Windows 系统安全设置初步
59
description
Windows 系统安全设置初步. 一、系统的安装. 1 、不要选择从网络上安装. - PowerPoint PPT Presentation
Transcript of Windows 系统安全设置初步
一、系统的安装
1 、不要选择从网络上安装 虽然微软支持在线安装,但这绝对不安全。在系统未全部安装完之前不要连入网络,特别是 Internet !甚至不要把一切硬件都连接好来安装。因为 Windows 2000 安装时,在输入用户管理员账号“ Administrator”的密码后,系统会建立一个“ ADMIN”的共享账号,但是并没有用刚输入的密码来保护它,这种情况一直会持续到计算机再次启动。在此期间,任何人都可以通过“ ADMIN”进入系统;同时,安装完成,各种服务会马上自动运行,而这时的服务器还到处是漏洞,非常容易从外部侵入。
2 、要选择 NTFS 格式来分区 最好所有的分区都是 NTFS 格式,因为 NTFS格式的分区在安全性方面更加有保障。就算其他分区采用别的格式 ( 如 FAT32) ,但至少系统所在的分区中应是 NTFS 格式。
另外,应用程序不要和系统放在同一个分区中,以免攻击者利用应用程序的漏洞 ( 如微软的 IIS 的漏洞 ) 导致系统文件的泄漏,甚至让入侵者远程获取管理员权限。
3 、系统版本的选择 WIN2000 有各种语言的版本,对于我们来
说,可以选择英文版或简体中文版,我强烈建议:在语言不成为障碍的情况下,请一定使用英文版。要知道,微软的产品是以 Bug & Patch 而著称的,中文版的 Bug 远远多于英文版,而补丁一般还会迟至少半个月(也就是说一般微软公布了漏洞后你的机子还会有半个月处于无保护状况)
4 、组件的定制 win2000 在默认情况下会安装一些常用的组件,
但是正是这个默认安装是很危险的,你应该确切的知道你需要哪些服务,而且仅仅安装你确实需要的服务,根据安全原则,最少的服务 + 最小的权限 = 最大的安全。典型的 WEB 服务器需要的最小组件选择是:只安装 IIS 的 Com Files , IIS Snap-In ,WWW Server 组件。如果你确实需要安装其他组件,请慎重,特别是: Indexing Service, FrontPage 2000 Server Extensions, Internet Service
Manager (HTML) 这几个危险服务。
5 、分区和逻辑盘的分配 建议最少建立两个分区,一个系统分区,一
个应用程序分区,这是因为,微软的 IIS 经常会有泄漏源码 / 溢出的漏洞,如果把系统和 IIS 放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取 ADMIN 。推荐的安全配置是建立三个逻辑驱动器,第一个大于 2G ,用来装系统和重要的日志文件,第二个放 IIS ,第三个放 FTP ,这样无论IIS 或 FTP 出了安全漏洞都不会直接影响到系统目录和系统文件。
IIS 和 FTP 是对外服务的,比较容易出问题。而把 IIS 和 FTP 分开主要是为了防止入侵者上程序并从 IIS 中运行。(这个可能会导致程序开发人员和编辑的苦恼)
6 、安装杀毒软件。 杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序,因此一定要运行杀毒程序并把它设为开机自动运行,并注意经常升级病毒库。
7 、安装防火墙。
8 、安装系统补丁。
到微软网站下载最新的补丁程序:经
常访问微软和一些安全站点,下载最新的Service Pack 和漏洞补丁,是保障服务器长久安全的惟一方法。
9 、安装顺序的选择 首先,何时接入网络:
Win2000 在安装时的 ADMIN$ 的共享的漏洞;
同时,只要安装一完成,各种服务就会自动运行,而这时的服务器是满身漏洞,非常容易进入的,因此,在完全安装并配置好 Win2000 SERVER
之前,一定不要把主机接入网络。
其次,补丁的安装:补丁的安装应该在
所有应用程序安装完之后因为补丁程序往往要替换 /修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果,例如: IIS 的 HotFix 就要求每次更改
IIS的配置都需要安装。
二、系统的安全设置
1 、用户安全设置 1)、禁用 Guest 账号 在计算机管理的用户里面把 Guest 账号禁
用。为了保险起见,最好给 Guest 加一个复杂的密码。 2)、限制不必要的用户 去掉所有的 Duplicate User 用户、测试用
户、共享用户等等。用户组策略设置相应权限,并且经常检查系统的用户,删除已经不再使用的用户。
3)、创建两个管理员账号 创建一个一般权限用户用来收信以及处理一
些日常事物,另一个拥有 Administrators 权限的用户只在需要的时候使用。 4)、把系统 Administrator 账号改名 大家都知道, Windows 2000 的
Administrator 用户是不能被停用的,这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户,比如改成Guesycludx 。
5)、创建一个陷阱用户 什么是陷阱用户 ? 即创建一个名为“ Administrator” 的本地用户,把它的权限设置成最低,什么事也干不了,加上一个超过 10位的超级复杂密码。这样可以让想入侵的人慢慢忙一段时间。 6)、把共享文件的权限从 Everyone 组改成授权用
户不要把共享文件的用户设置成“ Everyone”组,包括打印共享,默认的属性就是“ Everyone”组的。
7)、开启用户策略 (不建议) 使用用户策略,分别设置复位用户锁定计数
器时间为 20分钟,用户锁定时间为 20分钟,用户锁定阈值为 3次。 8)、不让系统显示上次登录的用户名 (可选)
打开注册表编辑器 并找到注册表项HKLMSoftwareMicrosoftWindowsTCurrentVersionWinlogonDont-DisplayLastUserName ,把键值改成 1
9)、系统账号 / 共享列表Win2000 的默认安装允许任何用户通过空
用户得到系统所有账号 / 共享列表,这个本来是为了方便局域网用户共享文件的,但是一个远程用户也可以得到你的用户列表并使用暴力法破解用户密码。可以通过更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1 来禁止139空连接。
还可以在 win2000 的本地安全策略(如果是域服务器就是在域服务器安全和域安全策略中)就有这样的选项 RestrictAnonymous (匿名连接的额外限制),这个选项有三个值: 0:None. Rely on default permissions (无,取决于默认的权限) 1: Do not allow enumeration of SAM accounts and shares (不允许枚举 SAM帐号和共享) 2:No access without explicit anonymous permissions (没有显式匿名权限就不允许访问)
0这个值是系统默认的,什么限制都没有,远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum等等,对服务器来说这样的设置非常危险。 1这个值是只允许非 NULL 用户存取 SAM 账号信息和共享信息。 2这个值是在 win2000 中才支持的,如果不想有任何共享,就设为 2。一般推荐设为 1。
2 、口令安全设置 1)、使用安全密码 要注意密码的复杂性,还要记住经常改
密码。 2)、开启密码策略
注意应用密码策略,如启用密码复杂性要求,设置密码长度最小值为 8 位,设置强制密码历史为 5次,时间为 42 天。
3 、系统安全设置 1)、利用 Windows 2000 的安全配置工具来配 置安全策略:
微软提供了一套基于 MMC (管理控制台)安全配置和分析工具,利用它们你可以很方便地配置你的服务器以满足你的要求。具体内容请参考微软主页:
具体内容请参考微软主页: http://www.microsoft.com/windows2000/techinfo/ howitworks/security/sctoolset.asp
2)、安全日志: Win2000 的默认安装是不开任何安全审核的!可以到本地安全策略 -> 审核策略中打开相应的审核,推荐的审核是:
账户管理 成功 失败登录事件 成功 失败 对象访问 失败 策略更改 成功 失败特权使用 失败 系统事件 成功 失败目录服务访问 失败
账户登录事件 成功 失败 (审核项目少的缺点是万一你想看发现没有记录那就一点都没辙;审核项目太多不仅会占用系统资源而且会导致你根本没空去看,这样就失去了审核的意义。)
与之相关的是: 在账户策略 -> 密码策略中设定: 密码复杂性要求 启用 密码长度最小值 8位 强制密码历史 5 次 最长存留期 42天
在账户策略 -> 账户锁定策略中设定: 账户锁定 5 次错误登录 锁定时间 20 分钟复位锁定计数 20 分钟
同样, Terminal Service 的安全日志默认也是不开 的 , 我 们 可 以 在 Terminal Service Configration (远程服务配置) - 权限 -高级中配置安全审核,一般来说只要记录登录、注销事件就可以了。
3)、目录和文件权限: 为了控制好服务器上用户的权限,同时也
为了预防以后可能的入侵和溢出,我们还必须非常小心地设置目录和文件的访问权限, NT 的访问权限分为:读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下,大多数的文件夹对所有用户( Everyone 这个组)是完全敞开的( Full Control ),你需要根据应用的需要进行权限重设。
在进行权限控制时,请记住以下几个原则:
1>权限是累计的:如果一个用户同时属于两个组,那么他就有了这两个组所允许的所有权限; 2> 拒绝的权限要比允许的权限高(拒绝策略会先执行)如果一个用户属于一个被拒绝访问某个资源的组,那么不管其他的权限设置给他开放了多少权限,他也一定不能访问这个资源。所以请非常小心地使用拒绝,任何一个不当的拒绝都有可能造成系统无法正常运行;
3>文件权限比文件夹权限高
4>利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯之一;
5>仅给用户真正需要的权限,权限的最小化原则是安全的重要保障;
4)、禁止建立空连接( IPC $)
默认情况下,任何用户都可通过空连接连上服务器,进而枚举出账号,猜测密码。我们可以通过修改注册表来禁止建立空连接:即把“ Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous” 的值改成“ 1”即可。如果使用“ 2” 可能会造成你的一些服务无法启动,如 SQL Server 。
此外,安全和应用在很多时候是矛盾的。因此,你需要在其中找到平衡点,如果安全原则妨碍了系统应用,那么这个安全原则也不是一个好的原则
5)、禁止管理共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentCon
trolSet\Services\LanmanServer\Parameters项对于
服务器,添加键值“ AutoShareServer” ,类型为
“ REG_DWORD” ,值为“ 0” 。
对于客户机,添加键值“ AutoShareWks” ,类型为
“ REG_DWORD” ,值为“ 0” 。
(关闭 server 服务 )
6)、还有一个就是 139端口, 139端口是 NetBIOSSession端口,用来文件和打印共享,注意的是运行 samba 的 unix 机器也开放了 139端口,功能一样。
以前流光2000用来判断对方主机类型不太准确,估计就是 139端口开放既认为是 NT 机,现在好了。 关闭139口听方法是在“网络和拨号连接”中“本地连接”中选取“ Internet协议 (TCP/IP)”属性,进入“高级 TCP/IP设置”“ WINS设置”里面有一项
“禁用TCP/IP 的 NETBIOS” ,打勾就关闭了 139端口。( 可以在各项服务属性设置中设为“禁用” )
7)、使用组策略, IP策略
8)、防范 SYN 攻击
使用 SYN淹没攻击保护
相关的值项在
HKLM\SYSTEM\CurrentControlSet\Service\Tcpip\Parameters 下。
1) DWORD : SynAttackProtect :定义了是否允 许 SYN淹没攻击保护,值 1表示允 许起用 WIN2000 的 SYN淹没攻击保护。
2) DWORD :TcpMaxConnectResponseRetransmissions :定义了对于连接请求回应包的重发次数。值为 1,则 SYN淹没攻击不会有效果,但是这样会造成连接请求失败几率的增高。 SYN淹没攻击保护只有在该值 >=2时才会被启用,默认值为 3。
(上边两个值定义是否允许 SYN淹没攻击保护,下面三个则定义了激活 SYN淹没攻击保护的条件,满足其中之一,则系统自动激活 SYN淹没攻击保护。)
3) DWORD : TcpMaxHalfOpen :定义能够处于SYN_RECEIVED 状态的 TCP 连接的数目。默认值 100。
4) TcpMaxHalfOpenRetried :定义在重新发送连接请求后,仍然处于 SYN_RECEIVED 状态的 TCP连接的数目。默认值 80。
5) TcpMaxPortsExhausted :定义系统拒绝连接请求的次数。默认值 5。
减小 syn-ack包的响应时间。
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxConnectResponseRetransmissions 定 义了重发 SYN-ACK包的次数。
增大 NETBT 的连接块增加幅度和最大数器。 NETBT使用 139 端口。
HKLM\SYSTEM\CurrentControlSet\Services\NetBt\Parameters\BacklogIncrement 默认值为 3 ,最大 20,最小 1。
HKLM\SYSTEM\CurrentControlSet\Services\NetBt\Parameters\MaxConnBackLog 默认值为 1000,最大可取 40000
动态配置 Backlog 。
相关的值项在 HKLM\SYSTEM\CurrentControlSet\Service\AFD\Parameters 下
1) DWORD : EnableDynamicBacklog :定义是否允许动态 Backlog ,默认为 0, 1为允许。
2) DWORD : MinimumDynamicBacklog :定义动态Backlog 分配的未使用的自由连接的最小数目。默认值为 0,建议设为 20。
3) DWORD : MaximumDynamicBacklog :定义最大“准”连接数目。大小取决于内存的大小,一般每 32M最大可以增加 5000个。
4) DWORD : DynamicBacklogGrowthDelta :定义每次增加的自由连接数目,建议设置为 10。
10)、预防 DoS :
在注册表 HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 中更改以下值可以防御一定强度的 DoS 攻击 SynAttackProtect REG_DWORD 2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
11)、防止 ICMP 重定向报文的攻击
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\ParametersEnableICMPRedirects REG_DWORD 0x0( 默认值为 0x1)
该参数控制Windows 2000 是否会改变其路由表以响应网络设备 ( 如路由器 )发送给它的 ICMP 重定向消息,有时会被利用来干坏事。 Win2000 中默认值为1,表示响应 ICMP 重定向报文。
12)、禁止响应 ICMP路由通告报文
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interfacePerformRouterDiscovery REG_DWORD 0x0( 默认值为 0x2)
“ICMP路由公告”功能可造成他人计算机的网络连接异常 ,数据被窃听,计算机被用于流量攻击等严重后果。此问题曾导致校园网某些局域网大面积,长时间的网络异常。建议关闭响应 ICMP路由通告报文 .Win2000 中默认值为2,表示当 DHCP发送路由器发现选项时启用
13)、设置生存时间
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ParametersDefaultTTL REG_DWORD 0-0xff(0-255 十进制 ,默认值 128)
指定传出 IP数据包中设置的默认生存时间 (TTL)值。TTL决定了 IP数据包在到达目标前在网络中生存的最大时间。它实际上限定了 IP数据包在丢弃前允许通过的路由器数量 .有时利用此数值来探测远程主机操作系统。
14)、不支持 IGMP协议
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\ParametersIGMPLevel REG_DWORD 0x0( 默认值为 0x2)
记得Win9x 下有个 bug ,就是用可以用 IGMP 使别人蓝屏,修改注册表可以修正这个 bug 。 Win2000虽然没这个 bug 了,但 IGMP 并不是必要的,因此照样可以去掉。改成 0后用 route print将看不到那个讨厌的 224.0.0.0 项了。
15)、设置 arp缓存老化时间设置
HKLM\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
ArpCacheLife REG_DWORD 0-0xFFFFFFFF( 秒数 , 默认值为 120秒 )
ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒数 ,默认值为 600)
如果 ArpCacheLife 大于或等于ArpCacheMinReferencedLife ,则引用或未引用的 ARP缓存项在 ArpCacheLife秒后到期。如果 ArpCacheLife 小于ArpCacheMinReferencedLife ,未引用项在 ArpCacheLife秒后到期,而引用项在 ArpCacheMinReferencedLife秒后到期。每次将出站数据包发送到项的 IP地址时,就会引用 ARP缓存中的项。
16)、禁止死网关监测技术
HKLM\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
EnableDeadGWDetect REG_DWORD 0x0( 默认值为 ox1)
如果你设置了多个网关,那么你的机器在处理多个连接有困难时,就会自动改用备份网关,有时候这并不是一项好主意,建议禁止死网关监测。
17)、不支持路由功能
HKLM\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
IPEnableRouter REG_DWORD 0x0( 默 认值为0x0)
把值设置为 0x1 可以使 Win2000具备路由功能,由此带来不必要的问题。
18)、做 NAT 时放大转换的对外端口最大值
HKLM\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
MaxUserPort REG_DWORD 5000-65534( 十进制 )( 默认值 0x1388--十进制为 5000)
当应用程序从系统请求可用的用户端口数时,该参数控制所使用的最大端口数。正常情况下,短期端口的分配数量为 1024-5000。将该参数设置到有效范围以外时,就会使用最接近的有效数值 (5000或 65534) 。使用 NAT 时建议把值放大点
19)、修改MAC地址
HKLM\SYSTEM\CurrentControlSet\Control\Class\
找到右窗口的说明为 "网卡“的目录,比如说是{4D36E972-E325-11CE-BFC1-08002BE10318}展开之,在其下 0000,0001,0002...的分支中找到” DriverDesc“ 的键值为你网卡的说明,比如说” DriverDesc“ 的值为” Intel(R) 82559 Fast Ethernet LAN on Motherboard“ 然后在右窗口新建一字符串值,名字为” Networkaddress“ ,内容为你想要的 MAC值,比如说是” 004040404040“ 然后重起计算机, ipconfig /all查看。
20)、禁止光盘的自动运行功能
Windows 2000 的光盘的自动运行功能也是系统安全的隐患,光盘中只要存在 autorun . inf 文件,则系统会自动试图执行文件中 open字段后的文件路径 (市场上已经出现了破解屏保密码的光盘,如果不禁止光盘的自动运行功能,以上所做的设置都将是白费 ) ,步骤为:
⑴展开 HKEY _ LOCAL _ MACHINE\SO
FTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer 子键分支;
⑵在 Explorer主键中新建 DWORD 值NoDriveTypeAutoRun ,改值为 1。
21)、禁止使用 MS - DOS 方式
采用上述方法隐藏某个磁盘分区的作用仅限于图形界面,但在字符界面如 MS - DOS 方式无效,因此我们必须采用适当的方法禁止普通用户使用 MS - DOS 方式。方法为:
① 展 开 HKLU\SOFTWARE \Policies\Microsoft\Windows\
system 分支;
②新建一个名为 DisableCMD 的 DWORD值,改值为1( 这项用于禁止用户进入 Windows 2000 的 MS -DOS 方式 ) 。值为 2则批处理文件也不能运行。
23)、只允许运行指定的程序
24)、禁止使用注册表编辑器
HKCU\Software\Microsoft\Windows\Current Version\policies\System 下
DWORD : DisableRegistryTools :值为 1则禁用注册表编辑器。注意:使用此功能最好作个注册表备份,或者准备一个其他的注册表修改工具,因为禁止了注册表编辑器以后,就不能再用该注册表编辑器将值项改回来了。
22)、禁止使用任何程序(对于前边设置的陷阱用户)
不允许运行任何程序。方法为:①展开 HKLU\SOFTWARE\Microsoft\Windows\
CurrentVersion\Policies\Explorer 子键分支;② 在 Explorer 主 键 下 新 建 RestrctRun 的
DWORD值,将值改为 1。
不过你也可以发一下善心,给他几个 Windows 2000 自带的游戏玩一玩, 方法为 : 在Explorer主键下新建名为 RestrctRun 的主键,在其下分别新建名为 1 、 2 、 3 、 4的字符串值 , 将 值 分 别 改 为MSHEARTS . EXE 、 FREECELL . EXE 、WINMINE . EXE 、 SOL . EXE( 只需程序名,无需路径 ) ,则系统只能运行网上红心大战、空当接龙、扫雷、纸牌。无法执行其它任何程序。
4 、服务安全设置 1)、关闭不必要的端口关闭端口意味着减少功能,在安全和功能上面需要你做
一点决策。如果服务器安装在防火墙的后面,冒险就会少些。但是,永远不要认为你可以高枕无忧了。用端口扫描器扫描系统已开放的端口,确定系统开放的哪些服务可能引起黑客入侵。在系统目录中的 \system32\drivers\etc\services 文件中有知名端口和服务的对照表可供参考。具体方法为:打开“ 网上邻居 /属性 / 本地连接 /属性 /internet 协议 (TCP/IP)/属性 /高级 / 选项 /TCP/IP筛选 /属性” 打开“ TCP/IP筛选”,添加需要的 TCP 、 UDP协议即可。
2)、设置好安全记录的访问权限安全记录在默认情况下是没有保护的,把它设置
成只有 Administrators 和系统账户才有权访问。
3)、把敏感文件存放在另外的文件服务器中虽然现在服务器的硬盘容量都很大,但是你还是
应该考虑是否有必要把一些重要的用户数据(文件、数据表、项目文件等)存放在另外一个安全的服务器中,并且经常备份它们。
4)、停止不必要的服务服务开的太多也不是个好事,将没有必要的服务通通关掉吧!特别是连管理员都不知道是干什么的服务,还开着干什么!关掉!免得给系统带来灾难。另外,管理员如果不外出,不需要远程管理你的计算机的话,最好将一切的远程网络登录功能都关掉。注意 , 除 非 特 别 需 要 , 否 则 禁 用 “ Task Scheduler” “、 RunAs Service” 服务!关闭一项服务的方法很简单,运行 cmd.exe 之后,直接 net stop servername即可
5)、更改管理服务的端口pcanywhere端口号
( 1561 、 1562 ),终端服务端口号。
