Server系统安全加固.docx
《Server系统安全加固.docx》由会员分享,可在线阅读,更多相关《Server系统安全加固.docx(26页珍藏版)》请在冰豆网上搜索。
Server系统安全加固
为安装Windowsserver操作系统的服务器进行系统安全加固
操作系统基本安全加固
补丁安装
使用Windowsupdate安装最新补丁
或者使用第三方软件安装补丁,如360安全卫士
系统帐户、密码策略
1.帐户密码策略修改
“本地计算机”策→计算机配置→windows设置→安全设置→密码策略
密码长度最小值7字符
密码最长存留期90天
密码最短存留期30天
密码必须符合复杂性要求启用
保障帐号以及口令的安全,但是设置帐号策略后可能导致不符合帐号策略的帐号无法登录,需修改不符合帐号策略的密码(注:
管理员不受帐号策略限制,但管理员密码应复杂以避免被暴力猜测导致安全风险)
2.帐户锁定策略
账户锁定时间30分钟
账户锁定阈值5次无效登录
复位账户锁定计数器30分钟
有效的防止攻击者猜出您账户的密码
3.更改默认管理员用户名
“本地计算机”策→计算机配置→windows设置→安全设置→本地策略→安全选项
帐户:
重命名管理员帐户
默认管理员帐号可能被攻击者用来进行密码暴力猜测,可能由于太多的错误密码尝试导致该帐户被锁定。
建议修改默认管理员用户名
4.系统默认账户安全
Guest帐户必须禁用;如有特殊需要保留也一定要重命名
TSInternetUser此帐户是为了“TerminalServicesInternetConnectorLicense”使用而存在的,故帐户必须禁用,不会对于正常的TerminalServices的功能有影响
SUPPORT_388945a0此帐户是为了IT帮助和支持服务,此帐户必须禁用
IUSR_{system}必须只能是Guest组的成员,此帐户为IIS(InternetInformationServer)服务建立
IWAM_{system}必须只能是Guest组的成员,此帐户为IIS(InternetInformationServer)服务建立
日志审核策略
“本地计算机”策→计算机配置→windows设置→安全设置→本地策略→审核策略
审核策略更改成功
审核登录事件无审核
审核对象访问成功,失败
审核过程追踪无审核
审核目录服务访问无审核
审核特权使用无审核
审核系统事件成功,失败
审核帐户登录事件成功,失败
审核帐户管理成功,失败
对系统事件进行审核,在日后出现故障时用于排查故障
修改日志的大小与上限
开始→控制面板→管理工具→事件察看器
安全策略文件修改下述值:
日志类型大小覆盖方式
应用日志16382K覆盖早于30天的事件
安全日志16384K覆盖早于30天的事件
系统日志16384K覆盖早于30天的事件
网络与服务安全
暂停或禁用不需要的后台服务
开始→运行→输入“services.msc”将下面服务的启动类型设置为手动并停止上述服务
已启动且需要停止的服务包括:
Alerter服务
ComputerBrowser服务
IPSECPolicyAgent服务
Messenger服务
MicrosoftSearch服务
PrintSpooler服务
RunAsService服务
RemoteRegistryService服务
SecurityAccountsManager服务
TaskScheduler服务
TCP/IPNetBIOSHelperService服务
注册表安全性
1.禁止匿名用户连接(空连接)
注册表如下键值:
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
“restrictanonymous”的原值为0将该值修改为“1”可以禁止匿名用户列举主机上所有用户、组、共享资源
2.删除主机默认共享
注册表键值HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
名称:
Autoshareserver类型:
REG_DOWN值:
1删除主机因为管理而开放的共享
注意:
这里可能有部分备份软件使用到系统默认共享
3.限制远程注册表远程访问权限
注册表如下键值:
HKLM\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg
名称:
Description类型:
REG_SZ值:
RegistryServer
4.阻止远程访问系统日志
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application
“本地计算机”策→计算机配置→windows设置→安全设置→本地策略→安全选项
网络访问:
可匿名访问的共享
网络访问:
可匿名访问的命名管道
网络访问:
可远程访问的注册表路径
网络访问:
可远程访问的注册表路径和子路径
网络访问:
限制对命名管道和共享的匿名访问
5.禁用自动运行功能
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
名称:
NoDriveTypeAutoRun类型:
REG_DWORD值:
0xFF
文件系统加固
注意:
文件的权限修改使用cmd命令行下面cacls命令修改,不要直接使用图像界面修改
%SystemDrive%\Boot.iniAdministrators:
完全控制System:
完全控制
%SystemDrive%\NAdministrators:
完全控制System:
完全控制
%SystemDrive%\NtldrAdministrators:
完全控制System:
完全控制
%SystemDrive%\Io.sysAdministrators:
完全控制System:
完全控制
%SystemDrive%\Autoexec.batAdministrators:
完全控制System:
完全控制AuthenticatedUsers:
读取和执行、列出文件夹内容、读取
%systemdir%\configAdministrators:
完全控制System:
完全控制AuthenticatedUsers:
读取和执行、列出文件夹内容、读取
%SystemRoot%\DownloadedProgramFilesAdministrators:
完全控制System:
完全控制Everyone:
读取
%SystemRoot%\FontsAdministrators:
完全控制System:
完全控制Everyone:
读取
%SystemRoot%\TasksAdministrators:
完全控制System:
完全控制
%SystemRoot%\system32\Append.exeAdministrators:
完全控制
%SystemRoot%\system32\Arp.exeAdministrators:
完全控制
%SystemRoot%\system32\At.exeAdministrators:
完全控制
%SystemRoot%\system32\Attrib.exeAdministrators:
完全控制
%SystemRoot%\system32\Cacls.exeAdministrators:
完全控制
%SystemRoot%\system32\Change.exeAdministrators:
完全控制
%SystemRoot%\system32\CAdministrators:
完全控制
%SystemRoot%\system32\Chglogon.exeAdministrators:
完全控制
%SystemRoot%\system32\Chgport.exeAdministrators:
完全控制
%SystemRoot%\system32\Chguser.exeAdministrators:
完全控制
%SystemRoot%\system32\Chkdsk.exeAdministrators:
完全控制
%SystemRoot%\system32\Chkntfs.exeAdministrators:
完全控制
%SystemRoot%\system32\Cipher.exeAdministrators:
完全控制
%SystemRoot%\system32\Cluster.exeAdministrators:
完全控制
%SystemRoot%\system32\Cmd.exeAdministrators:
完全控制
%SystemRoot%\system32\Compact.exeAdministrators:
完全控制
%SystemRoot%\system32\CAdministrators:
完全控制
%SystemRoot%\system32\Convert.exeAdministrators:
完全控制
%SystemRoot%\system32\Cscript.exeAdministrators:
完全控制
%SystemRoot%\system32\Debug.exeAdministrators:
完全控制
%SystemRoot%\system32\Dfscmd.exeAdministrators:
完全控制
%SystemRoot%\system32\DAdministrators:
完全控制
%SystemRoot%\system32\DAdministrators:
完全控制
%SystemRoot%\system32\Doskey.exeAdministrators:
完全控制
%SystemRoot%\system32\Edlin.exeAdministrators:
完全控制
%SystemRoot%\system32\Exe2bin.exeAdministrators:
完全控制
%SystemRoot%\system32\Expand.exeAdministrators:
完全控制
%SystemRoot%\system32\Fc.exeAdministrators:
完全控制
%SystemRoot%\system32\Find.exeAdministrators:
完全控制
%SystemRoot%\system32\Findstr.exeAdministrators:
完全控制
%SystemRoot%\system32\Finger.exeAdministrators:
完全控制
%SystemRoot%\system32\Forcedos.exeAdministrators:
完全控制
%SystemRoot%\system32\FAdministrators:
完全控制
%SystemRoot%\system32\Ftp.exeAdministrators:
完全控制
%SystemRoot%\system32\Hostname.exeAdministrators:
完全控制
%SystemRoot%\system32\Iisreset.exeAdministrators:
完全控制
%SystemRoot%\system32\Ipconfig.exeAdministrators:
完全控制
%SystemRoot%\system32\Ipxroute.exeAdministrators:
完全控制
%SystemRoot%\system32\Label.exeAdministrators:
完全控制
%SystemRoot%\system32\Logoff.exeAdministrators:
完全控制
%SystemRoot%\system32\Lpq.exeAdministrators:
完全控制
%SystemRoot%\system32\Lpr.exeAdministrators:
完全控制
%SystemRoot%\system32\Makecab.exeAdministrators:
完全控制
%SystemRoot%\system32\Mem.exeAdministrators:
完全控制
%SystemRoot%\system32\Mmc.exeAdministrators:
完全控制
%SystemRoot%\system32\MAdministrators:
完全控制
%SystemRoot%\system32\MAdministrators:
完全控制
%SystemRoot%\system32\Mountvol.exeAdministrators:
完全控制
%SystemRoot%\system32\Msg.exeAdministrators:
完全控制
%SystemRoot%\system32\Nbtstat.exeAdministrators:
完全控制
%SystemRoot%\system32\Net.exeAdministrators:
完全控制
%SystemRoot%\system32\Net1.exeAdministrators:
完全控制
%SystemRoot%\system32\Netsh.exeAdministrators:
完全控制
%SystemRoot%\system32\Netstat.exeAdministrators:
完全控制
%SystemRoot%\system32\Nslookup.exeAdministrators:
完全控制
%SystemRoot%\system32\Ntbackup.exeAdministrators:
完全控制
%SystemRoot%\system32\Ntsd.exeAdministrators:
完全控制
%SystemRoot%\system32\Pathping.exeAdministrators:
完全控制
%SystemRoot%\system32\Ping.exeAdministrators:
完全控制
%SystemRoot%\system32\Print.exeAdministrators:
完全控制
%SystemRoot%\system32\Query.exeAdministrators:
完全控制
%SystemRoot%\system32\Rasdial.exeAdministrators:
完全控制
%SystemRoot%\system32\Rcp.exeAdministrators:
完全控制
%SystemRoot%\system32\Recover.exeAdministrators:
完全控制
%SystemRoot%\system32\Regedit.exeAdministrators:
完全控制
%SystemRoot%\system32\Regedt32.exeAdministrators:
完全控制
%SystemRoot%\system32\Regini.exeAdministrators:
完全控制
%SystemRoot%\system32\Register.exeAdministrators:
完全控制
%SystemRoot%\system32\Regsvr32.exeAdministrators:
完全控制
%SystemRoot%\system32\Replace.exeAdministrators:
完全控制
%SystemRoot%\system32\Reset.exeAdministrators:
完全控制
%SystemRoot%\system32\Rexec.exeAdministrators:
完全控制
%SystemRoot%\system32\Route.exeAdministrators:
完全控制
%SystemRoot%\system32\Routemon.exeAdministrators:
完全控制
%SystemRoot%\system32\Router.exeAdministrators:
完全控制
%SystemRoot%\system32\Rsh.exeAdministrators:
完全控制
%SystemRoot%\system32\Runas.exeAdministrators:
完全控制
%SystemRoot%\system32\Runonce.exeAdministrators:
完全控制
%SystemRoot%\system32\Secedit.exeAdministrators:
完全控制
%SystemRoot%\system32\Setpwd.exeAdministrators:
完全控制
%SystemRoot%\system32\Shadow.exeAdministrators:
完全控制
%SystemRoot%\system32\Share.exeAdministrators:
完全控制
%SystemRoot%\system32\Snmp.exeAdministrators:
完全控制
%SystemRoot%\system32\Snmptrap.exeAdministrators:
完全控制
%SystemRoot%\system32\Subst.exeAdministrators:
完全控制
%SystemRoot%\system32\Telnet.exeAdministrators:
完全控制
%SystemRoot%\system32\Termsrv.exeAdministrators:
完全控制
%SystemRoot%\system32\Tftp.exeAdministrators:
完全控制
%SystemRoot%\system32\Tlntadmin.exeAdministrators:
完全控制
%SystemRoot%\system32\Tlntsess.exeAdministrators:
完全控制
%SystemRoot%\system32\Tlntsvr.exeAdministrators:
完全控制
%SystemRoot%\system32\Tracert.exeAdministrators:
完全控制
%SystemRoot%\system32\TAdministrators:
完全控制
%SystemRoot%\system32\Tsadmin.exeAdministrators:
完全控制
%SystemRoot%\system32\Tscon.exeAdministrators:
完全控制
%SystemRoot%\system32\Tsdiscon.exeAdministrators:
完全控制
%SystemRoot%\system32\Tskill.exeAdministrators:
完全控制
%SystemRoot%\system32\Tsprof.exeAdministrators:
完全控制
%SystemRoot%\system32\Tsshutdn.exeAdministrators:
完全控制
%SystemRoot%\system32\UAdministrators:
完全控制
%SystemRoot%\system32\Wscript.exeAdministrators:
完全控制
%SystemRoot%\system32\Xcopy.exeAdministrators:
完全控制
对特定文件权限进行限制,禁止Guests用户组意外访问这些文件
网络安全访问
关闭闲置和有潜在危险的端口,将除了用户需要用到的正常计算机端口之外的其他端口都关闭掉
屏蔽端口
系统防火墙
第三方防火墙
使用“IP安全策略”控制端口访问
开始→设置→控制面板→管理工具→本地安全策略
在“IP安全策略,在本地计算机”右键“创建IP安全策略”
在点击下一步后会弹出一个警告窗口,按确定就可以
点击添加。
使用“添加向导”
上面可以选者应用的网络范围
这里可以定制访问具体的地址范围
下面选者协议的类型
端口的范围
针对不同的筛选器设置行为
指派新创建的安全策略
软件运行权限控制
手动打开“软件运行权限控制”三个安全等级:
基本用户、受限的、不信任等级
打开注册表编辑器,展开至
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
新建一个DWORD值,命名为Levels,其值可以为
0x10000//增加受限的
0x20000//增加基本用户
0x30000//增加受限的,基本用户
0x31000//增加受限的,基本用户,不信任的
设成0x31000(即4131000)即可
禁用在根目录下面运行EXE程序
创建新路径规则
安全设置→软件限制策略→其他规则
右键“新建路径规则”
效果!
!
!
升级会员 