服务器安全加固操作指南.docx

1、服务器安全加固操作指南网络通信安全管理员培训WEB安全加固操作指南陕西邮电职业技术学院培训中心二零一二年五月 1、Windows server 2003系统加固1.1采集系统信息操作名称采集系统的相关信息检查方法查看系统版本 ver查看SP版本 wmic os get ServicePackMajorVersion查看Hotfix wmic qfe get hotfixid,InstalledOn查看主机名 hostname查看网络配置 ipconfig /all查看路由表 route print查看开放端口 netstat -ano检查结果通过上述查看方法，采集到的系统信息如下：加固方法无需

2、加固操作目的了解系统的相关信息加固结果无需加固1.2账号1.2.1优化账号操作名称优化账号检查要求应按照不同的用户分配不同的账号，避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享；查看是否有不用的账号，系统账号所属组是否正确以及guest账号是否锁定；按照用户分配账号。对于管理员帐号，要求更改缺省帐户名称；禁用guest（来宾）帐号。检查方法开始-运行-compmgmt.msc（计算机管理）-本地用户和组，检查结果使用net user查看到的账号：在计算机管理中看到的账号：加固方法删除或锁定与设备运行、维护等无关的账号。使用“net user 用户名 /del”命令删除账号使用“

3、net user 用户名 /active:no”命令锁定账号。操作目的减少系统无用账号，降低风险加固结果下图中蓝色标记的账号为本次禁用的无关账号。1.2.2检测隐藏帐号操作名称检测隐藏帐号检查要求通过查看计算机管理-本地用户和组-用户，注册表中的SAM，查找是否有类似admin$之类的隐藏帐号。检查方法开始-运行-compmgmt.msc（计算机管理）-本地用户和组；开始-运行- regedit - HKEY_LOCAL_MACHINESAMSAM，右键点击SAM，点击权限，允许Administrators组完全控制和读取SAM，刷新后查看SAMDomainsAccoutUsersNames。

4、检查结果开始-运行-compmgmt.msc（计算机管理）-本地用户和组：HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames：加固方法删除HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames中非法的隐藏账号。操作目的删除系统中非法的隐藏账号，降低风险加固结果1.2.3更改默认管理员用户名操作名称新建隐藏帐号、禁用默认管理员账号administrator；检查结果默认管理员账号为administrator加固方法更改默认管理员用户名，建立一个复杂的隐藏管理员账号，并禁用默认管理员账号。操作目的默认管理员账号

5、可能被攻击者用来进行密码暴力猜测，可能由于太多的错误密码尝试导致该账号被锁定。加固结果禁用了管理员账号，并新建了一个隐藏管理员账号xadminy55$1.3口令策略操作名称账号口令策略修改要求内容密码长度要求：最少 8 位密码复杂度要求：至少包含以下四种类别的字符中的三种：􀁺 英语大写字母 A, B, C, Z􀁺 英语小写字母 a, b, c, z􀁺 阿拉伯数字 0, 1, 2, 9􀁺 非字母数字字符，如标点符号，, #, $, %, &, *等检查方法开始-运行-secpol.msc （本地安全策略）-安全设置检查结果从

6、下图蓝圈标记处可以看出，密码的复杂性没有作要求，长度、最长和最短使用期限未设置，强制密码历史未设置。从下图蓝圈处可以看出，账号锁定策略设置的比较安全。下图蓝圈处标记出本地策略-安全选项中不显示上次的用户名未启用。加固方法1，账户设置-密码策略密码必须符合复杂性要求：启用密码长度最小值：8个字符密码最长存留期：90天密码最短存留期：30天强制密码历史：5个记住密码2，账户设置-账户锁定策略复位帐户锁定计数器：1分钟帐户锁定时间：30分钟帐户锁定阀值：6次无效登录3，本地策略-安全选项交互式登录：不显示上次的用户名：启用最后，使用gpupdate /force立即生效操作目的增强口令的复杂度及锁定

7、策略等，降低被暴力破解的可能性，保障账号及口令的安全加固结果下图为加固后“账户设置-密码策略”中各项的参数(标红处为本次做过修改)。 另外，还将“本地策略-安全选项”中的“交互式登录：不显示上次的用户名”项设为了启用。1.4授权操作名称口令授权要求内容在本地安全设置中从远端系统强制关机只指派给Administrators组；在本地安全设置中关闭系统仅指派给Administrators组；在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators；在本地安全设置中配置指定授权用户允许本地登陆此计算机；在组策略中只允许授权帐号从网络访问(包括网络共享等，但不包括终端服务此计算机

8、。检查方法开始-运行-eventvwr.msc -查看“本地策略”-“用户权限分配”检查结果从下图可以看出，只有Administrators组从本地和远端系统强制关机，但是还有其他两个用户组具有关机功能，修要修改加固。加固方法在本地安全设置中从远端系统强制关机只指派给Administrators组；在本地安全设置中关闭系统仅指派给Administrators组；在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators；在本地安全设置中配置指定授权用户允许本地登陆此计算机；在组策略中只允许授权帐号从网络访问(包括网络共享等，但不包括终端服务)此计算机。操作目的设置用户组的关

9、机权限加固结果将关闭系统功能仅指派给Administrators组1.5补丁管理操作名称安装系统补丁，修补漏洞检查方法先使用FTP工具将提前准备好的软件传至演练主机上，然后安装360安全卫士，使用360安全卫士对电脑进行安全体验。检查结果使用360安全卫士对电脑进行体验后发现，服务器存在的问题很多，主要问题如下：电脑体验得分为0分；电脑存在87个高危漏洞；系统关键位置发现木马或高危文件；内层中发现运行的木马或高风险文件；未安装杀毒软件。加固方法使用360安全卫士进行漏洞修补。操作目的安装系统补丁，修补漏洞。加固结果最终，使用360安全卫士完修补了扫描到的87个漏洞。1.6安全配置1.6.1IP

10、协议安全配置操作名称IP协议安全配置检查方法开始-设置-控制面板-防火墙检查结果下图为服务器防火墙的初始设置，未开启防火墙。加固方法审核策略更改：对没有自带防火墙的Windows系统，启用Windows系统的IP安全机制(IPSec)或网络连接上的TCP/IP筛选，只开放业务所需要的TCP，UDP端口和IP协议；启用Windows 2003 自带防火墙。根据业务需要限定允许访问网络的应用程序，和允许远程登陆该设备的IP地址范围；操作目的根据业务需要限定允许访问网络的应用程序，和允许远程登陆该设备的IP地址范围加固结果启用防火墙，并允许远程桌面例外，设置访问范围。1.6.2屏幕保护操作名称屏幕保

11、护检查方法桌面-属性-屏幕保护程序检查结果加固方法设置带密码的屏幕保护，并将时间设定为5分钟。对于远程登陆的帐号，设置不活动断连时间10分钟。操作目的防止其他人使用你的电脑加固结果1.6.3安装防病毒软件操作名称安装防病毒软件检查方法通过360安全卫士对电脑进行体验检查结果提示未安装杀毒软件加固方法下载并安装360杀毒软件操作目的删除系统中高危病毒文件和程序加固结果下载并安装360杀毒软件。1.6.4病毒查杀操作名称病毒查杀检查方法使用360杀毒软件对系统进行病毒扫描检查结果因已进行过360安全卫士的扫描和查杀，使用360杀毒软件对系统进行病毒扫描时扫描出下图病毒。加固方法使用360杀毒软件进

12、行查杀加固结果1.6.5木马查杀操作名称木马查杀检查方法使用多种木马专杀软件对系统进行木马查杀检查结果使用360安全卫士扫描，扫描到了7个木马，如下图所示：使用windows清理助手扫描，扫描到了两个木马，如下图所示：再次使用windows清理助手扫描，又扫描到了1个木马，如下图所示：使用windows清理助手上推荐的恶意软件查杀工具扫描，描到了1个木马，如下图所示：加固方法使用多种木马专杀软件对系统进行木马查杀操作目的删除系统中的高危木马加固结果1.7日志审核1.7.1增强日志操作名称调整事件日志的大小、覆盖策略检查方法开始-运行-eventvwr.msc -查看“应用程序”“安全性”“系统

13、”的属性检查结果经查看，“应用程序”“安全性”“系统”的属性的日志大小都为16384KB，但为设置达到日志上限时，需修改，下面以“安全性”的属性为例。加固方法设置：日志上限大小：16384 KB；达到日志上限大小时：改写久于90天的事件。操作目的增大日志量大小，避免由于日志文件容量过小导致日志记录不全加固结果完成了对“应用程序”“安全性”“系统”的属性的日志大小、设置达到日志上限时值的设置。1.7.2增强审核操作名称设置主机审核策略检查方法开始-运行-secpol.msc -安全设置-本地策略-审核策略检查结果安全设置-本地策略-审核策略的设置如下图所示，存在很多安全问题，需加固。加固方法开始

14、-运行-gpedit.msc计算机配置-Windows 设置-安全设置-本地策略-审核策略以下审核是必须开启的，其他的可以根据需要增加：􀁹 审核系统登陆事件 成功，失败􀁹 审核帐户管理 成功，失败􀁹 审核登陆事件 成功，失败􀁹 审核对象访问 成功􀁹 审核策略更改 成功，失败􀁹 审核特权使用 成功，失败􀁹 审核系统事件 成功，失败备注：gpupdate /force立即生效操作目的对系统事件进行审核，在日后出现故障时用于排查故障加固结果下图为安全设置-本地策略-审核策略加

15、固后的参数值（标红处表示已修改）。1.8关闭不必要的端口、服务1.8.1修改远程桌面端口操作名称修改远程桌面端口要求内容如对互联网开放 WindowsTerminial 服务(Remote Desktop)，需修改默认服务端口。检查方法开始-运行 Regedt32并转到此项:HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/TerminalServer/WinStations/RDP-Tcp找到“PortNumber”子项，设定值非00000D3D，即十进制3389检查结果远程桌面端口为默认的3389.加固结果开始-运行 Regedt32并

16、转到此项:HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminalServerWinStationsRDP-Tcp找到“PortNumber”子项，会看到默认值 00000D3D，它是 3389的十六进制表示形式。使用十六进制数值修改此端口号，并保存新值。注意：软件防火墙中必须允许远程桌面的端口通过。1.8.2关闭高危的数据库端口操作名称对于无需提供外部数据库连接的服务器，关闭其数据库端口的对外访问加固结果1.8.3优化服务操作名称暂停不需要开放的服务端口检查方法开始-运行-services.msc 查看高危和不需要的服务检查结果当前系统

17、的高危和不需要的服务状态和启动情况如下表所示：服务状态启动类型Automatic Updates关闭手动Background Intelligent Transfer Service关闭手动DHCP Client已启用自动Messenger关闭禁用Remote Registry关闭禁用Print Spooler已启用自动Server（不使用文件共享可以关闭）已启用自动Simple TCP/IP ServiceSimple Mail Transport Protocol (SMTP)SNMP ServiceTask Schedule已启用自动TCP/IP NetBIOS Helper已启用自动R

18、emote Desktop Help Session Manager关闭手动加固方法将高危和不需要的服务停止，并将启动方式修改为手动。操作目的关闭不需要的服务，减小风险加固结果下表为加固后高危和不需要的服务状态和启动情况表：服务吗状态启动类型Automatic Updates关闭手动Background Intelligent Transfer Service关闭手动DHCP Client关闭手动Messenger关闭禁用Remote Registry关闭禁用Print Spooler关闭手动Server（不使用文件共享可以关闭）关闭手动Simple TCP/IP ServiceSimple

19、Mail Transport Protocol (SMTP)SNMP ServiceTask Schedule关闭手动TCP/IP NetBIOS Helper关闭手动Remote Desktop Help Session Manager关闭手动1.8.4修改SNMP服务操作名称修改SNMP服务检查方法开始-运行-services.msc 查看SNMP服务，如需启用 SNMP服务，则修改默认的SNMP Community String 设置。检查结果打开“控制面板”，打开“管理工具”中的“服务”，找到“SNMP Service”，单击右键打开“属性”面板中的“安全”选项卡，在这个配置界面中，可

20、以修改community strings，也就是微软所说的“团体名称”。加固方法修改community strings，不是默认的“public”操作目的防止非法用户使用SNMP的默认团体名称连接主机。加固结果无需加固1.9启动项操作名称口令授权检查方法通过360安全卫士中的开机加速进行查看检查结果通过360安全卫士中的开机加速进行查看，发现开机启动项中有4个程序可以禁止启用；1个服务可禁止启用；6项启动项目需优化；2项系统优化与整理。如下图所示：加固方法按照360安全卫士的开机加速提示，关闭可禁止的启动项操作目的加快开机速度，阻止不必要的程序自动打开加固结果按照360安全卫士的开机加速提示，

21、已关闭可禁止的启动项1.10关闭自动播放功能操作名称关闭自动播放功能检查方法开始运行gpedit.msc，打开组策略编辑器，浏览到计算机配置管理模板系统，检查结果 加固方法在右边窗格中双击“关闭自动播放”，对话框中，选择所有驱动器，确定即可。操作目的加固结果无需加固1.11关闭共享操作名称删除主机默认共享检查方法开始-运行-cmd.exe-net share，查看共享检查结果 下图标红处为本项所要检查的参数，键值为0，表示关闭C$等默认共享，无需加固。加固方法如无此项，通过开始-运行-regedit-找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServ

22、iceslanmanserverparameters，新建AutoShareServer（REG_DWORD），键值为0操作目的删除主机因为管理而开放的共享加固结果无需加固1.12使用NTFS操作名称使用NTFS检查方法查看每个系统驱动器是否使用NTFS文件系统检查结果远程服务器只有C盘，且文件系统格式为NTFS，无需加固。加固方法无需加固操作目的利用NTFS实现文件系统的安全加固结果无需加固1.13网络访问操作名称禁用匿名访问命名管道和共享检查方法查看“控制面板-管理工具-本地安全策略”，在“本地策略-安全选项”:网络访问：可匿名访问的共享、可匿名访问的命名管道是否设置为全部删除检查结果加固

23、方法“控制面板-管理工具-本地安全策略”，在“本地策略-安全选项”:网络访问：可匿名访问的共享 设置为全部删除“控制面板-管理工具-本地安全策略”，在“本地策略-安全选项”:网络访问：可匿名访问的命名管道 设置为全部删除操作目的禁用匿名访问命名管道和共享加固结果操作名称禁用可远程访问的注册表路径和子路径检查方法查看“控制面板-管理工具-本地安全策略”，在“本地策略-安全选项”:网络访问中，查看，可远程访问的注册表路径、可远程访问的注册表路径和子路径是否设置为全部删除检查结果加固方法“控制面板-管理工具-本地安全策略”，在“本地策略-安全选项”:网络访问：可远程访问的注册表路径 设置为全部删除“

24、控制面板-管理工具-本地安全策略”，在“本地策略-安全选项”:网络访问：可远程访问的注册表路径和子路径 设置为全部删除操作目的加固结果1.14会话超时设置操作名称对于远程登录的账户，设置不活动所连接时间 15 分钟检查方法进入“控制面板管理工具本地安全策略”，在“安全策略安全选项”：查看“Microsoft 网络服务器”设置检查结果加固方法进入“控制面板管理工具本地安全策略”，在“安全策略安全选项”：“Microsoft 网络服务器”设置为“在挂起会话之前所需的空闲时间”为15 分钟操作目的加固结果1.15注册表设置操作名称在不影响系统稳定运行的前提下，对注册表信息进行更新检查方法点击开始-运

25、行，然后在打开行里输入regedit，然后单击确定，查看相关注册表项进行查看；使用空连接扫描工具无法远程枚举用户名和用户组检查结果加固方法􀁹 自动登录：HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinlogonAutoAdminLogon (REG_DWORD) 0􀁹 源路由欺骗保护：HKLMSystemCurrentControlSetServicesTcpipParametersDisableIPSourceRouting(REG_DWORD) 2􀁹 删除匿名用户空链接HKEY_LOCAL_

26、MACHINESYSTEMCurrentControlSetControlLsa将restrictanonymous 的值设置为1，若该值不存在，可以自己创建，类型为REG_DWORD修改完成后重新启动系统生效􀁹 碎片攻击保护：HKLMSystemCurrentControlSetServicesTcpipParametersEnablePMTUDiscovery(REG_DWORD) 1􀁹 Syn flood 攻击保护：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices之下，可设置：TcpMaxPortsEx

27、hausted。推荐值：5。TcpMaxHalfOpen。推荐值数据：500。TcpMaxHalfOpenRetried。推荐值数据：400操作目的加固结果1.16其他1.16.1网络限制操作名称网络限制检查方法开始-运行-secpol.msc -安全设置-本地策略-安全选项检查结果 查看安全设置-本地策略-安全选项，发现不允许 SAM 帐户的匿名枚举：启用，无需加固；不允许 SAM 帐户和共享的匿名枚举：启用，无需加固；使用空白密码的本地帐户只允许进行控制台登录：启用，无需加固。加固方法无需加固操作目的网络访问限制加固结果无需加固1.16.2安全性增强操作名称禁止匿名用户连接(空链接)检查方

28、法开始-运行-cmd.exe-net share检查结果HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa，restricanonymous，值为0加固方法无需加固操作目的可以禁止匿名用户列举主机上所有用户、组、共享资源加固结果无需加固1.16.3检查Everyone权限操作名称检查Everyone权限检查方法查看每个系统驱动器根目录是否设置为Everyone有所有权限检查结果经查看，Everyone具有C盘的所有权限，需加固。加固方法删除Everyone的权限或者取消Everyone的写权限操作目的限制Everyone账号的权限，至少取消Everyone的写权限。加固结果删除Everyone的权限。1.16.4限制命令操作权限 操作名称限制特定执行文件权限检查方法使用cacls命令或资源管理器查看以下文件权限检查结果经查看，许多命令未作用户组权限限制，一下以cmd.exe为例，需加固。加固方法对以下命令做限制，只允许system、Administrator组访问cmd.exe、regsvr32.exe、