@websec007
2017-05-16T09:17:11.000000Z
字数 2076
阅读 4628
Windows安全加固
一些windows常用端口的安全加固方法,以windows 2003系统为例:
TCP 135端口的加固,我们可以使用IP安全策略下发基于TCP 135为目标的端口访问控制策略,具体配置请
参加如下配置步骤
1、运行gpedit.msc计入组策略配置
2、找到IP安全策略
3、右击“IP安全策略”空白处,创建新的“IP安全策略向导”
4、设置IP安全策略名称,点击下一步;
5、去除“激活默认响应规则”,点击下一步;
6、点击“完成”,进入下一步配置;
7、去除“使用"添加向导"”复选框,点击“添加”进入IP筛选列表配置;
8、去除“使用添加向导”复选框,点击添加;
9、源地址选择“任何IP地址”,目标地址选择“我的IP地址”,去除“镜像”复选框,点击“协议”选项卡
10、在协议选项卡下,我们配置协议类型为“TCP”,从此端口,到此端口都填写135,然后确认;
11、再次添加TCP 139
12、源地址选择“任何IP地址”,目标地址选择“我的IP地址”,去除“镜像”复选框,点击“协议”选项卡
13、仍然在协议选项卡下,选择协议类型为“TCP”,从此端口,到此端口都填写为139,然后确认;
14、点击确定;
15、选中“新IP筛选器列表”,然后点击“筛选器操作”选项卡;
16、在“筛选器操作”选项卡下,我们去除“使用"添加向导"”复选框,点击添加;
17、在安全措施选项卡中,我们选项“阻止”动作应用和确认;
18、选中“新筛选器操作”点击应用;
19、点击确认;
20、选中“新IP安全策略”右击,选中指派,下发策略;
21、配置完成;
相关配置方法可参考:http://blog.csdn.net/wangjialiang/article/details/7241875
本篇文档以下的端口加固,同样可以采用 “135端口IP安全筛选的方法”进行相应的加固。
TCP 139提供的是SMB 文件与打印机共享服务,在服务器不使用的共享服务的情况想,建议关闭此“SMB文件共享服务”,具体方法如下。
第一步:关闭netbios服务
右键网上邻居->属性->本地连接属性->internet协议(tcp/ip)->高级->wins->禁用tcp/ip上的netbios
第二步:关闭“microsoft网络的文件和打印机共享”
右键网上邻居-属性-本地连接属性-去掉“microsoft网络的文件和打印机共享”前的勾
TCP 445 为我们提供的是SMB文件共享服务,在服务器上没有使用文件共享服务的情况,建议直接使用修改注册表的方式对本服务进行关闭,具体方法如下。
开始-> 运行-> regedit-> hkey_local_machine/system/currentcontrolset/services/netbt/parameters
下新DWORD值SMBDeviceEnabled,数值为0,然后退出重启。
我们可以使用关键字“EnableLMHOSTS”,直接查找netbt服务的位置,然后在“parameters”直接添加 DWORD值为0的“SMBDeviceEnabled”项
TCP 3389 众所周知,起是为我们提供远程桌面服务的,在无法关闭此服务的情况下,针对本次方程式工具箱的工具,可以建议关闭“智能卡”选项服务,具体方法如下。
右键网上邻居-属性-本地连接属性-验证,去除“启用此网络的 IEEE802.1X验证”勾选项。
在进主机加固的过程中(无论是windows还是Linux系统),针对端口下发访问控制和关闭不必要的高危服务,其是比较贴近实际应用与常见的安全加固方法。而启用主机防火墙是大家第一个能够想到的端口访问控制下发的方法,但是在实际的生产环境中,往往无法明确当前应用服务的实际使用端口情况,我们就不能盲目的启用主机防火墙,盲目的启用主机防火墙后,可能由于对正常的业务系统具体使用了那些服务端口不了解,而错误的下发了访问控制,最终导致正常业务的无法使用,这是不被允许的。当然,如果我们明确了业务系统的具体服务端口后,启用防火墙是最有效也是最安全的主机加固实现方式。
所以,我们这里主要总结windows主机的实际生产环节中较为有效的主机加固实现方法。
我们在明确主机上存在“不在用的”或者“存在高危漏洞的”服务,我们首先可以考虑将本服务关闭,从而实现主机的加固。具体的服务关闭方式,有通关想配置或者修改注册表来实现,相关常见windows高危端口服务关闭方式可以参加第“2、3、4”节内容。
对于windows主机,我们在无法关闭具体服务的情况下,同时我们又不能启用防火墙来实现端口访问控制是,我们可以考虑下发“IP安全策略”,来实现端口的访问控制,具体方法可以参见“135端口的屏蔽”一节。