对于出站(面对 Internet)的 NIC,使用 IPSec 或者 TCP 筛选。有关更多信息,请参阅本指导“如何……”部分中的“如何使用 IPSec”。
加密或者限制 intranet 流量
对于内部(面对 intranet)NIC,如果您没有安全的数据中心,而且需要在计算机之间传递一些敏感信息,应该考虑是否加密流量,并限制 Web 服务器和下游服务器(例如应用程序服务器或者数据库服务器)之间的通信。加密网络流量能够应对网络侦听所带来的威胁。如果认为风险足够小,也可以选择不加密流量。
所使用的加密类型也会影响它所应对的威胁的类型。例如,ssl 是一种应用程序级加密,而 IPSec 是传输层加密。因此,SSL 除了网络侦听威胁之外,还能够防范来自同一台机器上另一个进程(尤其是运行在不同帐号下)的数据篡改或者信息泄漏等威胁。
返回页首注册表是许多关键服务器配置设置的储存库。因此,您必须确保只有得到授权的管理员能够访问它。如果攻击者也能够编辑注册表,则他或者她就能够重新配置服务器并且危及服务器的安全。
在此步骤中,应该:
限制对注册表的远程管理。 | |
保护 SAM(仅对独立服务器)。 |
限制对注册表的远程管理
winreg 项能够确定是否可以远程访问注册表项。默认情况下,该项配置为防止用户远程查看注册表中的大多数密钥,只有高特权用户能够修改它。在 Windows 2000 上,远程注册表访问默认时仅限于 administrators 和 backup operators 组的成员。管理员可以进行完全控制,而备份操作员具有只读访问权限。
以下注册表位置中的相关联权限确定了谁能够远程访问注册表。
HKLM\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg
要查看该注册表项的权限,运行 Regedt32.exe,导航到该项,从 security 菜单中选择 permissions。
注 有些服务需要远程访问注册表。请参考 Microsoft 知识库文章 153183,“如何限制从远程计算机对注册表的访问”,查看是否您的情况要求受限的远程注册表访问。
保护 SAM(仅对独立服务器)
独立服务器在本地安全帐号管理器 (SAM) 数据库中存储帐号名和单向(不可逆的)密码哈希 (LMHash)。SAM 是注册表的一部分。通常,只有管理员组的成员能够访问帐号信息。
虽然密码实际上并不存储在 SAM 中,而且密码哈希也是不可逆的,但是如果攻击者获取了 SAM 数据库的副本,他就能够使用蛮力密码技术获取有效的用户名和密码。
通过在注册表中创建 nolmhash 项(不是值)限制 SAM 中的 LMHash 存储,如下所示:
HKLM\System\CurrentControlSet\Control\LSA\NoLMHash
有关更多信息,请参阅microsoft 知识库文章 299656,“如何防止 Windows 在 Active Directory 和本地 SAM 数据库中存储密码的 LAN 管理器哈希”。
返回页首审核并不能防止系统攻击,虽然它对于标识入侵者和进行中的攻击能够提供非常重要的帮助,而且能够辅助您诊断攻击足迹。在您的 Web 服务器上启用最小级的审核,并使用 NTFS 权限保护日志文件,使攻击者无法通过以任何方式删除或者更新日志文件来掩藏其踪迹。使用 IIS W3C 扩展日志文件格式审核。
在此步骤中,应该:
日志记录所有失败的登录企图。 | |
日志记录所有文件系统中的失败操作。 | |
重新定位和保护 IIS 日志文件。 | |
存档日志文件供离线分析。 | |
审核对 Metabase.bin 文件的访问。 |
日志记录所有失败的登录企图
必须日志记录失败的登录企图以能够检测和跟踪可疑的行为。
要审核失败的登录企图
1. | 从管理工具程序组启动本地安全策略工具。 |
2. | 展开 local Policies,然后选择 audit Policy |
3. | 双击 audit account logon events。 |
4. | 单击Failure,然后单击 ok。 |
登录失败记录为 Windows 安全事件日志中的事件。以下事件 ID 是可疑的:
531。这意味着企图使用禁用帐号登录。 | |
529。这意味着使用未知的用户帐号或者使用有效的用户帐号但是使用无效的密码企图登录。如果这些审核事件出人意料地大量增加,则可能表示有人企图猜测密码。 |
日志记录文件系统中的所有失败操作
在
