《Hardening Windows》的作者Jonathan Hassell進(jìn)行了一次檢查表式的網(wǎng)上直播，概述了你現(xiàn)在馬上可以采取，用以強(qiáng)化Windows Server 2003功能的15個(gè)步驟，以更好的應(yīng)對(duì)各種威脅。我們現(xiàn)在就來(lái)看看Jonathan的15個(gè)步驟以及他提到的一些要點(diǎn)。

第1步：嚴(yán)格對(duì)待密碼

要點(diǎn)：鼓勵(lì)大家使用口令，并且使用的密碼不少于15個(gè)字符，以此來(lái)更好的強(qiáng)化密碼驗(yàn)證技術(shù)。

第2步：通過(guò)組策略來(lái)使用Windows XP軟件限制策略

要點(diǎn)：使用組策略來(lái)阻止所有相關(guān)的腳本擴(kuò)展，特別是禁止惡意程序（cmd.exe和Regedit.exe）。

第3步：?jiǎn)⒂肐nternet連接防火墻（ICF）

要點(diǎn)：你公司中幾乎每一臺(tái)機(jī)器都會(huì)受益于防火墻。ICF只攔截進(jìn)入的網(wǎng)絡(luò)流量，使用狀態(tài)包檢測(cè)，可以讓你強(qiáng)行打開(kāi)一些特殊的端口。

第4步：去掉LM哈希

要點(diǎn)：為了消除LM哈希，你需要一個(gè)含有至少15個(gè)字符的密碼，并且要開(kāi)啟安全選項(xiàng)中的“網(wǎng)絡(luò)安全：在下次更改密碼時(shí)不存儲(chǔ)LAN Manager的哈希值”這個(gè)選項(xiàng)。

第5步：加強(qiáng)TCP/IP協(xié)議棧

要點(diǎn)：不要直接將Windows系統(tǒng)連接到Internet。相反，你應(yīng)該為TCP連接增加內(nèi)存，減少三次握手（3-way handshakes）所造成的超時(shí)值。

第6步：強(qiáng)制實(shí)行SMB簽名

要點(diǎn)：SMB簽名將有助你防止中間人攻擊。

第7步：強(qiáng)化網(wǎng)絡(luò)策略

要點(diǎn)：您應(yīng)該啟用這項(xiàng)設(shè)置：“不允許SAM的匿名枚舉”，禁用這項(xiàng)設(shè)置：“允許匿名的SID / Name轉(zhuǎn)換。”這可能是考慮到用隱晦帶來(lái)安全（security by obscurity），但它卻是強(qiáng)化Windows系統(tǒng)功能的一個(gè)重要組成部分。

第8步：使用軟件更新服務(wù)（SUS）

要點(diǎn)：你應(yīng)該一直使用SUS或其他補(bǔ)丁管理系統(tǒng)，來(lái)接收、分配和安排最新發(fā)布的補(bǔ)丁。

第9步：隔離與清除

要點(diǎn)：這是非常重要的一步。在使用網(wǎng)絡(luò)訪問(wèn)隔離控制時(shí)，你應(yīng)該限制或禁止某些客戶資源，把沒(méi)有隔離的客戶放在一個(gè)holding bin里來(lái)驗(yàn)證系統(tǒng)的屬性，并在它們被允許連接到網(wǎng)絡(luò)以前，提供相應(yīng)的資源，最終修正被發(fā)現(xiàn)的問(wèn)題。

第10步：做好最壞的打算

要點(diǎn)：為了做好系統(tǒng)崩潰的打算，你應(yīng)該使用腳本來(lái)建立系統(tǒng)基本框架的80％，并且留更多的時(shí)間給自己手動(dòng)地建立其余的20％。

第11步：獲取組策略管理控制臺(tái)

要點(diǎn)：使用組策略來(lái)設(shè)置整體的安全策略，現(xiàn)在比以往更容易了——你應(yīng)該好好利用這個(gè)優(yōu)勢(shì)。

第12步：使用微軟基準(zhǔn)安全分析器（MBSA）

要點(diǎn)：這是一個(gè)很方便的工具，可以用來(lái)掃描計(jì)算機(jī)上不安全的配置。微軟會(huì)對(duì)它進(jìn)行不斷的更新，并且它也支持許多其他的產(chǎn)品。

第13步：熟悉IPsec

要點(diǎn)：IP的使用越廣泛就越要注意對(duì)其進(jìn)行加密。您應(yīng)該使用IPsec來(lái)保護(hù)服務(wù)器之間的傳輸、客戶端之間的信道以及任何兩端都會(huì)識(shí)別Ipsec的點(diǎn)到點(diǎn)IP傳輸。

第14步：使用Internet信息服務(wù)（IIS）6.0

要點(diǎn)：由于許多新的安全改進(jìn)，IIS最終為完美托管做好了準(zhǔn)備。

第15步：使用Windows Server 2003 Service Pack 1

要點(diǎn)：針對(duì)在2005年中期發(fā)布的版本，其改進(jìn)的地方包括一個(gè)安全配置向?qū)Ш瓦h(yuǎn)程客戶端隔離。

最新評(píng)論