发布日期:2015-10-08 11:41 来源: 标签: 系统维护 系统安全 Windows 2000操作系统 系统安全加固
本章节我们将学习Windows 2000操作系统安全加固实践,希望对大家有所帮助。

1补丁更新/系统升级

 Windows操作系统存在数目不小的安全问题和漏洞,并且不断地被发现和被人利用;所以由专人负责合法补丁的下载、记录、统计和管理工作、建立相应的补丁更新记录对系统的安全性是极其重要的。

 实施步骤:

Windows SP补丁包(如WIN2000的SP3)可以用独立的介质进行升级;也可以使用WINDOWS 2000的HOTFIX直接点击开始菜单的Windows Update,到 http://v4.windowsupdate.microsoft.com/zhcn/default.asp 进行升级。


最好选择可以恢复系统的安装方式。

 2修改系统根目录、系统目录权限

 实施步骤:

查看对各个重要的目录是否设置了访问控制列表。

对各个重要目录的访问控制列表的设置参考下表:

Path

ACLs

Admin

_istrator

CREATE

OWNER

Authentice

_ted Users

SYSTEM

SYSTEMO

PERATORS

Others

%system

drive%\

F

R

R

F

N/A

N/A


%system

drive%

\temp

F

F

F

F

N/A

N/A

%systemdrive%

\program files

F

R

R

F

N/A

N/A

%system

root%

F

F

R

F

N/A

N/A

%system

root%\repair

F

N/A

N/A

F

N/A

N/A

%systemroot%

\system32\config

F

F

L

F

N/A

N/A

%system

root%\system32\spool

F

F

C

F

N/A

N/A

%systemroot%\profiles

F

F

F

F

N/A

N/A

%systemdrive%\boot.ini

F

N/A

N/A

F

N/A

N/A

%systemdrive%\ntdetect.com

F

N/A

N/A

F

N/A

N/A

%systemdrive%\ntldr

F

N/A

N/A

F

N/A

N/A

%systemdrive%\autoexec.bat

F

N/A

R

F

N/A

N/A

%systemdrive%\config.sys

F

N/A

R

F

N/A

N/A

%systemroot%\poledit.exe

F

N/A

N/A

F

N/A

N/A

%systemroot%\regedit.exe

F

N/A

N/A

F

N/A

N/A

%systemroot%\system32\*.exe

F

N/A

N/A

F

N/A

N/A

注意:

重要目录不能对everyone开放,这样会带来很大的安全问题。对于某一具体系统要具体问题具体分析,尤其要注意对于应用系统的影响。

 3关闭不必要的服务

 实施步骤:

l WIN2000系统

1、打开 控制面板->管理工具->服务窗口

2、查看一些不必要的服务如Alerter、Remote Registry Service、Messenger、Task Scheduler是否已启动

3、将服务停止,或将其启动类型由“自动”改为“手动”或者“禁用”。


要注意服务间的依存关系,不要影响正常应用服务的启用。

 4删除不必要组件

实施步骤:

WIN2000系统

① 打开 控制面板->添加/删除程序窗口


② 查看是否存在Microsoft Index Server, FrontPage Server Extension, Accessories and utilities等程序。

③ 如果不需要某项程序,打开 控制面板->添加/删除程序->添加/删除WINDOWS组件将该组件卸载

不要删除正常应用的服务,以免影响正常应用

 5删除inetpub 目录下的IIS例子程序

IIS例子程序存在许多黑客熟知的漏洞,建议删除IIS例子程序。

 实施步骤:

① 查看c:\winnt\help\isshelp和winnt\system32\inetsrv\ iisadmin 、winnt\system32\inetsrv\iisadmpwd等目录是否存在。

② 删除IIS例子程序。

6禁止缺省的Web站点

IIS默认的管理WEB站点存在许多黑客熟知的漏洞,建议删除或者停止默认的管理WEB站点。

实施步骤:

① 打开 控制面板à管理工具àInternet服务管理器

② 查看IIS的默认的管理WEB站点是否没有删除、应用WEB站点的主目录是否在操作系统所在的分区上。

③ 删除IIS的默认管理WEB站点,也可以将它停止。将WEB主目录放置在单独的分区上,不要放置在操作系统分区上。


7优化TCP/IP

实施步骤:

① 查看网上邻居->属性->本地连接->属性->TCP/IP协议->高级TCP/IP设置中的选项,是否对TCP/IP筛选做了设置。


② 启用TCP/IP筛选器,根据业务需要将全部允许改为只允许指定端口可以访问。

 对于公用服务器不适宜做这样的设置,可以按业务类型限制端口,以免影响业务的正常进行。

 8重要命令访问权限控制

实施步骤:

 检测%systemroot%\system32\目录下的下列文件,确认其是否具有合适的访问权限。


② 创建称为 \CommonTools 的目录,然后将下列文件放在这一目录下,并对它们设置相应的 ACL 权限以便只有管理员对这些文件拥有全部权限。


确认只有管理员或者管理员指定的用户才具有对这些文件的完全访问权限。

9设置密码策略 

实施步骤:

WIN2000系统:

① 运行secpol.msc命令

② 打开“本地安全设置”对话框,依次展开“帐户策略-密码策略”

③ 查看是否具有设置

④ 密码策略,密码历史不小于5次、密码长度大于7位、最短存留期大于5天、最长存留期小于90天、必须启用密码复杂性要求;


10 添加安全审核

实施步骤:

WIN2000系统:

① 运行中输入secpol.msc命令

② 打开“本地安全设置”对话框,依次展开“本地策略-审核策略”,是否具有审核策略;

③ 修改审核策略如下

i. 审核策略更改 成功, 失败

ii. 审核登录事件 成功, 失败

iii. 审核对象访问 成功, 失败

iv. 审核过程追踪 失败

v. 审核目录服务访问 失败

vi. 审核特权使用 成功, 失败

vii. 审核系统事件 成功, 失败

viii. 审核帐户登录事件 成功, 失败

ix. 审核帐户管理 成功, 失败


11将超级管理员改名

实施步骤

① 运行输入secpol.msc,然后回车

② 打开“本地安全设置”对话框,依次展开“本地策略-安全选项 ”

③ 在重命名系统管理员帐户里修改超级管理员名称。建议再添加一个普通的administrator用户以迷惑入侵者。


注意:

重命名系统管理员帐户后,administrator将没有超级管理员权限,牢记修改后的超级管理员用户名。

 12 禁止缺省共享、空连接,管理共享 

具体实施步骤:

① 用命令“net share  driver$ /delete,”删除默认共享,并修改注册表取消默认共享和空连接

② 打开注册表编辑器。REGEDIT
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters 在右边建立一个名为AutoShareServer的DWORD键。值为0。如果你安装的是个人专业版的就建立一个名为AutoShareWks的DWORD键。值为0

③ 禁止空连接:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters的KeepAliveTime设置(推荐/双字节)为300000(5分钟)。


注意:

打开默认共享可以方便管理,但会带来安全问题。

 13修补IIS系统的unicode/ida/idq等重要漏洞

实施步骤:

① 升级IIS最新的安全补丁可以解决unicode漏洞。

② 删除扩展名为.ida/idq/.htw/.cer/ .cdx/ .htr/ .idc/ .shtm/ .shtml/ .stm/ .printer的脚本映射。

 注意:

unicode、.ida/idq漏洞是IIS的主要漏洞,应该予以修补。

 14 修改SNMPcommunity的值

实施步骤:

① 在计算机管理,在控制台树中,单击“服务和应用程序->服务”,

② 在详细信息窗格中,单击“SNMP 服务”,

③ 在“操作”菜单上,单击“属性”。

④ 缺省的SNMP口令(community strings)被设为"public"和"private。

 如果你不是绝对需要SNMP,关掉它。  


注意:

在必要的情况下可以添加其他团体和主机名;通过单击项,然后单击“编辑”可以对项进行改动,通过单击“删除”可以删除选定项;如果更改已有的 SNMP 设置,更改将立即生效,SNMP 服务不需要重新启动以使设置生效。

 15启动屏幕保护

实施步骤:

① 打开桌面属性,是否打开屏幕保护。

② 启动屏幕保护,屏保时间要设定(重要系统2分钟,一般系统10分钟),启动密码保护。


注意:养成离开机器即锁定屏幕的良好习惯,防止本地攻击者直接控制你的系统。

 16 禁用TCP/IP上的NetBios接口

实施步骤:

① 双击Internet 协议 (TCP/IP),点击“高级”打开WINS选项卡。

② 取消对启用LMHOSTS查询的选择,然后选择禁用TCP/IP上的NetBIOS。


注意:

停止掉TCP/IP NetBIOS Helper这个服务。

 17禁止guest帐号和一些无用帐号对所有卷的访问权限

实施步骤:

① 查看系统或者别的重要分区的属性,是否everyone具有安全控制权限。

② 将everyone可以执行的权限分配删除,合理分配用户的权限。


注意:

有的目录在进行权限分配后会影响系统的正常运行,在进行权限时一定要慎重。

 18设置日志记录

实施步骤:

① 打开 控制面板->管理工具->计算机管理 窗口

② 查看 系统工具->事件查看器 里面的属性

③ 将日志文件的大小改为30MB(根据系统空间情况),覆盖周期从7天改为30天



相关评论

专题信息
    对系统进行安全加固的目的是通过深入了解系统的设计模型、当前的安全运行状况、曾经发生的安全事件、系统使用的安全策略,提出能够提高系统安全防御水平的加固建议。本教程就将讲解常用应用系统安全加固方法。