15步強化Windows Server 2003
《Hardening Windows》的作者Jonathan Hassell進行了一次檢查表式的網上直播,概述了你現在馬上可以采取,用以強化Windows Server 2003功能的15個步驟,以更好的應對各種威脅。我們現在就來看看Jonathan的15個步驟以及他提到的一些要點。
第1步:嚴格對待密碼
要點:鼓勵大家使用口令,并且使用的密碼不少于15個字符,以此來更好的強化密碼驗證技術。
第2步:通過組策略來使用Windows XP軟件限制策略
要點:使用組策略來阻止所有相關的腳本擴展,特別是禁止惡意程序(cmd.exe和Regedit.exe)。
第3步:啟用Internet連接防火墻(ICF)
要點:你公司中幾乎每一臺機器都會受益于防火墻。ICF只攔截進入的網絡流量,使用狀態包檢測,可以讓你強行打開一些特殊的端口。
第4步:去掉LM哈希
要點:為了消除LM哈希,你需要一個含有至少15個字符的密碼,并且要開啟安全選項中的“網絡安全:在下次更改密碼時不存儲LAN Manager的哈希值”這個選項。
第5步:加強TCP/IP協議棧
要點:不要直接將Windows系統連接到Internet。相反,你應該為TCP連接增加內存,減少三次握手(3-way handshakes)所造成的超時值。
第6步:強制實行SMB簽名
要點:SMB簽名將有助你防止中間人攻擊。
第7步:強化網絡策略
要點:您應該啟用這項設置:“不允許SAM的匿名枚舉”,禁用這項設置:“允許匿名的SID / Name轉換。”這可能是考慮到用隱晦帶來安全(security by obscurity),但它卻是強化Windows系統功能的一個重要組成部分。
第8步:使用軟件更新服務(SUS)
要點:你應該一直使用SUS或其他補丁管理系統,來接收、分配和安排最新發布的補丁。
第9步:隔離與清除
要點:這是非常重要的一步。在使用網絡訪問隔離控制時,你應該限制或禁止某些客戶資源,把沒有隔離的客戶放在一個holding bin里來驗證系統的屬性,并在它們被允許連接到網絡以前,提供相應的資源,最終修正被發現的問題。
第10步:做好最壞的打算
要點:為了做好系統崩潰的打算,你應該使用腳本來建立系統基本框架的80%,并且留更多的時間給自己手動地建立其余的20%。
第11步:獲取組策略管理控制臺
要點:使用組策略來設置整體的安全策略,現在比以往更容易了——你應該好好利用這個優勢。
第12步:使用微軟基準安全分析器(MBSA)
要點:這是一個很方便的工具,可以用來掃描計算機上不安全的配置。微軟會對它進行不斷的更新,并且它也支持許多其他的產品。
第13步:熟悉IPsec
要點:IP的使用越廣泛就越要注意對其進行加密。您應該使用IPsec來保護服務器之間的傳輸、客戶端之間的信道以及任何兩端都會識別Ipsec的點到點IP傳輸。
第14步:使用Internet信息服務(IIS)6.0
要點:由于許多新的安全改進,IIS最終為完美托管做好了準備。
第15步:使用Windows Server 2003 Service Pack 1
要點:針對在2005年中期發布的版本,其改進的地方包括一個安全配置向導和遠程客戶端隔離。
【編輯推薦】
