《主机加固报告资料分享》由会员分享,可在线阅读,更多相关《主机加固报告资料分享(28页珍藏版)》请在金锄头文库上搜索。
1、Windows 主机加固方案一、加固主机列表本次安全加固服务的对象包括:编号IP 地址操作系统用途或服务Windows 2000Advanced ServerIIS 服务器二、加固方案2.1.1 操作系统加固方案2.1.1.1 补丁安装编号:Windows-02001名称:补丁安装系统当前状态:实施方案:使用 Windows update 安装最新补丁实施目的:可以使系统版本为最新版本实施风险:安装补丁可能导致主机启动失败,或其他未知情况发生。是否实施:是否(客户填写)优异b密码长度最小值7 字符密码最长存留期90 天密码最短存留期30 天帐号锁定计数器5 次帐户锁定时间5 分钟帐户锁定阀值1
2、 分钟密码长度最小值0 字符密码最长存留期42 天密码最短存留期0 天帐号锁定计数器无帐户锁定时间0帐户锁定阀值无2.1.1.2 帐号、口令策略修改编号:Windows-03002,Windows-03003,Windows-03004名称:帐号口令策略修改系统当前状态:实施方案:实施目的:保障帐号以及口令的安全实施风险:设置帐号策略后可能导致不符合帐号策略的帐号无法登录, 需修改不符合帐号策略的密码(注:管理员不受帐号策略限制,但管理员密码应复杂以避免被暴力猜测导致安全风险)。是否实施:是否(客户填写)编号:Windows-03002,Windows-03003,Windows-03004名
3、称:更改默认管理员用户名系统当前状态:默认管理员帐号为 administrator实施方案:更改默认管理员用户名实施目的:默认管理员帐号可能被攻击者用来进行密码暴力猜测,可能由于太多的错误密码尝试导致该帐户被锁定。建议修改默认管理员用户名。实施风险:无,但此步骤不总是必要。是否实施:是否(客户填写)2.1.1.3 网络与服务加固编号:Windows-04005名称:将暂时不需要开放的服务停止系统当前状态:已启动且需要停止的服务包括:Alerter 服务Computer Browser 服务 IPSEC Policy Agent 服务 Messenger 服务 Microsoft Search
4、服务 Print Spooler 服务RunAs Service 服务Remote Registry Service 服务 Security Accounts Manager 服务 Task Scheduler 服务TCP/IP NetBIOS Helper Service 服务实施方案:开始 | 运行 | services.msc | 将上述服务的启动类型设置为 手动并停止上述服务实施目的:避免未知漏洞给主机带来的风险实施风险:可能由于管理员对主机所开放服务不了解,导致该服务被卸载。由于某服务被禁止使得依赖于此服务的其他服务不能正 常启动。是否实施:是否(客户填写)2.1.1.4 文件系统加
5、固编号:Windows-05002名称:限制特定执行文件的权限系统当前状态:未对敏感执行文件设置合适的权限实施方案:通过实施我公司的安全策略文件对特定文件权限进行限制,禁止 Guests 用户组访问这些文件。实施目的:禁止 Guests 用户组访问以下文件:xcopy.exewscript.execscript.exenet.exe arp.exeedlin.exeping.exeroute.exe posix.exeRsh.exeatsvc.exeCopy.exe cacls.exeipconfig.exercp.execmd.exe telnet.exeFinger.exeNslooku
6、p.exeRexec.exe ftp.exeat.exerunonce.exenbtstat.exe Tracert.exenetstat.exe实施风险:在极少数情况下,某些网页可能调用 cmd.exe 来完成某种功能,限制 cmd.exe 的执行权限可能导致调用 cmd 失败。是否实施:是否(客户填写)审核策略更改无审核审核登录事件成功、失败审核对象访问无审核审核过程追踪无审核审核目录服务访问无审核2.1.1.5 日志审核增强编号:Windows-06001名称:设置主机审核策略系统当前状态:审核策略更改成功审核登录事件无审核审核对象访问成功, 失败审核过程追踪无审核审核目录服务访问无审核
7、审核特权使用无审核审核系统事件成功, 失败审核帐户登录事件成功, 失败审核帐户管理成功, 失败大小覆盖方式应用日志512K覆盖早于 7 天的事件安全日志512K覆盖早于 7 天的事件系统日志512K覆盖早于 7 天的事件大小覆盖方式应用日志16382K覆盖早于 30 天的事件安全日志16384K覆盖早于 30 天的事件审核特权使用无审核审核系统事件无审核 审核帐户登录事件成功、失败 审核帐户管理成功、失败实施方案:通过实施我公司的安全策略文件修改下述值:实施目的:对系统事件进行审核,在日后出现故障时用于排查故障。实施风险:无是否实施:是否(客户填写)编号:Windows-06002,Windo
8、ws-06003,Windows-06004名称:调整事件日志的大小、覆盖策略系统当前状态:实施方案:通过实施我公司的安全策略文件修改下述值:系统日志16384K覆盖早于 30 天的事件实施目的:增大日志量大小,避免由于日志文件容量过小导致日志记录不全。实施风险:无是否实施:是否(客户填写)2.1.1.6 安全性增强编号:Windows-07001名称:禁止匿名用户连接(空连接)系统当前状态:注册表如下键值:HKLMSYSTEMCurrentControlSetControlLsa“restrictanonymous”的值为 0实施方案:通过实施我公司的安全策略文件将该值修改为“1”,类型为R
9、EG_DWORD。实施目的:可以禁止匿名用户列举主机上所有用户、组、共享资源实施风险:无是否实施:是否(客户填写)编号:Windows-04006名称:删除主机默认共享系统当前状态:系统开放的默认共享:共享名资源注释IPC$远程 IPCADMIN$C:WINNT远程管理C$C:默认共享E$E:默认共享F$F:默认共享实施方案:通 过 实 施 我 公 司 的 安 全 策 略 文 件 增加 注 册 表 键 值 “ HKLMSYSTEMCurrentControlSetServiceslanmanserverparameters Autoshareserver”项,并设置该值为“1”实施目的:删除主
10、机因为管理而开放的共享实施风险:某些应用软件可能需要该共享,如 Veritas Netbackup是否实施:是否(客户填写)编号:Windows-07001名称:限制远程注册表远程访问权限系统当前状态:注册表如下键值: HKLMSYSTEMCurrentControlSetControlSecurePipeServer swinreg 的安全权限如下:实施方案:该键权限应为管理员完全控制,其他用户不允许访问该键。实施目的:默认权限并不限制对注册表的远程访问。只有管理员才应具有对注册表的远程访问权限,因为默认情况下 Windows 2000 注册表编辑工具支持远程访问。实施风险:无是否实施:是否
11、(客户填写)编号:Windows-03005名称:限制 Guest 用户权限系统当前状态:Guest 已禁用,但未对帐号进行权限限制。实施方案:通过实施我公司的安全策略文件禁止 Guest 帐号本地登录和 网络登录的权限。实施目的:避免 Guest 帐号被黑客激活作为后门实施风险:无是否实施:是否(客户填写)编号:Windows-03005名称:设置帐户安全选项系统当前状态:启用登录时间用完时自动注销用户 启用显示上次成功登陆的用户名 未启用允许未登录系统执行关机命令 未启用仅登录用户允许使用光盘未启用仅登录用户允许使用软盘实施方案:通过实施我公司的安全策略文件启用上述安全选项。实施目的:增强
12、安全性,减少安全隐患。实施风险:无是否实施:是否(客户填写)2.1.1.7 推荐安装安全工具工具名称MBSA 1.1工具用途微软推出的漏洞扫描器相关信息http:/ 工具用途请简单描述产品功用 相关信息请写明产品相关 URL,尽量详细2.1.2 IIS 加固方案2.1.2.1 补丁安装编号:IIS-02001,IIS-02002名称:补丁安装系统当前状态:实施方案:使用 Windows update 安装最新补丁并结合手工安装注意:系统补丁、IIS 补丁、IE 补丁都要安装实施目的:可以使系统版本为最新版本实施风险:无是否实施:是否(客户填写)2.1.2.2 帐号、口令策略修改编号:IIS-03001名称:账号、口令的增强系统当前状态:实施方案:站点属性目录安全性(分为匿名访问和验证,验证分为基 本验证和与系统集成验证方法) 根据客户需求,若无匿名访问情况则取消匿名访问。实施目的:加强账号、口令的安全实施风险:无是否实施:是否(客户填写)2.1.2.3 网络与服务加固编号:IIS-04004名称:去除不需要的服务组件系统当前状态:本服务器仅仅用作 web 服务器,相关 IIS 服务有不需要的服 务。当前状态如图:实施方案:1、禁止不需要的服务。如果仅仅是单纯
