加固NT和IIS的安全(下)

王朝厨房·作者佚名  2007-01-05
窄屏简体版  字體: |||超大  

三、运行bastion.inf加固脚本

下载最新的bastioninf.zip,解压后运行如下命令:

secedit /configure /cfg bastion.inf /db %temp%\secedit.sdb /verbose /log %temp%\seclog.txt

这个安全策略脚本在系统中做了如下改动:

1.设定如下的密码策略:

密码唯一性:记录上次的 6 个密码

最短密码期限:2

密码最长期限:42

最短密码长度:10

密码复杂化(passfilt.dll):启用

用户必须登录方能更改密码:启用

帐号失败登录锁定的门限:5

锁定后重新启用的时间间隔:720分钟

2.审计策略:

审核如下的事件:

用户和组管理 成功:失败

登录和注销 成功:失败

文件及对象访问 失败

更改安全规则 成功: 失败

用户权限的使用 失败

系统事件 成功: 失败

3.用户权限分配:

从网络中访问这台计算机:No one

将工作站添加到域:No one

备份文件和目录:Administrators

更改系统时间:Administrators

强制从远程系统关机:No one

加载和下载设备驱动程序:Administrators

本地登录:Administrators

管理审核和安全日志:Administrators

恢复文件和目录:Administrators

关闭系统:Administrators

获得文件或对象的所属权:Administrators

忽略遍历检查(高级权力):Everyone

作为服务登录(高级权力):No one

内存中锁定页:No one

替换进程级记号:No one

产生安全审核:No one

创建页面文件:Administrators

配置系统性能:No one

创建记号对象:No one

调试程序:No one

增加进度优先级:Administrators

添加配额:Administrators

配置单一进程:Administrators

修改固件环境值:Administrators

生成系统策略: Administrators

以批处理作业登录:No one

4.事件查看器设置:

应用程序、系统和安全的日志空间都设为100MB

事件日志覆盖方式为:覆盖30天以前的日志

禁止匿名用户查看日志

5.注册表的值

KEY Type Value

MACHINE\SOFTWARE\Microsoft\DataFactory\HandlerInfo\

HandlerRequired REG_DWORD 1

MACHINE\SYSTEM\CurrentControlSet\Control\FileSystemNtfsDisable8dot3NameCreation REG_DWORD 1

MACHINE\Software\Microsoft\WindowsNT\Version\Winlogon\AllocateCDRoms REG_SZ 1

MACHINE\System\CurrentControlSet\Control\Lsa\AuditBaseObjects

REG_DWORD 1

MACHINE\System\CurrentControlSet\Control\Lsa\Su

MACHINE\System\CurrentControlSet\Control\Print\Providers\LanMan

PrintServices\AddPrintDrivers REG_DWORD 1

MACHINE\System\CurrentControlSet\Services\RdrParameters\EnablePlainTextPassword REG_DWORD 0

MACHINE\System\CurrentControlSet\Services\LanManServerParameters\AutoDisconnect REG_DWORD 15

MACHINE\System\CurrentControlSet\Services\LanManServerParameters\AutoShareWks REG_DWORD 0

MACHINE\System\CurrentControlSet\Services\LanManServerParameters\AutoShareServer REG_DWORD 0

MACHINE\System\CurrentControlSet\Services\LanManServerParameters\EnableForcedLogOff REG_DWORD 1

MACHINE\System\CurrentControlSet\Services\LanManServerParameters\RequireSecuritySignature REG_DWORD 1

MACHINE\System\CurrentControlSet\Services\LanManServerParameters\EnableSecuritySignature REG_DWORD 1

MACHINE\System\CurrentControlSet\Services\Rdr\ParametersRequireSecuritySignature REG_DWORD 1

MACHINE\System\CurrentControlSet\Services\Rdr\ParametersEnableSecuritySignature REG_DWORD 1

MACHINE\System\CurrentControlSet\Services\NetlogonParameters\RequireSignOrSeal REG_DWORD 1

MACHINE\System\CurrentControlSet\Services\Netlogon\ParametersSealSecureChannel REG_DWORD 1

MACHINE\System\CurrentControlSet\Services\Netlogon\ParametersSignSecureChannel REG_DWORD 1

MACHINE\System\CurrentControlSet\Control\Lsa\ RestrictAnonymous

REG_DWORD 1

MACHINE\System\CurrentControlSet\Control\Session ManagerProtectionMode REG_DWORD 1

MACHINE\System\CurrentControlSet\Control\Lsa\ LmCompatibilityLevel

REG_DWORD 2

MACHINE\Software\Microsoft\Windows

NT\CurrentVersion\Winlogon\LegalNoticeText REG_SZ This is a

private system. Unauthorized use is prohibited.

MACHINE\Software\Microsoft\Windows NT\CurrentVersionWinlogon\LegalNoticeCaption REG_SZ CISD

MACHINE\Software\Microsoft\Windows

NT\CurrentVersion\Winlogon\DontDisplayLastUserName REG_SZ 1

MACHINE\System\CurrentControlSet\Control\Lsa\CrashOnAuditFail

REG_DWORD 1

MACHINE\System\CurrentControlSet\Control\Session Manager\Memory

Management\ClearPageFileAtShutdown REG_DWORD 1

MACHINE\Software\Microsoft\Windows NT\CurrentVersionWinlogon\CachedLogonsCount REG_SZ 0

MACHINE\Software\Microsoft\Windows NT\CurrentVersionWinlogon\AllocateFloppies REG_SZ 1

MACHINE\Software\Microsoft\Windows NT\Current bmitControl

REG_DWORD 0

MACHINE\System\CurrentControlSet\Control\Lsa\

FullPrivilegeAuditing REG_BINARY 1

MACHINE\Software\Microsoft\Windows NT\CurrentVersionWinlogon\ShutdownWithoutLogon REG_SZ 1

6.文件系统和注册表存取控制:

详见bastion.inf

7.管理员帐号:

bastion.inf将Administrator改名为root,可以按照自己的需要更改这个名字,并使用强壮的密码

四、可选的注册表设置

1.删除 OS/2 和 POSIX 子系统:

删除如下目录的任何键:

HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\OS/2 Subsystem for NT

删除如下的键:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment\Os2LibPath

删除如下的键:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session

Manager\SubSystems\Optional

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session

Manager\SubSystems\Posix

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session

Manager\SubSystems\Os2

删除如下目录:

c:\winnt\system32\os2

2.除去RDS漏洞:

删除如下的注册表项:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVCParameters\ADCLaunch\RDSServer.DataFactory

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVCParameters\ADCLaunch\AdvancedDataFactory

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVCParameters\ADCLaunch\VbBusObj.VbBusObjCls

3.从网络服务中删除不必要的服务:

删除:Netbios接口,计算机浏览器,服务器,工作站

保留:RPC配置

五、保护许可

1. 保护Internet Guest 用户帐号:

在用户管理器中,将Internet Guest 帐号改为晦涩的名字,并使用强壮的密码禁止guest帐号。

将改名后的Internet Guest 帐号从组“guests”中删除。

设置改名后的Internet Guest 帐号对所有卷的访问为“No Access”,为了保证IIS的正常运行,必须赋予改名后的Internet Guest 帐号对以下目录的读取权限:

默认路径 环境变量

c:\ %SystemDrive%

c:\winnt %SystemRoot%

d:\InetPub\wwwroot 你的IIS根目录

注意:在设置以上目录的权限时,不要选择替换子目录的权限!!

2. 锁住组“Users”:

设置NT内建组“Users”对所有卷的访问权为“No Access”,因为新用户会自动加入组“Users”中,所以新用户缺省将不能访问任何卷。

原文作者:Gavin Reid gavin@shebeen.com

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航