ｉindows系統(tǒng)安全安全加固技術(shù)指導(dǎo)書

1、PAGE11甘肅海豐信息科技有限公司W(wǎng)indows系統(tǒng)安全加固技術(shù)指導(dǎo)書 版 本 密 級【絕密】 發(fā) 布甘肅海豐科技 編 號GSHF-0005-OPM-2006- DATE yyyy * MERGEFORMAT 2010 HIGHFLYER INFORMATION TECHNOLOGY ,INC.目 錄 TOC o 1-4 h z u HYPERLINK l _Toc3 文檔信息 PAGEREF _Toc3 h 2 HYPERLINK l _Toc4 前 言 PAGEREF _Toc4 h 3 HYPERLINK l _Toc5 一、編制說明 PAGEREF _Toc5 h 3 HYPERLI

2、NK l _Toc6 二、參照標(biāo)準(zhǔn)文件 PAGEREF _Toc6 h 3 HYPERLINK l _Toc7 三、加固原則 PAGEREF _Toc7 h 3 HYPERLINK l _Toc8 1.業(yè)務(wù)主導(dǎo)原則 PAGEREF _Toc8 h 3 HYPERLINK l _Toc9 2.業(yè)務(wù)影響最小化原則 PAGEREF _Toc9 h 4 HYPERLINK l _Toc0 3.實施風(fēng)險控制 PAGEREF _Toc0 h 4 HYPERLINK l _Toc1 (一)主機系統(tǒng) PAGEREF _Toc1 h 4 HYPERLINK l _Toc2 (二)數(shù)據(jù)庫或其他應(yīng)用 PAGEREF

3、 _Toc2 h 4 HYPERLINK l _Toc3 4.保護重點 PAGEREF _Toc3 h 5 HYPERLINK l _Toc4 5.靈活實施 PAGEREF _Toc4 h 5 HYPERLINK l _Toc5 6.周期性的安全評估 PAGEREF _Toc5 h 5 HYPERLINK l _Toc6 四、安全加固流程 PAGEREF _Toc6 h 5 HYPERLINK l _Toc7 1.主機分析安全加固 PAGEREF _Toc7 h 6 HYPERLINK l _Toc8 2.業(yè)務(wù)系統(tǒng)安全加固 PAGEREF _Toc8 h 7 HYPERLINK l _Toc9

4、 五、Windows 2003操作系統(tǒng)加固指南 PAGEREF _Toc9 h 8 HYPERLINK l _Toc0 1.系統(tǒng)信息 PAGEREF _Toc0 h 8 HYPERLINK l _Toc1 2.補丁管理 PAGEREF _Toc1 h 8 HYPERLINK l _Toc2 (一)補丁安裝 PAGEREF _Toc2 h 8 HYPERLINK l _Toc3 3.賬號口令 PAGEREF _Toc3 h 8 HYPERLINK l _Toc4 (一)優(yōu)化賬號 PAGEREF _Toc4 h 8 HYPERLINK l _Toc5 (二)口令策略 PAGEREF _Toc5 h

5、 8 HYPERLINK l _Toc6 4.網(wǎng)絡(luò)服務(wù) PAGEREF _Toc6 h 9 HYPERLINK l _Toc7 (三)優(yōu)化服務(wù) PAGEREF _Toc7 h 9 HYPERLINK l _Toc8 (四)關(guān)閉共享 PAGEREF _Toc8 h 9 HYPERLINK l _Toc9 (五)網(wǎng)絡(luò)限制 PAGEREF _Toc9 h 10 HYPERLINK l _Toc0 5.文件系統(tǒng) PAGEREF _Toc0 h 10 HYPERLINK l _Toc1 (一)使用NTFS PAGEREF _Toc1 h 10 HYPERLINK l _Toc2 (二)檢查Everyon

6、e權(quán)限 PAGEREF _Toc2 h 10 HYPERLINK l _Toc3 (三)限制命令權(quán)限 PAGEREF _Toc3 h 10 HYPERLINK l _Toc4 6.日志審核 PAGEREF _Toc4 h 11 HYPERLINK l _Toc5 (一)增強日志 PAGEREF _Toc5 h 11 HYPERLINK l _Toc6 (二)增強審核 PAGEREF _Toc6 h 11文檔信息版權(quán)聲明本文中出現(xiàn)的任何文字?jǐn)⑹觥⑽臋n格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明，版權(quán)均屬甘肅海豐所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護。任何個人、機構(gòu)未經(jīng)甘肅海豐的書面授權(quán)許可，不得以

7、任何方式復(fù)制或引用本文的任何片斷。變更記錄時間版本說明修改人2008-07-09新建本文檔鄭方2009-05-27修正了4處錯誤、刪除了IIS5加固部分鄭方2010-10-11新增加固IIS6、SQL2000加固操作指南鄭方前 言編制說明 信息安全加固作為信息安全體系建設(shè)的重要組成部分，本方案的編制是在充分考慮了客戶信息系統(tǒng)，Windows服務(wù)器的現(xiàn)狀和行業(yè)最佳實踐，通過風(fēng)險評估總結(jié)了主機系統(tǒng)現(xiàn)有的安全現(xiàn)狀，并參考了各類安全政策文件，繼承和吸收了國家等級保護、風(fēng)險評估的經(jīng)驗成果。本指導(dǎo)書概括地闡述了安全加固介紹、安全加固內(nèi)容等方面內(nèi)容。 參照標(biāo)準(zhǔn)文件1）信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范2）業(yè)

8、務(wù)系統(tǒng)安全等級保護基本要求（報批稿）3）業(yè)務(wù)系統(tǒng)安全等級保護測評準(zhǔn)則(送審稿) 加固原則在上述標(biāo)準(zhǔn)文件的基礎(chǔ)上，我們建議本次加固歸納了6個原則：業(yè)務(wù)主導(dǎo)原則業(yè)務(wù)系統(tǒng)加固是圍繞系統(tǒng)所承載業(yè)務(wù)的保護。對業(yè)務(wù)系統(tǒng)進(jìn)行加固的根本目的不是保護系統(tǒng)的網(wǎng)絡(luò)節(jié)點、系統(tǒng)節(jié)點，而是業(yè)務(wù)系統(tǒng)所承載的業(yè)務(wù)、數(shù)據(jù)以及提供的服務(wù)，這種以業(yè)務(wù)為核心的思想將貫穿整個加固的各個階段。因此明確系統(tǒng)業(yè)務(wù)、分析業(yè)務(wù)環(huán)境、劃分業(yè)務(wù)邊界、導(dǎo)出業(yè)務(wù)安全需求是加固的首要任務(wù)，也是決定加固效果和質(zhì)量的最關(guān)鍵階段。要確保業(yè)務(wù)安全，取決于網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、數(shù)據(jù)庫層等多個層面的安全，因此安全加固服務(wù)涉及多個層面、是一個復(fù)雜的、循序漸進(jìn)的過程，

9、不能一撮而就； 不同業(yè)務(wù)系統(tǒng)要結(jié)合系統(tǒng)自身身情況制定相應(yīng)加固方案，加固的預(yù)期效果也應(yīng)不盡相同。業(yè)務(wù)影響最小化原則 對于在線系統(tǒng)的加固服務(wù)，應(yīng)通過必要措施將對業(yè)務(wù)的影響降至最低，并為現(xiàn)場安全測試、檢查、加固提供完備的應(yīng)急服務(wù)。實施風(fēng)險控制在進(jìn)行安全加固前，進(jìn)行小范圍的全景負(fù)載模擬試驗，檢驗安全加固的有效性和安全可靠性。在加固過程中安全實施顧問會對操作的每一個步驟及系統(tǒng)狀態(tài)進(jìn)行詳細(xì)記錄，一旦發(fā)現(xiàn)異常立刻退回上一步。安全加固過程中可能帶來的風(fēng)險的步驟有：主機系統(tǒng)安裝補?。豢赡軙?dǎo)致某些特定的服務(wù)不可用甚至主機崩潰（盡量采用可卸載的Patch安裝方式，如無法卸載則由我方根據(jù)以往的經(jīng)驗以及被加固主機的應(yīng)

10、用特點提出我方的建議，由管理員最終確認(rèn)）。修改配置文件禁止某些默認(rèn)用戶登陸；可能導(dǎo)致某些特定服務(wù)不可用（改回配置文件即可恢復(fù)）。停掉某些不必要的系統(tǒng)服務(wù)；可能導(dǎo)致某些應(yīng)用程序不可用，需管理員事先確認(rèn)（重新啟動服務(wù)即可恢復(fù)）。對主機上的某些應(yīng)用程序進(jìn)行升級或?qū)ε渲梦募M(jìn)行調(diào)整，以增強安全性；可能導(dǎo)致應(yīng)用程序運行不正常（改回配置即可恢復(fù)）。文件系統(tǒng)加固，調(diào)整重要系統(tǒng)文件的安全屬性和存取權(quán)限；可能導(dǎo)致某些程序無法正常運行（改回屬性和權(quán)限即可恢復(fù)）。數(shù)據(jù)庫或其他應(yīng)用針對系統(tǒng)平臺選擇安裝補丁可能導(dǎo)致數(shù)據(jù)庫或其他應(yīng)用無法正常工作，其他依賴于此的應(yīng)用程序也將受到影響（根據(jù)我方的實施經(jīng)驗由實施工程師提出建議，

11、由數(shù)據(jù)庫或應(yīng)用管理員進(jìn)行確認(rèn)，必要時可咨詢廠商技術(shù)人員）將數(shù)據(jù)庫或其他應(yīng)用的某些帳戶的密碼改為強壯的密碼可能導(dǎo)致某些登陸數(shù)據(jù)庫的應(yīng)用程序需要重新設(shè)置（加固前通知相關(guān)應(yīng)用系統(tǒng)管理員，同時設(shè)置應(yīng)用程序）禁止數(shù)據(jù)庫或其他應(yīng)用系統(tǒng)使用不必要的網(wǎng)絡(luò)協(xié)議可能導(dǎo)致某些依賴于相關(guān)協(xié)議的應(yīng)用程序無法正常工作（改動前需由數(shù)據(jù)庫或應(yīng)用管理員進(jìn)行確認(rèn)）正確分配數(shù)據(jù)庫或其他應(yīng)用相關(guān)文件的訪問權(quán)限可能導(dǎo)致被遺漏的用戶無法訪問相關(guān)文件（重新設(shè)置即可）刪除無用的存儲過程或擴展存儲過程可能導(dǎo)致數(shù)據(jù)庫的某些功能無法使用，實施前需經(jīng)數(shù)據(jù)庫管理員確認(rèn)保護重點加固不是事無巨細(xì)，對整個單位的所有區(qū)域進(jìn)行面面俱到的保護，而是重點考慮關(guān)鍵業(yè)

12、務(wù)、關(guān)鍵業(yè)務(wù)流程、關(guān)鍵信息資產(chǎn)、關(guān)鍵區(qū)域，保證加固工作重點突出、有的放矢、目標(biāo)明確。靈活實施由于業(yè)務(wù)系統(tǒng)/網(wǎng)絡(luò)是與各省公司具體環(huán)境相關(guān)，不可能設(shè)計一種通用的加固方案，也不存在對所有單位都適用的單一解決方案。應(yīng)根據(jù)實際情況靈活實施，滿足各類單位的需要。周期性的安全評估安全加固工作不應(yīng)是一次性的，應(yīng)根據(jù)實際情況定期開展，以控制新出現(xiàn)的安全風(fēng)險。長久來看，安全加固工作是周期性的，長期性的；在加固后不能抱有一勞永逸的思想，同時也要認(rèn)知到，安全加固不僅僅是對設(shè)備的安全加固，更要結(jié)合加固期間的培訓(xùn)交流，培養(yǎng)維護人員安全意識，不斷提升安全意識；安全加固流程安全加固服務(wù)是綠盟科技安全服務(wù)體系中的重要環(huán)節(jié)。是風(fēng)

13、險評估結(jié)果得到落地的重要步驟，針對主機系統(tǒng)的加固流程簡介如下：1）主機設(shè)備安全加固2）業(yè)務(wù)系統(tǒng)安全加固主機分析安全加固主機安全是信息系統(tǒng)安全中的基礎(chǔ)組成部分，關(guān)鍵數(shù)據(jù)和信息直接由系統(tǒng)平臺提供。支持分布式計算環(huán)境中不斷增長的系統(tǒng)平臺面臨各種安全威脅，包括數(shù)據(jù)竊取、數(shù)據(jù)篡改、非授權(quán)訪問、病毒破壞等。這時就需要專業(yè)的安全加固服務(wù)以保障運行和存貯在這些系統(tǒng)平臺上的數(shù)據(jù)的的機密性、完整性和可用性。 主機安全加固服務(wù)利用多種技術(shù)手段對您信息系統(tǒng)中的操作系統(tǒng)平臺提供安全加固和配置優(yōu)化，同時將其集成到客戶已有的環(huán)境中。主機安全加固是指通過一定的技術(shù)手段，提高操作系統(tǒng)安全性和抗攻擊能力，通常這些技術(shù)手段，只能為

14、實施這項技術(shù)的這一臺主機服務(wù)。所提供的安全加固服務(wù)手段有：1基本安全配置檢測和優(yōu)化2密碼系統(tǒng)安全檢測和增強3系統(tǒng)后門檢測4提供訪問控制策略和安全工具5增強遠(yuǎn)程維護的安全性6文件系統(tǒng)完整性審計7增強的系統(tǒng)日志分析8系統(tǒng)升級與補丁安裝經(jīng)過良好配置的系統(tǒng)的抗攻擊性有極大的增強。在對系統(tǒng)作相應(yīng)的安全配置后，結(jié)合定期的安全評估和維護服務(wù)就使得系統(tǒng)保持在一個較高的安全線之上。業(yè)務(wù)系統(tǒng)安全加固業(yè)務(wù)系統(tǒng)安全是信息系統(tǒng)安全中的重要組成部分，全網(wǎng)后臺數(shù)據(jù)庫與前臺界面呈現(xiàn)與應(yīng)用全由業(yè)務(wù)系統(tǒng)平臺提供。面臨各種安全威脅包括非法登陸與訪問控制、數(shù)據(jù)損壞與篡改、漏洞攻擊等。這時就需要專業(yè)的安全加固服務(wù)以保障運行在這些系統(tǒng)平

15、臺上的數(shù)據(jù)流的機密性、完整性和可用性。 業(yè)務(wù)系統(tǒng)安全加固服務(wù)利用多種技術(shù)手段對您信息系統(tǒng)中的業(yè)務(wù)平臺提供安全加固和配置優(yōu)化，同時將其集成到客戶已有的環(huán)境中。業(yè)務(wù)系統(tǒng)安全加固是指通過一定的技術(shù)手段，提高其安全性和抗攻擊能力，通常這些技術(shù)手段，只能為實施這項技術(shù)的這一臺設(shè)備服務(wù)。所提供的安全加固服務(wù)手段有：1基本安全配置檢測和優(yōu)化2帳戶密碼系統(tǒng)安全檢測和增強3文件權(quán)限安全優(yōu)化4應(yīng)用操作日志安全審核與痕跡管理5代碼安全審核6系統(tǒng)日志安全審核與痕跡管理7數(shù)據(jù)庫安全配置8FTP與WEB服務(wù)器安全配置經(jīng)過良好配置的業(yè)務(wù)系統(tǒng)平臺的抗攻擊性和自身安全性有極大的增強。在對其作相應(yīng)的安全配置后，結(jié)合定期的安全評估

16、和維護服務(wù)就使得其保持在一個較高的安全線之上。Windows 2003操作系統(tǒng)加固指南系統(tǒng)信息查看系統(tǒng)版本ver查看SP版本wmic os get ServicePackMajorVersion查看Hotfixwmic qfe get hotfixid,InstalledOn查看主機名hostname查看網(wǎng)絡(luò)配置ipconfig /all查看路由表route print查看開放端口netstat -ano補丁管理補丁安裝操作目的安裝系統(tǒng)補丁，修補漏洞檢查方法遠(yuǎn)程掃描漏洞，或安裝微軟安全基準(zhǔn)分析器Microsoft Baseline Security Analyzer掃描漏洞加固方法手動安裝補丁

17、是否實施備注補丁安裝后可能影響業(yè)務(wù)系統(tǒng)的穩(wěn)定性賬號口令優(yōu)化賬號操作目的減少系統(tǒng)無用賬號，降低風(fēng)險檢查方法開始-運行-（計算機管理）-本地用戶和組，查看是否有不用的賬號，系統(tǒng)賬號所屬組是否正確以及guest賬號是否鎖定加固方法使用“net user 用戶名 /del”命令刪除賬號使用“net user 用戶名 /active:no”命令鎖定賬號是否實施備注口令策略操作目的增強口令的復(fù)雜度及鎖定策略等，降低被暴力破解的可能性檢查方法開始-運行- （本地安全策略）-安全設(shè)置加固方法1，賬戶設(shè)置-密碼策略密碼必須符合復(fù)雜性要求：啟用密碼長度最小值：8個字符密碼最長存留期：90天密碼最短存留期：0天密碼

18、最短存留期：30天強制密碼歷史：1個記住密碼2，賬戶設(shè)置-賬戶鎖定策略復(fù)位帳戶鎖定計數(shù)器：1分鐘帳戶鎖定時間：1分鐘帳戶鎖定閥值：5次無效登錄3，本地策略-安全選項交互式登錄：不顯示上次的用戶名：啟用是否實施備注gpupdate /force立即生效網(wǎng)絡(luò)服務(wù)優(yōu)化服務(wù)操作目的關(guān)閉不需要的服務(wù)，減小風(fēng)險檢查方法開始-運行-加固方法建議將以下服務(wù)停止，并將啟動方式修改為手動：Automatic Updates（不適用自動更新可以關(guān)閉）Background Intelligent Transfer Service（不適用自動更新可以關(guān)閉）DHCP ClientMessengerRemote Regis

19、tryPrint SpoolerServer（不使用文件共享可以關(guān)閉）Simple TCP/IP ServiceSimple Mail Transport Protocol (SMTP)SNMP ServiceTask ScheduleTCP/IP NetBIOS Helper是否實施備注其他不需要的服務(wù)也應(yīng)該關(guān)閉關(guān)閉共享操作目的關(guān)閉默認(rèn)共享檢查方法開始-運行-net share，查看共享加固方法1，關(guān)閉C$，D$等默認(rèn)共享開始-運行-regedit-找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameter

20、s ，新建AutoShareServer（REG_DWORD），鍵值為02，關(guān)閉ADMIN$默認(rèn)共享找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters，新建AutoShareWks（REG_DWORD），鍵值為0是否實施備注網(wǎng)絡(luò)限制操作目的網(wǎng)絡(luò)訪問限制檢查方法開始-運行- -安全設(shè)置-本地策略-安全選項加固方法網(wǎng)絡(luò)訪問: 不允許 SAM 帳戶的匿名枚舉：啟用網(wǎng)絡(luò)訪問: 不允許 SAM 帳戶和共享的匿名枚舉：啟用網(wǎng)絡(luò)訪問: 將 “每個人”權(quán)限應(yīng)用于匿名用戶：禁用帳戶: 使用空白密碼的本地帳戶只允許進(jìn)行控制臺登錄：啟用是否實施備注gpupdate /force立即生效文件系統(tǒng)使用NTFS操作目的增強文件系統(tǒng)安全性檢查方法查看每個系統(tǒng)驅(qū)動器是否使用NTFS文件系統(tǒng)加固方法建議使用NTFS文件系統(tǒng)，轉(zhuǎn)換命令：convert : /fs:ntfs是否實施備注檢查Everyone權(quán)限操作目的增強Everyone權(quán)限檢查方法查看每個系統(tǒng)驅(qū)動器根目錄是否設(shè)置為Everyone有所有權(quán)限加固方法刪除Ever