中间件加固流程Word文档下载推荐.docx
《中间件加固流程Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《中间件加固流程Word文档下载推荐.docx(15页珍藏版)》请在冰豆网上搜索。
对于安全补丁的更新,如果操作系统使用的是Windows2000,建议首先安装Windows2000SP4,之后再到WindowsUpdate网站或内部SUS服务器上进行更新。
安装Windows2000SP4之后,可以采用两种方式进行Windows2000SP4之后的补丁更新:
WindowsUpdate网站和使用内部SUS服务。
可以任选其中的一个方式,建议使用内部SUS服务器更新。
A、使用WindowsUpdate网站更新:
1)点击开始-WindowsUpdate,连接到WindowsUpdate网站,进行安全补丁的扫描更新,如下图,选择“快速安装”(根据操作系统版本不同,可能所看到的用户界面略有不同):
B、使用内部SUS服务进行更新(推荐使用)
1)在中间件服务器上,打开InternetExplorer浏览器,输入以下网址:
或者http:
//10.1.4.79进行浏览,如下图:
2)点击“补丁分发系统脚本下载”按钮
3)出现以下窗口,点击运行:
4)脚本自动安装完成,Windows2000会在固定的时间(每天12:
00)向SUS服务器进行自动的补丁下载,下载后,会在右下脚系统托盘中进行提示,如图(由于操作系统版本差别,图标可能会与图例不同):
5)点击该图标后,按照提示进行安装补丁,并重新启动,如图:
2、开启审核日志(WIN2K&
WIN2003)
系统安装后,需要在组策略中开启审核日志。
操作步骤:
1)在开始菜单,开始-运行,输入“gpedit.msc”,然后点击“确定”
2)在组策略窗口中定位到如下位置:
计算机配置-windows设置-安全设置-本地策略-审核策略;
如下图:
3)在右侧窗口进行策略的设置,推荐策略如下:
账户管理成功失败
登录事件成功失败
对象访问失败
策略更改成功失败
特权使用失败
系统事件成功失败
目录服务访问失败
账户登录事件成功失败
4)例如,更改帐户管理,则在右侧帐户管理上面双击鼠标,在审核成功和失败前面打钩,然后确定,如图:
3、网络协议及端口控制
安装两个网卡(如果需要连接Novell则添加第三张网卡)。
其中分别连接业务网和办公网的网卡,只安装TCP/IP协议,不安装“网络文件及打印共享”。
在TCP/IP设置中的选项里,起用TCP筛选,并且根据中间件的需要,只开发所需要的端口及协议。
连接Novell的第三张网卡,只安装IPX/SPX协议,并且不安装“网络文件及打印共享”
5)打开控制面板:
点击开始-选择控制面板
6)在控制面板中,双击“网络连接”
7)在相应的网络连接上(业务网和办公网都要进行同样的操作,如果有三张网卡,还可能存在Novell网连接),点击鼠标右键,并点击“属性”,如下图:
8)将“Microsoft的网络文件和打印共享”前面的钩去掉,并点击确定,如下图:
9)再次重复第三步,打开连接属性,并双击“Internet协议(TCP/IP)”,打开“Internet协议(TCP/IP)属性”窗口,点击下面的“高级”按钮;
10)在“高级TCP/IP设置”窗口中,点击“WINS”标签,选择“禁用TCP/IP上的NetBIOS”,并点击确定,如下图:
11)在“高级TCP/IP设置”窗口中,点击“选项”标签,如下图:
12)选择“TCP/IP筛选”,并点击“属性”按钮,在“TCP/IP筛选”窗口中,选中“启用TCP/IP筛选(所有适配器)”,如下图:
13)根据业务需要,选择添加只允许的TCP/UDP/IP端口及协议,然后点击“确定”退出
对于连接Novell网网卡的操作步骤:
1)打开控制面板:
2)在控制面板中,双击“网络连接”
3)在相应的连接Novell的网络连接上,点击鼠标右键,并点击“属性”,如下图:
4)将“Microsoft的网络文件和打印共享”和“Internet协议(TCP/IP)”前面的钩去掉,并点击确定,如下图:
5)点击“安装”按钮,在“选择网络组件类型”窗口中,选中“协议”,点击“添加”,如下图:
6)选中“NWLinkIPX/SPX/NetBIOSCompatibleTransportProtocol”,并点击确定,如图(根据操作系统版本的不同,可能图例和实际操作中略有不同):
7)安装IPX/SPX协议后,双击该协议,在属性窗口中,根据业务需要,选择网络类型,如802.2或802.3等;
4、关闭不必要的服务
在services.msc的控制台中,关闭以下服务(以下服务仅供参考):
alerter
automaticupdates
com+eventsystem
computerbrower
dhcpclient
dnsclient
faxservice
messenger
telnet
terminalservices
windowstime
workstation
netmeetingremotedesktopshareing
smartcardhelper
ComputerBrowserserviceTCP/IPNetBIOSHelper
MicrosoftDNSserverSpooler
NTLMSSPServer
RPCLocatorWINS
RPCserviceWorkstation
NetlogonEventlog
IndexService
ComputerBrowser
WorkStation
RemoteRegistry
TCP/IPNetBIOSHelper
下面以alerter服务为例,演示如何禁止服务。
1)点击开始-运行,输入“services.msc”并确定,打开服务控制台,如图:
2)选中Alerter服务,并单击鼠标右键,选择“属性”,如图:
3)将启动类型更改为“已禁用”,点击确定;
4)其他服务以此类推;
5、防止服务器空连接的枚举:
方法:
在运行中运行regedit.exe打开注册表编辑器,修改如下键值:
Local_Machine\System\CurrentControlSet\Control\LSA\RestrictAnonymous的值改为“1”。
如在LSA目录下如无该键值,可以新建一个双字节值,名为“restrictanonymous”,值为“1”,十六进制。
注:
如果改为2则匿名用户无法连接本机IPC$共享,可能会造成你的一些服务无法启动,如SQLServer
操作步骤:
1)点击开始-运行,输入regedit.exe,并确定,打开注册表编辑器,并定位到“Local_Machine\System\CurrentControlSet\Control\LSA”下,如图:
2)双击restrictanonymous,将其值更改为“1”,如图:
3)关闭注册表编辑器
6、删除服务器的默认共享:
运行-regedit.exe,打开注册表编辑器,修改如下键值:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services、\LanmanServer\Parameters]把AutoShareServer(DWORD)的键值改为0000000。
如果上面所说的主键不存在,就新建(右击-新建-双字节值)一个主健再改键值。
操作步骤:
4)点击开始-运行,输入regedit.exe,并确定,打开注册表编辑器,到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters”下,如图:
5)将AutoShareServer(DWORD)的键值改为0000000,如果该键不存在,则在右侧,右击-新建-双字节值,键值名为AutoShareServer,如图: