加固NT和IIS的安全(下)
发表于:2007-05-25来源:作者:点击数:
标签:
三、运行bastion.inf加固脚本 下载最新的bastioninf.zip,解压后运行如下命令: secedit /configure /cfg bastion.inf /db %temp%\secedit.sdb /verbose /log %temp%\seclog.txt 这个安全策略脚本在系统中做了如下改动: 1.设定如下的密码策略: 密码唯一性
三、运行bastion.inf加固脚本 下载最新的bastioninf.zip,解压后运行如下命令:
secedit /configure /cfg bastion.inf /db %temp%\secedit.sdb /verbose /log %temp%\seclog.txt
这个安全策略脚本在系统中做了如下改动:
1.设定如下的密码策略:密码唯一性:记录上次的 6 个密码
最短密码期限:2
密码最长期限:42
最短密码长度:10
密码复杂化(passfilt.dll):启用
用户必须登录方能更改密码:启用
帐号失败登录锁定的门限:5
锁定后重新启用的时间间隔:720分钟
2.审计策略:审核如下的事件:
用户和组管理 成功:失败
登录和注销 成功:失败
文件及对象访问 失败
更改安全规则 成功: 失败
用户权限的使用 失败
系统事件 成功: 失败
3.用户权限分配:从网络中访问这台计算机:No one
将工作站添加到域:No one
备份文件和目录:Administrators
更改系统时间:Administrators
强制从远程系统关机:No one
加载和下载设备驱动程序:Administrators
本地登录:Administrators
管理审核和安全日志:Administrators
恢复文件和目录:Administrators
关闭系统:Administrators
获得文件或对象的所属权:Administrators
忽略遍历检查(高级权力):Everyone
作为服务登录(高级权力):No one
内存中锁定页:No one
替换进程级记号:No one
产生安全审核:No one
创建页面文件:Administrators
配置系统
性能:No one
创建记号对象:No one
调试程序:No one
增加进度优先级:Administrators
添加配额:Administrators
配置单一进程:Administrators
修改固件环境值:Administrators
生成系统策略: Administrators
以批处理作业登录:No one
4.事件查看器设置:应用程序、系统和安全的日志空间都设为100MB
事件日志覆盖方式为:覆盖30天以前的日志
禁止匿名用户查看日志
5.注册表的值KEY Type Value
MACHINE\SOFTWARE\Microsoft\DataFactory\HandlerInfo\
HandlerRequired REG_DWORD 1
MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem\
NtfsDisable8dot3NameCreation REG_DWORD 1
MACHINE\Software\Microsoft\
WindowsNT\Version\Winlogon\AllocateCDRoms REG_SZ 1
MACHINE\System\CurrentControlSet\Control\Lsa\AuditBaseObjects
REG_DWORD 1
MACHINE\System\CurrentControlSet\Control\Lsa\Su
MACHINE\System\CurrentControlSet\Control\Print\Providers\LanMan
PrintServices\AddPrintDrivers REG_DWORD 1
MACHINE\System\CurrentControlSet\Services\Rdr\
Parameters\EnablePlainTextPassword REG_DWORD 0
MACHINE\System\CurrentControlSet\Services\LanManServer\
Parameters\AutoDisconnect REG_DWORD 15
MACHINE\System\CurrentControlSet\Services\LanManServer\
Parameters\AutoShareWks REG_DWORD 0
MACHINE\System\CurrentControlSet\Services\LanManServer\
Parameters\AutoShareServer REG_DWORD 0
MACHINE\System\CurrentControlSet\Services\LanManServer\
Parameters\EnableForcedLogOff REG_DWORD 1
MACHINE\System\CurrentControlSet\Services\LanManServer\
Parameters\RequireSecuritySignature REG_DWORD 1
MACHINE\System\CurrentControlSet\Services\LanManServer\
Parameters\EnableSecuritySignature REG_DWORD 1
MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\
RequireSecuritySignature REG_DWORD 1
MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\
EnableSecuritySignature REG_DWORD 1
MACHINE\System\CurrentControlSet\Services\Netlogon\
Parameters\RequireSignOrSeal REG_DWORD 1
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\
SealSecureChannel REG_DWORD 1
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\
SignSecureChannel REG_DWORD 1
MACHINE\System\CurrentControlSet\Control\Lsa\ RestrictAnonymous
REG_DWORD 1
MACHINE\System\CurrentControlSet\Control\Session Manager\
ProtectionMode REG_DWORD 1
MACHINE\System\CurrentControlSet\Control\Lsa\ LmCompatibilityLevel
REG_DWORD 2
MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\LegalNoticeText REG_SZ This is a
private system. Unauthorized use is prohibited.
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Winlogon\LegalNoticeCaption REG_SZ CISD
MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\DontDisplayLastUserName REG_SZ 1
MACHINE\System\CurrentControlSet\Control\Lsa\CrashOnAuditFail
REG_DWORD 1
MACHINE\System\CurrentControlSet\Control\Session Manager\Memory
Management\ClearPageFileAtShutdown REG_DWORD 1
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Winlogon\CachedLogonsCount REG_SZ 0
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Winlogon\AllocateFloppies REG_SZ 1
MACHINE\Software\Microsoft\Windows NT\Current bmitControl
REG_DWORD 0
MACHINE\System\CurrentControlSet\Control\Lsa\
FullPrivilegeAuditing REG_BINARY 1
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Winlogon\ShutdownWithoutLogon REG_SZ 1
6.文件系统和注册表存取控制:详见bastion.inf
7.管理员帐号:bastion.inf将Administrator改名为root,可以按照自己的需要更改这个名字,并使用强壮的密码
四、可选的注册表设置1.删除 OS/2 和 POSIX 子系统: 删除如下目录的任何键:
HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\OS/2 Subsystem for NT
删除如下的键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment\Os2LibPath
删除如下的键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
Manager\SubSystems\Optional
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
Manager\SubSystems\Posix
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
Manager\SubSystems\Os2
删除如下目录:
c:\winnt\system32\os2
2.除去RDS漏洞:删除如下的注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\
Parameters\ADCLaunch\RDSServer.DataFactory
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\
Parameters\ADCLaunch\AdvancedDataFactory
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\
Parameters\ADCLaunch\VbBusObj.VbBusObjCls
3.从网络服务中删除不必要的服务:删除:Netb
ios接口,计算机浏览器,
服务器,工作站
保留:RPC配置
五、保护许可 1. 保护Inte.net Guest 用户帐号: 在用户管理器中,将Internet Guest 帐号改为晦涩的名字,并使用强壮的密码禁止guest帐号。
将改名后的Internet Guest 帐号从组“guests”中删除。
设置改名后的Internet Guest 帐号对所有卷的访问为“No A
clearcase/" target="_blank" >ccess”,为了保证IIS的正常运行,必须赋予改名后的Internet Guest 帐号对以下目录的读取权限:
默认路径 环境变量
c:\ %SystemDrive%
c:\winnt %SystemRoot%
d:\InetPub\wwwroot 你的IIS根目录
注意:在设置以上目录的权限时,不要选择替换子目录的权限!!
2. 锁住组“Users”: 设置NT内建组“Users”对所有卷的访问权为“No Access”,因为新用户会自动加入组“Users”中,所以新用户缺省将不能访问任何卷。
原文作者:Gavin Reid gavin@shebeen.com
原文转自:http://www.ltesting.net
|