15步安全強化win2003服務器

點評:我們現在就來看看Jonathan的15個步驟以及他提到的一些要點。

《Hardening Windows》的作者Jonathan Hassell進行瞭一次檢查表式的網上直播,概述瞭你現在馬上可以采取,用以強化Windows Server 2003功能的15個步驟,以更好的應對各種威脅。我們現在就來看看Jonathan的15個步驟以及他提到的一些要點。

第1步:嚴格對待密碼

要點:鼓勵大傢使用口令,並且使用的密碼不少於15個字符,以此來更好的強化密碼驗證技術。

第2步:通過組策略來使用Windows XP軟件限制策略

要點:使用組策略來阻止所有相關的腳本擴展,特別是禁止惡意程序(cmd.exe和Regedit.exe)。

第3步:啟用Internet連接防火墻(ICF)

要點:你公司中幾乎每一臺機器都會受益於防火墻。ICF隻攔截進入的網絡流量,使用狀態包檢測,可以讓你強行打開一些特殊的端口。

第4步:去掉LM哈希

要點:為瞭消除LM哈希,你需要一個含有至少15個字符的密碼,並且要開啟安全選項中的“網絡安全:在下次更改密碼時不存儲LAN Manager的哈希值”這個選項。

第5步:加強TCP/IP協議棧

要點:不要直接將Windows系統連接到Internet。相反,你應該為TCP連接增加內存,減少三次握手(3-way handshakes)所造成的超時值。

第6步:強制實行SMB簽名

要點:SMB簽名將有助你防止中間人攻擊。

第7步:強化網絡策略

要點:您應該啟用這項設置:“不允許SAM的匿名枚舉”,禁用這項設置:“允許匿名的SID / Name轉換。”這可能是考慮到用隱晦帶來安全(security by obscurity),但它卻是強化Windows系統功能的一個重要組成部分。

第8步:使用軟件更新服務(SUS)

要點:你應該一直使用SUS或其他補丁管理系統,來接收、分配和安排最新發佈的補丁。

第9步:隔離與清除

要點:這是非常重要的一步。在使用網絡訪問隔離控制時,你應該限制或禁止某些客戶資源,把沒有隔離的客戶放在一個holding bin裡來驗證系統的屬性,並在它們被允許連接到網絡以前,提供相應的資源,最終修正被發現的問題。

第10步:做好最壞的打算

要點:為瞭做好系統崩潰的打算,你應該使用腳本來建立系統基本框架的80%,並且留更多的時間給自己手動地建立其餘的20%。

第11步:獲取組策略管理控制臺

要點:使用組策略來設置整體的安全策略,現在比以往更容易瞭——你應該好好利用這個優勢。

第12步:使用微軟基準安全分析器(MBSA)

要點:這是一個很方便的工具,可以用來掃描計算機上不安全的配置。微軟會對它進行不斷的更新,並且它也支持許多其他的產品。

第13步:熟悉IPsec

要點:IP的使用越廣泛就越要註意對其進行加密。您應該使用IPsec來保護服務器之間的傳輸、客戶端之間的信道以及任何兩端都會識別Ipsec的點到點IP傳輸。

第14步:使用Internet信息服務(IIS)6.0

要點:由於許多新的安全改進,IIS最終為完美托管做好瞭準備。

第15步:使用Windows Server 2003 Service Pack 1

要點:針對在2005年中期發佈的版本,其改進的地方包括一個安全配置向導和遠程客戶端隔離。

Leave a Reply

Your email address will not be published. Required fields are marked *