Windows2003加固手册

Windows2003安全加固手册版权所有，违者必究第1页，共9页Windows2003安全加固配置手册Windows2003安全加固手册版权所有，违者必究第2页，共9页目录Windows2003安全加固配置手册................................................................................................1关键词：...................................................................................................................................3摘要：...................................................................................................................................3缩略语：...................................................................................................................................3参考标准及其资料：...............................................................................................................31概述........................................................................................................................................42安全加固内容........................................................................................................................43客户信息调查........................................................................................................................44边界及物理安全....................................................................................................................45升级与补丁............................................................................................................................46操作系统加固........................................................................................................................56.1帐号安全及策略................................................................................................................56.2删除各类共享....................................................................................................................66.3审计.....................................................................................................................................66.4服务.....................................................................................................................................76.5防DoS设置........................................................................................................................86.7IPSEC配置........................................................................................................................87IIS加固................................................................................................................................88其他安全配置.......................................................................................................................99资源下载...............................................................................................................................9Windows2003安全加固手册版权所有，违者必究第3页，共9页关键词：Windows2003、加固、DDoS摘要：本手册主要描述了建立WindowsNT系列操作系统安全加固配置标准，并以此标准为指导，配置和审视客户WindowsNT系列服务器的安全性；降低系统存在的安全风险，确保系统安全可靠的运行。缩略语：无参考标准及其资料：资料名称作者发布日期查阅渠道《windowsserver2003黑客大曝光》JoelScambray2004.9《Windowsserver2003安全指南》微软网站《Windows安全加固》网上文章Windows2003安全加固手册版权所有，违者必究第4页，共9页1概述随着计算机互联网的发展，网络应用的普及，网络规模、网上计算机数量均呈指数型增长，在人们享受到网络的方便快捷的同时，各种各样的攻击和病毒也更加猖狂，网络的安全防护越发重要。本文档主要说明在安全防护中基于windows平台的加固策略。当前版本适用于WindowsNT系列，主要以Windows2003为主来。安全加固配置中部分加固配置可以考虑使用安全模板来实现，以减轻工作量。2安全加固内容客户环境调查边界及物理安全升级与补丁操作系统加固IIS加固其他安全配置3客户信息调查客户网络环境（如：服务器前有没有fw，有些什么服务器）硬件信息操作系统信息（版本，补丁情况）IIS的版本主机是否在一个windows域里是否使用数据库，什么数据库是否需要远程管理是否需要终端访问服务4边界及物理安全设置边界防火墙只允许访问服务器的必要端口；部署防御DoS的功能；阻止服务器发出的主动连接设置BIOS密码在BIOS里设置系统只能从硬盘启动，不允许从软盘和CD-ROM启动至少创建两个NTFS分区，一个用来存放系统文件（C盘），一个用来存放数据（如E盘）卸载不需要的组网协议5升级与补丁大企业，带SUS（软件升级服务）包的SMS（系统管理服务器），微软出品Windows2003安全加固手册版权所有，违者必究第5页，共9页中小企业，SUS的独立版本个人用户，MBSA（微软基准安全分析器）；Reskit工具包里的srvinfo第三方工具，Shavlik公司的HFNetChkPro6操作系统加固帐号安全及策略删除各类共享审计服务最小化防DoS设置配置IPSec过滤器6.1帐号安全及策略密码策略密码必须符合复杂性要求：启用密码长度最小值：8个字符密码最长存留期：70天密码最短存留期：30天强制密码历史：3个记住的密码帐户锁定阀值：5次无效登陆帐户锁定时间：15分钟复位帐户锁定计数器：15分钟之后Guest及administrator帐号管理给guest帐号设置一个足够复杂的密码；将guest帐号改名，并且禁用guest帐号；禁止Guest帐号本地登录和网络登录的权限。（打开“本地安全策略”-“本地策略”-“用户权利指派”，在“拒绝本地登陆”和“拒绝从网络访问这台计算机”中添加guest帐号）为administrator改名，尽可能隐藏信息，防止口令猜测等攻击。其他相关策略删除无用帐户，尽可能减少系统安全隐患；隐藏控制台上次登陆用户名HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\winlogon键值：DontDisplayLastUserName类型：GEG_SZ值：1从通过网络访问此计算机中删除Everyone组;在用户权利指派下，从通过网络访问此计算机中删除PowerUsers和BackupOperators;为交互登录启动消息文本。启用不允许匿名访问SAM帐号和共享;Windows2003安全加固手册版权所有，违者必究第6页，共9页启用不允许为网络验证存储凭据或Passport;启用在下一次密码变更时不存储LANMAN哈希值;启用清除虚拟内存页面文件;禁止IIS匿名用户在本地登录;(用户权限指派-〉拒绝本地登录-〉添加IUSER_XXX)启用交互登录:不显示上次的用户名;从文件共享中删除允许匿名登录的DFS$和COMCFG;禁用活动桌面6.2删除各类共享关闭NetBIOS网络和拨号连接-本地连接属性-Internet协议-属性-高级-选项-Wins里选中“禁用tcp/ip上的netbios”确定生效后，TCP139UDP137138将被关闭。网络和拨号连接-本地连接属性中，取消选中“Microsoft网络的文件和打印机共享”确定生效后，TCP445上将不再提供文件和打印共享服务。Key:HKLM\\System\CurrentControlSet\Services\NetBT\Parameters添加键值：SMBDeviceEnabled类型REG_DWORD：值：0重新启动系统后，TCP445将被关闭删除系统默认共享删除ADMIN$,C$,D$,E$......等：HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters添加键值：Autoshareserver（2000Professional应添加Autosharewks）类型：REG_DWORD值：0添加后应重启server服务或重启系统使之生效。对匿名连接进行限制Key:HKLM\SYSTEM\CurrentControlSet\Control\Lsa键值：restrictanonymous类型：REG_DWORD值：16.3审计审核帐户管理成功，失败审核帐户登陆事件成功，失败审核系