Win 2003 加固手册.doc

1、 Windows 2003 安全加固手册版权所有，违者必究 第 1 页，共 9 页Windows 2003 安全加固配置手册Windows 2003 安全加固手册版权所有，违者必究 第 2 页，共 9 页目 录Windows 2003 安全加固配置手册 .1关键词： .4摘 要： .4缩略语： .4参考标准及其资料： .41 概述 .52 安全加固内容 .53 客户信息调查 .54 边界及物理安全 .55 升级与补丁 .56 操作系统加固 .66.1 帐号安全及策略 .66.2 删除各类共享 .76.3 审计 .76.4 服务 .86.5 防 DoS 设置 .96.7 IPSEC 配置 .97

2、 IIS 加固 .98 其他安全配置 .109 资源下载 .10Windows 2003 安全加固手册版权所有，违者必究 第 3 页，共 9 页关键词：Windows 2003、加固、DDoS.摘 要：本手册主要描述了建立 Windows NT 系列操作系统安全加固配置标准，并以此标准为指导，配置和审视客户 Windows NT 系列服务器的安全性；降低系统存在的安全风险，确保系统安全可靠的运行.缩略语：无参考标准及其资料：资料名称 作者 发布日期 查阅渠道windows server 2003黑客大曝光 Joel Scambray 2004.9Windows server 2003 安全指南

3、 微软网站Windows 安全加固 网上文章Windows 2003 安全加固手册版权所有，违者必究 第 4 页，共 9 页1 概述随着计算机互联网的发展，网络应用的普及，网络规模、网上计算机数量均呈指数型增长，在人们享受到网络的方便快捷的同时，各种各样的攻击和病毒也更加猖狂，网络的安全防护越发重要。本文档主要说明在安全防护中基于 windows 平台的加固策略。当前版本适用于 Windows NT 系列，主要以 Windows 2003 为主来。安全加固配置中部分加固配置可以考虑使用安全模板来实现，以减轻工作量。2 安全加固内容客户环境调查边界及物理安全升级与补丁操作系统加固IIS 加固其他

4、安全配置3 客户信息调查客户网络环境（如：服务器前有没有 fw，有些什么服务器）硬件信息操作系统信息（版本，补丁情况）IIS 的版本主机是否在一个 windows 域里是否使用数据库，什么数据库是否需要远程管理是否需要终端访问服务4 边界及物理安全设置边界防火墙只允许访问服务器的必要端口；部署防御 DoS 的功能；阻止服务器发出的主动连接设置 BIOS 密码在 BIOS 里设置系统只能从硬盘启动，不允许从软盘和 CD-ROM 启动至少创建两个 NTFS 分区，一个用来存放系统文件（C 盘） ，一个用来存放数据（如 E 盘）卸载不需要的组网协议5 升级与补丁大企业，带 SUS（软件升级服务）包的

5、 SMS（系统管理服务器） ，微软出品Windows 2003 安全加固手册版权所有，违者必究 第 5 页，共 9 页中小企业，SUS 的独立版本个人用户，MBSA （微软基准安全分析器） ；Reskit 工具包里的 srvinfo第三方工具，Shavlik 公司的 HFNetChk Pro6 操作系统加固帐号安全及策略删除各类共享审计服务最小化防 DoS 设置配置 IPSec 过滤器6.1 帐号安全及策略密码策略密码必须符合复杂性要求：启用密码长度最小值： 8 个字符密码最长存留期： 70 天密码最短存留期： 30 天强制密码历史： 3 个记住的密码帐户锁定阀值： 5 次无效登陆帐户锁定时间

6、： 15 分钟复位帐户锁定计数器： 15 分钟之后Guest 及 administrator 帐号管理给 guest 帐号设置一个足够复杂的密码；将 guest 帐号改名，并且禁用 guest 帐号；禁止 Guest 帐号本地登录和网络登录的权限。 （打开“本地安全策略”- “本地策略”-“用户权利指派” ，在“拒绝本地登陆”和“拒绝从网络访问这台计算机”中添加 guest 帐号）为 administrator 改名，尽可能隐藏信息，防止口令猜测等攻击。其他相关策略删除无用帐户，尽可能减少系统安全隐患；隐藏控制台上次登陆用户名HKLMSOFTWAREMicrosoftWindowsNTCurr

7、entVersionwinlogon键值：DontDisplayLastUserName类型：GEG_SZ值：1从通过网络访问此计算机中删除 Everyone 组; 在用户权利指派下，从通过网络访问此计算机中删除 Power Users 和 Backup Operators; 为交互登录启动消息文本。 启用 不允许匿名访问 SAM 帐号和共享; Windows 2003 安全加固手册版权所有，违者必究 第 6 页，共 9 页启用 不允许为网络验证存储凭据或 Passport;启用 在下一次密码变更时不存储 LANMAN 哈希值; 启用 清除虚拟内存页面文件; 禁止 IIS 匿名用户在本地登录

8、; (用户权限指派- 拒绝本地登录 -添加 IUSER_XXX)启用 交互登录:不显示上次的用户名 ; 从文件共享中删除允许匿名登录的 DFS$和 COMCFG; 禁用活动桌面6.2 删除各类共享关闭 NetBIOS网络和拨号连接-本地连接属性-Internet 协议-属性-高级 -选项-Wins 里选中“禁用 tcp/ip 上的 netbios”确定生效后，TCP139 UDP 137 138 将被关闭。网络和拨号连接-本地连接属性中，取消选中“Microsoft 网络的文件和打印机共享”确定生效后，TCP 445 上将不再提供文件和打印共享服务。Key:HKLMSystemCurrentC

9、ontrolSetServicesNetBTParameters 添加键值：SMBDeviceEnabled类型 REG_DWORD ：值：0重新启动系统后，TCP 445 将被关闭删除系统默认共享删除 ADMIN$,C$,D$,E$.等：HKLMSYSTEMCurrentControlSetServiceslanmanserverparameters添加键值：Autoshareserver（2000Professional 应添加 Autosharewks）类型：REG_DWORD值：0添加后应重启 server 服务或重启系统使之生效。对匿名连接进行限制Key:HKLMSYSTEMCurr

10、entControlSetControlLsa键值：restrictanonymous类型：REG_DWORD值：16.3 审计 审核帐户管理 成功，失败审核帐户登陆事件 成功，失败审核系统事件 成功，失败审核特权使用 成功，失败审核对象访问 成功，失败审核登陆事件 成功，失败审核策略更改 成功，失败Windows 2003 安全加固手册版权所有，违者必究 第 7 页，共 9 页gpedit.msc-新加安全模版 -事件日志 日志类型 日志大小 覆盖策略应用程序日志 15488 K 覆盖早于 30 天的日志安全日志 15488 K 覆盖早于 30 天的日志系统日志 15488 K 覆盖早于 3

11、0 天的日志6.4 服务 必不可少的服务：DNS ClientEvent LogLogical Disk ManagerPlug & PlayProtected StorageSecurity Accounts Manager根据实际，需要的服务：Network Connections ManagerRemote Procedure CallRemote Registry ServiceRunAs Service域控制器需要的服务：DNS ServerFile Replication ServiceKerberos Key Distribution CenterNetLogonNTLM Ser

12、vice ProviderRPC LocatorWindows TimeTCP/IP NetBIOS helperServer (提供共享资源时或者运行 AD 时)Workstation (连接共享资源时 )IIS 需要的服务：IIS Admin ServiceProtected StorageWorld Wide Web Publishing ServiceWindows 2003 不能删除的服务：Event logPlug and PlayWindows 2003 安全加固手册版权所有，违者必究 第 8 页，共 9 页Remote Procedure Call (RPC)Security

13、Account Manager (SAM)Terminal Services (Web 服务器不应安装)Windows Management Instrumentation Driver Extension应该去掉的服务：Indexing ServiceFTP Publishing ServiceSMTP ServiceTelnet其他服务不在列举自行发现吧。 。 。 。6.5 防 DoS 设置HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters “SynAttackProtect“=dword:00000002 “E

14、nablePMTUDiscovery“=dword:00000000 “NoNameReleaseOnDemand“=dword:00000001 “EnableDeadGWDetect”=dword:00000000 “EnableICMPRedirects“=dword:00000000“InterfacePerformRouterdiscovery“=dword:00000000“(NetBtParameters)NoNamereleaseOnDemand“=dword:00000001“KeepAliveTime“=dword:00300000 “PerformRouterDiscov

15、ery“=dword:00000000 “TcpMaxConnectResponseRetransmissions“=dword:00000002 “TcpMaxHalfOpen“=dword:00000100 “TcpMaxHalfOpenRetried“=dword:00000080 “TcpMaxPortsExhauted“=dword:000000016.6 系统检查6.7 IPSEC 配置根据需要配置7 IIS 加固IIS 虚拟根目录把 IIS 虚拟根目录（如：C:Inetpub）挪到第二个 NTFS 分区（比如 E 盘） ，避免 Unicode 和二次解码攻击。使用 Reskit

16、工具包里的 robocopy 工具和/SEC/MOVE 参数，以保证复制ACL 表敏感目录 ACLWindows 2003 安全加固手册版权所有，违者必究 第 9 页，共 9 页使用 cacls 工具设置 Web 服务器卷上%systemroot%子目录及下级子目录的 ACL 为: “System: Full” ”Administrators: Full” ”Everyone: read”关闭父路径设置项IIS Admin- 属性 - 主目录 - 应用程序设置 - 配置 - 应用程序选项 - 弃选 启用父路径删除多余项目关闭 Administration（系统管理）站点并删除虚拟子目录 IIS

17、Admin 和 IISHelp删除用不着的映射关系 （如.htr 和.printer 映射）找出并删除 ISAPI 应用程序中的 RevertToSelf 调用，防止攻击者提升 IUSR 或 IWAM 帐号的权限；把 IIS 的应用程序保护选项设置为 Medium 或 HighHTML 和脚本文件里包含敏感文件或者子目录的路径名，需要删除自定义返回给客户端的脚本错误消息在脚本错误消息中，选中“发送文本错误消息给客户” ，在下面的文本框中自定义一段错误提示。其它相关设置考虑是否真的需要远程对 Web 服务器进行管理，如果真的需要，为 Web 服务器专门建立一个单一功能的远程管理系统，部署在与 Web 服务器同一网段内某个位置可以考虑安装 UrlScan 工具，以便限制恶意的 HTTP 调用不要把敏感信息或私人数据保存在 Active Server 文件或头文件里。把服务器端数据明确地用标记括起来，防止“查看脚本源代码”攻击8 其他安全配置域控制器SNMPSQL Server 安全措施Terminal Server 安全措施IE9 资源下载最新的 MBSA 可以从下列地址下载：http:/ 下载地址：http:/ Lockdown Tool 2.1 下载地址：http:/