系统安全加固技术

1、系统安全加固技术 计算机系 蔡灿民v系统的安全加固：通过配置目录权限，系统 安全策略，协议栈加强，系统服务和访问控 制加固您的系统，整体提高服务器的安全性 。 WINDOWS篇-补丁检查及安 装 v补丁安装的原则：新安装或者重新安装Windows操作系统，必须 安装最新的Service Pack补丁集（以下示例若 无特别说明，均是以Windows2003操作系统为 例。截止到2009年4月Windows2003最新补丁 集为SP2，Windows XP最新补丁集为SP3， Windows Vista最新补丁集为SP1）。必须及时安装与安全相关的Hotfixes补丁。WINDOWS篇-补丁检查及安 装更新补丁前，要求先在测试系统上对补丁进行 可用性和兼容性验证。最新的安全补丁发布与升级步骤，请参照微软 网站的公告，具体网址链接为： http:/ y/default.mspx注意：微软于2009-4-14起，停止Windows XP 的主流支持服务，改为扩展支持服务，微软将 不再发布Windows XP除安全更新外的软件更新 。WINDOWS篇-账号和口令安 全 v要求通过“本地安全策略”

2、调整“密码策略”，提 高系统的安全水平，具体要求如下表：WINDOWS篇-密码策略配置要 求策略默认设认设 置安全设设置 强制执行密码历史 记录记住 0 个密码记住 5个密码密码最长期限42 天90 天 密码最短期限0 天0 天 最短密码长度0 个字符8 个字符 密码必须符合复杂 性要求禁用启用为域中所有用户使 用可还原的加密 来储存密码禁用禁用“密码策略”的设置步骤v落不明进入“控制面板/管理工具/本地安全策 略”，在“帐户策略密码策略”。 WINDOWS篇-密码复杂性配置 要求 v在“密码策略”中 启用“密码必须符合复杂性要求”选项 后，系统将强制要求密码的设置具备一定的强壮度 ，要求密码密码必须符合下列最低要求:v不能包含用户的账户名，不能包含用户姓名中超过 两个连续字符的部分v至少有六个字符长v包含以下四类字符中的三类字符:v英文大写字母(A 到 Z)v英文小写字母(a 到 z)v10 个基本数字(0 到 9)v非字母数字字符(例如 !、$、#、%) WINDOWS篇-账号安全控制要 求 v“帐户锁定策略”配置要求v有效的账号锁定策略有助于防止针对账号的暴力 破解。 策略默认设

3、认设 置安全设设置帐户锁 定时间未定义20 分钟帐户锁 定阈值0次无效登录5 次无效登录复位帐户锁 定计数器未定义20 分钟之后v账号锁定配置具体操作：进入“控制面板/管 理工具/本地安全策略”，在“帐户策略帐户 锁定策略”。 系统内置账号管理要求v Windows系统中内置账号，包括 Administrator和guest。对于管理员账号， 要求更改缺省帐户名称（如图所示），对隶 属于Administrators组的账号要严格监控； 要求禁用guest（来宾）账号，以防止攻击 者通过利用已知的用户名破坏远程服务器。其它账号管理要求 v临时的测试帐户和过期的无用帐户应该在3 个工作日内及时删除。v注：测试帐户和无用帐户不是系统默认安装 时生成的，是系统操作过程中人为新增的帐 户，从系统安全加固的角度来看，此类帐户 应该及时删除。WINDOWS篇-文件系统、注册 表权限控制标准 v目录保护配置要求v文件保护配置要求 v注册表保护配置要求 WINDOWS篇-目录保护配置要 求v要求按照下表内容对受保护的目录权限进行 设置。对于多个帐户使用一台主机，要求根 据具体情况对重要的文件目录进行账户

4、权限 的设置。 v注：其中%SystemRoot% 定义了 Windows 系统文件所在的路径和文件夹名， %SystemDrive% 定义了包含 %systemroot% 的驱动器。 保护护的目录录基准权权限%systemdrive%Administrators：完全控制 System：完全控制 Authenticated Users：读取和执行、 列出文件夹内容、读取 %SystemRoot%Repair %SystemRoot%Security %SystemRoot%Temp %SystemRoot%system32Config %SystemRoot%system32LogfilesAdministrators：完全控制 Creator/Owner：完全控制 System：完全控制%systemdrive%InetpubAdministrators：完全控制 System：完全控制 Everyone：读取和执行、列出文件 夹内容、读取文件保护配置要求v对系统的敏感文件的权限进行修改，以避免文件 被恶意用户读取或执行。 文件基准权权限%SystemDrive%Boot.iniA

5、dministrators：完全控制 System：完全控制%SystemDrive%NAdministrators：完全控制 System：完全控制%SystemDrive%NtldrAdministrators：完全控制 System：完全控制%SystemDrive%Io.sysAdministrators：完全控制 System：完全控制%SystemDrive%Autoexec.batAdministrators：完全控制 System：完全控制 Authenticated Users：读取和执行 、列出文件夹内容、读取%SystemRoot%system32 Administrators：完全控制注册表保护配置要求v建议将以下注册表键值的权限配置为： Administrators和system完全控制， everyone只读。在配置前，必须首先测试 注册表键值权限更改对服务器应用可能产生 的影响。 vHKEY_LOCAL_MACHINESoftwareClassesregfileshellopencom mandvHKEY_LOCAL_MACHINESoftwareMicr

6、osoftWindows NTCurrentVersionWinlogonvHKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionPerflibvHKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSec urePipeServerswinregvHKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsavHKEY_LOCAL_MACHINE SOFTWAREMicrosoftWindowsCurrentVersionRunvHKEY_LOCAL_MACHINE SOFTWAREMicrosoftWindowsCurrentVersionRunOncevHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent VersionRunOnceExWINDOWS篇-网络与服务配置 标准 网络协议安装要求v要求只运行安装TCP/IP网络协议，不允许 安装IPX，AppleTalk等其他的网络协议。如 果

7、存在其他协议，在本地连接属性里，将其 他协议卸载或者不选择。v注：如要安装其它协议再添加。服务管理配置标准 v Windows缺省安装会创建很多默认服务， 并配置为在系统启动时运行。实际运行环境 中并不需要运行所有服务，而任何多余的服 务都存在受攻击的风险，因此要求禁用不必 要的服务。 v建议禁用下列的不必要服务： 服务务服务务功能实现实现 Alerter通知所选用户和计算机有关系统管理级警报 Indexing Service负责 索引磁盘上的文档和文档属性,并且在一个目录中保存信息,使得你在以后可以搜索 ClipBookClipBook支持ClipBook Viewer程序,该程序可以允许剪贴页 被远程计算机上的ClipBook 浏览 .可以使得用户能够通过网络连 接来剪切和粘贴文本和图形 DHCP client通过注册和更新IP地址和DNS域名来管理网络配置 DNS Server负责 解答DNS域名查询 Fax负责 管理传真的发送和接收 Messenger主机间发 消息的程序，有漏洞建议关闭 File Replication主机间文件复制的支持程序，不需要 Help and Sup

8、port Windows 系统的帮助服务 TCP/IP NETBIOS Helper该服务允许在TCP/IP网络上进行NETBIOS通信 NetMeeting Remote Desktop Sharing允许授权用户通过使用NetMeeting来远程访问 你的Windows桌面 Remote Registry使得经过 授权的管理员能够对 位于远程主机上的注册表项目进行操作,对于一些功能,例 如远程性能监视 ,是需要Remote Registry Internet Connection Sharing将某计算机的Internet联机与其他一些计算机进行共享 Simple TCP/IP这个服务是作为基本的TCP/IP服务而运行,打开了TCP端口7,9,13,17,19 Telephony提供电话 和基于IP地语音连接. Trivial FTP DaemonTftp不经验证简单 ftp服务 Telnet远程登录必须禁止 Terminal Services如果不需要远程桌面服务，必须禁止 License Logging 认证 服务相关，一般不需要 Print spooler如果不需要打印文档，

9、必须关闭 Wireless Configuration一般服务器不需要无线设 置 Net Logon域账号登录用，如果没有域，必须关闭v下列服务是可能用到的服务，应根据具体运行环境确认是否 需要开启这些服务：vSMTP服务vFTP服务vIIS admin 服务vWEB服务器的管理服务，一般服务器上不必启用。vWWW服务 vSNMP 服务vSNMP，是网络管理协议，在不需要通过SNMP进行网管的 情况下，可禁用该服务。vTerminal远程桌面服务 v如果启用了远程桌面管理服务，要求做以下安全配置。1、 通过外部防火墙软件限制对3389端口的访问，只允许一定 范围内的IP访问此机器的3389端口；2、限制或者指定通过 远程桌面可以登录的用户名称， 限制通过远程桌面可以登录的用户名称 WINDOWS篇-安全选项配置标 准 v具体设置方法为： “控制面板/管理工具/本 地安全策略”，在“本地策略安全选项”中 安全选项选项注释释安全设设置LAN Manager身份 验证级别确定网络登录时将使用哪个质询/响应身份 验证协议 。该选项 会影响客户端使用的 身份验证协议 的级别、协商的会话安全 级别，以及服务器所接受的身份验证级 别。发送LM& NTLM响应， 如果已协商 ，使用 NTLMv2安全 会话不允许SAM帐户和 共享的匿名枚举确定匿名连接到计算机应具有的其他权限。已启用如果无法记录安全 审计则 立即关 闭系统确定当系统无法记录安全事件时是否关闭系 统。已禁用不显示上次的用户 名确定是否将上次登录到计算机的用户名显示 在 Windows 登录画面中。已启用在关机时清理虚拟 内存页面文件确定在关闭系统时是否清除虚拟内存页面文 件。已启用在密码到期前提示 用户更改密码确定提前多长时间 （单位为天）警告用户 其密码将过期。通过这种提前警告，用 户可以有时间创 建具有足够安全性的密 码。14天WINDOWS篇-日志与审计配置 标准 v“审核策略”配置要求 审审核策略默认认配置安全设设置

《系统安全加固技术》由会员wm****3分享，可在线阅读，更多相关《系统安全加固技术》请在金锄头文库上搜索。