Windows主机安全配置手册.doc

资源描述

Windows 主机安全配置手册 1. 适用范围本文档的适用操作系统为 Microsoft Windows 2000 Server/Advanced Server Microsoft Windows 2003 Server/Advanced Server 2 更新要求本文档每年必须由负责人员重新审查内容，并按照需求修正。各操作系统厂商推出新版本时，亦必须重新审查内容及修正。 3.1 用户、用户组及其权限管理描述：创建用户组和用户，并对其分配合适的权限是 WINDOWS安全机制的核心内容之一。 3.1.1对系统管理员账号进行限制编号： 3001 名称：对系统管理员账号进行限制重要等级：高基本信息：系统管理员对系统具有最高的权限，Windows 系统管理员的默认账号名为 Administrator，很容易成为攻击者猜测和攻击的重要目标，因此需要对系统管理员账号作出必要的设置。检测内容：查看是否有名为 administrator的用户帐号；查看 administrator用户是否属于 administrators组建议操作：将系统管理员账号重命名为一个普通的、不易引起注意的账号名打开控制面板管理工具本地安全策略；选择本地策略安全选项；改写：重命名管理员帐户；建立一个以 administrator命名的账号，将所属用户组清除，即所属组为空，不赋予该帐号权限；管理员账号的口令应该遵循比“密码策略”更严格的策略操作结果：对系统管理员账号进行限制，一般不会对系统造成任何不良的影响。有少数应用软件需要 administrator名的系统用户，请视应用情况对该项进行修改。 3.1.2 密码策略编号： 3002 名称：密码策略重要等级：高基本信息：通过启用“密码必须符合复杂性要求” ，设置“密码长度最小值” 、 “密码最长存留期” 、 “密码最短存留期” 、 “密码强制历史” ，停用“为域中用户使用可还原的加密来存储”可以明显的提高用户账户的安全性。检测内容：查看本地安全策略|账户策略|密码策略来核实是否设置了合适的密码策略打开控制面板管理工具本地安全策略；选择帐户策略密码策略；检查各项设置；建议操作：启用“密码必须必须符合复杂性要求” ； “密码最小长度”大于 7； “密码最长存留期”小于 90天； “密码最短存留期”大于 5天； “密码强制历史”不小于 5；停用“为域中用户使用可还原的加密来存储” ；操作结果：密码策略对已经存在的密码无效，需要对已存在的密码进行检查进行密码策略设置，不会对系统造成任何不良的影响。特例：在安全策略中定义的策略和添加用户时选择的密码永不过期和用户无法自己修改密码，以后者为准。 3.1.3 账户锁定策略编号： 3003 名称：账户锁定策略重要等级：高基本信息：通过设置“账户锁定时间” ， “账户锁定阈值” ， “复位账户锁定计数器”来防止远程的密码猜测攻击。检测内容：查看本地安全策略|账户策略|账户锁定策略来核实是否设置了合适的密码策略打开控制面板管理工具本地安全策略；选择帐户策略帐户锁定策略；检查各项设置；建议操作： “复位账户锁定计数器”时间不短于 5分钟； “账户锁定时间”不短于 5分钟； “账户锁定阈值”不多于 10次；操作结果：进行账户锁定策略设置时，不会对系统造成任何不良的影响。 3.2 远程访问主机系统描述：被配置为接受远程访问连接的任何基于 Windows 的计算机用户。 3.2.1 对可以远程使用 telnet服务的用户进行限定编号： 3004 名称：对可以远程使用 telnet服务的用户进行限定重要等级：中基本信息： Windows系统从 2000开始提供远程 telnet访问服务，建议不要开启 telnet 服务，如特殊情况必须开启 telnet服务，必须遵守本规定对可以远程访问 telnet服务的用户进行限制。检测内容：检测是否为 Telnet终端创建了 TelnetClients组，并赋予恰当的访问权限。建议操作：创建 TelnetClients组，并将需要远程使用 telnet服务的用户加入该组对 TelnetClients组进行授权打开控制面板管理工具本地安全策略；本地策略用户权力指派；按需要进行授权；操作结果：进行 TelnetClients账户授权策略设置时，不会对系统造成任何不良的影响。需要注意尽量避免对 Administrator组用户进行授权修改，以免造成系统应用、管理失败。 3.2.2 Pcanywhere远程接入编号： 3005 名称： Pcanywhere远程接入安全设置重要等级：中基本信息： Windows系统可以使用 Pcanywhere工具方式进行远程管理，遵守一下设定对可以提高远程管理安全性。检测内容：是否使用高版本（10.0）软件，较低版本软件存在大量安全漏洞是否设置加密传输，建议采用 pcanywhere加密级别回话结束后是否注销用户建议操作：创建新被控端对被控端进行安全配置选择 TCP/IP方式；设置面板回话正常（异常）结束后使用注销用户保护；安全选项限制每个呼叫登陆尝试次数为 3，完成登陆时间为 3分钟；安全选项设置加密为 pcanywhere级别，拒绝较低加密级别；操作结果：设置生效需要重新启动 Pcanywhere服务，主控端应配置与被控端相应加密级别；需要注意本设置与系统本身认证机制无关。 3.3 系统补丁描述：补丁是实现 Windows主机系统安全的重要途径。 3.3.1安装 Windows补丁编号： 3006 名称：安装 Windows补丁重要等级：高基本信息：补丁是实现 Windows主机系统安全的重要途径。针对 Windows 2000操作系统的漏洞，微软已经发布了三个大补丁包 Windows 2000 Service Pack 1、2、3。针对 Windows NT4 操作系统的漏洞，微软已经发布到的最高补丁版本为 SP6a。及时安装最近的 service pack后发布的 Hotfix补丁也十分重要。检测内容： 1. 使用 Windows Update在线更新工具；（对 NT系统无效）点击“开始Windows Update”直接连接到微软的 Windows Update网站；点击扫描检测最新的补丁。补丁分为与安全相关、与 Windows相关和与驱动相关三个部分。扫描的结果就是该 Windows主机系统上所有没有安装的补丁。 2. 使用微软的微软安全分析(MBSA)工具；下载地址： 369252f8b15c/mbsasetup.msi 然后双击安装 MBSA1.1；启动 Microsoft Baseline Security Analyzer，得出扫描结果。 3. 使用 hfnetchk工具；（本工具建议在线使用）首先下载该工具 nshc332.exe，下载地址： US/Nshc332.exe 安装 nshc332.exe 在命令行方式转到安装目录下，输入 hfnetchk.exe，回车即可。 4. 对于没有与 Internet相连的主机，如何通过离线的方式检查系统未安装的补丁？注：上面提到方法任选其一。建议操作： 1、根据使用“检测内容”中提到的补丁测试方法，对系统进行全面的测试，然后根据实际结果确定更新系统的哪些补丁程序。下面给出部分与微软 windows 2000和 windows NT系统补丁相关的下载网址：微软简体中文更新网址：微软英文更新网址： Windows 2000简体中文版 SP3下载网址： p3.exe Windows 2000英文版 SP3下载网址： US/W2Ksp3.exe Windows NT SP6a下载网址： .asp Windows NT SP6a安全补丁集合(SRP) 下载网址： asp 1. 下载完毕后，双击补丁程序，按照安装过程给出的提示，一步一步进行。 2. 安装结束后，重新启动系统即可。 3. hotfix的安装过程与 SP补丁相同，安装完毕后根据安装程序的提示决定是否需要重新启动机器。 4. 对于没有直接与 Internet互联的主机，可利用微软提供的光盘升级包完成补丁加载；或在 Internet网络上的主机下载最新升级包并刻录至光盘载体，在需升级的主机上安装。操作结果： Windows的补丁是系统安全中重要组成部分，通常情况下安装补丁不会对系统造成任何不良的影响。注意：在安装系统补丁的过程中不能够使系统断电或非正常安装完毕而重新启动系统，这样可能会造成系统不能正常启动的严重后果。 3.4 文件系统增强描述： NTFS 支持细致的文件权限控制，磁盘配额管理、文件加密等特性。NTFS 可为用户提供更高层次的安全保证。而 FAT 和 FAT32 系统则不具备上述特性。 3.4.1使用 NTFS文件系统编号： 3007 名称：使用 NTFS文件系统重要等级：高基本信息： NTFS 是微软 Windows NT/2000/XP 支持的文件系统。NTFS 支持细致的文件权限控制，磁盘配额管理、文件加密等特性。NTFS 可为用户提供更高层次的安全保证。检测内容：打开“我的电脑”选中要检测的磁盘驱动器单击鼠标右键选择“属性”查看文件系统类型，是否为 NTFS格式；建议操作：如果文件系统类型不是 NTFS格式，需要转换为 NTFS格式，以增加文件系统的安全性。具体方法：在 cmd（命令行）方式下，键入： convert : /fs:ntfs 注：一旦将某个驱动器或分区转换为 NTFS格式，您便无法将其恢复回 FAT或 FAT32格式。如需返回 FAT或 FAT32格式，您必须对驱动器或分区进行重新格式化，并从相应分区上删除包括程序及个人文件在内的所有数据。操作结果：实施文件系统安全增强，不会对系统造成任何不良的影响。注意：微软没有提供将 NTFS系统转换为其它的文件系统，如 FAT和 FAT32的功能，如要对文件系统进行其它格式转换需使用第三方工具完成。 3.4.2 删除 OS/2 和 POSIX 子系统编号： 3008 名称：删除 OS/2和 POSIX子系统重要等级：中基本信息： Windows2000和 NT系统提供了 OS/2和 POSIX操作环境子系统。这些子系统一般情况下不会使用，应该卸载 OS/2和 POSIX子系统。检测内容：检测注册表下面的键值：配置单元项 HKEY_LOCAL_MACHINESOFTWAREMicrosoftOS/2 Subsystem for NT 检测内容所有子项配置单元项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl Session ManagerEnvironment 名称 Os2LibPath 检测内容是否存在 Os2LibPath项配置单元项 HKEY_LOCAL_MACHINESYSTEM CurrentControlSetControlSession ManagerSubSystems 检测内容 Posix和 OS/2项建议操作：通过执行下列注册表操作删除这些子系统：配置单元项 HKEY_LOCAL_MACHINESOFTWAREMicrosoftOS/2 Subsystem for NT 操作删除所有子项配置单元项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl Session ManagerEnvironment 名称 Os2LibPath 操作删除 Os2LibPath项配置单元项 HKEY_LOCAL_MACHINESYSTEM CurrentControlSetControlSession ManagerSubSystems 操作删除可选的 Posix和 OS/2项然后删除 winntsystem32os2 目录及其所有子目录。更改将在下一次重新启动时生效。操作结果：删除 OS/2和 POSIX子系统，不会对系统造成任何不良的影响。可在网络服务中卸载其它系统类型服务、协议。 3.4.3移动和对关键文件进行访问控制编号： 3009 名称：移动并对关键文件进行访问控制重要等级：高基本信息：将所有常用的管理工具放在 %systemroot% 外的特殊目录下，并对其进行严格的访问控制，保证只有管理员才具有执行这些工具的权限。检测内容：检测%systemroot%system32目录下的下列文件，确认其是否具有合适的访问权限： xcopy.exe wscript.exe cscript.exenet.exe ftp.exe telnet.exe arp.exe edlin.exe ping.exe route.exe at.exe finger.exe posix.exe rsh.exe atsvc.exe qbasic.exe runonce.exesyskey.exe cacls.exe ipconfig.exercp.exe secfixup.exenbtstat.exerdisk.exe debug.exe netstat.exetracert.exe nslookup.exerexec.exe cmd.exe 建议操作：创建称为 CommonTools 的目录，然后将下列文件放在这一目录下，并对它们设置相应的 ACL 权限以便只有管理员对这些文件拥有全部权限。建议使用以下的访问控制（ACL） Administrators ：完全控制 SYSTEM ：完全控制 Creator Owner ：完全控制 Everyone ：只读 xcopy.exe wscript.exe cscript.exenet.exe ftp.exe telnet.exe arp.exe edlin.exe ping.exe route.exe at.exe finger.exe posix.exe rsh.exe atsvc.exe qbasic.exe runonce.exesyskey.exe cacls.exe ipconfig.exercp.exe secfixup.exenbtstat.exerdisk.exe debug.exe netstat.exetracert.exe nslookup.exerexec.exe cmd.exe 操作结果：以上文件根据 WINDOWS版本不同默认存储路径可能不同。移动上面所列出的命令并进行严格的访问控制，不会对系统造成任何不良的影响。 3.4.4关闭 NTFS 生成 8.3 文件名格式编号： 3010 名称：关闭 NTFS 生成 8.3 文件名格式；重要等级：高基本信息：关闭 NTFS 生成 8.3 文件名格式，即文件名为 18 个字符，扩展名为 13 个字符，此种文件格式文件纠错和文件属性能力也相对较弱，应该予以关闭；检测内容：查看注册表：*请参见第二章中注册表相关章节 Hive HKEY_LOCAL_MACHINESYSTEM Key CurrentControlSetControlFileSystem Name NtfsDisable8dot3NameCreation Type REG_DWORD Value 查看此键值是否为“1” 建议操作：修改注册表，关闭 NTFS 生成 8.3 文件名格式：修改注册表后在重新启动机器后生效。 Hive HKEY_LOCAL_MACHINESYSTEM Key CurrentControlSetControlFileSystem Name NtfsDisable8dot3NameCreation Type REG_DWORD Value 1 操作结果：实施文件系统安全增强，不会对系统造成任何不良的影响。 3.4.5设置 NTFS 的访问控制列表编号： 3011 名称：设置 NTFS 的访问控制列表重要等级：中基本信息：在使用 NTFS 文件系统的驱动器上，利用 Windows NT/2000中的访问控制列表，可以对访问计算机数据或网络数据的人加以限制。访问控制功能可用于对特定用户、计算机或用户组的访问权限进行限制。检测内容：查看对各个重要的目录是否设置了访问控制列表；建议操作：对各个重要目录的访问控制列表的设置参考下表： F（全部），R（只读），N/A（所有限制） ACLs Path Admin _istrator CREATE OWNER Authentice _ted Users SYSTEM SYSTEMO PERATORS Others %system drive% F R R F N/A N/A %system drive% temp F F F F N/A N/A %systemdrive% program files F R R F N/A N/A %system root% F F R F N/A N/A %system root%repair F N/A N/A F N/A N/A %systemroot system32config F F L F N/A N/A %system root%system32spool F F C F R N/A %systemroot%profiles F A F F N/A N/A %systemdrive%boot.ini F N/A N/A F N/A N/A %systemdrive% F N/A N/A F N/A N/A %systemdrive%ntldr F N/A N/A F N/A N/A %systemdrive%autoexec.bat F N/A R F N/A N/A %systemdrive%config.sys F N/A R F N/A N/A %systemroot%poledit.exe F N/A N/A F N/A N/A %systemroot%regedit.exe F N/A N/A F N/A N/A %systemroot%system32*.exeF N/A N/A F N/A N/A 操作结果：实施文件系统安全增强，不会对系统造成任何不良的影响。 3.5 防病毒描述：计算机病毒是具有传染性的恶意计算机代码。病毒成为危害 windows系统的安全主要威胁之一。防止计算机病毒必须根据系统的实际制定防病毒策略、部署多层防御、定期更新防病毒定义文件和引擎、定期备份文件，及时获得来自安全服务提供商的病毒信息。 3.5.1安装防病毒软件及其更新编号： 3012 名称：安装防病毒软件及其更新重要等级：高基本信息：保护系统时，最重要的事情之一就是使用防病毒软件并确保它的及时更新。 Internet 上的所有系统、公司的 Intranet都应该安装防病毒软件。并且建立适当的策略确保病毒库得到及时的更新。检测内容：检测并下载来自防病毒软件提供商的最新病毒库。建议操作：设置防病毒系统升级策略，凌晨 2:00下载病毒代码并分发升级。因数据量较大，可选择非业务忙时进行。根据病毒软件来更新病毒库。操作结果：安装防病毒软件及其更新，不会对系统造成任何不良的影响。但病毒软件对文件系统扫描时会降低系统性能，故需要按服务情况定制扫描策略。 3.5.2 对 web浏览器和电子邮件客户端的策略编号： 3013 名称：限制在服务器上使用 web浏览器和电子邮件客户端重要等级：高基本信息：浏览 web页面和收取电子邮件，将会导致恶意代码在本地执行。不应该在服务器系统上浏览 web和查收电子邮件检测内容：通过浏览器的历史记录，浏览器的临时目录和网络设备的日志检查建议操作：通过管理策略禁止用户在服务器等重要设备上，浏览 web页面和查收电子邮件操作结果：属于管理策略，不会对系统带来任何影响。 3.6 系统服务调整描述：Windows 提供的服务种类繁多，不同服务对安全的要求不一，如通过注册表、修改服务配置、停掉不必要的服务和组件等。 3.6.1通过注册表项增强服务安全编号： 3014 名称：通过注册表项增强服务安全重要等级：高基本信息：通过注册表项增强服务安全检测内容： 1、在注册表检查 RestrictAnonymous键： Hive HKEY_LOCAL_MACHINESYSTEM Key CurrentControlSetControlLSA Name RestrictAnonymous Type REG_DWORD Value 1 2、在网络邻居里隐藏重要服务器，增加以下键值: Hive HKEY_LOCAL_MACHINESYSTEM Key CurrentControlSetServicesLanManServerParameters Name Hidden Type REG_DWORD Value 1 建议操作： 1、在注册表设置 RestrictAnonymous键： Hive HKEY_LOCAL_MACHINESYSTEM Key CurrentControlSetControlLSA Name RestrictAnonymous Type REG_DWORD Value 1 在 win2000系统下，使用本地安全策略（如果是域服务器就是在域服务器安全和域安全策略中）有选项 RestrictAnonymous（匿名连接的额外限制），这个选项有三个值： 0：None. Rely on default permissions（无，取决于默认的权限） 1：Do not allow enumeration of SAM accounts and shares（不允许枚举 SAM帐号和共享） 2：No access without explicit anonymous permissions（没有显式匿名权限就不允许访问） 0这个值是系统默认的，无任何限制，远程用户可以获得系统所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum 等等，对服务器来说这样的设置非常危险。 1这个值是只允许非 NULL用户存取 SAM账号信息和共享信息。 2这个值是在 win2000中才支持的，需要注意的是，一旦使用了这个值，所有共享都会失效。控制对注册表的访问，新创建下面键值： Hive HKEY_LOCAL_MACHINESYSTEM Key CurrentControlSetControlSecurePipeServers Name winreg 确定注册表的访问权限是安全的：限制注册表修改权限，对下列关键注册表项应该加以监控，防止 trojan木马自动运行。 Hive HKEY_LOCAL_MACHINESYSTEM Key CurrentControlSetControlSecurePipeServerswinregAllowPathswinreg Name AllowPaths Type REG_DWORD Value 1 隐藏最后一次登陆用户的用户名: Hive HKEY_LOCAL_MACHINESOFTWARE Key MicrosoftWindows NTCurrent VersionWinlogon Name DontDisplayLastUserName Type REG_SZ Value 1 Hive Key HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun Hive Key HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce Hive Key HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunOnceEx Hive Key HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNT CurrentVersionAeDebug Hive Key HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNT CurrentVersionWinLogon 操作结果：通过注册表项增强服务安全，不会对系统造成任何不良的影响。 3.6.2停止 schedule服务编号： 3015 名称：停止 schedule服务重要等级：中基本信息： WINDOWS的 Schedule服务可以帮助系统管理员设计一个在某个时间执行的批任务。由于 Schedule 服务通常在系统帐号下执行，它可以修改帐号的权限。这就意味着入侵者可以修改 Schedule配置并放入一个 TROJAN木马程序来修改网络的访问权限。检测内容：察看是否禁止 SCHEDULE服务。建议操作：打开控制面板；选择任务计划；删除已有任务计划；点击高级菜单停用任务计划程序；操作结果：停止 schedule服务，不会对系统造成任何不良的影响；该操作不影响应用程序自定义计划执行；如有调用系统 schedule服务的应用，请慎重操作； 3.6.3根据情况停掉不必要的服务和组件编号： 3016 名称：根据情况停掉不必要的服务和组件重要等级：中基本信息： WindowsNT/2000服务器在默认安装情况下会安装上大量的服务和组件，从服务器安全角度来考虑，结合用户应用，很多服务和组件都是没有必要开启而且容易造成安全隐患的，可根据实际情况关闭或卸载。检测内容：常用的服务和组件：证书服务、群集服务、索引服务、IIS、管理和监视工具、消息排队服务、网络、连接服务（DNS,WINS 等）、远程安装服务、远程存储服务、脚本调试器、终端服务和终端、许可程序、媒体服务、IE 中禁止运行 ActiveX,JavaApplets，Cookies 写入权限等服务说明请参考“控制面板管理工具服务”中的描述建议操作：请单击“控制面板”中的“管理工具” ，然后根据具体要求，选择启用或禁用服务和组件。操作结果：根据情况停掉不必要的服务和组件，将会对影响系统提供相应服务。 3.6.4 SNMP服务安全策略编号： 3017 名称：限制对 SNMP的访问重要等级：中基本信息：开启 SNMP服务会导致信息泄漏的安全问题，对没有必要网管的设备建议关闭该服务。对于必须开放该服务的主机，需要在网关设备上限制对 SNMP的访问，同时，监视是否有猜测 SNMP口令的行为。在主机上需要遵守下面的安全策略。检测内容：通过控制面板|管理工具|服务察看 community字符串是否为 public，和检查是否限制可以访问 SNMP服务的主机。建议操作：打开控制面板管理工具服务察看 SNMP服务的属性，在 Security标签下，增加可以访问本机 SNMP服务的主机的 IP地址，同时，修改具有读取权限和写入权限的缺省字符串。操作结果：如果修改了字符串需要在相应的网管设备在修改配置，以保证可以对该设备进行正常的网管 3.7 安全设置优化描述：在 Windows 中，存储关于计算机配置信息的数据库，优化配置提高安全性。 3.7.1隐含最后登陆用户名编号： 3018 名称：隐含最后登陆用户名重要等级：中基本信息： Windows NT/2000在缺省情况下最后登陆的用户名，使得攻击者可以猜测系统内的用户信息。检测内容：注销当前用户查看登陆界面上是否显示上次登陆用户。建议操作： Win2000系统：启用“本地安全策略|本地策略|安全选项|屏幕上不显示上次登陆的用户名” windowsNT：打开注册表管理器 regedit 打开 HKEY_LOCAL_MACHINE/SOFTWARE/MICROSOFT/Windows NT/Current Version/Winlogon 清空“DefaultDomainName”和“DefaultUserName”键值操作结果：隐含最后登陆用户名不会对系统造成任何不良的影响。 3.7.2登陆前显示一条警示信息编号： 3019 名称：登陆前显示一条警示信息重要等级：中基本信息：利用此项功能可以在登陆前提示一些警示信息或注意事项，以保持系统的正常安全运行。同时防止用户对远程终端服务口令进行自动化的脚本猜测。检测内容：注销当前用户查看登陆界面上是否显示登陆警告信息。建议操作： Win2000：设置“本地安全策略|本地策略|安全选项|用户试图登录时消息文字” WinNT：打开注册表管理器 regedit HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWindowsNTCurrent VersionWinlogon 修改“LegalNoticeCaption”键值为警告信息。操作结果：登陆前显示一条警示信息不会对系统造成任何不良的影响。 3.7.3从登陆对话框中删除关机按钮编号： 3020 名称：从登陆对话框中删除关机按钮重要等级：高基本信息：如果在登陆界面上出现“关机”按钮的话，所有能够接触到该主机的用户都可以关闭机器，这是及其危险的，因此建议在登陆界面上删除“关机”按钮。检测内容：注销当前用户查看登陆界面上是否显示有关机按钮。建议操作： Win2000：停用“本地安全策略|本地策略|安全选项|允许为登录前关机” WinNT：打开注册表管理器 regedit HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWindowsNTCurrent VersionWinlogon 修改“ShutdownWithoutLogon”键值为 0。注销用户操作结果：从登陆对话框中删除关机按钮不会对系统造成任何不良的影响。 3.7.4阻止未授权访问注册表编号： 3021 名称：阻止未授权访问注册表重要等级：高基本信息： 1、注册表编辑器支持远程 Windows NT 注册表访问。 2、禁止远程注册表访问。检测内容： 1、检测注册表 Hive HKEY_LOCAL_MACHINESYSTEM Key CurrentControlSetControlSecurePipeServers Name winreg 在该键值中设置的安全权限定义哪些用户或组可以连接到系统以便对注册表进行远程访问。默认的 Windows NT Workstation 安装未定义该键值，不限制对注册表的远程访问。Windows NT Server 只允许管理员远程访问绝大多数注册表。在 KEY_LOCAL_MACHINESystemCurrentControlSetControSecurePipeServers winregAllowedPaths 键值中指定义了某些允许非管理员访问的路径 2、关闭远程用户修改此计算机上的注册表设置，只有此计算机上的用户才能修改注册表。建议操作： 1. 添加上述注册表键值，限制对远程注册表的访问。 2. 在控制面板|管理工具|服务里停止或禁用 Remote Registry服务。（windows2000 默认打开）操作结果：上述设置限制了对注册表的远程访问，不会对系统造成任何不良的影响。 3.7.5对关键注册表项进行访问控制编号： 3022 名称：对关键注册表项进行访问控制重要等级：高基本信息：应在限定用户对注册表访问权限后，对一些关键的注册表项应该严格访问控制并进行严密监视，防止它们被攻击者用于启动 trojan 木马程序。检测内容：检测注册表下面的内容：注册表路径： HKEY_Local MachineSOFTWAREMicrosoftWidowsCurrentVersion 键名缺省权限能启动代码执行的值 Run Everyone 设置值任意 RunOnce Server Operators 设置值任意 RunOnceEx Everyone 设置值任意 AeDebug Everyone 设置值 Debugger Winlogon Server Operators 设置值 Userinit 建议操作：注册表路径： HKEY_Local MachineSOFTWAREMicrosoftWidowsCurrentVersion 对其默认的属性进行修改，推荐值为：键名缺省权限能启动代码执行的值 Run Everyone 设置值任意 RunOnce Server Operators 设置值任意 RunOnceEx Everyone 设置值任意 AeDebug Everyone 设置值 Debugger Winlogon Server Operators 设置值 Userinit Creator Owner Full Control Administrator Full Control System Full Control Everyone Read 操作结果：对所有重要的注册表项进行访问控制限制，不会对系统造成任何不良的影响。 3.8TCP/IP 协议参数调整和端口过滤描述：调整 Windows系统 TCP/IP协议参数的设置，可以提高 windows抵抗拒绝服务攻击的能力，同时可以防止利用网络配置的“跳板式”攻击。 3.8.1优化 TCP/IP，抵抗 DoS攻击编号： 3023 名称：优化 TCP/IP参数，抵抗拒绝服务（DOS）攻击重要等级：高基本信息： Windows主机系统可以通过调整 TCP/IP参数来提高系统抵抗 Dos攻击的能力，但是，发生 Dos攻击时，通过在网络设备上进行包过滤将是一个更有效的策略。检测内容：检测以下注册表的键值建议操作：将“检测内容”中的注册表键值，添加、更改为下面的推荐设置： SynAttackProtect（在 windows 200 professional 未发现这个键值，是否需要创建？类型：REG_DWORD 推荐值：2 描述：使 TCP/IP调整 SYN-ACKS的重传。当出现 SYN-ATTACK迹象时，使连接对超时的响应更快。键值设为 2，Socket 的以下选项不再工作：可伸缩窗口（RFC1323）单个适配器的 TCP参数（初始 RTT、窗口大小） EnableDeadGWDetect 类型： REG_DWORD 推荐值：0 描述：当键值为 1时，允许 TCP做网关失效检测（dead-gateway detect）,当出现大量连接时会自动切换到后备网关，而使攻击者可以利用这个特性使系统切换到他们所希望的网关。设置为 0时，攻击不能迫使系统切换到他们所希望的网关。 EnablePMTUDiscovery 类型： REG_DWORD 推荐值：0 描述：键值设为 1时，Tcp 会发现传输路径上的最大传输单元（MTU），这样就消除传输路径上的分片。因为分片可以影响 TCP的吞吐量并引起网络拥塞。当设为 0时，就只使用 576字节的 MTU来连接所有的非本地子网主机，防止攻击者强制将 MTU限制为小的值而使 TCP堆栈负担过重而崩溃。 KeepAliveTime 类型： REG_DWORD 推荐值：300000（5 分钟）描述：控制 TCP多长时间发一个 keep-alive分组去确认某个空连接是否完整。如果远程系统仍然可达而且工作，则保持该传输的连接。缺省情况下不发送 keep-alive分组，往往由应用程序打开。该设置时缺省设置，作用于所有接口对于用于管理或者冗余的适配器，该值应该更大一些。 InterfacesNoNameReleaseOnDemand 类型： REG_DWORD 推荐值：1 描述：设为 1决定计算机收到网络上的名字发布请求（NameRelease）时，计算机不发布其 NETBIOS名字。 InterfacesPerformRouterDiscovery 未发现类型： REG_DWORD 推荐值：0 描述：设为 0可以禁止 Windows 2000/NT基于每个接口进行路由器发现（RFC 1256讨论这个问题），所以可以防止伪造的路由器攻击（Router Spoofing）。 EnableICMPRedirects 类型： REG_DWORD 推荐值：0 描述：禁止 ICMP复位向。 IPEnableRouter 类型： REG_DWORD 推荐值：0 描述：禁止转发路由。 EnableSecurityFilters 类型： REG_DWORD 推荐值：0 描述：禁止 IP过滤。操作结果：上述设置加固 TCP/IP堆栈，应付 DoS的攻击，不会对系统造成任何不良的影响。 3.8.2禁用 IP 路由转发编号： 3024 名称：禁用 IP 路由转发重要等级：中基本信息：如果启用路由，将可能发生在 Intranet 和 Internet 之间传递数据的危险。该危险存在于多网卡系统主机上。检测内容：打开“控制面板”“网络”“协议”“TCP/IP 协议”“属性”“路由” ，查看在“启用 IP转发”复选框前是否被选中，如果选中则代表该主机会启用 IP转发。建议操作：若要禁用路由，打开“控制面板”“网络”“协议”“TCP/IP 协议”“属性” “路由”然后清除“启用 IP转发”复选框。操作结果：如果系统并不承担 IP路由转发工作，禁用 IP 路由转发不会对系统造成任何不良的影响。 3.9Windows 主机上 DNS 服务的安全增强（NT、2000 Server 自带的 DNS 服务）描述：在 DNS 客户/服务器模型中，通过设置转发，限制区域文件传输等方式增强安全性能。 3.9.1限制区域文件传输编号： 3025 名称：限制区域文件传输重要等级：高基本信息： DNS服务器提供区域文件传输功能，一般用在主 DNS和辅 DNS服务器之间进行数据同步的情况。如果网络中只有一个 DNS服务器，应该禁止该功能；如果存在辅 DNS服务器，应该限制区域文件传输的 DNS服务器范围。检测内容：检测方式参考下面“建议部分”的内容建议操作：选择程序管理工具DNS 选项，打开 DNS管理器，连接到需要配置的 DNS 服务器后，选择需要限制区域传输的域，鼠标右键菜单中选择属性选项，在区域复制面板中设置允许主机的 IP地址。操作结果：限制区域文件传输，不会对系统造成任何不良的影响。 3.10 Windows 主机上 WWW 服务的安全增强（ IIS4、5 ）描述：IIS 是 Windows 组件，此组件可以很容易将信息和业务应用程序发布到 Web。 3.10.1及时升级最新的 IIS版本和安装最新的补丁编号： 3026 名称：及时升级最新的 IIS版本和安装最新的补丁重要等级：高基本信息： IIS的漏洞已经成为危害 Windows系统的主要安全隐患，解决 IIS安全漏洞的最直接的办法就是及时的升级 IIS版本和安装最新的安全补丁。同时，可以在 bulletin/notify.asp 上预定 Microsoft 安全通知服务，以便及时知道有关 Microsoft 安全问题和修补程序的信息。检测内容：检测是否按安装了最新的 IIS版本和最新的补丁建议操作：升级的操作 1. 打开 Internet Explorer。 2. 导航到 3. 从“收藏”菜单中选择“添加到收藏夹” 。 4. 选中“允许脱机使用”复选框。 5. 单击“自定义” 。 6. 在“脱机收藏夹向导”中单击“下一步” 。 7. 选中“是”选项按钮并指定下载与该页链接的 2 层网页。 8. 单击“下一步” 。 9. 选中“创建新的计划”选项按钮，然后单击“下一步” 。 10.接受默认设置，再单击“下一步” 。 11.单击“完成” 。 12.单击“确定” 。 13.从“收藏”菜单中选中“整理收藏夹” 。 14.在“整理收藏夹”对话框中选择“Microsoft TechNet Security”快捷方式。 15.单击“属性” 。 16.单击“Microsoft TechNet Security 属性”对话框的“下载”选项卡。 17.取消选中“跟踪本页 Web 站点之外的链接”复选框。 18.单击“确定” ，然后单击“关闭” 。操作结果：及时升级 IIS安全补丁有助于提高整个操作系统安全性，并避免 WEB信息被篡改。 3.10.2启用日志记录编号： 3027 名称：启用日志记录重要等级：高基本信息：查看服务器是否正在受到攻击，日志将非常重要。检测内容：客户 IP 地址，用户名，方法， URI 资源，HTTP 状态， Win32 错误，用户代理，服务器 IP 地址，服务器端口建议操作： 1. 加载 Internet Information Services 工具。 2. 右键单击怀疑有问题的站点，然后从上下文菜单中选择“属性” 。 3. 单击“网站”选项卡。 4. 选中“启用日志”复选框。 5. 从“活动日志格式”下拉列表中选择“W3C 扩展日志文件格式” 。 6. 单击“属性”并配置日志记录项。操作结果：启用日志记录不会对系统造成任何不良的影响。 3.10.3删除未使用的脚本映射编号： 3028 名称：删除未使用的脚本映射重要等级：中基本信息： IIS 被预先配置成支持常见的文件扩展名，如 .asp 和 .shtm。当 IIS 接收到针对其中某一类型文件的请求时，该调用由 DLL 进行处理。检测内容：删除下面这些引用：如果没有使用请删除此项基于 Web 的密码重设 .htr 索引服务器 .ida Internet 数据库连接器（新的网站不使用此连接器；它们使用活动 Active Server Pages 的 ADO） .idc 服务器端包含程序 .shtm、.stm、.shtml 建议操作： 1. 打开 Internet 服务管理器。 2. 右键单击 Web 服务器，然后选择“属性” 。 3. 单击“主属性” 。 4. 选择“WWW 服务” ，单击“编辑” ，单击“HomeDirectory” ，然后单击“配置” 。操作结果：删除未使用的脚本映射不会对系统造成任何不良的影响。 3.10.4在 IIS 服务器上更新根目录的 CA 证书编号： 3029 名称：在 IIS 服务器上更新根目录的 CA 证书重要等级：高基本信息：添加所有信任的新根目录证书颁发机构 (CA) 证书尤其是任何通过使用 Microsoft Certificate Services 2.0 创建的新根目录 CA 证书。检测内容：不知道发布根目录证书的公司名称，那么就不应当信任他们，删除其证书！注意，不要删除 Microsoft 或 VeriSign 根目录。操作系统会大量使用它们。建议操作： 1. 打开 Microsoft Management Console (MMC)。 2. 从“控制台”菜单中选择“添加/删除管理单元” ，然后单击“添加” 。 3. 选择“证书”并单击“添加” 。 4. 单击“计算机帐户”选项按钮。 5. 单击“下一步” 。 6. 选中所指机器。 7. 单击“完成” 。 8. 单击“关闭” ，再单击“确定” 。 9. 展开证书节点。 10.扩展信任的根目录证书颁发机构。 11.选择证书操作结果：在 IIS 服务器上更新根目录的 CA 证书不会对系统造成任何不良的影响。 3.11Windows 主机上 SQL SERVER 服务的安全增强（V7、V2000） 3.11.1 使用安全的密码策略编号： 3030 名称：使用安全的密码策略重要等级：高基本信息： SQL Server的认证模式有 Windows身份认证和混合身份认证两种。由于 SQL Server不能更改 sa用户名称，也不能删除这个超级用户，所以，我们必须对这个帐号进行最强的保护。检测内容：数据库管理员新建立一个拥有与 sa一样权限的超级用户来管理数据库。安全的帐号策略还包括不要让管理员权限的帐号泛滥。建议操作：如果数据库管理员不希望操作系统管理员来通过操作系统登陆来接触数据库的话，可以在帐号管理中把系统帐号“BUILTINAdministrators”删除。不过这样做的结果是一旦 sa帐号忘记密码的话，就没有办法来恢复了。很多主机使用数据库应用只是用来做查询、修改等简单功能的，请根据实际需要分配帐号，并赋予仅仅能够满足应用要求和需要的权限。比如，只要查询功能的，那么就使用一个简单的 public帐号能够 select就可以了。操作结果：使用安全的密码策略，不会对系统造成任何不良的影响。 3.11.2加强数据库日志的记录编号： 3031 名称：加强数据库日志的记录重要等级：中基本信息：审核数据库登录事件的“失败和成功” ，在实例属性中选择“安全性” ，将其中的审核级别选定为全部，这样在数据库系统和操作系统日志里面，就详细记录了所有帐号的登录事件。检测内容：审核数据库登录事件的“失败和成功” ，建议操作： 1、请定期查看 SQL Server日志检查是否有可疑的登录事件发生，或者使用 DOS命令。 findstr /C:“登录“ d:Microsoft SQL ServerMSSQLLOG*.* 2、在实例属性中选择“安全性” ，将其中的审核级别选定为全部，这样在数据库系统和操作系统日志里面，就详细记录了所有帐号的登录事件。：操作结果：加强数据库日志的记录，不会对系统造成任何不良的影响。 3.11.3管理扩展存储过程编号： 3032 名称：管理扩展存储过程重要等级：中基本信息：对存储过程进行大手术，并且对帐号调用扩展存储过程的权限要慎重。其实在多数应用中根本用不到多少系统的存储过程，而 SQL Server的这么多系统存储过程只是用来适应广大用户需求的，所以请删除不必要的存储过程，因为有些系统的存储过程能很容易地被人利用起来提升权限或进行破坏。检测内容：审核数据库登录事件的“失败和成功” ，建议操作： 1、如果你不需要扩展存储过程 xp_cmdshell请把它去掉。使用这个 SQL

展开阅读全文

Windows主机安全配置手册.doc

最新文档