加固NT和IIS的安全(下)

三、運行bastion.inf加固腳本

　　下載最新的bastioninf.zip，解壓后運行如下命令：

secedit /configure /cfg bastion.inf /db %temp%\secedit.sdb /verbose /log %temp%\seclog.txt

　　這個安全策略腳本在系統中做了如下改動：

　　　1．設定如下的密碼策略：

密碼唯一性：記錄上次的 6 個密碼
最短密碼期限：2
密碼最長期限：42
最短密碼長度：10
密碼復雜化(passfilt.dll)：啟用
用戶必須登錄方能更改密碼：啟用
帳號失敗登錄鎖定的門限：5
鎖定后重新啟用的時間間隔：720分鐘

　　2．審計策略：

審核如下的事件：
用戶和組管理 成功：失敗
登錄和注銷 成功：失敗
文件及對象訪問 失敗
更改安全規則 成功： 失敗
用戶權限的使用 失敗
系統事件 成功： 失敗

　　3．用戶權限分配：

從網絡中訪問這臺計算機：No one
將工作站添加到域：No one
備份文件和目錄：Administrators
更改系統時間：Administrators
強制從遠程系統關機：No one
加載和下載設備驅動程序：Administrators
本地登錄：Administrators
管理審核和安全日志：Administrators
恢復文件和目錄：Administrators
關閉系統：Administrators
獲得文件或對象的所屬權：Administrators
忽略遍歷檢查（高級權力）：Everyone
作為服務登錄（高級權力）：No one
內存中鎖定頁：No one
替換進程級記號：No one
產生安全審核：No one
創建頁面文件：Administrators
配置系統性能：No one
創建記號對象：No one
調試程序：No one
增加進度優先級：Administrators
添加配額：Administrators
配置單一進程：Administrators
修改固件環境值：Administrators
生成系統策略： Administrators
以批處理作業登錄：No one

　　4．事件查看器設置：

應用程序、系統和安全的日志空間都設為100MB
事件日志覆蓋方式為：覆蓋30天以前的日志
禁止匿名用戶查看日志



　　5．注冊表的值

KEY Type Value
MACHINE\SOFTWARE\Microsoft\DataFactory\HandlerInfo\
HandlerRequired REG_DWORD 1

MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem\
NtfsDisable8dot3NameCreation REG_DWORD 1

MACHINE\Software\Microsoft\WindowsNT\Version\Winlogon\AllocateCDRoms REG_SZ 1

MACHINE\System\CurrentControlSet\Control\Lsa\AuditBaseObjects
REG_DWORD 1

MACHINE\System\CurrentControlSet\Control\Lsa\Su

MACHINE\System\CurrentControlSet\Control\Print\Providers\LanMan
PrintServices\AddPrintDrivers REG_DWORD 1

MACHINE\System\CurrentControlSet\Services\Rdr\
Parameters\EnablePlainTextPassword REG_DWORD 0

MACHINE\System\CurrentControlSet\Services\LanManServer\
Parameters\AutoDisconnect REG_DWORD 15

MACHINE\System\CurrentControlSet\Services\LanManServer\
Parameters\AutoShareWks REG_DWORD 0

MACHINE\System\CurrentControlSet\Services\LanManServer\
Parameters\AutoShareServer REG_DWORD 0

MACHINE\System\CurrentControlSet\Services\LanManServer\
Parameters\EnableForcedLogOff REG_DWORD 1

MACHINE\System\CurrentControlSet\Services\LanManServer\
Parameters\RequireSecuritySignature REG_DWORD 1

MACHINE\System\CurrentControlSet\Services\LanManServer\
Parameters\EnableSecuritySignature REG_DWORD 1

MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\
RequireSecuritySignature REG_DWORD 1

MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\
EnableSecuritySignature REG_DWORD 1

MACHINE\System\CurrentControlSet\Services\Netlogon\
Parameters\RequireSignOrSeal REG_DWORD 1

MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\
SealSecureChannel REG_DWORD 1

MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\
SignSecureChannel REG_DWORD 1

MACHINE\System\CurrentControlSet\Control\Lsa\ RestrictAnonymous
REG_DWORD 1

MACHINE\System\CurrentControlSet\Control\Session Manager\
ProtectionMode REG_DWORD 1

MACHINE\System\CurrentControlSet\Control\Lsa\ LmCompatibilityLevel
REG_DWORD 2

MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\LegalNoticeText REG_SZ This is a

private system. Unauthorized use is prohibited.

MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Winlogon\LegalNoticeCaption REG_SZ CISD

MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\DontDisplayLastUserName REG_SZ 1

MACHINE\System\CurrentControlSet\Control\Lsa\CrashOnAuditFail
REG_DWORD 1

MACHINE\System\CurrentControlSet\Control\Session Manager\Memory
Management\ClearPageFileAtShutdown REG_DWORD 1

MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Winlogon\CachedLogonsCount REG_SZ 0

MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Winlogon\AllocateFloppies REG_SZ 1

MACHINE\Software\Microsoft\Windows NT\Current bmitControl
REG_DWORD 0

MACHINE\System\CurrentControlSet\Control\Lsa\
FullPrivilegeAuditing REG_BINARY 1

MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Winlogon\ShutdownWithoutLogon REG_SZ 1


　　6．文件系統和注冊表存取控制：

詳見bastion.inf

　　7．管理員帳號：

bastion.inf將Administrator改名為root,可以按照自己的需要更改這個名字，并使用強壯的密碼

　　四、可選的注冊表設置

1．刪除 OS/2 和 POSIX 子系統:

刪除如下目錄的任何鍵：
HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\OS/2 Subsystem for NT
刪除如下的鍵：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment\Os2LibPath
刪除如下的鍵：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
Manager\SubSystems\Optional

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
Manager\SubSystems\Posix

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
Manager\SubSystems\Os2

刪除如下目錄：
c:\winnt\system32\os2

　　2．除去RDS漏洞:

刪除如下的注冊表項：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\
Parameters\ADCLaunch\RDSServer.DataFactory

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\
Parameters\ADCLaunch\AdvancedDataFactory

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\
Parameters\ADCLaunch\VbBusObj.VbBusObjCls

　　3．從網絡服務中刪除不必要的服務：

刪除：Netbios接口，計算機瀏覽器，服務器，工作站
保留：RPC配置


　　五、保護許可

　　1． 保護Inte.net Guest 用戶帳號：

　　在用戶管理器中，將Internet Guest 帳號改為晦澀的名字，并使用強壯的密碼禁止guest帳號。
將改名后的Internet Guest 帳號從組“guests”中刪除。

　　設置改名后的Internet Guest 帳號對所有卷的訪問為“No Aclearcase/" target="_blank" >ccess”，為了保證IIS的正常運行，必須賦予改名后的Internet Guest 帳號對以下目錄的讀取權限：
默認路徑 環境變量
c:\ %SystemDrive%
c:\winnt %SystemRoot%
d:\InetPub\wwwroot 你的IIS根目錄

　　注意：在設置以上目錄的權限時，不要選擇替換子目錄的權限??！

　　2． 鎖住組“Users”：

　　設置NT內建組“Users”對所有卷的訪問權為“No Access”，因為新用戶會自動加入組“Users”中，所以新用戶缺省將不能訪問任何卷。
　　原文作者：Gavin Reid gavin@shebeen.com

原文轉自：http://www.kjueaiud.com