前段時(shí)間，客戶的上級(jí)主管單位對(duì)客戶單位的整個(gè)信息系統(tǒng)進(jìn)行了一次全面的主機(jī)脆弱性分析。由于客戶單位的信息安全性要求較高，這次脆弱性分析也做得非常徹底，找到了很多安全漏洞，尤其是對(duì)網(wǎng)絡(luò)中的Windows主機(jī)更是提出了大量的整改意見。

在落實(shí)這些整改意見，修復(fù)主機(jī)漏洞的過程中，發(fā)現(xiàn)涉及到的計(jì)算機(jī)非常多，工作量很大，靠人力逐個(gè)計(jì)算機(jī)的去操作基本上是不可能的。這時(shí)想到了Windows系統(tǒng)中強(qiáng)大的管理工具——組策略。利用組策略批量更改配置的特性，配合計(jì)算機(jī)啟動(dòng)腳本的使用，整個(gè)安全修復(fù)工作僅用了1天就完成了。而如果靠人力逐個(gè)計(jì)算機(jī)的去操作可能要花費(fèi)至少1個(gè)月的時(shí)間。下面給大家分享一下本次利用組策略對(duì)Windows系統(tǒng)進(jìn)行全面安全防護(hù)的全過程。

一、主機(jī)脆弱性分析

本次評(píng)估中， Windows主機(jī)安全漏洞分析總共涉及到了Windows 2003服務(wù)器11臺(tái)，Windows 2000服務(wù)器12臺(tái)，以及抽樣30臺(tái)Windows XP客戶端進(jìn)行人工審計(jì)。發(fā)現(xiàn)的主要問題有：

（一）啟用了多個(gè)不必要的服務(wù)和端口

多臺(tái)Windows主機(jī)啟用了多個(gè)不需要的服務(wù)。某些啟動(dòng)的服務(wù)可能與當(dāng)前承載業(yè)務(wù)無關(guān)，例如：DHCP Client、Remote Registry、Task Scheduler、Telephony、Messenger。系統(tǒng)中開啟了多個(gè)可能不必要且易受攻擊的端口，如135、139、445、593、1025、2745、3127、6129等。

不需要的服務(wù)被啟用，惡意用戶可以通過嘗試攻擊不需要的服務(wù)來入侵系統(tǒng)，而管理員在管理維護(hù)過程通常會(huì)忽略不需要的服務(wù)，無法及時(shí)修補(bǔ)不需要服務(wù)中所存在的安全漏洞，給惡意用戶留下更多的攻擊途徑。

不需要的端口被啟用，非法者可以利用這些端口進(jìn)行攻擊，獲得系統(tǒng)相關(guān)信息，控制計(jì)算機(jī)或傳播病毒，對(duì)計(jì)算機(jī)造成危害。

（二）沒有重命名或禁用默認(rèn)帳戶

Windows主機(jī)沒有更改默認(rèn)管理員用戶名：Administrator。

默認(rèn)帳戶在帶來方便的同時(shí)也嚴(yán)重危害系統(tǒng)安全。未更改Administrator帳號(hào)，惡意攻擊者將輕易得知超級(jí)用戶的名稱，只需對(duì)密碼進(jìn)行猜測(cè)即可。

（三）未屏蔽之前登錄的用戶信息

操作系統(tǒng)登錄時(shí)，顯示上次登錄用戶名。

沒有配置此項(xiàng)安全功能，用戶啟動(dòng)主機(jī)系統(tǒng)時(shí)，登錄界面顯示上次登錄用戶名，只需輸入密碼。惡意攻擊者只需對(duì)密碼進(jìn)行猜測(cè)，無需猜測(cè)用戶名，為攻擊提供方便。

（四）操作系統(tǒng)開啟默認(rèn)共享

主機(jī)開啟了C$、D$、Admin$、IPC$等默認(rèn)共享。

默認(rèn)情況下開啟了很多共享文件夾。如C$、D$、ADMIN$等，這樣對(duì)系統(tǒng)安全帶來很多隱患。另外IPC$共享的存在將允許任何用戶通過空用戶連接得到系統(tǒng)所有賬號(hào)和共享列表。攻擊者可能利用這項(xiàng)功能，查找用戶列表，并使用字典工具，對(duì)服務(wù)器進(jìn)行攻擊。

（五）未采用屏保密碼設(shè)置

多臺(tái)Windows系統(tǒng)沒有設(shè)置在屏保后進(jìn)行鎖屏。

很多時(shí)候管理員會(huì)在離開服務(wù)器時(shí)忘記鎖定系統(tǒng)。系統(tǒng)默認(rèn)會(huì)在一定時(shí)間之后開始屏保，如果在屏保中設(shè)置了密碼保護(hù)。那么很大程度上可以保護(hù)主機(jī)系統(tǒng)不會(huì)被非法操作，減少安全風(fēng)險(xiǎn)。

（六）帳號(hào)口令長(zhǎng)度和復(fù)雜度不滿足安全要求

為了提高用戶口令字典窮舉的難度，需要配置口令策略，口令復(fù)雜性要求，為用戶設(shè)置強(qiáng)壯的口令。

（七）用戶鑒別未加固

為了防止非法用戶對(duì)用戶口令進(jìn)行反復(fù)嘗試，應(yīng)配置操作系統(tǒng)用戶鑒別失敗策略，即帳戶嘗試登陸閥值及達(dá)到閥值所采取的措施。

（八）審核策略未加固

審核是追溯惡意操作的最有力工具。系統(tǒng)默認(rèn)的審核范圍比較單一，并不能為安全事故分析提供充分的信息。因此需要配置操作系統(tǒng)的安全審計(jì)功能，確保系統(tǒng)在發(fā)生安全事件時(shí)有日志可供分析。#p#

二、安全整改方法

八條安全整改建議基本上覆蓋了大部分最常見的Windows安全問題，下面我們利用強(qiáng)大的組策略工具，對(duì)所有建議提供點(diǎn)對(duì)點(diǎn)問答式解決方案。

（一）關(guān)閉不需要的服務(wù)和端口

1，在Windows服務(wù)中禁用以下服務(wù)。

打開“默認(rèn)域策略”，依次展開“計(jì)算機(jī)配置” 、“Windows設(shè)置” 、“安全設(shè)置”，然后選中“系統(tǒng)服務(wù)”，在右邊窗格中右鍵選擇Remote Registry服務(wù)，點(diǎn)擊“屬性”。在彈出的屬性窗口中，選擇“定義這個(gè)策略設(shè)置”，并勾選“已禁用” ，然后點(diǎn)擊“確定”，關(guān)閉窗口。依次對(duì)以下服務(wù)完成以上操作。

(1)Remote Registry Service允許遠(yuǎn)程注冊(cè)表操作，如果沒有特殊的管理平臺(tái)（例如SMS）需要遠(yuǎn)程修改計(jì)算機(jī)注冊(cè)表的話，該服務(wù)也可以禁用。

(2)DHCP Client服務(wù)是用于DHCP客戶端接收服務(wù)器分發(fā)的IP地址，還可實(shí)現(xiàn)客戶機(jī)DNS動(dòng)態(tài)注冊(cè)。在本案例中，所有計(jì)算機(jī)均是固定IP地址，并無DHCP服務(wù)。所以該服務(wù)也可以關(guān)閉，這樣可防止未經(jīng)授權(quán)或惡意用戶配置或操作該服務(wù)。

(3)Task scheduler服務(wù)允許程序在指定時(shí)間運(yùn)行，如果沒有設(shè)置計(jì)劃任務(wù)的話，該服務(wù)也沒有啟動(dòng)的必要。

(4)Print Spooler服務(wù)將文件加載到內(nèi)存中以便以后打印。該服務(wù)非常容易遭到攻擊，所以除打印服務(wù)器和其他需要打印功能的計(jì)算機(jī)外，計(jì)算機(jī)上的這個(gè)服務(wù)都必須禁用。

(5)Telephony服務(wù)為電話應(yīng)用程序編程接口 (TAPI) 提供支持。 TAPI主要是用來支持傳統(tǒng)和 IP 電話服務(wù)，以提供聲音、數(shù)據(jù)和視頻通信。對(duì)于 Windows 2000 Server 和 Windows Server 2003 以及 Windows 2000 Professional 和 Windows XP 系統(tǒng)，如果尚未配置電話服務(wù)功能，Telephony服務(wù)將是一個(gè)本地特權(quán)提升漏洞。

(6)Messenger 服務(wù)負(fù)責(zé)傳輸客戶端和服務(wù)器之間的 NET SEND 和 警報(bào)器服務(wù)消息，通常該服務(wù)可以關(guān)閉。

在很多文章中還提到Computer Browser、TCP/IP NetBIOS Helper等服務(wù)也需要禁用，但事實(shí)這些服務(wù)只是在單機(jī)情況不起作用，在局域網(wǎng)環(huán)境中是十分重要的。例如如果TCP/IP NetBIOS Helper服務(wù)禁用的話，基于域的組策略將不再起作用，同時(shí)域用戶也將無法登陸。

2.關(guān)閉不必要的端口。

默認(rèn)情況下，Windows有很多端口是開放的，這些開放的端口會(huì)帶來很大的安全隱患，端口主要包括：TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口，以及一些流行病毒的后門端口（TCP 2745、3127、6129 端口等）。我們可以利用IP安全策略中的IP篩選器來關(guān)閉這些網(wǎng)絡(luò)端口，具體方法如下：

(1)打開“默認(rèn)域策略”，依次展開“計(jì)算機(jī)配置” 、“Windows設(shè)置” 、“安全設(shè)置”，然后選中“IP 安全策略，在Acive Directory” 。在右邊窗格的空白位置右擊鼠標(biāo)，彈出快捷菜單，選擇“創(chuàng)建 IP 安全策略”。在向?qū)е悬c(diǎn)擊“下一步”按鈕，為新的安全策略命名（端口屏蔽）；再按“下一步”，則顯示“安全通信請(qǐng)求”窗口，取消對(duì)“激活默認(rèn)相應(yīng)規(guī)則”的選擇，點(diǎn)擊“完成”按鈕就創(chuàng)建了一個(gè)新的IP 安全策略。

(2)右擊該IP安全策略，在“屬性”對(duì)話框中，把“使用添加向?qū)?rdquo;選項(xiàng)去掉，然后單擊“添加”按鈕添加新的規(guī)則，隨后彈出“新規(guī)則屬性”對(duì)話框，點(diǎn)擊“添加”按鈕，彈出IP篩選器列表窗口；在列表中，首先把“使用添加向?qū)?rdquo;選項(xiàng)去掉，然后再點(diǎn)擊右邊的“添加”按鈕添加新的篩選器（TCP）。

(3)進(jìn)入“篩選器屬性”對(duì)話框，首先看到的是尋址，源地址選“任何 IP 地址”，目標(biāo)地址選“我的 IP 地址”；點(diǎn)擊“協(xié)議”選項(xiàng)卡，

在“選擇協(xié)議類型”的下拉列表中選擇“TCP”，然后在“到此端口”下的文本框中輸入“135”，點(diǎn)擊“確定”按鈕，這樣就添加了一個(gè)屏蔽 TCP 135（RPC）端口的篩選器。

(4)點(diǎn)擊“確定”后回到篩選器列表的對(duì)話框，可以看到已經(jīng)添加了一條策略，重復(fù)以上步驟繼續(xù)添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口，為它們建立相應(yīng)的篩選器示。

(5)再重復(fù)以上步驟添加TCP 1025、2745、3127、6129端口的屏蔽策略，建立好上述端口的篩選器，最后點(diǎn)擊“確定”按鈕。

(6)如6圖所示，在“新規(guī)則屬性”對(duì)話框中，選擇“TCP篩選器列表”，激活它，最后點(diǎn)擊“篩選器操作”選項(xiàng)卡。在“篩選器操作”選項(xiàng)卡中，把“使用添加向?qū)?rdquo;選項(xiàng)去掉，點(diǎn)擊“添加”按鈕，在“新篩選器操作屬性”的“安全措施”選項(xiàng)卡中，選擇“阻止”，然后點(diǎn)擊“確定”按鈕。

(7)進(jìn)入“新規(guī)則屬性”對(duì)話框，激活“新篩選器操作”，關(guān)閉對(duì)話框；最后回到“新IP安全策略屬性”對(duì)話框，按“確定”按鈕關(guān)閉對(duì)話框。在“本地安全策略”窗口，用鼠標(biāo)右擊新添加的 IP 安全策略（端口屏蔽），然后選擇“指派”。

（二）重命名默認(rèn)帳戶Administrator

1.打開“默認(rèn)域策略”，依次展開“計(jì)算機(jī)配置”、“Windows 設(shè)置”、“安全設(shè)置”、“本地策略”，然后單擊“安全選項(xiàng)”。

2.在右窗格中，雙擊“帳戶：重命名系統(tǒng)管理員帳戶”。

3.單擊以選中“定義這個(gè)策略設(shè)置”復(fù)選框，然后鍵入要用于管理員帳戶的新名稱。

4.單擊“確定”。

（三）屏蔽之前登錄的用戶信息

1.打開“默認(rèn)域策略”，依次展開“計(jì)算機(jī)配置”、“Windows 設(shè)置”、“安全設(shè)置”、“本地策略”，然后單擊“安全選項(xiàng)”。

2.在右窗格中，雙擊“交互式登陸：不顯示上次的用戶名”。

3.單擊以選中“定義這個(gè)策略設(shè)置”復(fù)選框，然后選擇“啟用”。

（四）關(guān)閉默認(rèn)共享

關(guān)閉C$、D$、Admin$、IPC$等默認(rèn)共享需要使用組策略分發(fā)計(jì)算機(jī)啟動(dòng)腳本的方式來完成。計(jì)算機(jī)啟動(dòng)腳本如下：

for %%a in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do @(  
if exist %%a:\nul (  
net share %%a$ /delete  
)  
)  
net share admin$ /delete  
echo Windows Registry Editor Version 5.00> c:\delshare.reg  
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]>> c:\delshare.reg  
echo "AutoShareWks"=dword:00000000>> c:\delshare.reg  
echo "AutoShareServer"=dword:00000000>> c:\delshare.reg  
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]>> c:\delshare.reg  
echo "restrictanonymous"=dword:00000001>> c:\delshare.reg  
regedit /s c:\delshare.reg  
del c:\delshare.reg 

以上腳本利用net share命令刪除所有磁盤共享和admin$共享。但是這些被刪除的共享在計(jì)算機(jī)重新啟動(dòng)后，又會(huì)重新出現(xiàn)。為了永久刪除共享，有些人會(huì)配置上述的net share delete 命令，讓它們每次開機(jī)自動(dòng)運(yùn)行一次。其實(shí)完全可以通過修改目標(biāo)計(jì)算機(jī)注冊(cè)表來永久關(guān)閉這些共享。在注冊(cè)表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters下修改或添加AutoShareWks和AutoShareServer鍵，并將其值設(shè)為0（DWORD）。其中，鍵AutoShareServer對(duì)應(yīng)C$、D$一類的缺省共享，鍵AutoSharewks對(duì)應(yīng)ADMIN$缺省共享。

IPC$共享則和前面的“默認(rèn)共享”及“管理共享”是兩個(gè)不同的概念。它是指IPC管道連接也就是平時(shí)說的空連接，也被稱作匿名連接。空連接是指無需用戶名和密碼就能連接主機(jī)。利用這個(gè)空的連接，連接者可以得到目標(biāo)主機(jī)上的用戶列表，然后可以猜密碼，或者窮舉密碼，從而獲得更高，甚至管理員權(quán)限。所以空連接同樣需要禁止。以IPC$只有0，1，2三種級(jí)別，而沒有刪除這個(gè)說法?？者B接設(shè)置由注冊(cè)表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa下的restrictanonymous鍵來確定。該值默認(rèn)為0，即任何用戶都可以通過空連接連上服務(wù)器，匿名列出帳戶名稱和共享資源，這樣就能夠利用這些信息嘗試猜測(cè)密碼或進(jìn)行“社會(huì)工程學(xué)”攻擊。如果設(shè)置為"1"，一個(gè)匿名用戶仍然可以連接到IPC$共享，但限制通過這種連接列舉SAM帳號(hào)和共享等信息；設(shè)置為"2"，將限制所有匿名訪問除非特別授權(quán)，但這樣可能會(huì)影響一些正常的管道通信，所以微軟官方建議該鍵值設(shè)為“1”。

關(guān)于如何使用組策略分發(fā)計(jì)算機(jī)啟動(dòng)腳本，因?yàn)椴僮鞅容^簡(jiǎn)單，這里不再贅述。

（五）屏保密碼設(shè)置

針對(duì)整改建議，為了避免由于管理員疏忽，而導(dǎo)致他人濫用系統(tǒng)，我們采用如下方法統(tǒng)一配置屏保鎖定功能。

打開“默認(rèn)域策略”，依次展開“用戶配置” 、“管理模板” 、“控制面板”，然后選中“顯示”，在右邊窗格中依次對(duì)“屏幕保護(hù)程序”，“可執(zhí)行的屏幕保護(hù)程序名稱”，“密碼保護(hù)屏幕保護(hù)程序”和“屏幕保護(hù)程序超時(shí)”四項(xiàng)進(jìn)行配置。在本案例中，配置策略如下：

1.屏幕保護(hù)程序：開啟。

2.可執(zhí)行的屏幕保護(hù)程序名稱：C:\WINDOWS\Resources\Themes\Windows Classic.theme。

3.屏幕保護(hù)程序超時(shí)：8分鐘。

4.密碼保護(hù)屏幕保護(hù)程序：開啟。#p#

（六）配置帳號(hào)口令長(zhǎng)度和復(fù)雜度要求

為了提高用戶口令字典窮舉的難度，需要設(shè)置口令策略，口令復(fù)雜性要求，即為用戶設(shè)置強(qiáng)壯的口令。主要配置方法如下：

打開“默認(rèn)域策略”，依次展開“計(jì)算機(jī)配置”、“Windows 設(shè)置”、“安全設(shè)置”、“帳戶策略”，然后單擊“密碼策略”。依次對(duì)“ 密碼必須符合復(fù)雜性要求”，“密碼長(zhǎng)度最小值”，“密碼最長(zhǎng)使用期限”，“密碼最短使用期限”和“強(qiáng)制密碼歷史”進(jìn)行配置。在本案例中，配置策略如下：

1.密碼必須符合復(fù)雜性要求：開啟。

2.密碼長(zhǎng)度最小值：8位。

3.密碼最長(zhǎng)使用期限：60天。

4.密碼最短使用期限：1天。

5.強(qiáng)制密碼歷史：6個(gè)。

（八）加固用戶鑒別策略

為了防止非法用戶對(duì)用戶口令進(jìn)行多次猜測(cè)或字典式攻擊，應(yīng)配置操作系統(tǒng)用戶鑒別失敗策略，即配置帳戶嘗試登陸閥值及達(dá)到閥值所采取的措施。主要配置方法如下：

打開“默認(rèn)域策略”，依次展開“計(jì)算機(jī)配置”、“Windows 設(shè)置”、“安全設(shè)置”、“帳戶策略”，然后單擊“賬戶鎖定策略”。依次對(duì)“復(fù)位帳戶鎖定計(jì)數(shù)器”，“帳戶鎖定時(shí)間”和“帳戶鎖定閾值”進(jìn)行配置。在本案例中，配置策略如下：

1.復(fù)位帳戶鎖定計(jì)數(shù)器 ：30分鐘。

2.帳戶鎖定時(shí)間：30分鐘。

3.帳戶鎖定閾值：5次。

（九）加固審核策略

安全審核是Windows最基本的入侵檢測(cè)方法，當(dāng)有人嘗試對(duì)系統(tǒng)進(jìn)行某種方式入侵的時(shí)候(如嘗試用戶密碼,改變帳戶策略和未經(jīng)許可的文件訪問等等)，都會(huì)被安全審核記錄下來。利用組策略開啟的審核方法如下：

打開“默認(rèn)域策略”，依次展開“計(jì)算機(jī)配置”、“Windows 設(shè)置”、“安全設(shè)置”、“本地策略”，然后單擊“審核策略”。依次對(duì)“審核策略更改”，“審核登陸事件”，“審核特權(quán)使用”，“審核系統(tǒng)事件”，“審核帳戶管理”和“審核賬戶登陸事件”進(jìn)行配置。在本案例中，配置策略如下：

1.審核策略更改：成功,失敗。

2.審核登陸事件：成功,失敗。

3.審核特權(quán)使用：成功。

4.審核系統(tǒng)事件：成功,失敗。

5.審核帳戶管理：成功。

6.審核用戶登陸事件：成功,失敗。

（十）對(duì)審核產(chǎn)生的數(shù)據(jù)分配合理的存儲(chǔ)空間和存儲(chǔ)時(shí)間

為了保證系統(tǒng)有足夠的空間存儲(chǔ)系統(tǒng)審核日志和安全審核日志，不會(huì)因?yàn)榭臻g不足而覆蓋了有用的日志信息。需要對(duì)審核產(chǎn)生的數(shù)據(jù)分配合理的存儲(chǔ)空間和存儲(chǔ)時(shí)間。具體方法如下：

打開“默認(rèn)域策略”，依次展開“計(jì)算機(jī)配置”、“Windows 設(shè)置”，然后單擊“事件日志”。依次對(duì)“安全日志保留天數(shù)”，“安全日志保留方法”，“安全日志最大值”和“系統(tǒng)日志保留天數(shù)”，“系統(tǒng)日志保留方法”，“系統(tǒng)日志最大值”進(jìn)行配置。在本案例中，配置策略如下：

1.安全日志保留天數(shù)：14天。

2.安全日志保留方法：按天數(shù)。

3.安全日志最大值：40000KB。

4.系統(tǒng)日志保留天數(shù)：14天。

5.系統(tǒng)日志保留方法：按天數(shù)。

6.系統(tǒng)日志最大值：40000KB。

束語

當(dāng)然要想保證整個(gè)Windows主機(jī)的安全性，還有許多其他方面需要注意，例如補(bǔ)丁更新管理；以最小權(quán)限原則對(duì)操作系統(tǒng)用戶、用戶組進(jìn)行權(quán)限設(shè)置；強(qiáng)化 TCP/IP 堆棧防止拒絕服務(wù)攻擊和確保遠(yuǎn)程控制要有安全機(jī)制保證等等。但這些問題在本次主機(jī)脆弱性分析前均已進(jìn)行了合理配置，因此并不在整改建議中，所以這里不再贅述。

另外本文中都是以“默認(rèn)域策略”為例，實(shí)際操作過程中往往需要根據(jù)自己的需求對(duì)不同的組織單元的自定義策略分別進(jìn)行配置，不過配置方法是一樣的。

通過本次安全整改不但讓我們了解到了更多的安全知識(shí)，同時(shí)也進(jìn)一步認(rèn)識(shí)到組策略工具的強(qiáng)大功能。希望本文能夠?yàn)檎跒樾畔踩β档膹V大同仁提供一點(diǎn)幫助。

【編輯推薦】

1. 實(shí)現(xiàn)Windows 7家庭基礎(chǔ)版的無組策略優(yōu)化
2. Windows組策略部署軟件實(shí)現(xiàn)個(gè)性化操作
3. Windows組策略部署軟件實(shí)現(xiàn)自定義安裝教程
4. Windows組策略幫助任務(wù)欄與開始菜單減肥
5. Windows組策略概述及由來