前段時間,客戶的上級主管單位對客戶單位的整個信息系統進行了一次全面的主機脆弱性分析。由於客戶單位的信息安全性要求較高,這次脆弱性分析也做得非常徹底,找到了很多安全漏洞,尤其是對網絡中的Windows主機更是提出了大量的整改意見。
前言
前段時間,客戶的上級主管單位對客戶單位的整個信息系統進行了一次全面的主機脆弱性分析。由於客戶單位的信息安全性要求較高,這次脆弱性分析也做得非常徹底,找到了很多安全漏洞,尤其是對網絡中的Windows主機更是提出了大量的整改意見。
在落實這些整改意見,修復主機漏洞的過程中,發現涉及到的計算機非常多,工作量很大,靠人力逐個計算機的去操作基本上是不可能的。這時想到了Windows系統中強大的管理工具——組策略。利用組策略批量更改配置的特性,配合計算機啓動腳本的使用,整個安全修復工作僅用了1天就完成了。而如果靠人力逐個計算機的去操作可能要花費至少1個月的時間。下面給大家分享一下本次利用組策略對Windows系統進行全面安全防護的全過程。
一、主機脆弱性分析
本次評估中, Windows主機安全漏洞分析總共涉及到了Windows 2003服務器11臺,Windows 2000服務器12臺,以及抽樣30臺Windows XP客戶端進行人工審計。發現的主要問題有:
(一)啓用了多個不必要的服務和端口
多臺Windows主機啓用了多個不需要的服務。某些啓動的服務可能與當前承載業務無關,例如:DHCP Client、Remote Registry、Task Scheduler、Telephony、Messenger。系統中開啓了多個可能不必要且易受攻擊的端口,如135、139、445、593、1025、2745、3127、6129等。
不需要的服務被啓用,惡意用戶可以通過嘗試攻擊不需要的服務來入侵系統,而管理員在管理維護過程通常會忽略不需要的服務,無法及時修補不需要服務中所存在的安全漏洞,給惡意用戶留下更多的攻擊途徑。
不需要的端口被啓用,非法者可以利用這些端口進行攻擊,獲得系統相關信息,控制計算機或傳播病毒,對計算機造成危害。
(二)沒有重命名或禁用默認帳戶
Windows主機沒有更改默認管理員用戶名:Administrator。
默認帳戶在帶來方便的同時也嚴重危害系統安全。未更改Administrator帳號,惡意攻擊者將輕易得知超級用戶的名稱,只需對密碼進行猜測即可。
(三)未屏蔽之前登錄的用戶信息
操作系統登錄時,顯示上次登錄用戶名。
沒有配置此項安全功能,用戶啓動主機系統時,登錄界面顯示上次登錄用戶名,只需輸入密碼。惡意攻擊者只需對密碼進行猜測,無需猜測用戶名,爲攻擊提供方便。
(四)操作系統開啓默認共享
主機開啓了C$、D$、Admin$、IPC$等默認共享。
默認情況下開啓了很多共享文件夾。如C$、D$、ADMIN$等,這樣對系統安全帶來很多隱患。另外IPC$共享的存在將允許任何用戶通過空用戶連接得到系統所有賬號和共享列表。攻擊者可能利用這項功能,查找用戶列表,並使用字典工具,對服務器進行攻擊。
(五)未採用屏保密碼設置
多臺Windows系統沒有設置在屏保後進行鎖屏。
很多時候管理員會在離開服務器時忘記鎖定系統。系統默認會在一定時間之後開始屏保,如果在屏保中設置了密碼保護。那麼很大程度上可以保護主機系統不會被非法操作,減少安全風險。
(六)帳號口令長度和複雜度不滿足安全要求
爲了提高用戶口令字典窮舉的難度,需要配置口令策略,口令複雜性要求,爲用戶設置強壯的口令。
(七)用戶鑑別未加固
爲了防止非法用戶對用戶口令進行反覆嘗試,應配置操作系統用戶鑑別失敗策略,即帳戶嘗試登陸閥值及達到閥值所採取的措施。
(八)審覈策略未加固
審覈是追溯惡意操作的最有力工具。系統默認的審覈範圍比較單一,並不能爲安全事故分析提供充分的信息。因此需要配置操作系統的安全審計功能,確保系統在發生安全事件時有日誌可供分析。
二、安全整改方法
八條安全整改建議基本上覆蓋了大部分最常見的Windows安全問題,下面我們利用強大的組策略工具,對所有建議提供點對點問答式解決方案。
(一)關閉不需要的服務和端口
1,在Windows服務中禁用以下服務。
打開“默認域策略”,依次展開“計算機配置” 、“Windows設置” 、“安全設置”,然後選中“系統服務”,在右邊窗格中右鍵選擇Remote Registry服務,點擊“屬性”。在彈出的屬性窗口中,選擇“定義這個策略設置”,並勾選“已禁用” ,然後點擊“確定”,關閉窗口。依次對以下服務完成以上操作。
(1)Remote Registry
(2)DHCP Client
(3)Task Scheduler
(4)Print Spooler
(5)Telephony
(6)Messenger
其中:
(1)Remote Registry Service允許遠程註冊表操作,如果沒有特殊的管理平臺(例如SMS)需要遠程修改計算機註冊表的話,該服務也可以禁用。
(2)DHCP Client服務是用於DHCP客戶端接收服務器分發的IP地址,還可實現客戶機DNS動態註冊。在本案例中,所有計算機均是固定IP地址,並無DHCP服務。所以該服務也可以關閉,這樣可防止未經授權或惡意用戶配置或操作該服務。
(3)Task scheduler服務允許程序在指定時間運行,如果沒有設置計劃任務的話,該服務也沒有啓動的必要。
(4)Print Spooler服務將文件加載到內存中以便以後打印。該服務非常容易遭到攻擊,所以除打印服務器和其他需要打印功能的計算機外,計算機上的這個服務都必須禁用。
(5)Telephony服務爲電話應用程序編程接口 (TAPI) 提供支持。 TAPI主要是用來支持傳統和 IP 電話服務,以提供聲音、數據和視頻通信。對於 Windows 2000 Server 和 Windows Server 2003 以及 Windows 2000 Professional 和 Windows XP 系統,如果尚未配置電話服務功能,Telephony服務將是一個本地特權提升漏洞。
(6)Messenger 服務負責傳輸客戶端和服務器之間的 NET SEND 和 警報器服務消息,通常該服務可以關閉。
在很多文章中還提到Computer Browser、TCP/IP NetBIOS Helper等服務也需要禁用,但事實這些服務只是在單機情況不起作用,在局域網環境中是十分重要的。例如如果TCP/IP NetBIOS Helper服務禁用的話,基於域的組策略將不再起作用,同時域用戶也將無法登陸。
2.關閉不必要的端口。
默認情況下,Windows有很多端口是開放的,這些開放的端口會帶來很大的安全隱患,端口主要包括:TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口,以及一些流行病毒的後門端口(TCP 2745、3127、6129 端口等)。我們可以利用IP安全策略中的IP篩選器來關閉這些網絡端口,具體方法如下:
(1)打開“默認域策略”,依次展開“計算機配置” 、“Windows設置” 、“安全設置”,然後選中“IP 安全策略,在Acive Directory” 。在右邊窗格的空白位置右擊鼠標,彈出快捷菜單,選擇“創建 IP 安全策略”。在嚮導中點擊“下一步”按鈕,爲新的安全策略命名(端口屏蔽);再按“下一步”,則顯示“安全通信請求”窗口,取消對“激活默認相應規則”的選擇,點擊“完成”按鈕就創建了一個新的IP 安全策略。
(2)右擊該IP安全策略,在“屬性”對話框中,把“使用添加嚮導”選項去掉,然後單擊“添加”按鈕添加新的規則,隨後彈出“新規則屬性”對話框,點擊“添加”按鈕,彈出IP篩選器列表窗口;在列表中,首先把“使用添加嚮導”選項去掉,然後再點擊右邊的“添加”按鈕添加新的篩選器(TCP)。
(3)進入“篩選器屬性”對話框,首先看到的是尋址,源地址選“任何 IP 地址”,目標地址選“我的 IP 地址”;點擊“協議”選項卡,
在“選擇協議類型”的下拉列表中選擇“TCP”,然後在“到此端口”下的文本框中輸入“135”,點擊“確定”按鈕,這樣就添加了一個屏蔽 TCP 135(RPC)端口的篩選器。
(4)點擊“確定”後回到篩選器列表的對話框,可以看到已經添加了一條策略,重複以上步驟繼續添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口,爲它們建立相應的篩選器示。
(5)再重複以上步驟添加TCP 1025、2745、3127、6129端口的屏蔽策略,建立好上述端口的篩選器,最後點擊“確定”按鈕。
(6)如6圖所示,在“新規則屬性”對話框中,選擇“TCP篩選器列表”,激活它,最後點擊“篩選器操作”選項卡。在“篩選器操作”選項卡中,把“使用添加嚮導”選項去掉,點擊“添加”按鈕,在“新篩選器操作屬性”的“安全措施”選項卡中,選擇“阻止”,然後點擊“確定”按鈕。
(7)進入“新規則屬性”對話框,激活“新篩選器操作”,關閉對話框;最後回到“新IP安全策略屬性”對話框,按“確定”按鈕關閉對話框。在“本地安全策略”窗口,用鼠標右擊新添加的 IP 安全策略(端口屏蔽),然後選擇“指派”。
(二)重命名默認帳戶Administrator
1.打開“默認域策略”,依次展開“計算機配置”、“Windows 設置”、“安全設置”、“本地策略”,然後單擊“安全選項”。
2.在右窗格中,雙擊“帳戶:重命名系統管理員帳戶”。
3.單擊以選中“定義這個策略設置”複選框,然後鍵入要用於管理員帳戶的新名稱。
4.單擊“確定”。
(三)屏蔽之前登錄的用戶信息
1.打開“默認域策略”,依次展開“計算機配置”、“Windows 設置”、“安全設置”、“本地策略”,然後單擊“安全選項”。
2.在右窗格中,雙擊“交互式登陸:不顯示上次的用戶名”。
3.單擊以選中“定義這個策略設置”複選框,然後選擇“啓用”。
(四)關閉默認共享
關閉C$、D$、Admin$、IPC$等默認共享需要使用組策略分發計算機啓動腳本的方式來完成。計算機啓動腳本如下:
for %%a in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do @(
if exist %%a:\nul (
net share %%a$ /delete
)
)
net share admin$ /delete
echo Windows Registry Editor Version 5.00> c:\delshare.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]>> c:\delshare.reg
echo "AutoShareWks"=dword:00000000>> c:\delshare.reg
echo "AutoShareServer"=dword:00000000>> c:\delshare.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]>> c:\delshare.reg
echo "restrictanonymous"=dword:00000001>> c:\delshare.reg
regedit /s c:\delshare.reg
del c:\delshare.reg
以上腳本利用net share命令刪除所有磁盤共享和admin$共享。但是這些被刪除的共享在計算機重新啓動後,又會重新出現。爲了永久刪除共享,有些人會配置上述的net share delete 命令,讓它們每次開機自動運行一次。其實完全可以通過修改目標計算機註冊表來永久關閉這些共享。在註冊表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters下修改或添加AutoShareWks和AutoShareServer鍵,並將其值設爲0(DWORD)。其中,鍵AutoShareServer對應C$、D$一類的缺省共享,鍵AutoSharewks對應ADMIN$缺省共享。
IPC$共享則和前面的“默認共享”及“管理共享”是兩個不同的概念。它是指IPC管道連接也就是平時說的空連接,也被稱作匿名連接。空連接是指無需用戶名和密碼就能連接主機。利用這個空的連接,連接者可以得到目標主機上的用戶列表,然後可以猜密碼,或者窮舉密碼,從而獲得更高,甚至管理員權限。所以空連接同樣需要禁止。以IPC$只有0,1,2三種級別,而沒有刪除這個說法。空連接設置由註冊表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa下的restrictanonymous鍵來確定。該值默認爲0,即任何用戶都可以通過空連接連上服務器,匿名列出帳戶名稱和共享資源,這樣就能夠利用這些信息嘗試猜測密碼或進行“社會工程學”攻擊。如果設置爲"1",一個匿名用戶仍然可以連接到IPC$共享,但限制通過這種連接列舉SAM帳號和共享等信息;設置爲"2",將限制所有匿名訪問除非特別授權,但這樣可能會影響一些正常的管道通信,所以微軟官方建議該鍵值設爲“1”。
關於如何使用組策略分發計算機啓動腳本,因爲操作比較簡單,這裏不再贅述。
(五)屏保密碼設置
針對整改建議,爲了避免由於管理員疏忽,而導致他人濫用系統,我們採用如下方法統一配置屏保鎖定功能。
打開“默認域策略”,依次展開“用戶配置” 、“管理模板” 、“控制面板”,然後選中“顯示”,在右邊窗格中依次對“屏幕保護程序”,“可執行的屏幕保護程序名稱”,“密碼保護屏幕保護程序”和“屏幕保護程序超時”四項進行配置。在本案例中,配置策略如下:
1.屏幕保護程序:開啓。
2.可執行的屏幕保護程序名稱:C:\WINDOWS\Resources\Themes\Windows Classic.theme。
3.屏幕保護程序超時:8分鐘。
4.密碼保護屏幕保護程序:開啓。
(六)配置帳號口令長度和複雜度要求
爲了提高用戶口令字典窮舉的難度,需要設置口令策略,口令複雜性要求,即爲用戶設置強壯的口令。主要配置方法如下:
打開“默認域策略”,依次展開“計算機配置”、“Windows 設置”、“安全設置”、“帳戶策略”,然後單擊“密碼策略”。依次對“ 密碼必須符合複雜性要求”,“密碼長度最小值”,“密碼最長使用期限”,“密碼最短使用期限”和“強制密碼歷史”進行配置。在本案例中,配置策略如下:
1.密碼必須符合複雜性要求:開啓。
2.密碼長度最小值:8位。
3.密碼最長使用期限:60天。
4.密碼最短使用期限:1天。
5.強制密碼歷史:6個。
(八)加固用戶鑑別策略
爲了防止非法用戶對用戶口令進行多次猜測或字典式攻擊,應配置操作系統用戶鑑別失敗策略,即配置帳戶嘗試登陸閥值及達到閥值所採取的措施。主要配置方法如下:
打開“默認域策略”,依次展開“計算機配置”、“Windows 設置”、“安全設置”、“帳戶策略”,然後單擊“賬戶鎖定策略”。依次對“復位帳戶鎖定計數器”,“帳戶鎖定時間”和“帳戶鎖定閾值”進行配置。在本案例中,配置策略如下:
1.復位帳戶鎖定計數器 :30分鐘。
2.帳戶鎖定時間:30分鐘。
3.帳戶鎖定閾值:5次。
(九)加固審覈策略
安全審覈是Windows最基本的入侵檢測方法,當有人嘗試對系統進行某種方式入侵的時候(如嘗試用戶密碼,改變帳戶策略和未經許可的文件訪問等等),都會被安全審覈記錄下來。利用組策略開啓的審覈方法如下:
打開“默認域策略”,依次展開“計算機配置”、“Windows 設置”、“安全設置”、“本地策略”,然後單擊“審覈策略”。依次對“審覈策略更改”,“審覈登陸事件”,“審覈特權使用”,“審覈系統事件”,“審覈帳戶管理”和“審覈賬戶登陸事件”進行配置。在本案例中,配置策略如下:
1.審覈策略更改:成功,失敗。
2.審覈登陸事件:成功,失敗。
3.審覈特權使用:成功。
4.審覈系統事件:成功,失敗。
5.審覈帳戶管理:成功。
6.審覈用戶登陸事件:成功,失敗。
(十)對審覈產生的數據分配合理的存儲空間和存儲時間
爲了保證系統有足夠的空間存儲系統審覈日誌和安全審覈日誌,不會因爲空間不足而覆蓋了有用的日誌信息。需要對審覈產生的數據分配合理的存儲空間和存儲時間。具體方法如下:
打開“默認域策略”,依次展開“計算機配置”、“Windows 設置”,然後單擊“事件日誌”。依次對“安全日誌保留天數”,“安全日誌保留方法”,“安全日誌最大值”和“系統日誌保留天數”,“系統日誌保留方法”,“系統日誌最大值”進行配置。在本案例中,配置策略如下:
1.安全日誌保留天數:14天。
2.安全日誌保留方法:按天數。
3.安全日誌最大值:40000KB。
4.系統日誌保留天數:14天。
5.系統日誌保留方法:按天數。
6.系統日誌最大值:40000KB。
束語
當然要想保證整個Windows主機的安全性,還有許多其他方面需要注意,例如補丁更新管理;以最小權限原則對操作系統用戶、用戶組進行權限設置;強化 TCP/IP 堆棧防止拒絕服務攻擊和確保遠程控制要有安全機制保證等等。但這些問題在本次主機脆弱性分析前均已進行了合理配置,因此並不在整改建議中,所以這裏不再贅述。
另外本文中都是以“默認域策略”爲例,實際操作過程中往往需要根據自己的需求對不同的組織單元的自定義策略分別進行配置,不過配置方法是一樣的。
通過本次安全整改不但讓我們瞭解到了更多的安全知識,同時也進一步認識到組策略工具的強大功能。希望本文能夠爲正在爲信息安全忙碌的廣大同仁提供一點幫助。