windows server 2003 系统安全加固

长枪不倒

　　Windows2003系统加固
第一章账号和口令设置
　　第1节              账号设置
　　对于管理员账号，要求更改缺省账号名称
　　1.1        禁用guest（来宾）账号
　　1.2        把asp.net用户的设置为隶属于guests
　　1.3        禁用IUSR_XXX用户
　　1.4        禁用SUPPORT_XXX用户
　　第2节              口令设置
　　进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：
　　2.1        启动“密码必须符合复杂性要求”
　　2.2        “密码最长存留期”设置为“90天”
　　2.3        “强制密码历史”设置为“记住5个密码”
　　进入“控制面板->管理工具->本地安全策略”，在“帐户策略->帐户锁定策略”：
　　2.4        “账户锁定阀值”设置为 6次
第二章授权和日志
　　第3节              授权
　　进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”:
　　3.1        把“关闭系统”设置为“只指派给Administrators组”
　　3.2        把 “从远端系统强制关机”设置为“只指派Administrators组”
　　3.3        设置“取得文件或其它对象的所有权”设置为“只指派给Administrators组
　　3.4        “从本地登陆此计算机”设置为“指定授权用户“
　　3.5        “从网络访问此计算机”设置为“指定授权用户”
　　第4节              协议
　　在"网络连接"里，把不需要的协议和服务都打掉勾选；例
　　4.1        Qos数据包计划程序
　　4.2        在高级tcp/ip设置里--"NetBIOS"设置“禁用tcp/IP上的NetBIOS（S）“网络基本输入输出系统
　　说明：关闭此功能，你服务器上所有共享服务功能都将关闭，别人在资源管理器中将看不到你的共享资源。这样也防止了信息的泄露。
　　4.3        Microsoft网络的文件和打印机共享
　　4.4        ipv6协议
　　4.5        microsoft网络客户端（主要是为了访问微软的网站，可删可不删）
　　第5节              日志配置操作
　　日志审核
　　开始->运行-> 执行“ 控制面板->管理工具->本地安全策略->本地策略à审核策略”
　　全部设置为成功和失败都审核
第三章 注册表
　　第1节               修改数据包的生存时间（TTL）值
　　Hkey_local_machine\system\currentcontrolset\services\tcpip\parameters
　　新建dword值
　　defaultttl (0-255十进制,默认值128)
　　一般修改为255即可
　　注释：防止别人利用ping的方式对返回值来猜测操作系统
　　TTL值：32 Windows95/98/NT
　　TTL值：128 WindowsNT4.0/2000/XP/2003
　　TTL值：64 Linux
　　TTL值：255 Unix
　　第2节               防止syn洪水***
　　hkey_local_machine\system\currentcontrolset\services\tcpip\parameters
　　新建DWORD值
　　synattackprotect 0x2(默认值为0x0)
　　建议值：2
　　有效值：0-2
　　说明：引起TCP调整SYN-ACKS的重新传世。如果你配置这个值当发生SYN***时，连接响应的超时速度回你较快，当超过TcpMaxHalfOpen或者TcpMaxHalfOPenRetried的值时，便会触发SYN***。
　　第3节               设置SYN保护阈值
　　SYN***保护
　　hkey_local_machine\system\currentcontrolset\services
　　新建：TcpMaxPortsExhausted = 5
　　建议值：5
　　有效值：0-65535
　　说明：制定tcp连接请求的阈值，必须超过该阈值猜会触发SYN洪水保护
　　新建：TcpMaxHalfOpen = 500  十进制
　　建议值：500
　　有效值：100-65535
　　说明：启动synattackprotect时，改制会制定在SYN_RCVD状态下的TCP连接的阈值。超过synattackprotect时，便会触发SYN洪水保护
　　新建：TcpMaxHalfOpenRetried= 400  十进制
　　建议值：400
　　有效值：80-65535
　　说明：启用synattackprotect时，该值指定SYN_RCVD状态下的tcp连接的阈值，其中至少已经进行一次重新传输。超过synattackprotect时，便会触发syn洪水保护。
　　新建：TcpMaxConnectResponseRetransmissions= 2
　　建议值：2
　　有效值：0-255
　　说明：对取消尝试响应的syn请求之前重新传输SYN-ACK的次数进行控制。
　　新建：TcpMaxDataRetransmission= 2
　　建议值：2
　　有效值：0-65535
　　说明：指定tcp在终止连接前，要重新传输单独数据片段（而并非连接请求片段）的次数。
　　新建：EnablePMTUDiscovery =0
　　建议值：0
　　有效值：0、1
　　说明：将该值设置为1（默认值）时，便会强制tcp在远程主机的路径上找到最大传输单位或最大数据包大小。***者可能会强制数据包分割，照成堆栈负荷过重。将该值设置为0会强制不是本地子网的主机连接都使用576字节的MTU.
　　新建：KeepAliveTime = 30000（5分钟）十进制
　　建议值：30000
　　有效值：80-4294967295
　　说明：通过发生报错活动的数据包，指定tcp尝试验证闲置连接是发仍然原封不动的频率。
　　新建：NoNameReleaseOnDemand= 1
　　建议值：1
　　有效值：0、1
　　说明：当计算机接收到名称释放请求时，指定不要释放计算机的NETBios名称
　　第4节               防止ICMP***
　　hkey_local_machine\system\currentcontrolset\services\tcpip\parameters
　　EnableICMPRedirect = 0
　　建议值：0
　　有效值：0、1
　　说明：将该值修改为0可以防止接收到ICMP重定向数据包时，创建代价高昂的主机路由。
　　第5节               防止SNMP***
　　hkey_local_machine\system\currentcontrolset\services\tcpip\parameters
　　新建：EnableDeadGWDetect =0
　　建议值：0
　　有效值：0、1
　　说明：***者强制切换到才要网关
　　第6节               AFD.SYS保护
　　AFD.SYS是一种内核级的驱动，用于支持基于 window socket的应用程序，比如ftp、telnet等。
　　hkey_local_machine\system\currentcontrolset\services\AFD\parameters
　　新建：EnableDynamicBacklog= 1
　　建议值：1
　　有效值：0、1
　　说明：指定AFD.SYS功能来有效的抵御大量的SYN_RCVD状态中的连接的总数的最大值。
　　新建：MinimumDynamicBacklog= 20  十进制
　　建议值：20
　　有效值：0-4294967295
　　说明:指定侦听终结点上允许的可用连接的最小数量。如果可用连接的数目低于该值，线程便会排入队列以创建其他的可用连接。
　　新建：MaximumDynamicBacklog= 20000  十进制
　　建议值：20000
　　有效值：0-4294967295
　　说明：指定可用连接再加上SYN_RCVD状态中的连接的总数的最大值。
　　新建：DynamicBacklogGrowthDelta= 10  十进制
　　建议值：10
　　有效值：0-4294967295
　　默认不存在
　　说明：指定需要其他连接时将创建的可用链接数量。
　　第7节               关闭IGMP协议
　　hkey_local_machine\system\currentcontrolset\services\tcpip\parameters
　　新建为 （DWORD值）IGMPLevel= 0
　　建议值：0
　　有效值：0、1
　　说明：IGMP是一种协议，对于windows系统用户是没有说明用途的，但现在也被又来作为蓝屏***的一种方式，建议关闭关闭此功能，不会对用户造成影响。
　　第8节               修改远程访问端口
　　HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp
　　HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\wds\rdpwd\tds\tcp
　　PortNumber =30301  十进制
　　建议值：30301
　　有效值：10000-60000
　　默认值：3389
　　说明：本地端口对外提供服务或者与外界连接的接口
　　第9节               Arp老化时间
　　hkey_local_machine\system\currentcontrolset\services\tcpip\parameters
　　新建：arpcachelife = 120
　　建议值：120（2分钟）
　　有效值：0-120
　　说明：设置违背使用的arp缓存表项可以被保持的时间。
　　Arpcacheminreferencedlife =600
　　建议值：600（10分钟）
　　有效值：0-600
　　说明：被重复使用的表项可以在arp缓存中存放的时间
　　第10节         禁止死网关检测技术
　　HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services＼Tcpip＼Parameters
　　
　　新建DWORD值EnableDeadGWDetect = 0
　　建议值：0
　　有效值：0、1
　　默认没有
　　说明：如果在Win2000中你设置了多个网关，那么你的机器在处理多个连接有困难时就会自动改用备份网关，有时候这并不是一项好主意，建议禁止死网关监测。如果在Win2000中你设置了多个网关，那么你的机器在处理多个连接有困难时就会自动改用备份网关，有时候这并不是一项好主意，建议禁止死网关监测。
　　第11节         关闭路由功能
　　hkey_local_machine\system\currentcontrolset\services:\tcpip\parameters
　　ipenablerouter= 0
　　建议值：0
　　有效值：0、1
　　需新建
　　说明：利用服务器自身两块网卡，让服务器充当路由器的功能。
　　第12节         禁止默认共享
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
　　新建Dword值，AutoShareServer = 0
　　建议值：0
　　有效值：0、1
　　需新建
　　说明：在安装完系统，系统会有缺省共享。
　　第13节         禁止GUEST账号访问日志
　　应用日志：
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application
　　Name: RestrictGuestAccess
　　Type: DWORD
　　value: 1
　　系统日志：
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\System
　　Name: RestrictGuestAccess
　　Type: DWORD
　　value: 1
　　安全日志：
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Security
　　Name: RestrictGuestAccess
　　Type: DWORD
　　value: 1
第四章服务
　　windows2003server标准服务当中需要停止的服务，作为IIS网络服务器，以上服务务必要停止，如果需要SSL证书服务，则设置方法不同。
　　Alerter
　　服务名称:
　　Alerter
　　显示名称:
　　Alerter
　　服务描述:
　　通知选定的用户和计算机管理警报。如果服务停止，使用管理警报的程序将不会收到它们。如果此服务被禁用，任何直接依赖它的服务都将不能启动。
　　可执行文件路径:
　　E:WINDOWSsystem32svchost.exe  -k LocalService
　　其他补充:
　　Application  Layer Gateway Service
　　服务名称:
　　ALG
　　显示名称:
　　Application  Layer Gateway Service
　　服务描述:
　　为应用程序级协议插件提供支持并启用网络/协议连接。如果此服务被禁用，任何依赖它的服务将无法启动。
　　可执行文件路径:
　　E:WINDOWSSystem32alg.exe
　　其他补充:
　　Background  Intelligent Transfer Service
　　服务名称:
　　BITS
　　显示名称:
　　Background  Intelligent Transfer Service
　　服务描述:
　　服务描述:利用空闲的网络带宽在后台传输文件。如果服务被停用，例如 Windows Update 和 MSN Explorer 的功能将无法自动下载程序和其他信息。如果此服务被禁用，任何依赖它的服务如果没有容错技术以直接通过 IE 传输文件，一旦 BITS 被禁用，就可能无法传输文件。
　　可执行文件路径:
　　E:WINDOWSsystem32svchost.exe  -k netsvcs
　　其他补充:
　　Computer Browser
　　服务名称:
　　服务名称:Browser
　　显示名称:
　　显示名称:Computer Browser
　　服务描述:
　　服务描述:维护网络上计算机的更新列表，并将列表提供给计算机指定浏览。如果服务停止，列表不会被更新或维护。如果服务被禁用，任何直接依赖于此服务的服务将无法启动。
　　可执行文件路径:
　　可执行文件路径: E:WINDOWSsystem32svchost.exe -k netsvcs
　　其他补充:
　　Distributed File  System
　　服务名称:
　　Dfs
　　显示名称:
　　Distributed File  System
　　服务描述:
　　将分散的文件共享合并成一个逻辑名称空间并在局域网或广域网上管理这些逻辑卷。如果这个服务被停止，用户则无法访问文件共享。如果这个服务被禁用，任何依赖它的服务将无法启动。
　　可执行文件路径:
　　E:WINDOWSsystem32Dfssvc.exe
　　其他补充:
　　Help and Support
　　服务名称:
　　helpsvc
　　显示名称:
　　Help and Support
　　服务描述:
　　启用在此计算机上运行帮助和支持中心。如果停止服务，帮助和支持中心将不可用。如果禁用服务，任何直接依赖于此服务的服务将无法启动。
　　可执行文件路径:
　　E:WINDOWSSystem32svchost.exe  -k netsvcs
　　其他补充:
　　Messenger
　　服务名称:
　　Messenger
　　显示名称:
　　Messenger
　　服务描述:
　　传输客户端和服务器之间的 NET SEND 和警报器服务消息。此服务与 Windows Messenger 无关。如果服务停止，警报器消息不会被传输。如果服务被禁用，任何直接依赖于此服务的服务将无法启动。
　　可执行文件路径:
　　E:WINDOWSsystem32svchost.exe  -k netsvcs
　　其他补充:
　　NetMeeting  Remote Desktop Sharing
　　服务名称:
　　mnmsrvc
　　显示名称:
　　NetMeeting  Remote Desktop Sharing
　　服务描述:
　　允许经过授权的用户用 NetMeeting 在公司 intranet 上远程访问这台计算机。如果服务被停止，远程桌面共享将不可用。如果服务被禁用，依赖这个服务的任何服务都会无法启动。
　　可执行文件路径:
　　E:WINDOWSsystem32mnmsrvc.exe
　　其他补充:
　　Print Spooler
　　服务名称:
　　Spooler
　　显示名称:
　　Print Spooler
　　服务描述:
　　管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用，本地计算机上的打印将不可用。如果此服务被禁用，任何依赖于它的服务将无法启用。
　　可执行文件路径:
　　E:WINDOWSsystem32spoolsv.exe
　　其他补充:
　　Remote Registry
　　服务名称:
　　RemoteRegistry
　　显示名称:
　　Remote Registry
　　服务描述:
　　使远程用户能修改此计算机上的注册表设置。如果此服务被终止，只有此计算机上的用户才能修改注册表。如果此服务被禁用，任何依赖它的服务将无法启动。
　　可执行文件路径:
　　E:WINDOWSsystem32svchost.exe  -k regsvc
　　其他补充:
　　Task Scheduler
　　服务名称:
　　Schedule
　　显示名称:
　　Task Scheduler
　　服务描述:
　　使用户能在此计算机上配置和计划自动任务。如果此服务被终止，这些任务将无法在计划时间里运行。如果此服务被禁用，任何依赖它的服务将无法启动。
　　可执行文件路径:
　　E:WINDOWSSystem32svchost.exe  -k netsvcs
　　其他补充:
　　TCP/IP NetBIOS  Helper
　　服务名称:
　　LmHosts
　　显示名称:
　　TCP/IP NetBIOS  Helper
　　服务描述:
　　提供 TCP/IP (NetBT) 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持，从而使用户能够共享文件、打印和登录到网络。如果此服务被停用，这些功能可能不可用。如果此服务被禁用，任何依赖它的服务将无法启动。
　　可执行文件路径:
　　E:WINDOWSsystem32svchost.exe  -k LocalService
　　其他补充:
　　Telnet
　　服务名称:
　　TlntSvr
　　显示名称:
　　Telnet
　　服务描述:
　　允许远程用户登录到此计算机并运行程序，并支持多种 TCP/IP Telnet 客户端，包括基于 UNIX 和 Windows 的计算机。如果此服务停止，远程用户就不能访问程序，任何直接依赖于它的服务将会启动失败。
　　可执行文件路径:
　　E:WINDOWSsystem32tlntsvr.exe
　　其他补充:
　　Workstation
　　服务名称:
　　lanmanworkstation
　　显示名称:
　　Workstation
　　服务描述:
　　创建和维护到远程服务的客户端网络连接。如果服务停止，这些连接将不可用。如果服务被禁用，任何直接依赖于此服务的服务将无法启动。
　　可执行文件路径:
　　E:WINDOWSsystem32svchost.exe  -k netsvcs
　　其他补充:
第五章Apache网站
　　第1节     降低apache运行权限
　　1.1        创建一个apache用户
　　在计算机管理里的本地用户和组里面创建一个帐户，例如：apache，密码设置为jobigg.com，加入user组；
　　1.2        设置登陆权限
　　打开开始->管理工具->本地安全策略，在用户权限分配中选择“作为服务登陆”，添加apache用户
　　1.3        停止apache2.2服务
　　计算机管理里面选择服务，找到apache2.2，先停止服务，右击->属性，选择登陆，把单选框从本地系统帐户切换到此帐户，然后查找选择 apache，输入密码jobigg.com，然后点确定（这个时候apache应该不能正常启动，一般情况肯定会报错：Apache2.2 服务因 1(0x1) 服务性错误而停止。
　　1.4        Apache文件夹的权限
　　赋予apache安装目录（比如：E:/apache2.2）以及web目录（比如D: /jobigg.com）apache帐号的可读写权限，去除各磁盘根目录除administror与system以外的所有权限，赋予apache安装 目录所在的磁盘根目录apache帐户的可读取列目录权限
　　1.5         启动apache服务
　　计算机管理里面选择服务，找到apache2.2，重新启动
　　第2节     Php权限
　　1.1 php.ini中指定的PHP临时上传目录和session保存目录，并给予目录apache完 全控制权限，例如：
　　upload_tmp_dir="D:/wwwroot/Tmp/uploadtmp/"
　　session.save_path="D:/wwwroot/Tmp/sessiontmp/"
　　1.2给予D:/php目录读取与运行的权限；
　　第3节     zend权限
　　给予zend安装目录读取与运行的权限；