广州市电子政务外网系统安全加固指导书Word格式文档下载.docx

广州市电子政务外网系统安全加固指导书Word格式文档下载.docx

《广州市电子政务外网系统安全加固指导书Word格式文档下载.docx》由会员分享，可在线阅读，更多相关《广州市电子政务外网系统安全加固指导书Word格式文档下载.docx（14页珍藏版）》请在冰豆网上搜索。

很简单也很有必要，设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。

2.10使用NTFS格式分区

把服务器的所有分区都改成NTFS格式。

NTFS文件系统要比FAT,FAT32的文件系统安全得多。

2.11利用win的安全配置工具来配置策略

微软提供了一套的基于MMC（管理控制台）安全配置和分析工具，利用他们你可以很方便的配置你的服务器以满足你的要求。

具体内容请参考微软主页：

2.12关闭不必要的服务

windows的TerminalServices（终端服务），IIS,和RAS都可能给你的系统带来安全漏洞。

为了能够在远程方便的管理服务器，很多机器的终端服务都是开着的，如果你的也开了，要确认你已经正确的配置了终端服务。

有些恶意的程序也能以服务方式悄悄的运行。

要留意服务器上面开启的所有服务，中期性（每天）的检查他们。

建议将以下服务设为自启动：

Eventlog（required）

NTLMSecurityProvider（required）

RemoteProcedureCall（RPC）（required）

Workstation（leaveserviceon:

willbedisabledlaterinthedocument）

ProtectedStorage（required）

PlugandPlay（required）

SecurityAccountsManager（required）

需要注意的是，服务设置不当可能导致系统不能进行正常操作。

设置每台主机服务的时候，要针对具体的应用情况和网络情况进行有针对性的设置，不能直接按照推荐完全照做。

上面建议只作为参考，并不能作为每一台主机的配置标准。

2.13关闭不必要的端口

关闭端口意味着减少功能，在安全和功能上面需要你作一点决策。

如果服务器安装在防火墙的后面，冒的险就会少些，但是，永远不要认为你可以高枕无忧了。

用端口扫描器扫描系统所开放的端口，确定开放了哪些服务是黑客入侵你的系统的第一步。

\system32\drivers\etc\services文件中有知名端口和服务的对照表可供参考。

具体方法为：

网上邻居>

属性>

本地连接>

internet协议（tcp/ip）>

高级>

选项>

tcp/ip筛选>

属性打开tcp/ip筛选，添加需要的tcp,udp,协议即可。

2.14打开审核策略

开启安全审核是win最基本的入侵检测方法。

当有人尝试对你的系统进行某些方式（如尝试用户密码,改变帐户策略，未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来。

很多的管理员在系统被入侵了几个月都不知道，直到系统遭到破坏。

下面的这些审核是必须开启的，其他的可以根据需要增加：

策略设置

审核系统登陆事件成功，失败

审核帐户管理成功，失败

审核登陆事件成功，失败

审核对象访问成功

审核策略更改成功，失败

审核特权使用成功，失败

审核系统事件成功，失败

开启密码策略

密码复杂性要求启用

密码长度最小值6位

强制密码历史5次

强制密码历史42天

2.15开启帐户策略

复位帐户锁定计数器20分钟

帐户锁定时间20分钟

帐户锁定阈值3次

2.16不让系统显示上次登陆的用户名

默认情况下，终端服务接入服务器时，登陆对话框中会显示上次登陆的帐户明，本地的登陆对话框也是一样。

这使得别人可以很容易的得到系统的一些用户名，进而作密码猜测。

修改注册表可以不让对话框里显示上次登陆的用户名，具体是：

HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\DontDisplayLastUserName

把REG_SZ的键值改成1.

2.17禁止建立空连接

默认情况下，任何用户通过通过空连接连上服务器，进而枚举出帐号，猜测密码。

通过修改注册表来禁止建立空连接：

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous的值改成”1”即可。

2.18关闭DirectDraw

这是C2级安全标准对视频卡和内存的要求。

修改注册表HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI的Timeout（REG_DWORD）为0即可。

2.19关闭默认共享

Win系统安装好以后，系统会创建一些隐藏的共享，要禁止这些共享，打开管理工具>

计算机管理>

共享文件夹>

共享在相应的共享文件夹上按右键，点停止共享即可，不过机器重新启动后，这些共享又会重新开启的。

默认共享目录路径和功能C$D$E$每个分区的根目录。

Win2000Pro版中，只有Administrator和BackupOperators组成员才可连接，Win2000Server版本ServerOperatros组也可以连接到这些共享目录ADMIN$%SYSTEMROOT%远程管理用的共享目录。

它的路径永远都指向Win2000的安装路径，比如c:

\winntFAX$在Win2000Server中，FAX$在fax客户端发传真的时候会到。

IPC$空连接。

IPC$共享提供了登录到系统的能力。

NetLogon这个共享在Windows2000服务器的NetLogin服务在处理登陆域请求时用到PRINT$%SYSTEMROOT%\SYSTEM32\SPOOL\DRIVERS用户远程管理打印机

2.20禁止dumpfile的产生

dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料，然而，它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。

要禁止它，打开控制面板>

系统属性>

启动和故障恢复把写入调试信息改成无。

要用的时候，可以再重新打开它。

2.21使用文件加密系统EFS

Windows强大的加密系统能够给磁盘，文件夹，文件加上一层安全保护。

这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。

记住要给文件夹也使用EFS,而不仅仅是单个的文件。

有关EFS的具体信息可以查看

2.22锁住注册表

在windows，只有administrators和BackupOperators才有从网络上访问注册表的权限。

如果觉得还不够的话，可以进一步设定注册表访问权限，详细信息请参考：

2.23建议安装urlscan（或直接安装IISLockdown）

Urlscan属于IISLockdownTool的一部分是个很强的安全工具，让站点管理员有能力

关掉不需要的功能及禁止这些HTTP访问.把一些特定的HTTP访问禁止,Urlscan安全工具可以防止可能会造成伤害的访问,不让这些有害访问到达服务器端.

IISLockdown可执行许多步骤来帮助加强Web服务器的安全。

这些步骤包括：

锁定文件

禁用服务和组件

安装Urlscan

删除不需要的Internet服务器应用程序编程接口（ISAPI）DLL脚本映射删除不需要的目录

更改ACL

您可以使用IISLockdown来加强许多类型的IIS服务器角色的安全。

对于各服务器，您应挑选可满足您Web服务器需要的限制性最高的角色。

2.24关闭RPCDCOM组件

RemoteProcedureCall（RPC）是Windows操作系统使用的一种远程过程调用协议，RPC提供进程间交互通信机制，允许在某台计算机上运行程序无缝的在远程系统上执行代码。

协议本身源自OSFRPC协议，但增加了Microsoft特定的扩展。

DCOM（theDistributedComponentObjectModel）扩展COM，以支持不同计算机之间的对象间通信，这些计算机可以是位于局域网，广域网，甚至是互连网。

DCOM规定了网络上组件之间的通信协定，因此DCOM可以说是组件之间的TCP/IP协议。

DCOM组件可以远程执行系统命令，并且存在多个已知的和未知的缓冲区溢出漏洞。

关闭方法：

依次打开管理工具、组件服务，展开组件服务中的计算机，右键点击其中的我的电脑中的属性，取消默认属性中的“在此计算机上启用分布式com”。

TOMCAT系统安全加固

1.Tomcat安全配置

1.1.基本安全配置

首先，新建一个帐户

1.用"

ITOMCAT_计算机名"

建立一个普通用户

2.为其设置一个密码

3.保证"

密码永不过期"

（PasswordNeverExpires）被选中

修改Tomcat安装文件夹的访问权限

1.选定环境参数CATALINA_HOME或TOMCAT_HOME指向的Tomcat安装文件夹。

2.为"

用户赋予读、写、执行的访问权限。

3.为"

用户赋予对WebApps文件夹的只读访问权限。

4.如果某些Web应用程序需要写访问权限，单独为其授予对那个文件夹的写访问权限。

当你需要Tomcat作为系统服务运行时，采取以下步骤：

1.到"

控制面板"

，选择"

管理工具"

，然后选择"

服务"

。

2.找到Tomcat：

比如ApacheTomcat.exe等等，打开其"

属性"

3.选择其"

登录"

（Log）标签。

4.选择"

以...登录"

（LogONUsing）选项。

5.键入新建的"

用户作为用户名。

6.输入密码。

7.重启机器。

1.2.多重服务器的安全防护

如需要apachehttpd保护web-inf或meta-inf文件，可以

请在httpd.conf中加入下列的

内容：

<

LocationMatch"

/WEB-INF/"

>

AllowOverrideNone

denyfromall

/LocationMatch>

/META-INF/"

你也可以把Tomcat配置为将所有对.htaccess的请求都送至错误网页，

在Tomcat的一般安装中，请将下列的servlet-mapping加到在$CATALINA_HOME/

conf/Web.xml文件的servlet-mapping项目后面：

servlet-mapping>

servlet-name>

invoker<

/servlet-name>

url-pattern>

*.htaccess<

/url-pattern>

/servlet-mapping>

这会将所有Web应用程序中对.htaccess的请求映射到invokerservlet，由于无法加载名为invoker的servlet类，因此会产生“HTTP404:

NotFound”的错误网页。

从技术层面讲，这种形式并不好，因为如果Tomcat可以找到并加载所请求名称的类（.htaccess），它便可能执行该类而非输出消息错误消息

1.3.配置服务器默认端口

1.tomcat安装目标下的/conf目录下

2.编辑server.xml文件

3.修改port8080为你需要端口号，如80.

1.4.关闭服务器端口

3.修改<

Serverport="

8006"

shutdown="

venus"

，

这样就只有在telnet到8006，并且输入"

才能够关闭Tomcat

1.5.默认错误网页设置

1、将附件的index.htm文件拷贝至\webapps\ROOT目录内，删除或改名原来的index.jsp文件。

2、用记事本打开\conf\web.xml文件，在文件的倒数第二行（<

/web-app>

一行之前）加入以下内容：

error-page>

error-code>

404<

/error-code>

location>

/error_404.htm<

/location>

/error-page>

1.6.配置支持SSL

配置支持SSL的方法（分别以TEST,TestAdmin两实际访问对象举例）

一、配置tomcat支持SSL方法

1.生成SSL需要用到的keypair。

一般在%java_home%/bin下有一个keytool，在命令行窗口，转移到该目录下，运行：

keytool-genkey-keyalgRSA

在keytool运行时，会询问两次密码，密码是自己设的（例：

123456），要记住，随后会用到。

最后的那个密码输回车（代表与第一次输的密码相同）,中间会问一些国家啊什么的，随便乱填好了。

生成的文件叫“.keystore”，可以在-genkey时指定存放该文件路径、或名称等（见该命令帮助）。

为了使用方便，本文将其放在C盘根目录下。

2.修改tomcat的conf目录下的server.xml文件

去掉有关ssl的那个connector的注释符号<

!

---->

注意，它里面默认没有指定keystorefile等，为了避免路径错误，建议在server.xml中显式地指定keystorePass与keystoreFile，设好后如下：

Connectorport="

8443"

maxThreads="

150"

minSpareThreads="

25"

maxSpareThreads="

75"

enableLookups="

false"

disableUploadTimeout="

true"

acceptCount="

100"

debug="

0"

scheme="

https"

secure="

clientAuth="

sslProtocol="

TLS"

keystoreFile="

C:

\.keystore"

keystorePass="

123456"

/>

注意：

即使是在WINDOWS系统上，server.xml中的大小写也是敏感的。

红色斜体部分请根据实际情况填写。

3.重启tomcat

二、配置JAVA环境支持SSL

1.拷贝文件

将ProgramFiles\Java\jdk1.5.0_09\jre\lib下的jsse.jar拷贝到jdk1.5.0_09\jre\lib\ext下。

2.生成证书文件

访问站点IE，如果用户管理模块要配置为https登录，即访问用户管理网页的地址（比如TestAdmin），获取证书，单击"

查看证书"

在弹出的对话框中选择"

详细信息"

，然后再单击"

拷贝文件"

，根据提供的向导生成待访问网页的证书文件:

将生成的文件直接保存在java\jdk1.5.0_09\jre\lib\security目录下，文件名可任意，以容易识别为准：

3.用keytool工具把刚才导出的证书倒入本地keystore：

命令行到jdk1.5.0_09\jre\lib\security下，执行以下命令：

keytool-import-noprompt-keystorecacerts-storepasschangeit-aliasTestAdminHttps-

其中TestAdminHttps为当前证书在keystore中的唯一标识符，又称别名，可随意取名，只要不与已经存在的重复，以容易识别为准。

TestAdminHttps.cer为刚才保存的证书文件名。

如果刚才的证书需要重新导入，可通过以下命令先删除导入的证书：

keytool-delete-keystorecacerts-storepasschangeit-alias别名-file证书文件（***.cer）

4.重启tomcat

1．一共需要导入两个证书，分别对应TestAdmin和TEST，步骤完全相同，只是在做操作

（2）时访问的页面不同：

TestAdmin访问用户管理网页的地址（例如：

TestAdmin）

TEST访问TEST网页的地址（例如：

TEST）

2．配置前请先确保环境变量设置正确了，需要在环境变量中设置JAVA_HOME，并加入PATH。

MSSQL系统安全加固

2.安装最新安全补丁

2.1.安装操作系统提供商发布的最新的安全补丁

1）最新补丁下载地址是：

2）安装补丁详细操作请参照其中的readme文件。

3.网络和系统服务

3.1.检查系统文件是装置在NTFS分区

看SQLSERVER安装盘符的属性

3.2.默认用户状态及口令更改情况

查看用户状态

运行SQL查询分析器，执行（sysxlogins）

select*fromsysusers

Selectname,Passwordfromsysloginswherepasswordisnullorderbyname#查看口令为空的用户。

按F5更改帐户口令

运行SQL查询分析器，执行

Usemaster

execsp_password‘old_password’,’new_password’,accounname

按F5

3.3.停用不必要的存储过程

停用不必要的存储过程，可能会造成企业管理器一些功能特性的丢失。

Xp_cmdshell

Sp_OACreate

Sp_OADestroy

Sp_OAGetErrorInfo

Sp_OAGetProperty

Sp_OAMethod

Sp_OASetProperty

Sp_OAStop

Xp_regaddmultistring

Xp_regdeletekey

Xp_regdeletevalue

Xp_regenumvalues

Xp_regremovemultistring

注意:

这里列出xp_regread/xp_regwrite的移除会影响一些主要功能包括日志和SP的安装

p_sdidebug

xp_availablemedia

xp_cmdshell

xp_deletemail

xp_dirtree

xp_dropwebtask

xp_dsninfo

xp_enumdsn

xp_enumerrorlogs

xp_enumgroups

xp_enumqueuedtasks

xp_eventlog

xp_findnextmsg

xp_fixeddrives

xp_get

xp_getnetname

xp_grantlogin

xp_logevent

xp_loginconfig

xp_logininfo

xp_makewebtask

xp_msverxp_perfend

xp_perfmonitor

xp_perfsample

xp_perfstart

xp_readerrorlog

xp_readmail

xp_revokelogin

xp_runwebtask

xp_schedulersignal

xp_sendmail

xp_servicecontrol

xp_snmp_getstate

xp_snmp_raisetrap

xp_sprintf

xp_sqlinventory

xp_sqlregister

xp_sqltrace

xp_sscanf

xp_startmail

xp_stopmail

xp_subdirs

xp_unc_to_drive

也可以通过安装相应的补丁消除取一些存储过程带来的隐患。

3.4.错误日志管理

错误日志存储在：

…\MicrosoftSQLServer\..\log\errorlog中

3.5.拒绝来自1434端口的探测

通过操作系统的IPSec过滤拒绝掉1434端口的UDP通讯，可以尽可能地隐藏SQLServer。

3.6.对网络连接进行IP限制

使用操作系统自己的IPSec实现IP数据包的安全性。

对IP连接进行限制，只保证自己的IP能够访问，同时也拒绝其他IP进行的端口连接。