Windows系统安全设置初步

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,Windows系统安全设置初步,1,一、系统的安装,2,1,、不要选择从网络上安装,虽然微软支持在线安装，但这绝对不安全。在系统未全部安装完之前不要连入网络，特别是,Internet,！,甚至不要把一切硬件都连接好来安装。因为,Windows 2000,安装时，在输入用户管理员账号“,Administrator,”,的密码后，系统会建立一个“,ADMIN,”,的共享账号，但是并没有用刚输入的密码来保护它，这种情况一直会持续到计算机再次启动。在此期间，任何人都可以通过“,ADMIN,”,进入系统；同时，安装完成，各种服务会马上自动运行，而这时的服务器还到处是漏洞，非常容易从外部侵入。,3,2,、要选择,NTFS,格式来分区,最好所有的分区都是,NTFS,格式，因为,NTFS,格式的分区在安全性方面更加有保障。就算其他,分区采用别的格式,(,如,FAT32),，,但至少系统所在,的分区中应是,NTFS,格式。,另外，应用程序不要和系统放在同一个分,区中，以免攻击者利用应用程序的漏洞,(,如微软,的,IIS,的漏洞,),导致系统文件的泄漏，甚至让入侵,者远程获取管理员权限。,4,3,、系统版本的选择,WIN2000,有各种语言的版本，对于我们来,说，可以选择英文版或简体中文版，我强烈建,议：在语言不成为障碍的情况下，请一定使用,英文版。要知道，微软的产品是以,Bug &,Patch,而著称的，中文版的,Bug,远远多于英文,版，而补丁一般还会迟至少半个月（也就是说,一般微软公布了漏洞后你的机子还会有半个月,处于无保护状况）,5,4,、组件的定制,win2000,在默认情况下会安装一些常用的组件，,但是正是这个默认安装是很危险的，你应该确切,的知道你需要哪些服务，而且仅仅安装你确实需,要的服务，根据安全原则，最少的服务,+,最小的权,限,=,最大的安全。典型的,WEB,服务器需要的最小组,件选择是：只安装,IIS,的,Com Files,，,IIS Snap-In,，,组件。如果你确实需要安装其他组件，,请慎重，特别是：,Indexing Service, FrontPage,2000 Server Extensions, Internet Service Mana,ger (HTML),这几个危险服务。,6,5,、分区和逻辑盘的分配,建议最少建立两个分区，一个系统分区，一,个应用程序分区，这是因为，微软的,IIS,经常会有,泄漏源码,/,溢出的漏洞，如果把系统和,IIS,放在同,一个驱动器会导致系统文件的泄漏甚至入侵者远,程获取,ADMIN,。,推荐的安全配置是建立三个逻辑,驱动器，第一个大于,2,G,，,用来装系统和重要的日,志文件，第二个放,IIS,，,第三个放,FTP,，,这样无论,IIS,或,FTP,出了安全漏洞都不会直接影响到系统目,录和系统文件。,7,IIS,和,FTP,是对外服务的，比较容易出问题。而把,IIS,和,FTP,分开主要是为了防止入侵者上程序并从,IIS,中运行。（这个可能会导致,程序开发人员和编辑的苦恼,）,8,6,、安装杀毒软件。,杀毒软件不仅能杀掉一些著名的病毒，还能,查杀大量木马和后门程序，因此一定要运行杀毒,程序并把它设为开机自动运行，并注意经常升级,病毒库。,9,7,、安装防火墙。,10,8,、安装系统补丁。,到微软网站下载最新的补丁程序：,经,常访问微软和一些安全站点，下载最新的,Service Pack,和漏洞补丁，是保障服务器,长久安全的惟一方法。,11,9,、安装顺序的选择,首先，何时接入网络：,Win2000,在安装时的,ADMIN$,的共享的漏洞；,同时，只要安装一完成，各种服务就会自动运行，,而这时的服务器是满身漏洞，非常容易进入的，,因此，在完全安装并配置好,Win2000 SERVER,之,前，一定不要把主机接入网络。,12,其次，补丁的安装：补丁的安装应该在,所有应用程序安装完之后因为补丁程序往往要,替换,/,修改某些系统文件，如果先安装补丁再,安装应用程序有可能导致补丁不能起到应有的,效果，例如：,IIS,的,HotFix,就要求每次更改,IIS,的配置都需要安装。,13,二、系统的安全设置,14,1,、用户安全设置,1),、禁用,Guest,账号,在计算机管理的用户里面把,Guest,账号禁用。为了保险起见，最好给,Guest,加一个复杂的密码。,2),、限制不必要的用户,去掉所有的,Duplicate User,用户、测试用户、共享用户等等。用户组策略设置相应权限，并且经常检查系统的用户，删除已经不再使用的用户。,15,3),、创建两个管理员账号,创建一个一般权限用户用来收信以及处理一些日常事物，另一个拥有,Administrators,权限的用户只在需要的时候使用。,4),、把系统,Administrator,账号改名,大家都知道，,Windows 2000,的,Administrator,用户是不能被停用的，这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户，比如改成,Guesycludx,。,16,5),、创建一个陷阱用户,什么是陷阱用户,?,即创建一个名为“,Adminis,trator,”,的本地用户，把它的权限设置成最低，什,么事也干不了，加上一个超过,10,位的,超级复杂密码。这样可以让想入侵的人慢慢忙一,段时间。,6),、把共享文件的权限从,Everyone,组改成授权用户,不要把共享文件的用户设置成“,Everyone,”,组，包括打印共享，默认的属性就是“,Everyone,”,组的。,17,7),、开启用户策略,（不建议）,使用用户策略，分别设置复位用户锁定计数器时间为,20,分钟，用户锁定时间为,20,分钟，用户锁定阈值为,3,次。,8),、不让系统显示上次登录的用户名,（可选）,打开注册表编辑器并找到注册表项,HKLMSoftwareMicrosoftWindowsTCurrentVersionWinlogonDont-DisplayLastUserName,，,把键值改成,1,18,9),、系统账号,/,共享列表,Win2000,的默认安装允许任何用户通过空,用户得到系统所有账号,/,共享列表，这个本来是,为了方便局域网用户共享文件的，但是一个远程,用户也可以得到你的用户列表并使用暴力法破解,用户密码。可以通过更改注册表,Local_MachineSystemCurrentControlSetContr,olLSA-RestrictAnonymous = 1,来禁止,139,空连接。,19,还可以在,win2000,的本地安全策略（如果是域服务器就是在域服务器安全和域安全策略中）就有这样的选项,RestrictAnonymous,（,匿名连接的额外限制），这个选项有三个值：,0,：,None. Rely on default permissions,（,无，取决于默认的权限）,1,：,Do not allow enumeration of SAM accounts and shares,（,不允许枚举,SAM,帐号和共享）,2,：,No access without explicit anonymous permissions,（,没有显式匿名权限就不允许访问）,20,0,这个值是系统默认的，什么限制都没有，远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表,(,NetServerTransportEnum,等等，对服务器来说这样的设置非常危险。,1,这个值是只允许非,NULL,用户存取,SAM,账号信息和共享信息。,2,这个值是在,win2000,中才支持的，如果不想有任何共享，就设为,2,。一般推荐设为,1,。,21,2,、口令安全设置,1)、使用安全密码,要注意密码的复杂性，还要记住经常改密码。,2)、开启密码策略,注意应用密码策略，如启用密码复杂性要求，设置密码长度最小值为8位，设置强制密码历史为5次，时间为42天。,22,3,、系统安全设置,1)、利用,Windows 2000,的安全配置工具来配 置安全策略：,微软提供了一套基于,MMC（,管理控制台）安全配置和分析工具，利用它们你可以很方便地配置你的服务器以满足你的要求。具体内容请参考微软主页：,具体内容请参考微软主页：,howitworks/security/sctoolset.asp,23,2)、,安全日志：,Win2000,的默认安装是不开任何安全审核的！可以到本地安全策略,-,审核策略中打开相应的审核，推荐的审核是：,账户管理,成功,失败,登录事件,成功,失败,对象访问,失败,策略更改,成功,失败,特权使用,失败,系统事件,成功,失败,目录服务访问,失败,24,账户登录事件 成功 失败,（审核项目少的缺点是万一你想看发现没有记录那就一点都没辙；审核项目太多不仅会占用系统资源而且会导致你根本没空去看，这样就失去了审核的意义。）,与之相关的是：,在账户策略,-,密码策略中设定：,密码复杂性要求 启用,密码长度最小值 8位,强制密码历史 5次,最长存留期 42天,25,在账户策略-账户锁定策略中设定：,账户锁定 5次错误登录,锁定时间,20,分钟,复位锁定计数,20,分钟,同样，,Terminal Service,的安全日志默认也是不开的，我们可以在,Terminal Service Configration,（,远程服务配置）,-,权限,-,高级中配置安全审核，一般来说只要记录登录、注销事件就可以了。,26,3),、目录和文件权限：,为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，我们还必须非常小心地设置目录和文件的访问权限，,NT,的访问权限分为：读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下，大多数的文件夹对所有用户（,Everyone,这个组）是完全敞开的（,Full Control,），,你需要根据应用的需要进行权限重设。,27,在进行权限控制时，请记住以下几个原则：,1权,限是累计的：如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限；,2,拒绝的权限要比允许的权限高（拒绝策略会先执行）如果一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限，他也一定不能访问这个资源。所以请非常小心地使用拒绝，任何一个不当的拒绝都有可能造成系统无法正常运行；,28,3,文件权限比文件夹权限高,4,利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯之一；,5,仅给用户真正需要的权限，权限的最小化原则是安全的重要保障；,29,4)、禁止建立空连接（,IPC）,默认情况下，任何用户都可通过空连接连上服务器，进而枚举出账号，猜测密码。我们可以通过修改注册表来禁止建立空连接：即把“,Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous,”,的值改成“,1,”即可。如果使用“,2,”可能会造成你的一些服务无法启动，如,SQL Server,。,30,此外，安全和应用在很多时候是矛盾的。因此，你需要在其中找到平衡点，如果安全原则妨碍了系统应用，那么这个安全原则也不是一个好的原则,31,5)、禁止管理共享,HKEY_LOCAL_MACHINESYSTEMCurrentCon,trolSetServicesLanmanServerParameters,项对于,服务器，添加键值“,AutoShareServer”，,类型为,“,REG_DWORD”，,值为“0”。,对于客户机，添加键值“,AutoShareWks”，,类型为,“,REG_DWORD”，,值为“0”。,(,关闭,server,服务,),32,6)、还有一个就是139端口，139端口是,NetBIOS,Session,端口，用来文件和打印共享，注意的是运,行,samba,的,unix,机器也开放了139端口，功能一样。,以前流光2000用来判断对方主机类型不太准确，,估计就是139端口开放既认为是,NT,机，现在好了。,关闭,139,口听方法是在“网络和拨号连接”中“本地,连接”中选取“,Internet,协议,(,TCP/IP),”,属性，进入,“高级,TCP/IP,设置”“,WINS,设置”里面有一项“禁用,TCP/IP,的,NETBIOS,”，,打勾就关闭了,139,端口。,(可以在各项服务属性设置中设为“禁用”),33,7)、使用,组策略，,IP,策略,8)、防范,SYN,攻击,使用,SYN,淹没攻击保护,相关的值项在,HKLMSYSTEMCurrentControlSetServiceTcpipParameters,下。,1）,DWORD：SynAttackProtect：,定义了是否允许,SYN,淹没攻击保护，值1表示允许起用,WIN2000,的,SYN,淹没攻击保护。,34,2）,DWORD：TcpMaxConnectResponseRetransmissions：,定义了对于连接请求回应包的重发次数。值为1，则,SYN,淹没攻击不会有效果，但是这样会造成连接请求失败几率的增高。,SYN,淹没攻击保护只有在该值=2时才会被启用，默认值为3。,（上边两个值定义是否允许,SYN,淹没攻击保护，下面三个则定义了激活,SYN,淹没攻击保护的条件，满足其中之一，则系统自动激活,SYN,淹没攻击保护。）,3) DWORD,：,TcpMaxHalfOpen,：,定义能够处于,SYN_RECEIVED,状态的,TCP,连接的数目。默认值,100,。,35,4）,TcpMaxHalfOpenRetried,：,定义在重新发送连接请求后，仍然处于,SYN_RECEIVED,状态的,TCP,连接的数目。默认值,80,。,5）,TcpMaxPortsExhausted,：,定义系统拒绝连接请求的次数。默认值,5,。,36,减小,syn-ack,包的响应时间。,HKLMSYSTEMCurrentControlSetServicesTcpipParametersTcpMaxConnectResponseRetransmissions,定义了重发,SYN-ACK,包的次数。,增大,NETBT,的连接块增加幅度和最大数器。,NETBT,使用,139,端口。,HKLMSYSTEMCurrentControlSetServicesNetBtParametersBacklogIncrement,默认值为,3,，最大,20,，最小,1,。,HKLMSYSTEMCurrentControlSetServicesNetBtParametersMaxConnBackLog,默认值为,1000,，最大可取,40000,37,动态配置,Backlog,。,相关的值项在,HKLMSYSTEMCurrentControlSetServiceAFDParameters,下,1),DWORD,：,EnableDynamicBacklog,：,定义是否允许动态,Backlog,，,默认为,0,，,1,为允许。,2),DWORD,：,MinimumDynamicBacklog,：,定义动态,Backlog,分配的未使用的自由连接的最小数目。默认值为,0,，建议设为,20,。,3),DWORD,：,MaximumDynamicBacklog,：,定义最大“准”连接数目。大小取决于内存的大小，一般每,32,M,最大可以增加,5000,个。,38,4) DWORD,：,DynamicBacklogGrowthDelta,：,定义每次增加的自由连接数目，建议设置为,10,。,39,10),、预防,DoS,：,在注册表,HKLMSYSTEMCurrentControlSetServicesTcpipParameters,中更改以下值可以防御一定强度的,DoS,攻击,SynAttackProtect REG_DWORD 2,EnablePMTUDiscovery REG_DWORD 0,NoNameReleaseOnDemand REG_DWORD 1,EnableDeadGWDetect REG_DWORD 0,KeepAliveTime REG_DWORD 300,000,PerformRouterDiscovery REG_DWORD 0,EnableICMPRedirects REG_DWORD 0,40,11)、防止,ICMP,重定向报文的攻击,HKLMSYSTEMCurrentControlSetServicesTcpipParametersEnableICMPRedirects REG_DWORD 0x0(,默认值为0,x1),该参数控制,Windows 2000,是否会改变其路由表以响应网络设备,(,如路由器,),发送给它的,ICMP,重定向消息，有时会被利用来干坏事。,Win2000,中默认值为,1,，表示响应,ICMP,重定向报文。,41,12)、禁止响应,ICMP,路由通告报文,HKLMSYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterfacePerformRouterDiscovery REG_DWORD 0x0(,默认值为0,x2),“,ICMP,路由公告”功能可造成他人计算机的网络连接异常,数据被窃听，计算机被用于流量攻击等严重后果。此问题曾导致校园网某些局域网大面积，长时间的网络异常。建议关闭响应,ICMP,路由通告报文,.,Win2000,中默认值为,2,，表示当,DHCP,发送路由器发现选项时启用,42,13)、设置生存时间,HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersDefaultTTL REG_DWORD 0-0xff(0-255,十进制,默认值128),指定传出,IP,数据包中设置的默认生存时间,(,TTL),值。,TTL,决定了,IP,数据包在到达目标前在网络中生存的最大时间。它实际上限定了,IP,数据包在丢弃前允许通过的路由器数量,.,有时利用此数值来探测远程主机操作系统。,43,14)、不支持,IGMP,协议,HKLMSYSTEMCurrentControlSetServicesTcpipParametersIGMPLevel REG_DWORD 0x0(,默认值为0,x2),记得,Win9x,下有个,bug,，,就是用可以用,IGMP,使别人蓝屏，修改注册表可以修正这个,bug,。,Win2000,虽然没这个,bug,了，但,IGMP,并不是必要的，因此照样可以去掉。改成,0,后用,route print,将看不到那个讨厌的,224.0.0.0,项了。,44,15)、设置,arp,缓存老化时间设置,HKLMSYSTEMCurrentControlSetServices:TcpipParameters,ArpCacheLife REG_DWORD 0-0xFFFFFFFF(,秒数,默认值为120秒),ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(,秒数,默认值为600),如果,ArpCacheLife,大于或等于,ArpCacheMinReferencedLife,，,则引用或未引用的,ARP,缓存项在,ArpCacheLife,秒后到期。如果,ArpCacheLife,小于,ArpCacheMinReferencedLife,，,未引用项在,ArpCacheLife,秒后到期，而引用项在,ArpCacheMinReferencedLife,秒后到期。每次将出站数据包发送到项的,IP,地址时，就会引用,ARP,缓存中的项。,45,16)、禁止死网关监测技术,HKLMSYSTEMCurrentControlSetServices:TcpipParameters,EnableDeadGWDetect REG_DWORD 0x0(,默认值为,ox1),如果你设置了多个网关，那么你的机器在处理多个连接有困难时，就会自动改用备份网关，有时候这并不是一项好主意，建议禁止死网关监测。,46,17)、不支持路由功能,HKLMSYSTEMCurrentControlSetServices:TcpipParameters,IPEnableRouter REG_DWORD 0x0(,默认值为0,x0),把值设置为,0,x1,可以使,Win2000,具备路由功能，由此带来不必要的问题。,47,18)、做,NAT,时放大转换的对外端口最大值,HKLMSYSTEMCurrentControlSetServices:TcpipParameters,MaxUserPort REG_DWORD 5000-65534(,十进制)(默认值0,x1388-,十进制为5000),当应用程序从系统请求可用的用户端口数时，该参数控制所使用的最大端口数。正常情况下，短期端口的分配数量为,1024-5000,。将该参数设置到有效范围以外时，就会使用最接近的有效数值,(5000,或,65534),。使用,NAT,时建议把值放大点,48,19)、修改,MAC,地址,HKLMSYSTEMCurrentControlSetControlClass,找到右窗口的说明为,网卡,“,的目录，比如说是,4,D36E972-E325-11CE-BFC1-08002BE10318,展开之，在其下,0000,0001,0002.,的分支中找到,”,DriverDesc“,的键值为你网卡的说明，比如说,”,DriverDesc“,的值为,”,Intel(R) 82559 Fast Ethernet LAN on Motherboard“,然后在右窗口新建一字符串值，名字为,”,Networkaddress“,，,内容为你想要的,MAC,值，比如说是,”0“,然后重起计算机，,ipconfig /all,查看。,49,20)、禁止光盘的自动运行功能,Windows 2000,的光盘的自动运行功能也是系统安全的隐患，光盘中只要存在,autoruninf,文件，则系统会自动试图执行文件中,open,字段后的文件路径(市场上已经出现了破解屏保密码的光盘，如果不禁止光盘的自动运行功能，以上所做的设置都将是白费)，步骤为：,展开,HKEYLOCALMACHINESO,FTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer,子键分支；,在,Explorer,主键中新建,DWORD,值,NoDriveTypeAutoRun,，,改值为,1,。,50,21)、禁止使用,MSDOS,方式,采用上述方法隐藏某个磁盘分区的作用仅限于图形界面，但在字符界面如,MSDOS,方式无效，因此我们必须采用适当的方法禁止普通用户使用,MSDOS,方式。方法为：,展开,HKLUSOFTWARE PoliciesMicrosoftWindows,system,分支；,新建一个名为,DisableCMD,的,DWORD,值，改值为,1(,这项用于禁止用户进入,Windows 2000,的,MS,DOS,方式,),。值为,2,则批处理文件也不能运行。,51,23)、只允许运行指定的程序,24)、禁止使用注册表编辑器,HKCUSoftwareMicrosoftWindowsCurrent VersionpoliciesSystem,下,DWORD,：,DisableRegistryTools,：,值为,1,则禁用注册表编辑器。注意：使用此功能最好作个注册表备份，或者准备一个其他的注册表修改工具，因为禁止了注册表编辑器以后，就不能再用该注册表编辑器将值项改回来了。,52,22)、禁止使用任何程序（对于前边设置的陷阱用户）,不允许运行任何程序。方法为：,展开,HKLUSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer,子键分支；,在,Explorer,主键下新建,RestrctRun,的,DWORD,值，将值改为1。,53,不过你也可以发一下善心，给他几个,Windows 2000,自带的游戏玩一玩，方法为：在,Explorer,主键下新建名为,RestrctRun,的主键，在其下分别新建名为1、2、3、4的字符串值，将值分别改为,MSHEARTSEXE、FREECELLEXE、WINMINEEXE、SOLEXE(,只需程序名，无需路径)，则系统只能运行网上红心大战、空当接龙、扫雷、纸牌。无法执行其它任何程序。,54,4、,服务安全设置,1)、关闭不必要的端口,关闭端口意味着减少功能，在安全和功能上面需要你做一点决策。如果服务器安装在防火墙的后面，冒险就会少些。但是，永远不要认为你可以高枕无忧了。用端口扫描器扫描系统已开放的端口，确定系统开放的哪些服务可能引起黑客入侵。在系统目录中的,system32driversetcservices,文件中有知名端口和服务的对照表可供参考。具体方法为：打开“,网上邻居,/,属性,/,本地连接,/,属性,/,internet,协议,(,TCP/IP)/,属性,/,高级,/,选项,/,TCP/IP,筛选,/,属性”,打开“,TCP/IP,筛选”，添加需要的,TCP,、,UDP,协议即可。,55,2)、设置好安全记录的访问权限,安全记录在默认情况下是没有保护的，把它设置成只有,Administrators,和系统账户才有权访问。,3)、把敏感文件存放在另外的文件服务器中,虽然现在服务器的硬盘容量都很大，但是你还是应该考虑是否有必要把一些重要的用户数据（文件、数据表、项目文件等）存放在另外一个安全的服务器中，并且经常备份它们。,56,4),、停止不必要的服务,服务开的太多也不是个好事，将没有必要的服务通通关掉吧！特别是连管理员都不知道是干什么的服务，还开着干什么！关掉！免得给系统带来灾难。,另外，管理员如果不外出，不需要远程管理你的计算机的话，最好将一切的远程网络登录功能都关掉。注意，除非特别需要，否则禁用“,Task Scheduler,”、“,RunAs Service,”,服务！,关闭一项服务的方法很简单，运行,cmd.exe,之后，直接,net stop servername,即可,57,5),、更改管理服务的端口,pcanywhere,端口号（,1561,、,1562,），终端服务端口号。,58,59,