等级保护-主机加固方案

1、h主机安全一、身份鉴别（S3）本项要求包括：a）应对登录操作系统和数据库系统的用户进行身份标识和鉴别；设置登陆密码b）操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；依次展开开始-（控制面板-）管理工具-本地安全策略-账户策略-密码策略，查看以下项的情况：1）复杂性要求-启用、2）长度最小值-大于8、3）最长存留期-不为0、4）最短存留期-不为0、5）强制密码历史-大于3。毎码捷隹便用癖I-unmiiiiIiBitvriuiauwmjaMMLrr“强犍耶虫用可述原助聡乘储存巒码8-t30无YT-Si粗摊略笞霽逢丈件難廻If0!）帮助藝“本地计耶r竟碼三

2、齟计旬n配宜ij软件设直三limimi谨巻创脚本诟动决亂）ti爭負至役萱二；卫飾户策略土国密砰策略.无国低尸嵌定糸略富门莖地策略三發朝第咯?：口软件限劃葉曙点Mip安金策喀1铤鸟匚I筈理權腹三盧用户配爲X口软件设置宝ijVindt雷圭：管理複腹c）应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；依次展开开始-（控制面板-）管理工具-本地安全策略-账户策略-账户锁定策|S區.旦翔户蚁宗计典詈時F顒冏回空库地计制r策苛-越i+fftKS虽_轲犠査-.Eudoir逻迓第时谊剜制）二芳畫竝户叢富狮才磨30删d）当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过

3、程中被窃听如果是本地管理或KVM等硬件管理方式，此要求默认满足；如果采用远程管理，则需采用带加密管理的远程管理方式，如启用了加密功能的3389（RDP客户端使用ssl加密）远程管理桌面或修改远程登录端口。应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。WindowsServer2003默认不存在相同用户名的用户，但应防止多人使用同一个账号。(访谈时无多人共用一个账号)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。动态口令、数字证书、生物信息识别等二、访问控制(S3)本项要求包括：应启用访问控制功能，依据安全策略控制用户对资源的访问；制定用户权限表，管理员账

4、号仅由系统管理员登陆删除默认共享？应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限；系统管理员、安全管理员、安全审计员由不同的人员和用户担当应实现操作系统和数据库系统特权用户的权限分离；应保证操作系统管理员和审计员不为同一个账号，且不为同一个人访谈时候注意应严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令；重命名系统默认账户，禁用guest、SUPPORT_388945a0这些用户名应及时删除多余的、过期的帐户，避免共享帐户的存在。清理已离职员工的账户确保木有多余账号，确保木有多人共享账号应对重要信息资源设置敏感标记；Server2003

5、无法做到应依据安全策略严格控制用户对有敏感标记重要信息资源的操作；Server2003无法做到三、安全审计(G3)本项要求包括：审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；依次展开开始-(控制面板-)管理工具-本地安全策略-本地策略-审核策略；莺萍地计豐杭”黄蔭F趣计亘贾配宜回0歎挣磐ui_vfitdswufSO胎勖关桃)El苗安全设运-_3低戶解曙出“国密码策路筈喘户逍定磁笆_3本也锵瞪出审沁王C1一用户扳阴洌己冋3無全谴项E一|芸钥策陀庄二j戟件跟制策喑W：-屈.TP弓全欣

6、KE*it录爭件虧帚核对諛诂闫囲审棱过程潮奈ljws录僵务诂间齣审檢特枚昵用闕申檢系统申禅嚴审礦喘f殛曙事件趣硕哋硕哋岐取玻妝遊败政d/乞復总乞jjz4-4.-4.-4-44.-c）审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等；Server2003默认满足d）应能够根据记录数据进行分析，并生成审计报表；第三方工具e）应保护审计进程，避免受到未预期的中断；Server2003默认满足f）应保护审计记录，避免受到未预期的删除、修改或覆盖等。第三方工具四、剩余信息保护（S3）本项要求包括：a）应保证操作系统和数据库系统用户的鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完

7、全清除，无论这些信息是存放在硬盘上还是在内存中；依次展开开始-（控制面板-）管理工具-本地安全策略-本地策略-安全选项-交互式登陆：不显示上次的登录名启用文忤撫作他）査若匹）带朗中）交互式蚤录一不昱恭上灰的JB户屯届址本地安全谟置|解悻这亍谡査|燮互式登尋:；不显示上次的用户容悄麗昼甩.r己禁用总亠本地计亘机-謂崎：-|團匸I茸杭配宜iw一|戟件溟号l-lQjWindovziSS関脚*06动/铀n3沖娈全设置宜q械戶幕畤+密码滎昭张尸锁定麵匹E.购*地粥略十；3审賀策昭1_3用戶投P0分01_3岳全选顶r+iCJ喘钥養矚比：_）歎件陶制策瑚d：富It妄全集昭雀fCJ営理欖扳a廳用户花耀MLJ戟

8、件谡雪rziL呼冷肩曰t-5?tl_J首理檯板应用b）应确保系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全清除。c）依次展开开始-（控制面板-）管理工具-本地安全策略-本地策略-安全选项-关机:清理虚拟内存页面文件启用丈件換惟查看过帮助QD诵金|取谓|应用已启用关机：祷瞧虐拔内存页而立件民性席渲启嚴塹r已禁用闕渥备：允许不登录移除_安全设叠：=：帐尸第略+.孫码策略卫報户戡定揍皿：-色本地黄略+.卫年檢策略卫用户权限分酉国安全选项主u略E二I软件眼带!1策昭gIF安全策蹈，IA1匚J誉理樓複匚蠹用户配置_|歎件设萱*宀i卅n如匸谡置土LJ昔理檯板4-|

9、匡圉|上會&雪“本地计算机策昭E翹计算规配宜0-软件设置tlQttinOWS邊置卜闫脚本馆动/关帕白.本够全设置|解釋逑个设置|关抓港陳劇创内再页面文件依次展开开始-（控制面板-）管理工具-本地安全策略-账户策略-密码策略用可还原的加密来存储密码启用匡文件（Z）操非査看世UH用巫还原的加藏来腐存密码扈性S?萝地计算机策略曰泗计卷忒配置由“3软坤役置Wicwdows设晝二1管理廩扳G”_险nd则$设置園脚本OS駆鹤I:F1安全设置曰空怅户集喀11?西密码酩色嘅尸级运策略T空本地集晤田疋审襪第曙购用尸祀跟分配“国宏全选坝_1於钥策略H1J软件跟制弟略+煽I?安全策疇在i-D昔理曜板用尸朗岂厂已禁用

10、诵走I取稍厘用五、入侵防范（G3）本项要求包括：a）应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警；第三方IDSb）应能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施；是否使用一些文件完整性检查工具，对重要文件的完整性进行检查，是否对重要的配置文件进行备份检查产品的测试报告、用户手册或管理手册，确认其是否具有相关功能；或由第三方工具提供了相应功能。如果测试报告、用户手册或管理手册中没有相关描述，且没有提供第三方工具增强该功能，则该项要求为不符合。b）操作系统应遵循最小安装的原则，仅安装需要

11、的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。系统服务和补丁升级两方面1、不必要的服务关闭，查看已经启动的或者是手动的服务,一些不必要的服务如Alerter、RemoteRegistryService、Messenger、TaskScheduler是否已启动；2、不必要的端口关闭如145，443（）3、“共享名”列为空，无C$、D$、IPC$等默认共享，HKEY_LOCAL_MACHINESYSTEMcurrentControlSetControlLsarestrictanonymous值不为“0”；4、系统补丁先测试，再升级；补丁号为较新版本。“开始”-“运行”输入“

12、regedit”确定后，打开注册表编辑器，找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters”项，双击右侧窗口中的“AutoShareServer”项将键值由1改为0,这样就能关闭硬盘各分区的共享。然后还是在这一窗口下再找到“AutoShareWks”项，也把键值由1改为0，关闭admin$共享。如果没有AutoShareServer项和AutoShareWks项，可自己新建AutoShareServer=dword:00000000和AutoShareWks=dword:00000000。创建键

13、值的方式如下：i.通过regedit进入注册表，选到对应的项二KJ至；4_|CjntenilndtM：_|CraslCotitrolK_jCiriti_|IkT-iceClnSStS|r-intfissot便IrKdll-FiltfcDiriCittrE_jQfcuipOrdeirL.lsl国LJIttL_hivelill+_|IKqb3cDBE_1讹y_|KeyboardLa网讹弓L-：jEHJ十_|应ftssfrovidtrs鱼匚JALtTDiitiCjCM2jj樓_|科衽lirSij_ISkfrrl曲:二IS5tFEj_ISiLCiebtII一|也鼻山沪亍=I需辐0u)AuLlintic

14、atlcn.Lyk迪述罠p砂uk闕h玄弘磴的Ait対j：LS?|lataba-ocaiiT*Grd.ieSVATyoTktiacl-dmoEiynDTijlfkp54il4-lfLthfTpliC7遐F軒氓瓢rMtfulleri11Ljfi占.勸15$ltdtzuteamordae5jliicijp4tiiLitjl(1)feCODODOJ(1)btTbtld呂ftfivl03ebULntLirdEe就気DIKDGSVCWDI5E5IsccdikllQODDCDJ0)ii.在窗口右侧空白处，右键选新建，选择DWORD值iiicmdnetsharec$/deletenetshareD$/dele

15、tetCrasbCentrl.*_|CfLticdEevLfD&tEiljDevicImesCJFMmtoSFonlssoc:*2J(nrKpbjfcrmrj_GroupOrdarList于口陥i二fhivelssl*+腕州4址&LlJiTjut+KeyboardLayuutsL:SJKc-CHsProTidersE口畑it-1Datajew_1JJ丑j脸丁ttrosIEl_0口SkL宙甌丞_JSsjiCacLe谨wditlaseobjecisJisUthriitscatiiF泌龍厩團Eo；m张越曰豹扁AhMiM討丄圓ditiledcflaiiiicrids脚Epsalgotritlwpfll

16、iqr闢白辛职諒j&illpridlegeaiiditing越Li研IftrisssiroflaseLaewpstitilitylevelQbifidjriodefaolt和idiwrmer劉cwlabuh到MotificationPackages圍卜蛀iFi坤谧restrictuiLjiafliiseu到女驰ityPicksKEGJJmD槪JUL1I5ZKEG_KI淋El竝_iWKEG_DraHD燃.適SEG.OTORDSEG_BBtWKEG_33ilAEI緬/帧莊5胧锹卩恥莊5&RD!E5_MUL7I_52ilEGjm)5iEG_MjKEG_tmJRDKEGUUlII53anrt_0003

17、0005000200000WKOOOOOxOIXMOOOOdOlMXMthdXXHBOOOoxotnooooo00OxOttKiOWlaxOoraooo2OiOttKWLWOlOOtKBOOOowxncoGoc闵(0)W)闵(0)()(2)嗣&)(0)朋刖KMSVCTDKETasdiQkOOWOQOl0)OaOOOOOOOlU)ffxfflXKTOOlQ应血曲fisejj)Eflrntl诣ig典i.QiidjtCtories+3血出门Zerf&jce$:+口UdiJrottrii*i空CJUediEcurceE+_J险tirmifNetvorkProvi.i&r皴胆创HIST_LDCALJJ拭

18、HI旺囹STH!心时加也nlrdlSsi；CojitralLs锚串佰卽柚佰缈iii.将新建的值命名为AutoShareServer或AutoShareWks，并双击它设置值为0,|g|X|Eid)贸楫叩道看砂藤駆揃帮勤QDSCjlCDlLtlRdiX1誦匚S口让讥吃氏血咗im曲删_52数直名称数值数据妁：13ipsrISAfTStircha十亢逬制r十进制llSessionPipesnectsrverksfidlogaffritysigitaturfiTK7T1IsmServKbdelassHEd.s.aE-Jia-:E.!1)Servic*Dllj|SizenFipesnShares最后到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa”项处找到“restrictanonymous”，将键值设为1,关闭IPC$共享。注意：本法必须重启机器，但一经改动就会永远停止共享。2)停止服务法:在“计算机管理”窗口中，单击