Windowsserver 安全设置.docx
《Windowsserver 安全设置.docx》由会员分享,可在线阅读,更多相关《Windowsserver 安全设置.docx(21页珍藏版)》请在冰豆网上搜索。
Windowsserver安全设置
Windows2003server安全设置
二、设置和管理账户
1、系统管理员账户最好少建,更改默认的管理员帐户名(Administrator)和描述,密码最好采用数字加大小写字母加数字的上档键组合,长度最好不少于14位。
2、新建一个名为Administrator的陷阱帐号,为其设置最小的权限,然后随便输入组合的最好不低于20位的密码
3、将Guest账户禁用并更改名称和描述,然后输入一个复杂的密码,当然现在也有一个DelGuest的工具,也许你也可以利用它来删除Guest账户,但我没有过。
4、在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间为30分钟”,“复位锁定计数设为30分钟”。
5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用
6、在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留Internet来宾账户、启动IIS进程账户。
如果你使用了A还要保留Aspnet账户。
7、创建一个User账户,运行系统,如果要运行特权命令使用Runas命令。
三、网络服务安全管理
1、禁止C$、D$、ADMIN$一类的缺省共享 打开注册表,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters,在右边的窗口中新建Dword值,名称设为AutoShareServer值设为0
2、解除NetBios与TCP/IP协议的绑定
右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁TCP/IP上的NETBIOS
3、关闭不需要的服务,以下为建议选项
ComputerBrowser:
维护网络计算机更新,禁用
DistributedFileSystem:
局域网管理共享文件,不需要禁用
Distributedlinktrackingclient:
用于局域网更新连接信息,不需要禁用
Errorreportingservice:
禁止发送错误报告
MicrosoftSerch:
提供快速的单词搜索,不需要可禁用
NTLMSecuritysupportprovide:
telnet服务和MicrosoftSerch用的,不需要禁用
PrintSpooler:
如果没有打印机可禁用
RemoteRegistry:
禁止远程修改注册表
RemoteDesktopHelpSessionManager:
禁止远程协助
四、打开相应的审核策略
在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多,生成的事件也就越多,那么要想发现严重的事件也越难当然如果审核的太少也会影你发现严重的事件,你需要根据情况在这二者之间做出选择。
推荐的要审核的项目是:
登录事件 成功失败
账户登录事件成功失败
系统事件 成功失败
策略更改 成功失败
对象访问 失败
目录服务访问失败
特权使用 失败
五、其它安全相关设置
1、隐藏重要文件/目录
可以修改注册表实现完全隐藏:
“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠标右击“CheckedValue”,选择修改,把数值由1改为0
2、启动系统自带的Internet连接防火墙,在设置服务选项中勾选Web服务器。
3、防止SYN洪水攻击 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建DWORD值,名为SynAttackProtect,值为2
4.禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface 新建DWORD值,名为PerformRouterDiscovery值为0
5.防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 将EnableICMPRedirects值设为0
6.不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为IGMPLevel值为0
7、禁用DCOM:
运行中输入Dcomcnfg.exe。
回车,单击“控制台根节点”下的“组件服务”。
打开“计算机”子文件夹。
对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。
选择“默认属性”选项卡。
清除“在这台计算机上启用分布式COM”复选框。
注:
3-6项内容我采用的是Server2000设置,没有测试过对2003是否起作用。
但有一点可以肯定我用了一段的时间没有发现其它副面的影响。
六、配置IIS服务:
1、不使用默认的Web站点,如果使用也要将将IIS目录与系统磁盘分开。
2、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。
3、删除系统盘下的虚拟目录,如:
_vti_bin、IISSamples、scripts、IIShelp、IISAdmin、IIShelp、MSADC。
4、删除不必要的IIS扩展名映射。
右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。
主要为.shtml,.shtm,.stm
5、更改IIS日志的路径
右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性
6、如果使用的是2000可以使用iislockdown来保护IIS,在2003运行的IE6.0的版本不需要。
7、使用UrlScan
UrlScan是一个ISAPI筛选器,它对传入的HTTP数据包进行分析并可以拒绝任何可疑的通信量。
目前最新的版本是2.5,如果是2000Server需要先安装1.0或2.0的版本。
下载地址见页未的链接
如果没有特殊的要求采用UrlScan默认配置就可以了。
但如果你在服务器运行ASP.NET程序,并要进行调试你需打开要%WINDIR%\System32\Inetsrv\URLscan
文件夹中的URLScan.ini文件,然后在UserAllowVerbs节添加debug谓词,注意此节是区分大小写的。
如果你的网页是.asp网页你需要在DenyExtensions删除.asp相关的内容。
如果你的网页使用了非ASCII代码,你需要在Option节中将AllowHighBitCharacters的值设为1
在对URLScan.ini文件做了更改后,你需要重启IIS服务才能生效,快速方法运行中输入iisreset
如果你在配置后出现什么问题,你可以通过添加/删除程序删除UrlScan。
8、利用WIS(WebInjectionScanner)工具对整个网站进行SQLInjection脆弱性扫描.
七、配置Sql服务器
1、SystemAdministrators角色最好不要超过两个
2、如果是在本机最好将身份验证配置为Win登陆
3、不要使用Sa账户,为其配置一个超级复杂的密码
4、删除以下的扩展存储过程格式为:
usemaster
sp_dropextendedproc'扩展存储过程名'
xp_cmdshell:
是进入操作系统的最佳捷径,删除
访问注册表的存储过程,删除
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues
Xp_regread Xp_regwrite Xp_regremovemultistring
OLE自动存储过程,不需要删除
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
5、隐藏SQLServer、更改默认的1433端口
右击实例选属性-常规-网络配置中选择TCP/IP协议的属性,选择隐藏SQLServer实例,并改原默认的1433端口。
八、如果只做服务器,不进行其它操作,使用IPSec
1、管理工具—本地安全策略—右击IP安全策略—管理IP筛选器表和筛选器操作—在管理IP筛选器表选项下点击
添加—名称设为Web筛选器—点击添加—在描述中输入Web服务器—将源地址设为任何IP地址——将目标地址设为我的IP地址——协议类型设为Tcp——IP协议端口第一项设为从任意端口,第二项到此端口80——点击完成——点击确定。
2、再在管理IP筛选器表选项下点击
添加—名称设为所有入站筛选器—点击添加—在描述中输入所有入站筛选—将源地址设为任何IP地址——将目标地址设为我的IP地址——协议类型设为任意——点击下一步——完成——点击确定。
3、在管理筛选器操作选项下点击添加——下一步——名称中输入阻止——下一步——选择阻止——下一步——完成——关闭管理IP筛选器表和筛选器操作窗口
4、右击IP安全策略——创建IP安全策略——下一步——名称输入数据包筛选器——下一步——取消默认激活响应原则——下一步——完成
5、在打开的新IP安全策略属性窗口选择添加——下一步——不指定隧道——下一步——所有网络连接——下一步——在IP筛选器列表中选择新建的Web筛选器——下一步——在筛选器操作中选择许可——下一步——完成——在IP筛选器列表中选择新建的阻止筛选器——下一步——在筛选器操作中选择阻止——下一步——完成——确定
6、在IP安全策略的右边窗口中右击新建的数据包筛选器,点击指派,不需要重启,IPSec就可生效.
九、建议
如果你按本文去操作,建议每做一项更改就测试一下服务器,如果有问题可以马上撤消更改。
而如果更改的项数多,才发现出问题,那就很难判断问题是出在哪一步上了。
十、运行服务器记录当前的程序和开放的端口
1、将当前服务器的进程抓图或记录下来,将其保存,方便以后对照查看是否有不明的程序。
2、将当前开放的端口抓图或记录下来,保存,方便以后对照查看是否开放了不明的端口。
当然如果你能分辨每一个进程,和端口这一步可以省略。
对于Windows2003系统管理员来说,最关心的事情莫过于Windows2003系统的安全了。
为了提高系统的安全程度,我们可能对系统进行了多方面的安全设置,但是这些安全设置是否能够全面提升系统的安全级别、系统是否还存在着一些不安全的因素、系统的总体安全等级处于什么水平,对于这些,我们需要有一个整体的了解和掌握。
一、安全配置和分析以及安全模板的基础知识
1.安全配置和分析
安全配置和分析概述“安全配置和分析”是分析和配置本地系统安全性的一个工具。
包括:
·安全分析
计算机上的操作系统和应用程序的状态是动态的。
例如,为了能立刻解决管理或网络问题,您可能需要临时性地更改安全级别。
然而,经常无法恢复这种更改。
这意味着计算机不能再满足企业安全的要求。
常规分析作为企业风险管理程序的一部分,允许管理员跟踪并确保在每台计算机上有足够高的安全级别。
管理员可以调整安全级别,最重要的是,检测在系统长期运行过程中出现的任何安全故障。
“安全配置和分析”使您能够快速查阅安全分析结果。
在当前系统设置的旁边提出建议,用可视化的标记或注释突出显示当前设置与建议的安全级别不匹配的区域。
“安全配置和分析”也提供了解决分析显示的任何矛盾的功能。
·安全配置
“安全配置和分析”还可以用于直接配置本地系统的安全性。
利用个人数据库,可以导入由“安全模板”创建的安全模板,并将这些模板应用于本地计算机。
这将立即使用模板中指定的级别配置系统安全性。
2、安全模板
安全模板使用Microsoft管理控制台的安全模板管理单元,您可以创建计算机或网络的安全策略。
它是考虑整个系统范围内安全的单点入口点。
安全模板管理单元并不引入新的安全参数,它只是将所有的现有安全属性组织在一起以便于安全管理。
将安全模板导入到“组策略”对象中可以通过立即配置域或部门的安全性来简化域管理。
要将安全模板应用于本地计算机,可以使用“安全配置和分析”或Secedit命令行工具。
安全模板可用于定义以下内容:
·帐户策略
·密码策略
·帐户锁定策略
·Kerberos策略
·本地策略
·审核策略
·用户权限分配
·安全选项
·事件日志:
应用程序、系统和安全的事件日志设置
·受限制的组:
安全敏感组的成员资格
·系统服务:
系统服务的启动和权限
·注册表:
注册表项的权限
·文件系统:
文件夹和文件的权限
将每个模板都另存为基于文本的.inf文件。
这允许您复制、粘贴、导入或导出某些或所有模板属性。
在安全模板中可以包含除“Internet协议”安全和公用密钥策略之外的所有安全属性。
3、配置本地计算机安全有两种方法
配置本地计算机安全有两种方法使用命令行和Windows图形界面。
这里主要介绍前者。
Windows命令行最大的一个特点就是对网络管理的便宜性,管理员只需在命令行窗口输入几个命令,就可以完成诸多繁杂的操作,达到预期的目的。
而且可以通过一些命令工具判断网络内部的物理故障以及网络安全问题,实现网络管理的自动化和批量化。
Windows9X下的DOS与WindowsNT/2000/XP/2003下的命令行,虽然提供的都是黑白分明的字符界面,但其本质还是有所区别的。
原因在于WindowsNT/2000/XP/2003已经彻底脱离了DOS的桎梏,DOS只是作为操作系统所提供的虚拟机而存在,换句说,命令行已经不再是基础,而成为了一种工具。
然而,我们却不能因此而小觑了这些貌似简单的命令行工具。
原因很简单,命令行仍然是我们解决棘手的问题的首先。
命令行格式:
/secedit/analyze/dbFileName.sdb[/cfgFileName][/overwrite][/logFileName][/quiet]
主要参数:
/dbFileName:
指定用于执行此次分析的数据库。
/cfgFileName:
指定在执行分析前要导入到数据库中的安全模板。
安全模板是使用安全模板管理单元创建的。
/logFileName:
指定一个文件,用于记录配置过程所处的状态。
如果未指定,配置数据将被记录在%windir%\security\logs文件夹的Scesrv.log中。
/quiet:
指定在执行分析过程时不作更多参与。
/loglogpath:
指定一个文件,该文件用于记录配置过程所处的状态。
如未指定,配置数据将被记录在%windir%\Security\Logs文件夹的scesrv.log文件中。
/quiet:
指定应该在不提示用户的情况下进行配置。
使用Secedit命令行工具建立模板。
通过在批处理文件或自动任务计划程序的命令提示符下调用Secedit.exe工具,可以自动创建和应用模板,以及分析系统的安全性。
也可以从命令提示符下动态运行该命令。
当必须分析或配置多台计算机的安全性,并且需要在非工作时间执行任务时,Secedit.exe很有用。
要查看该命令的完整语法,请在命令提示符下输入:
secedit/?
,见图1。
图1secedit命令的完整语法
下面简单介绍以下子命令:
lsecedit/analyze:
可通过将其与数据库中的基本设置相比较,分析一台计算机上的安全设置。
lsecedit/configure:
通过应用存储在数据库中的设置配置本地计算机的安全性设置。
lsecedit/export:
可将存储在数据库中的安全性设置导出。
lsecedit/import:
可将安全性模板导入到数据库以便模板中指定的设置可应用到系统或作为分析系统的依据。
lsecedit/validate:
验证要导入到分析数据库或系统应用程序的安全模板的语法。
lsecedit/GenerateRollback:
可根据配置模板生成一个回滚模板。
在将配置模板应用到计算机上时,可以选择创建回滚模板,该模板在应用时会将安全性设置重置为应用配置模板前的值。
默认情况下几个安全模板文件如下:
·默认安全设置模板(Setupsecurity.inf)
Setupsecurity.inf模板是在安装期间针对每台计算机创建的。
取决于所进行的安装是完整安装还是升级,该模板在不同的计算机中可能不同。
Setupsecurity.inf代表了在安装操作系统期间所应用的默认安全设置,其中包括对系统驱动器的根目录的文件权限。
它可以用在服务器或客户端计算机上,但不能应用于域控制器。
此模板的某些部分可应用于故障恢复。
请不要通过使用“组策略”来应用Setupsecurity.inf。
此模板含有大量数据,如果通过组策略来应用它,可能会严重降低性能(因为策略是定期刷新的,这样做将导致在域中移动大量数据)。
因此,建议在局部应用Setupsecurity.inf模板。
由于Secedit命令行工具支持该功能,因此建议使用该工具。
·域控制器默认安全设置模板(DCsecurity.inf)
该模板是在服务器被升级为域控制器时创建的。
它反映了文件、注册表以及系统服务的默认安全设置。
重新应用它后,上述范围的安全设置将被重新设置为默认值。
它可能覆盖由其他应用程序创建的新文件、注册表和系统服务的权限。
使用“安全配置和分析”管理单元或Secedit命令行工具可以应用它。
·兼容模板(compatws.inf)
工作站和服务器的默认权限主要授予三个本地组:
Administrators、PowerUsers和Users。
Administrators享有最高的特权,而Users的特权最低。
正因为如此,可以通过以下方式极大地提高系统所有权的安全性、可靠性,并降低其总成本:
确保最终用户都是Users成员。
部署可由Users组的成员成功运行的应用程序。
具有User权限的人可以成功运行已加入在WindowsLogoProgramforSoftware中的应用程序。
但是,User可能无法运行不符合该计划要求的应用程序。
·高级安全模板(hisec*.inf)
高级安全模板是对加密和签名作进一步限制的安全模板的扩展集,这些加密和签名是进行身份认证和保证数据通过安全通道以及在SMB客户端和服务器之间进行安全传输所必需的。
例如,安全模板可以使服务器拒绝LANManager的响应,而高级安全模板则可导致同时对LANManager和NTLM响应的拒绝。
安全模板可以启用服务器端的SMB信息包签名,而高级安全模板则要求这种签名。
此外,高级安全模板还要求对形成域到成员以及域到域的信任关系的安全通道数据进行强力加密和签名。
Hisecdc和Hisecws:
高级安全模板。
在安全模板的基础上对加密和签名作进一步的限制。
这些加密和签名是进行身份认证和保证数据在安全的通道中进行传输所必需的,要求对安全通道数据进行强力的加密和签名,从而形成域到成员和成员到域的信任关系。
·系统根目录安全模板(Rootsec.inf)
Rootsec.inf可指定根目录权限。
默认情况下,Rootsec.inf为系统驱动器根目录定义这些权限。
如果不小心更改了根目录权限,则可利用该模板重新应用根目录权限,或者通过修改模板对其他卷应用相同的根目录权限。
正如所说明的那样,该模板并不覆盖已明确定义在子对象上的权限,它只是传递由子对象继承的权限。
·无终端服务器用户SID模板(Notssid.inf)
服务器上的默认文件系统和注册表访问控制列表可将权限授予终端服务器的安全标识符(SID)。
仅当“终端服务器SID”以应用程序兼容模式运行时,它才能被使用。
如果当前没有使用“终端服务器SID”,则可以应用该模板从文件系统和注册表位置删除不需要的“终端服务器SID”。
然而,从这些默认的文件系统和注册表位置删除“终端服务器SID”的访问控制项并不会增加系统的安全性。
因此请不要删除“终端服务器SID”,而直接以“完整安全”模式运行终端服务器。
当以“完整安全”模式运行时,则不使用“终端服务器SID”。
上面我们介绍了配置本地计算机安全的命令行方法,下面介绍在Windows图形界面如何完成。
二、使用用安全配置和分析工具
下面是图形界面下使用安全配置和分析工具提升windows2003系统安全详细步骤:
1、使用管理员权限登录
首先必须以系统管理员或administrators组成员的账户身份登录系统才能完成管理单元的加载以及系统安全性分析和配置操作;注意:
要执行该过程,您必须是本地计算机Administrators组的成员,或者您必须被委派适当的权限。
如果将计算机加入域,DomainAdmins组的成员可能也可以执行这个过程。
作为安全性的最佳操作,可以考虑使用运行方式来执行这个过程。
2、打开“安全配置和分析”
要打开“安全配置和分析”,请先单击“开始”,接着单击“运行”,然后输入mmc,最后单击“确定”。
在“文件”菜单上,单击“打开”,单击要打开的控制台,然后单击“打开”。
然后,在控制台树中,使用Ctrl+M快捷键打开“添加/删除管理单元”如图2。
图2使用Ctrl+M快捷键打开“添加/删除管理单元”
3、添加“安全配置和分析”管理单元
在“添加/删除管理单元”对话框中,点击选项页的“添加”,在弹出的“添加独立管理单元”对话框中,选择列表中的“安全配置和分析”项,点击“添加”,如图3所示;
图3添加“安全配置和分析”管理单元
4、完成添加
点击“关闭”,返回“添加/删除管理单元”对话框,此时在列表中可以看到新增加了“安全配置和分析”项;点击“确定”,完成“安全配置和分析”管理单元的加载。
说明:
执行安全性分析是根据系统提供的安全模板来实现的,这个过程中,需要用户打开或新建一个包含安全信息的数据库,并选择合适的安全模板。
升级会员 