各類操作系統(tǒng)安全基線配置及操作手冊

1、476/476各類操作系統(tǒng)安全配置要求及操作指南 檢查模塊 支持系統(tǒng)版本號 Windows Windows 2000 以上 Solaris Solaris 8 以上 AIX AIX 5.X以上 HP-UNIX HP-UNIX 11i以上 Linux 內(nèi)核版本 2.6以上 Oracle Oracle 8i以上 SQL Server Microsoft SQL Server 2000 以上 MySQL MySQL 5.x以上 IIS IIS 5.x以上 Apache Apache 2.x 以上 Tomcat Tomcat 5.x以上 WebLogic WebLogic 8.X以上 Windows操

2、作系統(tǒng) 安全配置要求及操作指南 I 目 錄 目 錄 I 前 言 II 1 范圍 1 2 規(guī)范性引用文件 1 3 縮略語 1 4 安全配置要求 2 4.1 賬號 2 4.2 口令 3 4.3 授權(quán) 5 4.4 補丁 7 4.5 防護軟件 8 4.6 防病毒軟件 8 4.7 日志安全要求 9 4.8 不必要的服務(wù) 11 4.9 啟動項 12 4.10 關(guān)閉自動播放功能 13 4.11 共享文件夾 13 4.12 使用 NTFS 文件系統(tǒng) 14 4.13 網(wǎng)絡(luò)訪問 15 4.14 會話超時設(shè)置 16 4.15 注冊表設(shè)置 17 附錄 A：端口及服務(wù) 18 II 前 言 為了在工程驗收、運行維護、安全

3、檢查等環(huán)節(jié)，規(guī)范并落實安全配置要求，編制了一系列的安全配置要求及操作指南，明確了操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用中間件在內(nèi)的通用安全配置要求及參考操作。 該系列安全配置要求及操作指南的結(jié)構(gòu)及名稱可能如下： （1） Windows 操作系統(tǒng)安全配置要求及操作指南 （本規(guī)范） （2） AIX操作系統(tǒng)安全配置要求及操作指南 （3） HP-UX 操作系統(tǒng)安全配置要求及操作指南 （4） Linux操作系統(tǒng)安全配置要求及操作指南 （5） Solaris操作系統(tǒng)安全配置要求及操作指南 （6） MS SQL server數(shù)據(jù)庫安全配置要求及操作指南 （7） MySQL 數(shù)據(jù)庫安全配置要求及操作指南 （8） Oracle

4、數(shù)據(jù)庫安全配置要求及操作指南 （9） Apache安全配置要求及操作指南 （10） IIS安全配置要求及操作指南 （11） Tomcat 安全配置要求及操作指南 （12） WebLogic 安全配置要求及操作指南 1 1 范圍 適用于使用 Windows 操作系統(tǒng)的設(shè)備。在未特不講明的情況下，均適用于所有運行的 Windows 操作系統(tǒng)，包括 Windows 2000、Windows XP、Windows2003, Windows7 , Windows 2008 以及各版本中的 Sever、Professional版本。 本規(guī)范明確了 Windows操作系統(tǒng)在安全配置方面的差不多要求， 適用于

5、所有的安全等級，可作為編制設(shè)備入網(wǎng)測試、安全驗收、安全檢查規(guī)范等文檔的參考。 由于版本不同，配置操作有所不同，本規(guī)范以 Windows 2003 為例，給出參考配置操作。 2 規(guī)范性引用文件 GB/T22239-2008信息安全技術(shù) 信息系統(tǒng)安全等級愛護差不多要求 YD/T 1732-2008固定通信網(wǎng)安全防護要求 YD/T 1734-2008移動通信網(wǎng)安全防護要求 YD/T 1736-2008互聯(lián)網(wǎng)安全防護要求 YD/T 1738-2008增值業(yè)務(wù)網(wǎng)消息網(wǎng)安全防護要求 YD/T 1740-2008增值業(yè)務(wù)網(wǎng)智能網(wǎng)安全防護要求 YD/T 1758-2008非核心生產(chǎn)單元安全防護要求 YD/T

6、1742-2008接入網(wǎng)安全防護要求 YD/T 1744-2008傳送網(wǎng)安全防護要求 YD/T 1746-2008IP 承載網(wǎng)安全防護要求 YD/T 1748-2008信令網(wǎng)安全防護要求 YD/T 1750-2008同步網(wǎng)安全防護要求 YD/T 1752-2008支撐網(wǎng)安全防護要求 YD/T 1756-2008電信網(wǎng)和互聯(lián)網(wǎng)治理安全等級愛護要求 3 縮略語 UDP User Datagram Protocol 用戶數(shù)據(jù)包協(xié)議 TCP Transmission Control Protocol 傳輸操縱協(xié)議 2 NTFS New Technology File System 新技術(shù)文件系統(tǒng) 4

7、安全配置要求 4.1 賬號 編號：1 要求內(nèi)容 應(yīng)按照不同的用戶分配不同的賬號，幸免不同用戶間共享賬號。避免用戶賬號和設(shè)備間通信使用的賬號共享。 操作指南 1、參考配置操作 進入“操縱面板-治理工具-計算機治理” ，在“系統(tǒng)工具-本地用戶和組” ： 依照系統(tǒng)的要求，設(shè)定不同的賬戶和賬戶組。 檢測方法 1、 判定條件 結(jié)合要求和實際業(yè)務(wù)情況推斷符合要求，依照系統(tǒng)的要求，設(shè)定不同的賬戶和賬戶組 2、檢測操作 進入“操縱面板-治理工具-計算機治理” ，在“系統(tǒng)工具-本地用戶和組” ： 查看依照系統(tǒng)的要求，設(shè)定不同的賬戶和賬戶組 編號：2 要求內(nèi)容 應(yīng)刪除與運行、維護等工作無關(guān)的賬號。 操作指南 1參

8、考配置操作 A）可使用用戶治理工具： 開始-運行-compmgmt.msc-本地用戶和組-用戶 B）也能夠通過 net 命令： 刪除賬號： net user account/de1 停用賬號：net user account/active:no 檢測方法 1.判定條件 結(jié)合要求和實際業(yè)務(wù)情況推斷符合要求，刪除或鎖定與設(shè)備運行、維護等與工作無關(guān)的賬號。 3 注：無關(guān)的賬號要緊指測試帳戶、共享帳號、長期不用賬號（半年以上不用）等 2.檢測操作 開始-運行-compmgmt.msc-本地用戶和組-用戶 編號：3 要求內(nèi)容 重命名 Administrator；禁用 guest（來賓）帳號。 操作指南

9、1、參考配置操作 進入“操縱面板-治理工具-計算機治理” ，在“系統(tǒng)工具-本地用戶和組” ： Administrator屬性 更改名稱 Guest 帳號-屬性 已停用 檢測方法 1、判定條件 缺省賬戶 Administrator名稱已更改。 Guest 帳號已停用。 2、檢測操作 進入“操縱面板-治理工具-計算機治理” ，在“系統(tǒng)工具-本地用戶和組” ： 缺省帳戶屬性 更改名稱 Guest 帳號-屬性 已停用 4.2 口令 編號：1 要求內(nèi)容 密碼長度要求：最少 8位 密碼復(fù)雜度要求：至少包含以下四種類不的字符中的三種： z 英語大寫字母 A, B, C, Z z 英語小寫字母 a, b, c

10、, z z 阿拉伯?dāng)?shù)字 0, 1, 2, 9 z 非字母數(shù)字字符，如標(biāo)點符號，, #, $, %, &, *等 4 操作指南 1、參考配置操作 進入“操縱面板-治理工具-本地安全策略” ，在“帳戶策略-密碼策略” ： “密碼必須符合復(fù)雜性要求”選擇“已啟動” 檢測方法 1、判定條件 “密碼必須符合復(fù)雜性要求”選擇“已啟動” 2、檢測操作 進入“操縱面板-治理工具-本地安全策略” ，在“帳戶策略-密碼策略” ： 查看是否“密碼必須符合復(fù)雜性要求”選擇“已啟動” 編號：2 要求內(nèi)容 關(guān)于采納靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，賬戶口令的生存期不長于 90天。 操作指南 1、參考配置操作 進入“操縱面板-治理工

11、具-本地安全策略” ，在“帳戶策略-密碼策略” ： “密碼最長存留期”設(shè)置為“90 天” 檢測方法 1、判定條件 “密碼最長存留期”設(shè)置為“90 天” 2、檢測操作 進入“操縱面板-治理工具-本地安全策略” ，在“帳戶策略-密碼策略” ： 查看是否“密碼最長存留期”設(shè)置為“90 天” 編號：3 要求內(nèi)容 關(guān)于采納靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置設(shè)備，使用戶不能重復(fù)使用最近 5次（含 5 次）內(nèi)已使用的口令。 操作指南 1、參考配置操作 5 進入“操縱面板-治理工具-本地安全策略” ，在“帳戶策略-密碼策略” ： “強制密碼歷史”設(shè)置為“記住 5個密碼” 檢測方法 1、判定條件 “強制密碼歷史”設(shè)

12、置為“記住 5個密碼” 2、檢測操作 進入“操縱面板-治理工具-本地安全策略” ，在“帳戶策略-密碼策略” ： 查看是否“強制密碼歷史”設(shè)置為“記住 5 個密碼” 編號：4 要求內(nèi)容 關(guān)于采納靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過 6 次（不含 6 次） ，鎖定該用戶使用的賬號。 操作指南 1、參考配置操作 進入“操縱面板-治理工具-本地安全策略” ，在“帳戶策略-帳戶鎖定策略” ： “賬戶鎖定閥值”設(shè)置為 6 次 設(shè)置解鎖閥值：30 分鐘 檢測方法 1、判定條件 “賬戶鎖定閥值”設(shè)置為小于或等于 6 次 2、檢測操作 進入“操縱面板-治理工具-本地安全策略” ，在“帳戶策略

13、-帳戶鎖定策略” ： 查看是否“賬戶鎖定閥值”設(shè)置為小于等于 6次 補充講明： 設(shè)置不當(dāng)可能導(dǎo)致賬號大面積鎖定，在域環(huán)境中應(yīng)小心設(shè)置，Administrator 賬號本身可不能被鎖定。 4.3 授權(quán) 編號：1 6 要求內(nèi)容 本地、遠端系統(tǒng)強制關(guān)機只指派給 Administrators 組。 操作指南 1、參考配置操作 進入“操縱面板-治理工具-本地安全策略” ，在“本地策略-用戶權(quán)利指派”: “關(guān)閉系統(tǒng)”設(shè)置為“只指派給 Administrators組” “從遠端系統(tǒng)強制關(guān)機”設(shè)置為“只指派給 Administrators組”檢測方法 1、判定條件 “關(guān)閉系統(tǒng)”設(shè)置為“只指派給 Adminis

14、trators組” “從遠端系統(tǒng)強制關(guān)機”設(shè)置為“只指派給 Administrtors組” 2、檢測操作 進入“操縱面板-治理工具-本地安全策略” ，在“本地策略-用戶權(quán)利指派”: 查看“關(guān)閉系統(tǒng)”設(shè)置為“只指派給 Administrators 組” 查看是否“從遠端系統(tǒng)強制關(guān)機”設(shè)置為“只指派給Administrators 組” 編號：2 要求內(nèi)容 在本地安全設(shè)置中取得文件或其它對象的所有權(quán)僅指派給Administrators。 操作指南 1、參考配置操作 進入“操縱面板-治理工具-本地安全策略” ，在“本地策略-用戶權(quán)利指派” ： “取得文件或其它對象的所有權(quán)”設(shè)置為“只指派給Admini

15、strators 組” 檢測方法 1、判定條件 “取得文件或其它對象的所有權(quán)”設(shè)置為“只指派給Administrators 組” 2、檢測操作 進入“操縱面板-治理工具-本地安全策略” ，在“本地策略-用 7 戶權(quán)利指派” ： 查看是否“取得文件或其它對象的所有權(quán)”設(shè)置為“只指派給Administrators 組” 編號：3 要求內(nèi)容 在本地安全設(shè)置中只同意授權(quán)帳號本地、遠程訪問登陸此計算機。操作指南 1、參考配置操作 進入“操縱面板-治理工具-本地安全策略” ，在“本地策略-用戶權(quán)利指派” “從本地登陸此計算機”設(shè)置為“指定授權(quán)用戶” “從網(wǎng)絡(luò)訪問此計算機”設(shè)置為“指定授權(quán)用戶” 檢測方法

16、1、判定條件 “從本地登陸此計算機”設(shè)置為“指定授權(quán)用戶” “從網(wǎng)絡(luò)訪問此計算機”設(shè)置為“指定授權(quán)用戶” 2、檢測操作 進入“操縱面板-治理工具-本地安全策略” ，在“本地策略-用戶權(quán)利指派” 查看是否“從本地登陸此計算機”設(shè)置為“指定授權(quán)用戶” 查看是否“從網(wǎng)絡(luò)訪問此計算機”設(shè)置為“指定授權(quán)用戶” 4.4 補丁 編號：1 要求內(nèi)容 在不阻礙業(yè)務(wù)的情況下，應(yīng)安裝最新的 Service Pack 補丁集。對服務(wù)器系統(tǒng)應(yīng)先進行兼容性測試。 操作指南 1、參考配置操作 安裝最新的 Service Pack補丁集。 例如截止到 2010 年最新版本： Windows XP 的 Service Pack

17、 為 SP3。Windows2000 的 Service Pack為 SP4,Windows 2003的 Service Pack 為 SP2 檢測方法 1、判定條件 8 2、檢測操作 進入操縱面板-添加或刪除程序-顯示更新打鉤，查看是否 XP 系統(tǒng)已安裝SP3， Win2000系統(tǒng)已安裝SP4， Win2003系統(tǒng)已安裝SP2。4.5 防護軟件 編號：1 要求內(nèi)容 啟用自帶防火墻或安裝第三方威脅防護軟件。依照業(yè)務(wù)需要限定允許訪問網(wǎng)絡(luò)的應(yīng)用程序，和同意遠程登陸該設(shè)備的 IP地址范圍。操作指南 1、參考配置操作（以啟動自帶防火墻為例） 進入“操縱面板網(wǎng)絡(luò)連接本地連接” ，在高級選項的設(shè)置中啟用

18、Windows 防火墻。 在“例外”中配置同意業(yè)務(wù)所需的程序接入網(wǎng)絡(luò)。 在“例外-編輯-更改范圍”編輯同意接入的網(wǎng)絡(luò)地址范圍。 講明：分為服務(wù)器和操作終端兩種情況： 服務(wù)器該項為可選，操作終端該項為必選 檢測方法 1、判定條件 啟用 Windows 防火墻。 “例外”中同意接入網(wǎng)絡(luò)的程序均為業(yè)務(wù)所需。 2、檢測操作 進入“操縱面板網(wǎng)絡(luò)連接本地連接” ，在高級選項的設(shè)置中，查看是否啟用 Windows 防火墻。 查看是否在“例外”中配置同意業(yè)務(wù)所需的程序接入網(wǎng)絡(luò)。 查看是否在“例外-編輯-更改范圍”編輯同意接入的網(wǎng)絡(luò)地址范圍。 4.6 防病毒軟件 編號：1 要求內(nèi)容 安裝防病毒軟件，并及時更新。

19、 操作指南 1、參考配置操作 9 安裝防病毒軟件，并及時更新。 檢測方法 1、判定條件 已安裝防病毒軟件，病毒碼更新時刻不早于 1個月，各系統(tǒng)病毒碼升級時刻要求參見各系統(tǒng)相關(guān)規(guī)定。 注：關(guān)于操作終端該項為必選項，關(guān)于服務(wù)器該項為可選項 2、檢測操作 操縱面板-添加或刪除程序，是否安裝有防病毒軟件。打開防病毒軟件操縱面板，查看病毒碼更新日期。 4.7 日志安全要求 編號：1 要求內(nèi)容 設(shè)備應(yīng)配置日志功能，對用戶登錄進行記錄，記錄內(nèi)容包括用戶登錄使用的賬號，登錄是否成功，登錄時刻，以及遠程登錄時，用戶使用的 IP地址。 操作指南 1、參考配置操作 開始-運行- 執(zhí)行“ 操縱面板-治理工具-本地安全

20、策略-審核策略” 審核登錄事件，雙擊，設(shè)置為成功和失敗都審核。 檢測方法 1、判定條件 審核登錄事件，設(shè)置為成功和失敗都審核。 2、檢測操作 開始-運行- 執(zhí)行“ 操縱面板-治理工具-本地安全策略-審核策略” 審核登錄事件，雙擊，查看是否設(shè)置為成功和失敗都審核。 編號：2 要求內(nèi)容 開啟審核策略，以便出現(xiàn)安全問題后進行追查 操作指南 1、參考配置操作 對審核策略進行檢查： 10 開始-運行-gpedit.msc 計算機配置-Windows 設(shè)置-安全設(shè)置-本地策略-審核策略 以下審核是必須開啟的，其他的能夠依照需要增加： y 審核系統(tǒng)登陸事件 成功，失敗 y 審核帳戶治理 成功，失敗 y 審核

21、登陸事件 成功，失敗 y 審核對象訪問 成功 y 審核策略更改 成功，失敗 y 審核特權(quán)使用 成功，失敗 y 審核系統(tǒng)事件 成功，失敗 2、補充講明 可能會使日志量猛增 檢測方法 1、判定條件 嘗試對被添加了訪問審核的對象進行訪問，然后查看安全日志中是否會有相關(guān)記錄，或通過其他手段激化以配置的審核策略，并觀看日志中的記錄情況，假如存在記錄條目，則配置成功。 2、檢測操作 編號：3 要求內(nèi)容 設(shè)置日志容量和覆蓋規(guī)則，保證日志存儲 操作指南 1、參考配置操作 開始-運行-eventvwr 右鍵選擇日志，屬性，依照實際需求設(shè)置： 日志文件大?。嚎梢勒招枰贫?超過上限時的處理方式（建議日志記錄天數(shù)不

22、小于 90天） 2、 補充講明 建議對每個日志均進行如上操作，同時應(yīng)保證磁盤空間 檢測方法 1、判定條件 2、檢測操作 11 開始-運行-eventvwr，右鍵選擇日志，屬性，查看日志上限及超過上線時的處理方式 4.8 不必要的服務(wù)、端口 編號：1 要求內(nèi)容 關(guān)閉不必要的服務(wù) 操作指南 1、參考配置操作 進入“操縱面板-治理工具-計算機治理” ，進入“服務(wù)和應(yīng)用程序” ： 可依照具體應(yīng)用情況參考附錄 A，篩選不必要的服務(wù)。 檢測方法 1、判定條件 系統(tǒng)治理員應(yīng)出具系統(tǒng)所必要的服務(wù)列表。 查看所有服務(wù)，不在此列表的服務(wù)需關(guān)閉。 2、檢測操作 進入“操縱面板-治理工具-計算機治理” ，進入“服務(wù)和

23、應(yīng)用程序” ： 查看所有服務(wù)，不在此列表的服務(wù)是否已關(guān)閉。 編號： 2 要求內(nèi)容 如需啟用SNMP服務(wù)， 則修改默認(rèn)的SNMP Community String設(shè)置。操作指南 1、參考配置操作 打開“操縱面板”，打開“治理工具”中的“服務(wù)”，找到“SNMP Service”，單擊右鍵打開“屬性”面板中的“安全”選項卡，在那個配置界面中，能夠修改 community strings，也確實是微軟所講的“團體名稱”。 檢測方法 1、判定條件 community strings已改，不是默認(rèn)的“public” 2、檢測操作 打開“操縱面板”，打開“治理工具”中的“服務(wù)”，找到“SNMP 12 Ser

24、vice”，單擊右鍵打開“屬性”面板中的“安全”選項卡，在那個配置界面中，查看 community strings，也確實是微軟所講的“團體名稱”。 編號： 3 要求內(nèi)容 如對互聯(lián)網(wǎng)開放 WindowsTerminial 服務(wù)(Remote Desktop)，需修改默認(rèn)服務(wù)端口。 操作指南 1、參考配置操作 開始-運行 Regedt32 并轉(zhuǎn)到此項: HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp 找到 “PortNumber” 子項， 會看到默認(rèn)值 00000D3D， 它是 3

25、389 的十六進制表示形式。使用十六進制數(shù)值修改此端口號，并保存新值。 檢測方法 1、判定條件 找到“PortNumber”子項，設(shè)定值非 00000D3D，即十進制 3389 2、檢測操作 運行 Regedt32 ,找到此項并推斷。 4.9 啟動項 要求內(nèi)容 關(guān)閉無效啟動項 操作指南 1、參考配置操作 “開始-運行-MSconfig”啟動菜單中，取消不必要的啟動項。 檢測方法 1、判定條件 2、檢測操作 系統(tǒng)治理員提供業(yè)務(wù)必須的自動加載進程和服務(wù)列表文檔。 查看“開始-運行-MSconfig”啟動菜單： 不需要的自動加載進程是否已禁用和取消。 13 4.10 關(guān)閉自動播放功能 編號：1 要求

26、內(nèi)容 關(guān)閉 Windows自動播放功能 操作指南 1、參考配置操作 開始運行g(shù)pedit.msc，打開組策略編輯器，掃瞄到計算機配置治理模板系統(tǒng)，在右邊窗格中雙擊“關(guān)閉自動播放”，對話框中選擇所有驅(qū)動器，確定即可。 檢測方法 1、判定條件 所有驅(qū)動器均“關(guān)閉自動播放” 2、檢測操作 “關(guān)閉自動播放”配置已啟用，啟用范圍：所有驅(qū)動器。 4.11 共享文件夾 編號：1 要求內(nèi)容 在非域環(huán)境下，關(guān)閉 Windows 硬盤默認(rèn)共享，例如 C$，D$。 操作指南 1、參考配置操作 進入“開始運行Regedit” ，進入注冊表編輯器，更改注冊表鍵值： HKLMSystemCurrentControlSet

27、ServicesLanmanServerParameters下，增加 REG_DWORD 類型的 AutoShareServer 鍵，值為 0。 檢測方法 1、判定條件 HKLMSystemCurrentControlSet ServicesLanmanServerParameters增加了 REG_DWORD 類型的AutoShareServer 鍵，值為 0。 2、檢測操作 進入“開始運行Regedit” ，進入注冊表編輯器，更改注冊表鍵值： 14 HKLMSystemCurrentControlSetServicesLanmanServerParameters，增加 REG_DWORD類

28、型的 AutoShareServer 鍵，值為 0。 編號：2 要求內(nèi)容 設(shè)置共享文件夾的訪問權(quán)限，只同意授權(quán)的賬戶擁有權(quán)限共享此文件夾。 操作指南 1、參考配置操作 進入“操縱面板-治理工具-計算機治理” ，進入“系統(tǒng)工具共享文件夾” ： 查看每個共享文件夾的共享權(quán)限，只將權(quán)限授權(quán)于指定賬戶。 檢測方法 1、判定條件 查看每個共享文件夾的共享權(quán)限僅限于業(yè)務(wù)需要，不設(shè)置成為“everyone” 。 2、檢測操作 進入“操縱面板-治理工具-計算機治理” ，進入“系統(tǒng)工具共享文件夾” ： 查看每個共享文件夾的共享權(quán)限。 4.12 使用NTFS文件系統(tǒng) 要求內(nèi)容 在不毀壞數(shù)據(jù)的情況下，將分區(qū)改為格式

29、 操作指南 1、參考配置操作 將 FAT 卷轉(zhuǎn)換成 NTFS 分區(qū) CONVERT volume /FS:NTFS/V /CvtArea:filename/NoSecurity /X Vo l ume 指定驅(qū)動器號（后面加一個冒號） 、裝載點或卷名 /FS:NTFS 指定要被轉(zhuǎn)換成 NTFS 的卷 /V 指定 CONVERT 應(yīng)該用詳述模式運行 /CvtArea:filename 將根目錄中的一個接續(xù)文件指定為NTFS系統(tǒng)文件的占位符 15 /NoSecurity 指定每個人都能夠訪問轉(zhuǎn)換的文件和目錄的安全設(shè)置 /X 假如必要，先強行卸載卷，有打開的句柄則無效 例如： Covert C：/FS

30、:NTFS 備注： 1、新上線系統(tǒng)必須要求 NTFS 分區(qū)，已上線系統(tǒng)在不損壞數(shù)據(jù)的情況下應(yīng)用 2、在有其他非 WIN系統(tǒng)訪問、存在數(shù)據(jù)共享的情況下，不建議將分區(qū)改為格式 檢測方法 1、判定條件 2、檢測操作 4.13 網(wǎng)絡(luò)訪問 編號：1 要求內(nèi)容 禁用匿名訪問命名管道和共享 16 操作指南 1、參考配置操作 “操縱面板-治理工具-本地安全策略” ，在“本地策略-安全選項”:網(wǎng)絡(luò)訪問：可匿名訪問的共享設(shè)置為全部刪除 “操縱面板-治理工具-本地安全策略” ，在“本地策略-安全選項”:網(wǎng)絡(luò)訪問：可匿名訪問的命名管道 設(shè)置為全部刪除 檢測方法 1、判定條件 全部刪除匿名訪問命名管道和共享 2、 檢測

31、操作 查看“操縱面板-治理工具-本地安全策略” ，在“本地策略-安全選項”:網(wǎng)絡(luò)訪問：可匿名訪問的共享、可匿名訪問的命名管道是否設(shè)置為全部刪除 編號：2 要求內(nèi)容 禁用可遠程訪問的注冊表路徑和子路徑 操作指南 1、參考配置操作 “操縱面板-治理工具-本地安全策略” ，在“本地策略-安全選項”:網(wǎng)絡(luò)訪問：可遠程訪問的注冊表路徑 設(shè)置為全部刪除 “操縱面板-治理工具-本地安全策略” ，在“本地策略-安全選項”:網(wǎng)絡(luò)訪問：可遠程訪問的注冊表路徑和子路徑 設(shè)置為全部刪除 檢測方法 1、判定條件 全部刪除可遠程訪問的注冊表路徑和子路徑 3、 檢測操作 查看“操縱面板-治理工具-本地安全策略” ，在“本地

32、策略-安全選項”:網(wǎng)絡(luò)訪問中，查看，可遠程訪問的注冊表路徑、可遠程訪問的注冊表路徑和子路徑是否設(shè)置為全部刪除 4.14 會話超時設(shè)置 編號：1 17 要求內(nèi)容 關(guān)于遠程登錄的賬戶，設(shè)置不活動所連接時刻 15 分鐘 操作指南 1、參考配置操作 進入“操縱面板治理工具本地安全策略” ，在“安全策略安全選項” ： “Microsoft 網(wǎng)絡(luò)服務(wù)器”設(shè)置為“在掛起會話之前所需的空閑時刻”為 15 分鐘 檢測方法 1、判定條件 “Microsoft 網(wǎng)絡(luò)服務(wù)器”設(shè)置為“在掛起會話之前所需的空閑時間”為 15 分鐘 2、檢測操作 進入“操縱面板治理工具本地安全策略” ，在“安全策略安全選項” ：查看“Mi

33、crosoft 網(wǎng)絡(luò)服務(wù)器”設(shè)置 4.15 注冊表設(shè)置 編號：1 要求內(nèi)容 在不阻礙系統(tǒng)穩(wěn)定運行的前提下，對注冊表信息進行更新。 操作指南 1、參考配置操作 y 自動登錄： HKLMSoftwareMicrosoftWindowsNT CurrentVersionWinlogonAutoAdminLogon (REG_DWORD) 0 y 源路由欺騙愛護： HKLMSystemCurrentControlSet ServicesTcpipParametersDisableIPSourceRouting (REG_DWORD) 2 y 刪除匿名用戶空鏈接 HKEY_LOCAL_MACHINE S

34、YSTEMCurrentControlSetControlLsa 將 restrictanonymous 的值設(shè)置為 1，若該值不存在，能夠自己創(chuàng)建，類型為 REG_DWORD 修改完成后重新啟動系統(tǒng)生效 y 碎片攻擊愛護： HKLMSystemCurrentControlSet 18 ServicesTcpipParametersEnablePMTUDiscovery (REG_DWORD) 1 y Syn flood 攻擊愛護： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下，可設(shè)置： TcpMaxPortsExhausted。推舉

35、值：5。 TcpMaxHalfOpen。推舉值數(shù)據(jù)：500。 TcpMaxHalfOpenRetried。推舉值數(shù)據(jù)：400 檢測方法 1、判定條件 2、檢測操作 點擊開始-運行，然后在打開行里輸入 regedit，然后單擊確定，查看相關(guān)注冊表項進行查看； 使用空連接掃描工具無法遠程枚舉用戶名和用戶組 附錄 A：端口及服務(wù) 服務(wù)名稱 端口 服務(wù)講明 關(guān)閉方法 處置建議 系統(tǒng)服務(wù)部分 echo 7/TCP RFC862_回聲協(xié)議 關(guān)閉Simple TCP/IP Services服務(wù)。 建議關(guān)閉 echo 7/UDP RFC862_回聲協(xié)議 discard 9/UDP RFC863 廢除協(xié)議 di

36、scard 9/TCP RFC863 廢除協(xié)議 daytime 13/UDP RFC867 白天協(xié)議 daytime 13/TCP RFC867 白天協(xié)議 qotd 17/TCP RFC865 白天協(xié)議的引用 qotd 17/UDP RFC865 白天協(xié)議的引用 chargen 19/TCP RFC864 字符產(chǎn)生協(xié)議 19 chargen 19/UDP RFC864 字符產(chǎn)生協(xié)議 ftp 21/TCP 文件傳輸協(xié)議(操縱) 關(guān)閉FTP Publishing Service服務(wù)。 依照情況選擇開放 smtp 25/TCP 簡單郵件發(fā)送協(xié)議 關(guān)閉Simple Mail Transport Pro

37、tocol服務(wù)。 建議關(guān)閉 nameserver 42/TCP WINS 主機名服務(wù) 關(guān)閉Windows Internet Name Service服務(wù)。 建議關(guān)閉 42/UDP domain 53/UDP 域名服務(wù)器 關(guān)閉DNS Server服務(wù)。 依照情況選擇開放 53/TCP 依照情況選擇開放 dhcps 67/UDP DHCP 服務(wù)器/Internet 連接共享 關(guān)閉Simple TCP/IP Services服務(wù)。 建議關(guān)閉 dhcpc 68/UDP DHCP協(xié)議客戶端 關(guān)閉DHCP Client服務(wù)。 建議關(guān)閉 http 80/TCP HTTP 萬維網(wǎng)公布服務(wù) 關(guān)閉World Wi

38、de Web Publishing Service服務(wù)。 依照情況選擇開放 epmap 135/TCP RPC服務(wù) 系統(tǒng)差不多服務(wù) 無法關(guān)閉 135/UDP 無法關(guān)閉 netbios-ns 137/UDP NetBIOS 名稱解析 在網(wǎng)卡的 TCP/IP選項中WINS頁勾選禁用 TCP/IP上的NETBIOS 依照情況選擇開放 netbios-dgm 138/UDP NetBIOS 數(shù)據(jù)報服務(wù) 依照情況選擇開放 netbios-ssn 139/TCP NetBIOS 會話服務(wù) 系統(tǒng)差不多服務(wù) 無法關(guān)閉 snmp 161/UDP SNMP 服務(wù) 關(guān)閉SNMP 服務(wù) 依照情況選擇開放 https

39、443/TCP 安全超文本傳輸協(xié)議 關(guān)閉World Wide Web Publishing Service服務(wù) 依照情況選擇開放 20 microsoft-ds 445/UDP SMB 服務(wù)器 運行regedit，打開HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNetBTParameters 添加名為SMBDeviceEnabled的子鍵，類型dword，值為0 重新啟動計算機 依照情況選擇開放 445/TCP isakmp 500/UDP IPSec ISAKMP 本地安全機構(gòu) 關(guān)閉IPSEC Policy Agent服務(wù) 專門少使用的服

40、務(wù)，如不使用ipsec，建議關(guān)閉 RADIUS 1645/UDP 舊式 RADIUS Internet 身份驗證服務(wù) 關(guān)閉Remote Access Connection Manager服務(wù) 建議關(guān)閉 RADIUS 1646/UDP 舊式 RADIUS Internet 身份驗證服務(wù) 建議關(guān)閉 radius 1812/UDP 身份驗證 Internet 身份驗證服務(wù) 建議關(guān)閉 radacct 1813/UDP 計帳 Internet 身份驗證服務(wù) 建議關(guān)閉 MSMQ-RPC 2105/TCP MSMQ-RPC 消息隊列 關(guān)閉Message Queuing服務(wù)。 建議關(guān)閉 Termsrv 338

41、9/TCP 終端服務(wù) 關(guān)閉Terminal Services服務(wù)。 依照情況選擇開放 其他常用服務(wù) Apache 80/TCP 8000/TCP Apache HTTP 服務(wù)器 關(guān)閉Apache2服務(wù)。 依照情況選擇開放 ms-sql-s 1433/TCP 1434/UDP 微軟公司數(shù)據(jù)庫 關(guān)閉MSSQLServer服務(wù)。 依照情況選擇開放 ORACLE 1521/TCP 甲骨文公司數(shù)據(jù)庫 關(guān)閉OracleOraHome90TNSListener服務(wù)。 依照情況選擇開放 21 remote administrator 4899/TCP Famatech公司遠程控制軟件 關(guān)閉Remote Adm

42、inistrator Service 服務(wù)。 依照情況選擇開放 sybase 5000/TCP Sybase公司數(shù)據(jù)庫 關(guān)閉Sybase SQLServer字樣開始的服務(wù)。 依照情況選擇開放 pcAnywhere 5631/TCP 5632/UDP Symantec公司遠程控制軟件 關(guān)閉pcAnywhere Host Service字樣開始的服務(wù)。 依照情況選擇開放 AIX操作系統(tǒng) 安全配置要求及操作指南 xxxx 公布 I 目 錄 目 錄 I 前 言 II 1 范圍 1 2 規(guī)范性引用文件 1 3 縮略語 1 4 安全配置要求 1 4.1 帳號 2 4.2 口令 5 4.3 授權(quán) 7 4.4

43、 補丁 10 4.5 日志 10 4.6 不必要的服務(wù)、端口 12 4.7 文件與目錄權(quán)限 13 4.8 系統(tǒng) Banner設(shè)置 14 4.9 登陸超時時刻設(shè)置 15 4.10 內(nèi)核調(diào)整設(shè)置 15 4.11 SSH 加密協(xié)議 16 4.12 FTP設(shè)置 18 附錄 A：端口及服務(wù) 18 II 前 言 為了在工程驗收、運行維護、安全檢查等環(huán)節(jié)，規(guī)范并落實安全配置要求，編制了一系列的安全配置要求及操作指南，明確了操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用中間件在內(nèi)的通用安全配置要求及參考操作。 該系列安全配置要求及操作指南的結(jié)構(gòu)及名稱可能如下： （1） Windows 操作系統(tǒng)安全配置要求及操作指南 （2） AIX操

44、作系統(tǒng)安全配置要求及操作指南 （本規(guī)范） （3） HP-UX 操作系統(tǒng)安全配置要求及操作指南 （4） Linux操作系統(tǒng)安全配置要求及操作指南 （5） Solaris操作系統(tǒng)安全配置要求及操作指南 （6） MS SQL server數(shù)據(jù)庫安全配置要求及操作指南 （7） MySQL 數(shù)據(jù)庫安全配置要求及操作指南 （8） Oracle數(shù)據(jù)庫安全配置要求及操作指南 （9） Apache安全配置要求及操作指南 （10） IIS安全配置要求及操作指南 （11） Tomcat 安全配置要求及操作指南 （12） WebLogic 安全配置要求及操作指南 1 1 范圍 適用于使用 AIX 操作系統(tǒng)的設(shè)備。本規(guī)

45、范明確了安全配置的差不多要求，可作為編制設(shè)備入網(wǎng)測試、安全驗收、安全檢查規(guī)范等文檔的參考。 由于版本不同，配置操作有所不同，本規(guī)范以 AIX 5.X 為例，給出參考配置操作。 2 規(guī)范性引用文件 GB/T22239-2008信息安全技術(shù) 信息系統(tǒng)安全等級愛護差不多要求 YD/T 1732-2008固定通信網(wǎng)安全防護要求 YD/T 1734-2008移動通信網(wǎng)安全防護要求 YD/T 1736-2008互聯(lián)網(wǎng)安全防護要求 YD/T 1738-2008增值業(yè)務(wù)網(wǎng)消息網(wǎng)安全防護要求 YD/T 1740-2008增值業(yè)務(wù)網(wǎng)智能網(wǎng)安全防護要求 YD/T 1758-2008非核心生產(chǎn)單元安全防護要求 YD/

46、T 1742-2008接入網(wǎng)安全防護要求 YD/T 1744-2008傳送網(wǎng)安全防護要求 YD/T 1746-2008IP 承載網(wǎng)安全防護要求 YD/T 1748-2008信令網(wǎng)安全防護要求 YD/T 1750-2008同步網(wǎng)安全防護要求 YD/T 1752-2008支撐網(wǎng)安全防護要求 YD/T 1756-2008電信網(wǎng)和互聯(lián)網(wǎng)治理安全等級愛護要求 3 縮略語 SSH Secure Shell Protocol 安全外殼協(xié)議 FTP File Transfer Protocol 文件傳輸協(xié)議 UDP User Datagram Protocol 用戶數(shù)據(jù)包協(xié)議 TCP Transmission

47、 Control Protocol 傳輸操縱協(xié)議 4 安全配置要求 2 4.1 帳號 編號： 1 要求內(nèi)容 應(yīng)按照不同的用戶分配不同的賬號。 操作指南 1、參考配置操作 為用戶創(chuàng)建賬號： #useradd username #創(chuàng)建賬號 #passwd username #設(shè)置密碼 修改權(quán)限： #chmod 750 directory #其中 750 為設(shè)置的權(quán)限，可依照實際情況設(shè)置相應(yīng)的權(quán)限，directory是要更改權(quán)限的目錄) 使用該命令為不同的用戶分配不同的賬號，設(shè)置不同的口令及權(quán)限信息等。 2、補充操作講明 檢測方法 1、判定條件 能夠登錄成功同時能夠進行常用操作； 2、檢測操作 使用

48、不同的賬號進行登錄并進行一些常用操作； 3、補充講明 編號： 2 要求內(nèi)容 應(yīng)刪除或鎖定與設(shè)備運行、維護等工作無關(guān)的賬號。 操作指南 1、參考配置操作 刪除用戶：#userdel username; 鎖定用戶： 1)修改/etc/shadow文件，用戶名后加*LK* 2)將/etc/passwd 文件中的shell 域設(shè)置成/bin/false 3)#passwd -l username 只有具備超級用戶權(quán)限的使用者方可使用，#passwd -l username 鎖定用戶,用#passwd d username 解鎖后原有密碼失效，登錄需輸入新密碼，修改/etc/shadow能保留原有密碼。

49、 2、補充操作講明 需要鎖定的用戶：listen,gdm,webservd,nobody,nobody4、noaccess。檢測方法 1、判定條件 被刪除或鎖定的賬號無法登錄成功； 2、檢測操作 使用刪除或鎖定的與工作無關(guān)的賬號登錄系統(tǒng)； 3、補充講明 需要鎖定的用戶：listen,gdm,webservd,nobody,nobody4、noaccess。解鎖時刻：15 分鐘 3 編號： 3 要求內(nèi)容 限制具備超級治理員權(quán)限的用戶遠程登錄。 需要遠程執(zhí)行治理員權(quán)限操作，應(yīng)先以一般權(quán)限用戶遠程登錄后，再切換到超級治理員權(quán)限賬號后執(zhí)行相應(yīng)操作。 操作指南 1、 參考配置操作 編輯/etc/secu

50、rity/user，加上： 在 root 項上輸入 false 作為 rlogin 的值 此項只能限制 root 用戶遠程使用 telnet 登錄。用 ssh 登錄，修改此項可不能看到效果的 2、補充操作講明 假如限制 root 從遠程 ssh 登錄，修改/etc/ssh/sshd_config 文件，將PermitRootLogin yes改為PermitRootLogin no，重啟sshd 服務(wù)。 檢測方法 1、判定條件 root 遠程登錄不成功，提示“沒有權(quán)限” ； 一般用戶能夠登錄成功，而且能夠切換到 root用戶； 2、檢測操作 root 從遠程使用 telnet 登錄； 一般用戶

51、從遠程使用 telnet 登錄； root 從遠程使用 ssh 登錄； 一般用戶從遠程使用 ssh登錄； 3、補充講明 限制 root 從遠程 ssh 登錄，修改/etc/ssh/sshd_config 文件，將PermitRootLogin yes改為PermitRootLogin no，重啟sshd 服務(wù)。 編號：4 要求內(nèi)容 關(guān)于使用 IP 協(xié)議進行遠程維護的設(shè)備，設(shè)備應(yīng)配置使用 SSH 等加密協(xié)議，并安全配置 SSHD的設(shè)置。 操作指南 1、參考配置操作 把如下 shell保存后，運行，會修改 ssh 的安全設(shè)置項： unalias cp rm mv case find /usr /e

52、tc -type f | grep -c ssh_config$ in 0) echo Cannot find ssh_config ; 1) DIR=find /usr /etc -type f 2/dev/null | grep ssh_config$ | sed -e s:/ssh_config: cd $DIR cp ssh_config ssh_config.tmp awk /#? *Protocol/ print Protocol 2; next ; print ssh_config.tmp ssh_config if grep -El Protocol ssh_config =

53、; then echo Protocol 2 ssh_config fi 4 rm ssh_config.tmp chmod 600 ssh_config ; *) echo You have multiple sshd_config files. Resolve echo before continuing. ; esac #也能夠手動編輯 ssh_config，在 Host *后輸入 Protocol 2， cd $DIR cp sshd_config sshd_config.tmp awk /#? *Protocol/ print Protocol 2; next ; /#? *X11F

54、orwarding/ print X11Forwarding yes; next ; /#? *IgnoreRhosts/ print IgnoreRhosts yes; next ; /#? *RhostsAuthentication/ print RhostsAuthentication no; next ; /#? *RhostsRSAAuthentication/ print RhostsRSAAuthentication no; next ; /#? *HostbasedAuthentication/ print HostbasedAuthentication no; next ;

55、/#? *PermitRootLogin/ print PermitRootLogin no; next ; /#? *PermitEmptyPasswords/ print PermitEmptyPasswords no; next ; /#? *Banner/ print Banner /etc/motd; next ; print sshd_config.tmp sshd_config rm sshd_config.tmp chmod 600 sshd_config Protocol 2 #使用 ssh2 版本 X11Forwarding yes #同意窗口圖形傳輸使用 ssh 加密 I

56、gnoreRhosts yes#完全禁止 SSHD 使用.rhosts 文件 RhostsAuthentication no #不設(shè)置使用基于 rhosts的安全驗證 RhostsRSAAuthentication no #不設(shè)置使用 RSA算法的基于rhosts 的安全驗證 HostbasedAuthentication no #不同意基于主機白名單方式認(rèn)證 PermitRootLogin no #不同意 root 登錄 PermitEmptyPasswords no #不同意空密碼 Banner /etc/motd #設(shè)置 ssh 登錄時顯示的 banner 2、補充操作講明 5 查看 S

57、SH服務(wù)狀態(tài)： # ps elf|grep ssh 檢測方法 1、 判定條件 # ps elf|grep ssh 是否有 ssh 進程存在 2、檢測操作 查看 SSH服務(wù)狀態(tài)： # ps elf|grep ssh 查看 telnet 服務(wù)狀態(tài)： # ps elf|grep telnet 4.2 口令 編號：1 要求內(nèi)容 關(guān)于采納靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令長度至少 8 位，并包括數(shù)字、小寫字母、大寫字母和專門符號 4 類中至少 3 類。 操作指南 1、參考配置操作 chsec -f /etc/security/user -s default -a minlen=8 chsec -f /etc/

58、security/user -s default -a minalpha=1 chsec -f /etc/security/user -s default -a mindiff=1 chsec -f /etc/security/user -s default -a minother=1 chsec f /etc/security/user s default -a pwdwarntime=5 minlen=8 #密碼長度最少 8 位 minalpha=1 #包含的字母最少 1 個 mindiff=1 #包含的唯一字符最少 1 個 minother=1#包含的非字母最少 1 個 pwdwarnt

59、ime=5 #系統(tǒng)在密碼過期前 5 天發(fā)出修改密碼的警告信息給用戶 2、補充操作講明 檢測方法 1、判定條件 不符合密碼強度的時候，系統(tǒng)對口令強度要求進行提示； 符合密碼強度的時候，能夠成功設(shè)置； 2、檢測操作 1、檢查口令強度配置選項是否能夠進行如下配置： i. 配置口令的最小長度； ii. 將口令配置為強口令。 2、創(chuàng)建一個一般賬號，為用戶配置與用戶名相同的口令、只包含字符或數(shù)字的簡單口令以及長度短于 8 位的口令，查看系統(tǒng)是否對 6 口令強度要求進行提示；輸入帶有專門符號的復(fù)雜口令、一般復(fù)雜口令，查看系統(tǒng)是否能夠成功設(shè)置。 編號： 2 要求內(nèi)容 關(guān)于采納靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，帳戶口令的

60、生存期不長于 90天。 操作指南 1、 參考配置操作 方法一： chsec -f /etc/security/user -s default -a histexpire=13 方法二： 用 vi 或其他文本編輯工具修改 chsec -f /etc/security/user 文件如下值： histexpire=13 histexpire=13 #密碼可重復(fù)使用的星期為 13 周（91天） 2、補充操作講明 檢測方法 1、判定條件 密碼過期后登錄不成功； 2、檢測操作 使用超過 90天的帳戶口令登錄會提示密碼過期； 編號： 3 要求內(nèi)容 關(guān)于采納靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置設(shè)備，使用戶不能重復(fù)