主机加固报告

主机加固方案一、加固主机列表本次安全加固服务的对象包括：编号地址操作系统用途或服务2000服务器二、加固方案2.1.1操作系统加固方案补丁安装编号：名称：补丁安装使用安装最新补丁可以使系统版本为最新版本安装补丁可能导致主机启动失败，或其他未知情况发生。是 否 （客户填写）密码长度最小值7字符密码最长存留期90天密码最短存留期密码长度最小值7字符密码最长存留期90天密码最短存留期30天帐号锁定计数器5次帐户锁定时间5分钟帐户锁定阀值1分钟密码长度最小值0字符密码最长存留期42天密码最短存留期0天帐号锁定计数器无帐户锁定时间0帐户锁定阀值无编号：名称：帐号口令策略修改系统当前状态：实施方案：实施目的：保障帐号以及口令的安全实施风险：设置帐号策略后可能导致不符合帐号策略的帐号无法登录，制但管理员密码应复杂以避免被暴力猜测导致安全风险。是否实施：是 否 （客户填写）编号：名称：更改默认管理员用户名系统当前状态：默认管理员帐号为更改默认管理员用户名由于太多的错误密码尝试导致该帐户被锁定建议修改默认管理员用户名。无，但此步骤不总是必要。是 否 （客户填写）网络与服务加固编号：名称：将暂时不需要开放的服务停止系统当前状态：已启动且需要停止的服务包括：服务服务Policy服务服务服务PrintSpooler服务RunAs服务服务SecurityManager服务服务服务开始|运行|servis.msc|将上述服务的启动类型设置为手动并停止上述服务避免未知漏洞给主机带来的风险可能由于管理员对主机所开放服务不了解导致该服务被卸载由于某服务被禁止使得依赖于此服务的其他服务不能正常启动。是 否 （客户填写）文件系统加固编号：名称：限制特定执行文件的权限系统当前状态：未对敏感执行文件设置合适的权限通过实施我公司的安全策略文件对特定文件权限进行限制，禁止用户组访问这些文件。禁止用户组访问以下文件：net.exeedlin.exe posix.exe Rsh.exe cmd.exetelnet.exe Nslookup.exe Rexec.exeat.exe nbtstat.exe在极少数情况下某些网页可能调用md.xe来完成某种功能，限制cmd.exe的执行权限可能导致调用失败。是 否 （客户填写）审核策略更改无审核审核登录事件成功、失败审核对象访问无审核审核策略更改无审核审核登录事件成功、失败审核对象访问无审核审核过程追踪无审核审核目录服务访问无审核编号：名称：设置主机审核策略系统当前状态：审核策略更改成功审核登录事件无审核审核对象访问审核策略更改成功审核登录事件无审核审核对象访问成功,失败审核过程追踪无审核审核目录服务访问无审核审核特权使用无审核审核系统事件成功,失败审核帐户登录事件成功,失败审核帐户管理成功,失败大小覆盖方式应用日志512K覆盖早于7天的事件安全日志512K覆盖早于7天的事件系统日志512K覆盖早于7天的事件大小覆盖方式应用日志16382K覆盖早于30天的事件安全日志16384K覆盖早于30天的事件审核特权使用 无审核审核系统事件 无审核审核帐户登录事件 成功、失败审核帐户管理 成功、失败通过实施我公司的安全策略文件修改下述值：对系统事件进行审核，在日后出现故障时用于排查故障。无是 否 （客户填写）编号：名称：调整事件日志的大小、覆盖策略系统当前状态：通过实施我公司的安全策略文件修改下述值：系统日志 16384K 覆盖早于30天的事件增大日志量大小避免由于日志文件容量过小导致日志记录不全。无是 否 （客户填写）安全性增强编号：名称：禁止匿名用户连接（空连接）系统当前状态：注册表如下键值：0通过实施我公司的安全策略文件将该值修改“1类型为可以禁止匿名用户列举主机上所有用户、组、共享资源无是 否 （客户填写）编号：名称：删除主机默认共享系统当前状态：系统开放的默认共享：共享名 资源 注释远程远程管理C$ C:\ 默认共享E:\ 默认共享F:\ 默认共享通过实施我公司的安全策略文件增加注册表键值“Autoshareserver”项，并设置该值为“1”删除主机因为管理而开放的共享某些应用软件可能需要该共享，如ritasNtbkup是 否 （客户填写）编号：名称：限制远程注册表远程访问权限系统当前状态：注册表如下键值：的安全权限如下：该键权限应为管理员完全控制，其他用户不允许访问该键。默认权限并不限制对注册表的远程访问只有管理员才应具有对注册表的远程访问权限，因为默认情况下2000注册表编辑工具支持远程访问。无是 否 （客户填写）编号：名称：限制用户权限系统当前状态：已禁用，但未对帐号进行权限限制。通过实施我公司的安全策略文件禁止网络登录的权限。避免帐号被黑客激活作为后门无是 否 （客户填写）编号：名称：设置帐户安全选项系统当前状态：启用登录时间用完时自动注销用户启用显示上次成功登陆的用户名未启用允许未登录系统执行关机命令未启用仅登录用户允许使用光盘未启用仅登录用户允许使用软盘通过实施我公司的安全策略文件启用上述安全选项。增强安全性，减少安全隐患。无是 否 （客户填写）推荐安装安全工具工具名称1.1工具用途微软推出的漏洞扫描器注：工具用途请简单描述产品功用相关信息请写明产品相关2.1.2IIS加固方案补丁安装编号：名称：补丁安装系统当前状态：使用安装最新补丁并结合手工安装补丁都要安装可以使系统版本为最新版本无是 否 （客户填写）帐号、口令策略修改编号：名称：账号、口令的增强系统当前状态：本验证和与系统集成验证方法）根据客户需求，若无匿名访问情况则取消匿名访问。加强账号、口令的安全无是 否 （客户填写）网络与服务加固编号：名称：去除不需要的服务组件系统当前状态：本服务器仅仅用作服务器，相关服务有不需要的服务。当前状态如图：么最好禁止掉系统以下不需要的服务：、BROWSER、CLIENT、MESSENGER、NETLOGON、NETWORKNETDDE、DSDM、NETWORKAGENT、、 、 、 、 等。2控制面板?添加/删除程序?添加/删除windows组件?IS详细信息，去掉不需要的服务组件。确定没有不需要的服务、组件可能需要重启系统是 否 （客户填写）号：名称：SSL系统当前状态：未启用SSL启用站点属性?目录安全性?安全通信?编辑(若编辑为灰色则选择服务器证书?导入证书或者分配证书或申请一个新的证书?编辑?启用SSL采用加密通信的方式保证数据的机密性。需要通告用户采用https方式访问服务器资源。是 否 （客户填写）编号：名称：系统当前状态：通过检测工具检测MirosotIS.nf文件泄漏漏洞?如果你不需要.nf文件就删除这个文件；否则，对这个文件设置正确的存取权限，禁止匿名用户或组访问。/iisadmin可读漏洞?通过服务管理器限制对/iisadmin目录可浏览?打开服务管理器?右击你的服务器（例如“*nsfocus”），在菜单中选择“属性”栏?选择“主属性”?选择WWW服务|编辑|主目录路径泄漏漏洞?打开服务管理器?服务器属性?选择WWW服务|编辑|主目录|“.ida”和“.idq”两项?如果您仍然需要保留这两项，您可以分别选中.idq和.ida选择编辑然后选中“检查文件是否保存设置,然后重启服务。微软扩展映射跨站执行脚本漏洞?删除对.idc扩展名的映射.远程读取Global.asa扩展名的映射?WWWEditHomeDirectory。点击"增加"，指定由解释执行对.asa文件的GET、请求。这里所使用系统中的确切路径确认SriptEnine复选框被选中，点击确定。主机运行了扩展?如果不需要就停止此服务。5.0演示程序泄漏WEB根目录物理路径?总是删除缺省携带的演示程序。就本漏洞具体地说，删除整个目录。上传文件漏洞?删除文件；确保/users/目录不允许匿名用户可写ExAir拒绝服务漏洞?将“exair”以及其它的范例站点全部删除(iis4)消除安全隐患无是 否 （客户填写）文件系统加固编号：名称：主目录的权限系统当前状态：站点属性?主目录，如下图：根据客户实际需求，依据最小权限法则设置目录访问权限。通过降低目录访问权限的能力，增强服务的安全性。无是 否 （客户填写）编号：名称：运行权限以及文件系统系统当前状态：服务权限为本地系统用户确定只有管理员可以运行服务，确认文件系统为格式。限制服务运行权限、转换文件系统格式增强安全性转换分区格式需要重新启动系统转换过程中如果遇到断电等可能导致分区不能正常访问。是 否 （客户填写）日志审核增强编号：名称：日志记录系统当前状态：启用日志记录，日志格式为W3C如果没有启用日志记录，那么启用日志记录实现审计跟踪。启用日志实现审计跟踪。无是 否 （客户填写）编号：名称：选定日志记录内容系统当前状态：的日志记录。详尽的记录日志，得到更多的审计信息。无是 否 （客户填写）安全性增强编号：名称：连接数与带宽限制系统当前状态：站点属性?性能与客户协商确定限制具体细节或者不作限制限制连接数与带宽防止过度使用服务器资源导致服务器资源不可利用。无是 否 （客户填写）编号：名称：地址与域名限制系统当前状态：未启用地址、域名访问控制地址与域名限制?编辑根据客户实际需求做地址与域名限制针对P地址域名进行限制增强S服务的访问控制功能，对指定来源的拒绝可以抵制其恶意攻击。无是 否 （客户填写）编号：名称：删除不需要的映射系统当前状态：服务器属性?计算机mime映射?编辑根据实际需求，删除不需要的映射。消除潜在的安全隐患无是 否 （客户填写）编号：名称：备份策略系统当前状态：询问客户是否制定了相应的备份策略与客户一起协商并制定相应的备份策略备份现有的有效的策略，方便策略的恢复。无是 否 （客户填写）推荐安装安全工具工具名称工具用途相关信息注：工具名称请包含版本信息工具用途请简单描述产品功用相关信息请写明产品相关2.1.3Server加固方案补丁安装编号：名称：补丁安装系统当前状态：2.6安装补丁为SP2。Q326573SQL2000安装补丁为SP3。系统当前存在缓冲区溢出漏洞，通过发送精心构造的数据行任意命令。注意：Q263968Q316333使用检查未安装补丁程序，访问微软站点下载并安装最新补丁程序。可以使SQL系统版本为最新版本某些补丁程序可能导致SQLServr系统运行不正常其它依赖SQL服务的应用也会受到影响。是 否 （客户填写）帐号、口令策略修改编号：名称：所有数据库账户使用强壮密码系统当前状态：sa帐户已经设置强壮密码连接到要修改密码的SQLServer服务器，在“安全性|登录”中双击要修改密码的帐户，输入新密码。清除系统中弱密码账户一些依赖SQL并使用修改了密码的账户登录数据库发布系统„„。是 否 （客户填写）编号：名称：限制帐户对数据库的访问帐户可以访问所有的数据库连接到要管理的SQLServer服务器，选择要管理的数据库，选择用户然后删除ust帐户在除mastr和tempdb之外的所有数据库都要删除帐户。取消帐户对master和tempdb之外的数据库的访问权限一些使用账户登录数据库的程序可能需要修改配置后才能使用（例如论坛、动态网页发布系统„„。是 否 （客户填写）网络与服务加固编号：名称：禁止使用缺省登录系统当前状态：启用了缺省登录在Options中禁用禁止使用缺省登录无（只有SQL6.5才有这个选项）是 否 （客户填写）编号：名称：禁止使用不需要的通讯协议系统当前状态：SQLServr允许使“命名管道“TCP/P访问SQLServrSQL台目录>MirosotSQLSrvrs-SQLSrvr组在要查看的服务器上右键查看“属性”->“常规”->网络配置，选中不需要使用的网络协议，单击“禁用”禁止使用不需要的通讯协议可能使某些通过命名管道访问此SQL的程序不能正常运行是否实施是 否 （客户填写）文件系统加固编号：名称：使用文件系统系统当前状态：SQL相关分区都使用文件系统SQLServer程序文件和数据文件所在分区都使用convert转换成文件系统。如果要转换C分区，命令行如下：让SQL相关分区都使用文件系统转换过程中可能需要重新启动如果转换过程中出现硬件或者电源故障可能导致数据损坏。是 否 （客户填写）编号：正确分配SQL相关文件访问权限系统当前状态：所有人都可以读取SQL文件使SQL数据库程序文件和数据文件的文件访问权限如下：“SYSTEM、本地管理员、SQLServr运行帐户有所有权任何权限。正确分配SQLServr相关文件系统的访问权限拒绝未授权用户访问数据库。如果遗漏了需要分配权限的用户可能导致SQLServr不能正常运行或者用户无法操作数据库文