XX單位系統(tǒng)配置規(guī)范----Windows系統(tǒng)加固手冊(cè)

1、win2000系統(tǒng)加固手冊(cè)二零零五年一月系統(tǒng)信息在“開(kāi)始/程序/附件/系統(tǒng)工具/系統(tǒng)信息”窗門的“系統(tǒng)摘要”項(xiàng)查看系統(tǒng)類型、版本、service pack安裝情況。杏看hotfix安裝情況：d: >psinfo -hpslnfo 1.36 - local and remote system information viewer copyright (c) 2001-2003 mark russinovich sysinternals - system information for w026334o:uptime:kernel version:product type:product v

2、ersion:service pack:kernel build number: registered organization: registered owner:install date:activation status:ie version:system root:processors:0 days 0 hours 28 minutes 11 seconds microsoft windows 2000, uniprocessor free professional5.042195is-onewuhb2004-3-21, 17:36:10 not applicable6.0000c:w

3、innt1processor speed: processor type:physical memory:video driver:os hot fix installed750 mhzintel pentium iii 120 mbtrident video accelerator cyberblade-ail agp 5.8089bkb823182kb823559kb824i05kb824141kb824146kb825119kb826232kb828028kb828035kb828749q147222q818043q8280262004-3-222004-3-222004-3-22200

4、4-3-222004-3-222004-3-222004-3-222004-3-222004-3-222004-3-222004-3-212004-3-302004-3-22servicepackuninstall 2004-3-22訪問(wèn) http:/www.microsoft.coni 安裝最新的 service pack 和 hotfixo抗dos加在注冊(cè)表 iiklmsystrmcurrentcontrolsetservicestcpipparameters 中更改以下值可 以幫助你防御一定強(qiáng)度的dos攻擊synattackprotect reg_dw0rd 2說(shuō)明：synattack保

5、護(hù)與減少syn-acks重新傳輸?shù)臄?shù)量有關(guān)，它會(huì)縮短資源保留分配的 時(shí)間。在建立了連接之后才分配路由路徑緩存項(xiàng)目的資源。如果synattackprotect = 2，則 在三方連通后，連接才會(huì)指到afd。enablepmtudiscovery reg_dw0rd 0說(shuō)明：當(dāng)此參數(shù)設(shè)罝為1 (true)時(shí)，tcp試圖從連到遠(yuǎn)程主機(jī)的路徑中査找最大傳輸單位 (mtu或最大數(shù)據(jù)包大小)。通過(guò)找到路徑mtu和并將tcp段限制為該大小，tcp可在路由器中沿著連接具有不同mtu的網(wǎng)絡(luò)的路徑消除碎片。碎片對(duì)tcp吞吐量和網(wǎng)絡(luò) 擁塞有不利的影響。將該參數(shù)設(shè)為0會(huì)導(dǎo)致576字節(jié)的mtu用于所有的連接中，而不 只

6、是用于本地子網(wǎng)上的主機(jī)而已。nonamere1easeondemand reg_dw0rd 1說(shuō)明：這個(gè)參數(shù)決定在計(jì)算機(jī)收到一個(gè)來(lái)自網(wǎng)絡(luò)的名稱釋放請(qǐng)求時(shí)是否釋放它的netbios 名稱。添加它的fi的在于允許管理員保護(hù)機(jī)器不受惡意的名稱釋放所攻擊。enabledeadgwdetect reg_dword 0說(shuō)明：當(dāng)參數(shù)設(shè)為1吋，則允許tcp檢測(cè)失效的網(wǎng)關(guān)。在激活這項(xiàng)功能后，如果許多連 接都遇到w難，則tcp可能會(huì)要求ip更換到備用網(wǎng)關(guān)。keepalivetime reg_dword 300,000說(shuō)明：該參數(shù)通過(guò)發(fā)送一個(gè)“保持活動(dòng)”數(shù)據(jù)包來(lái)控制tcp試圖多久驗(yàn)證一次閑置連接仍 舊完好。如果遠(yuǎn)程

7、系統(tǒng)仍舊是可到達(dá)的且運(yùn)行正常，它則確認(rèn)該“保持活動(dòng)”傳輸。在默 認(rèn)情況下，不發(fā)送“保持活動(dòng)”數(shù)據(jù)包。在連接上可通過(guò)應(yīng)用程序激活該功能。performrouterdiscovery reg_dword 0該參數(shù)控制windows 2000是否根據(jù)rfc 1256在每一個(gè)接口上試圖執(zhí)行路由器發(fā)現(xiàn)。enablelcmpredirects reg_dw0rd 0說(shuō)明：該參數(shù)控制windows 2000是否因icmp重定向網(wǎng)絡(luò)設(shè)備（如路由器）發(fā)送到它的 消息而更改它的路由表。安全日志win2000的默認(rèn)安裝不幵任何安全審核，進(jìn)入“控制而板/管理工具/本地安全策略“，在“本 地策略-審核策略”屮打開(kāi)相應(yīng)的

8、審核，推薦的審核是：1勢(shì)本地安全設(shè)罝_|n| x|操作查看（幻.和jl旬畫|xb|蔭樹(shù)1策略/1本地設(shè)罝安全設(shè)罝頭1審核策略更改成功,失敗1&cs帳戶策略審核登錄亊件成功，失敗i-c3密碼策略審核對(duì)象訪問(wèn)失敗s-l3帳戶鎖定策略審核過(guò)程追蹤無(wú)審核曰本地策略審核目錄服務(wù)訪問(wèn)失敗審核特權(quán)使用失敗i-l3用戶權(quán)利指派審核系統(tǒng)亊件成功，失敗l l9安金選項(xiàng)審核帳戶登錄亊件成功,失敗j$0公鑰策略審核帳戶管理成功，失敗_1輇邁:加嵆的致踎砍笈代sip安全策略，在本地機(jī)器d1 >1叫1叫審核項(xiàng)目少的缺點(diǎn)是可能遺漏重要的信息；審核項(xiàng)目太多不僅會(huì)占用系統(tǒng)資源而且會(huì)導(dǎo)致審 核tl志泛濫，這樣就失去

9、了審核的意義。在“賬戶策略_密碼策略“屮設(shè)定:在“賬戶策略-賬戶鎖定策略“中設(shè)定:調(diào)整應(yīng)川程序志:bi亊件查看器1操作查看®釦峙某規(guī)1篩選器1樹(shù)1顯名稱（b）:亊件查看器（本地）m應(yīng)用程序日志日志名稱（1）:安全曰志系統(tǒng)日志大小：ii創(chuàng)建時(shí)間：1修改時(shí)間：訪問(wèn)時(shí)間：日志大小|c: ffiwirr sys t em32 con£i gappevent. evt128.0 kb (131,072 字節(jié))2004年3月21日 17:38:082004年4月 5 日 1:28:402004 年4月 5 日 1:28:40xinl參參分無(wú)無(wú)無(wú)ev(無(wú)無(wú)瑞志文件大kb1102400 土

10、j當(dāng)達(dá)到最大的日志尺寸時(shí)：c按需要改寫亊件位c改寫久于迮）（7不改寫亊件浮動(dòng)洧除日志）氓）|7天的亊件還原為默認(rèn)值d）1確定1取消1應(yīng)用(a)1廠使用低速連接氓）濱除日志拉）|調(diào)整系統(tǒng)女全円志:賬號(hào)安全注冊(cè)表中 local_machinesystemcurrentcontrolsetcontrollsarestrictanonymous 該鍵值的含義如下：0： none. rely on default permissions （無(wú),取決于默認(rèn)的權(quán)限）1： do not allow enumeration of sam accounts and shares （不允許枚舉 sam 帳號(hào)和共享）

11、 2： no access without explicit anonymous permissions （沒(méi)有顯式匿名權(quán)限就不允許訪 問(wèn)）0這個(gè)值是系統(tǒng)默認(rèn)的，什么限制都沒(méi)有，遠(yuǎn)程用戶可以知道你機(jī)器上所有的賬號(hào)、組信息、 共卒目錄、網(wǎng)絡(luò)傳輸列表（netservertransportenum）等等，對(duì)服務(wù)器來(lái)說(shuō)這樣的設(shè)置非常危 險(xiǎn)。1這個(gè)值是只允許非null用戶存取sam賬號(hào)信息和共亨信息。2這個(gè)值是在win2000巾才支持的，耑要注意的是，該值會(huì)使某些應(yīng)川異常，如sqlserver 等。推薦使用值1administrator，在“計(jì)算機(jī)笹理-用戶賬號(hào)“中右擊administrator然后改名

12、。.inlxi進(jìn)入“控制面板/管理工具/本地安全策略“，在“本地策略_安全選項(xiàng)”中啟川“登陸屏幕 上不要顯示上次登陸的用戶名“：本地安全設(shè)罝操作查看 <> -4 | id 00 x黽| §樹(shù)1策略/i本地設(shè)罝1有效設(shè)登血&安全設(shè)罝solan manager身份臉證級(jí)別發(fā)送lm&ntlm 0贓發(fā)送lm&ntlm啊b帳尸策略安全通道:對(duì)安全通道數(shù)據(jù)進(jìn)行數(shù)字加密（如果可能）已啟用已啟用f d本地策略進(jìn)a安全通道:對(duì)安全通道數(shù)據(jù)進(jìn)行數(shù)字加密或簽名（總是）已停用已停用±1審核策略安全通連:對(duì)安全通道數(shù)據(jù)迸行數(shù)字簽名（如果可能）已啟用已巵用:j用戶權(quán)

13、利指派鼓安全通迻:需要強(qiáng)（windows 2000或以上版本）會(huì)話密鑰已停用已停用j安全選項(xiàng)坡當(dāng)?shù)卿洉r(shí)間用芫時(shí)自動(dòng)注銷用尸（本地）已啟用已巵用1± _1公鑰策略登彔屏冪上不要顯示上次登彔的用戶名已啟用已停用f glp安全策略，在本t理對(duì)備份和還原權(quán)限的使用迸行審計(jì)已停用已停用對(duì)服務(wù)器通訊進(jìn)行數(shù)芋簽名（如果可能）已停用已停用迎對(duì)服務(wù)器遇訊進(jìn)行數(shù)字簽名（總是）已停用已停用逛對(duì)客尸鏑通訊進(jìn)行數(shù)字簽名（如果可能）已啟用已啟用逛對(duì)客尸端通訊進(jìn)行數(shù)字簽名（總是已停用已停用理對(duì)匿名連接的額外限制無(wú)，依賴于默認(rèn)許.無(wú)。依賴于鈦認(rèn)許鼓1對(duì)全局系統(tǒng)對(duì)象的訪問(wèn)進(jìn)行審計(jì)已停用已停用駁發(fā)送未加密的密碼以連接到

14、第三方sm8服務(wù)器，已停用已停用一逛防止計(jì)笪機(jī)帳戶密碼的系統(tǒng)綣護(hù)已停用巳停用進(jìn)3防止用尸安裝打印機(jī)驅(qū)動(dòng)程序已停用已停用迎故障恢復(fù)控制臺(tái)：允許對(duì)所有驅(qū)動(dòng)器和文件夾進(jìn)行軟盤復(fù)制和訪問(wèn)已停用已停用進(jìn)a故陵恢復(fù)控制臺(tái)：允許自動(dòng)系統(tǒng)管理級(jí)登錄已停用已停用瑚禁用按ctrl+alt+del進(jìn)行登錄的設(shè)蚤沒(méi)有定義沒(méi)有定義迎可被緩沖保存的前次登錄個(gè)數(shù)（在域控制器不可用的借況下）10次登錄10次登錄駁如果無(wú)法紀(jì)錄安全審計(jì)則立即關(guān)閉系統(tǒng)已停用已停用坡未簽名非驅(qū)動(dòng)程序的安裝換作沒(méi)有定義沒(méi)有定義理未簽名驅(qū)動(dòng)程序的安裝挨作沒(méi)有定義沒(méi)有定義用尸試圖登錄時(shí)消息標(biāo)題1. i目錄和文件權(quán)限為了控制好服務(wù)器上用戶的權(quán)限，同時(shí)也為了

15、預(yù)防以后可能的入侵和溢山，我們還必須非常 小心地設(shè)置目錄和文件的訪問(wèn)權(quán)限，nt的訪問(wèn)權(quán)限分為：讀収、寫入、讀取及執(zhí)行、修改、 列目錄、完全控制。在默認(rèn)的情況下，大多數(shù)的文件夾對(duì)所有用戶(everyone這個(gè)組)是 完全敞開(kāi)的(full control),你需要根ffi應(yīng)用的需要進(jìn)行權(quán)限重設(shè)。在進(jìn)行權(quán)限控制時(shí)，請(qǐng)記住以下兒個(gè)原則：權(quán)限是累計(jì)的；拒絕的權(quán)限要比允許的權(quán)限高；文件權(quán)限比文件夾權(quán)限高；服務(wù)器應(yīng)使川具有安全特性的ntfs格式，而不應(yīng)該使川fat或eat32分區(qū)；可在“幵始|管理工具i計(jì)算機(jī)管理i磁盤管理”中檢查；對(duì)于一些敏感文件權(quán)限需要進(jìn)行修改，避免文件被惡意用戶執(zhí)行。敏感文件列表：%s

16、ystemroot%system32regsvr32.exe%systemroot%system32ldi fde. exe%systemroot%system32tftp. exe%systemroot%system32rexec. exe%systcmroot%system32ns1ookup. exe%systemroot%system32tracert. exe%systemroot%system32netstat.exe%systemroot%system32edit. com%systemroot%regedit. exe%systcmroot%system32regedt32.

17、exe%systemroot%system32debug. exe%systemroot%system32rdi sk.exe%systemroot%system32nbtstat. exe%systemroot%system32secfixup. exe%systcmroot%system32rcp. exe%systemroot%system32ipconfig. exe%systemroot%system32syskey. exe%systemroot%system32runonce. exe%systemroot%system32qbasic. exe%systcmroot%syste

18、m32atsvc. exe%systemroot%system32rsh. exe%systemroot%system32os2.exe%systemroot%system32posi x.exe%systemroot%system32finger. exe%systcmroot%system32at. exe%systemroot%system32route. exe%systemroot%system32pi ng. exe%systemroot%system32edlin. exe%systemroot%system32arp. exe%systomroot%systcm32tolnet

19、. exe%systemroot%system32ftp. exe%systemroot%system32net1.exe%systomroot%systcm32not. exe%systcmroot%system32cscript.exe %systemroot%system32wscript. exe %systemroot%system32xcopy. exe %systemroot%system32cmd. exe 敏感目錄列表：各邏輯盤的根目錄；temp 0錄；川戶桌面目錄；推薦通過(guò)cacls系統(tǒng)命令檢查、設(shè)置文件權(quán)限:網(wǎng)絡(luò)和服務(wù)查看網(wǎng)絡(luò)流量信息:查看主機(jī)進(jìn)程信息:f c:winnt

20、system32cmd.exed：backupol>pu.exe -eprocesspidpriopathsnss.exe148normalc：uinntsysten32snss.execsrss-exe172normalc：uinntsysten32csrss.exeuinlogon.exe192highc：winntsystem32winlogon.exeservices.exe220nornalc：winntsystem32seruices.exelsass.exe232nornalc：winntsystem32lsass.exesuchost.exe388nornalc：winn

21、tsystem32svchost.exesuchost.exe440nornalc：winntsystem32svchost.exespoolsu.exe488nornalc：winntsystem32spoolsu.exeregsuc.exe552nornalc： winntsystem32i'egsvc .exemstask.exe588nornalc：winntsysten32mstask.exeunware一aut hd.exe640 normald：progran filesumwareumware uorkstat ionprogransunware-anthd. exeu

22、nnat.exe668normalc:uinntsysten32unnat.exewinmgmt.exe684normalc：uinnts ys t e m3 2ubemw in mgnt.exesuchost-exe700normalc:uinntsysten32suchost.exesuchost-exe988normalc:uinntsysten32suchost.exee - exe1020normalc:uinnte.exepfw.exe1076normald：progran filesskynetfireuallpfw.exeltsmmsg.exe1084normalc：winnt

23、ltsmmsg.exerealsched.exe1092normalc： progran filesconnon filesrealupdate_obi*ealsched.exeinternat.exe1120normalc:uinntsysten32internat-exensnnsgr.exe1132normalc：progran filesmisn messengernsnnsgr.exe檢查主機(jī)端口、進(jìn)程對(duì)應(yīng)信息:| e c:winntsystem32cmd.exex|id：backup01>fport.exezifportu2.0 - tcp/ip process toport

24、mappercopyright 2000 byfoundstone, 'nc -http：/www.foundstone.conpidprocessportprotopath388sucbost->135tcpc：winntsysten32suchost-exe8system->139tcp8system->445tcp588mstask->1025tcpc： v/inntsysten32mstask.exe8system->1026tcp1132nsnnsgr->1028tcpc：progran filesm1sn messengermsnnsgr

25、.exe700suchost->1095tcpc:uinntsystem32smchost.exe700suchost->1097tcpc：winntsysten32suchost.exe700suchost->1101tcpc:winntsystem32suchost.exe712radnin->1197tcpc：progran filesradninradnin.exe1132nsnnsgr->9udpc:program filesmisn messengermsnnsgr.exe8system->137udp8system->138udp8sys

26、tem->445udp232lsass->500udpc：winntsysten32lsass-exe1132nsnnsgr->1029udpc：progran filesmisn messengernsnnsgr.exe1020e->1037udpc:winnte.exe1216i explore->1131udpc：progran filesinternet exploreriexplore利用ipsec關(guān)閉不必要的端口ipsecpol.exe足microsoft提供的cmd下配置ipsec的工具，命令格戎如下：ipsecpol -x -w reg -p &q

27、uot;firewallpolicy" -r "rpc” -n block -f si!=o:135:tcp禁止任何ip訪問(wèn)木地服務(wù)器的135tcp端門ipsecpol -x -w reg -p "fircwallpolicy" -r "nctbios_namc_scrvicc_udp" -n block -f *=0:137:udp 禁止彺何ip訪問(wèn)本地服務(wù)器的137udp端口ipsecpol -x -w reg -p "firewallpolicy" -r "netbios一name一service一

28、tcp” -n block -f *=0:137:tcp 禁止任何ip訪問(wèn)本地服務(wù)器的137tcp端門ipsecpol -x -w reg -p 'tirewallpolicy" -r "netbios_datagram_service" -n block -f *=0:138:udp 禁止任何ip訪問(wèn)本地服務(wù)器的138udp端口ipsecpol -x -w reg -p tirewallpolicy*' -r "netbios_session_service” -n block -f *=0:139:tcp 禁止任何ip訪問(wèn)本地服務(wù)器的

29、i39tcp端uipsecpol -x -w reg -p "firewallpolicy" -r "ldap_udpn -n block -f *=0:389:udp禁止任何ip訪問(wèn)木地服務(wù)器的389udp端門ipsecpol -x -w reg -p "fircwallpolicy1' -r "ldap_tcp" -n block -f *=0:389:tcp禁止任何ip訪問(wèn)本地服務(wù)器的389tcp端口ipsecpol -x -w reg -p "firewallpolicy*' -r ,httpover

30、sslh -n block -f *=0:443:tcp禁止任何ip訪問(wèn)本地服務(wù)器的443tcp端門ipsecpol -x -w reg -p 'tirewallpolicy" -r "smb_udp" -n block -f *=0:445:udp禁止任何ip訪問(wèn)本地服務(wù)器的445udp端口ipsecpol -x -w reg -p "firewallpolicy" -r ”smb_tcpn -n block -f *=0:445:tcp禁止任何ip訪問(wèn)本地服務(wù)器的445tcp端uipsecpol -x -w reg -p "

31、;firewallpolicy1' -r "sqlserver" -n block -f *=0:1433:tcp禁止任何ip訪問(wèn)木地服務(wù)器的1433tcp端門ipsecpol -x -w reg -p "fircwallpolicy" -r "sql_scrvcr_udp" -n block -f *=0:1434:udp 禁止任何ip訪問(wèn)木地服務(wù)器的1434udp端口安全加固時(shí)可根據(jù)服務(wù)器實(shí)際情況增加或減少規(guī)則在“本地安企沒(méi)置iip安企策略”中可瀏覽、修改、刪除策略。-inj ><j本地安全設(shè)s換作査看 <

32、;= - a 00 | x囹曝樹(shù)名稱垂i攤安全設(shè)罝e 帳尸策略 * l3本地策略 id公鑰策略m ip安全策略，在本tfirewallpolicy 0安金服務(wù)器（要求安全設(shè)置 它i客尸端（只峒應(yīng)）服務(wù)器（請(qǐng)求安ifirewallpolicy性-u2<1對(duì)于所有ip通訊、總是要求使用kerberos信任的安全設(shè).否規(guī)則|常規(guī)|和其它汁苣機(jī)通訊的安全規(guī)則ip安全規(guī)則a）:i -導(dǎo)向加tshb.udpsmbudp negpolkerberos0 shb.tcpsmb_tcp negpolkerberos rpcrpc negp°lkerberos hetbios.sessi.netb

33、ios_session.kerberos netbios.name.hetbios_hame.se.kerberos netbios_ne_.kgtbios_kame.se.kerberos0netbios_datag.hetbios_datagra.kerberos13 ldap_udpldapudp negpolkerberosu1忝加（£）. |編輯.| 冊(cè)縣 r使用ip篩選器列衷篩選器操作i身份驗(yàn)證方法隧道| 確定 | 取消 | ctiu |禁止如下的服務(wù)：alerter (disable)clipbook server (disable) computer browser

34、(disable) dhcp client (disable)directory replicator (disable)ftp publishing service (disable)license logging service (disable)messenger (disable)netlogon (disable)network dde (disable)network dde dsdm (disable)network monitor (disable)plug and play (disable after all hardware configuration)remote ac

35、cess server (disable)remote procedure call (rpc) locater (disable)schedule (disable)server (disable)simple services (disable)spooler (disable)tcp/ip netbios helper (disable)telephone service (disable)在必要時(shí)禁止如下服務(wù)：snmp service (optional)snmp trap (optional)ups (optional)設(shè)置如下服務(wù)為自動(dòng)啟動(dòng)：eventlog (required)nt lm security provider (required)rpc service (required)www (required)workstation (leave service on: will be disabled later in the document) msdtc (required)protected storage (required)iisadmin scripts admin samples iis