主机操作系统加固策略.docx
《主机操作系统加固策略.docx》由会员分享,可在线阅读,更多相关《主机操作系统加固策略.docx(126页珍藏版)》请在冰豆网上搜索。
主机操作系统加固策略
主机操作系统加固策略
Windows2003操作系统加固方案
系统基本信息
基本信息
设备所在地
正式域名/主机名
cnbjweb1
主机用途
Web服务器
外部IP地址
内部IP地址
10.1.1.2
操作系统
Windows2003
版本号
硬件信息
中央处理器
IntelXeonCPUE54052.0GHz
内存
3.2G
外部存储设备
C:
29.3GBD:
207GB
核心应用服务信息
Iis
www服务
安全补丁检测及安装
实施编号:
Topsec-Win2003-1101
实施名称:
补丁检测及安装
系统当前状态:
运行cmd打开命令提示符窗口,再输入systeminfo查看目前补丁信息
实施方案:
确认系统安装了SP2;
使用Windowsupdate或者手工安装最新补丁
实施目的:
升级操作系统为最新版本,修补所有已知的安全漏洞
实施风险:
安装某些补丁可能导致主机启动失败,或其他未知情况发生,建议先在测试机器上安装测试后再实施部署到生产机上
回退方案
卸载安装补丁
是否实施:
实施工程师备注:
系统用户口令及策略加固
实施编号:
Topsec-Win2003-1201
实施名称:
系统用户口令策略加固
系统当前状态:
查看系统“本地安全设置”-“帐户策略”中“密码策略”和“账号锁定策略”当前情况:
(以下为示例图)
实施方案:
密码必须符合复杂性要求:
启用
密码长度最小值8个字符
密码最长使用期限:
90天
强制密码历史:
24个记住的密码
帐户锁定阀值:
3次无效登陆
帐户锁定时间:
15分钟
复位帐户锁定计数器:
15分钟之后
策略更改后,督促现有用户更改其登陆口令以符合最新策略要求。
实施目的:
保障用户账号及口令的安全,防止口令猜测攻击。
实施风险:
账号锁定后15分钟后才解锁。
回退方案
恢复默认值
是否实施:
实施工程师备注:
实施编号:
Topsec-Win2003-1202
实施名称:
禁用guest账户权限
系统当前状态:
实施方案:
开始—控制面板—管理工具—计算机管理—本地用户和组—用户—guest—右键—属性—常规—选择用户已停用
实施目的:
Guest账号无法删除,故应避免Guest账号被黑客激活作为后门使用。
实施风险:
无
回退方案
启用GUEST用户
是否实施:
实施工程师备注:
实施编号:
Topsec-Win2003-1203
实施名称:
Administrator帐户重命名
系统当前状态:
实施方案:
开始—控制面板—管理工具—计算机管理—本地用户和组—用户—选择administrator—右键重命名
实施目的:
Administrator是系统默认管理员帐户,重命名Administrator可增加账号安全性。
实施风险:
无
回退方案
修改回到默认用户Administrator
是否实施:
实施工程师备注:
日志及审核策略配置
实施编号:
Topsec-Win2003-1301
实施名称:
设置主机审核策略
系统当前状态:
在“本地安全策略”-“本地策略”中查看系统“审核策略”:
(以下为示例图)
实施方案:
审核策略更改成功,失败
审核登陆事件成功,失败
审核对象访问失败
审核目录服务访问成功,失败
审核特权使用失败
审核系统事件成功,失败
审核账户登陆事件成功,失败
审核帐户管理成功,失败
实施目的:
对重要事件进行审核记录,方便日后出现问题时查找问题根源。
实施风险:
无
回退方案
恢复默认状态
是否实施:
实施工程师备注:
实施编号:
Topsec-Win2003-1302
实施名称:
调整事件日志的大小及覆盖策略
系统当前状态:
日志类型日志大小覆盖策略
应用程序日志K覆盖早于天的日志
安全日志K覆盖早于天的日志
系统日志K覆盖早于天的日志
实施方案:
日志类型日志大小覆盖策略
应用程序日志80000K覆盖早于30天的日志
安全日志80000K覆盖早于30天的日志
系统日志80000K覆盖早于30天的日志
其他日志(如存在)80000K覆盖早于30天的日志
实施目的:
增大日志大小,避免由于日志文件容量过小导致重要日志记录遗漏
实施风险:
回退方案
恢复默认设置
是否实施:
实施工程师备注:
安全选项策略配置
实施编号:
Topsec-Win2003-1401
实施名称:
Microsoft网络服务器:
当登录时间用完时自动注销用户
系统当前状态:
查看系统当前设置:
实施方案:
在管理工具->本地安全策略->选择本地策略->选择安全选项->Microsoft网络服务器:
当登录时间用完时自动注销用户(改成已启用)!
实施目的:
可以避免用户在不适合的时间登录到系统,或者用户登录到系统后忘记退出登录
实施风险:
无
回退方案
恢复默认设置
是否实施:
实施工程师备注:
实施编号:
Topsec-Win2003-1402
实施名称:
Microsoft网络服务器:
在挂起会话之前所需的空闲时间
系统当前状态:
查看系统当前设置:
实施方案:
在管理工具->本地安全策略->选择本地策略->选择安全选项->Microsoft网络服务器:
在挂起会话之前所需的空闲时间(小于等于30分钟)
实施目的:
设置挂起会话之前所需的空闲时间为30分钟
实施风险:
无
回退方案
无
是否实施:
实施工程师备注:
实施编号:
Topsec-Win2003-1403
实施名称:
Microsoft网络客户端:
发送未加密的密码到第三方SMB服务器
系统当前状态:
查看系统当前设置:
实施方案:
在管理工具->本地安全策略->选择本地策略->选择安全选项->Microsoft网络客户端:
发送未加密的密码到第三方SMB服务器(禁用)
实施目的:
禁止发送未加密的密码到第三方SMB服务器
实施风险:
无
回退方案
无
是否实施:
实施工程师备注:
实施编号:
Topsec-Win2003-1404
实施名称:
故障恢复控制台:
允许对所有驱动器和文件夹进行软盘复制和访问
系统当前状态:
查看系统当前设置:
实施方案:
在管理工具->本地安全策略->选择本地策略->选择安全选项->故障恢复控制台:
允许对所有驱动器和文件夹进行软盘复制和访问(禁用)
实施目的:
Windows2003控制台恢复的另一个特性是它禁止访问硬盘驱动器上的所有文件和目录。
它仅允许访问每个卷的根目录和%systemroot%目录及子目录,即使是这样它还限制不允许把硬盘驱动器上的文件拷贝到软盘上。
实施风险:
无
回退方案
无
是否实施:
实施工程师备注:
实施编号:
Topsec-Win2003-1405
实施名称:
故障恢复控制台:
允许自动系统管理级登录
系统当前状态:
查看系统当前设置:
实施方案:
在管理工具->本地安全策略->选择本地策略->选择安全选项->故障恢复控制台:
允许自动系统管理级登录(禁用)
实施目的:
恢复控制台是Windows2003的一个新特性,它在一个不能启动的系统上给出一个受限的命令行访问界面。
该特性可能会导致任何可以重起系统的人绕过账号口令限制和其它安全设置而访问系统。
实施风险:
无
回退方案
恢复默认设置
是否实施:
实施工程师备注:
实施编号:
Topsec-Win2003-1406
实施名称:
关机时清掉页面文件
系统当前状态:
查看系统当前设置:
实施方案:
在管理工具->本地安全策略->选择本地策略->选择安全选项->关机:
清除虚拟内存页面文件(启用)
实施目的:
某些第三方的程序可能把一些没有的加密的密码存在内存中,页面文件中也可能含有另外一些敏感的资料。
关机的时候清除页面文件,防止造成意外的信息泄漏。
实施风险:
无
回退方案
恢复默认设置
是否实施:
实施工程师备注:
实施编号:
Topsec-Win2003-1407
实施名称:
关机:
允许系统在未登录前关机
系统当前状态:
查看系统当前设置:
实施方案:
在管理工具->本地安全策略->选择本地策略->选择安全选项->关机:
允许系统在未登录前关机(禁用)
实施目的:
在未登录前不能关闭计算机
回退方案
恢复默认设置
实施风险:
无
是否实施:
实施工程师备注:
实施编号:
Topsec-Win2003-1408
实施名称:
交互式登录:
不显示上次的用户名
系统当前状态:
查看系统当前设置:
实施方案:
在管理工具->本地安全策略->选择本地策略->选择安全选项->交互式登录:
不显示上次的用户名(启用)
实施目的:
登陆时不显示上次的用户名,防止暴露用户名。
实施风险:
无
回退方案
恢复默认设置
是否实施:
实施工程师备注:
实施编号:
Topsec-Win2003-1409
实施名称:
交互式登录:
不需要按Ctrl+Alt+Del
系统当前状态:
查看系统当前设置:
实施方案:
在管理工具->本地安全策略->选择本地策略->选择安全选项->交互式登录:
不需要按Ctrl+Alt+Del(禁用)
实施目的:
登录时需要按CTRL+ALT+DEL。
实施风险:
无
回退方案
恢复默认设置
是否实施:
实施工程师备注:
实施编号:
Topsec-Win2003-1410
实施名称:
交互式登录:
可被缓存的前次登录个数(在域控制器不可用的情况下)
系统当前状态:
查看系统当前设置:
实施方案:
在管理工具->本地安全策略->选择本地策略->选择安全选项->交互式登录:
可被缓存的前次登录个数(设置缓存数为0,此项对域服务器无效。
)
实施目的:
登陆时不显示上次的用户名,防止暴露用户名。
实施风险:
无
回退方案
恢复默认设置
是否实施:
实施工程师备注:
实施编号:
Topsec-Win2003-1411
实施名称:
网络访问:
不允许SAM帐户和共享的匿名枚举
系统当前状态:
查看系统当前设置:
实施方案:
在管理工具->本地安全策略->选择本地策略->选择安全选项->网络访问:
不允许SAM帐户和共享的匿名枚举(启用)
实施目的:
禁止使用匿名用户空连接枚举系统敏感信息
实施风险:
无
回退方案
恢复默认设置
是否实施:
实施工程师备注:
实施编号:
Topsec-Win2003-1412
实施名称:
网络访问:
不允许为网络身份验证储存凭证或.NETpassports
系统当前状态:
查看系统当前设置:
实施方案:
在管理工具->本地安全策略->选择本地策略->选择安全选项->网络访问:
不允许为网络身份验证储存凭证或.NETpassports(启用)
实施目的:
实施风险:
无
回退方案
恢复默认设置
是否实施:
升级会员 