收藏
下载资源 加入VIP,省得不是一点点

主机加固报告.doc

上传人:99****p 文档编号:1500207 上传时间:2019-03-03 格式:DOC 页数:27 大小:7.90MB
下载 相关 举报
主机加固报告.doc_第1页
第1页 / 共27页
主机加固报告.doc_第2页
第2页 / 共27页
主机加固报告.doc_第3页
第3页 / 共27页
主机加固报告.doc_第4页
第4页 / 共27页
主机加固报告.doc_第5页
第5页 / 共27页
点击查看更多>>
资源描述

1、Tosec.Cn第 1 页 共 27 页Windows 主 机 加 固 方 案一 、 加 固 主 机 列 表本次安全加固服务的对象包括:编号 IP 地址 操作系统 用途或服务Windows 2000Advanced ServerIIS 服务器二 、 加 固 方 案2.1.1 操 作 系 统 加 固 方 案2.1.1.1 补丁安装编号: Windows-02001名称: 补丁安装系 统 当 前 状 态 :实 施 方 案 : 使用 Windows update 安装最新补丁实 施 目 的 : 可以使系统版本为最新版本实 施 风 险 : 安装补丁可能导致主机启动失败,或其他未知情况发生。是 否 实

2、施 : 是 否 (客户填写)Tosec.Cn第 2 页 共 27 页2.1.1.2 帐号、口令策略修改编号: Windows-03002,Windows-03003,Windows-03004名称: 帐号口令策略修改系统当前状态:实施方案:实施目的: 保障帐号以及口令的安全实施风险: 设置帐号策略后可能导致不符合帐号策略的帐号无法登录, 需 修 改 不 符 合 帐 号 策 略 的 密 码 ( 注 : 管 理 员 不 受 帐 号 策 略 限制, 但管理员密码应复杂以避免被暴力猜测导致安全风险) 。是否实施: 是 否 (客户填写)编号: Windows-03002,Windows-03003,Wi

3、ndows-03004名称: 更改默认管理员用户名系统当前状态: 默认管理员帐号为 administrator实 施 方 案 : 更改默认管理员用户名实 施 目 的 : 默 认 管 理 员 帐 号 可 能 被 攻 击 者 用 来 进 行 密 码 暴 力 猜 测 , 可 能由于太多的错误密码尝试导致该帐户被锁定。 建议修改默认密码长度最小值 7 字符密码最长存留期 90 天密码最短存留期 30 天帐号锁定计数器 5 次帐户锁定时间 5 分钟帐户锁定阀值 1 分钟密码长度最小值 0 字符密码最长存留期 42 天密码最短存留期 0 天帐号锁定计数器 无帐户锁定时间 0帐户锁定阀值 无第 3 页 共

4、27 页Tosec.Cn管理员用户名。实 施 风 险 : 无,但此步骤不总是必要。是 否 实 施 : 是 否 (客户填写)2.1.1.3 网络与服务加固编号: Windows-04005名称: 将暂时不需要开放的服务停止系统当前状态: 已启动且需要停止的服务包括:Alerter 服务Computer Browser 服务 IPSEC Policy Agent 服 务 Messenger 服务 Microsoft Search 服务 Print Spooler 服务RunAs Service 服务Remote Registry Service 服务 Security Accounts Manag

5、er 服务 Task Scheduler 服务TCP/IP NetBIOS Helper Service 服务实 施 方 案 : 开 始 | 运 行 | services.msc | 将 上 述 服 务 的 启 动 类 型 设 置 为 手动并停止上述服务实 施 目 的 : 避免未知漏洞给主机带来的风险实 施 风 险 : 可能由于管理员对主机所开放服务不了解, 导致该服务被卸载。 由于某服务被禁止使得依赖于此服务的其他服务不能正 常启动。是 否 实 施 : 是 否 (客户填写)第 4 页 共 27 页Tosec.Cn2.1.1.4 文件系统加固编号: Windows-05002名称: 限制特定执

6、行文件的权限系统当前状态: 未对敏感执行文件设置合适的权限实 施 方 案 : 通过实施我公司的安全策略文件对特定文件权限进行限制,禁止 Guests 用户组访问这些文件。实 施 目 的 : 禁止 Guests 用户组访问以下文件:xcopy.exe wscript.exe cscript.exe net.exe arp.exe edlin.exe ping.exe route.exe posix.exe Rsh.exe atsvc.exe Copy.exe cacls.exe ipconfig.exe rcp.exe cmd.exe debug.exe regedt32.exe regedit

7、.exe telnet.exe Finger.exe Nslookup.exe Rexec.exe ftp.exe at.exe runonce.exe nbtstat.exe Tracert.exe netstat.exe实 施 风 险 : 在极少数情况下, 某些网页可能调用 cmd.exe 来完成某种功能,限制 cmd.exe 的执行权限可能导致调用 cmd 失败。是 否 实 施 : 是 否 (客户填写)2.1.1.5 日志审核增强编号: Windows-06001名称: 设置主机审核策略系统当前状态:审核策略更改 无审核审核登录事件 成功、失败审核对象访问 无审核审核过程追踪 无审核审

8、核目录服务访问 无审核第 5 页 共 27 页Tosec.Cn审核特权使用 无审核审核系统事件 无审核 审核帐户登录事件 成功、失败 审核帐户管理 成功、失败实 施 方 案 : 通过实施我公司的安全策略文件修改下述值:实 施 目 的 : 对系统事件进行审核,在日后出现故障时用于排查故障。实 施 风 险 : 无是 否 实 施 : 是 否 (客户填写)编号: Windows-06002, Windows-06003, Windows-06004名称: 调整事件日志的大小、覆盖策略系统当前状态:实 施 方 案 : 通过实施我公司的安全策略文件修改下述值:审核策略更改 成功审核登录事件 无审核审核对象

9、访问 成功, 失败审核过程追踪 无审核审核目录服务访问 无审核审核特权使用 无审核审核系统事件 成功, 失败审核帐户登录事件 成功, 失败审核帐户管理 成功, 失败大小 覆盖方式应用日志 512K 覆盖早于 7 天的事件安全日志 512K 覆盖早于 7 天的事件系统日志 512K 覆盖早于 7 天的事件大小 覆盖方式应用日志 16382K 覆盖早于 30 天的事件安全日志 16384K 覆盖早于 30 天的事件第 6 页 共 27 页Tosec.Cn系统日志 16384K 覆盖早于 30 天的事件实 施 目 的 : 增大日志量大小, 避免由于日志文件容量过小导致日志记录不全。实 施 风 险 :

10、 无是 否 实 施 : 是 否 (客户填写)2.1.1.6 安全性增强编号: Windows-07001名称: 禁止匿名用户连接(空连接)系统当前状态: 注册表如下键值:HKLMSYSTEMCurrentControlSetControlLsa“restrictanonymous”的 值 为 0实 施 方 案 : 通过实施我公司的安全策略文件将该值修改为 “1”, 类型为REG_DWORD。实 施 目 的 : 可以禁止匿名用户列举主机上所有用户、组、共享资源实 施 风 险 : 无是 否 实 施 : 是 否 (客户填写)编号: Windows-04006名称: 删除主机默认共享系统当前状态: 系

11、统开放的默认共享:共享名 资源 注释IPC$ 远程 IPCADMIN$ C:WINNT 远程管理C$ C: 默认共享E$ E: 默认共享F$ F: 默认共享第 7 页 共 27 页Tosec.Cn实 施 方 案 : 通 过 实 施 我 公 司 的 安 全 策 略 文 件 增 加 注 册 表 键 值 “ HKLMSYSTEMCurrentControlSetServiceslanmanserverparameters Autoshareserver”项,并设置该值为“1”实 施 目 的 : 删除主机因为管理而开放的共享实 施 风 险 : 某些应用软件可能需要该共享,如 Veritas Netba

12、ckup是 否 实 施 : 是 否 (客户填写)编号: Windows-07001名称: 限制远程注册表远程访问权限系统当前状态: 注册表如下键值: H KLMSYSTEMCurrentControlSetControlSecurePipeServer swinreg 的安全权限如下:第 8 页 共 27 页Tosec.Cn实 施 方 案 : 该键权限应为管理员完全控制,其他用户不允许访问该键。实 施 目 的 : 默认权限并不限制对注册表的远程访问。 只有管理员才应具有 对 注 册 表 的 远 程 访 问 权 限 , 因 为 默 认 情 况 下 Windows 2000 注册表编辑工具支持远程

13、访问。实 施 风 险 : 无是 否 实 施 : 是 否 (客户填写)编号: Windows-03005名称: 限制 Guest 用户权限系统当前状态: Guest 已禁用,但未对帐号进行权限限制。实 施 方 案 : 通过实施我公司的安全策略文件禁止 Guest 帐 号 本 地 登 录 和 网络登录的权限。实 施 目 的 : 避免 Guest 帐号被黑客激活作为后门实 施 风 险 : 无是 否 实 施 : 是 否 (客户填写)编号: Windows-03005名称: 设置帐户安全选项系统当前状态: 启用登录时间用完时自动注销用户 启用显示上次成功登陆的用户名 未启用允许未登录系统执行关机命令 未

14、启用仅登录用户允许使用光盘未启用仅登录用户允许使用软盘实 施 方 案 : 通过实施我公司的安全策略文件启用上述安全选项。实 施 目 的 : 增强安全性,减少安全隐患。实 施 风 险 : 无是 否 实 施 : 是 否 (客户填写)第 9 页 共 27 页Tosec.Cn2.1.1.7 推荐安装安全工具工具名称 MBSA 1.1工具用途 微软推出的漏洞扫描器相 关 信 息 http:/ 具 名 称 请 包 含 版 本 信 息 工具用途请简单描述产品功用 相关信息请写明产品相关 URL, 尽 量 详 细2.1.2 IIS 加 固 方 案2.1.2.1 补丁安装编号: IIS-02001, IIS-0

15、2002名称: 补丁安装系统当前状态:实 施 方 案 : 使用 Windows update 安装最新补丁并结合手工安装注 意 : 系 统 补 丁 、 IIS 补 丁 、 IE 补丁都要安装实 施 目 的 : 可以使系统版本为最新版本实 施 风 险 : 无是 否 实 施 : 是 否 (客户填写)2.1.2.2 帐号、口令策略修改编号: IIS-03001名称: 账号、口令的增强第 10 页 共 27 页Tosec.Cn系统当前状态:实 施 方 案 : 站 点 属 性 目 录 安 全 性 ( 分 为 匿 名 访 问 和 验 证 , 验 证 分 为 基 本验证和与系统集成验证方法) 根据客户需求,若无匿名访问情况则取消匿名访问。实 施 目 的 : 加强账号、口令的安全实 施 风 险 : 无是 否 实 施 : 是 否 (客户填写)2.1.2.3 网络与服务加固编号: IIS-04004名称: 去除不需要的服务组件系统当前状态: 本服务器仅仅用作 web 服务器,相关 IIS 服务有不需要的服 务。当前状态如图:

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 教育教学资料库 > 课件讲义

Copyright © 2018-2021 Wenke99.com All rights reserved

工信部备案号浙ICP备20026746号-2  

公安局备案号:浙公网安备33038302330469号

本站为C2C交文档易平台,即用户上传的文档直接卖给下载用户,本站只是网络服务中间平台,所有原创文档下载所得归上传人所有,若您发现上传作品侵犯了您的权利,请立刻联系网站客服并提供证据,平台将在3个工作日内予以改正。