文章详细记录了对WindowsServer2016进行的安全整改过程,包括SYNFLOOD防护、icmp重定向、IPC空连接限制、操作系统关机策略、远程访问权限管理和TLS协议信息泄露漏洞的修复措施。
最近安全测评活动增加,涉及到的安全测评整改内容多,经常找不到修改位置,故此记录下,也方便其他人完成系统安全加固,此次整改案例系统是windows server2016,不确定其他系统版本修改位置是否一致。
接着之前出的安全设置(一)
1、未设置系统SYN FLOOD攻击防护
风险等级:中
整改说明:防止SYN FLOOD 攻击。
整改建议:
1、注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect的DWORD值为2
2、注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxPortsExhausted的DWORD值为5。
3、注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpen的DWORD值为500。
4、注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpenRetried的DWORD值为400。
解决:修改注册表
2、系统icmp重定向防护相关参数enableicmpredirect参数设置不合理
风险等级:中
风险说明:防止icmp重定向报文的攻击。
整改建议:
注册表hkey_local_machine\system\currentcontrolset\services\tcpip\parameters\enableicmpredirect的值被设为0
解决:
3、系统ipc空连接防护相关参数restrictanonymous参数设置不合理
风险等级:高
风险说明:禁止ipc空连接
整改建议:
注册表
local_machine\system\ currentcontrolset\control\lsa\restrictanonymous的值为1
解决:
4、SeShutdownPrivilege参数设置为*S-1-5-32-544,*S-1-5-32-551,不需要administrators组就能关机
风险等级:中
风险说明:操作系统关机策略安全
整改建议:
1、“关闭系统”只指派给Administrators组;
2、“从远端系统强制关机”只指派给Administrators组。
解决:
5、系统未开启“网络访问:不允许SAM帐户和共享的匿名枚举”选项
风险等级:中
风险说明:应禁用可远程访问的注册表路径和子路径
整改建议:
已删除“网络访问:可远程访问的注册表路径”和“网络访问:可远程访问的注册表路径和子路径”的默认值@@
解决:
6、windowsSSLTLS协议信息泄露漏洞
风险等级:高
风险说明:
TLS是安全传铂展协议,用于在两个通信应用程序之间提供保密性和效据完整性。
TLS.,SSH,IPSec协商及其他产品中使用的DES及Tripe DES含码存在大约四十亿块的生日界,这可使远程攻击者通过Swoet32攻击,获取纯文本故据,
解决:
1:替换SSL密码套件
打开“运行”,输入gpedit.msc打开组策略配置,依次点击计算机配置-管理模板-windows组件-网络-SSL密码套件,复制对应的密码套件替换。
原密码套件
TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA,TLS_RSA_WITH_RC4_128_MD5,SSL_CK_RC4_128_WITH_MD5,SSL_CK_DES_192_EDE3_CBC_WITH_MD
替换后的套件
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521,TLS_ECDHE_ECDSA,WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_NULL_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_128_CBC_SHA
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
