windows加固.doc

文档编号 文档编号 GWLD SDZC WINDOWS 2009 02 25 BJ001 首都之窗网站群运维服务项目首都之窗网站群运维服务项目 安全加固报告安全加固报告 国家信息安全工程技术研究中心国家信息安全工程技术研究中心 网络安全中心网络安全中心 2009 年 02 月 25 日 声明 本文档是国家信息安全工程技术研究中心 网络安全中心为首都之窗网站 群运维服务项目提交文档的一部分 文档的所有权归网络安全中心所有 任何对本文 档的修改 发布 传播等行为都需要获得网络安全中心的授权 网络安全中心保留对 违反以上声明的组织或个人追究责任 直至诉诸法律的权力 Windows Server 安全加固方案 国家信息安全工程技术研究中心 网络安全中心 网址 www c 第 1 页 共 16 页 地址 北京市海淀区上地三街 9 号嘉华大厦 D 座 812 室 邮编 100036 电话 010 82783060传真 82899627 文档信息文档信息 文档名称文档名称首都之窗网站群运维服务项目安全加固报告首都之窗网站群运维服务项目安全加固报告 保密级别机密文档版本编号V1 1 制作人王成制作日期2009 02 25 复审人赵丙良复审日期2009 02 25 适用范围本文档为国家信息安全工程技术研究中心国家信息安全工程技术研究中心 网络安全中心网络安全中心 以下简称网络安 全中心 为首都之窗站点群提供的运维服务项目 供首都之窗站点群用户参 考 分发控制分发控制 编号编号读者读者文档权限文档权限与文档的主要关系与文档的主要关系 1首都之窗运维组读取项目组成员使用本规定 2赵丙良 康伟批准项目的负责人 负责本文档的批准程序 3首都之窗网站群用户读取 建议项目的使用者 负责本文档的读取 版本控制版本控制 时间时间版本版本说明说明修改人修改人 2009 01 04V1 0文档初始化赵丙良 2009 01 12V1 1文档的检查与修改赵丙良 Windows Server 安全加固方案 国家信息安全工程技术研究中心 网络安全中心 网址 www c 第 2 页 共 16 页 地址 北京市海淀区上地三街 9 号嘉华大厦 D 座 812 室 邮编 100036 电话 010 82783060传真 82899627 目目 录录 第一部分第一部分 概概 述述 3 系统信息 3 第二部分第二部分 安全加固审计内容安全加固审计内容 4 1 系统补丁升级 4 2 系统用户口令策略加固 5 3 交互式登录 不显示上次的用户名 6 4 交互式登录 可被缓存的前次登录个数 6 5 关机时清掉页面文件 7 6 对匿名连接进行限制 7 7 关闭所有驱动器自动播放功能 8 8 调整审核策略 8 9 调整事件日志的大小及覆盖策略 9 10 卸载 禁用 停止不需要的服务 10 11 禁用guest帐户权限 11 12 删除IPC共享 11 13 启用源路由欺骗保护 12 14 启用进行最大包长度路径检测 12 15 防止SYN Flood攻击 13 16 捆绑静态网关 13 17 操作系统盘权限加固 14 18 IIS过滤器安装 15 第三部分第三部分 安全加固内容确认安全加固内容确认 18 签名确认 18 Windows Server 安全加固方案 国家信息安全工程技术研究中心 网络安全中心 网址 www c 第 3 页 共 16 页 地址 北京市海淀区上地三街 9 号嘉华大厦 D 座 812 室 邮编 100036 电话 010 82783060传真 82899627 第一部分 概 述 系统信息 加加 固固 编编 号号SDZC 2009 02 Windows BJ001目标目标 IP 地址地址 主主 机机 名名 操操 作作 系系 统统 用用 途途 备备 注注 Windows Server 安全加固方案 国家信息安全工程技术研究中心 网络安全中心 网址 www c 第 4 页 共 16 页 地址 北京市海淀区上地三街 9 号嘉华大厦 D 座 812 室 邮编 100036 电话 010 82783060传真 82899627 第二部分 安全加固审计内容 1 系统补丁升级 实施编号 Nisec Win2003 1101 实施名称 补丁检测及安装 系统当前状态 使用 hfnetchk exe 查看系统当前补丁状况 实施方案 确认系统安装了 SP2 使用 Windows update 或者手工安装最新补丁 实施目的 升级操作系统为最新版本 修补所有已知的安全漏洞 实施风险 安装某些补丁可能导致主机启动失败 或其他未知情况发生 建议 先在测试机器上安装测试后再实施部署到生产机上 是否实施 实施工程师备注 开机主机自身防火墙 windows server 2003 需要管理员确认开放的端口和服务 应防止启 用防火墙后 PCANYWHERE 连不上 pcanywhe 需要开放 5631 TCP 5632 UDP Windows Server 安全加固方案 国家信息安全工程技术研究中心 网络安全中心 网址 www c 第 5 页 共 16 页 地址 北京市海淀区上地三街 9 号嘉华大厦 D 座 812 室 邮编 100036 电话 010 82783060传真 82899627 2 系统用户口令策略加固 实施编号 Nisec Win2003 1201 实施名称 系统用户口令策略加固 系统当前状态 查看系统 本地安全设置 帐户策略 中 密码策略 和 帐 号锁定策略 当前情况 以下为示例图 实施方案 密码必须符合复杂性要求 启用 密码长度最小值 8 个字符 密码最长使用期限 90 天 强制密码历史 24 个记住的密码 帐户锁定阀值 3 次无效登陆 帐户锁定时间 15 分钟 复位帐户锁定计数器 15 分钟之后 策略更改后 督促现有用户更改其登陆口令以符合最新策略要求 实施目的 保障用户帐号及口令的安全 防止口令猜测攻击 实施风险 帐号锁定后 15 分钟后才解锁 是否实施 实施工程师备注 Windows Server 安全加固方案 国家信息安全工程技术研究中心 网络安全中心 网址 www c 第 6 页 共 16 页 地址 北京市海淀区上地三街 9 号嘉华大厦 D 座 812 室 邮编 100036 电话 010 82783060传真 82899627 3 交互式登录 不显示上次的用户名 实施编号 Nisec Win2003 1605 实施名称 交互式登录 不显示上次的用户名 系统当前状态 实施方案 在 本地安全策略 本地策略 中查看系统 安全选项 交互式登录 不显示最后的用户名 选择启用 实施目的 登陆时不显示上次的用户名 防止暴露用户名 实施风险 无 是否实施 实施工程师备注 4 交互式登录 可被缓存的前次登录个数 实施编号 Nisec Win2003 1606 实施名称 交互式登录 可被缓存的前次登录个数 在域控制器不可用的情况 下 系统当前状态 实施方案 在 本地安全策略 本地策略 中查看系统 安全选项 设置缓存数为 0 此项对域服务器无效 实施目的 登陆时不显示上次的用户名 防止暴露用户名 实施风险 无 是否实施 实施工程师备注 Windows Server 安全加固方案 国家信息安全工程技术研究中心 网络安全中心 网址 www c 第 7 页 共 16 页 地址 北京市海淀区上地三街 9 号嘉华大厦 D 座 812 室 邮编 100036 电话 010 82783060传真 82899627 5 关机时清掉页面文件 实施编号 Nisec Win2003 1607 实施名称 关机时清掉页面文件 系统当前状态 实施方案 在 本地安全策略 本地策略 中查看系统 安全选项 启用该项 实施目的 某些第三方的程序可能把一些没有的加密的密码存在内存中 页面 文件中也可能含有另外一些敏感的资料 关机的时候清除页面文件 防止造成意外的信息泄漏 实施风险 无 是否实施 实施工程师备注 6 对匿名连接进行限制 实施编号 Nisec Win2003 1306 实施名称 对匿名连接进行限制 系统当前状态 查看系统当前设置 实施方案 在管理工具 本地安全策略 选择本地策略 选择安全选项 网络访问 不允许 SAM 帐号和共享的匿名枚举 改成已启用 实施目的 禁止使用匿名用户空连接枚举系统敏感信息 实施风险 无 是否实施 实施工程师备 注 Windows Server 安全加固方案 国家信息安全工程技术研究中心 网络安全中心 网址 www c 第 8 页 共 16 页 地址 北京市海淀区上地三街 9 号嘉华大厦 D 座 812 室 邮编 100036 电话 010 82783060传真 82899627 7 关闭所有驱动器自动播放功能 1 运行 gpedti msc 进入组策略 计算机配置 用户配置 管理模板 系统 关闭自动播放 设置为启用 关闭所有驱动器的自动播放功能 2 本地安全设置 本地策略 安全选项 启用只有本地登录的用户才能访问 cd rom 8 调整审核策略 实施编号 Nisec Win2003 1501 实施名称 设置主机审核策略 系统当前状态 在 本地安全策略 本地策略 中查看系统 审核策略 以下为示例图 实施方案 审核策略更改 成功 失败 审核登陆事件 成功 失败 审核对象访问 成功 审核目录服务访问 成功 失败 审核特权使用 成功 失败 审核系统事件 成功 失败 审核账户登陆事件 成功 失败 审核帐户管理 成功 失败 实施目的 对重要事件进行审核记录 方便日后出现问题时查找问题根源 实施风险 无 是否实施 实施工程师备注 Windows Server 安全加固方案 国家信息安全工程技术研究中心 网络安全中心 网址 www c 第 9 页 共 16 页 地址 北京市海淀区上地三街 9 号嘉华大厦 D 座 812 室 邮编 100036 电话 010 82783060传真 82899627 9 调整事件日志的大小及覆盖策略 实施编号 Nisec Win2003 1502 实施名称 调整事件日志的大小及覆盖策略 系统当前状态 日志类型 日志大小 覆盖策略 应用程序日志 K 覆盖早于 天的日志 安全日志 K 覆盖早于 天的日志 系统日志 K 覆盖早于 天的日志 实施方案 日志类型 日志大小 覆盖策略 应用程序日志 80000 K 覆盖早于 30 天的日志 安全日志 80000 K 覆盖早于 30 天的日志 系统日志 80000K 覆盖早于 30 天的日志 其他日志 如存在 80000 K 覆盖早于 30 天的日志 实施目的 增大日志大小 避免由于日志文件容量过小导致重要日志记录遗漏 实施风险 是否实施 实施工程师备注 Windows Server 安全加固方案 国家信息安全工程技术研究中心 网络安全中心 网址 www c 第 10 页 共 16 页 地址 北京市海淀区上地三街 9 号嘉华大厦 D 座 812 室 邮编 100036 电话 010 82783060传真 82899627 10 卸载 禁用 停止不需要的服务 实施编号 Nisec Win2003 1301 实施名称 卸载 禁用 停止不需要的服务 系统当前状态 检测分析系统已启动的不必要的服务包括 实施方案 停止 禁用不需要的服务 如有必要则删除已安装的服务 下面列出部分服务以做参考 名名 称称建议设置建议设置 Alerter 禁用 Clipbook 禁用 Computer Browser 禁用 Internet Connection Sharing 禁用 Messenger 禁用 Remote Registry Service 禁用 Routing and Remote Access 禁用 Server 禁用 TCP IP NetBIOS Helper Service 禁用 Simple Mail Trasfer Protocol SMTP 禁用 Simple Network Management Protocol SNMP Service 禁用 Simple Network Management Protocol SNMP Trap 禁用 Telnet 禁用 实施目的 避免未知漏洞给主机带来的潜在风险 B 本地策略 用户权限分配 关闭系统 只有 Administrators 组 其它全部删除 Windows Server 安全加固方案 国家信息安全工程技术研究中心 网络安全中心 网址 www c 第 11 页 共 16 页 地址 北京市海淀区上地三街 9 号嘉华大厦 D 座 812 室 邮编 100036 电话 010 82783060传真 82899627 通过终端服务拒绝登陆 加入 Guests User 组 通过终端服务允许登陆 只加入 Administrators 组 其他全部 删除 C 本地策略 安全选项 交互式登陆 不显示上次的用户名 启用 网络访问 不允许 SAM 帐户和共享的匿名枚举 启用 网络访问 不允许为网络身份验证储存凭证 启用 网络访问 可匿名访问的共享 全部删除 网络访问 可匿名访问的命 全部删除 网络访问 可远程访问的注册表路径 全部删除 网络访问 可远程访问的注册表路径和子路径 全部删除 帐户 重命名来宾帐户 重命名一个 帐户 帐户 重命名系统管理员帐户 重命名一个 帐户 实施风险 可能由于管理员对主机所开放服务不了解 导致有用服务被停止或 卸载 实施前请与相关应用开发厂商联系确认该服务与业务应用无 关联 是否实施 实施工程师备注 11 禁用 guest 帐户权限 实施编号 Nisec Win2003 1202 实施名称 禁用 guest 帐户权限 系统当前状态 实施方案 开始 控制面板 管理工具 计算机管理 本地用户和组 用户 guest 右键 属性 常规 选择用户已停用 实施目的 Guest 帐号无法删除 故应避免 Guest 帐号被黑客激活作为后门使用 实施风险 无 是否实施 Windows Server 安全加固方案 国家信息安全工程技术研究中心 网络安全中心 网址 www c 第 12 页 共 16 页 地址 北京市海淀区上地三街 9 号嘉华大厦 D 座 812 室 邮编 100036 电话 010 82783060传真 82899627 实施工程师备注 12 删除 IPC 共享 实施编号 Nisec Win2003 1305 实施名称 删除 IPC 共享 系统当前状态 使用 net share 命令查看系统当前的共享资源 实施方案 禁用 IPC 连接 打开注册表编辑器 依次展开 HKEY LOCAL MACHINE SYSTEM CurrentControlSet Control Lsa 分支 在右侧窗口中找到 restrictanonymous 子键 将其值改为 1 即 可 删除服务器上的管理员共享 HKLM System CurrentControlSet Services LanmanServer Parameters AutoShareServer 如无需新建 REG DWORD 值 参数为 0 如系统存在其他人为设置共享 建议删除 实施目的 删除主机因为管理而开放的共享 减小安全风险 实施风险 某些应用软件可能需要系统默认共享 应询问管理员确认 是否实施 实施工程师备注 13 启用源路由欺骗保护 实施编号 Nisec Win2003 1602 实施名称 启用源路由欺骗保护 系统当前状态 实施方案 启用源路由欺骗保护 编辑注册表 HKLM System CurrentControlSet Services Tcpip Parameters 新建 REG DWORD 值 名称为 DisableIPSourceRouting 参数为 2 实施目的 防护在网络上发生的源路由欺骗 实施风险 无 如服务器启用路由功能 则会影响相关功能 Windows Server 安全加固方案 国家信息安全工程技术研究中心 网络安全中心 网址 www c 第 13 页 共 16 页 地址 北京市海淀区上地三街 9 号嘉华大厦 D 座 812 室 邮编 100036 电话 010 82783060传真 82899627 是否实施 实施工程师备注 14 启用进行最大包长度路径检测 实施编号 Nisec Win2003 1603 实施名称 启用进行最大包长度路径检测 系统当前状态 实施方案 启用进行最大包长度路径检测 HKLM System CurrentControlSet Services Tcpip Parameters 新建项 REG DWORD 值 名称为 EnablePMTUDiscovery 参数为 1 实施目的 该项值为 1 时 将自动检测出可以传输的数据包的大小 可以用来 提高传输效率 如出现故障或安全起见 设项值为 0 表示使用固定 MTU 值 576bytes 实施风险 无 是否实施 实施工程师备注 15 防止 SYN Flood 攻击 实施编号 Nisec Win2003 1604 实施名称 防止 SYN Flood 攻击 系统当前状态 实施方案 防止 SYN Flood 攻击 HKLM System CurrentControlSet Services Tcpip Parameters 新建 REG DWORD 名称为 SynAttackProtect 参数为 2 HKLM System CurrentControlSet Services Tcpip Parameters 新建 REG DWORD 名称为 TcpMaxHalfOpen 参数为 100 或 500 选十进制 实施目的 启动 syn 攻击保护 缺省项值为 0 表示不开启攻击保护 项值为 1 和 2 表示启动 syn 攻击保护 Windows Server 安全加固方案 国家信息安全工程技术研究中心 网络安全中心 网址 www c 第 14 页 共 16 页 地址 北京市海淀区上地三街 9 号嘉华大厦 D 座 812 室 邮编 100036 电话 010 82783060传真 82899627 实施风险 无 是否实施 实施工程师备注 2 2 修改数据包的生存时间 ttl 值 hkey local machine system currentcontrolset services tcpip parameters defaultttl reg dword 0 0 xff 0 255 十进制 默认值 128 2 8 设置 arp 缓存老化时间设置 hkey local machine system currentcontrolset services tcpip parameters arpcachelife reg dword 0 0 xffffffff 秒数 默认值为 120 秒 arpcacheminreferencedlife reg dword 0 0 xffff