《主机安全检查》由会员分享,可在线阅读,更多相关《主机安全检查(27页珍藏版)》请在金锄头文库上搜索。
1、主机安全检查-Windows 主机安全检查流程1. 设备编号规则编号规则:设备类型_客户名称_部门名称_数字编号。设备类型(SV 服务器;PC-终端;FW防火墙,RO-路由器,SW-交换机); 客户名称(拼音缩写);部门名称(拼音缩写); 数字编号使用三位数字顺序号。2. 主机信息主机信息表设备名称设备编号设备位置正式域名/主机名外部IP地址内部IP地址网关域名服务器操作系统版本号中央处理器内存外部存储设备名称应用服务及版本情况其他信息3. 安全检查3.1. 系统信息3.1.1 收集主机名、工作组/域信息(01001)3.1.2获得主机 IP 地址和子网掩码(01002)3.1.4 查看主机路
2、由信息(01004)3.2. 补丁安装情况3.2.1 检查系统安装的补丁以及 Hotfix(02001)3.3. 帐号和口令3.3.1 口令复杂度检查(03001)3.3.2 是否有口令最短口令长度要求(03002)检査结果:适用版本:Windows 2000及以上版本备注:在域中可能无法确定是哪个组策略在生效,可以执行Gpresult来进行分析3.3.3 是否有密码过期策略(03003)编号:03003名称:是否有密码过期策略说明:密码过期策略包括密码最长存留期和最短存留期,最长存留期是指密码在多久后 过期,最短存留期是指在多久后才可以修改密码检査方法:开始I程序I管理工具I本地安全设置I安
3、全设置I帐户策略I密码策略:#密码最长存留期,以天为单位,MAXDAYS天后密码过期,缺省为42天(建 议不超过42天)#密码最短存留期,以天为单位,MINDAYS天后才可以修改密码,缺省为0(建 议17天)检查风险(对系统的影响,请具体描述):无检查结果:适用版本:Windows 2000及以上版本备注:可以询问客户管理员进行相关设置。3.3.4 帐户锁定策略检查(03004)335 检査Guest帐号(03005)3.3.7 是否存在可疑帐号(03007)编号:03007名称:是否存在可疑帐号说明:查看系统是否存在攻击者留下的可疑帐号,或检查主机操作人员遗留下的尚未删 除的帐号。检查方法:
4、net user检查风险(对系统的影响,请具体描述):可能删除系统中重要用户导致某些应用无法正常使用,建议在删除前将可以帐号 禁用,禁用方法:net user username /active:no检查结果:适用版本:All备注:3.3.8 检查系统中是否存在脆弱口令(03008)编号:03008名称:检查系统中是否存在脆弱口令说明:系统存在脆弱口令帐号可能导致攻击者轻易猜出帐号密码。检查方法:安装LOpht crack4进行检查检查风险(对系统的影响,请具体描述):安装该软件需得到客户管理员许可,执行该软件可能导致系统蓝屏。检查结果:适用版本:All备注:3.4. 网络与服务3.4.1 查看
5、网络开放端口(04001)3.4.2 网络流量信息(04002)编号:04003名称:端口、进程对应信息检查说明:检查主机端口、进程对应信息检查方法:fporthttp:/ 2000及以下版本备注:在Windows 2003中Fport无法执行,可以使用netstat -no查看端口对应的PID, 然后结合04004的检查结果进行整理。3.4.4 主机进程信息检查(04004)编号:04004名称:主机进程信息检查说明:3.4.5查看启动服务列表(04005)3.4.6 查看主机开放的共享(04006)3.4.7 检查主机端口限制信息(04007)编号:04007名称:检查主机端口限制信息说明
6、:检查主机是否实施了端口限制通常的方法是主机受防火墙保护或在主机上实施了相关的措施进行端口限制。检查方法:一般的方法为询问管理员或从外部telnet连接主机已开放端口检查风险(对系统的影响,请具体描述):无检查结果:无适用版本:3.5. 文件系统3.5.1 查看主机磁盘分区类型(05001)3.5.2 检查特定文件的文件权限(05002)编号: 05002名称:检查特定文件的文件权限说明:对于一些敏感文件权限需要进行修改,避免文件被恶意用户执行。检查方法:cacls filename检查风险(对系统的影响,请具体描述):3.5.3 检查特定目录的权限(05003)编号: 05003名称:检查特
7、定目录的权限说明:在检查中我们一般检查各个磁盘根目录权限、Temp目录权限检査方法:cacls目录名检査风险(对系统的影响,请具体描述):无检查结果:适用版本:All (仅适用于NTFS分区)备注:如修改权限需与管理员进行沟通,因为设置根目录权限后以后新建目录都会积存 该权限,可能导致IIS访问需要用户名,此时对新建的目录重新设置权限即可。3.6. 日志审核3.6.1 检查审核情况(06001)编号:06001名称:检查审核情况3.6.2 检查系统事件相关信息(06002)3.6.3 检查应用事件相关信息(06003)3.6.4 检查安全事件相关信息(06004)3.7.1 保护注册表,防止匿
8、名访问(07001)编号:07001名称:保护注册表,防止匿名访问说明:默认权限并不限制对注册表的远程访问。只有管理员才应具有对注册表的远程访 问权限,因为默认情况下Windows 2000注册表编辑工具支持远程访问。检査方法:开始I运行I regedt32l转到 HKLM SYSTEMCurrentControlSetControlSecurePipeServerswinregI安全权限检査风险(对系统的影响,请具体描述):无检查结果:适用版本:All备注:3.7.2 对匿名连接的额外限制(07002)编号:07002名称:对匿名连接的额外限制说明:默认情况下Windows系统允许匿名用户枚
9、举主机帐号列表,获得一些敏感信息。检查方法:开始运行Igpedit.msc计算机配置Windows设置安全选项检查风险(对系统的影响,请具体描述):无检查结果:适用版本:Windows 2000及以上版本备注:3.7.3 是否自动注销用户(07003)3.7.4 是否显示上次成功登陆用户名(07004)编号:07004名称:是否显示上次成功登陆用户名3.7.5 是否允许未登陆关机(07005)3.7.6 仅登陆用户允许使用光盘(07006)3.7.7 仅登陆用户允许使用软盘(07007)3.8. 后门与日志检查3.8.1 检查注册表中自动启动选项(08001)3.8.3 安全日志记录内容分析(08003)
