主机加固报告.doc

1、Tosec.Cn第 1 页 共 27 页Windows 主 机 加 固 方 案一 、 加 固 主 机 列 表本次安全加固服务的对象包括：编号 IP 地址 操作系统 用途或服务Windows 2000Advanced ServerIIS 服务器二 、 加 固 方 案2.1.1 操 作 系 统 加 固 方 案2.1.1.1 补丁安装编号： Windows-02001名称： 补丁安装系 统 当 前 状 态 ：实 施 方 案 ： 使用 Windows update 安装最新补丁实 施 目 的 ： 可以使系统版本为最新版本实 施 风 险 ： 安装补丁可能导致主机启动失败，或其他未知情况发生。是 否 实

2、施 ： 是 否 （客户填写）Tosec.Cn第 2 页 共 27 页2.1.1.2 帐号、口令策略修改编号： Windows-03002,Windows-03003,Windows-03004名称： 帐号口令策略修改系统当前状态：实施方案：实施目的： 保障帐号以及口令的安全实施风险： 设置帐号策略后可能导致不符合帐号策略的帐号无法登录， 需 修 改 不 符 合 帐 号 策 略 的 密 码 （ 注 ： 管 理 员 不 受 帐 号 策 略 限制， 但管理员密码应复杂以避免被暴力猜测导致安全风险） 。是否实施： 是 否 （客户填写）编号： Windows-03002,Windows-03003,Wi

3、ndows-03004名称： 更改默认管理员用户名系统当前状态： 默认管理员帐号为 administrator实 施 方 案 ： 更改默认管理员用户名实 施 目 的 ： 默 认 管 理 员 帐 号 可 能 被 攻 击 者 用 来 进 行 密 码 暴 力 猜 测 ， 可 能由于太多的错误密码尝试导致该帐户被锁定。 建议修改默认密码长度最小值 7 字符密码最长存留期 90 天密码最短存留期 30 天帐号锁定计数器 5 次帐户锁定时间 5 分钟帐户锁定阀值 1 分钟密码长度最小值 0 字符密码最长存留期 42 天密码最短存留期 0 天帐号锁定计数器 无帐户锁定时间 0帐户锁定阀值 无第 3 页 共

4、27 页Tosec.Cn管理员用户名。实 施 风 险 ： 无，但此步骤不总是必要。是 否 实 施 ： 是 否 （客户填写）2.1.1.3 网络与服务加固编号： Windows-04005名称： 将暂时不需要开放的服务停止系统当前状态： 已启动且需要停止的服务包括：Alerter 服务Computer Browser 服务 IPSEC Policy Agent 服 务 Messenger 服务 Microsoft Search 服务 Print Spooler 服务RunAs Service 服务Remote Registry Service 服务 Security Accounts Manag

5、er 服务 Task Scheduler 服务TCP/IP NetBIOS Helper Service 服务实 施 方 案 ： 开 始 | 运 行 | services.msc | 将 上 述 服 务 的 启 动 类 型 设 置 为 手动并停止上述服务实 施 目 的 ： 避免未知漏洞给主机带来的风险实 施 风 险 ： 可能由于管理员对主机所开放服务不了解， 导致该服务被卸载。 由于某服务被禁止使得依赖于此服务的其他服务不能正 常启动。是 否 实 施 ： 是 否 （客户填写）第 4 页 共 27 页Tosec.Cn2.1.1.4 文件系统加固编号： Windows-05002名称： 限制特定执

6、行文件的权限系统当前状态： 未对敏感执行文件设置合适的权限实 施 方 案 ： 通过实施我公司的安全策略文件对特定文件权限进行限制，禁止 Guests 用户组访问这些文件。实 施 目 的 ： 禁止 Guests 用户组访问以下文件：xcopy.exe wscript.exe cscript.exe net.exe arp.exe edlin.exe ping.exe route.exe posix.exe Rsh.exe atsvc.exe Copy.exe cacls.exe ipconfig.exe rcp.exe cmd.exe debug.exe regedt32.exe regedit

7、.exe telnet.exe Finger.exe Nslookup.exe Rexec.exe ftp.exe at.exe runonce.exe nbtstat.exe Tracert.exe netstat.exe实 施 风 险 ： 在极少数情况下， 某些网页可能调用 cmd.exe 来完成某种功能，限制 cmd.exe 的执行权限可能导致调用 cmd 失败。是 否 实 施 ： 是 否 （客户填写）2.1.1.5 日志审核增强编号： Windows-06001名称： 设置主机审核策略系统当前状态：审核策略更改 无审核审核登录事件 成功、失败审核对象访问 无审核审核过程追踪 无审核审

8、核目录服务访问 无审核第 5 页 共 27 页Tosec.Cn审核特权使用 无审核审核系统事件 无审核 审核帐户登录事件 成功、失败 审核帐户管理 成功、失败实 施 方 案 ： 通过实施我公司的安全策略文件修改下述值：实 施 目 的 ： 对系统事件进行审核，在日后出现故障时用于排查故障。实 施 风 险 ： 无是 否 实 施 ： 是 否 （客户填写）编号： Windows-06002， Windows-06003， Windows-06004名称： 调整事件日志的大小、覆盖策略系统当前状态：实 施 方 案 ： 通过实施我公司的安全策略文件修改下述值：审核策略更改 成功审核登录事件 无审核审核对象

9、访问 成功, 失败审核过程追踪 无审核审核目录服务访问 无审核审核特权使用 无审核审核系统事件 成功, 失败审核帐户登录事件 成功, 失败审核帐户管理 成功, 失败大小 覆盖方式应用日志 512K 覆盖早于 7 天的事件安全日志 512K 覆盖早于 7 天的事件系统日志 512K 覆盖早于 7 天的事件大小 覆盖方式应用日志 16382K 覆盖早于 30 天的事件安全日志 16384K 覆盖早于 30 天的事件第 6 页 共 27 页Tosec.Cn系统日志 16384K 覆盖早于 30 天的事件实 施 目 的 ： 增大日志量大小， 避免由于日志文件容量过小导致日志记录不全。实 施 风 险 ：

10、 无是 否 实 施 ： 是 否 （客户填写）2.1.1.6 安全性增强编号： Windows-07001名称： 禁止匿名用户连接（空连接）系统当前状态： 注册表如下键值：HKLMSYSTEMCurrentControlSetControlLsa“restrictanonymous”的 值 为 0实 施 方 案 ： 通过实施我公司的安全策略文件将该值修改为 “1”， 类型为REG_DWORD。实 施 目 的 ： 可以禁止匿名用户列举主机上所有用户、组、共享资源实 施 风 险 ： 无是 否 实 施 ： 是 否 （客户填写）编号： Windows-04006名称： 删除主机默认共享系统当前状态： 系

11、统开放的默认共享：共享名 资源 注释IPC$ 远程 IPCADMIN$ C:WINNT 远程管理C$ C: 默认共享E$ E: 默认共享F$ F: 默认共享第 7 页 共 27 页Tosec.Cn实 施 方 案 ： 通 过 实 施 我 公 司 的 安 全 策 略 文 件 增 加 注 册 表 键 值 “ HKLMSYSTEMCurrentControlSetServiceslanmanserverparameters Autoshareserver”项，并设置该值为“1”实 施 目 的 ： 删除主机因为管理而开放的共享实 施 风 险 ： 某些应用软件可能需要该共享，如 Veritas Netba

12、ckup是 否 实 施 ： 是 否 （客户填写）编号： Windows-07001名称： 限制远程注册表远程访问权限系统当前状态： 注册表如下键值： H KLMSYSTEMCurrentControlSetControlSecurePipeServer swinreg 的安全权限如下：第 8 页 共 27 页Tosec.Cn实 施 方 案 ： 该键权限应为管理员完全控制，其他用户不允许访问该键。实 施 目 的 ： 默认权限并不限制对注册表的远程访问。 只有管理员才应具有 对 注 册 表 的 远 程 访 问 权 限 ， 因 为 默 认 情 况 下 Windows 2000 注册表编辑工具支持远程

13、访问。实 施 风 险 ： 无是 否 实 施 ： 是 否 （客户填写）编号： Windows-03005名称： 限制 Guest 用户权限系统当前状态： Guest 已禁用，但未对帐号进行权限限制。实 施 方 案 ： 通过实施我公司的安全策略文件禁止 Guest 帐 号 本 地 登 录 和 网络登录的权限。实 施 目 的 ： 避免 Guest 帐号被黑客激活作为后门实 施 风 险 ： 无是 否 实 施 ： 是 否 （客户填写）编号： Windows-03005名称： 设置帐户安全选项系统当前状态： 启用登录时间用完时自动注销用户 启用显示上次成功登陆的用户名 未启用允许未登录系统执行关机命令 未

14、启用仅登录用户允许使用光盘未启用仅登录用户允许使用软盘实 施 方 案 ： 通过实施我公司的安全策略文件启用上述安全选项。实 施 目 的 ： 增强安全性，减少安全隐患。实 施 风 险 ： 无是 否 实 施 ： 是 否 （客户填写）第 9 页 共 27 页Tosec.Cn2.1.1.7 推荐安装安全工具工具名称 MBSA 1.1工具用途 微软推出的漏洞扫描器相 关 信 息 http:/ 具 名 称 请 包 含 版 本 信 息 工具用途请简单描述产品功用 相关信息请写明产品相关 URL， 尽 量 详 细2.1.2 IIS 加 固 方 案2.1.2.1 补丁安装编号： IIS-02001， IIS-0

15、2002名称： 补丁安装系统当前状态：实 施 方 案 ： 使用 Windows update 安装最新补丁并结合手工安装注 意 ： 系 统 补 丁 、 IIS 补 丁 、 IE 补丁都要安装实 施 目 的 ： 可以使系统版本为最新版本实 施 风 险 ： 无是 否 实 施 ： 是 否 （客户填写）2.1.2.2 帐号、口令策略修改编号： IIS-03001名称： 账号、口令的增强第 10 页 共 27 页Tosec.Cn系统当前状态：实 施 方 案 ： 站 点 属 性 目 录 安 全 性 （ 分 为 匿 名 访 问 和 验 证 ， 验 证 分 为 基 本验证和与系统集成验证方法） 根据客户需求，若无匿名访问情况则取消匿名访问。实 施 目 的 ： 加强账号、口令的安全实 施 风 险 ： 无是 否 实 施 ： 是 否 （客户填写）2.1.2.3 网络与服务加固编号： IIS-04004名称： 去除不需要的服务组件系统当前状态： 本服务器仅仅用作 web 服务器，相关 IIS 服务有不需要的服 务。当前状态如图：