网吧QQ安全提升项目

网吧QQ安全提升项目网吧系统安全指引V1.0目录1系统篇......................................................................................................................................21.1操作系统选择...............................................................................................................21.2Windows2000安全加固指引....................................................................................21.3WindowsXP安全加固指引........................................................................................71.4Windows2003安全加固指引....................................................................................72防病毒软件篇........................................................................................................................112.1服务器防病毒软件.....................................................................................................112.2客户机防病毒软件.....................................................................................................113还原软件篇............................................................................................................................121系统篇1.1操作系统选择ü对于网吧管理服务器，建议选用以下操作系统：Windows2000ServerWindows2003如条件限制，Windows2000pro与WindowsXP也可在条件允许下，服务器操作系统建议使用英文版ü对于网吧客户PC，建议选用以下操作系统：WindowsXP如条件限制，Windows2000pro也可1.2Windows2000安全加固指引Ø物理安全如为服务器应该安放在安装了监视器的隔离房间内，并且监视器要保留15天以上的摄像记录。另外，机箱,键盘，电脑桌抽屉要上锁，以确保旁人即使进入房间也无法使用电脑，钥匙要放在另外的安全的地方。Ø停掉Guest帐号在计算机管理的用户里面把guest帐号停用掉，任何时候都不允许guest帐号登陆系统。为了保险起见，最好给guest加一个复杂的密码，你可以打开记事本，在里面输入一串包含特殊字符,数字，字母的长字符串，然后把它作为guest帐号的密码拷进去。3．限制不必要的用户数量去掉所有的多余帐户。用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不在使用的帐户。这些帐户很多时候都是黑客们入侵系统的突破口，系统的帐户越多，黑客们得到合法用户的权限可能性一般也就越大。Ø创建2个管理员用帐号创建一个一般权限帐号用来收信以及处理一些日常事物，另一个拥有Administrators权限的帐户只在需要的时候使用。可以让管理员使用“RunAS”命令来执行一些需要特权才能作的一些工作，以方便管理。Ø把系统administrator帐号改名windows2000的administrator帐号是不能被停用的，这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。当然，请不要使用Admin之类的名字，改了等于没改，尽量把它伪装成普通用户，比如改成：guestone。Ø创建一个陷阱帐号创建一个名为”Administrator”的本地帐户，把它的权限设置成最低，并且加上一个超过10位的超级复杂密码。Ø把共享文件的权限从”everyone”组改成“授权用户”“everyone”在win2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。Ø使用安全密码设置高强度的密码，包含大写字母，小写字母，数字与特殊字符Ø使用NTFS格式分区把服务器的所有分区都改成NTFS格式。Ø安装防毒软件建议安装Mcafee、卡巴斯基，NOD32等，不推荐诺顿Ø保障备份盘的安全一旦系统资料被破坏，备份盘将是你恢复资料的唯一途径。备份完资料后，把备份盘防在安全的地方。Ø利用win2000的安全配置工具来配置策略微软提供了一套的基于MMC(管理控制台)安全配置和分析工具，利用他们你可以很方便的配置你的服务器以满足你的要求。具体内容请参考微软主页：Ø关闭不必要的服务windows2000的TerminalServices（终端服务），IIS,和RAS都可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器，很多机器的终端服务都是开着的，如果你的也开了，要确认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务，中期性(每天)的检查他们。下面是C2级别安装的默认服务：ComputerBrowserserviceTCP/IPNetBIOSHelperMicrosoftDNSserverSpoolerNTLMSSPServerRPCLocatorWINSRPCserviceWorkstationNetlogonEventlogØ关闭不必要的端口关闭端口意味着减少功能。\system32\drivers\etc\services文件中有知名端口和服务的对照表可供参考。具体方法为：网上邻居属性本地连接属性internet协议(tcp/ip)属性高级选项tcp/ip筛选属性打开tcp/ip筛选，添加需要的tcp,udp,协议即可。Ø打开审核策略开启安全审核是win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些方式（如尝试用户密码,改变帐户策略，未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来。下面的这些审核是必须开启的，其他的可以根据需要增加：策略设置审核系统登陆事件成功，失败审核帐户管理成功，失败审核登陆事件成功，失败审核对象访问成功审核策略更改成功，失败审核特权使用成功，失败审核系统事件成功，失败Ø开启密码密码策略策略设置密码复杂性要求启用密码长度最小值6位强制密码历史5次强制密码历史42天Ø开启帐户策略策略设置复位帐户锁定计数器20分钟帐户锁定时间20分钟帐户锁定阈值3次Ø设定安全记录的访问权限安全记录在默认情况下是没有保护的，把他设置成只有Administrator和系统帐户才有权访问。Ø不让系统显示上次登陆的用户名默认情况下，终端服务接入服务器时，登陆对话框中会显示上次登陆的帐户明，本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名，进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名，具体是：HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\DontDisplayLastUserName把REG_SZ的键值改成1.Ø到微软网站或使用WindowsUpdate下载最新的补丁程序（非常重要）经常访问微软和一些安全站点，使用WindowsUpdate下载最新的servicepack和漏洞补丁，是保障服务器长久安全的唯一方法。Ø禁止dumpfile的产生dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料然而，它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。要禁止它，打开控制面板系统属性高级启动和故障恢复把写入调试信息改成无。要用的时候，可以再重新打开它。Ø使用文件加密系统EFSWindows2000强大的加密系统能够给磁盘，文件夹，文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。记住要给文件夹也使用EFS,而不仅仅是单个的文件。有关EFS的具体信息可以查看Ø锁住注册表在windows2000中，只有administrators和BackupOperators才有从网络上访问注册表的权限。详细信息请参考：Ø关机时清除掉页面文件页面文件也就是调度文件，是win2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一些没有的加密的密码存在内存中，页面文件中也可能含有另外一些敏感的资料。要在关机的时候清楚页面文件，可以编辑注册表HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\MemoryManagement把ClearPageFileAtShutdown的值设置成1。1.3WindowsXP安全加固指引1.4Windows2003安全加固指引1．目录权限的配置：1.1除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权，之后再对其下的子目录作单独的目录权限，如果WEB站点目录，你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限，如果想使网站更加坚固，可以分配只读权限并对特殊的目录作可写权限。1.2系统所在分区下的根目录都要设置为不继承父权限，之后为该分区只赋予Administrators和SYSTEM有完全控制权。1.3因为服务器只有管理员有本地登录权限，所在要配置DocumentsandSettings这个目录权限只保留Administrators和SYSTEM有完全控制权，其下的子目录同样。另外还有一个隐藏目录也需要同样操作。1.4配置Programfiles目录，为CommonFiles目录之外的所有目录赋予Administrators和SYSTEM有完全控制权1.5配置Windows目录，其实这一块主要是根据自身的情况如果使用默认的安全设置也是可行的，不过还是应该进入SYSTEM32目录下，将cmd.exe、ftp.exe、net.exe、scrrun.dll、shell.dll这些杀手锏程序赋予匿名帐号拒绝访问1.6审核MetBase.bin，C:\WINNT\system32\inetsrv目录只有administrator只允许Administrator用户读写。2．组策略配置:在用户权利指派下，从通过网络访问此计算机中删除PowerUsers和BackupOperators；启用不允许匿名访问SAM帐号和共享；启用不允许为网络验证存储凭据或Passport；启用交互登录：不显示上次的用户名；启用在下一次密码变更时不存储LANMAN哈希值；禁止IIS匿名用户在本地登录；3.本地安全策略设置:开始