NTFS分区，一个用来存放系统文件（C盘），一个用来存放数据（如E盘）

卸载不须要的组网协议

5升级与补丁

大企业，带SUS（软件升级服务）包的SMS（系统管理服务器），微软出品

中小企业，SUS的独立版本

个人用户，MBSA（微软基准平安分析器）；Reskit工具包里的srvinfo

第三方工具，Shavlik公司的HFNetChkPro

6操作系统加固

帐号平安及策略

删除各类共享

审计

服务最小化

防DoS设置

配置IPSec过滤器

6.1帐号平安及策略

密码策略

密码必需符合困难性要求：启用

密码长度最小值：

8个字符

密码最长存留期：

70天

密码最短存留期：

30天

强制密码历史：

3个记住的密码

帐户锁定阀值：

5次无效登陆

帐户锁定时间：

15分钟

复位帐户锁定计数器：

15分钟之后

Guest及administrator帐号管理

给guest帐号设置一个足够困难的密码；

将guest帐号改名，并且禁用guest帐号；

禁止Guest帐号本地登录和网络登录的权限。（打开“本地平安策略”-“本地策略”-“用户权利指派”，在“拒绝本地登陆”和“拒绝从网络访问这台计算机”中添加guest帐号）

为administrator改名，尽可能隐藏信息，防止口令揣测等攻击。

其他相关策略

删除无用帐户，尽可能削减系统平安隐患；

隐藏限制台上次登陆用户名

HKLMSOFTWAREMicrosoftWindowsNTCurrentVersionwinlogon

键值：DontDisplayLastUserName

类型：GEG_SZ

值：1

从通过网络访问此计算机中删除Everyone组;

在用户权利指派下，从通过网络访问此计算机中删除PowerUsers和BackupOperators;

为交互登录启动消息文本。

启用不允许匿名访问SAM帐号和共享;

启用不允许为网络验证存储凭据或Passport;

启用在下一次密码变更时不存储LANMAN哈希值;

启用清除虚拟内存页面文件;

禁止IIS匿名用户在本地登录;

(用户权限指派-〉拒绝本地登录-〉添加IUSER_XXX)

启用交互登录不显示上次的用户名;

从文件共享中删除允许匿名登录的DFS$和COMCFG;

禁用活动桌面

6.2删除各类共享

关闭NetBIOS

网络和拨号连接-本地连接属性-Internet协议-属性-高级-选项-Wins里选中“禁用tcpip上的netbios”

确定生效后，TCP139

UDP137138将被关闭。

网络和拨号连接-本地连接属性中，取消选中“Microsoft网络的文件和打印机共享”

确定生效后，TCP445上将不再供应文件和打印共享服务。

KeyHKLMSystemCurrentControlSetServicesNetBTParameters添加键值：SMBDeviceEnabled

类型REG_DWORD：值：0

重新启动系统后，TCP445将被关闭

删除系统默认共享

删除ADMIN$,C$,D$,E$......等：

HKLMSYSTEMCurrentControlSetServiceslanmanserverparameters

添加键值：Autoshareserver（2000Professional应添加Autosharewks）

类型：REG_DWORD

值：0

添加后应重启server服务或重启系统使之生效。

对匿名连接进行限制

KeyHKLMSYSTEMCurrentControlSetControlLsa

键值：restrictanonymous

类型：REG_DWORD

值：1

6.3审计

审核帐户管理

胜利，失败

审核帐户登陆事务

胜利，失败

审核系统事务

胜利，失败

审核特权运用

胜利，失败

审核对象访问

胜利，失败

审核登陆事务

胜利，失败

审核策略更改

胜利，失败

gpedit.msc-新加平安模版-事务日志

日志类型

日志大小

覆盖策略

应用程序日志

15488K

覆盖早于30天的日志

平安日志

15488K

覆盖早于30天的日志

系统日志

15488K

覆盖早于30天的日志

6.4服务

必不行少的服务：

DNSClient

EventLog

LogicalDiskManager

Plug&Play

ProtectedStorage

SecurityAccountsManager

依据实际，须要的服务：

NetworkConnectionsManager

RemoteProcedureCall

RemoteRegistryService

RunAsService

域限制器须要的服务：

DNSServer

FileReplicationService

KerberosKeyDistributionCenter

NetLogon

NTLMServiceProvider

RPCLocator

WindowsTime

TCPIPNetBIOShelper

Server(供应共享资源时或者运行AD时)

Workstation(连接共享资源时)

IIS须要的服务：

IISAdminService

ProtectedStorage

WorldWideWebPublishingService

Windows2003不能删除的服务：

Eventlog

PlugandPlay

RemoteProcedureCall(RPC)

SecurityAccountManager(SAM)

TerminalServices(Web服务器不应安装)

WindowsManagementInstrumentationDriverExtension

应当去掉的服务：

IndexingService

FTPPublishingService

SMTPService

Telnet

其他服务不在列举自行发觉吧。。。。

6.5防DoS设置

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters]

SynAttackProtect=dword00000002

EnablePMTUDiscovery=dword00000000

NoNameReleaseOnDemand=dword00000001

“EnableDeadGWDetect”=dword00000000

EnableICMPRedirects=dword00000000

“InterfacePerformRouterdiscovery=dword00000000

(NetBtParameters)NoNamereleaseOnDemand=dword00000001

KeepAliveTime=dword00300000

PerformRouterDiscovery=dword00000000

TcpMaxConnectResponseRetransmissions=dword00000002

TcpMaxHalfOpen=dword00000100

TcpMaxHalfOpenRetried=dword00000080

TcpMaxPortsExhauted=dword00000001

6.6系统检查

6.7IPSEC配置

依据须要配置

7IIS加固

IIS虚拟根书目

把IIS虚拟根书目（如：CInetpub）挪到其次个NTFS分区（比如E盘），避开Unicode和二次解码攻击。运用Reskit工具包里的robocopy工具和SECMOVE参数，以保证复制ACL表

敏感书目ACL

运用cacls工具设置Web服务器卷上%systemroot%子书目及下级子书目的ACL为“SystemFull””AdministratorsFull””Everyoneread”

关闭父路径设置项

IISAdmin-属性-主书目-应用程序设置-配置-应用程序选项-弃选启用父路径

删除多余项目

关闭Administration（系统管理）站点并删除虚拟子书目IISAdmin和IISHelp

删除用不着的映射关系（如.htr和.printer映射）

找出并删除ISAPI应用程序中的RevertToSelf调用，防止攻击者提升IUSR或IWAM帐号的权限；把IIS的应用程序爱护选项设置为Medium或High

HTML和脚本文件里包含敏感文件或者子书目的路径名，须要删除

自定义返回给客户端的脚本错误消息

在脚本错误消息中，选中“发送文本错误消息给客户”，在下面的文本框中自定义一段错误提示。

其它相关设置

考虑是否真的须要远程对Web服务器进行管理，假如真的须要，为Web服务器特地建立一个单一功能的远程管理系统，部署在与Web服务器同一网段内某个位置

可以考虑安装UrlScan工具，以便限制恶意的HTTP调用