前段時間，客戶的上級主管單位對客戶單位的整個信息系統進行了一次全面的主機脆弱性分析。由于客戶單位的信息安全性要求較高，這次脆弱性分析也做得非常徹底，找到了很多安全漏洞，尤其是對網絡中的Windows主機更是提出了大量的整改意見。

在落實這些整改意見，修復主機漏洞的過程中，發現涉及到的計算機非常多，工作量很大，靠人力逐個計算機的去操作基本上是不可能的。這時想到了Windows系統中強大的管理工具——組策略。利用組策略批量更改配置的特性，配合計算機啟動腳本的使用，整個安全修復工作僅用了1天就完成了。而如果靠人力逐個計算機的去操作可能要花費至少1個月的時間。下面給大家分享一下本次利用組策略對Windows系統進行全面安全防護的全過程。

一、主機脆弱性分析

本次評估中， Windows主機安全漏洞分析總共涉及到了Windows 2003服務器11臺，Windows 2000服務器12臺，以及抽樣30臺Windows XP客戶端進行人工審計。發現的主要問題有：

（一）啟用了多個不必要的服務和端口

多臺Windows主機啟用了多個不需要的服務。某些啟動的服務可能與當前承載業務無關，例如：DHCP Client、Remote Registry、Task Scheduler、Telephony、Messenger。系統中開啟了多個可能不必要且易受攻擊的端口，如135、139、445、593、1025、2745、3127、6129等。

不需要的服務被啟用，惡意用戶可以通過嘗試攻擊不需要的服務來入侵系統，而管理員在管理維護過程通常會忽略不需要的服務，無法及時修補不需要服務中所存在的安全漏洞，給惡意用戶留下更多的攻擊途徑。

不需要的端口被啟用，非法者可以利用這些端口進行攻擊，獲得系統相關信息，控制計算機或傳播病毒，對計算機造成危害。

（二）沒有重命名或禁用默認帳戶

Windows主機沒有更改默認管理員用戶名：Administrator。

默認帳戶在帶來方便的同時也嚴重危害系統安全。未更改Administrator帳號，惡意攻擊者將輕易得知超級用戶的名稱，只需對密碼進行猜測即可。

（三）未屏蔽之前登錄的用戶信息

操作系統登錄時，顯示上次登錄用戶名。

沒有配置此項安全功能，用戶啟動主機系統時，登錄界面顯示上次登錄用戶名，只需輸入密碼。惡意攻擊者只需對密碼進行猜測，無需猜測用戶名，為攻擊提供方便。

（四）操作系統開啟默認共享

主機開啟了C$、D$、Admin$、IPC$等默認共享。

默認情況下開啟了很多共享文件夾。如C$、D$、ADMIN$等，這樣對系統安全帶來很多隱患。另外IPC$共享的存在將允許任何用戶通過空用戶連接得到系統所有賬號和共享列表。攻擊者可能利用這項功能，查找用戶列表，并使用字典工具，對服務器進行攻擊。

（五）未采用屏保密碼設置

多臺Windows系統沒有設置在屏保后進行鎖屏。

很多時候管理員會在離開服務器時忘記鎖定系統。系統默認會在一定時間之后開始屏保，如果在屏保中設置了密碼保護。那么很大程度上可以保護主機系統不會被非法操作，減少安全風險。

（六）帳號口令長度和復雜度不滿足安全要求

為了提高用戶口令字典窮舉的難度，需要配置口令策略，口令復雜性要求，為用戶設置強壯的口令。

（七）用戶鑒別未加固

為了防止非法用戶對用戶口令進行反復嘗試，應配置操作系統用戶鑒別失敗策略，即帳戶嘗試登陸閥值及達到閥值所采取的措施。

（八）審核策略未加固

審核是追溯惡意操作的最有力工具。系統默認的審核范圍比較單一，并不能為安全事故分析提供充分的信息。因此需要配置操作系統的安全審計功能，確保系統在發生安全事件時有日志可供分析。#p#

二、安全整改方法

八條安全整改建議基本上覆蓋了大部分最常見的Windows安全問題，下面我們利用強大的組策略工具，對所有建議提供點對點問答式解決方案。

（一）關閉不需要的服務和端口

1，在Windows服務中禁用以下服務。

打開“默認域策略”，依次展開“計算機配置” 、“Windows設置” 、“安全設置”，然后選中“系統服務”，在右邊窗格中右鍵選擇Remote Registry服務，點擊“屬性”。在彈出的屬性窗口中，選擇“定義這個策略設置”，并勾選“已禁用” ，然后點擊“確定”，關閉窗口。依次對以下服務完成以上操作。

(1)Remote Registry Service允許遠程注冊表操作，如果沒有特殊的管理平臺（例如SMS）需要遠程修改計算機注冊表的話，該服務也可以禁用。

(2)DHCP Client服務是用于DHCP客戶端接收服務器分發的IP地址，還可實現客戶機DNS動態注冊。在本案例中，所有計算機均是固定IP地址，并無DHCP服務。所以該服務也可以關閉，這樣可防止未經授權或惡意用戶配置或操作該服務。

(3)Task scheduler服務允許程序在指定時間運行，如果沒有設置計劃任務的話，該服務也沒有啟動的必要。

(4)Print Spooler服務將文件加載到內存中以便以后打印。該服務非常容易遭到攻擊，所以除打印服務器和其他需要打印功能的計算機外，計算機上的這個服務都必須禁用。

(5)Telephony服務為電話應用程序編程接口 (TAPI) 提供支持。 TAPI主要是用來支持傳統和 IP 電話服務，以提供聲音、數據和視頻通信。對于 Windows 2000 Server 和 Windows Server 2003 以及 Windows 2000 Professional 和 Windows XP 系統，如果尚未配置電話服務功能，Telephony服務將是一個本地特權提升漏洞。

(6)Messenger 服務負責傳輸客戶端和服務器之間的 NET SEND 和 警報器服務消息，通常該服務可以關閉。

在很多文章中還提到Computer Browser、TCP/IP NetBIOS Helper等服務也需要禁用，但事實這些服務只是在單機情況不起作用，在局域網環境中是十分重要的。例如如果TCP/IP NetBIOS Helper服務禁用的話，基于域的組策略將不再起作用，同時域用戶也將無法登陸。

2.關閉不必要的端口。

默認情況下，Windows有很多端口是開放的，這些開放的端口會帶來很大的安全隱患，端口主要包括：TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口，以及一些流行病毒的后門端口（TCP 2745、3127、6129 端口等）。我們可以利用IP安全策略中的IP篩選器來關閉這些網絡端口，具體方法如下：

(1)打開“默認域策略”，依次展開“計算機配置” 、“Windows設置” 、“安全設置”，然后選中“IP 安全策略，在Acive Directory” 。在右邊窗格的空白位置右擊鼠標，彈出快捷菜單，選擇“創建 IP 安全策略”。在向導中點擊“下一步”按鈕，為新的安全策略命名（端口屏蔽）；再按“下一步”，則顯示“安全通信請求”窗口，取消對“激活默認相應規則”的選擇，點擊“完成”按鈕就創建了一個新的IP 安全策略。

(2)右擊該IP安全策略，在“屬性”對話框中，把“使用添加向導”選項去掉，然后單擊“添加”按鈕添加新的規則，隨后彈出“新規則屬性”對話框，點擊“添加”按鈕，彈出IP篩選器列表窗口；在列表中，首先把“使用添加向導”選項去掉，然后再點擊右邊的“添加”按鈕添加新的篩選器（TCP）。

(3)進入“篩選器屬性”對話框，首先看到的是尋址，源地址選“任何 IP 地址”，目標地址選“我的 IP 地址”；點擊“協議”選項卡，

在“選擇協議類型”的下拉列表中選擇“TCP”，然后在“到此端口”下的文本框中輸入“135”，點擊“確定”按鈕，這樣就添加了一個屏蔽 TCP 135（RPC）端口的篩選器。

(4)點擊“確定”后回到篩選器列表的對話框，可以看到已經添加了一條策略，重復以上步驟繼續添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口，為它們建立相應的篩選器示。

(5)再重復以上步驟添加TCP 1025、2745、3127、6129端口的屏蔽策略，建立好上述端口的篩選器，最后點擊“確定”按鈕。

(6)如6圖所示，在“新規則屬性”對話框中，選擇“TCP篩選器列表”，激活它，最后點擊“篩選器操作”選項卡。在“篩選器操作”選項卡中，把“使用添加向導”選項去掉，點擊“添加”按鈕，在“新篩選器操作屬性”的“安全措施”選項卡中，選擇“阻止”，然后點擊“確定”按鈕。

(7)進入“新規則屬性”對話框，激活“新篩選器操作”，關閉對話框；最后回到“新IP安全策略屬性”對話框，按“確定”按鈕關閉對話框。在“本地安全策略”窗口，用鼠標右擊新添加的 IP 安全策略（端口屏蔽），然后選擇“指派”。

（二）重命名默認帳戶Administrator

1.打開“默認域策略”，依次展開“計算機配置”、“Windows 設置”、“安全設置”、“本地策略”，然后單擊“安全選項”。

2.在右窗格中，雙擊“帳戶：重命名系統管理員帳戶”。

3.單擊以選中“定義這個策略設置”復選框，然后鍵入要用于管理員帳戶的新名稱。

4.單擊“確定”。

（三）屏蔽之前登錄的用戶信息

1.打開“默認域策略”，依次展開“計算機配置”、“Windows 設置”、“安全設置”、“本地策略”，然后單擊“安全選項”。

2.在右窗格中，雙擊“交互式登陸：不顯示上次的用戶名”。

3.單擊以選中“定義這個策略設置”復選框，然后選擇“啟用”。

（四）關閉默認共享

關閉C$、D$、Admin$、IPC$等默認共享需要使用組策略分發計算機啟動腳本的方式來完成。計算機啟動腳本如下：

 

for %%a in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do @(  
if exist %%a:\nul (  
net share %%a$ /delete  
)  
)  
net share admin$ /delete  
echo Windows Registry Editor Version 5.00> c:\delshare.reg  
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]>> c:\delshare.reg  
echo "AutoShareWks"=dword:00000000>> c:\delshare.reg  
echo "AutoShareServer"=dword:00000000>> c:\delshare.reg  
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]>> c:\delshare.reg  
echo "restrictanonymous"=dword:00000001>> c:\delshare.reg  
regedit /s c:\delshare.reg  
del c:\delshare.reg 

以上腳本利用net share命令刪除所有磁盤共享和admin$共享。但是這些被刪除的共享在計算機重新啟動后，又會重新出現。為了永久刪除共享，有些人會配置上述的net share delete 命令，讓它們每次開機自動運行一次。其實完全可以通過修改目標計算機注冊表來永久關閉這些共享。在注冊表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters下修改或添加AutoShareWks和AutoShareServer鍵，并將其值設為0（DWORD）。其中，鍵AutoShareServer對應C$、D$一類的缺省共享，鍵AutoSharewks對應ADMIN$缺省共享。

IPC$共享則和前面的“默認共享”及“管理共享”是兩個不同的概念。它是指IPC管道連接也就是平時說的空連接，也被稱作匿名連接?？者B接是指無需用戶名和密碼就能連接主機。利用這個空的連接，連接者可以得到目標主機上的用戶列表，然后可以猜密碼，或者窮舉密碼，從而獲得更高，甚至管理員權限。所以空連接同樣需要禁止。以IPC$只有0，1，2三種級別，而沒有刪除這個說法?？者B接設置由注冊表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa下的restrictanonymous鍵來確定。該值默認為0，即任何用戶都可以通過空連接連上服務器，匿名列出帳戶名稱和共享資源，這樣就能夠利用這些信息嘗試猜測密碼或進行“社會工程學”攻擊。如果設置為"1"，一個匿名用戶仍然可以連接到IPC$共享，但限制通過這種連接列舉SAM帳號和共享等信息；設置為"2"，將限制所有匿名訪問除非特別授權，但這樣可能會影響一些正常的管道通信，所以微軟官方建議該鍵值設為“1”。

關于如何使用組策略分發計算機啟動腳本，因為操作比較簡單，這里不再贅述。

（五）屏保密碼設置

針對整改建議，為了避免由于管理員疏忽，而導致他人濫用系統，我們采用如下方法統一配置屏保鎖定功能。

打開“默認域策略”，依次展開“用戶配置” 、“管理模板” 、“控制面板”，然后選中“顯示”，在右邊窗格中依次對“屏幕保護程序”，“可執行的屏幕保護程序名稱”，“密碼保護屏幕保護程序”和“屏幕保護程序超時”四項進行配置。在本案例中，配置策略如下：

1.屏幕保護程序：開啟。

2.可執行的屏幕保護程序名稱：C:\WINDOWS\Resources\Themes\Windows Classic.theme。

3.屏幕保護程序超時：8分鐘。

4.密碼保護屏幕保護程序：開啟。#p#

（六）配置帳號口令長度和復雜度要求

為了提高用戶口令字典窮舉的難度，需要設置口令策略，口令復雜性要求，即為用戶設置強壯的口令。主要配置方法如下：

打開“默認域策略”，依次展開“計算機配置”、“Windows 設置”、“安全設置”、“帳戶策略”，然后單擊“密碼策略”。依次對“ 密碼必須符合復雜性要求”，“密碼長度最小值”，“密碼最長使用期限”，“密碼最短使用期限”和“強制密碼歷史”進行配置。在本案例中，配置策略如下：

1.密碼必須符合復雜性要求：開啟。

2.密碼長度最小值：8位。

3.密碼最長使用期限：60天。

4.密碼最短使用期限：1天。

5.強制密碼歷史：6個。

（八）加固用戶鑒別策略

為了防止非法用戶對用戶口令進行多次猜測或字典式攻擊，應配置操作系統用戶鑒別失敗策略，即配置帳戶嘗試登陸閥值及達到閥值所采取的措施。主要配置方法如下：

打開“默認域策略”，依次展開“計算機配置”、“Windows 設置”、“安全設置”、“帳戶策略”，然后單擊“賬戶鎖定策略”。依次對“復位帳戶鎖定計數器”，“帳戶鎖定時間”和“帳戶鎖定閾值”進行配置。在本案例中，配置策略如下：

1.復位帳戶鎖定計數器 ：30分鐘。

2.帳戶鎖定時間：30分鐘。

3.帳戶鎖定閾值：5次。

（九）加固審核策略

安全審核是Windows最基本的入侵檢測方法，當有人嘗試對系統進行某種方式入侵的時候(如嘗試用戶密碼,改變帳戶策略和未經許可的文件訪問等等)，都會被安全審核記錄下來。利用組策略開啟的審核方法如下：

打開“默認域策略”，依次展開“計算機配置”、“Windows 設置”、“安全設置”、“本地策略”，然后單擊“審核策略”。依次對“審核策略更改”，“審核登陸事件”，“審核特權使用”，“審核系統事件”，“審核帳戶管理”和“審核賬戶登陸事件”進行配置。在本案例中，配置策略如下：

1.審核策略更改：成功,失敗。

2.審核登陸事件：成功,失敗。

3.審核特權使用：成功。

4.審核系統事件：成功,失敗。

5.審核帳戶管理：成功。

6.審核用戶登陸事件：成功,失敗。

（十）對審核產生的數據分配合理的存儲空間和存儲時間

為了保證系統有足夠的空間存儲系統審核日志和安全審核日志，不會因為空間不足而覆蓋了有用的日志信息。需要對審核產生的數據分配合理的存儲空間和存儲時間。具體方法如下：

打開“默認域策略”，依次展開“計算機配置”、“Windows 設置”，然后單擊“事件日志”。依次對“安全日志保留天數”，“安全日志保留方法”，“安全日志最大值”和“系統日志保留天數”，“系統日志保留方法”，“系統日志最大值”進行配置。在本案例中，配置策略如下：

1.安全日志保留天數：14天。

2.安全日志保留方法：按天數。

3.安全日志最大值：40000KB。

4.系統日志保留天數：14天。

5.系統日志保留方法：按天數。

6.系統日志最大值：40000KB。

束語

當然要想保證整個Windows主機的安全性，還有許多其他方面需要注意，例如補丁更新管理；以最小權限原則對操作系統用戶、用戶組進行權限設置；強化 TCP/IP 堆棧防止拒絕服務攻擊和確保遠程控制要有安全機制保證等等。但這些問題在本次主機脆弱性分析前均已進行了合理配置，因此并不在整改建議中，所以這里不再贅述。

另外本文中都是以“默認域策略”為例，實際操作過程中往往需要根據自己的需求對不同的組織單元的自定義策略分別進行配置，不過配置方法是一樣的。

通過本次安全整改不但讓我們了解到了更多的安全知識，同時也進一步認識到組策略工具的強大功能。希望本文能夠為正在為信息安全忙碌的廣大同仁提供一點幫助。

【編輯推薦】

1. 實現Windows 7家庭基礎版的無組策略優化
2. Windows組策略部署軟件實現個性化操作
3. Windows組策略部署軟件實現自定義安裝教程
4. Windows組策略幫助任務欄與開始菜單減肥
5. Windows組策略概述及由來