中间件加固流程.docx

中间件加固流程.docx

《中间件加固流程.docx》由会员分享，可在线阅读，更多相关《中间件加固流程.docx（15页珍藏版）》请在冰豆网上搜索。

中间件加固流程

1、操作系统安装及安装防病毒软件和所需要的安全补丁

注意：

1）安装WIN2000时，务必去掉IIS服务，在安装网络服务时，除附件和工具选项外，不选择任何东西。

2）安装时选择分区格式为NTFS

3）建议管理员密码符合以下策略：

●密码大于7位长度

●密码中至少包括大写字母、小写字母、数字、特殊字符（如@、%等）四项中的三项

●定期更改管理员密码

4）安装后，安装防病毒软件，并更新病毒定义。

安全补丁更新：

对于安全补丁的更新，如果操作系统使用的是Windows2000，建议首先安装Windows2000SP4，之后再到WindowsUpdate网站或内部SUS服务器上进行更新。

安装Windows2000SP4之后，可以采用两种方式进行Windows2000SP4之后的补丁更新：

WindowsUpdate网站和使用内部SUS服务。

可以任选其中的一个方式，建议使用内部SUS服务器更新。

A、使用WindowsUpdate网站更新：

1）点击开始－WindowsUpdate，连接到WindowsUpdate网站，进行安全补丁的扫描更新，如下图，选择“快速安装”（根据操作系统版本不同，可能所看到的用户界面略有不同）：

B、使用内部SUS服务进行更新（推荐使用）

1）在中间件服务器上，打开InternetExplorer浏览器，输入以下网址：

或者http:

//10.1.4.79进行浏览，如下图：

2）点击“补丁分发系统脚本下载”按钮

3）出现以下窗口，点击运行：

4）脚本自动安装完成，Windows2000会在固定的时间（每天12：

00）向SUS服务器进行自动的补丁下载，下载后，会在右下脚系统托盘中进行提示，如图（由于操作系统版本差别，图标可能会与图例不同）：

5）点击该图标后，按照提示进行安装补丁，并重新启动，如图：

2、开启审核日志（WIN2K&WIN2003）

系统安装后，需要在组策略中开启审核日志。

操作步骤：

1）在开始菜单，开始－运行，输入“gpedit.msc”，然后点击“确定”

2）在组策略窗口中定位到如下位置：

计算机配置－windows设置－安全设置－本地策略－审核策略；如下图：

3）在右侧窗口进行策略的设置，推荐策略如下：

账户管理成功失败

登录事件成功失败

对象访问失败

策略更改成功失败

特权使用失败

系统事件成功失败

目录服务访问失败

账户登录事件成功失败

4）例如，更改帐户管理，则在右侧帐户管理上面双击鼠标，在审核成功和失败前面打钩，然后确定，如图：

3、网络协议及端口控制

安装两个网卡（如果需要连接Novell则添加第三张网卡）。

其中分别连接业务网和办公网的网卡，只安装TCP/IP协议，不安装“网络文件及打印共享”。

在TCP/IP设置中的选项里，起用TCP筛选，并且根据中间件的需要，只开发所需要的端口及协议。

连接Novell的第三张网卡，只安装IPX/SPX协议，并且不安装“网络文件及打印共享”

操作步骤：

5）打开控制面板：

点击开始－选择控制面板

6）在控制面板中，双击“网络连接”

7）在相应的网络连接上（业务网和办公网都要进行同样的操作，如果有三张网卡，还可能存在Novell网连接），点击鼠标右键，并点击“属性”，如下图：

8）将“Microsoft的网络文件和打印共享”前面的钩去掉，并点击确定，如下图：

9）再次重复第三步，打开连接属性，并双击“Internet协议（TCP/IP）”，打开“Internet协议（TCP/IP）属性”窗口，点击下面的“高级”按钮；

10）在“高级TCP/IP设置”窗口中，点击“WINS”标签，选择“禁用TCP/IP上的NetBIOS”，并点击确定，如下图：

11）在“高级TCP/IP设置”窗口中，点击“选项”标签，如下图：

12）选择“TCP/IP筛选”，并点击“属性”按钮，在“TCP/IP筛选”窗口中，选中“启用TCP/IP筛选（所有适配器）”，如下图：

13）根据业务需要，选择添加只允许的TCP/UDP/IP端口及协议，然后点击“确定”退出

对于连接Novell网网卡的操作步骤：

1）打开控制面板：

点击开始－选择控制面板

2）在控制面板中，双击“网络连接”

3）在相应的连接Novell的网络连接上，点击鼠标右键，并点击“属性”，如下图：

4）将“Microsoft的网络文件和打印共享”和“Internet协议（TCP/IP）”前面的钩去掉，并点击确定，如下图：

5）点击“安装”按钮，在“选择网络组件类型”窗口中，选中“协议”，点击“添加”，如下图：

6）选中“NWLinkIPX/SPX/NetBIOSCompatibleTransportProtocol”，并点击确定，如图（根据操作系统版本的不同，可能图例和实际操作中略有不同）：

7）安装IPX/SPX协议后，双击该协议，在属性窗口中，根据业务需要，选择网络类型，如802.2或802.3等；

4、关闭不必要的服务

在services.msc的控制台中，关闭以下服务（以下服务仅供参考）：

alerter

automaticupdates

com+eventsystem

computerbrower

dhcpclient

dnsclient

faxservice

messenger

telnet

terminalservices

windowstime

workstation

netmeetingremotedesktopshareing

smartcardhelper

ComputerBrowserserviceTCP/IPNetBIOSHelper

MicrosoftDNSserverSpooler

NTLMSSPServer

RPCLocatorWINS

RPCserviceWorkstation

NetlogonEventlog

IndexService

ComputerBrowser

WorkStation

RemoteRegistry

TCP/IPNetBIOSHelper

操作步骤：

下面以alerter服务为例，演示如何禁止服务。

1）点击开始－运行，输入“services.msc”并确定，打开服务控制台，如图：

2）选中Alerter服务，并单击鼠标右键，选择“属性”，如图：

3）将启动类型更改为“已禁用”，点击确定；

4）其他服务以此类推；

5、防止服务器空连接的枚举：

方法：

在运行中运行regedit.exe打开注册表编辑器，修改如下键值：

Local_Machine\System\CurrentControlSet\Control\LSA\RestrictAnonymous的值改为“1”。

如在LSA目录下如无该键值，可以新建一个双字节值，名为“restrictanonymous”，值为“1”，十六进制。

注：

如果改为2则匿名用户无法连接本机IPC$共享，可能会造成你的一些服务无法启动，如SQLServer

操作步骤：

1）点击开始－运行，输入regedit.exe，并确定，打开注册表编辑器，并定位到“Local_Machine\System\CurrentControlSet\Control\LSA”下，如图：

2）双击restrictanonymous，将其值更改为“1”，如图：

3）关闭注册表编辑器

6、删除服务器的默认共享：

运行-regedit.exe，打开注册表编辑器，修改如下键值：

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services、\LanmanServer\Parameters]把AutoShareServer（DWORD）的键值改为0000000。

如果上面所说的主键不存在，就新建（右击-新建-双字节值）一个主健再改键值。

操作步骤：

4）点击开始－运行，输入regedit.exe，并确定，打开注册表编辑器，到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters”下，如图：

5）将AutoShareServer（DWORD）的键值改为0000000，如果该键不存在，则在右侧，右击-新建-双字节值，键值名为AutoShareServer，如图：