主机加固报告.docx

主机加固报告.docx

《主机加固报告.docx》由会员分享，可在线阅读，更多相关《主机加固报告.docx（34页珍藏版）》请在冰豆网上搜索。

主机加固报告

Themanuscriptwasrevisedontheeveningof2021

主机加固报告

Windows主机加固方案

一、加固主机列表

本次安全加固服务的对象包括：

编号

IP地址

操作系统

用途或服务

Windows2000

AdvancedServer

IIS服务器

二、加固方案

操作系统加固方案

补丁安装

编号：

Windows-02001

名称：

补丁安装

系统当前状态：

实施方案：

使用Windowsupdate安装最新补丁

实施目的：

可以使系统版本为最新版本

实施风险：

安装补丁可能导致主机启动失败，或其他未知情况发生。

是否实施：

是否（客户填写）

密码长度最小值

7字符

密码最长存留期

90天

密码最短存留期

30天

帐号锁定计数器

5次

帐户锁定时间

5分钟

帐户锁定阀值

1分钟

密码长度最小值

0字符

密码最长存留期

42天

密码最短存留期

0天

帐号锁定计数器

无

帐户锁定时间

0

帐户锁定阀值

无

帐号、口令策略修改

编号：

Windows-03002,Windows-03003,Windows-03004

名称：

帐号口令策略修改

系统当前状态：

实施方案：

实施目的：

保障帐号以及口令的安全

实施风险：

设置帐号策略后可能导致不符合帐号策略的帐号无法登录，需修改不符合帐号策略的密码（注：

管理员不受帐号策略限

制，但管理员密码应复杂以避免被暴力猜测导致安全风险）。

是否实施：

是否（客户填写）

编号：

Windows-03002,Windows-03003,Windows-03004

名称：

更改默认管理员用户名

系统当前状态：

默认管理员帐号为administrator

实施方案：

更改默认管理员用户名

实施目的：

默认管理员帐号可能被攻击者用来进行密码暴力猜测，可能

由于太多的错误密码尝试导致该帐户被锁定。

建议修改默认

管理员用户名。

实施风险：

无，但此步骤不总是必要。

是否实施：

是否（客户填写）

网络与服务加固

编号：

Windows-04005

名称：

将暂时不需要开放的服务停止

系统当前状态：

已启动且需要停止的服务包括：

Alerter服务

ComputerBrowser服务IPSECPolicyAgent服务Messenger服务MicrosoftSearch服务PrintSpooler服务

RunAsService服务

RemoteRegistryService服务SecurityAccountsManager服务TaskScheduler服务

TCP/IPNetBIOSHelperService服务

实施方案：

开始|运行||将上述服务的启动类型设置为手动并停止上述服务

实施目的：

避免未知漏洞给主机带来的风险

实施风险：

可能由于管理员对主机所开放服务不了解，导致该服务被卸

载。

由于某服务被禁止使得依赖于此服务的其他服务不能正常启动。

是否实施：

是否（客户填写）

文件系统加固

编号：

Windows-05002

名称：

限制特定执行文件的权限

系统当前状态：

未对敏感执行文件设置合适的权限

实施方案：

通过实施我公司的安全策略文件对特定文件权限进行限制，禁

止Guests用户组访问这些文件。

实施目的：

禁止Guests用户组访问以下文件：

实施风险：

在极少数情况下，某些网页可能调用来完成某种功能，

限制的执行权限可能导致调用cmd失败。

是否实施：

是否（客户填写）

审核策略更改

无审核

审核登录事件

成功、失败

审核对象访问

无审核

审核过程追踪

无审核

审核目录服务访问

无审核

日志审核增强

编号：

Windows-06001

名称：

设置主机审核策略

系统当前状态：

审核策略更改

成功

审核登录事件

无审核

审核对象访问

成功,失败

审核过程追踪

无审核

审核目录服务访问

无审核

审核特权使用

无审核

审核系统事件

成功,失败

审核帐户登录事件

成功,失败

审核帐户管理

成功,失败

大小

覆盖方式

应用日志

512K

覆盖早于7天的事件

安全日志

512K

覆盖早于7天的事件

系统日志

512K

覆盖早于7天的事件

大小

覆盖方式

应用日志

16382K

覆盖早于30天的事件

安全日志

16384K

覆盖早于30天的事件

审核特权使用无审核

审核系统事件无审核审核帐户登录事件成功、失败审核帐户管理成功、失败

实施方案：

通过实施我公司的安全策略文件修改下述值：

实施目的：

对系统事件进行审核，在日后出现故障时用于排查故障。

实施风险：

无

是否实施：

是否（客户填写）

编号：

Windows-06002，Windows-06003，Windows-06004

名称：

调整事件日志的大小、覆盖策略

系统当前状态：

实施方案：

通过实施我公司的安全策略文件修改下述值：

系统日志16384K覆盖早于30天的事件

实施目的：

增大日志量大小，避免由于日志文件容量过小导致日志记录

不全。

实施风险：

无

是否实施：

是否（客户填写）

安全性增强

编号：

Windows-07001

名称：

禁止匿名用户连接（空连接）

系统当前状态：

注册表如下键值：

HKLM\SYSTEM\CurrentControlSet\Control\Lsa

“restrictanonymous”的值为0

实施方案：

通过实施我公司的安全策略文件将该值修改为“1”，类型为

REG_DWORD。

实施目的：

可以禁止匿名用户列举主机上所有用户、组、共享资源

实施风险：

无

是否实施：

是否（客户填写）

编号：

Windows-04006

名称：

删除主机默认共享

系统当前状态：

系统开放的默认共享：

共享名资源注释

IPC$远程IPC

ADMIN$C:

\WINNT远程管理

C$C:

\默认共享

E$E:

\默认共享

F$F:

\默认共享

实施方案：

通过实施我公司的安全策略文件增加注册表键值“HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\

parametersAutoshareserver”项，并设置该值为“1”

实施目的：

删除主机因为管理而开放的共享

实施风险：

某些应用软件可能需要该共享，如VeritasNetbackup

是否实施：

是否（客户填写）

编号：

Windows-07001

名称：

限制远程注册表远程访问权限

系统当前状态：

注册表如下键值：

HKLM\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg的安全权限如下：

实施方案：

该键权限应为管理员完全控制，其他用户不允许访问该键。

实施目的：

默认权限并不限制对注册表的远程访问。

只有管理员才应具

有对注册表的远程访问权限，因为默认情况下Windows2000注册表编辑工具支持远程访问。

实施风险：

无

是否实施：

是否（客户填写）

编号：

Windows-03005

名称：

限制Guest用户权限

系统当前状态：

Guest已禁用，但未对帐号进行权限限制。

实施方案：

通过实施我公司的安全策略文件禁止Guest帐号本地登录和网络登录的权限。

实施目的：

避免Guest帐号被黑客激活作为后门

实施风险：

无

是否实施：

是否（客户填写）

编号：

Windows-03005

名称：

设置帐户安全选项

系统当前状态：

启用登录时间用完时自动注销用户启用显示上次成功登陆的用户名未启用允许未登录系统执行关机命令未启用仅登录用户允许使用光盘

未启用仅登录用户允许使用软盘

实施方案：

通过实施我公司的安全策略文件启用上述安全选项。

实施目的：

增强安全性，减少安全隐患。

实施风险：

无

是否实施：

是否（客户填写）

推荐安装安全工具

工具名称

MBSA

工具用途

微软推出的漏洞扫描器

相关信息

注：

工具名称请包含版本信息工具用途请简单描述产品功用相关信息请写明产品相关URL，尽量详细

IIS加固方案

补丁安装

编号：

IIS-02001，IIS-02002

名称：

补丁安装

系统当前状态：

实施方案：

使用Windowsupdate安装最新补丁并结合手工安装

注意：

系统补丁、IIS补丁、IE补丁都要安装

实施目的：

可以使系统版本为最新版本

实施风险：

无

是否实施：

是否（客户填写）

帐号、口令策略修改

编号：

IIS-03001

名称：

账号、口令的增强

系统当前状态：

实施方案：

站点属性目录安全性（分为匿名访问和验证，验证分为基本验证和与系统集成验证方法）根据客户需求，若无匿名访问情况则取消匿名访问。

实施目的：

加强账号、口令的安全

实施风险：

无

是否实施：

是否（客户填写）

网络与服务加固

编号：

IIS-04004

名称：

去除不需要的服务组件

系统当前状态：

本服务器仅仅用作web服务器，相关IIS服务有不需要的服务。

当前状态如图：

实施方案：

1、禁止不需要的服务。

如果仅仅是单纯的Web服务器，那么最好禁止掉系统以下不需要的服务：

ALERTER、CLIPBOOK、SERVER、COMPUTERBROWSER、DHCPCLIENT、MESSENGER、NETLOGON、NETWORKDDE、NETDDE、DSDM、NETWORKMONITORAGENT、SIMPLETCP/IPSERVICES、SPOOLER、NETBIOSINTERFACE、TCP/IPNETBIOSHELPER、NWLINKNETBIOS等。

2、控制面板添加/删除程序添加/删除windows组件IIS

详细信息，去掉不需要的IIS服务组件。

实施目的：

确定没有不需要的服务、组件

实施风险：

可能需要重启系统

是否实施：

是否（客户填写）

号：

IIS-04001

名称：

SSL

系统当前状态：

未启用SSL

实施方案：

启用SSL：

站点属性目录安全性安全通信编辑（若编辑为灰色则

选择服务器证书导入证书或者分配证书或申请一个新的证书编辑启用SSL

实施目的：

采用加密通信的方式保证数据的机密性。

实施风险：

需要通告用户采用https方式访问服务器资源。

是否实施：

是否（客户填写）

编号：

IIS-04006，IIS-04007

名称：

已知漏洞补遗（确定有补丁的不再列）

系统当前状态：

通过检测工具检测

实施方案：

MicrosoftIISf文件泄漏漏洞如果你不需要f文件，就

删除这个文件；否则，对这个文件设置正确的存取权限，禁止匿名用户或guest组访问。

MicrosoftIIS/iisadmin可读漏洞通过IIS服务管理器限制对/iisadmin的存取权限，禁止这个目录的读权限

MicrosoftIIS/scripts目录可浏览打开Internet服务管理器

右击你的服务器（例如“*nsfocus”），在菜单中选择“属性”栏选择“主属性”选择WWW服务|编辑|主目录|取消“允许目录浏览”选项保存设置，重启IIS。

MicrosoftIISIDA/IDQ路径泄漏漏洞打开Internet服务管理器服务器属性选择WWW服务|编辑|主目录|配置如果您不需要索引服务，您可以在扩展名列表中删除“.ida”和“.idq”两项如果您仍然需要保留这两项，您可以分别选中“.idq”和“.ida”，选择“编辑”，然后选中“检查文件是否存在”复选框保存设置,然后重启IIS服务。

微软IISIDC扩展映射跨站执行脚本漏洞删除对.idc扩展名的映射.

远程读取IIS漏洞重新设置.asa扩展名的ISAPI映射WWWService-->Edit-->HomeDirectory-->Configuration。

点击"增加"，指定由

C:

\winnt\system32\inetsrv\解释执行对.asa文件的GET、HEAD、POST、TRACE请求。

这里的路径请换成您所使用系统中的确切路径。

确认ScriptEngine复选框被选中，点击确定。

主机运行了MicrosoftFrontpage扩展如果不需要就停止此服务。

IIS演示程序泄漏WEB根目录物理路径总是删除IIS

缺省携带的演示程序。

就本漏洞具体地说，删除整个

/iissamples目录。

MicrosoftIIS/scripts/上传文件漏洞删除

/scirpts/文件；确保/users/目录不允许匿名用户可写

MicrosoftIISExAir拒绝服务漏洞将“exair”以及

其它的范例站点全部删除（iis4）

实施目的：

消除安全隐患

实施风险：

无

是否实施：

是否（客户填写）

文件系统加固

编号：

IIS-05002

名称：

主目录的权限

系统当前状态：

站点属性主目录，如下图：

实施方案：

根据客户实际需求，依据最小权限法则设置目录访问权限。

实施目的：

通过降低目录访问权限的能力，增强服务的安全性。

实施风险：

无

编号：

IIS-05001，IIS-05003

名称：

运行权限以及文件系统

系统当前状态：

service服务权限为本地系统用户

分区格式：

NTFS

实施方案：

确定只有管理员可以运行IIS服务，确认文件系统为NTFS

格式。

实施目的：

限制服务运行权限、转换文件系统格式增强安全性

实施风险：

转换分区格式需要重新启动系统，转换过程中如果遇到断电

等可能导致分区不能正常访问。

是否实施：

是否（客户填写）

日志审核增强

编号：

IIS-06001

名称：

日志记录

系统当前状态：

启用日志记录，日志格式为W3C扩充日志文件格式。

实施方案：

如果没有启用日志记录，那么启用日志记录实现审计跟踪。

实施目的：

启用日志实现审计跟踪。

实施风险：

无

是否实施：

是否（客户填写）

编号：

IIS-06002

名称：

选定日志记录内容

系统当前状态：

实施方案：

根据实际需求，选定日志记录内容，建议选择多项进行详尽

的日志记录。

实施目的：

详尽的记录日志，得到更多的审计信息。

实施风险：

无

是否实施：

是否（客户填写）

安全性增强

编号：

IIS-04003

名称：

连接数与带宽限制

系统当前状态：

实施方案：

站点属性性能与客户协商确定限制具体细节或者不作限制

实施目的：

限制连接数与带宽，防止过度使用服务器资源导致服务器资

源不可利用。

实施风险：

无

是否实施：

是否（客户填写）

编号：

IIS-04002

名称：

IP地址与域名限制

系统当前状态：

未启用IP地址、域名访问控制

实施方案：

站点属性目录安全性IP地址与域名限制编辑

根据客户实际需求做IP地址与域名限制

实施目的：

针对IP地址、域名进行限制，增强IIS服务的访问控制功能，对指定来源的拒绝可以抵制其恶意攻击。

实施风险：

无

是否实施：

是否（客户填写）

编号：

IIS-01006

名称：

删除不需要的映射

系统当前状态：

实施方案：

IIS服务器属性计算机mime映射编辑根据实际需求，删除不需要的映射。

实施目的：

消除潜在的安全隐患

实施风险：

无

是否实施：

是否（客户填写）

编号：

IIS-07002

名称：

备份策略

系统当前状态：

询问客户是否制定了相应的备份策略

实施方案：

与客户一起协商并制定相应的备份策略

实施目的：

备份现有的有效的策略，方便策略的恢复。

实施风险：

无

是否实施：

是否（客户填写）

推荐安装安全工具

工具名称

工具用途

相关信息

注：

工具名称请包含版本信息工具用途请简单描述产品功用相关信息请写明产品相关URL，尽量详细

SQLServer加固方案

补丁安装

编号：

SQLSERVER-02001

名称：

补丁安装

系统当前状态：

MDAC安装补丁为SP2。

未安装补丁：

MS02-040Q326573

SQLSERVER2000安装补丁为SP2，最新补丁为SP3。

系统当前存在缓冲区溢出漏洞，通过发送精心构造的数据包，攻击者可以导致系统部分内存被覆盖，从而在系统上执行任意命令。

注意：

MS02-035Q263968

未安装补丁：

MS02-061Q316333

实施方案：

使用HFNetChk检查未安装补丁程序，访问微软站点下载并安装最新补丁程序。

实施目的：

可以使SQLServer系统版本为最新版本

实施风险：

某些补丁程序可能导致SQLServer系统运行不正常，其它依

赖SQLServer服务的应用也会受到影响。

是否实施：

是否（客户填写）

帐号、口令策略修改

编号：

SQLSERVER-03001SQLSERVER-03002

名称：

所有数据库账户使用强壮密码

系统当前状态：

sa帐户已经设置强壮密码

实施方案：

连接到要修改密码的SQLServer服务器，在“安全性|登录”中双击要修改密码的帐户，输入新密码。

实施目的：

清除系统中弱密码账户

实施风险：

一些依赖SQLServer并使用修改了密码的账户登录数据库的程序可能需要修改配置后才能使用（例如论坛、动态网页发布系统）。

是否实施：

是否（客户填写）

编号：

SQLSERVER-03003

名称：

限制guest帐户对数据库的访问

系统当前状态：

guest帐户可以访问所有的数据库

实施方案：

连接到要管理的SQLServer服务器，选择要管理的数据库，选择用户，然后删除guest帐户。

在除master和tempdb之外

的所有数据库都要删除guest帐户。

实施目的：

取消guest帐户对master和tempdb之外的数据库的访问权限

实施风险：

一些使用guest账户登录数据库的程序可能需要修改配置后才能使用（例如论坛、动态网页发布系统）。

是否实施：

是否（客户填写）

网络与服务加固

编号：

SQLSERVER-04001

名称：

禁止使用缺省登录

系统当前状态：

启用了缺省登录

实施方案：

在EnterpriseManager->SecurityOptions中禁用DefaultLogin

实施目的：

禁止使用缺省登录

实施风险：

无（只有SQLServer才有这个选项）

是否实施：

是否（客户填写）

编号：

SQLSERVER-04002

名称：

禁止使用不需要的通讯协议

系统当前状态：

SQLServer允许使用“命名管道”和“TCP/IP”访问SQLServer

实施方案：

开始菜单->程序->MicrosoftSQLServer->企业管理器->控制台目录->MicrosoftSQLServers->SQLServer组，在要查看的服务器上右键查看“属性”->“常规”->网络配置，选中不需要使用的网络协议，单击“禁用”

实施目的：

禁止使用不需要的通讯协议

实施风险：

可能使某些通过命名管道访问此SQLServer的程序不能正常运行

是否实施

是否（客户填写）

文件系统加固

编号：

SQLSERVER-05001

名称：

使用NTFS文件系统

系统当前状态：

SQLServer相关分区都使用NTFS文件系统

实施方案：

SQLServer程序文件和数据文件所在分区都使用convert转

换成NTFS文件系统。

如果要转换C分区，命令行如下：

convertc:

/fs:

NTFS

实施目的：

让SQLServer相关分区都使用NTFS文件系统

实施风险：

转换过程中可能需要重新启动，如果转换过程中出现硬件或

者电源故障可能导致数据损坏。

是否实施：

是否（客户填写）

编号：

SQLSERVER-05002

名称：

正确分配SQLServer相关文件访问权限

系统当前状态：

所有人都可以读取SQLServer文件

实施方案：

使SQLServer数据库程序文件和数据文件的文件访问权限如下：

“SYSTEM”、本地管理员、SQLServer运行帐户有所有权限；备份管理员可以读取和列出文件夹目录；其它用户没有任何权限。

实施目的：

正确分配SQLServer相关文件系统的访问权限，拒绝未授权用户访问数据库。

实施风险：

如果遗漏了需要分配权限的用户，可能导致SQLServer不能正常运行或者用户无法操作数据库文件。

是否