服务器安全加固操作指南.docx
《服务器安全加固操作指南.docx》由会员分享,可在线阅读,更多相关《服务器安全加固操作指南.docx(56页珍藏版)》请在冰豆网上搜索。
服务器安全加固操作指南
网络通信安全管理员培训
WEB安全加固
操
作
指
南
陕西邮电职业技术学院培训中心
二零一二年五月
1、Windowsserver2003系统加固
1.1采集系统信息
操作名称
采集系统的相关信息
检查方法
查看系统版本ver
查看SP版本wmicosgetServicePackMajorVersion
查看Hotfixwmicqfegethotfixid,InstalledOn
查看主机名hostname
查看网络配置ipconfig/all
查看路由表routeprint
查看开放端口netstat-ano
检查结果
通过上述查看方法,采集到的系统信息如下:
加固方法
无需加固
操作目的
了解系统的相关信息
加固结果
无需加固
1.2账号
1.2.1优化账号
操作名称
优化账号
检查要求
应按照不同的用户分配不同的账号,避免不同用户间共享账号。
避免用户账号和设备间通信使用的账号共享;查看是否有不用的账号,系统账号所属组是否正确以及guest账号是否锁定;按照用户分配账号。
对于管理员帐号,要求更改缺省帐户名称;禁用guest(来宾)帐号。
检查方法
开始->运行->compmgmt.msc(计算机管理)->本地用户和组,
检查结果
使用netuser查看到的账号:
在计算机管理中看到的账号:
加固方法
删除或锁定与设备运行、维护等无关的账号。
使用“netuser用户名/del”命令删除账号
使用“netuser用户名/active:
no”命令锁定账号。
操作目的
减少系统无用账号,降低风险
加固结果
下图中蓝色标记的账号为本次禁用的无关账号。
1.2.2检测隐藏帐号
操作名称
检测隐藏帐号
检查要求
通过查看计算机管理-本地用户和组-用户,注册表中的SAM,查找是否有类似admin$之类的隐藏帐号。
检查方法
开始->运行->compmgmt.msc(计算机管理)->本地用户和组;
开始->运行->regedit->HKEY_LOCAL_MACHINE\SAM\SAM,右键点击SAM,点击权限,允许Administrators组完全控制和读取SAM,刷新后查看SAM\Domains\Accout\Users\Names。
检查结果
开始->运行->compmgmt.msc(计算机管理)->本地用户和组:
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names:
加固方法
删除HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names中非法的隐藏账号。
操作目的
删除系统中非法的隐藏账号,降低风险
加固结果
1.2.3更改默认管理员用户名
操作名称
新建隐藏帐号、禁用默认管理员账号administrator;
检查结果
默认管理员账号为administrator
加固方法
更改默认管理员用户名,建立一个复杂的隐藏管理员账号,并禁用默认管理员账号。
操作目的
默认管理员账号可能被攻击者用来进行密码暴力猜测,可能由于太多的错误密码尝试导致该账号被锁定。
加固结果
禁用了管理员账号,并新建了一个隐藏管理员账号xadminy55$
1.3口令策略
操作名称
账号口令策略修改
要求内容
密码长度要求:
最少8位
密码复杂度要求:
至少包含以下四种类别的字符中的三种:
英语大写字母A,B,C,…Z
英语小写字母a,b,c,…z
阿拉伯数字0,1,2,…9
非字母数字字符,如标点符号,@,#,$,%,&,*等
检查方法
开始->运行->secpol.msc(本地安全策略)->安全设置
检查结果
从下图蓝圈标记处可以看出,密码的复杂性没有作要求,长度、最长和最短使用期限未设置,强制密码历史未设置。
从下图蓝圈处可以看出,账号锁定策略设置的比较安全。
下图蓝圈处标记出本地策略->安全选项中不显示上次的用户名未启用。
加固方法
1,账户设置->密码策略
密码必须符合复杂性要求:
启用
密码长度最小值:
8个字符
密码最长存留期:
90天
密码最短存留期:
30天
强制密码历史:
5个记住密码
2,账户设置->账户锁定策略
复位帐户锁定计数器:
1分钟
帐户锁定时间:
30分钟
帐户锁定阀值:
6次无效登录
3,本地策略->安全选项
交互式登录:
不显示上次的用户名:
启用
最后,使用gpupdate/force立即生效
操作目的
增强口令的复杂度及锁定策略等,降低被暴力破解的可能性,保障账号及口令的安全
加固结果
下图为加固后“账户设置->密码策略”中各项的参数(标红处为本次做过修改)。
另外,还将“本地策略->安全选项”中的“交互式登录:
不显示上次的用户名”项设为了启用。
1.4授权
操作名称
口令授权
要求内容
在本地安全设置中从远端系统强制关机只指派给Administrators组;
在本地安全设置中关闭系统仅指派给Administrators组;
在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators;
在本地安全设置中配置指定授权用户允许本地登陆此计算机;
在组策略中只允许授权帐号从网络访问(包括网络共享等,但不包括终端服务此计算机。
检查方法
开始->运行->eventvwr.msc->查看“本地策略”-“用户权限分配”
检查结果
从下图可以看出,只有Administrators组从本地和远端系统强制关机,但是还有其他两个用户组具有关机功能,修要修改加固。
加固方法
在本地安全设置中从远端系统强制关机只指派给Administrators组;
在本地安全设置中关闭系统仅指派给Administrators组;
在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators;
在本地安全设置中配置指定授权用户允许本地登陆此计算机;
在组策略中只允许授权帐号从网络访问(包括网络共享等,但不包括终端服务)此计算机。
操作目的
设置用户组的关机权限
加固结果
将关闭系统功能仅指派给Administrators组
1.5补丁管理
操作名称
安装系统补丁,修补漏洞
检查方法
先使用FTP工具将提前准备好的软件传至演练主机上,然后安装360安全卫士,使用360安全卫士对电脑进行安全体验。
检查结果
使用360安全卫士对电脑进行体验后发现,服务器存在的问题很多,主要问题如下:
电脑体验得分为0分;电脑存在87个高危漏洞;系统关键位置发现木马或高危文件;内层中发现运行的木马或高风险文件;未安装杀毒软件。
加固方法
使用360安全卫士进行漏洞修补。
操作目的
安装系统补丁,修补漏洞。
加固结果
最终,使用360安全卫士完修补了扫描到的87个漏洞。
1.6安全配置
1.6.1IP协议安全配置
操作名称
IP协议安全配置
检查方法
开始-设置-控制面板-防火墙
检查结果
下图为服务器防火墙的初始设置,未开启防火墙。
加固方法
审核策略更改:
对没有自带防火墙的Windows系统,启用Windows系统的IP安全机制(IPSec)或网络连接上的TCP/IP筛选,只开放业务所需要的TCP,UDP端口和IP协议;
启用Windows2003自带防火墙。
根据业务需要限定允许访问网络的应用程序,和允许远程登陆该设备的IP地址范围;
操作目的
根据业务需要限定允许访问网络的应用程序,和允许远程登陆该设备的IP地址范围
加固结果
启用防火墙,并允许远程桌面例外,设置访问范围。
1.6.2屏幕保护
操作名称
屏幕保护
检查方法
桌面-属性-屏幕保护程序
检查结果
加固方法
设置带密码的屏幕保护,并将时间设定为5分钟。
对于远程登陆的帐号,设置不活动断连时间10分钟。
操作目的
防止其他人使用你的电脑
加固结果
1.6.3安装防病毒软件
操作名称
安装防病毒软件
检查方法
通过360安全卫士对电脑进行体验
检查结果
提示未安装杀毒软件
加固方法
下载并安装360杀毒软件
操作目的
删除系统中高危病毒文件和程序
加固结果
下载并安装360杀毒软件。
1.6.4病毒查杀
操作名称
病毒查杀
检查方法
使用360杀毒软件对系统进行病毒扫描
检查结果
因已进行过360安全卫士的扫描和查杀,使用360杀毒软件对系统进行病毒扫描时扫描出下图病毒。
加固方法
使用360杀毒软件进行查杀
加固结果
1.6.5木马查杀
操作名称
木马查杀
检查方法
使用多种木马专杀软件对系统进行木马查杀
检查结果
使用360安全卫士扫描,扫描到了7个木马,如下图所示:
使用windows清理助手扫描,扫描到了两个木马,如下图所示:
再次使用windows清理助手扫描,又扫描到了1个木马,如下图所示:
使用windows清理助手上推荐的恶意软件查杀工具扫描,描到了1个木马,如下图所示:
加固方法
使用多种木马专杀软件对系统进行木马查杀
操作目的
删除系统中的高危木马
加固结果
1.7日志审核
1.7.1增强日志
操作名称
调整事件日志的大小、覆盖策略
检查方法
开始->运行->eventvwr.msc->查看“应用程序”“安全性”“系统”的属性
检查结果
经查看,“应用程序”“安全性”“系统”的属性的日志大小都为16384KB,但为设置达到日志上限时,需修改,下面以“安全性”的属性为例。
加固方法
设置:
日志上限大小:
16384KB;达到日志上限大小时:
改写久于90天的事件。
操作目的
增大日志量大小,避免由于日志文件容量过小导致日志记录不全
加固结果
完成了对“应用程序”“安全性”“系统”的属性的日志大小、设置达到日志上限时值的设置。
1.7.2增强审核
操作名称
设置主机审核策略
检查方法
开始->运行->secpol.msc->安全设置->本地策略->审核策略
检查结果
安全设置->本地策略->审核策略的设置如下图所示,存在很多安全问题,需加固。
加固方法
开始-运行-gpedit.msc
计算机配置-Windows设置-安全设置-本地策略-审核策略
以下审核是必须开启的,其他的可以根据需要增加:
审核系统登陆事件成功,失败
审核帐户管理成功,失败
审核登陆事件成功,失败
审核对象访问成功
审核策略更改成功,失败
审核特权使用成功,失败
审核系统事件成功,失败
备注:
gpupdate/force立即生效
操作目的
对系统事件进行审核,在日后出现故障时用于排查故障
加固结果
下图为安全设置->本地策略->审核策略加固后的参数值(标红处表示已修改)。
1.8关闭不必要的端口、服务
1.8.1修改远程桌面端口
操作名
称
修改远程桌面端口
要求内容
如对互联网开放WindowsTerminial服务(RemoteDesktop),需修改
默认服务端口。
检查方法
开始->运行Regedt32
并转到此项:
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Terminal
Server/WinStations/RDP-Tcp
找到“PortNumber”子项,设定值非00000D3D,即十进制3389
检查结果
远程桌面端口为默认的3389.
加固结果
开始->运行Regedt32
并转到此项:
HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal
ServerWinStationsRDP-Tcp
找到“PortNumber”子项,会看到默认值00000D3D,它是3389
的十六进制表示形式。
使用十六进制数值修改此端口号,并保存新值。
注意:
软件防火墙中必须允许远程桌面的端口通过。
1.8.2关闭高危的数据库端口
操作名称
对于无需提供外部数据库连接的服务器,关闭其数据库端口的对外访问
加固结果
1.8.3优化服务
操作名称
暂停不需要开放的服务端口
检查方法
开始->运行->services.msc查看高危和不需要的服务
检查结果
当前系统的高危和不需要的服务状态和启动情况如下表所示:
服务
状态
启动类型
AutomaticUpdates
关闭
手动
BackgroundIntelligentTransferService
关闭
手动
DHCPClient
已启用
自动
Messenger
关闭
禁用
RemoteRegistry
关闭
禁用
PrintSpooler
已启用
自动
Server(不使用文件共享可以关闭)
已启用
自动
SimpleTCP/IPService
SimpleMailTransportProtocol(SMTP)
SNMPService
TaskSchedule
已启用
自动
TCP/IPNetBIOSHelper
已启用
自动
RemoteDesktopHelpSessionManager
关闭
手动
加固方法
将高危和不需要的服务停止,并将启动方式修改为手动。
操作目的
关闭不需要的服务,减小风险
加固结果
下表为加固后高危和不需要的服务状态和启动情况表:
服务吗
状态
启动类型
AutomaticUpdates
关闭
手动
BackgroundIntelligentTransferService
关闭
手动
DHCPClient
关闭
手动
Messenger
关闭
禁用
RemoteRegistry
关闭
禁用
PrintSpooler
关闭
手动
Server(不使用文件共享可以关闭)
关闭
手动
SimpleTCP/IPService
SimpleMailTransportProtocol(SMTP)
SNMPService
TaskSchedule
关闭
手动
TCP/IPNetBIOSHelper
关闭
手动
RemoteDesktopHelpSessionManager
关闭
手动
1.8.4修改SNMP服务
操作名称
修改SNMP服务
检查方法
开始->运行->services.msc查看SNMP服务,如需启用SNMP服务,则修改默认的SNMPCommunityString设置。
检查结果
打开“控制面板”,打开“管理工具”中的“服务”,找到“SNMPService”,单击右键打开“属性”面板中的“安全”选项卡,在这个配置界面中,可以修改communitystrings,也就是微软所说的“团体名称”。
加固方法
修改communitystrings,不是默认的“public”
操作目的
防止非法用户使用SNMP的默认团体名称连接主机。
加固结果
无需加固
1.9启动项
操作名称
口令授权
检查方法
通过360安全卫士中的开机加速进行查看
检查结果
通过360安全卫士中的开机加速进行查看,发现开机启动项中有4个程序可以禁止启用;1个服务可禁止启用;6项启动项目需优化;2项系统优化与整理。
如下图所示:
加固方法
按照360安全卫士的开机加速提示,关闭可禁止的启动项
操作目的
加快开机速度,阻止不必要的程序自动打开
加固结果
按照360安全卫士的开机加速提示,已关闭可禁止的启动项
1.10关闭自动播放功能
操作名称
关闭自动播放功能
检查方法
开始→运行→gpedit.msc,打开组策略编辑器,浏览到计算机配置→管理模板→系统,
检查结果
加固方法
在右边窗格中双击“关闭自动播放”,对话框中,选择所有驱动器,确定即可。
操作目的
加固结果
无需加固
1.11关闭共享
操作名称
删除主机默认共享
检查方法
开始->运行->cmd.exe->netshare,查看共享
检查结果
下图标红处为本项所要检查的参数,键值为0,表示关闭C$等默认共享,无需加固。
加固方法
如无此项,
通过开始->运行->regedit->找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
lanmanserver\parameters,新建AutoShareServer(REG_DWORD),键值为0
操作目的
删除主机因为管理而开放的共享
加固结果
无需加固
1.12使用NTFS
操作名称
使用NTFS
检查方法
查看每个系统驱动器是否使用NTFS文件系统
检查结果
远程服务器只有C盘,且文件系统格式为NTFS,无需加固。
加固方法
无需加固
操作目的
利用NTFS实现文件系统的安全
加固结果
无需加固
1.13网络访问
操作名称
禁用匿名访问命名管道和共享
检查方法
查看“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项”:
网络访问:
可匿名访问的共享、可匿名访问的命名管道是否设置为全部删除
检查结果
加固方法
“控制面板->管理工具->本地安全策略”,在“本地策略->安全选
项”:
网络访问:
可匿名访问的共享设置为全部删除
“控制面板->管理工具->本地安全策略”,在“本地策略->安全选
项”:
网络访问:
可匿名访问的命名管道设置为全部删除
操作目的
禁用匿名访问命名管道和共享
加固结果
操作名称
禁用可远程访问的注册表路径和子路径
检查方法
查看“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项”:
网络访问中,查看,可远程访问的注册表路径、可远程访问的注册表路径和子路径是否设置为全部删除
检查结果
加固方法
“控制面板->管理工具->本地安全策略”,在“本地策略->安全选
项”:
网络访问:
可远程访问的注册表路径设置为全部删除
“控制面板->管理工具->本地安全策略”,在“本地策略->安全选
项”:
网络访问:
可远程访问的注册表路径和子路径设置为全部删
除
操作目的
加固结果
1.14会话超时设置
操作名称
对于远程登录的账户,设置不活动所连接时间15分钟
检查方法
进入“控制面板—管理工具—本地安全策略”,在“安全策略—安全选项”:
查看“Microsoft网络服务器”设置
检查结果
加固方法
进入“控制面板—管理工具—本地安全策略”,在“安全策略—安全选项”:
“Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟
操作目的
加固结果
1.15注册表设置
操作名称
在不影响系统稳定运行的前提下,对注册表信息进行更新
检查方法
点击开始->运行,然后在打开行里输入regedit,然后单击确定,查看相
关注册表项进行查看;使用空连接扫描工具无法远程枚举用户名和用户组
检查结果
加固方法
自动登录:
HKLM\Software\Microsoft\WindowsNT\
CurrentVersion\Winlogon\AutoAdminLogon(REG_DWORD)0
源路由欺骗保护:
HKLM\System\CurrentControlSet\
Services\Tcpip\Parameters\DisableIPSourceRouting
(REG_DWORD)2
删除匿名用户空链接
HKEY_LOCAL_MACHINE
SYSTEM\Current\Control\Set\Control\Lsa
将restrictanonymous的值设置为1,若该值不存在,可以自己
创建,类型为REG_DWORD
修改完成后重新启动系统生效
碎片攻击保护:
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscovery
(REG_DWORD)1
Synflood攻击保护:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
之下,可设置:
TcpMaxPortsExhausted。
推荐值:
5。
TcpMaxHalfOpen。
推荐值数据:
500。
TcpMaxHalfOpenRetried。
推荐值数据:
400
操作目的
加固结果
1.16其他
1.16.1网络限制
操作名称
网络限制
检查方法
开始->运行->secpol.msc->安全设置->本地策略->安全选项
检查结果
查看安全设置->本地策略->安全选项,发现不允许SAM帐户的匿名枚举:
启用,无需加固;不允许SAM帐户和共享的匿名枚举:
启用,无需加固;使用空白密码的本地帐户只允许进行控制台登录:
启用,无需加固。
加固方法
无需加固
操作目的
网络访问限制
加固结果
无需加固
1.16.2安全性增强
操作名称
禁止匿名用户连接(空链接)
检查方法
开始->运行->cmd.exe->netshare
检查结果
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa,restricanonymous,值为0
加固方法
无需加固
操作目的
可以禁止匿名用户列举主机上所有用户、组、共享资源
加固结果
无需加固
1.16.3检查Everyone权限
操作名称
检查Everyone权限
检查方法
查看每个系统驱动器根目录是否设置为Everyone有所有权限
检查结果
经查看,Everyone具有C盘的所有权限,需加固。
加固方法
删除Everyone的权限或者取消Everyone的写权限
操作目的
限制Everyone账号的权限,至少取消Everyone的写权限。
加固结果
删除Everyone的权限。
1.16.4限制命令操作权限
操作名称
限制特定执行文件权限
检查方法
使用cacls命令或资源管理器查看以下文件权限
检查结果
经查看,许多命令未作用户组权限限制,一下以cmd.exe为例,需加固。
加固方法
对以下命令做限制,只允许system、Administrator组访问
cmd.exe、regsvr32.exe、
升级会员 