1. 将
1<systemroot>\System32\cmd.exe转移到其他目录或更名;
2
32\. 系统帐号尽量少,更改默认帐户名(如Administrator)和描述,密码尽量复杂;
4
53\. 拒绝通过网络访问该计算机(匿名登录;内置管理员帐户;Support_388945a0;Guest;所有非操作系统服务帐户)
6
74\. 建议对一般用户只给予读取权限,而只给管理员和System以完全控制权限,但这样做有可能使某些正常的脚本程序不能执行,或者某些需要写的操作不能完成,这时需要对这些文件所在的文件夹权限进行更改,建议在做更改前先在测试机器上作测试,然后慎重更改。
8
95\. NTFS文件权限设定(注意文件的权限优先级别比文件夹的权限高):
10
11文件类型
12
13CGI 文件(.exe、.dll、.cmd、.pl)
14
15脚本文件 (.asp)
16
17包含文件(.inc、.shtm、.shtml)
18
19静态内容(.txt、.gif、.jpg、.htm、.html)
20
21建议的 NTFS 权限
22
23Everyone(执行)
24
25Administrators(完全控制)
26
27System(完全控制)
28
296\. 禁止C$、D$一类的缺省共享
30
31HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
32
33AutoShareServer、REG_DWORD、0x0
34
357\. 禁止ADMIN$缺省共享
36
37HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
38
39AutoShareWks、REG_DWORD、0x0
40
418\. 限制IPC$缺省共享
42
43HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
44
45restrictanonymous REG_DWORD 0x0 缺省
46
470x1 匿名用户无法列举本机用户列表
48
490x2 匿名用户无法连接本机IPC$共享
50
51说明:不建议使用2,否则可能会造成你的一些服务无法启动,如SQL Server
52
539\. 仅给用户真正需要的权限,权限的最小化原则是安全的重要保障
54
5510\. 在本地安全策略->审核策略中打开相应的审核,推荐的审核是:
56
57账户管理 成功 失败
58
59登录事件 成功 失败
60
61对象访问 失败
62
63策略更改 成功 失败
64
65特权使用 失败
66
67系统事件 成功 失败
68
69目录服务访问 失败
70
71账户登录事件 成功 失败
72
73审核项目少的缺点是万一你想看发现没有记录那就一点都没辙;审核项目太多不仅会占用系统资源而且会导致你根本没空去看,这样就失去了审核的意义。 与之相关的是:
74
75在账户策略->密码策略中设定:
76
77密码复杂性要求 启用
78
79密码长度最小值 6位
80
81强制密码历史 5次
82
83最长存留期 30天
84
85在账户策略->账户锁定策略中设定:
86
87账户锁定 3次错误登录
88
89锁定时间 20分钟
90
91复位锁定计数 20分钟
92
9311\. 在Terminal Service Configration(远程服务配置)-权限-高级中配置安全审核,一般来说只要记录登录、注销事件就可以了。
94
9512\. 解除NetBios与TCP/IP协议的绑定
96
97控制面版——网络——绑定——NetBios接口——禁用 2000:控制面版——网络和拨号连接——本地网络——属性——TCP/IP——属性——高级——WINS——禁用TCP/IP上的NETBIOS
98
9913\. 在网络连接的协议里启用TCP/IP筛选,仅开放必要的端口(如80)
100
10114\. 通过更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止139空连接
102
10315\. 修改数据包的生存时间(TTL)值
104
105HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
106
107DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)
108
10916\. 防止SYN洪水攻击
110
111HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
112
113SynAttackProtect REG_DWORD 0x2(默认值为0x0)
114
11517\. 禁止响应ICMP路由通告报文
116
117HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
118
119PerformRouterDiscovery REG_DWORD 0x0(默认值为0x2)
120
12118\. 防止ICMP重定向报文的攻击
122
123HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
124
125EnableICMPRedirects REG_DWORD 0x0(默认值为0x1)
126
12719\. 不支持IGMP协议
128
129HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
130
131IGMPLevel REG_DWORD 0x0(默认值为0x2)
132
13320\. 设置arp缓存老化时间设置
134
135HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
136
137ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为120秒)
138
139ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为600)
140
14121\. 禁止死网关监测技术
142
143HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
144
145EnableDeadGWDetect REG_DWORD 0x0(默认值为ox1)
146
14722\. 不支持路由功能
148
149HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
150
151IPEnableRouter REG_DWORD 0x0(默认值为0x0)
152
153安装和配置 IIS 服务:
154
1551\. 仅安装必要的 IIS 组件。(禁用不需要的如FTP 和 SMTP 服务)
156
1572\. 仅启用必要的服务和 Web Service 扩展,推荐配置:
158
159UI 中的组件名称
160
161设置
162
163设置逻辑
164
165后台智能传输服务 (BITS) 服务器扩展
166
167启用
168
169BITS 是 Windows updates 和"自动更新"所使用的后台文件传输机制。如果使用 Windows updates 或"自动更新"在 IIS 服务器中自动应用 Service Pack 和热修补程序,则必须有该组件。
170
171公用文件
172
173启用
174
175IIS 需要这些文件,一定要在 IIS 服务器中启用它们。
176
177文件传输协议 (FTP) 服务
178
179禁用
180
181允许 IIS 服务器提供 FTP 服务。专用 IIS 服务器不需要该服务。
182
183FrontPage 2002 Server Extensions
184
185禁用
186
187为管理和发布 Web 站点提供 FrontPage 支持。如果没有使用 FrontPage 扩展的 Web 站点,请在专用 IIS 服务器中禁用该组件。
188
189Internet 信息服务管理器
190
191启用
192
193IIS 的管理界面。
194
195Internet 打印
196
197禁用
198
199提供基于 Web 的打印机管理,允许通过 HTTP 共享打印机。专用 IIS 服务器不需要该组件。
200
201NNTP 服务
202
203禁用
204
205在 Internet 中分发、查询、检索和投递 Usenet 新闻文章。专用 IIS 服务器不需要该组件。
206
207SMTP 服务
208
209禁用
210
211支持传输电子邮件。专用 IIS 服务器不需要该组件。
212
213万维网服务
214
215启用
216
217为客户端提供 Web 服务、静态和动态内容。专用 IIS 服务器需要该组件。
218
219万维网服务子组件
220
221UI 中的组件名称
222
223安装选项
224
225设置逻辑
226
227Active Server Page
228
229启用
230
231提供 ASP 支持。如果 IIS 服务器中的 Web 站点和应用程序都不使用 ASP,请禁用该组件;或使用 Web 服务扩展禁用它。
232
233Internet 数据连接器
234
235禁用
236
237通过扩展名为 .idc 的文件提供动态内容支持。如果 IIS 服务器中的 Web 站点和应用程序都不包括 .idc 扩展文件,请禁用该组件;或使用 Web 服务扩展禁用它。
238
239远程管理 (HTML)
240
241禁用
242
243提供管理 IIS 的 HTML 界面。改用 IIS 管理器可使管理更容易,并减少了 IIS 服务器的攻击面。专用 IIS 服务器不需要该功能。
244
245远程桌面 Web 连接
246
247禁用
248
249包括了管理终端服务客户端连接的 Microsoft ActiveX? 控件和范例页面。改用 IIS 管理器可使管理更容易,并减少了 IIS 服务器的攻击面。专用 IIS 服务器不需要该组件。
250
251服务器端包括
252
253禁用
254
255提供 .shtm、.shtml 和 .stm 文件的支持。如果在 IIS 服务器中运行的 Web 站点和应用程序都不使用上述扩展的包括文件,请禁用该组件。
256
257WebDAV
258
259禁用
260
261WebDAV 扩展了 HTTP/1.1 协议,允许客户端发布、锁定和管理 Web 中的资源。专用 IIS 服务器禁用该组件;或使用 Web 服务扩展禁用该组件。
262
263万维网服务
264
265启用
266
267为客户端提供 Web 服务、静态和动态内容。专用 IIS 服务器需要该组件
268
2693\. 将IIS目录&数据与系统磁盘分开,保存在专用磁盘空间内。
270
2714\. 在IIS管理器中删除必须之外的任何没有用到的映射(保留asp等必要映射即可)
272
2735\. 在IIS中将HTTP404 Object Not Found出错页面通过URL重定向到一个定制HTM文件
274
2756\. Web站点权限设定(建议)
276
277Web 站点权限:
278
279授予的权限:
280
281读
282
283允许
284
285写
286
287不允许
288
289脚本源访问
290
291不允许
292
293目录浏览
294
295建议关闭
296
297日志访问
298
299建议关闭
300
301索引资源
302
303建议关闭
304
305执行
306
307推荐选择 "仅限于脚本"
308
3097\. 建议使用W3C扩充日志文件格式,每天记录客户IP地址,用户名,服务器端口,方法,URI字根,HTTP状态,用户代理,而且每天均要审查日志。(最好不要使用缺省的目录,建议更换一个记日志的路径,同时设置日志的访问权限,只允许管理员和system为Full Control)。
310
3118\. 程序安全:
312
3131) 涉及用户名与口令的程序最好封装在服务器端,尽量少的在ASP文件里出现,涉及到与数据库连接地用户名与口令应给予最小的权限;
314
3152) 需要经过验证的ASP页面,可跟踪上一个页面的文件名,只有从上一页面转进来的会话才能读取这个页面。
316
3173) 防止ASP主页.inc文件泄露问题;
318
3194) 防止UE等编辑器生成some.asp.bak文件泄露问题。
320
321安全更新
322
323应用所需的所有 Service Pack 和 定期手动更新补丁。
324
325安装和配置防病毒保护
326
327推荐NAV 8.1以上版本病毒防火墙(配置为至少每周自动升级一次)。
328
329安装和配置防火墙保护
330
331推荐最新版BlackICE Server Protection防火墙(配置简单,比较实用)
332
333监视解决方案
334
335根据要求安装和配置 MOM代理或类似的监视解决方案。
336
337加强数据备份
338
339Web数据定时做备份,保证在出现问题后可以恢复到最近的状态。
340
341考虑实施 IPSec 筛选器
342
343用 IPSec 过滤器阻断端口
344
345Internet 协议安全性 (IPSec) 过滤器可为增强服务器所需要的安全级别提供有效的方法。本指南推荐在指南中定义的高安全性环境中使用该选项,以便进一步减少服务器的受攻击面。
346
347有关使用 IPSec 过滤器的详细信息,请参阅模块其他成员服务器强化过程。
348
349下表列出在本指南定义的高级安全性环境下可在 IIS 服务器上创建的所有 IPSec 过滤器。
350
351服务
352
353协议
354
355源端口
356
357目标端口
358
359源地址
360
361目标地址
362
363操作
364
365镜像
366
367Terminal Services
368
369TCP
370
371所有
372
3733389
374
375所有
376
377ME
378
379允许
380
381是
382
383HTTP Server
384
385TCP
386
387所有
388
38980
390
391所有
392
393ME
394
395允许
396
397是
398
399HTTPS Server
400
401TCP
402
403所有
404
405443
406
407所有
408
409ME
410
411允许
412
413是
414
415在实施上表所列举的规则时,应当对它们都进行镜像处理。这样可以确保任何进入服务器的网络通信也可以返回到源服务器。
416
417SQL服务器安全加固
418
419步骤
420
421说明
422
423MDAC 升级
424
425安装最新的MDAC( http://www.microsoft.com/data/download.htm )
426
427密码策略
428
429由于SQL Server不能更改sa用户名称,也不能删除这个超级用户,所以,我们必须对这个帐号进行最强的保护,当然,包括使用一个非常强壮的密码,最好不要在数据库应用中使用sa帐号。新建立一个拥有与sa一样权限的超级用户来管理数据库。同时养成定期修改密码的好习惯。数据库管理员应该定期查看是否有不符合密码要求的帐号。比如使用下面的SQL语句:
430
431Use master
432
433select name,Password from syslogins where password is null
434
435数据库日志的记录
436
437核数据库登录事件的"失败和成功",在实例属性中选择"安全性",将其中的审核级别选定为全部,这样在数据库系统和操作系统日志里面,就详细记录了所有帐号的登录事件。
438
439管理扩展存储过程
440
441xp_cmdshell是进入操作系统的最佳捷径,是数据库留给操作系统的一个大后门。请把它去掉。使用这个SQL语句:
442
443use master
444
445sp_dropextendedproc ’xp_cmdshell’
446
447如果你需要这个存储过程,请用这个语句也可以恢复过来。
448
449sp_addextendedproc ’xp_cmdshell’, ’xpsql70.dll’
450
451OLE自动存储过程(会造成管理器中的某些特征不能使用),这些过程包括如下(不需要可以全部去掉:
452
453Sp_OAcreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
454
455Sp_OAMethod Sp_OASetProperty Sp_OAStop
456
457去掉不需要的注册表访问的存储过程,注册表存储过程甚至能够读出操作系统管理员的密码来,如下:
458
459Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues
460
461Xp_regread Xp_regremovemultistring Xp_regwrite
462
463防TCP/IP端口探测
464
465在实例属性中选择TCP/IP协议的属性。选择隐藏 SQL Server 实例。
466
467请在上一步配置的基础上,更改原默认的1433端口。
468
469在IPSec过滤拒绝掉1434端口的UDP通讯,可以尽可能地隐藏你的SQL Server。
470
471对网络连接进行IP限制
472
473使用操作系统自己的IPSec可以实现IP数据包的安全性。请对IP连接进行限制,保证只有自己的IP能够访问,拒绝其他IP进行的端口连接。
474
475附:Win2003系统建议禁用服务列表
476
477名 称
478
479服务名
480
481建议设置
482
483自动更新
484
485wuauserv
486
487禁用
488
489Background Intelligent Transfer Service
490
491BITS
492
493禁用
494
495Computer Browser
496
497Browser
498
499禁用
500
501DHCP Client Dhcp
502
503禁用
504
505NTLM Security Support Provider NtLmSsp
506
507禁用
508
509Network Location Awareness
510
511NLA
512
513禁用
514
515Performance Logs and Alerts SysmonLog
516
517禁用
518
519Remote Administration Service SrvcSurg
520
521禁用
522
523Remote Registry Service RemoteRegistry
524
525禁用
526
527Server lanmanserver
528
529禁用
530
531TCP/IP NetBIOS Helper Service LmHosts
532
533禁用
534
535DHCP Client Dhcp
536
537禁用
538
539NTLM Security Support Provider NtLmSsp
540
541禁用
542
543Terminal Services
544
545TermService
546
547禁用
548
549Windows Installer MSIServer
550
551禁用
552
553Windows Management Instrumentation Driver Extensions Wmi
554
555禁用
556
557WMI Performance Adapter WMIApSrv
558
559禁用
560
561Error Reporting
562
563ErrRep
564
565禁用</systemroot>