《主机加固报告材料的》由会员分享,可在线阅读,更多相关《主机加固报告材料的(27页珍藏版)》请在金锄头文库上搜索。
1、Windows主机加固方案一、加固主机列表本次安全加固服务的对象包括:编号IP地址操作系统用途或服务Windows 2000AdvancedServerIIS服务器二、加固方案操作系统加固方案补丁安装编号:Windows-02001名称:补丁安装系统当前状态:实施方案:使用Windowsupdate 安装最新补丁实施目的:可以使系统版本为最新版本实施风险:安装补丁可能导致主机启动失败,或其他未知情况发生。是否实施:是否客户填写密码长度最小值7 字符密码最长存留期90 天密码最短存留期30 天某某锁定计数器5 次某某锁定时间5 分钟某某锁定阀值1 分钟密码长度最小值0 字符密码最长存留期42 天
2、密码最短存留期0 天某某锁定计数器无某某锁定时间0某某锁定阀值无某某、口令策略修改编号:Windows-03002,Windows-03003,Windows-03004名称:某某口令策略修改系统当前状态:实施方案:实施目的:保障某某以与口令的安全实施风险:设置某某策略后可能导致不符合某某策略的某某无法登录,需修改不符合某某策略的密码注:管理员不受某某策略限制,但管理员密码应复杂以防止被暴力猜想导致安全风险。是否实施:是否客户填写编号:Windows-03002,Windows-03003,Windows-03004名称:更改默认管理员用户名系统当前状态:默认管理员某某为administrat
3、or实施方案:更改默认管理员用户名实施目的:默认管理员某某可能被攻击者用来进展密码暴力猜想,可能由于太多的错误密码尝试导致该某某被锁定。建议修改默认管理员用户名。实施风险:无,但此步骤不总是必要。是否实施:是否客户填写网络与服务加固编号:Windows-04005名称:将暂时不需要开放的服务停止系统当前状态:已启动且需要停止的服务包括:Alerter 服务puter Browser 服务IPSEC PolicyAgent服务Messenger 服务MicrosoftSearch服务Print Spooler服务RunAs Service 服务Remote RegistryService服务Se
4、curityAccounts Manager服务TaskScheduler 服务TCP/IPNetBIOSHelperService服务实施方案:开始|运行| services.msc |将上述服务的启动类型设置为手动并停止上述服务实施目的:防止未知漏洞给主机带来的风险实施风险:可能由于管理员对主机所开放服务不了解,导致该服务被卸载。由于某服务被禁止使得依赖于此服务的其他服务不能正常启动。是否实施:是否客户填写文件系统加固编号:Windows-05002名称:限制特定执行文件的权限系统当前状态:未对敏感执行文件设置适宜的权限实施方案:通过实施我公司的安全策略文件对特定文件权限进展限制,禁止Gu
5、ests用户组访问文件。实施目的:禁止Guests用户组访问以下文件:xcopy.exewscript.execscript.exenet.exearp.exeedlin.exeping.exeroute.exeposix.exeRsh.exeatsvc.exeCopy.execacls.exeipconfig.exercp.execmd.exedebug.exeregedt32.exeregedit.exeedit.telnet.exeFinger.exeNslookup.exeRexec.exe ftp.exeat.exerunonce.exenbtstat.exeTracert.exen
6、etstat.exe实施风险:在极少数情况下,某些网页可能调用cmd.exe来完成某种功能,限制cmd.exe的执行权限可能导致调用cmd失败。是否实施:是否客户填写审核策略更改无审核审核登录事件成功、失败审核对象访问无审核审核过程追踪无审核审核服务访问无审核日志审核增强编号:Windows-06001名称:设置主机审核策略系统当前状态:审核策略更改成功审核登录事件无审核审核对象访问成功, 失败审核过程追踪无审核审核服务访问无审核审核特权使用无审核审核系统事件成功, 失败审核某某登录事件成功, 失败审核某某管理成功, 失败大小覆盖方式应用日志512K覆盖早于 7 天的事件安全日志512K覆盖早
7、于 7 天的事件系统日志512K覆盖早于 7 天的事件大小覆盖方式应用日志16382K覆盖早于 30 天的事件安全日志16384K覆盖早于 30 天的事件审核特权使用无审核审核系统事件无审核审核某某登录事件成功、失败审核某某管理成功、失败实施方案:通过实施我公司的安全策略文件修改下述值:实施目的:对系统事件进展审核,在日后出现故障时用于排查故障。实施风险:无是否实施:是否客户填写编号:Windows-06002,Windows-06003,Windows-06004名称:调整事件日志的大小、覆盖策略系统当前状态:实施方案:通过实施我公司的安全策略文件修改下述值:系统日志16384K覆盖早于30
8、 天的事件实施目的:增大日志量大小,防止由于日志文件容量过小导致日志记录不全。实施风险:无是否实施:是否客户填写安全性增强编号:Windows-07001名称:禁止匿名用户连接空连接系统当前状态:注册表如下键值:HKLMSYSTEMCurrentControlSetControlLsa“restrictanonymous的值为0实施方案:通过实施我公司的安全策略文件将该值修改为“1,类型为REG_DWORD。实施目的:可以禁止匿名用户列举主机上所有用户、组、共享资源实施风险:无是否实施:是否客户填写编号:Windows-04006名称:删除主机默认共享系统当前状态:系统开放的默认共享:共享名资
9、源注释IPC$远程IPCADMIN$C:WINNT远程管理C$C:默认共享E$E:默认共享F$F:默认共享实施方案:通过实施我公司的安全策略文件增加注册表键值“HKLMSYSTEMCurrentControlSetServiceslanmanserverparametersAutoshareserver项,并设置该值为“1实施目的:删除主机因为管理而开放的共享实施风险:某些应用软件可能需要该共享,如VeritasNetbackup是否实施:是否客户填写编号:Windows-07001名称:限制远程注册表远程访问权限系统当前状态:注册表如下键值:HKLMSYSTEMCurrentControlS
10、etControlSecurePipeServerswinreg的安全权限如下:实施方案:该键权限应为管理员完全控制,其他用户不允许访问该键。实施目的:默认权限并不限制对注册表的远程访问。只有管理员才应具有对注册表的远程访问权限,因为默认情况下Windows2000 注册表编辑工具支持远程访问。实施风险:无是否实施:是否客户填写编号:Windows-03005名称:限制Guest用户权限系统当前状态:Guest已禁用,但未对某某进展权限限制。实施方案:通过实施我公司的安全策略文件禁止Guest某某本地登录和网络登录的权限。实施目的:防止Guest某某被黑客激活作为后门实施风险:无是否实施:是否
11、客户填写编号:Windows-03005名称:设置某某安全选项系统当前状态:启用登录时间用完时自动注销用户启用显示上次成功登陆的用户名未启用允许未登录系统执行关机命令未启用仅登录用户允许使用光盘未启用仅登录用户允许使用软盘实施方案:通过实施我公司的安全策略文件启用上述安全选项。实施目的:增强安全性,减少安全隐患。实施风险:无是否实施:是否客户填写推荐安装安全工具工具名称MBSA1.1工具用途微软推出的漏洞扫描器相关信息download.microsoft./download/e/5/7/e57f498f-2468-4905-aa5f-369252f8b15c/mbsasetup.msi注:工具
12、名称请包含版本信息工具用途请简单描述产品功用相关信息请写明产品相关URL,尽量详细加固方案补丁安装编号:IIS-02001,IIS-02002名称:补丁安装系统当前状态:实施方案:使用Windowsupdate 安装最新补丁并结合手工安装注意:系统补丁、IIS补丁、IE 补丁都要安装实施目的:可以使系统版本为最新版本实施风险:无是否实施:是否客户填写某某、口令策略修改编号:IIS-03001名称:账号、口令的增强系统当前状态:实施方案:站点属性安全性分为匿名访问和验证,验证分为根本验证和与系统集成验证方法根据客户需求,假如无匿名访问情况如此取消匿名访问。实施目的:加强账号、口令的安全实施风险:
13、无是否实施:是否客户填写网络与服务加固编号:IIS-04004名称:去除不需要的服务组件系统当前状态:本服务器仅仅用作web服务器,相关IIS服务有不需要的服务。当前状态如图:实施方案:1、禁止不需要的服务。如果仅仅是单纯的Web服务器,那么最好禁止掉系统以下不需要的服务:ALERTER、CLIPBOOK、SERVER、PUTER BROWSER、DHCPCLIENT、MESSENGER、NETLOGON、NETWORK DDE、NET DDE、DSDM 、NETWORKMONITORAGENT、SIMPLETCP/IPSERVICES、SPOOLER、NETBIOSINTERFACE、TCP/IPNETBIOSHELPER、NWLINKNETBIOS等。2、控制面板添加/删除程序添加/删除windows 组件IIS详细信息,去掉不需要的IIS服务组件。
