《精品XXX电子商务网站安全加固报告》由会员分享,可在线阅读,更多相关《精品XXX电子商务网站安全加固报告(17页珍藏版)》请在金锄头文库上搜索。
1、Windows系统安全加固 叶刚:13520800400精品XXX电子商务网站安全加固报告XXX电子商务网站安全加固报告目录电子商务网站安全加固报告1目录2一、加固主机列表3二、加固实施42.1操作系统加固42.1.1 补丁安装42.1.2 帐号、口令策略修改42.1.3 网络与服务加固42.1.4 文件系统加固52.1.5 日志审核增强62.1.6 安全性增强72.1.7 推荐安装安全工具82.2 IIS服务加固82.2.1 补丁安装82.2.2 网站实例权限分配82.2.3 IIS配置安全增强92.2.4 安全控件加固92.3 代码审核加固102.3.1 清除WebShell代码102.3
2、.2 清除SQL注入漏洞102.3.3 修正权限认证缺陷102.3.4 减少上传风险威胁112.3.5 正确处理数据库文件11三、推荐安全注意事项123.1为新增网站实例分配权限123.2 使用SSL加密FTP传输123.3 加强管理员安全习惯12四、签字确认13附录:14后台访问用户认证分配一览表14代码加固修改一览表14一、加固主机列表本次安全加固服务的对象包括:编号IP地址操作系统用途或服务H_2112_1XX.XX.XX.2Windows 2000 Server提供电子商务服务,有偿提供考试资料填写规则:编号统一使用“型号_地址缩写_数字”型号(H主机;D设备),数字使用三位数字顺序号
3、。二、加固实施2.1操作系统加固2.1.1 补丁安装编号:Windows-02001名称:补丁安装系统以往状态:Windows 2000 Service Pack 4IE 最新积累补丁方案实施使用Windows update安装最新补丁实施目的可以使系统版本为最新版本实施风险安装补丁可能导致主机启动失败,或其他未知情况发生2.1.2 帐号、口令策略修改编号:Windows-03002,Windows-03003,Windows-03004名称:帐号口令策略修改系统以往状态:密码长度最小值0 字符密码最长存留期42天密码最短存留期0天帐号锁定计数器无帐户锁定时间0帐户锁定阀值无方案实施密码长度最
4、小值7 字符密码最长存留期90天密码最短存留期30天帐号锁定计数器5次帐户锁定时间5分钟帐户锁定阀值1分钟实施目的保障帐号以及口令的安全实施风险设置帐号策略后可能导致不符合帐号策略的帐号无法登陆,需修改帐号密码(注:管理员不受帐号策略限制,但管理员密码应复杂)2.1.3 网络与服务加固编号:Windows-04003,Windows-04004名称:卸载不需要的服务系统以往状态:已安装的不必要的服务包括:DNS服务DHCP服务MS FTP服务SNMP服务方案实施开始|设置|控制面板|添加/删除程序|Windows组件卸载不需要的服务实施目的避免未知漏洞给主机带来的风险实施风险可能由于管理员对主
5、机所开放服务不了解,导致该服务被卸载。编号:Windows-04005名称:将暂时不需要开放的服务停止系统以往状态:已启动且需要停止的服务包括:Computer Browser服务Alerter服务Messenger服务方案实施开始|运行|services.msc|将上述服务的启动类型设置为手动并停止上述服务实施目的避免未知漏洞给主机带来的风险实施风险可能由于管理员对主机所开放服务不了解,导致该服务被卸载。2.1.4 文件系统加固编号:Windows-05002名称:限制特定执行文件的权限系统以往状态:未对敏感执行文件设置合适的权限方案实施通过实施我公司的安全策略文件对特定文件权限进行限制,禁
6、止Guests用户组访问这些文件。实施目的禁止Guests用户组访问以下文件:xcopy.exe wscript.exe cscript.exe net.exe arp.exe edlin.exe ping.exe route.exe posix.exe Rsh.exe atsvc.exe Copy.execacls.exe ipconfig.exe rcp.exe cmd.exedebug.exe regedt32.exe regedit.exe telnet.exeFinger.exeNslookup.exeRexec.exeftp.exeat.exerunonce.exe nbtsta
7、t.exe Tracert.exenetstat.exe 实施风险在极少数情况下,某些网页可能调用cmd.exe来完成某种功能,限制cmd.exe的执行权限可能导致调用cmd失败。2.1.5 日志审核增强编号:Windows-06001名称:设置主机审核策略系统以往状态:审核策略更改无审核审核登录事件无审核审核对象访问无审核审核过程追踪无审核审核目录服务访问无审核审核特权使用无审核审核系统事件无审核审核帐户登录事件无审核审核帐户管理无审核方案实施通过实施我公司的安全策略文件修改下述值:审核策略更改成功审核登录事件无审核审核对象访问成功, 失败审核过程追踪无审核审核目录服务访问无审核审核特权使用
8、无审核审核系统事件成功, 失败审核帐户登录事件成功, 失败审核帐户管理成功, 失败实施目的对系统事件进行审核,在日后出现故障时用于排查故障。实施风险无编号:Windows-06002,Windows-06003,Windows-06004名称:调整事件日志的大小、覆盖策略系统以往状态:大小覆盖方式应用日志512K覆盖早于7天的事件安全日志512K覆盖早于7天的事件系统日志512K覆盖早于7天的事件方案实施通过实施我公司的安全策略文件修改下述值:大小覆盖方式应用日志16382K覆盖早于30天的事件安全日志16384K覆盖早于30天的事件系统日志16384K覆盖早于30天的事件实施目的增大日志大小
9、,避免由于日志文件容量过小导致日志记录不全实施风险无2.1.6 安全性增强编号:Windows-07001名称:禁止匿名用户连接系统以往状态:Key:HKLMSYSTEMCurrentControlSetControlLsa“restrictanonymous”的值为0方案实施通过实施我公司的安全策略文件将该值修改为“1”实施目的可以禁止匿名用户列举主机上所有用户、组、共享资源实施风险无编号:Windows-04006名称:删除主机管理共享系统以往状态:Key:HKLMSYSTEMCurrentControlSetServiceslanmanserverparameters无“Autoshar
10、eserver”键方案实施通过实施我公司的安全策略文件增加“Autoshareserver”项,并设置该值为“1”实施目的删除主机因为管理而开放的共享实施风险某些应用软件可能需要该共享,如Veritas Netbackup编号:Windows-07001名称:禁止匿名用户连接系统以往状态:Key:HKLMSYSTEMCurrentControlSetControlLsa“restrictanonymous”的值为0方案实施通过实施我公司的安全策略文件将该值修改为“1”实施目的可以禁止匿名用户列举主机上所有用户、组、共享资源实施风险无编号:Windows-03005名称:限制Guest用户权限系
11、统以往状态:Guest已禁用,但未对帐号进行权限限制。方案实施通过实施我公司的安全策略文件禁止Guest帐号本地登录和网络登录的权限。实施目的避免Guest帐号被黑客激活作为后门实施风险无2.1.7 推荐安装安全工具工具名称IceSword 1.06工具用途特洛伊木马彻查、黑客后门检测工具相关信息http:/ IIS服务加固2.2.1 补丁安装编号:Windows-02001(将所有涉及到这个加固项的检测文档编号填写,如有多个,用逗号分开,写文档的时候将本文字删除)名称:补丁安装系统以往状态:Windows 2000 Service Pack 4方案实施使用Windows update安装最新
12、补丁实施目的可以使系统版本为最新版本实施风险(应描述实施本条措施所导致的后果)2.2.2 网站实例权限分配编号:Windows-02002(将所有涉及到这个加固项的检测文档编号填写,如有多个,用逗号分开,写文档的时候将本文字删除)名称:权限分配系统以往状态:没有对每个网站实例进行相应的权限分配,任何一个网站被入侵后都有可能导致其他网站被入侵方案实施每个网站实例都对应使用低权限帐户,并去除网站后台的匿名访问,集成Windows认证实施目的可以使各个网站实例读取、修改权限完全分开,避免入侵者从一个网站实例入侵到另一个网站实例实施风险(应描述实施本条措施所导致的后果)2.2.3 IIS配置安全增强编号:Windows-02003(将所有涉及到这个加固项的检测文档编号填写,如有多个,用逗号分开,写文档的时候将本文字删除)名称:配置安全增强系统以往状态:存在很多默认配置,导致入侵者可利用方案实施修正IIS的扩展配置,减少asp.dll解析范围,禁止下载MDB文件实施目的减少入侵者入侵几率,防止网站数据库被恶意下载实施风险(应描述实施本条措施所导致的后果)2.2.4 安全控件加固编号:Windows-02004(将所有涉及到这个加固项的检测文档编号填写,如有多个,用逗号分开,写文档的时候将本文字删除)名称:安全空间加固系统以往状态
