三、运行bastion.inf加固脚本
下载最新的bastioninf.zip,解压后运行如下命令:
secedit /configure /cfg bastion.inf /db %temp%\secedit.sdb /verbose /log %temp%\seclog.txt
这个安全策略脚本在系统中做了如下改动:
1.设定如下的密码策略:
密码唯一性:记录上次的 6 个密码
最短密码期限:2
密码最长期限:42
最短密码长度:10
密码复杂化(passfilt.dll):启用
用户必须登录方能更改密码:启用
帐号失败登录锁定的门限:5
锁定后重新启用的时间间隔:720分钟
2.审计策略:
审核如下的事件:
用户和组管理 成功:失败
登录和注销 成功:失败
文件及对象访问 失败
更改安全规则 成功: 失败
用户权限的使用 失败
系统事件 成功: 失败
3.用户权限分配:
从网络中访问这台计算机:No one
将工作站添加到域:No one
备份文件和目录:Administrators
更改系统时间:Administrators
强制从远程系统关机:No one
加载和下载设备驱动程序:Administrators
本地登录:Administrators
管理审核和安全日志:Administrators
恢复文件和目录:Administrators
关闭系统:Administrators
获得文件或对象的所属权:Administrators
忽略遍历检查(高级权力):Everyone
作为服务登录(高级权力):No one
内存中锁定页:No one
替换进程级记号:No one
产生安全审核:No one
创建页面文件:Administrators
配置系统性能:No one
创建记号对象:No one
调试程序:No one
增加进度优先级:Administrators
添加配额:Administrators
配置单一进程:Administrators
修改固件环境值:Administrators
生成系统策略: Administrators
以批处理作业登录:No one
4.事件查看器设置:
应用程序、系统和安全的日志空间都设为100MB
事件日志覆盖方式为:覆盖30天以前的日志
禁止匿名用户查看日志
5.注册表的值
KEY Type Value
MACHINE\SOFTWARE\Microsoft\DataFactory\HandlerInfo\
HandlerRequired REG_DWORD 1
MACHINE\SYSTEM\CurrentControlSet\Control\FileSystemNtfsDisable8dot3NameCreation REG_DWORD 1
MACHINE\Software\Microsoft\WindowsNT\Version\Winlogon\AllocateCDRoms REG_SZ 1
MACHINE\System\CurrentControlSet\Control\Lsa\AuditBaseObjects
REG_DWORD 1
MACHINE\System\CurrentControlSet\Control\Lsa\Su
MACHINE\System\CurrentControlSet\Control\Print\Providers\LanMan
PrintServices\AddPrintDrivers REG_DWORD 1
MACHINE\System\CurrentControlSet\Services\RdrParameters\EnablePlainTextPassword REG_DWORD 0
MACHINE\System\CurrentControlSet\Services\LanManServerParameters\AutoDisconnect REG_DWORD 15
MACHINE\System\CurrentControlSet\Services\LanManServerParameters\AutoShareWks REG_DWORD 0
MACHINE\System\CurrentControlSet\Services\LanManServerParameters\AutoShareServer REG_DWORD 0
MACHINE\System\CurrentControlSet\Services\LanManServerParameters\EnableForcedLogOff REG_DWORD 1
MACHINE\System\CurrentControlSet\Services\LanManServerParameters\RequireSecuritySignature REG_DWORD 1
MACHINE\System\CurrentControlSet\Services\LanManServerParameters\EnableSecuritySignature REG_DWORD 1
MACHINE\System\CurrentControlSet\Services\Rdr\ParametersRequireSecuritySignature REG_DWORD 1
MACHINE\System\CurrentControlSet\Services\Rdr\ParametersEnableSecuritySignature REG_DWORD 1
MACHINE\System\CurrentControlSet\Services\NetlogonParameters\RequireSignOrSeal REG_DWORD 1
MACHINE\System\CurrentControlSet\Services\Netlogon\ParametersSealSecureChannel REG_DWORD 1
MACHINE\System\CurrentControlSet\Services\Netlogon\ParametersSignSecureChannel REG_DWORD 1
MACHINE\System\CurrentControlSet\Control\Lsa\ RestrictAnonymous
REG_DWORD 1
MACHINE\System\CurrentControlSet\Control\Session ManagerProtectionMode REG_DWORD 1
MACHINE\System\CurrentControlSet\Control\Lsa\ LmCompatibilityLevel
REG_DWORD 2
MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\LegalNoticeText REG_SZ This is a
private system. Unauthorized use is prohibited.
MACHINE\Software\Microsoft\Windows NT\CurrentVersionWinlogon\LegalNoticeCaption REG_SZ CISD
MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\DontDisplayLastUserName REG_SZ 1
MACHINE\System\CurrentControlSet\Control\Lsa\CrashOnAuditFail
REG_DWORD 1
MACHINE\System\CurrentControlSet\Control\Session Manager\Memory
Management\ClearPageFileAtShutdown REG_DWORD 1
MACHINE\Software\Microsoft\Windows NT\CurrentVersionWinlogon\CachedLogonsCount REG_SZ 0
MACHINE\Software\Microsoft\Windows NT\CurrentVersionWinlogon\AllocateFloppies REG_SZ 1
MACHINE\Software\Microsoft\Windows NT\Current bmitControl
REG_DWORD 0
MACHINE\System\CurrentControlSet\Control\Lsa\
FullPrivilegeAuditing REG_BINARY 1
MACHINE\Software\Microsoft\Windows NT\CurrentVersionWinlogon\ShutdownWithoutLogon REG_SZ 1
6.文件系统和注册表存取控制:
详见bastion.inf
7.管理员帐号:
bastion.inf将Administrator改名为root,可以按照自己的需要更改这个名字,并使用强壮的密码
四、可选的注册表设置
1.删除 OS/2 和 POSIX 子系统:
删除如下目录的任何键:
HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\OS/2 Subsystem for NT
删除如下的键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment\Os2LibPath
删除如下的键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
Manager\SubSystems\Optional
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
Manager\SubSystems\Posix
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
Manager\SubSystems\Os2
删除如下目录:
c:\winnt\system32\os2
2.除去RDS漏洞:
删除如下的注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVCParameters\ADCLaunch\RDSServer.DataFactory
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVCParameters\ADCLaunch\AdvancedDataFactory
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVCParameters\ADCLaunch\VbBusObj.VbBusObjCls
3.从网络服务中删除不必要的服务:
删除:Netbios接口,计算机浏览器,服务器,工作站
保留:RPC配置
五、保护许可
1. 保护Internet Guest 用户帐号:
在用户管理器中,将Internet Guest 帐号改为晦涩的名字,并使用强壮的密码禁止guest帐号。
将改名后的Internet Guest 帐号从组“guests”中删除。
设置改名后的Internet Guest 帐号对所有卷的访问为“No Access”,为了保证IIS的正常运行,必须赋予改名后的Internet Guest 帐号对以下目录的读取权限:
默认路径 环境变量
c:\ %SystemDrive%
c:\winnt %SystemRoot%
d:\InetPub\wwwroot 你的IIS根目录
注意:在设置以上目录的权限时,不要选择替换子目录的权限!!
2. 锁住组“Users”:
设置NT内建组“Users”对所有卷的访问权为“No Access”,因为新用户会自动加入组“Users”中,所以新用户缺省将不能访问任何卷。
原文作者:Gavin Reid gavin@shebeen.com