20CN网络安全小组论坛 - 黑客进阶 - windows2000系列Internet服务器安全配置指南

论坛: 黑客进阶标题: windows2000系列Internet服务器安全配置指南

作者: TomyChen [quest]

版主

我一个朋友写的...

作者: arlenecc
出自：http://www.tomydan.net
mail：arlenecc@263.net

如需转载请注明出处，如有改动请mail一份给我，谢谢
写在前面：

安全级别主要有三个档次：低安全性、中等安全性、高安全性。低安全性是指在一个不太安全的位置，没有相应的安全机制没有扫描病毒系统，没有很多敏感信息的机器所处的安全级别。中等安全性是指保存公众数据，需要被多人使用，设置权限，激活审核，实现账号策略。高安全性是指位于高风险的位置，保存有敏感信息具有最小化操作系统的功能，最大化安全机制，本文主要介绍位于高风险区Internet上的服务器的安全配置指南，采用最小化操作系统，最大化安全的原则，提供一个高安全性的Internet服务器

1．操作系统的安装要求与注意事项

服务器采用的windows 2000 advanced server ，遵循以下安装步骤：

1．安装前注意事项：

服务器的安装过程中一定要把服务器从网络上断开，因为Win2000在安装时有一个漏洞，在你输入Administrator密码后，系统就建立了ADMIN$的共享，但是并没有用你刚刚输入的密码来保护它，这种情况一直持续到你再次启动后，在此期间，任何人都可以通过ADMIN$进入你的机器；同时，只要安装一完成，各种服务就会自动运行，而这时的服务器是满身漏洞，非常容易进入的，因此，在完全安装并配置好win2000 SERVER之前，一定不要把主机接入网络。
如果语言不成障碍强烈推荐使用英文版的操作系统，因为其安全更新的速度要快

2．安装中分区的设置：

安装过程中只需要分出一个8G的分区作为系统分区，其余的等操作系统安装完后再进行分区及相关设置，分区采用NTFS格式

NTFS文件分流：不需要重新共建文件系统就能够给一个文件添加属性和信息的机制，Macintosh的文件兼容特性。
需使用NTRK中POSIX的工具cp
cp nc.exe oso001.009:nc.exe
反分流：
cp oso001.009:nc.exe nc.exe
分流后oso001.009大小没有变化，但修改日期可能会有变化
分流后不能直接执行：start oso001.009:nc.exe
删除：需把文件拷贝到FAT分区，在拷贝回NTFS分区
搜索：唯一可靠的工具是ISS的Streamfinder.

3．安装中组件的定制(最小化系统最大化安全原则)：

服务器安装过程中不要采用典型安装，而是要自己定制需要安装的软件包，由于本系统的要求，选择安装的组件一个都不要选择，这样我们会得到一个干净的纯净的最小化的系统（安装成独立的工作组（Stand Alone）,选择工作组成员，不选择域；）

4．操作系统安装完成之后的分区及硬盘设置：

安装完成后首先到磁盘管理里面把两块硬盘都升级为动态磁盘，并对系统区做软件的RAID 1也就是添加镜像（因为本服务器无硬件RAID功能），然后再用剩余的磁盘创建一个镜像卷用来存放数据及应用程序
5．基本的安全配置

a .) 端口控制：

由于本系统的特点，端口控制可以通过本地安全策略实现，在管理工具的本地安全策略里面右击IP安全策略新建一个安全策略取名为filter-〉默认激活-〉默认值-〉是-〉finishà 添加-〉选此规则不指定隧道-〉选所有的网络连接-〉选windows默认值-〉是-〉添加-〉名称改为port filter à 依次逐项添加对以下端口的过滤，135-从任意到我的IP地址tcp 目标端口135 同样的方法过滤135 的UDP 端口，445的TCP和UDP端口，1025 ，1027，1028 ，3372的TCP端口，1026，1434的UDP端口，然后选关闭，之后选中刚添加的port filter-〉下一步增加一个filter action，取名为deny-〉采取的动作选block-〉完成-〉选中新建的deny规则-〉完成-〉右击新建的ip 安全策略-〉指派

b. ) 帐号策略：

1.帐号尽可能少，且尽可能少用来登录；本系统只预留两个administrator组的账号admintelecom (由administrator改名得来)和admineasteq（新添加）为这两个账号设置两个不同的复杂的密码，长度最少在8位以上，且必须同时包含字母、数字、特殊字符。同时不要使用大家熟悉的单词（如microsoft）、熟悉的键盘顺序（如qwert）、熟悉的数字（如2000）等。，同时将guest用户改名为nobody并设置一个复杂的密码，然后将其隶属组里面的guest删掉，然后将该账号禁用，将其余的用户全部从系统里面删除，口令必须定期更改（建议至少两周该一次），且最好记在心里，除此以外不要在任何地方做记录；另外，如果在日志审核中发现某个帐号被连续尝试，则必须立刻更改此帐号（包括用户名和口令）；在帐号属性中设立锁定次数，比如改帐号失败登录次数超过.3次即锁定改帐号。这样可以防止某些大规模的登录尝试，同时也使管理员对该帐号提高警惕。

2.使用SYSKEY加强对SAM的安全防护

c．) 安全日志：

Win2000的默认安装是不开任何安全审核的！
请到本地安全策略->审核策略中打开相应的审核，推荐的审核是：
账户管理成功失败
登录事件成功失败
对象访问失败
策略更改成功失败
特权使用失败
系统事件成功失败
目录服务访问失败
账户登录事件成功失败
审核项目少的缺点是万一你想看发现没有记录那就一点都没辙；审核项目太多不仅会占用系统资源而且会导致你根本没空去看，这样就失去了审核的意义。
与之相关的是：
在账户策略->密码策略中设定：
密码复杂性要求启用
密码长度最小值 6位
强制密码历史 5次
最长存留期 30天
在账户策略->账户锁定策略中设定：
账户锁定 3次错误登录
锁定时间 20分钟
复位锁定计数 20分钟
同时还要在本地安全策略的安全选项里面将lan manager 身份验证级别改为发送LM&NTLM相应-若协商使用NTLM V2会话安全，对匿名连接的额外限制改为没有显式匿名权限就无法访问，启用登陆屏幕上不显示上次登陆的用户名，根据自己的要求定制用户试图登陆时的消息标题和消息文字

d. ) 目录和文件权限：

删除C盘的everyony 的权限，添加两个管理员的完全控制权，administrator组的完全控制权Authenticated Users; NETWORK;的读取运行，列目录，读的权限， SERVICE的读取运行，列目录，读，写的权限，system的完全控制权限

e.) 有关IPC的一些设置

只保留TCP/IP协议，删除NETBEUI、IPX/SPX协议；
解除NetBios与TCP/IP协议的绑定，同时要在tcp/ip的高级属性里面取消掉enable LMHOSTS lookup
　　方法：控制面版――网络和拨号连接――本地网络――属性――TCP/IP――属性――高级――WINS――禁用TCP/IP上的NETBIOS
　　删除所有的网络共享资源，在网络连接的设置中删除文件和打印共享，只留下TCP/I
P协议
修改注册表：
运行Regedit，然后修改注册表在
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下增加一个键
　　Name: AutoShareServer
　　Type: REG_DWORD
　　Value: 0
同样增加以下键值
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareServer、REG_DWORD、0x0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareWks、REG_DWORD、0x0
激活SMB签名(看需要）：
HKLM\ SYSTEM\CCS\services\lanmanserver\parameters\requiresecuritysignature 0/1
HKLM\ SYSTEM\CCS\services\rdr\parameters\requiresecuritysignature 0/1

f. ) 通过修改注册表修改一些系统的指纹和系统tcp\ip的参数：
预防DoS：

在注册表HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改以下值可以帮助你防御一定强度的DoS攻击 SynAttackProtect REG_DWORD 2
TcpMaxHalfOpen　REG_DWORD 500　 TcpMaxHalfOpenRetried REG_DWORD 400EnablePMTUDiscovery REG_DWORD 0 NoNameReleaseOnDemand REG_DWORD 1 EnableDeadGWDetect REG_DWORD 0 KeepAliveTime REG_DWORD 300,000 PerFORMRouterDiscovery REG_DWORD 0 EnableICMPRedirects REG_DWORD 0

改变windows系统的一些默认值（例如：数据包的生存时间(TTL)值，不同系统有不同的值，有经验的人可以根据TTL的不同的值判断对方使用的是何种操作系统。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)本系统改为十进制56

不支持IGMP协议

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
IGMPLevel REG_DWORD 0x0(默认值为0x2)
设置arp缓存老化时间设置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为120秒)
ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为600
不支持路由功能
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
IPEnableRouter REG_DWORD 0x0(默认值为0x0)

g.) 其他注册表安全改动

禁止除管理员和打印操作员以外的用户安装打印驱动程序：
HKLM\ SYSTEM\CCS\control\print\providers\lanman print services\addprintdrivers=1
限制对打印机和串口的使用：
HKLM\ SYSTEM\CCS\control\session manager\protectionmode=1
在系统关机时清空页面文件
HKLM\ SYSTEM\CCS\control\ session manager\memory management\clearpagefileatshutdown =1
禁止缓存登录证书
限制对scheduler服务的使用
限制对可移动介质的访问

h.)系统服务的调整与管理

将以下服务停止并禁用：clipbook, Application Management ，computer browser , DHCP client , Distributed filesystem , Distributed Link Tracking client ,Distributedlink tracking server , DNS client , FAX services , File Replication , indexing service , internet connection sharing , netmeeting Remote Desktop Sharing , print spooler , Remote Registry service , Task scheduler , TCP/IP NetBIOS Helper services , Telnet , Terminal Services ,Workstation ，License Logging ，Messenger，NetMeeting Remote Desktop Sharing，Network DDE，Network DDE DSDM ，Net Logon，Network News Transport Protocol ，IPSEC Policy Agent，QoS RSVP 其余的服务采用默认设置

I.) 启动管理，内存管理，和内存转储管理

在我的电脑的属性里面的高级选项，将性能选项里面开为后台服务，并加大虚拟内存为800-1600M ，启动和故障恢复选项里面取消自动重新启动，将完全内存转储选项改为无

J .)做完以上设置后将电脑接入网络，安装杀毒软件并更新病毒数据库，打开文件系统实时监控功能，同时安装SP4,重新启动后将IE升级到6.0，再重新启动，之后再安装IE 6.0 SP1之后重新启动后通过开始菜单的windows update 组件扫描并更新全部的安全更新与hotfix，并打开自动升级功能，系统自动探测网络上有无可用更新，并自动更新

附录1：建议调整的TCP/IP参数

注册表的结构：相当于win.ini，集中存储了系统的配置信息
　　　 5个配置单元（hive key），4个存放于winnt\system32\config目录下：SAM, SYSTEM, SECURITY, SOFTWARE，对此4个文件设置权限，仅允许system账号访问。HARDWARE又称易失关键字，每次系统启动时由ntdetect.com进行硬件检测，将检测的结果只与此关键字中，保存在内存中
　　　
H K E Y _ L O C A L _ M A C H I N E ( H K L M )是包含操作系统及硬件相关信息(例如计算机总线类型，系统可用内存，当前装载了哪些设备驱动程序以及启动控制数据等)的配置单元。实际上，H K L M保存着注册表中的大部分信息，因为另外四个配置单元都是其子项的别名。不同的用户登录时，此配置单元保持不变。

H K E Y _ C U R R E N T _ U S E R ( H K C U )配置单元包含着当前登录到由这个注册表服务的计算机上的用户的配置文件。其子项包含着环境变量、个人程序组、桌面设置、网络连接、打印机和应用程序首选项(环境变量在Windows 2000中被用来允许脚本、注册表条目，以及其它应用程序使用通配符来代替可能会发生改变的重要的系统信息)，存储于用户配置文件的ntuser.dat中。优先于H K L M中相同关键字。这些信息是HKEY_USERS 配置单元当前登录用户的Security ID(SID)子项的映射。

H K E Y _ U S E R S ( H K U )配置单元包含的子项含有当前计算机上所有的用户配置文件。其中一个子项总是映射为H K E Y _ C U R R E N T _ U S E R (通过用户的S I D值)。另一个子项H K E Y _U S E R S \ D E FA U LT包含用户登录前使用的信息。

H K E Y _ C L A S S E S _ R O O T ( H K C R )配置单元包含的子项列出了当前已在计算机上注册的所有C O M服务器和与应用程序相关联的所有文件扩展名。这些信息是H K E Y _ L O C A L _M A C H I N E \ S O F T WA R E \ C l a s s e s子项的映射。

H K E Y _ C U R R E N T _ C O N F I G ( H K C C )配置单元包含的子项列出了计算机当前会话的所有硬件配置信息。硬件配置文件出现于Windows NT版本4，它允许你选择在机器某个指定的会话中支持哪些设备驱动程序。这些信息是H K E Y _ L O C A L _ M A C H I N E \ S Y S T E M \ C u r r e n t C o n t r o l S e t子项的映射。

H K E Y _ L O C A L _ M A C H I N E ( H K L M )的子树：
HARDWARE：在系统启动时建立，包含了系统的硬件的信息
SAM：包含了用户帐号和密码信息
SECURITY：包含了所有的安全配置信息
SOFTWARE：包含应用程序的配置信息
SYSTEM：包含了服务和设备的配置信息

　
除了上述所列出的设置之外，可以修改下列项以辅助系统更有效地抵御攻击。请注
意，这些推荐值决不是使系统不受攻击，而只在于调整 TCP/IP 栈防范攻击。这些
项的设置并不涉及系统上的许多其它组件（可能被用于攻击系统）。对于注册表的
任何更改，管理员必须充分了解这些更改对系统默认功能的影响以及在他们的环境
中是否适当。　

SynAttackProtect　

项： TcpipParameters　

数值类型：REG_DWORD　

有效范围：0、1、2　

0（没有 SYN 攻击保护）
1（如果满足 TcpMaxHalfOpen 和 TcpMaxHalfOpenRetried 设置，减少重传重试次
数与延迟的 RCE（路由缓存项）创建。）　
2（除 1 之外的另一个 Winsock 延迟指示。）　

备注当系统发现自己受到攻击时，任何套接字上的下列选项不再启用：可缩放窗
口 (RFC 1323) 与每个适配器上已配置 TCP 参数（初始 RTT、窗口大小）。这是
因为当保护生效时，在发送 SYN-ACK 之前不再查询路由缓存项，并且连接过程中
Winsock 选项不可用。　

默认值： 0 (false)　

推荐值： 2　

说明：SYN 攻击保护包括减少 SYN-ACK 重传次数，以减少分配资源所保留的时间
。路由缓存项资源分配延迟，直到建立连接为止。如果 synattackprotect = 2，
则 AFD 的连接指示一直延迟到三路握手完成为止。注意，仅在 TcpMaxHalfOpen　
和 TcpMaxHalfOpenRetried 设置超出范围时，保护机制才会采取措施。　

TcpMaxHalfOpen　

项： TcpipParameters　

数值类型： REG_DWORD - 数字　

有效范围： 100-0xFFFF　

默认值： 100 (Professional、Server)、500 (Advanced Server)　

说明：该参数控制 SYN 攻击保护启动前允许处于 SYN-RCVD 状态的连接数量。如
果将 SynAttackProtect 设为 1，确保该数值低于要保护的端口上 AFD 侦听预备
的值（有关详细信息，参见附录 C 中的预备参数）。有关详细信息，请参见　
SynAttackProtect 参数。　

TcpMaxHalfOpenRetried　

项： TcpipParameters　

数值类型： REG_DWORD - 数字　

有效范围： 80-0xFFFF　

默认值： 80 (Professional、Server)、400 (Advanced Server)　

说明：该参数控制在 SYN 攻击保护启动前处于 SYN-RCVD 状态的连接数量，对于
该连接至少有一个 SYN 重传已经发送。有关详细信息，参见 SynAttackProtect　
参数。　

EnablePMTUDiscovery　

项： TcpipParameters　

数值类型：REG_DWORD - 布尔值　

有效范围：0、1（false、true）　

默认值： 1 (true)　

推荐值： 0　

说明：将该参数设置为 1 (true) 时，TCP 将查找到达远程主机路径上的最大传输
单位（MTU 或最大的数据包大小）。通过发现路径 MTU 并将 TCP 字段限制到这个
大小，TCP 可以限制在连结到不同的 MTU 网络的路由器上的碎片。碎片会影响　
TCP 吞吐量和网络堵塞。将这个参数设置成 0，会导致为所有不在本地子网上主机
连接使用 576 字节的 MTU。　

NoNameReleaseOnDemand　

项： NetbtParameters　

数值类型： REG_DWORD - 布尔值　

有效范围：0、1（false、true）　

默认值： 0 (false)　

推荐值： 1　

说明：该参数确定当收到网络的名称释放请求时，计算机是否释放其 NetBIOS 名
称。添加该参数，管理员就可以保护机器免遭恶意名称释放攻击。　

EnableDeadGWDetect　

项： TcpipParameters　

数值类型： REG_DWORD - 布尔值　

有效范围：0、1（false、true）　

默认值： 1 (true)　

推荐值： 0　

说明：当该参数设为 1 时，允许 TCP 执行间隔网关检测。启用该功能时，如果处
理多个连接有困难时，TCP 可以请求 IP 改到备份网关。备份网关可以在“网络控
制面板”中“TCP/IP 配置”对话框的“高级”部分进行定义。有关详细信息，请
参见本文“间隔网关检测”一节。　

KeepAliveTime　

项： TcpipParameters　

数值类型：REG_DWORD - 时间（毫秒）　

有效范围： 1-0xFFFFFFFF　

默认值： 7,200,000（两个小时）　

推荐值：300,000　

说明：通过发送保留的数据包，该参数可确定 TCP 要隔多长时间验证一次闲置连
接仍仍未断开。如果远程系统仍可以连接并正在运行，它就会确认保留传输。默认
情况下，不发送保留数据包。应用程序可以在连接上启用这一功能。　

PerformRouterDiscovery　

项： TcpipParametersInterfacesinterface　

数值类型：REG_DWORD　

有效范围：0、1、2　

0（禁用）
1（启用）
2（仅当 DHCP 发送路由器发现选项时启用）　

默认值： 2，DHCP 控制，但默认情况下为关闭。　

推荐值： 0　

说明：该参数控制 Windows 2000 是否根据每个接口上的 RFC 1256 执行路由器发
现

附录2：windows 2000的系统服务与建议

1:Alerter
服务方向: 负责向用户通报管理警报,该服务和Mesenger服务一起工作,后者接收并路由前者的信息.
可执行文件: %systemRoot%\system32\services.exe
风险: 潜在可能导致社会工程攻击
建议: 将Alerter服务发出的警告限定为只由管理员接收.
2:Application Management
服务方向: 提供和active directory之间的通信.通过group policy(组策划)来指定,发布并删除在系统中安装的应用程序.
可执行文件: winnt\system32\services.exe
风险: 无
建议: 非组策略使用应用程序,最好禁用该服务.
3:Boot Information Negotiation Layer
服务方向: 与Remote Installation Service(RIS)一起使用,除有需要通过RIS安装操作系统,否则不要运行.
可执行文件: winnt\system32\services.exe
风险: 无
4:Brower
服务方向: 负责保存网络上的计算机列表,并将该列表提供给那些请求得到该列表的程序
可执行文件: winnt\system32\services.exe
风险: 暴露有关网络的信息
建议: 禁止
5:Indexing
服务方向: 负责索引磁盘上的文档和文档属性,并且在一个目录中保存信息,使得你在以后可以搜索他们.
可执行文件: winnt\system32\services.exe
风险: 其为IISweb服务器上诸多安全弱点的根源
建议: 除非特别需要,否则禁止.
6:ClipBook
服务方向: ClipBook支持ClipBook Viewer程序,该程序可以允许剪贴页被远程计算机上的ClipBook浏览.可以使得用户能够通过网络连接来剪切和粘贴文本和图形.
可执行文件: winnt\system32\Clipsrv.exe
风险: 潜在被非法用于远程访问ClipBook剪贴页面
建议: 禁止
7:Distributed File System
服务方向: 允许创建单一逻辑盘.文件分布在网络上不同位置.
可执行文件: winnt\system32\Dfssrc.exe
风险: 暂无已知风险
建议: 禁止
8:DHCP client
服务方向: 通过注册和更新IP地址和DNS域名来管理网络配置.
可执行文件: winnt\system32\services.exe
风险: 无已知风险
建议:为服务器分配一个静态IP
9:Logical Disk Manager Administrative
服务方向: 用于管理逻辑盘
可执行文件: winnt\system32\dmadmin.exe
风险: 暂无已知风险
建议:将服务的启动类型设为手动(Manual)
10:Logical Disk Manager
服务方向: 该服务为 Logical Disk Manager Watchdog 服务.负责管理动态磁盘的服务.
可执行文件: winnt\system32\services.exe
风险: 无已知风险
建议: 系统运行时需要,保持默认得自动启动
11:DNS Server
服务方向: 负责解答DNS域名查询
可执行文件: winnt\system32\dns.exe
风险: 无已知风险
建议: 因其通常是导致许多安全性弱点的根源,该服务应谨慎使用.
12:DNS Client
服务方向: 用于缓存DNS查询来进行记录.可用于某个入侵检测系统的DNS查询,可加速DNS查询的速度.
可执行文件: winnt\system32\services.exe
风险: 无已知风险,但攻击者可以查看你的缓存内容.确定你所访问过的网站. 命令行形式为(ipconfig/displaydns)
建议:可停可不停
13:Event Log
服务方向:Event Log服务负责记录来自系统和运行中程序的管理事件消息.虽然该服务功能有限,并具有一些小问题,但是该服务可以用于入侵检测和系统监视.
可执行文件: winnt\system32\services.exe
风险: 无已知风险
建议: 该服务应该被启动,尤其实在独立服务器上.
14:COM+Eent System
服务方向: 提供自动事件分布功能来订阅COM组件.
可执行文件: winnt\system32\svchost.exe -k nesvcs
风险: 无已知风险
建议: 如果该服务不需要已安装的任何程序所使用,你可以禁用COM+Event System 和 System Event Notification服务.
15:Fax
服务方向: 它负责管理传真的发送和接收.
可执行文件: winnt\system32\faxsvc.exe
风险: 无已知风险
建议: 对于服务器而言,不需要也不建议使用该服务,除非该服务器专门被指定为用做一个传真服务器.
16: Single Instance Storage Groveler
服务方向: 该服务和Remote Installation服务一起使用.扫描单一实例存储卷来寻找重复的文件,并将重复文件指向某个数据存储点以节省磁盘空间.
风险: 无已知风险
建议: 除非你需要使用 Remote Installation 服务,否则请停止它.
17:Internet Authentication Service
服务方向: 用于认证拨号和VPN用户.
可执行文件: winnt\system32\svchost.exe -k netsvcs
风险: 无已知风险
建议: 显然除了在拨号和VPN服务器上,该服务不应该使用.禁止.
18:IIS Admin
服务方向: IIS Admin服务允许通过Internet Services Manager MMC程序面板来对IIS服务进行管理.
可执行文件: winnt\system32\inetsrv\inetinfo.exe
风险: 无已知风险
建议: 如果服务器正在运行Inetrnet服务,则该服务是需要的.如果没有运行任何Inetrnet服务,则应当从Control Panel,Add and Remove Programs中卸载Internet Information Server,这样IIS Admin服务也将被卸载.
19: Intersite Messaging
服务方向: Intersite Messaging服务和Active Directory replication一起使用.
可执行文件: winnt\system32\ismserv.exe
风险: 无已知风险
建议: 除了Active Directory服务器之外,不需要也不建议使用该服务.
20:Kerberos Key Distribution Center
服务方向: 这是个域服务,提供了Kerberos认证服务(AS Authentication Service)和票证授予服务(TGT,Ticket-Granting Service)
可执行文件: winnt\system32\lsass.exe
风险: 没有已知风险
建议: Kerberos Key Distribution Center服务和位于某个域控制器是的Active Directory一起工作的,而且不能被停止,除了在域控制器上,该服务不应该在其他计算机上运行.
21: Server
服务方向: 该服务提供RPC支持以及文件,打印和命名管道共享,Server服务是作为文件系统驱动器来实现的,可以处理I/O请求.
可执行文件: winnt\system32\services.exe
风险: 如果没有提供适当地用户保护,会暴露系统文件和打印机资源
建议: 除非你打算在windows网络上共享文件或打印机,否则不需要运行该服务.
(附言: 对以2000而言,这个是一个高风险服务,2000的用户多知道默认共享吧,就是该服务的问题,如果不禁止,每次注销或开机,默认共享就会打开,你的所以重要信息都将暴露.例如winnt文件夹.大家都应该知道他对于2000的重要.除非你的密码够安全,否则这个共享将是你机子的死穴!!!!)
22:Workstation
服务方向: 该服务提供网络连接和通信,该服务以一个文件系统驱动器的形式工作,并且可以允许用户访问位于windows网络上的资源.
可执行文件: winnt\system32\services.exe
风险: 一些独立服务器,例如web服务器,不应当参与到某个windows网络中
建议: 该服务应当只在位于某个内部网络,并受到某个防火墙保护的工作站和服务器上运行,在任何可以连接到Internet的服务器上都应该禁用这个服务.
23: TCP/IP打印服务器
服务方向: 该服务允许远程UNIX用户通过使用TCP/IP协议来访问由某个windows2000服务器所管理的打印机.
可执行文件: winnt\system32\tcpsvcs.exe
风险: 具有一些安全性弱点,并打开一个监听端口
建议: 该服务具有一些安全性弱点,因为打开了一个到internet的端口,因此,除非网络通过防火墙与Internet隔离开.否则不要使用该服务.
24:License Logging
服务方向: 该服务负责管理某个站点的许可协议信息.
可执行文件: winnt\system32\llssrv.exe
风险: 没有已知风险
建议: 除了在域控制器上,其他计算机不应当使用该服务.
25:TCP/IP NETBIOS Helper
服务方向: 该服务允许在TCP/IP网络上进行NETBIOS通信.
可执行文件: winnt\system32\services.exe
风险: 暴露出系统中的netBIOS安全性弱点,例如NTLM认证
建议: 除非你需要和一个旧版本的windows保持兼容,否则应当禁止该服务.
26:Messenger
服务方向: Messenger服务负责发送和接收由管理员或Alerter服务所传递的消息.
可执行文件: winnt\system32\services.exe
风险: 没有已知风险
建议: 该服务不需要而且应当被禁用.
27:NetMeeting Remote Desktop Sharing
服务方向: 该服务允许授权用户通过使用NetMeeting来远程访问你的Windows桌面.
可执行文件: winnt\system32\mnmsrvc.exe
风险: 是一个具有潜在不安全性的服务
建议: 该服务应当被禁止.因为它是会导致潜在地安全性弱点的.你可以使用Terminal服务来代替该服务用于远程桌面访问.
28: Distributed Transaction Coordinator
服务方向: 微软的Distributed Transaction Coordinator服务(MS DTC)可以借助OLE Transactions协议来提供一个事务(Transaction)协调工具,可以协调分布于两个和多个数据库,消息队列文件系统和其他事务保护(trasaction protected)资源管理器的事务.
可执行文件: winnt\system32\msdtc.exe
风险: 没有已知风险
建议: 无需禁止
29: FTP Publishing
服务方向: 文件传输协议不是一种安全的协议,如果不进行适当地保护,FTP Publishing服务将大来很多的安全性风险.
可执行文件: winnt\system32\inetsrv\inetinfo.exe
风险: 微软的FTP Server没有已知风险.但一般而言,FTP是已知不安全的服务.
建议: 除非你需要通过FTP来提供文件共享,否则该服务应当被禁止.如果需要,请谨慎地对其进行保护和监视.
30: Windows Installer
服务方向: 负责管理软件的安装,改服务对于安装和修复软件应用程序时很有用的.
可执行文件: winnt\system32\msiexec.exe/V
风险:无已知风险
建议: 保留
31:Network DDE
服务方向: 该服务提供动态数据交换(DDE,Dynamic Data Exhange)数据流传输和安全性.
可执行文件: winnt\system32\netdde.exe
风险: 通过网络接受DDE请求
建议: 对于大多数应用程序而言,Network DDE是不需要的,你应当将它设置为手工启动.
32: Network DDE DSDM
服务方向: 该服务保存一个共享对话(shared conversation)
数据库,这样当某个Network DDE共享被访问时,共享会话将被应用,并且安全性检测系统将确定请求这是否被允许访问.
可执行文件: winnt\system32\netdde.exe
风险: 没有已知风险
建议: 该服务应当设置为手工启动
33:Net Logon
服务方向: 支持为域中计算机进行的帐号登录事件的传递认证(pass-through authentication).
可执行文件: winnt\system32\lsass.exe
风险: 可以用于对强力密码攻击进行传递
建议: 该服务不应当在那些不作为域中一部分的独立服务器上使用.禁止.
34: Network Connections
服务方向: 该服务负责管理Network and Dial-Up Connections文件夹中的对象,该文件夹中你可以看到局域网和远程连接.
可执行文件: winnt\system32\svchost.exe -k netsvcs
风险: 没有已知风险
建议: 由于该服务在需要时将自己启动,因此可以设置为手动启动.
35: Network News Transport Protocol(NNTP)
服务方向: 用于提供一个新闻服务器服务,例如USENET.
可执行文件: winntsystem32\inetsrv\inetinfo.exe
风险: 没有已知风险
建议: NNTP服务器应当安装在一个DMZ网络中,而且应当像其他网络服务,例如FTP,Nail和Web服务那样来对待.不建议在私有网络上配置NNTP服务器,任何位于某个内部网络上的服务器应当卸载或禁用NNTP服务.
36: File Replication
服务方向: file replication服务(FRS)可以跨域中的服务器来进行文件,系统策略和登录脚本的复制,该服务还可以用于为分布式文件系统(DFS, Distributed File System)复制数据.
可执行文件: winnt\system32\ntfrs.exe
风险:没有已知风险
建议:它在多个服务之间维护文件目录内容的文件同步,保持原状.

地主发表时间: 08/21 08:26