Windows-2003服务器系统安全加固配置手册

Windows_2003服务器系统安全加固配置手册目 录Windows 2003 安全加固配置手册 1关键词： 4摘要： 4缩略语： 4参考标准及其资料： 41概述 52安全加固内容 53客户信息调查 54边界及物理安全 55升级与补丁 56操作系统加固 66.1帐号安全及策略 66.2删除各类共享 76.3审计 76.4服务 86.5防DoS设置 96.7 IPSEC配置 97 IIS加固 98 其他安全配置 109 资源下载 10关键词：Windows 2003、加固、DDoS摘要：本手册主要描述了建立Windows NT系列操作系统安全加固配置标准，并以此标准为指导，配置和审视客户Windows NT系列服务器的安全性；降低系统存在的安全风险，确保系统安全可靠的运行。缩略语：无参考标准及其资料：资料名称 作者 发布日期 查阅渠道windows server 2003黑客大曝光 Joel Scambray 2004.9 Windows server 2003 安全指南 微软网站Windows 安全加固 网上文章 1概述随着计算机互联网的发展，网络应用的普及，网络规模、网上计算机数量均呈指数型增长，在人们享受到网络的方便快捷的同时，各种各样的攻击和病毒也更加猖狂，网络的安全防护越发重要。本文档主要说明在安全防护中基于windows平台的加固策略。当前版本适用于Windows NT系列，主要以Windows 2003为主来。安全加固配置中部分加固配置可以考虑使用安全模板来实现，以减轻工作量。2安全加固内容客户环境调查边界及物理安全升级与补丁操作系统加固IIS加固其他安全配置3客户信息调查客户网络环境（如：服务器前有没有fw，有些什么服务器）硬件信息操作系统信息（版本，补丁情况）IIS的版本主机是否在一个windows域里是否使用数据库，什么数据库是否需要远程管理是否需要终端访问服务4边界及物理安全设置边界防火墙只允许访问服务器的必要端口；部署防御DoS的功能；阻止服务器发出的主动连接设置BIOS密码在BIOS里设置系统只能从硬盘启动，不允许从软盘和CD-ROM启动至少创建两个NTFS分区，一个用来存放系统文件（C盘），一个用来存放数据（如E盘）卸载不需要的组网协议5升级与补丁大企业，带SUS（软件升级服务）包的SMS（系统管理服务器），微软出品中小企业，SUS的独立版本个人用户，MBSA （微软基准安全分析器）；Reskit工具包里的srvinfo第三方工具，Shavlik公司的HFNetChk Pro6操作系统加固帐号安全及策略删除各类共享审计服务最小化防DoS设置配置IPSec过滤器6.1帐号安全及策略密码策略密码必须符合复杂性要求：启用密码长度最小值： 8个字符密码最长存留期： 70天密码最短存留期： 30天强制密码历史： 3个记住的密码帐户锁定阀值： 5次无效登陆帐户锁定时间： 15分钟复位帐户锁定计数器： 15分钟之后Guest及administrator帐号管理给guest帐号设置一个足够复杂的密码；将guest帐号改名，并且禁用guest帐号；禁止Guest帐号本地登录和网络登录的权限。（打开“本地安全策略”-“本地策略”-“用户权利指派”，在“拒绝本地登陆”和“拒绝从网络访问这台计算机”中添加guest帐号）为administrator改名，尽可能隐藏信息，防止口令猜测等攻击。其他相关策略删除无用帐户，尽可能减少系统安全隐患；隐藏控制台上次登陆用户名HKLMSOFTWAREMicrosoftWindowsNTCurrentVersionwinlogon键值：DontDisplayLastUserName类型：GEG_SZ值：1从通过网络访问此计算机中删除Everyone组; 在用户权利指派下，从通过网络访问此计算机中删除Power Users和Backup Operators; 为交互登录启动消息文本。 启用 不允许匿名访问SAM帐号和共享; 启用 不允许为网络验证存储凭据或Passport;启用 在下一次密码变更时不存储LANMAN哈希值; 启用 清除虚拟内存页面文件; 禁止IIS匿名用户在本地登录;(用户权限指派-拒绝本地登录-添加IUSER_XXX)启用 交互登录不显示上次的用户名; 从文件共享中删除允许匿名登录的DFS$和COMCFG; 禁用活动桌面6.2删除各类共享关闭NetBIOS网络和拨号连接-本地连接属性-Internet协议-属性-高级-选项-Wins里选中“禁用tcpip上的netbios” 确定生效后，TCP139UDP 137 138将被关闭。网络和拨号连接-本地连接属性中，取消选中“Microsoft 网络的文件和打印机共享” 确定生效后，TCP 445上将不再提供文件和打印共享服务。KeyHKLMSystemCurrentControlSetServicesNetBTParameters 添加键值：SMBDeviceEnabled 类型REG_DWORD ：值：0 重新启动系统后，TCP 445将被关闭删除系统默认共享删除ADMIN$,C$,D$,E$.等：HKLMSYSTEMCurrentControlSetServiceslanmanserverparameters添加键值：Autoshareserver（2000Professional应添加Autosharewks）类型：REG_DWORD值：0添加后应重启server服务或重启系统使之生效。对匿名连接进行限制KeyHKLMSYSTEMCurrentControlSetControlLsa键值：restrictanonymous类型：REG_DWORD值：16.3审计 审核帐户管理 成功，失败审核帐户登陆事件 成功，失败审核系统事件 成功，失败审核特权使用 成功，失败审核对象访问 成功，失败审核登陆事件 成功，失败审核策略更改 成功，失败gpedit.msc-新加安全模版-事件日志 日志类型 日志大小 覆盖策略应用程序日志 15488 K 覆盖早于 30天的日志安全日志 15488 K 覆盖早于 30天的日志系统日志 15488 K 覆盖早于 30天的日志6.4服务 必不可少的服务：DNS ClientEvent LogLogical Disk ManagerPlug & PlayProtected StorageSecurity Accounts Manager根据实际，需要的服务：Network Connections ManagerRemote Procedure CallRemote Registry ServiceRunAs Service域控制器需要的服务：DNS ServerFile Replication ServiceKerberos Key Distribution CenterNetLogonNTLM Service ProviderRPC LocatorWindows TimeTCPIP NetBIOS helperServer (提供共享资源时或者运行AD时)Workstation (连接共享资源时)IIS需要的服务：IIS Admin ServiceProtected StorageWorld Wide Web Publishing ServiceWindows 2003不能删除的服务：Event logPlug and PlayRemote Procedure Call (RPC)Security Account Manager (SAM)Terminal Services (Web服务器不应安装)Windows Management Instrumentation Driver Extension应该去掉的服务：Indexing ServiceFTP Publishing ServiceSMTP ServiceTelnet其他服务不在列举自行发现吧。6.5防DoS设置HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters SynAttackProtect=dword EnablePMTUDiscovery=dword NoNameReleaseOnDemand=dword “EnableDeadGWDetect”=dword EnableICMPRedirects=dword“InterfacePerformRouterdiscovery=dword(NetBtParameters)NoNamereleaseOnDemand=dwordKeepAliveTime=dword PerformRouterDiscovery=dword TcpMaxConnectResponseRetransmissions=dword TcpMaxHalfOpen=dword TcpMaxHalfOpenRetried=dword TcpMaxPortsExhauted=dword6.6 系统检查6.7 IPSEC配置根据需要配置7 IIS加固IIS虚拟根目录把IIS虚拟根目录（如：CInetpub）挪到第二个NTFS分区（比如E盘），避免Unicode和二次解码攻击。使用Reskit工具包里的robocopy工具和SECMOVE参数，以保证复制ACL表敏感目录ACL使用cacls工具设置Web服务器卷上%systemroot%子目录及下级子目录的ACL为 “System Full” ”Administrators Full” ”Everyone read”关闭父路径设置项IIS Admin- 属性 - 主目录 - 应用程序设置 - 配置 - 应用程序选项 - 弃选 启用父路径删除多余项目关闭Administration（系统管理）站点并删除虚拟子目录IISAdmin和IISHelp删除用不着的映射关系 （如.htr和.printer映射）找出并删除ISAPI应用程序中的RevertToSelf调用，防止攻击者提升IUSR或IWAM帐号的权限；把IIS的应用程序保护选项设置为Medium或HighHTML和脚本文件里包含敏感文件或者子目录的路径名，需要删除自定义返回给客户端的脚本错误消息在脚本错误消息中，选中“发送文本错误消息给客户”，在下面的文本框中自定义一段错误提示。其它相关设置考虑是否真的需要远程对Web服务器进行管理，如果真的需要，为Web服务器专门建立一个单一功能的远程管理系统，部署在与Web服务器同一网段内某个位置可以考虑安装UrlScan工具，以便限制恶意的HTTP调用不要把敏感信息或私人数据保存在Active Server文件或头文件里。把服务器端数据明确地用% %标记括起来，防止“查看脚本源代码”攻击8 其他安全配置域控制器SNMPSQL Server安全措施Terminal Server安全措施IE9 资源下载最新的MBSA