作者:下巴 发表时间:2005-1-19
系统安全配置手册
●安装时网络处于断开状态。
● 格式采用NTFS格式,系统盘3个分区:①C:系统区15G,②D:IIS文件区 50G③E:应用程序分区,
负载数据磁盘分区为x,y,z,放检索数据。
●安装中不选取安装IIS,在系统安装完成后选择非系统区归装,只加载WEB服务。
方法:控制面板à添加/删除程序à添加/删除WIN组件àIIS-详细信息
●补丁安装,须在各种应用程序安配置(如IIS)完成后安装:
方法:SP4可拷至主机上安装,其它更新请于在线更新系统补丁
网址为:http://windowsupdate.Microsoft.com
或如下命令:%SystemRoot%\system32\wupdmgr 。
四、 系统安装后的安全配置:
1、 禁用GUEST组帐号和修改Administrator的用户名及密码(复杂性)。
方法:控制面板à管理工具à计算机管理à本地用户和组
2、 新建名为administrator的用户,空权限,14位复杂密码,从user组删除。
3、 安全日志和帐户审核策略:
方法:开始à程序à管理工具à本地安全策略à审核策略à
账户管理→成功 失败 登录事件→成功 失败
对象访问→失败 策略更改→成功 失败
特权使用→失败 系统事件→成功 失败
目录服务访问→失败 账户登录事件→成功 失败
方法:帐户策略à密码策略à
密码复杂性要求 启用 密码长度最小值 6位
强制密码历史 5次
方法:账户策略→账户锁定策略→
账户锁定 3次错误登录 锁定时间 30分钟
复位锁定计数 20分钟
4、外网网卡属性àTCP/IP 属性à配置ip ,高级à‘选项’ TCP/IP筛选à
TCP端口 只允许(80、7097、5631);UDP端口 全部允许;IP 协议 只允许(6,17)
重新启动系统激活网卡,以使设置生效。
5、IIS
●管理工具àIIS管理器à机器名à右健新建WEB站点àcnki_web。
●新建的站点à属性àWWW服务 编辑à主目录 配置à更改主目录于新站点路径,并设置相应权限。
●新建的站点à属性àWWW服务编辑à主目录 配置à应用程序映射,只保留.asp和.asa,在应用程序调试书签内将脚本错误信息改为文本发送。
●新建的站点à删除SCRIPTS等虚拟目录。为IIS文件分类设置权限BIN目录为执行许可权限、STATIC目录为读权限。
●新建的站点à属性à备份 将设置备份起来,以备重设时恢复。并设置好文件权限。
五、1).禁止系统缺省共享,添加下列值到注册表(regedit):
禁止C$、D$一类的缺省共享 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters \AutoShareServer、REG_DWORD、0x0
禁止ADMIN$缺省共享 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\AutoShareWks、REG_DWORD、0x0
2). 禁止对公共的LSA(Local Security Authority)信息的访问,将下列值添加到注册表中: HKEY_LOCAL_MACHINE\SYSTEM\CurrentcontrolSet\Control\LSA\RestrictAnonymous 类型为REG-WORD,值为1
六、●安装并运行防病毒软件,在线升级病毒库。
●安装相关必须软件如winzip,pcanywhere等。安全前确保防毒软件已激活,安装软件非临时或试用版,安装分区为E盘。关闭软件自动更新,禁止非控制自动连接网络。
●组策略设置只有本地户设置才能应用CD-ROM、软驱等。
七、禁用下列系统服务。 ( 控制面板à管理工具à计算机管理à服务 )
服务名称 描 述 配置
Automatic updates 自动更新系统 禁用
Computer Browser 维护网络上计算机的最新列表以及提供这个列表给请求的程序。 手动
DHCP Client 通过注册和更改 IP地址以及 DNS名称来管理网络配置。 禁用
DNS Client 解析和缓冲域名系统 (DNS) 名称。 手动
Fax Service 帮助您发送和接收传真 禁用
Messenger 发送和接收系统管理员或者“警报器”服务传递的消息。 禁用
Plug and Play 管理设备安装以及配置,并且通知程序关于设备更改的情况。 手动
Print Spooler 将文件加载到内存中以便迟后打印。 禁用
Remote Registry Service 允许远程注册表操作。 禁用
RunAs Service 在不同凭据下启用启动过程 手动
Smart Card 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。 禁用
Task Scheduler 允许程序在指定时间运行。 禁用
TCP/IP NetBIOS Helper Service 允许对“TCP/IP 上 NetBIOS”服务以及 NetBIOS 名称解析的支持。 禁用
Telnet 允许远程用户登录到系统并且使用命令行运行控制台程序。 禁用
Windows Installer 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。 手动
八、在注册表中修改防止Dos攻击:
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改以下值
SynAttackProtect REG_DWORD 2
EnablePMTUDiscovery REG_DWORD 2
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
九、●在组策略中禁止139空连接:
组策略à计算机配置àWINDOWS设置à安全选取项中匿名连接的额外项除外先第二项便可。
● 禁止dump file的产生
方法:控制面板à系统属性à高级à启动和故障恢复 “写入调试信息” 改成无。
● 关机时清除掉页面文件
方法:HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\MemoryManagement
把ClearPageFileAtShutdown的值设置成1。
● 关闭DirectDraw这是C2级安全标准对视频卡和内存的要求。
方法:HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI 的Timeout(REG_DWORD)为 0
十、IPSEC使用(应配合TCP/IP的使用):
在本地安全策略中àIP安全策略à右键à管理IP筛选器和列表新建并在操作中做出规则à创建IP安全策略中引用并指派7097,1818等端口策略。
十一、禁用TCP/IP协议中的NETBIOS
方法:网卡属性àTCP/IP 属性à高级àWINS
十二、安全工具:
●常见端口的了解: \winnt\system32\drivers\etc\protcol services
●IIS Lock down TOOL 和URLScan TOOL两个保护IIS的工具
www.microsoft.com/downloads/release.acp? ReleaseID=43955
www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/tools/urlscan.asp
