等級保護-主機加固方案

1、h主機安全 一、 身份鑒別（S3） 本項要求包括： a) 應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標(biāo)識和鑒別； 設(shè)置登陸密碼 b) 操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識應(yīng)具有不易被冒用的特點，口令應(yīng)有復(fù)雜度 要求并定期更換； 依次展開開始->（控制面板 ->）管理工具->本地安全策略->賬戶策略->密碼策略，查看以下項的情況：1)復(fù)雜性要求-啟用、2)長度最小值-大于8、3)最長存留期-不為0、4)最短存留期-不為0、5)強制密碼歷史-大于3。 c) 應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施； 依次展開開始->（控制面板 -

2、>）管理工具->本地安全策略->賬戶策略->賬戶鎖定策略； d) 當(dāng)對服務(wù)器進行遠程管理時，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊 聽； 如果是本地管理或KVM等硬件管理方式，此要求默認滿足； 如果采用遠程管理，則需采用帶加密管理的遠程管理方式，如啟用了加密功能的3389(RDP客戶端使用ssl加密)遠程管理桌面或修改遠程登錄端口。e) 應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。 Windows Server 2003默認不存在相同用戶名的用戶，但應(yīng)防止多人使用同一個賬號。（訪談時無多人共用一個賬號） f) 應(yīng)采用兩種或兩種以上

3、組合的鑒別技術(shù)對管理用戶進行身份鑒別。 動態(tài)口令、數(shù)字證書、生物信息識別等 二、 訪問控制（S3） 本項要求包括： a) 應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問； 制定用戶權(quán)限表，管理員賬號僅由系統(tǒng)管理員登陸 刪除默認共享 ？ b) 應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的 最小權(quán)限； 系統(tǒng)管理員、安全管理員、安全審計員由不同的人員和用戶擔(dān)當(dāng) c) 應(yīng)實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離； 應(yīng)保證操作系統(tǒng)管理員和審計員不為同一個賬號，且不為同一個人 訪談時候注意 d) 應(yīng)嚴格限制默認帳戶的訪問權(quán)限，重命名系統(tǒng)默認帳戶，修改這些帳戶的默認口令

4、； 重命名系統(tǒng)默認賬戶，禁用guest、SUPPORT_388945a0這些用戶名 e) 應(yīng)及時刪除多余的、過期的帳戶，避免共享帳戶的存在。 清理已離職員工的賬戶 確保木有多余賬號，確保木有多人共享賬號 f) 應(yīng)對重要信息資源設(shè)置敏感標(biāo)記； Server2003無法做到 g) 應(yīng)依據(jù)安全策略嚴格控制用戶對有敏感標(biāo)記重要信息資源的操作； Server2003無法做到 三、 安全審計（G3） 本項要求包括： a) 審計范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶； b) 審計內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi) 重要的安全相關(guān)事件； 依次展開開始

5、->(控制面板 ->) 管理工具->本地安全策略->本地策略->審核策略；全部開啟c) 審計記錄應(yīng)包括事件的日期、時間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等； Server2003默認滿足 d) 應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表； 第三方工具 e) 應(yīng)保護審計進程，避免受到未預(yù)期的中斷； Server2003默認滿足 f) 應(yīng)保護審計記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。 第三方工具四、 剩余信息保護（S3）本項要求包括： a) 應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所在的存儲空間，被釋放或再分配給其 他用戶前得到完全清除，無論這些信息是存放在硬盤上還

6、是在內(nèi)存中； 依次展開開始->(控制面板 ->) 管理工具->本地安全策略->本地策略->安全選項 ->交互式登陸：不顯示上次的登錄名 啟用b) 應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配 給其他用戶前得到完全清除。 c) 依次展開開始->(控制面板 ->) 管理工具->本地安全策略->本地策略->安 全選項 ->關(guān)機:清理虛擬內(nèi)存頁面文件 啟用依次展開開始->（控制面板 ->）管理工具->本地安全策略->賬戶策略->密碼策略 用可還原的加密來存儲密碼 啟用五、

7、 入侵防范（G3） 本項要求包括： a) 應(yīng)能夠檢測到對重要服務(wù)器進行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻 擊的目的、攻擊的時間，并在發(fā)生嚴重入侵事件時提供報警； 第三方IDS b) 應(yīng)能夠?qū)χ匾绦虻耐暾赃M行檢測，并在檢測到完整性受到破壞后具有恢復(fù)的措施； 是否使用一些文件完整性檢查工具,對重要文件的完整性進行檢查，是否對重要的配置文件進行備份 檢查產(chǎn)品的測試報告、用戶手冊或管理手冊，確認其是否具有相關(guān)功能；或由第三方工具提供了相應(yīng)功能。 如果測試報告、用戶手冊或管理手冊中沒有相關(guān)描述，且沒有提供第三方工具增強該功能，則該項要求為不符合。 b) 操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅

8、安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級服 務(wù)器等方式保持系統(tǒng)補丁及時得到更新。 系統(tǒng)服務(wù)和補丁升級兩方面 1、不必要的服務(wù)關(guān)閉，查看已經(jīng)啟動的或者是手動的服務(wù)，一些不必要的服務(wù)如Alerter、Remote Registry Service、Messenger、Task Scheduler是否已啟動； 2、不必要的端口關(guān)閉 如145，443() 3、“共享名”列為空，無C$、D$、IPC$等默認共享，HKEY_LOCAL_MACHINESYSTEMcurrentControlSetControlLsarestrictanonymous值不為“0”；4、系統(tǒng)補丁先測試，再升級；補丁號為較新版本

9、?！伴_始”“運行”輸入“regedit”確定后，打開注冊表編輯器，找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters”項，雙擊右側(cè)窗口中的“AutoShareServer”項將鍵值由1改為0，這樣就能關(guān)閉硬盤各分區(qū)的共享。然后還是在這一窗口下再找到“AutoShareWks”項，也把鍵值由1改為0，關(guān)閉admin$共享。如果沒有AutoShareServer項和AutoShareWks項，可自己新建"AutoShareServer"=dword:00000000和"A

10、utoShareWks"=dword:00000000。創(chuàng)建鍵值的方式如下： i.通過regedit進入注冊表，選到對應(yīng)的項ii.在窗口右側(cè)空白處，右鍵選新建，選擇DWORD值 iii cmd net share c$ /delete net share D$ /deleteiii.將新建的值命名為AutoShareServer或AutoShareWks，并雙擊它設(shè)置值為0最后到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa”項處找到“restrictanonymous”，將鍵值設(shè)為1，關(guān)閉IPC$共享。 注意：本法必須重啟機

11、器，但一經(jīng)改動就會永遠停止共享。2）停止服務(wù)法: 在“計算機管理”窗口中，單擊展開左側(cè)的“服務(wù)和應(yīng)用程序”并選中其中的“服務(wù)”，此時右側(cè)就列出了所有服務(wù)項目。共享服務(wù)對應(yīng)的名稱是“Server”（在進程中的名稱為services），找到后雙擊它，在彈出的“常規(guī)”標(biāo)簽中把“啟動類型”由原來的“自動”更改為“已禁用”。然后單擊下面“服務(wù)狀態(tài)”的“停止”按鈕，再確認一下就OK了。六、 惡意代碼防范（G3） 本項要求包括： a) 應(yīng)安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫； 安裝防病毒軟件，且版本最新 b) 主機防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫； 訪談系統(tǒng)管理員網(wǎng)絡(luò)防病毒軟件和主機防病毒軟件分別采用什么病毒庫。 網(wǎng)神和賽門鐵克() c) 應(yīng)支持防惡意代碼的統(tǒng)一管理。 防惡意代碼統(tǒng)一管理，統(tǒng)一升級七、 資源控制（A3） 本項要求包括： a) 應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)位置范圍等條件限制終端登錄； 1、 可通過主機防火墻或者TCP/IP篩選功能實現(xiàn) 2、 可通過網(wǎng)絡(luò)設(shè)備和硬件防火墻實現(xiàn) b) 應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定； 設(shè)置屏保10分鐘以內(nèi) () d) 應(yīng)對重要服務(wù)器進行監(jiān)視，包括監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情 況； 第三方工具監(jiān)控，并設(shè)置報警