Windows组策略完善主机安全整改实战(1)
前段時(shí)間,客戶的上級(jí)主管單位對(duì)客戶單位的整個(gè)信息系統(tǒng)進(jìn)行了一次全面的主機(jī)脆弱性分析。由于客戶單位的信息安全性要求較高,這次脆弱性分析也做得非常徹底,找到了很多安全漏洞,尤其是對(duì)網(wǎng)絡(luò)中的Windows主機(jī)更是提出了大量的整改意見。
在落實(shí)這些整改意見,修復(fù)主機(jī)漏洞的過程中,發(fā)現(xiàn)涉及到的計(jì)算機(jī)非常多,工作量很大,靠人力逐個(gè)計(jì)算機(jī)的去操作基本上是不可能的。這時(shí)想到了Windows系統(tǒng)中強(qiáng)大的管理工具——組策略。利用組策略批量更改配置的特性,配合計(jì)算機(jī)啟動(dòng)腳本的使用,整個(gè)安全修復(fù)工作僅用了1天就完成了。而如果靠人力逐個(gè)計(jì)算機(jī)的去操作可能要花費(fèi)至少1個(gè)月的時(shí)間。下面給大家分享一下本次利用組策略對(duì)Windows系統(tǒng)進(jìn)行全面安全防護(hù)的全過程。
一、主機(jī)脆弱性分析
本次評(píng)估中, Windows主機(jī)安全漏洞分析總共涉及到了Windows 2003服務(wù)器11臺(tái),Windows 2000服務(wù)器12臺(tái),以及抽樣30臺(tái)Windows XP客戶端進(jìn)行人工審計(jì)。發(fā)現(xiàn)的主要問題有:
(一)啟用了多個(gè)不必要的服務(wù)和端口
多臺(tái)Windows主機(jī)啟用了多個(gè)不需要的服務(wù)。某些啟動(dòng)的服務(wù)可能與當(dāng)前承載業(yè)務(wù)無關(guān),例如:DHCP Client、Remote Registry、Task Scheduler、Telephony、Messenger。系統(tǒng)中開啟了多個(gè)可能不必要且易受***的端口,如135、139、445、593、1025、2745、3127、6129等。
不需要的服務(wù)被啟用,惡意用戶可以通過嘗試***不需要的服務(wù)來***系統(tǒng),而管理員在管理維護(hù)過程通常會(huì)忽略不需要的服務(wù),無法及時(shí)修補(bǔ)不需要服務(wù)中所存在的安全漏洞,給惡意用戶留下更多的***途徑。
不需要的端口被啟用,非法者可以利用這些端口進(jìn)行***,獲得系統(tǒng)相關(guān)信息,控制計(jì)算機(jī)或傳播病毒,對(duì)計(jì)算機(jī)造成危害。
(二)沒有重命名或禁用默認(rèn)帳戶
Windows主機(jī)沒有更改默認(rèn)管理員用戶名:Administrator。
默認(rèn)帳戶在帶來方便的同時(shí)也嚴(yán)重危害系統(tǒng)安全。未更改Administrator帳號(hào),惡意***者將輕易得知超級(jí)用戶的名稱,只需對(duì)密碼進(jìn)行猜測(cè)即可。
(三)未屏蔽之前登錄的用戶信息
操作系統(tǒng)登錄時(shí),顯示上次登錄用戶名。
沒有配置此項(xiàng)安全功能,用戶啟動(dòng)主機(jī)系統(tǒng)時(shí),登錄界面顯示上次登錄用戶名,只需輸入密碼。惡意***者只需對(duì)密碼進(jìn)行猜測(cè),無需猜測(cè)用戶名,為***提供方便。
(四)操作系統(tǒng)開啟默認(rèn)共享
主機(jī)開啟了C$、D$、Admin$、IPC$等默認(rèn)共享。
默認(rèn)情況下開啟了很多共享文件夾。如C$、D$、ADMIN$等,這樣對(duì)系統(tǒng)安全帶來很多隱患。另外IPC$共享的存在將允許任何用戶通過空用戶連接得到系統(tǒng)所有賬號(hào)和共享列表。***者可能利用這項(xiàng)功能,查找用戶列表,并使用字典工具,對(duì)服務(wù)器進(jìn)行***。
(五)未采用屏保密碼設(shè)置
多臺(tái)Windows系統(tǒng)沒有設(shè)置在屏保后進(jìn)行鎖屏。
很多時(shí)候管理員會(huì)在離開服務(wù)器時(shí)忘記鎖定系統(tǒng)。系統(tǒng)默認(rèn)會(huì)在一定時(shí)間之后開始屏保,如果在屏保中設(shè)置了密碼保護(hù)。那么很大程度上可以保護(hù)主機(jī)系統(tǒng)不會(huì)被非法操作,減少安全風(fēng)險(xiǎn)。
(六)帳號(hào)口令長(zhǎng)度和復(fù)雜度不滿足安全要求
為了提高用戶口令字典窮舉的難度,需要配置口令策略,口令復(fù)雜性要求,為用戶設(shè)置強(qiáng)壯的口令。
(七)用戶鑒別未加固
為了防止非法用戶對(duì)用戶口令進(jìn)行反復(fù)嘗試,應(yīng)配置操作系統(tǒng)用戶鑒別失敗策略,即帳戶嘗試登陸閥值及達(dá)到閥值所采取的措施。
(八)審核策略未加固
審核是追溯惡意操作的最有力工具。系統(tǒng)默認(rèn)的審核范圍比較單一,并不能為安全事故分析提供充分的信息。因此需要配置操作系統(tǒng)的安全審計(jì)功能,確保系統(tǒng)在發(fā)生安全事件時(shí)有日志可供分析。
二、安全整改方法
八條安全整改建議基本上覆蓋了大部分最常見的Windows安全問題,下面我們利用強(qiáng)大的組策略工具,對(duì)所有建議提供點(diǎn)對(duì)點(diǎn)問答式解決方案。
(一)關(guān)閉不需要的服務(wù)和端口
1,在Windows服務(wù)中禁用以下服務(wù)。
打開“默認(rèn)域策略”,依次展開“計(jì)算機(jī)配置” 、“Windows設(shè)置” 、“安全設(shè)置”,然后選中“系統(tǒng)服務(wù)”,在右邊窗格中右鍵選擇Remote Registry服務(wù),點(diǎn)擊“屬性”。在彈出的屬性窗口中,選擇“定義這個(gè)策略設(shè)置”,并勾選“已禁用” ,然后點(diǎn)擊“確定”,關(guān)閉窗口。依次對(duì)以下服務(wù)完成以上操作。
(1)Remote Registry Service允許遠(yuǎn)程注冊(cè)表操作,如果沒有特殊的管理平臺(tái)(例如SMS)需要遠(yuǎn)程修改計(jì)算機(jī)注冊(cè)表的話,該服務(wù)也可以禁用。
(2)DHCP Client服務(wù)是用于DHCP客戶端接收服務(wù)器分發(fā)的IP地址,還可實(shí)現(xiàn)客戶機(jī)DNS動(dòng)態(tài)注冊(cè)。在本案例中,所有計(jì)算機(jī)均是固定IP地址,并無DHCP服務(wù)。所以該服務(wù)也可以關(guān)閉,這樣可防止未經(jīng)授權(quán)或惡意用戶配置或操作該服務(wù)。
(3)Task scheduler服務(wù)允許程序在指定時(shí)間運(yùn)行,如果沒有設(shè)置計(jì)劃任務(wù)的話,該服務(wù)也沒有啟動(dòng)的必要。
(4)Print Spooler服務(wù)將文件加載到內(nèi)存中以便以后打印。該服務(wù)非常容易遭到***,所以除打印服務(wù)器和其他需要打印功能的計(jì)算機(jī)外,計(jì)算機(jī)上的這個(gè)服務(wù)都必須禁用。
(5)Telephony服務(wù)為電話應(yīng)用程序編程接口 (TAPI) 提供支持。 TAPI主要是用來支持傳統(tǒng)和 IP 電話服務(wù),以提供聲音、數(shù)據(jù)和視頻通信。對(duì)于 Windows 2000 Server 和 Windows Server 2003 以及 Windows 2000 Professional 和 Windows XP 系統(tǒng),如果尚未配置電話服務(wù)功能,Telephony服務(wù)將是一個(gè)本地特權(quán)提升漏洞。
(6)Messenger 服務(wù)負(fù)責(zé)傳輸客戶端和服務(wù)器之間的 NET SEND 和 警報(bào)器服務(wù)消息,通常該服務(wù)可以關(guān)閉。
在很多文章中還提到Computer Browser、TCP/IP NetBIOS Helper等服務(wù)也需要禁用,但事實(shí)這些服務(wù)只是在單機(jī)情況不起作用,在局域網(wǎng)環(huán)境中是十分重要的。例如如果TCP/IP NetBIOS Helper服務(wù)禁用的話,基于域的組策略將不再起作用,同時(shí)域用戶也將無法登陸。
2.關(guān)閉不必要的端口。
默認(rèn)情況下,Windows有很多端口是開放的,這些開放的端口會(huì)帶來很大的安全隱患,端口主要包括:TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口,以及一些流行病毒的后門端口(TCP 2745、3127、6129 端口等)。我們可以利用IP安全策略中的IP篩選器來關(guān)閉這些網(wǎng)絡(luò)端口,具體方法如下:
(1)打開“默認(rèn)域策略”,依次展開“計(jì)算機(jī)配置” 、“Windows設(shè)置” 、“安全設(shè)置”,然后選中“IP 安全策略,在Acive Directory” 。在右邊窗格的空白位置右擊鼠標(biāo),彈出快捷菜單,選擇“創(chuàng)建 IP 安全策略”。在向?qū)е悬c(diǎn)擊“下一步”按鈕,為新的安全策略命名(端口屏蔽);再按“下一步”,則顯示“安全通信請(qǐng)求”窗口,取消對(duì)“激活默認(rèn)相應(yīng)規(guī)則”的選擇,點(diǎn)擊“完成”按鈕就創(chuàng)建了一個(gè)新的IP 安全策略。
(2)右擊該IP安全策略,在“屬性”對(duì)話框中,把“使用添加向?qū)А边x項(xiàng)去掉,然后單擊“添加”按鈕添加新的規(guī)則,隨后彈出“新規(guī)則屬性”對(duì)話框,點(diǎn)擊“添加”按鈕,彈出IP篩選器列表窗口;在列表中,首先把“使用添加向?qū)А边x項(xiàng)去掉,然后再點(diǎn)擊右邊的“添加”按鈕添加新的篩選器(TCP)。
(3)進(jìn)入“篩選器屬性”對(duì)話框,首先看到的是尋址,源地址選“任何 IP 地址”,目標(biāo)地址選“我的 IP 地址”;點(diǎn)擊“協(xié)議”選項(xiàng)卡,
在“選擇協(xié)議類型”的下拉列表中選擇“TCP”,然后在“到此端口”下的文本框中輸入“135”,點(diǎn)擊“確定”按鈕,這樣就添加了一個(gè)屏蔽 TCP 135(RPC)端口的篩選器。
(4)點(diǎn)擊“確定”后回到篩選器列表的對(duì)話框,可以看到已經(jīng)添加了一條策略,重復(fù)以上步驟繼續(xù)添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口,為它們建立相應(yīng)的篩選器示。
(5)再重復(fù)以上步驟添加TCP 1025、2745、3127、6129端口的屏蔽策略,建立好上述端口的篩選器,最后點(diǎn)擊“確定”按鈕。
(6)如6圖所示,在“新規(guī)則屬性”對(duì)話框中,選擇“TCP篩選器列表”,激活它,最后點(diǎn)擊“篩選器操作”選項(xiàng)卡。在“篩選器操作”選項(xiàng)卡中,把“使用添加向?qū)А边x項(xiàng)去掉,點(diǎn)擊“添加”按鈕,在“新篩選器操作屬性”的“安全措施”選項(xiàng)卡中,選擇“阻止”,然后點(diǎn)擊“確定”按鈕。
(7)進(jìn)入“新規(guī)則屬性”對(duì)話框,激活“新篩選器操作”,關(guān)閉對(duì)話框;最后回到“新IP安全策略屬性”對(duì)話框,按“確定”按鈕關(guān)閉對(duì)話框。在“本地安全策略”窗口,用鼠標(biāo)右擊新添加的 IP 安全策略(端口屏蔽),然后選擇“指派”。
(二)重命名默認(rèn)帳戶Administrator
1.打開“默認(rèn)域策略”,依次展開“計(jì)算機(jī)配置”、“Windows 設(shè)置”、“安全設(shè)置”、“本地策略”,然后單擊“安全選項(xiàng)”。
2.在右窗格中,雙擊“帳戶:重命名系統(tǒng)管理員帳戶”。
3.單擊以選中“定義這個(gè)策略設(shè)置”復(fù)選框,然后鍵入要用于管理員帳戶的新名稱。
4.單擊“確定”。
(三)屏蔽之前登錄的用戶信息
1.打開“默認(rèn)域策略”,依次展開“計(jì)算機(jī)配置”、“Windows 設(shè)置”、“安全設(shè)置”、“本地策略”,然后單擊“安全選項(xiàng)”。
2.在右窗格中,雙擊“交互式登陸:不顯示上次的用戶名”。
3.單擊以選中“定義這個(gè)策略設(shè)置”復(fù)選框,然后選擇“啟用”。
(四)關(guān)閉默認(rèn)共享
關(guān)閉C$、D$、Admin$、IPC$等默認(rèn)共享需要使用組策略分發(fā)計(jì)算機(jī)啟動(dòng)腳本的方式來完成。計(jì)算機(jī)啟動(dòng)腳本如下:
1.? for?%%a?in?(C?D?E?F?G?H?I?J?K?L?M?N?O?P?Q?R?S?T?U?V?W?X?Y?Z)?do?@( ? 2.? if?exist?%%a:\nul?( ? 3.? net?share?%%a$?/delete ? 4.? ) ? 5.? ) ? 6.? net?share?admin$?/delete ? 7.? echo?Windows?Registry?Editor?Version?5.00?c:\delshare.reg ? 8.? echo?[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]?c:\delshare.reg ? 9.? echo?"AutoShareWks"=dword:00000000?c:\delshare.reg ? 10. echo?"AutoShareServer"=dword:00000000?c:\delshare.reg ? 11. echo?[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]?c:\delshare.reg ? 12. echo?"restrictanonymous"=dword:00000001?c:\delshare.reg ? 13. regedit?/s?c:\delshare.reg ? 14. del?c:\delshare.reg?以上腳本利用net share命令刪除所有磁盤共享和admin$共享。但是這些被刪除的共享在計(jì)算機(jī)重新啟動(dòng)后,又會(huì)重新出現(xiàn)。為了永久刪除共享,有些人會(huì)配置上述的net share delete 命令,讓它們每次開機(jī)自動(dòng)運(yùn)行一次。其實(shí)完全可以通過修改目標(biāo)計(jì)算機(jī)注冊(cè)表來永久關(guān)閉這些共享。在注冊(cè)表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters下修改或添加AutoShareWks和AutoShareServer鍵,并將其值設(shè)為0(DWORD)。其中,鍵AutoShareServer對(duì)應(yīng)C$、D$一類的缺省共享,鍵AutoSharewks對(duì)應(yīng)ADMIN$缺省共享。
IPC$共享則和前面的“默認(rèn)共享”及“管理共享”是兩個(gè)不同的概念。它是指IPC管道連接也就是平時(shí)說的空連接,也被稱作匿名連接。空連接是指無需用戶名和密碼就能連接主機(jī)。利用這個(gè)空的連接,連接者可以得到目標(biāo)主機(jī)上的用戶列表,然后可以猜密碼,或者窮舉密碼,從而獲得更高,甚至管理員權(quán)限。所以空連接同樣需要禁止。以IPC$只有0,1,2三種級(jí)別,而沒有刪除這個(gè)說法。空連接設(shè)置由注冊(cè)表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa下的restrictanonymous鍵來確定。該值默認(rèn)為0,即任何用戶都可以通過空連接連上服務(wù)器,匿名列出帳戶名稱和共享資源,這樣就能夠利用這些信息嘗試猜測(cè)密碼或進(jìn)行“社會(huì)工程學(xué)”***。如果設(shè)置為"1",一個(gè)匿名用戶仍然可以連接到IPC$共享,但限制通過這種連接列舉SAM帳號(hào)和共享等信息;設(shè)置為"2",將限制所有匿名訪問除非特別授權(quán),但這樣可能會(huì)影響一些正常的管道通信,所以微軟官方建議該鍵值設(shè)為“1”。
關(guān)于如何使用組策略分發(fā)計(jì)算機(jī)啟動(dòng)腳本,因?yàn)椴僮鞅容^簡(jiǎn)單,這里不再贅述。
(五)屏保密碼設(shè)置
針對(duì)整改建議,為了避免由于管理員疏忽,而導(dǎo)致他人濫用系統(tǒng),我們采用如下方法統(tǒng)一配置屏保鎖定功能。
打開“默認(rèn)域策略”,依次展開“用戶配置” 、“管理模板” 、“控制面板”,然后選中“顯示”,在右邊窗格中依次對(duì)“屏幕保護(hù)程序”,“可執(zhí)行的屏幕保護(hù)程序名稱”,“密碼保護(hù)屏幕保護(hù)程序”和“屏幕保護(hù)程序超時(shí)”四項(xiàng)進(jìn)行配置。在本案例中,配置策略如下:
1.屏幕保護(hù)程序:開啟。
2.可執(zhí)行的屏幕保護(hù)程序名稱:C:\WINDOWS\Resources\Themes\Windows Classic.theme。
3.屏幕保護(hù)程序超時(shí):8分鐘。
4.密碼保護(hù)屏幕保護(hù)程序:開啟。
(六)配置帳號(hào)口令長(zhǎng)度和復(fù)雜度要求
為了提高用戶口令字典窮舉的難度,需要設(shè)置口令策略,口令復(fù)雜性要求,即為用戶設(shè)置強(qiáng)壯的口令。主要配置方法如下:
打開“默認(rèn)域策略”,依次展開“計(jì)算機(jī)配置”、“Windows 設(shè)置”、“安全設(shè)置”、“帳戶策略”,然后單擊“密碼策略”。依次對(duì)“ 密碼必須符合復(fù)雜性要求”,“密碼長(zhǎng)度最小值”,“密碼最長(zhǎng)使用期限”,“密碼最短使用期限”和“強(qiáng)制密碼歷史”進(jìn)行配置。在本案例中,配置策略如下:
1.密碼必須符合復(fù)雜性要求:開啟。
2.密碼長(zhǎng)度最小值:8位。
3.密碼最長(zhǎng)使用期限:60天。
4.密碼最短使用期限:1天。
5.強(qiáng)制密碼歷史:6個(gè)。
(八)加固用戶鑒別策略
為了防止非法用戶對(duì)用戶口令進(jìn)行多次猜測(cè)或字典式***,應(yīng)配置操作系統(tǒng)用戶鑒別失敗策略,即配置帳戶嘗試登陸閥值及達(dá)到閥值所采取的措施。主要配置方法如下:
打開“默認(rèn)域策略”,依次展開“計(jì)算機(jī)配置”、“Windows 設(shè)置”、“安全設(shè)置”、“帳戶策略”,然后單擊“賬戶鎖定策略”。依次對(duì)“復(fù)位帳戶鎖定計(jì)數(shù)器”,“帳戶鎖定時(shí)間”和“帳戶鎖定閾值”進(jìn)行配置。在本案例中,配置策略如下:
1.復(fù)位帳戶鎖定計(jì)數(shù)器 :30分鐘。
2.帳戶鎖定時(shí)間:30分鐘。
3.帳戶鎖定閾值:5次。
(九)加固審核策略
安全審核是Windows最基本的***檢測(cè)方法,當(dāng)有人嘗試對(duì)系統(tǒng)進(jìn)行某種方式***的時(shí)候(如嘗試用戶密碼,改變帳戶策略和未經(jīng)許可的文件訪問等等),都會(huì)被安全審核記錄下來。利用組策略開啟的審核方法如下:
打開“默認(rèn)域策略”,依次展開“計(jì)算機(jī)配置”、“Windows 設(shè)置”、“安全設(shè)置”、“本地策略”,然后單擊“審核策略”。依次對(duì)“審核策略更改”,“審核登陸事件”,“審核特權(quán)使用”,“審核系統(tǒng)事件”,“審核帳戶管理”和“審核賬戶登陸事件”進(jìn)行配置。在本案例中,配置策略如下:
1.審核策略更改:成功,失敗。
2.審核登陸事件:成功,失敗。
3.審核特權(quán)使用:成功。
4.審核系統(tǒng)事件:成功,失敗。
5.審核帳戶管理:成功。
6.審核用戶登陸事件:成功,失敗。
(十)對(duì)審核產(chǎn)生的數(shù)據(jù)分配合理的存儲(chǔ)空間和存儲(chǔ)時(shí)間
為了保證系統(tǒng)有足夠的空間存儲(chǔ)系統(tǒng)審核日志和安全審核日志,不會(huì)因?yàn)榭臻g不足而覆蓋了有用的日志信息。需要對(duì)審核產(chǎn)生的數(shù)據(jù)分配合理的存儲(chǔ)空間和存儲(chǔ)時(shí)間。具體方法如下:
打開“默認(rèn)域策略”,依次展開“計(jì)算機(jī)配置”、“Windows 設(shè)置”,然后單擊“事件日志”。依次對(duì)“安全日志保留天數(shù)”,“安全日志保留方法”,“安全日志最大值”和“系統(tǒng)日志保留天數(shù)”,“系統(tǒng)日志保留方法”,“系統(tǒng)日志最大值”進(jìn)行配置。在本案例中,配置策略如下:
1.安全日志保留天數(shù):14天。
2.安全日志保留方法:按天數(shù)。
3.安全日志最大值:40000KB。
4.系統(tǒng)日志保留天數(shù):14天。
5.系統(tǒng)日志保留方法:按天數(shù)。
6.系統(tǒng)日志最大值:40000KB。
束語
當(dāng)然要想保證整個(gè)Windows主機(jī)的安全性,還有許多其他方面需要注意,例如補(bǔ)丁更新管理;以最小權(quán)限原則對(duì)操作系統(tǒng)用戶、用戶組進(jìn)行權(quán)限設(shè)置;強(qiáng)化 TCP/IP 堆棧防止拒絕服務(wù)***和確保遠(yuǎn)程控制要有安全機(jī)制保證等等。但這些問題在本次主機(jī)脆弱性分析前均已進(jìn)行了合理配置,因此并不在整改建議中,所以這里不再贅述。
另外本文中都是以“默認(rèn)域策略”為例,實(shí)際操作過程中往往需要根據(jù)自己的需求對(duì)不同的組織單元的自定義策略分別進(jìn)行配置,不過配置方法是一樣的。
通過本次安全整改不但讓我們了解到了更多的安全知識(shí),同時(shí)也進(jìn)一步認(rèn)識(shí)到組策略工具的強(qiáng)大功能。希望本文能夠?yàn)檎跒樾畔踩β档膹V大同仁提供一點(diǎn)幫助。
?
轉(zhuǎn)載于:https://blog.51cto.com/pranay/585167
總結(jié)
以上是生活随笔為你收集整理的Windows组策略完善主机安全整改实战(1)的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 30个漂亮的大自然风格网页设计作品欣赏
- 下一篇: Project2010的新特性