最系统最全面windows安全配置.docx

最系统最全面windows安全配置.docx

《最系统最全面windows安全配置.docx》由会员分享，可在线阅读，更多相关《最系统最全面windows安全配置.docx（24页珍藏版）》请在冰豆网上搜索。

最系统最全面windows安全配置

服务器系统环境配置操作手册V1.14

编制说明及要求：

编制本手册，是为了将运维的工作标准化、制度化，彻底避免操作层面上的错误以及人为的失误对业务正常运行的影响。

将本操作流程作为操作的标准严格执行，要细化到对操作系统有简单了解但不是专业技术人员可以按照执行的程度。

本手册根据Windows2003、IIS、SQLServer2000环境编写，有新的系统及应用环境时应及时补充和修改本手册。

如需对本手册修改，须经部门经理批准。

操作系统安装流程：

1．备份数据到移动硬盘或其他服务器上

2．断网

3．服务器接软驱，将RAID驱动盘放入软驱

SCSIRAID卡驱动光盘路径：

IntelSRCZCRX:

2000X:

\Drivers\Windows\Win2000

2003X:

\Drivers\Windows\Win2003

Adaptec2010S:

2000X:

\PACKAGES\WIN_2000\DRIVER

Intel7520:

2000X:

\Drivers\SATARAID\Windows

Intel7501:

2000X:

\...\ADPT_win_HostRAID_1.02.63_Alertutility.exe

使用光盘新建raid驱动软盘的方法：

将以上路径下文件直接copy至软盘。

注：

各服务器RAID卡类型见机历本。

这一步可以不做.

4．设置光盘启动，将win2003安装光盘放入光驱启动

5．按F6进入RAID驱动安装界面，然后按S，然后回车

这一步可以不做.

6．格式化C盘为NTFS格式，开始安装系统

C盘大小划分为10GB。

7．选择需要安装的组件和服务，安装时只选择需要的最小的安装

不要安装IndexingService（索引服务）

安装IIS时只安装：

Internet服务管理器、WordWideWeb服务器、公用文件

注意要安装.NET组件。

并且不要安装2.0版本.

设置administrator初始密码为：

topsun

按照命名规范设置机器名，记录于机历本，机器名与机器ID对应。

机器名命名规范举例：

DX-WEB01/DX-WEB02/DX-DB01/DX-MAIL01

8．安装硬件驱动程序

应首先安装主板芯片组驱动程序，安装完毕重新启动后再安装其他设备（raid卡、scsi卡、热插拔背板）驱动程序。

9．安装基本组件和补丁

注意安装顺序：

Windows2003R2----WindowsScript5.6forwindows2003（下载地址:

\SOFTWARE\Microsoft\DataAccess，查看“Version”和“FullInstallVer”的键值即是此版本）----

安装SQLServer后需要再安装SQLServerSP4补丁。

将Windows2003Server安装光盘中I386目录拷贝至BAK分区中，有时远程修改系统配置时需要使用I386目录中文件。

如果是SQL服务器，则将SQLServer光盘完全拷贝至BAK分区中。

注：

每安装一组驱动，系统提示重新启动时都应重新启动。

10．连网使用update

有些补丁可能因为软件冲突或不兼容等原因不能打，要列出这些补丁，安装时注意。

联网时DNS服务器地址必须将首选和备用都写上。

电信通首选DNS：

211.147.6.3，备用DNS：

211.147.6.4，网关211.154.164.1，子网掩码255.255.255.128。

电信首选DNS：

202.106.0.20，备用DNS：

211.100.2.155，网关211.100.6.142，子网掩码255.255.255.192。

11.其他设置

磁盘卷标：

在本步骤要为每个磁盘加上卷标，注明主要应用。

系统盘为SYSTEM、工具安装盘为TOOL、备份数据存放盘为BAK、站点存放盘为IIS、站点日志存放盘为IIS_LOG、数据库数据存放盘为SQL、数据库备份存放盘为SQL_BAK、数据库日志存放盘为SQL_LOG等等。

注：

数据库数据文件和日志文件都分别使用独立的分区，分区簇大小设置为64K。

网络连接：

外网连接重命名为：

Internet；内网网卡重命名为：

LAN。

启动远程桌面:

右击我的电脑—属性—远程—在起用这台计算机的远程桌面”项上打勾。

12．安装一键Ghost

修改C:

\boot.ini文件，将操作系统启动选择菜单显示时间改为3秒。

注：

内存过大或有问题时可能无法使用Ghost，需更换内存或调整内存大小。

13．第一次Ghost

Ghost完毕后，要将Ghost文件名和当时系统登陆帐号密码及时记录于机历本。

Ghost文件命名规则：

计算机名+01或计算机名+02，其中01代表第一次Ghost，02代表第二次Ghost。

Ghost文件存放在BAK盘上，并刻盘备份。

14．操作系统高级安全配置

（详见下面“服务器系统安全配置”）

部分安全配置项目可使用脚本自动设置，后面部分有标明[脚本]字样。

15．安装服务器应用软件（注意安装顺序）

安装ISM

安装范围：

只适用于intel主板服务器。

配置方法：

需SNMP（简单网络管理）协议支持，浏览器要求在IE6.0以上版本，需要安装IIS服务。

首先使用主板驱动光盘引导修改部分配置，然后进入系统安装。

磁盘阵列监控软件

安装范围：

所有服务器。

配置方法：

将使用的各种RAID卡管理软件安装光盘和路径写在这里即可。

注：

对于IntelSRCZCRX阵列卡要将监控软件管理密码记录下来。

安装好后将磁盘属性改为：

读优先

Pcanywhere

安装范围：

所有服务器。

配置方法：

删除pcanywhere默认安装的被控端；修改被控端的端口；设定被控端采用pcanywhere加密级别并拒绝低级别加密的连接；设定pcanywhere连接帐号密码；设定不活动10分钟后断开连接；设定使登陆密码区分大小写。

更改服务端口为7004,7005.更改的方法为修改注册表。

[HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\pcAnywhere\CurrentVersion\System]

"TCPIPDataPort"=dword:

7004（十进制）

"TCPIPStatusPort"=dword:

7005（十进制）

卡巴斯基防毒

安装范围：

所有服务器。

配置方法：

详见《卡巴斯基安装配置方法》

Winrar

安装范围：

除数据库外的其它服务器。

配置方法：

不需配置。

安盟ACEServer

安装范围：

安盟认证服务器和备用认证服务器。

配置方法：

一、

修改x:

\windows\system32\drivers\etc\hosts文件添加IP对应主机名地址如：

xxx.xxx.xxx.xxxhostname--（填写服务端ip）

…………

…………

二、安装认证服务器

安装------安盟认证服务器V5.0.4中文版------中途需指定LICENSE所在目录，安装完毕后重新启动。

三、配置代理主机

开始菜单—程序---安盟认证服务器---选中“数据库管理-本地模式”

菜单上选择：

代理主机----添加代理主机：

主机名：

填写需要作代理主机的完整机器名

网络地址：

填写IP

代理类型：

选择“网络操作系统代理”

激活用户里：

选择你允许登陆这台代理主机的用户名。

配置认证服务器：

选择你代理主机认证的服务器。

最后在“代理主机”菜单，选择生成配置文件。

四、配置令牌

令牌菜单---导入令牌即可。

五、配置用户

选择添加用户-

用户名：

填写安盟登陆时的用户名。

分配令牌，选则给此用户邦定的令牌号。

激活代理主机：

分配此令牌可以登陆的服务器

安盟备用ACEServer

安装配置方法见文档《安盟备份服务器（NT）安装向导.doc》。

安盟ACEAgent

安装范围：

所有服务器。

配置方法：

安装agent

在控制面板—安盟ace/agentwindows版—本地：

认证保护：

所有用户

启用屏幕保护：

锁定后下次登陆需要再次验证.选中。

预留口令：

假如令牌丢失或认证服务器失败，可以用预留口令登陆。

高级选项里添上认证服务器的IP地址就可以了。

安盟web客户端

安装范围：

仅用于安全性要求高的web服务器，如天天在线和天天网店各分站后台。

配置方法：

IISlockd[

安装范围：

所有web服务器。

（在2003下面，不需要安装）

配置方法：

在以下地址下载iislockdown.exe

解压：

iislockd.exe/q/c/t:

d:

\IISLockdown

安装：

进入c:

\IISLockdown运行iislockd.exe选择同意－下一步－模板选择（DynamicWebserver）-下一步－在InstallURLScanfilterontheserver选对钩－直接完成即可。

修改配置：

进入C:

\WINDOWS\system32\inetsrv\urlscan，编辑：

urlscan.ini文件。

[AllowExtensions]

这里是允许的扩展名

[DenyExtensions]

此处是拒绝的扩展名

[DenyUrlSequences]

此处时拒绝的符号

URLScan

这里主要是通过URLSCAN.来过滤一些非法请求

对应措施:

过滤相应包

我们通过安全URLSCAN并且设置urlscan.ini中的DenyExtensions字段

来阻止特定结尾的文件的执行

安装URLSCAN

在[DenyExtensions]中

一般加入以下内容

.cer

.cdx

.mdb

.bat

.cmd

.com

.htw  

.ida  

.idq  

.htr  

.idc  

.shtm

.shtml

.stm  

.printer

.config

.udl

这样入侵者就无法下载.mdb数据库.这种方法比外面一些在文件头加入特殊字符的方法更加彻底.

因为即便文件头加入特殊字符.还是可以通过编码构造出来的

对URLScan.ini文件做了更改后，需要重启IIS服务才能生效，快速方法运行中输入iisreset

双机热备软件

安装范围：

使用双机热备的服务器。

Imail

安装范围：

电子邮件服务器。

配置方法：

站点镜像更新软件

安装范围：

所有web服务器。

16．配置应用环境

配置天天在线及各分站、配置直储系统、配置软密保系统、配置天天网店及各分站，配置方法见各系统的配置文档。

（天天在线与天天网店都需要配置加密证书）

配置定时备份和重起，直储服务器每日4次定时重起，其他服务器每日凌晨3点重起。

注：

.net站点需首先配置.net运行环境。

17．第二次Ghost

操作方法见压缩包vfloopy.rar

完毕后要设置为在远程能够直接操作恢复到某个Ghost状态的方式，以便在出现系统蠕虫感染等紧急情况时能够在第一时间采取有效措施控制事态。

今后随时对系统有了大的改动设置或安装新软件都要重新做一个新版本的Ghost，将新Ghost文件名和当时系统帐号密码记录与机历本。

每个版本的Ghost要保证光盘刻录和硬盘备份，光盘上标明是哪台服务器第几次的Ghost，硬盘备份存放在运维维护机器上。

18.生成系统最初状态脚本

将生成的两个系统状态文件保存到笔记本、优盘或移动硬盘中。

脚本禁止在服务器本地磁盘中保存。

19．离开机房前必做的检查：

所有安全配置和应用配置是否做完，所有密码是否健壮。

检查光盘和软盘从光驱、软驱中拿出来。

检查所有服务器的网线、电源线是否连接好。

检查每一台受影响的服务器上业务运行状态，确保每一项都没有问题后再离开机房，与公司值班的技术人员确认所有业务均正常运行后方可离开。

服务器系统安全配置：

1．关闭默认的磁盘共享，修改组或用户对磁盘的控制权限。

安装完成后，默认是共享了所有硬盘分区的，还包括提供远程IPC和远程管理的两个共享：

IPC$和ADMIN$，解决这个问题的办法：

从“计算机管理”里打开“服务”（或者在运行里键入Services.msc回车），在里面找到Server服务，双击打开其属性，并设置为“禁用”即可。

Server服务是系统默认的和共享有关的服务，支持计算机通过网络的文件、打印和命名管道共享，禁用此服务后，一切基于此服务的其他服务也同时被禁止，包括ComputerBrowser和DistributedFileSysetm两个服务。

前一个服务是WindowsServer2003的新服务，利用它可以把分散的共享合并成一个逻辑名称空间并在网络上管理这些逻辑卷，这能大大方便用户使用和管理那些分散的共享。

后一个服务用来维护网络上计算机的更新列表，并将列表提供给计算机指定浏览，如果停止此服务，则列表就不会被更新或维护。

当禁用Server服务后，这两个服务就不能使用。

另外，默认Everyone组用户对所有共享拥有完全的控制权，解决的办法：

修改共享的安全属性，删除Everyone组或修改其访问权限即可。

修改组或用户的访问权限，达到需要的安全要求。

1.1、磁盘使用NTFS格式分区

磁盘权限设定的前提要求分区格式为NTFS,初始安装操作系统时应直接把分区格式化为NTFS分区。

也可以通过命令行转换,其步骤如下:

（会提示下次重启时转换）

cmd打开命令行,输入convertX:

/fs:

ntfs回车即可.

1.2、磁盘权限设置

首先修改各驱动器的权限为Administrators组和SYSTEM组完全控制，并允许可继承权限，然后再进行下面的权限设置。

1.3、目录权限设置

系统安装盘下ProgramFiles\CommonFiles允许IUSR_机器名读取，列出文件夹目录，读取及运行。

winnt\temp允许IUSR_机器名读取，列出文件夹目录，写入。

winnt\system32允许IUSR_机器名读取，列出文件夹目录，读取及运行（系统提示会降低安全性）。

其他的所有系统盘目录只允许system和administrators组完全控制，其余帐户无任何权限。

系统盘和IIS盘要有USERS组的权限。

IIS盘要有ASPNET用户的权限。

[脚本]最后，对winnt\system32目录下的下列文件需做特殊设置，只允许system和administrators组完全控制，其余帐户无任何权限。

文件列表如下：

排序总结：

arp.exe

netstat.exe

route.exe

at.exe

edlin.exe

Nslookup.exe

Rsh.exe

atsvc.exe

Finger.exe

ping.exe

runonce.exe

cacls.exe

ftp.exe

posix.exe

telnet.exe

cmd.exe

ipconfig.exe

rcp.exe

tftp.exe

nbtstat.exe

regedit.exe

Tracert.exe

cscript.exe

net.exe

regedt32.exe

wscript.exe

debug.exe

net1.exe

Rexec.exe

xcopy.exe

注：

以上操作可以限制对危险目录以及危险文件的访问。

但可能由于权限设置不当导致某些服务无法启动或者无法正常提供服务。

禁止system访问cmd.exe，可以防止部分溢出攻击。

7.修改CMD.EXE以及NET.EXE权限

将两个文件的权限.修改到特定管理员才能访问,比如本例中.我们如下修改

cmd.exe  root用户  所有权限

net.exe  root用户  所有权限

这样就能防止非法访问.

还可以使用例子中提供的comlog程序

将com.exe改名_com.exe,然后替换com文件.这样可以记录所有执行的命令行指令

A环境需要的权限配置：

1.备注：

只有在使用MicrosoftASP.NET时，才需要执行下列步骤。

请仔细检查这些步骤，确保它们不会破坏服务器的安全性。

2.为此，请单击配置ASPNET帐户：

1.打开%systemdrive%（通常为C:

\）并添加ASPNET帐户。

2.确保只选中列出文件夹内容。

3.单击高级，选择ASPNET帐户（它被列为aspnet_wp帐户MACHINE\ASPNET），然后单击查看/编辑。

4.在应用到下拉列表中，选择仅此文件夹，然后单击清除允许列下的所有复选框，但不清除列出文件夹/读取数据。

如果高级部分列出了ASPNET帐户的两个条目，则删除其中一个条目。

备注：

只有在IIS服务器上安装了MicrosoftFirewallClient时，才需要执行下列步骤。

3.为此，请单击打开ProgramFiles\MicrosoftFirewallClient文件夹的属性。

添加Everyone组，然后选择读取和执行、列出文件夹内容和读取。

虽然每个系统管理员可以根据各自的需求设置权限，但最好使用Everyone组，而不要只使用IUSR_MACHINE帐户。

实际上，如果只为IUSR_MACHINE帐户添加权限，ASP和ASP.NET将无法运行。

如果使用Everyone组，当Web站点对匿名用户和经过身份验证的用户都有高、中或低的保护级别设置时，ASP能够正常运行。

另外，如果只需要匿名访问，管理员可以创建InternetGuests本地组，然后将IUSR_MACHINE、IWAM_MACHINE和ASPNET添加到该组，将Everyone组替换为InternetGuests组。

不过，Everyone组包括Users组（对于经过身份验证的Web用户）、IUSR_MACHINE帐户（对于匿名HTM访问）、IWAM_MACHINE帐户（对于匿名ASP功能）以及ASPNET（对于ASP.NET功能）。

IIS5.0使用两个单独的帐户执行Web页。

使用匿名身份验证时，IIS使用IUSR_MACHINE帐户查看Web页。

不过，IWAM_MACHINE用于启动一个单独的进程，该进程称为Dllhost.exe，所有ActiveServerPages（ASP）、组件对象模型（COM）组件或其他ISAPI扩展（ASP被视为ISAPI扩展）都在该进程内运行。

这样做的目的主要是保持稳定。

如果从ASP页调用的自定义COM组件崩溃（也即，导致访问冲突，从而致使进程停止），它不会影响到Inetinfo.exe，因此Web服务将继续运行。

5.WEB目录权限

作为虚拟主机.会有许多独立客户

比较保险的做法就是为每个客户,建立一个windows用户

然后在IIS的响应的站点项内

把IIS执行的匿名用户.绑定成这个用户

并且把他指向的目录

权限变更为

administrators  全部权限

system  全部权限

单独建立的用户（或者IUSER）  选择高级->打开除完全控制,遍历文件夹/运行程序,取得所有权3个外的其他权限.

2．通过“软件限制策略”限制任意程序的使用。

从“管理工具”里打开“本地安全设置”，在左侧的窗口里，可以看见“软件限制策略”，打开后里面包含两个选项：

“安全级别”和“其他规则”，首先在“安全级别”里把“不允许的”设置为默认，再到“其他规则”里设置想运行的程序路径，并设置安全级别为“不受限的”。

这样，除了新规则规定的程序以外，其他一切程序都不能运行。

“软件限制策略”和权限没有关系，如果限制了某个程序不能执行，无论你以何身份身份来运行都会提示不能运行。

经过处理后的程序对远程登录的用户一样适用。

3．帐户安全

3.1安全的密码是保护系统的关键.

安全的密码应该是包含数字、字母和特殊字符的组合，密码长度至少为8位以上，（强密码）如：

AZ7i56jzm#$

3.2删除administrator用户

将administrator帐号改名，并修改密码为8位以上的强密码。

打开“管理工具”----“本地安全设置”，打开其“本地策略”中的“安全选项”，在最后面可以看到有一项帐户策略：

重命名系统管理员帐户。

双击此策略进入其属性即可修改。

创建一个新的超级管理员用户，作为备用管理帐号使用。

备用管理员帐号的密码位数应在15位以上。

再创建一个陷阱帐户administrator,将其加到无权组。

给其设置20位极其复杂的密码.

创建一个User账户，运行系统，如果要运行特权命令使用Runas命令。

3.3停用GUEST用户.并删除无用帐户

在用户管理中将Ghust账户禁用并改名，删除无用账户（除administrator、IUSR、IWAM、ASPNET）。

修改管理工具-本地安全策略-本地策略-用户权利指派，拒绝本地登陆和拒绝从网络访问这台计算机，为这两项添加Ghust用户。

除了管理员,IUSER以及IWAM以及ASPNET用户外.禁用其他一切用户.包括SQLDEBUG以及TERMINALUSER等等

3.4拒绝通过网络访问该计算机

拒绝通过网络访问该计算机（Support_388945a0；Guest）

4服务管理

4.1禁用不必要的服务:

[脚本]

　　禁用专用Web服务器不需要的Windows2000服务。

方法是：

单击开始，依次指向程序、管理工具，然后单击计算机管理。

在“计算机管理（本地）”下，展开“服务和应用程序”，然后单击服务。

当前所运行服务的状态列中显示已启动。

以下服务是专用Web及SQL服务器上不需要的：

　　警报器Alerter

　　剪贴簿ClipBook

　　计算机浏览器ComputerBrowser

　　DHCP客户端DHCPClient

DHCP服务器DHCPServer

DFS服务DistributedFileSystem

DLKS

用于局域网更新连接信息Distributedlinktrackingclient

发送错误报告Errorreportingservice

telnet服务和MicrosoftSerch用的NTLMSecuritysupportprovide

　　传真服务FaxService

文件复制FileReplication