《主机加固资料报告材料》由会员分享,可在线阅读,更多相关《主机加固资料报告材料(27页珍藏版)》请在金锄头文库上搜索。
1、wordWindows主机加固方案一、加固主机列表本次安全加固服务的对象包括:编号IP地址操作系统用途或服务Windows 2000AdvancedServerIIS服务器二、加固方案操作系统加固方案补丁安装编号:Windows-02001名称:补丁安装系统当前状态:实施方案:使用Windowsupdate 安装最新补丁实施目的:可以使系统版本为最新版本实施风险:安装补丁可能导致主机启动失败,或其他未知情况发生。是否实施:是否(客户填写) / 密码长度最小值7 字符密码最长存留期90 天密码最短存留期30 天某某锁定计数器5 次某某锁定时间5 分钟某某锁定阀值1 分钟密码长度最小值0 字符密码
2、最长存留期42 天密码最短存留期0 天某某锁定计数器无某某锁定时间0某某锁定阀值无、口令策略修改编号:Windows-03002,Windows-03003,Windows-03004名称:口令策略修改系统当前状态:实施方案:实施目的:保障以及口令的安全实施风险:设置策略后可能导致不符合策略的无法登录,需修改不符合策略的密码(注:管理员不受策略限制,但管理员密码应复杂以避免被暴力猜测导致安全风险)。是否实施:是否(客户填写)编号:Windows-03002,Windows-03003,Windows-03004名称:更改默认管理员用户名系统当前状态:默认管理员为administrator实施方
3、案:更改默认管理员用户名实施目的:默认管理员可能被攻击者用来进行密码暴力猜测,可能由于太多的错误密码尝试导致该被锁定。建议修改默认管理员用户名。实施风险:无,但此步骤不总是必要。是否实施:是否(客户填写)网络与服务加固编号:Windows-04005名称:将暂时不需要开放的服务停止系统当前状态:已启动且需要停止的服务包括:Alerter 服务puter Browser 服务IPSEC PolicyAgent服务Messenger 服务MicrosoftSearch服务Print Spooler服务RunAs Service 服务Remote RegistryService服务SecurityA
4、ccounts Manager服务TaskScheduler 服务TCP/IPNetBIOSHelperService服务实施方案:开始|运行| services.msc |将上述服务的启动类型设置为 手动并停止上述服务实施目的:避免未知漏洞给主机带来的风险实施风险:可能由于管理员对主机所开放服务不了解,导致该服务被卸载。由于某服务被禁止使得依赖于此服务的其他服务不能正 常启动。是否实施:是否(客户填写)文件系统加固编号:Windows-05002名称:限制特定执行文件的权限系统当前状态:未对敏感执行文件设置合适的权限实施方案:通过实施我公司的安全策略文件对特定文件权限进行限制,禁止Guest
5、s用户组访问这些文件。实施目的:禁止Guests用户组访问以下文件:debug.exeregedt32.exeregedit.exeedit.Rexec.exe 实施风险:在极少数情况下,某些网页可能调用cmd.exe来完成某种功能,cmd失败。是否实施:是否(客户填写)审核策略更改无审核审核登录事件成功、失败审核对象访问无审核审核过程追踪无审核审核目录服务访问无审核日志审核增强编号:Windows-06001名称:设置主机审核策略系统当前状态:审核策略更改成功审核登录事件无审核审核对象访问成功, 失败审核过程追踪无审核审核目录服务访问无审核审核特权使用无审核审核系统事件成功, 失败审核某某登
6、录事件成功, 失败审核某某管理成功, 失败大小覆盖方式应用日志512K覆盖早于 7 天的事件安全日志512K覆盖早于 7 天的事件系统日志512K覆盖早于 7 天的事件大小覆盖方式应用日志16382K覆盖早于 30 天的事件安全日志16384K覆盖早于 30 天的事件审核特权使用无审核审核系统事件无审核 审核登录事件成功、失败 审核管理成功、失败实施方案:通过实施我公司的安全策略文件修改下述值:实施目的:对系统事件进行审核,在日后出现故障时用于排查故障。实施风险:无是否实施:是否(客户填写)编号:Windows-06002,Windows-06003,Windows-06004名称:调整事件日
7、志的大小、覆盖策略系统当前状态:实施方案:通过实施我公司的安全策略文件修改下述值:系统日志16384K覆盖早于30 天的事件实施目的:增大日志量大小,避免由于日志文件容量过小导致日志记录不全。实施风险:无是否实施:是否(客户填写)安全性增强编号:Windows-07001名称:禁止匿名用户连接(空连接)系统当前状态:注册表如下键值:HKLMSYSTEMCurrentControlSetControlLsa“restrictanonymous”的值为0实施方案:通过实施我公司的安全策略文件将该值修改为“1”,类型为REG_DWORD。实施目的:可以禁止匿名用户列举主机上所有用户、组、共享资源实施
8、风险:无是否实施:是否(客户填写)编号:Windows-04006名称:删除主机默认共享系统当前状态:系统开放的默认共享:共享名资源注释IPC$远程IPCADMIN$C:WINNT远程管理C$C:默认共享E$E:默认共享F$F:默认共享实施方案:通过实施我公司的安全策略文件增加注册表键值“HKLMSYSTEMCurrentControlSetServiceslanmanserverparametersAutoshareserver”项,并设置该值为“1”实施目的:删除主机因为管理而开放的共享实施风险:某些应用软件可能需要该共享,如VeritasNetbackup是否实施:是否(客户填写)编号:
9、Windows-07001名称:限制远程注册表远程访问权限系统当前状态:注册表如下键值: HKLMSYSTEMCurrentControlSetControlSecurePipeServerswinreg的安全权限如下:实施方案:该键权限应为管理员完全控制,其他用户不允许访问该键。实施目的:默认权限并不限制对注册表的远程访问。只有管理员才应具有对注册表的远程访问权限,因为默认情况下Windows2000 注册表编辑工具支持远程访问。实施风险:无是否实施:是否(客户填写)编号:Windows-03005名称:限制Guest用户权限系统当前状态:Guest已禁用,但未对进行权限限制。实施方案:通过
10、实施我公司的安全策略文件禁止Guest本地登录和网络登录的权限。实施目的:避免Guest被黑客激活作为后门实施风险:无是否实施:是否(客户填写)编号:Windows-03005名称:设置安全选项系统当前状态:启用登录时间用完时自动注销用户 启用显示上次成功登陆的用户名 未启用允许未登录系统执行关机命令 未启用仅登录用户允许使用光盘未启用仅登录用户允许使用软盘实施方案:通过实施我公司的安全策略文件启用上述安全选项。实施目的:增强安全性,减少安全隐患。实施风险:无是否实施:是否(客户填写)推荐安装安全工具工具名称MBSA工具用途微软推出的漏洞扫描器相关信息download.microsoft./d
11、ownload/e/注:工具名称请包含版本信息工具用途请简单描述产品功用 相关信息请写明产品相关URL,尽量详细加固方案补丁安装编号:IIS-02001,IIS-02002名称:补丁安装系统当前状态:实施方案:使用Windowsupdate 安装最新补丁并结合手工安装注意:系统补丁、IIS补丁、IE 补丁都要安装实施目的:可以使系统版本为最新版本实施风险:无是否实施:是否(客户填写)、口令策略修改编号:IIS-03001名称:账号、口令的增强系统当前状态:实施方案:站点属性目录安全性(分为匿名访问和验证,验证分为基本验证和与系统集成验证方法) 根据客户需求,若无匿名访问情况则取消匿名访问。实施
12、目的:加强账号、口令的安全实施风险:无是否实施:是否(客户填写)网络与服务加固编号:IIS-04004名称:去除不需要的服务组件系统当前状态:本服务器仅仅用作web服务器,相关IIS服务有不需要的服务。当前状态如图:实施方案:1、禁止不需要的服务。如果仅仅是单纯的Web服务器,那么最好禁止掉系统以下不需要的服务:ALERTER、CLIPBOOK、SERVER、PUTER BROWSER、DHCPCLIENT、MESSENGER、NETLOGON、NETWORK DDE、NET DDE、DSDM 、NETWORKMONITORAGENT、SIMPLETCP/IPSERVICES、SPOOLER、
13、NETBIOSINTERFACE、TCP/IPNETBIOSHELPER、NWLINKNETBIOS等。2、控制面板添加/删除程序添加/删除windows 组件IIS详细信息,去掉不需要的IIS服务组件。实施目的:确定没有不需要的服务、组件实施风险:可能需要重启系统是否实施:是否(客户填写)号:IIS-04001名称:SSL系统当前状态:未启用SSL实施方案:启用SSL:站点属性目录安全性安全通信编辑(若编辑为灰色则选择服务器证书导入证书或者分配证书或申请一个新的证书编辑启用SSL实施目的:采用加密通信的方式保证数据的性。实施风险:需要通告用户采用https 方式访问服务器资源。是否实施:是否(客户填写)编号:IIS-04006,IIS-04007名称:已知漏洞补遗(确定有补丁的不再列)系统当前状态:通过检测工具检
