应用 组策略进行的一次Windows主机安全整改

前言
　　前段时间，客户的上级主管单位对客户单位的整个信息系统进行了一次全面的主机脆弱性剖析 。由于客户单位的信息安全性要求较高，这次脆弱性剖析 也做得十分 彻底，找到了很多安全漏洞，特别 是对网络中的Windows主机更是提出了大量的整改意见。
　　在落实这些整改意见，修复主机漏洞的过程中，发现触及 到的计算机十分 多，工作量很大，靠人力逐一 计算机的去操作基本上是不可能的。这时想到了Windows 中强大的管理工具——组策略。应用 组策略批量更改配置的特性，配合计算机启动脚本的使用，整个安全修复工作仅用了1天就完成了。而假如 靠人力逐一 计算机的去操作可能要破费 至少1个月的时间。下面给大家分享一下本次应用 组策略对Windows 进行全面安全防护的全过程。
　　一、主机脆弱性剖析
　　本次评价 中， Windows主机安全漏洞剖析 总共触及 到了Windows 2003服务器11台，Windows 2000服务器12台，以及抽样30台Windows XP客户端进行人工审计。发现的主要问题有：
　　（一）启用了多个不用 要的服务和端口
　　多台Windows主机启用了多个不需要. 的服务。某些启动的服务可能与当前承载业务无关，例如：DHCP Client、Remote Registry、Task Scheduler、Telephony、Messenger。系统中开启了多个可能不用 要且易受攻击的端口，如135、139、445、593、1025、2745、3127、6129等。
　　不需要. 的服务被启用，恶意用户可以通过尝试攻击不需要. 的服务来入侵系统，而管理员在管理维护过程通常会疏忽 不需要. 的服务，无法及时修补不需要. 服务中所存在的安全漏洞，给恶意用户留下更多的攻击途径。
　　不需要. 的端口被启用，非法者可以应用 这些端口进行攻击，取得 系统相关信息，控制计算机或传播病毒，对计算机形成 危害。
　　（二）没有重命名或禁用默认帐户
　　Windows主机没有更改默认管理员用户名：Administrator。
　　默认帐户在带来方.便 的同时也严重危害系统安全。未更改Administrator帐号，恶意攻击者将随便 得知超级用户的称号 ，只需对密码进行猜想 即可。
　　（三）未屏蔽之前登录的用户信息
　　操作系统登录时，显示上次登录用户名。
　　没有配置此项安全功能，用户启动主机系统时，登录界面显示上次登录用户名，只需输入密码。恶意攻击者只需对密码进行猜想 ，无需猜想 用户名，为攻击提供方.便 。
　　（四）操作系统开启默认共享
　　主机开启了C$、D$、Admin$、IPC$等默认共享。
　　默认状况 下开启了很多共享文件夹。如C$、D$、ADMIN$等，这样对系统安全带来很多隐患。另外IPC$共享的存在将允许任何用户通过空用户连接得到系统一切 账号和共享列表。攻击者可能应用 这项功能，查找用户列表，并使用字典工具，对服务器进行攻击。
　　（五）未采用屏失密 码设置
　　多台Windows 没有设置在屏保后进行锁屏。
　　很多时候管理员会在分开 服务器时遗忘 锁定系统。系统默认会在一定时间之后开始屏保，假如 在屏保中设置了密码保护。那么很大水平 上可以保护主机系统不会被非法操作，减少安全风险。
　　（六）帐号口令长度和复杂度不满足安全要求
　　为了提高用户口令字典穷举的难度，需要. 配置口令策略，口令复杂性要求，为用户设置强壮的口令。
　　（七）用户鉴别未加固
　　为了避免 非法用户对用户口令进行重复 尝试，应配置操作系统用户鉴别失败策略，即帐户尝试登陆阀值及到达 阀值所采取的措施。
　　（八）审核策略未加固
　　审核是追溯恶意操作的最有力工具。系统默认的审核范围比较单一，并不能为安全事故剖析 提供充沛 的信息。因而 需要. 配置操作系统的安全审计功能，确保系统在发作 安全事情 时有日志可供剖析 。
　　二、安全整改方法
　八条安全整改建议基本上掩盖 了大部分最常见的Windows安全问题，下面我们应用 强大的组策略工具，对一切 建议提供点对点问答式解决计划 。
　　（一）关闭不需要. 的服务和端口
　　1，在Windows服务中禁用以下服务。
　　打开“默认域策略”，依次展开“计算机配置” 、“Windows设置” 、“安全设置”，然后选中“系统服务”，在右边窗格中右键选择Remote Registry服务，点击“属性”。在弹出的属性窗口中，选择“定义这个策略设置”，并勾选“已禁用” ，然后点击“确定”，关闭窗口。依次对以下服务完成以上操作。
　　(1)Remote Registry
　　(2)DHCP Client
　　(3)Task Scheduler
　　(4)Print Spooler
　　(5)Telephony
　　(6)Messenger
　　其中：
　　(1)Remote Registry Service允许远程注册表操作，假如 没有特殊的管理平台（例如SMS）需要. 远程修改计算机注册表的话，该服务也可以禁用。
　　(2)DHCP Client服务是用于DHCP客户端接纳 服务器分发的IP地址，还可实现客户机DNS动态注册。在本案例中，一切 计算机均是固定IP地址，并无DHCP服务。所以该服务也可以关闭，这样可避免 未经受权 或恶意用户配置或操作该服务。
　　(3)Task scheduler服务允许程序在指定时间运行，假如 没有设置方案 任务的话，该服务也没有启动的必要。
　　(4)Print Spooler服务将文件加载到内存中以便以后打印。该服务十分 容易遭到攻击，所以除打印服务器和其他需要. 打印功能的计算机外，计算机上的这个服务都必须禁用。
　　(5)Telephony服务为电话应用程序编程接口 (TAPI) 提供支持。 TAPI主要是用来支持传统和 IP 电话服务，以提供声音、数据和视频通讯 。对于 Windows 2000 Server 和 Windows Server 2003 以及 Windows 2000 Professional 和 Windows XP 系统，假如 尚未配置电话服务功能，Telephony服务将是一个本地特权提升漏洞。
　　(6)Messenger 服务担任 传输客户端和服务器之间的 NET SEND 和 警报器服务音讯 ，通常该服务可以关闭。
　　在很多文章中还提到Computer Browser、TCP/IP NetBIOS Helper等服务也需要. 禁用，但事实这些服务只是在单机状况 不起作用，在局域网环境中是非常 重要的。例如假如 TCP/IP NetBIOS Helper服务禁用的话，基于域的组策略将不再起作用，同时域用户也将无法登陆。
　　2.关闭不用 要的端口。
　　默认状况 下，Windows有很多端口是开放的，这些开放的端口会带来很大的安全隐患，端口主要包括：TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口，以及一些盛行 病毒的后门端口（TCP 2745、3127、6129 端口等）。我们可以应用 IP安全策略中的IP挑选 器来关闭这些网络端口，具体方法如下：
　　(1)打开“默认域策略”，依次展开“计算机配置” 、“Windows设置” 、“安全设置”，然后选中“IP 安全策略，在Acive Directory” 。在右边窗格的空白位置右击鼠标，弹出快捷菜单，选择“创建 IP 安全策略”。在导游 中点击“下一步”按钮，为新的安全策略命名（端口屏蔽）；再按“下一步”，则显示“安全通讯 恳求 ”窗口，取消对“激活默认相应规则”的选择，点击“完成”按钮就创建了一个新的IP 安全策略。
　　(2)右击该IP安全策略，在“属性”对话框中，把“使用添加导游 ”选项去掉，然后单击“添加”按钮添加新的规则，随后弹出“新规则属性”对话框，点击“添加”按钮，弹出IP挑选 器列表窗口；在列表中，首先把“使用添加导游 ”选项去掉，然后再点击右边的“添加”按钮添加新的挑选 器（TCP）。
　　(3)进入“挑选 器属性”对话框，首先看到的是寻址，源地址选“任何 IP 地址”，目的 地址选“我的 IP 地址”；点击“协议 ”选项卡，在“选择协议 类型”的下拉列表当选 择“TCP”，然后在“到此端口”下的文本框中输入“135”，点击“确定”按钮，这样就添加了一个屏蔽 TCP 135（RPC）端口的挑选 器。
　　(4)点击“确定”后回到挑选 器列表的对话框，可以看到已经添加了一条策略，重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口，为它们建立相应的挑选 器示。
　　(5)再重复以上步骤添加TCP 1025、2745、3127、6129端口的屏蔽策略，建立好上述端口的挑选 器，最后点击“确定”按钮。
　　(6)如6图所示[win7旗舰版系统下载] ，在“新规则属性”对话框中，选择“TCP挑选 器列表”，激活它，最后点击“挑选 器操作”选项卡。在“挑选 器操作”选项卡中，把“使用添加导游 ”选项去掉，点击“添加”按钮，在“新挑选 器操作属性”的“安全措施”选项卡中，选择“阻止”，然后点击“确定”按钮。
　　(7)进入“新规则属性”对话框，激活“新挑选 器操作”，关闭对话框；最后回到“新IP安全策略属性”对话框，按“确定”按钮关闭对话框。在“本地安全策略”窗口，用鼠标右击新添加的 IP 安全策略（端口屏蔽），然后选择“指派”。
　　（二）重命名默认帐户Administrator
　　1.打开“默认域策略”，依次展开“计算机配置”、“Windows 设置”、“安全设置”、“本地策略”，然后单击“安全选项”。
　　2.在右窗格中，双击“帐户：重命名系统管理员帐户”。
　　3.单击以选中“定义这个策略设置”复选框，然后键入要用于管理员帐户的新称号 。
　　4.单击“确定”。
　　（三）屏蔽之前登录的用户信息
　　1.打开“默认域策略”，依次展开“计算机配置”、“Windows 设置”、“安全设置”、“本地策略”，然后单击“安全选项”。
　　2.在右窗格中，双击“交互式登陆：不显示上次的用户名”。
　　3.单击以选中“定义这个策略设置”复选框，然后选择“启用”。
　　（四）关闭默认共享
　　关闭C$、D$、Admin$、IPC$等默认共享需要. 使用组策略分发计算机启动脚本的方式来完成。计算机启动脚本如下：
　　for %%a in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do @(
　　if exist %%a:nul (
　　net share %%a$ /delete
　　)
　　)
　　net share admin$ /delete
　　echo Windows Registry Editor Version 5.00> c:delshare.reg
　　echo [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters]>> c:delshare.reg
　　echo "AutoShareWks"=dword:00000000>> c:delshare.reg
　　echo "AutoShareServer"=dword:00000000>> c:delshare.reg
　　echo [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa]>> c:delshare.reg
　　echo "restrictanonymous"=dword:00000001>> c:delshare.reg
　　regedit /s c:delshare.reg
　　del c:delshare.reg
　　以上脚本应用 net share命令删除一切 磁盘共享和admin$共享。但是这些被删除的共享在计算机重新启动后，又会重新出现。为了永世 删除共享，有些人会配置上述的net share delete 命令，让它们每次开机自动运行一次。其实完全可以通过修改目的 计算机注册表来永世 关闭这些共享。在注册表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters下修改或添加AutoShareWks和AutoShareServer键，并将其值设为0（DWORD）。其中，键AutoShareServer对应C$、D$一类的缺省共享，键AutoSharewks对应ADMIN$缺省共享。
　　IPC$共享则和前面的“默认共享”及“管理共享”是两个不同的概念。它是指IPC管道连接也就是平常 说的空连接，也被称作匿名连接。空连接是指无需用户名和密码就能连接主机。应用 这个空的连接，连接者可以得到目的 主机上的用户列表，然后可以猜密码，或者穷举密码，从而取得 更高，甚至管理员权限。所以空连接同样需要. 禁止。以IPC$只有0，1，2三种级别，而没有删除这个说法。空连接设置由注册表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa下的restrictanonymous键来确定。该值默觉得 0，即任何用户都可以通过空连接连上服务器，匿名列出帐户称号 和共享资源，这样就可以 应用 这些信息尝试猜想 密码或进行“社会工程学”攻击。假如 设置为"1"，一个匿名用户依然 可以连接到IPC$共享，但限制通过这种连接罗列 SAM帐号和共享等信息；设置为"2"，将限制一切 匿名访问除非特别受权 ，但这样可能会影响一些正常的管道通讯 ，所以微软官方建议该键值设为“1”。
　　关于如何使用组策略分发计算机启动脚本，由于 操作比较简单，这里不再赘述。
　　（五）屏失密 码设置
　　针对整改建议，为了避免由于管理员忽略 ，而导致别人 滥用系统，我们采用如下方法统一配置屏保锁定功能。
　　打开“默认域策略”，依次展开“用户配置” 、“管理模板” 、“控制面板”，然后选中“显示”，在右边窗格中依次对“屏幕保护程序”，“可执行的屏幕保护程序称号 ”，“密码保护屏幕保护程序”和“屏幕保护程序超时”四项进行配置。在本案例中，配置策略如下：
　　1.屏幕保护程序：开启。
　　2.可执行的屏幕保护程序称号 ：C:WINDOWSResourcesThemesWindows Classic.theme。
　　3.屏幕保护程序超时：8分钟。
　　4.密码保护屏幕保护程序：开启。
　　（六）配置帐号口令长度和复杂度要求
　　为了提高用户口令字典穷举的难度，需要. 设置口令策略，口令复杂性要求，即为用户设置强壮的口令。主要配置方法如下：
　　打开“默认域策略”，依次展开“计算机配置”、“Windows 设置”、“安全设置”、“帐户策略”，然后单击“密码策略”。依次对“ 密码必须契合 复杂性要求”，“密码长度最小值”，“密码最长使用期限”，“密码最短使用期限”和“强迫 密码历史”进行配置。在本案例中，配置策略如下：
　　1.密码必须契合 复杂性要求：开启。
　　2.密码长度最小值：8位。
　　3.密码最长使用期限：60天。
　　4.密码最短使用期限：1天。
　　5.强迫 密码历史：6个。
　　（八）加固用户鉴别策略
　　为了避免 非法用户对用户口令进行屡次 猜想 或字典式攻击，应配置操作系统用户鉴别失败策略，即配置帐户尝试登陆阀值及到达 阀值所采取的措施。主要配置方法如下：
　　打开“默认域策略”，依次展开“计算机配置”、“Windows 设置”、“安全设置”、“帐户策略”，然后单击“账户锁定策略”。依次对“复位帐户锁定计数器”，“帐户锁定时间”和“帐户锁定阈值”进行配置。在本案例中，配置策略如下：
　　1.复位帐户锁定计数器 ：30分钟。
　　2.帐户锁定时间：30分钟。
　　3.帐户锁定阈值：5次。
　　（九）加固审核策略
　　安全审核是Windows最基本的入侵检测方法，当有人尝试对系统进行某种方式入侵的时候(如尝试用户密码,改动 帐户策略和未经答应 的文件访问等等)，都会被安全审核记录下来。应用 组策略开启的审核方法如下：
　　打开“默认域策略”，依次展开“计算机配置”、“Windows 设置”、“安全设置”、“本地策略”，然后单击“审核策略”。依次对“审核策略更改”，“审核登陆事情 ”，“审核特权使用”，“审核系统事情 ”，“审核帐户管理”和“审核账户登陆事情 ”进行配置。在本案例中，配置策略如下：
　　1.审核策略更改：成功,失败。
　　2.审核登陆事情 ：成功,失败。
　　3.审核特权使用：成功。
　　4.审核系统事情 ：成功,失败。
　　5.审核帐户管理：成功。
　　6.审核用户登陆事情 ：成功,失败。
　　（十）对审核产生的数据分配合理的存储空间和存储时间
　　为了保证系统有足够的空间存储系统审核日志和安全审核日志，不会由于 空间不足而掩盖 了有用的日志信息。需要. 对审核产生的数据分配合理的存储空间和存储时间。具体方法如下：
　　打开“默认域策略”，依次展开“计算机配置”、“Windows 设置”，然后单击“事情 日志”。依次对“安全日志保留 天数”，“安全日志保留 方法”，“安全日志最大值”和“系统日志保留 天数”，“系统日志保留 方法”，“系统日志最大值”进行配置。在本案例中，配置策略如下：
　　1.安全日志保留 天数：14天。
　　2.安全日志保留 方法：按天数。
　　3.安全日志最大值：40000KB。
　　4.系统日志保留 天数：14天。
　　5.系统日志保留 方法：按天数。
　　6.系统日志最大值：40000KB。
　　束语
　　当然要想保证整个Windows主机的安全性，还有许多其他方面需要. 注意，例如补丁更新管理；以最小权限原则对操作系统用户、用户组进行权限设置；强化 TCP/IP 堆栈避免 回绝 服务攻击和确保远程控制要有安全机制保证等等。但这些问题在本次主机脆弱性剖析 前均已进行了合理配置，因而 并不在整改建议中，所以这里不再赘述。
　　另外本文中都是以“默认域策略”为例，实际操作过程中常常 需要. 依据 自己. 的需求对不同的组织单元的自定义策略分别进行配置，不过配置方法是一样的。
　　通过本次安全整改不但让我们理解 到了更多的安全知识，同时也进一步认识到组策略工具的强大功能。希望本文可以 为正在为信息安全繁忙 的广大同仁提供一点帮助。