03服务器系统安全加固建议Word文档格式.docx

03服务器系统安全加固建议Word文档格式.docx

《03服务器系统安全加固建议Word文档格式.docx》由会员分享，可在线阅读，更多相关《03服务器系统安全加固建议Word文档格式.docx（63页珍藏版）》请在冰豆网上搜索。

加固成果

升级后能避免攻击者利用微软已公布的漏洞进行攻击

加固具体方法

WindowsSP补丁（如WIN2000的SP3）包可以用介质升级；

最好选择可以恢复系统的安装方式

用户意见

用户管理员对本条风险加固的意见：

●同意

●需要修改（描述修改的意见）

●不同意（描述不同意的原因）

●签名（签字确认）

厂商意见

厂商维护人员对本条风险加固的意见：

最新的Hotfixs

是否已经安装了最新的Hotfixs

可能需要重新启动系统

WIN2000的HOTFIX可以直接点击开始菜单的WindowsUpdate，直接到升级，最好选择可以恢复系统的安装方式

.端口服务类

禁止Messenger服务

用于把Alerter服务器的消息发送给网络上的其它机器

风险低

将Messenger服务停止或者禁用

不会把Alerter服务器的消息发送给网络上的其它机器

1、打开控制面板->

管理工具->

服务窗口

2、查看Messenger服务是否已启动

3、将服务停止，将其启动类型由“自动”改为“手动”或者“禁用”。

禁止Telnet服务

该服务在缺省时被安装.用于基于命令行方式的远程管理,但是该协议在网络上一明文传输数据.

将Telnet服务停止或者禁用，如果需要进行命令行方式的远程管理,建议使用SSH来作为替代

避免入侵者通过监控Telnet协议端口获得敏感信息

2、查看Telnet服务是否已启动

3.系统参数类

3.1禁止自动登录

自动登录会把用户名和口令以明文的形式保存在注册表中，因此需要禁止自动登录

修改注册表相关键值来禁止自动登录

禁止了系统自动登录，避免其它用户从注册表中获得其它用户及其口令

1、运行中输入regedit

2、修改键值HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\AutoAdminLogon为（REG_DWORD）0

同意

需要修改（描述修改的意见）

不同意（描述不同意的原因）

签名（签字确认）

3.2禁止在蓝屏后自动启动机器

防止有恶意用户故意制造程序错误来重起机器以进行某些操作

修改注册表相关键值来禁止在蓝屏后自动启动机器

用户在输入口令时都会用星号遮掩

2、修改键值HKLM\System\CurrentControlSet\Control\CrashControl\AutoReboot为（REG_DWORD）0

3.3用星号掩藏任何的口令输入

输入口令时可能被他人看到

修改注册表相关键值来用星号掩藏任何的口令输入

2、修改键值HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Network\HideSharePwds为（REG_DWORD）1

3.4删除服务器上的管理员共享

每个WindowsNT/2000机器在安装后都缺省存在”管理员共享”,它们被限制只允许管理员使用,但是它们会在网络上以Admin$,c$等来暴露每个卷的根目录和%systemroot%目录

修改注册表相关键值来删除服务器上的管理员共享

如果在网络上使用管理员共享来进行远程备份,防病毒支持,或其它远程管理,将会使你的应用程序不工作.

无法利用admin$,c$等来访问网络windowsnt/2000机器的共享

2、修改键值HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer为（REG_DWORD）0

3.5防止计算机浏览器欺骗攻击

虽然建议终端用户关闭他们的计算机浏览服务,但是也可能不是每个用户都会去执行.该注册表选项在计算机浏览服务被允许时提供对该服务弱点的保护.更详细的信息可以在

风险中

修改注册表相关键值来防止计算机浏览器欺骗攻击

防止计算机浏览器欺骗攻击

2、修改键值HKLM\System\CurrentControlSet\Services\MrxSmb\Parameters\RefuseReset为（REG_DWORD）1

4.网络参数类

4.1防止碎片包攻击

帮助防止碎片包攻击

修改注册表相关键值来帮助防止碎片包攻击

能帮助防止碎片包攻击

2、修改键值HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscovery为（REG_DWORD）1

4.2keep-alive时间

Keep-alive时间被网络子系统用来判定一个TCP会话是否仍然有效.数值

修改注册表相关键值来设定keep-alive数值

能限定一个TCP会话的最大保持时间

2、修改键值HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\KeepAliveTime为（REG_DWORD）300000（300000表示5分钟）

4.3防止SYNFlood攻击

防止SYNFlood攻击

修改注册表相关键值来防止SYNFlood攻击

可以使系统限制在3方握手完成之前对资源的使用

2、修改键值HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect为（REG_DWORD）2

4.4SYN攻击保护-管理TCP半开sockets的最大数目

SYN攻击保护-管理TCP半开sockets的最大数目

修改管理TCP半开sockets的最大数目来增强SYN攻击保护

能增强系统受到SYN攻击的保护

2、修改键值HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpen为（REG_DWORD）100或500

4.5SYN攻击保护-管理已完成的TCP半开sockets的最大数量

SYN攻击保护-管理已完成的TCP半开sockets的最大数量

修改管理已完成的TCP半开sockets的最大数量

来增强SYN攻击保护

2、修改键值HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpenRetired为（REG_DWORD）80或400

5.用户管理、访问控制、审计功能类

5.1验证Passwd强度

验证系统已经存在的Passwd强度

核查具有空口令的用户和弱密码的用户，passwd强度来增强系统安全性

可能造成某些其他系统来使用弱口令登陆本系统用户来做同步备份或操作的脚本失效

增强用户密码的强度，大大降低用户密码被猜解的可能性

验证系统口令强度，对弱口令的用户重新做口令加固。

5.2密码长度

密码长度太短会造成很容易被猜解

●风险中

设定密码最低长度将能很好增强系统密码安全性

加固后能增强用户口令保护强度

●WIN2000系统，

1.运行secpol.msc命令

2.打开“本地安全设置”对话框，依次展开“帐户策略－密码策略”

3.查看是否具有设置

4.密码策略，密码长度大于8位、必须启用密码复杂性要求；

●WINNT系统

没有密码策略，提高安全意识，设置合理口令。

注意事项：

由于WINNT系统没有密码策略设置选项，管理员应重视手动增强WINNT系统的密码增强设置。

5.3密码使用时间

一个密码长时间使用会比较容易被猜解

设定密码最长使用时间将能很好增强系统密码安全性

WIN2000系统，

运行secpol.msc命令

打开“本地安全设置”对话框，依次展开“帐户策略－密码策略”

查看是否具有设置

密码策略，最短存留期大于5天、最长存留期小于90天

WINNT系统

5.4账号登录事件审计

修改账号登录事件审计

增强账号登录事件审计将能很好增强系统日志审核安全性

加固后能掌握更多日志信息便于系统安全审查

●WIN2000系统

1、运行中输入secpol.msc命令

2、打开“本地安全设置”对话框，依次展开“本地策略－审核策略”，是否具有审核策略；

2、修改审核策略如下：

审核帐户登录事件成功,失败

1、点击“开始->

程序->

事件查看器”，

2、选择“查看”菜单是否为“所有事件”。

WINNT没有此设置项，查看时通过选择“筛选事件”可以使管理更加关注系统的异常行为，管理员要密切关注登录事件的失败记录、特权使用的失败记录以及其他异常行为等。

例如C:

\WINNT\system32目录的安全审计。

5.5账号管理审计

修改账号管理审计

增强账号管理审计将能很好增强系统日志审核安全性

可以跟踪账号的创建,改名,用户组的创建和改名,账号口令的更改等.加固后能掌握更多日志信息便于系统安全审查

3、修改审核策略如下：

审核帐户管理成功,失败

5.6目录服务访问审计

修改目录服务访问审计

增强目录服务访问审计将能很好增强系统日志审核安全性

（仅域控制器才需要审计目录服务访问）

4、修改审核策略如下：

审核目录服务访问成功,失败

5.7登录事件审计

修改登录事件审计

增强登录事件审计将能很好增强系统日志审核安全性

5、修改审核策略如下：

审核登录事件成功,失败

5.8对象访问审计

修改对象访问审计

增强对象访问审计将能很好增强系统日志审核安全性

用于跟踪特定用户对特定文件的访问，加固后能掌握更多日志信息便于系统安全审查

6、修改审核策略如下：

审核对象访问失败

●需要修