Windows2003系统加固
第一章账号和口令设置
第1节 账号设置对于管理员账号,要求更改缺省账号名称1.1 禁用guest(来宾)账号1.2 把asp.net用户的设置为隶属于guests1.3 禁用IUSR_XXX用户1.4 禁用SUPPORT_XXX用户第2节 口令设置进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:2.1 启动“密码必须符合复杂性要求”2.2 “密码最长存留期”设置为“90天”2.3 “强制密码历史”设置为“记住5个密码”进入“控制面板->管理工具->本地安全策略”,在“帐户策略->帐户锁定策略”:2.4 “账户锁定阀值”设置为 6次
第二章授权和日志
第3节 授权进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:3.1 把“关闭系统”设置为“只指派给Administrators组”3.2 把 “从远端系统强制关机”设置为“只指派Administrators组”3.3 设置“取得文件或其它对象的所有权”设置为“只指派给Administrators组3.4 “从本地登陆此计算机”设置为“指定授权用户“3.5 “从网络访问此计算机”设置为“指定授权用户” 第4节 协议在"网络连接"里,把不需要的
协议和服务都打掉勾选;例4.1 Qos数据包计划程序4.2 在高级tcp/ip设置里--"NetBIOS"设置“禁用tcp/IP上的NetBIOS(S)“网络基本输入输出系统说明:关闭此功能,你服务器上所有共享服务功能都将关闭,别人在资源管理器中将看不到你的共享资源。这样也防止了信息的泄露。4.3 Microsoft网络的文件和打印机共享4.4 ipv6协议4.5 microsoft网络客户端(主要是为了访问微软的网站,可删可不删)第5节 日志配置操作日志审核开始->运行-> 执行“ 控制面板->管理工具->本地安全策略->本地策略à审核策略”全部设置为成功和失败都审核
第三章 注册表
第1节 修改数据包的生存时间(TTL)值
Hkey_local_machine\system\currentcontrolset\services\tcpip\parameters新建dword值defaultttl (0-255十进制,默认值128)一般修改为255即可注释:防止别人利用ping的方式对返回值来猜测操作系统TTL值:32 Windows95/98/NTTTL值:128 WindowsNT4.0/2000/XP/2003TTL值:64 LinuxTTL值:255 Unix第2节 防止syn洪水攻击
hkey_local_machine\system\currentcontrolset\services\tcpip\parameters新建DWORD值synattackprotect 0x2(默认值为0x0)建议值:2有效值:0-2说明:引起TCP调整SYN-ACKS的重新传世。如果你配置这个值当发生SYN攻击时,连接响应的超时速度回你较快,当超过TcpMaxHalfOpen或者TcpMaxHalfOPenRetried的值时,便会触发SYN攻击。第3节 设置SYN保护阈值SYN攻击保护
hkey_local_machine\system\currentcontrolset\services新建:TcpMaxPortsExhausted = 5建议值:5有效值:0-65535说明:制定tcp连接请求的阈值,必须超过该阈值猜会触发SYN洪水保护
新建:TcpMaxHalfOpen = 500 十进制建议值:500有效值:100-65535说明:启动synattackprotect时,改制会制定在SYN_RCVD状态下的TCP连接的阈值。超过synattackprotect时,便会触发SYN洪水保护
新建:TcpMaxHalfOpenRetried= 400 十进制建议值:400有效值:80-65535说明:启用synattackprotect时,该值指定SYN_RCVD状态下的tcp连接的阈值,其中至少已经进行一次重新传输。超过synattackprotect时,便会触发syn洪水保护。
新建:TcpMaxConnectResponseRetransmissions= 2建议值:2有效值:0-255说明:对取消尝试响应的syn请求之前重新传输SYN-ACK的次数进行控制。
新建:TcpMaxDataRetransmission= 2建议值:2有效值:0-65535说明:指定tcp在终止连接前,要重新传输单独数据片段(而并非连接请求片段)的次数。
新建:EnablePMTUDiscovery =0建议值:0有效值:0、1说明:将该值设置为1(默认值)时,便会强制tcp在远程主机的路径上找到最大传输单位或最大数据包大小。攻击者可能会强制数据包分割,照成堆栈负荷过重。将该值设置为0会强制不是本地子网的主机连接都使用576字节的MTU.
新建:KeepAliveTime = 30000(5分钟)十进制建议值:30000有效值:80-4294967295说明:通过发生报错活动的数据包,指定tcp尝试验证闲置连接是发仍然原封不动的频率。
新建:NoNameReleaseOnDemand= 1建议值:1有效值:0、1说明:当计算机接收到名称释放请求时,指定不要释放计算机的NETBios名称第4节 防止ICMP攻击
hkey_local_machine\system\currentcontrolset\services\tcpip\parametersEnableICMPRedirect = 0建议值:0有效值:0、1说明:将该值修改为0可以防止接收到ICMP重定向数据包时,创建代价高昂的主机路由。第5节 防止SNMP攻击
hkey_local_machine\system\currentcontrolset\services\tcpip\parameters新建:EnableDeadGWDetect =0建议值:0有效值:0、1说明:攻击者强制切换到才要网关 第6节 AFD.SYS保护AFD.SYS是一种内核级的驱动,用于支持基于 window socket的应用程序,比如ftp、telnet等。
hkey_local_machine\system\currentcontrolset\services\AFD\parameters新建:EnableDynamicBacklog= 1建议值:1有效值:0、1说明:指定AFD.SYS功能来有效的抵御大量的SYN_RCVD状态中的连接的总数的最大值。
新建:MinimumDynamicBacklog= 20 十进制建议值:20有效值:0-4294967295说明:指定侦听终结点上允许的可用连接的最小数量。如果可用连接的数目低于该值,线程便会排入队列以创建其他的可用连接。
新建:MaximumDynamicBacklog= 20000 十进制建议值:20000有效值:0-4294967295说明:指定可用连接再加上SYN_RCVD状态中的连接的总数的最大值。
新建:DynamicBacklogGrowthDelta= 10 十进制建议值:10有效值:0-4294967295默认不存在说明:指定需要其他连接时将创建的可用链接数量。 第7节 关闭IGMP协议
hkey_local_machine\system\currentcontrolset\services\tcpip\parameters新建为 (DWORD值)IGMPLevel= 0建议值:0有效值:0、1说明:IGMP是一种协议,对于windows系统用户是没有说明用途的,但现在也被又来作为蓝屏攻击的一种方式,建议关闭关闭此功能,不会对用户造成影响。 第8节 修改远程访问端口
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-TcpHKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\wds\rdpwd\tds\tcpPortNumber =30301 十进制建议值:30301有效值:10000-60000默认值:3389说明:本地端口对外提供服务或者与外界连接的接口 第9节 Arp老化时间
hkey_local_machine\system\currentcontrolset\services\tcpip\parameters新建:arpcachelife = 120建议值:120(2分钟)有效值:0-120说明:设置违背使用的arp缓存表项可以被保持的时间。
Arpcacheminreferencedlife =600建议值:600(10分钟)有效值:0-600说明:被重复使用的表项可以在arp缓存中存放的时间 第10节 禁止死网关检测技术
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建DWORD值EnableDeadGWDetect = 0建议值:0有效值:0、1默认没有说明:如果在Win2000中你设置了多个网关,那么你的机器在处理多个连接有困难时就会自动改用备份网关,有时候这并不是一项好主意,建议禁止死网关监测。如果在Win2000中你设置了多个网关,那么你的机器在处理多个连接有困难时就会自动改用备份网关,有时候这并不是一项好主意,建议禁止死网关监测。第11节 关闭路由功能
hkey_local_machine\system\currentcontrolset\services:\tcpip\parametersipenablerouter= 0建议值:0有效值:0、1需新建说明:利用服务器自身两块网卡,让服务器充当路由器的功能。 第12节 禁止默认共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters新建Dword值,AutoShareServer = 0建议值:0有效值:0、1需新建说明:在安装完系统,系统会有缺省共享。 第13节 禁止GUEST账号访问日志应用日志:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application
Name: RestrictGuestAccess
Type: DWORD
value: 1
系统日志:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\System
Name: RestrictGuestAccess
Type: DWORD value: 1
安全日志:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Security
Name: RestrictGuestAccess
Type: DWORD
value: 1
第四章服务
windows2003server标准服务当中需要停止的服务,作为IIS网络服务器,以上服务务必要停止,如果需要SSL证书服务,则设置方法不同。
| Alerter |
| 服务名称: | Alerter |
| 显示名称: | Alerter |
| 服务描述: | 通知选定的用户和计算机管理警报。如果服务停止,使用管理警报的程序将不会收到它们。如果此服务被禁用,任何直接依赖它的服务都将不能启动。 |
| 可执行文件路径: | E:WINDOWSsystem32svchost.exe -k LocalService |
| 其他补充: | |
| Application Layer Gateway Service |
| 服务名称: | ALG |
| 显示名称: | Application Layer Gateway Service |
| 服务描述: | 为应用程序级协议插件提供支持并启用网络/协议连接。如果此服务被禁用,任何依赖它的服务将无法启动。 |
| 可执行文件路径: | E:WINDOWSSystem32alg.exe |
| 其他补充: | |
| Background Intelligent Transfer Service |
| 服务名称: | BITS |
| 显示名称: | Background Intelligent Transfer Service |
| 服务描述: | 服务描述:利用空闲的网络带宽在后台传输文件。如果服务被停用,例如 Windows Update 和 MSN Explorer 的功能将无法自动下载程序和其他信息。如果此服务被禁用,任何依赖它的服务如果没有容错技术以直接通过 IE 传输文件,一旦 BITS 被禁用,就可能无法传输文件。 |
| 可执行文件路径: | E:WINDOWSsystem32svchost.exe -k netsvcs |
| 其他补充: | |
| Computer Browser |
| 服务名称: | 服务名称:Browser |
| 显示名称: | 显示名称:Computer Browser |
| 服务描述: | 服务描述:维护网络上计算机的更新列表,并将列表提供给计算机指定浏览。如果服务停止,列表不会被更新或维护。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。 |
| 可执行文件路径: | 可执行文件路径: E:WINDOWSsystem32svchost.exe -k netsvcs |
| 其他补充: | |
| Distributed File System |
| 服务名称: | Dfs |
| 显示名称: | Distributed File System |
| 服务描述: | 将分散的文件共享合并成一个逻辑名称空间并在局域网或广域网上管理这些逻辑卷。如果这个服务被停止,用户则无法访问文件共享。如果这个服务被禁用,任何依赖它的服务将无法启动。 |
| 可执行文件路径: | E:WINDOWSsystem32Dfssvc.exe |
| 其他补充: | |
| Help and Support |
| 服务名称: | helpsvc |
| 显示名称: | Help and Support |
| 服务描述: | 启用在此计算机上运行帮助和支持中心。如果停止服务,帮助和支持中心将不可用。如果禁用服务,任何直接依赖于此服务的服务将无法启动。 |
| 可执行文件路径: | E:WINDOWSSystem32svchost.exe -k netsvcs |
| 其他补充: | |
| Messenger |
| 服务名称: | Messenger |
| 显示名称: | Messenger |
| 服务描述: | 传输客户端和服务器之间的 NET SEND 和警报器服务消息。此服务与 Windows Messenger 无关。如果服务停止,警报器消息不会被传输。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。 |
| 可执行文件路径: | E:WINDOWSsystem32svchost.exe -k netsvcs |
| 其他补充: | |
| NetMeeting Remote Desktop Sharing |
| 服务名称: | mnmsrvc |
| 显示名称: | NetMeeting Remote Desktop Sharing |
| 服务描述: | 允许经过授权的用户用 NetMeeting 在公司 intranet 上远程访问这台计算机。如果服务被停止,远程桌面共享将不可用。如果服务被禁用,依赖这个服务的任何服务都会无法启动。 |
| 可执行文件路径: | E:WINDOWSsystem32mnmsrvc.exe |
| 其他补充: | |
| Print Spooler |
| 服务名称: | Spooler |
| 显示名称: | Print Spooler |
| 服务描述: | 管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,本地计算机上的打印将不可用。如果此服务被禁用,任何依赖于它的服务将无法启用。 |
| 可执行文件路径: | E:WINDOWSsystem32spoolsv.exe |
| 其他补充: | |
| Remote Registry |
| 服务名称: | RemoteRegistry |
| 显示名称: | Remote Registry |
| 服务描述: | 使远程用户能修改此计算机上的注册表设置。如果此服务被终止,只有此计算机上的用户才能修改注册表。如果此服务被禁用,任何依赖它的服务将无法启动。 |
| 可执行文件路径: | E:WINDOWSsystem32svchost.exe -k regsvc |
| 其他补充: | |
| Task Scheduler |
| 服务名称: | Schedule |
| 显示名称: | Task Scheduler |
| 服务描述: | 使用户能在此计算机上配置和计划自动任务。如果此服务被终止,这些任务将无法在计划时间里运行。如果此服务被禁用,任何依赖它的服务将无法启动。 |
| 可执行文件路径: | E:WINDOWSSystem32svchost.exe -k netsvcs |
| 其他补充: | |
| TCP/IP NetBIOS Helper |
| 服务名称: | LmHosts |
| 显示名称: | TCP/IP NetBIOS Helper |
| 服务描述: | 提供 TCP/IP (NetBT) 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持,从而使用户能够共享文件、打印和登录到网络。如果此服务被停用,这些功能可能不可用。如果此服务被禁用,任何依赖它的服务将无法启动。 |
| 可执行文件路径: | E:WINDOWSsystem32svchost.exe -k LocalService |
| 其他补充: | |
| Telnet |
| 服务名称: | TlntSvr |
| 显示名称: | Telnet |
| 服务描述: | 允许远程用户登录到此计算机并运行程序,并支持多种 TCP/IP Telnet 客户端,包括基于 UNIX 和 Windows 的计算机。如果此服务停止,远程用户就不能访问程序,任何直接依赖于它的服务将会启动失败。 |
| 可执行文件路径: | E:WINDOWSsystem32tlntsvr.exe |
| 其他补充: | |
| Workstation |
| 服务名称: | lanmanworkstation |
| 显示名称: | Workstation |
| 服务描述: | 创建和维护到远程服务的客户端网络连接。如果服务停止,这些连接将不可用。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。 |
| 可执行文件路径: | E:WINDOWSsystem32svchost.exe -k netsvcs |
| 其他补充: | |
第五章Apache网站
第1节 降低apache运行权限
1.1 创建一个apache用户在计算机管理里的本地用户和组里面创建一个帐户,例如:apache,密码设置为jobigg.com,加入user组;
1.2 设置登陆权限打开开始->管理工具->本地安全策略,在用户权限分配中选择“作为服务登陆”,添加apache用户1.3 停止apache2.2服务计算机管理里面选择服务,找到apache2.2,先停止服务,右击->属性,选择登陆,把单选框从本地系统帐户切换到此帐户,然后查找选择 apache,输入密码jobigg.com,然后点确定(这个时候apache应该不能正常启动,一般情况肯定会报错:Apache2.2 服务因 1(0x1) 服务性错误而停止。
1.4 Apache文件夹的权限赋予apache安装目录(比如:E:/apache2.2)以及web目录(比如D: /jobigg.com)apache帐号的可读写权限,去除各磁盘根目录除administror与system以外的所有权限,赋予apache安装 目录所在的磁盘根目录apache帐户的可读取列目录权限1.5 启动apache服务计算机管理里面选择服务,找到apache2.2,重新启动
第2节 Php权限1.1 php.ini中指定的PHP临时上传目录和session保存目录,并给予目录apache完 全控制权限,例如: upload_tmp_dir="D:/wwwroot/Tmp/uploadtmp/" session.save_path="D:/wwwroot/Tmp/sessiontmp/" 1.2给予D:/php目录读取与运行的权限;
第3节 zend权限给予zend安装目录读取与运行的权限;
