Windows系统安全检查项.xls

检检查查项项检检查查子子项项检检查查内内容容问问题题带带来来的的风风险险整整改改建建议议整整改改结结果果WindowsWindows系系统统安安全全检检查查项项安全管理用户管理系统默认帐户和用户名进行改名，密码符合长度要求；恶意分子利用默认帐号暴力破解。常见的暴力破解办法就是利用大多数管理员安全意识疏忽采用默认管理员帐号。运用黑客工具可暴力破解管理员帐号的密码。进入“控制面板-管理工具-计算机管理本地用户和组”，在“用户”中，选择默认管理员，点右键，选择“重命名”。命名长度必须是8位以上。合理规划帐户的权限，帐户的分配基于最小权限原则；多余权限会被黑客利用。1，在“开始”“运行”，输入gpedit.msc，打开组策略管理器2，在组策略管理中，依次打开“计算机配置”-“Windows设置”“安全设置”“本地策略”“用户权限指派”。3，在“用户权限指派”中，根据你的实际情况，对每个用户指定最适当的权利。用户和帐户集中统一管理，专人负责发放和回收；不规范的帐号发放会让管理出现混乱和让黑客有机可寻。进入“控制面板-管理工具-计算机管理本地用户和组”，根据需要管理帐户。当用户连续认证失败次数超过3次，锁定该用户使用的账号。会给暴力破解带来机会。进入“控制面板-管理工具-本地安全策略”，在“帐户策略-帐户锁定策略”：查看是否“账户锁定阀值”设置为小于等于 3次，“帐户锁定时间”设置为20分钟，“复位帐户锁定计数器”设置为20分钟以后。注册表安全禁止网络默认共享，禁止枚举域内用户利用这些开放的共享信息，恶意人员通过这些可以获得系统信息，并通过IPC$枚举域内用户。禁用netbios服务防范SYN攻击会被黑客使用SYN碎片和DDOS攻击。在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters下，修改SynAttackProtect的值为2。并添加以下数据EnablePMTUDiscovery REG_DWORD 0NoNameReleaseOnDemand REG_DWORD1EnableDeadGWDetect REG_DWORD 0KeepAliveTime REG_DWORD 300,000数据备份将数据备份到文件或磁带，备份系统状态检查防止硬件故障导致数据无法使用。定期检查备份系统的状态。计划使用增量和完全备份结合，良好控制备份的可还原性；防止硬件故障导致数据无法使用。定期备份数据。漏洞与补丁定期安装补丁和安全更新，包括系统、组件、应用程序的更新；黑客会利用WINDOWS漏洞对系统进行攻击。定期更新补丁。定期检查补丁安装的情况，可用日志与MBSA分析结合检查；黑客会利用WINDOWS漏洞对系统进行攻击。定期核查并记录在案。检查Windows服务器是否都安装了防病毒软件，病毒库是否升级到了最新版本Windows系统易感染病毒，给内部网带来较大风险安装防病毒软件，升级防病毒库到最新如需启用IIS服务，则将IIS升级到最新补丁。没有及时更新系统补丁，这样一旦发现系统漏洞，则存在被黑客攻击的安全隐患。控制面板-添加或删除程序-显示更新打钩，查看是否安装IIS补丁包。安全配置本地策略模板使用securews.inf配置模板进行修改和对应分析；预防黑客攻击。使用安全配置审核审核登陆事件和目录访问；预防黑客攻击和用户的恶意访问。在日志中审核登陆记录，并审核恶意访问的记录。数据安全配置数据存储所有分区使用NTFS；减少磁盘碎片，扩展磁盘配额、EFS等安全功能。将所有FAT32转换为NTFS格式。所有卷只给administrator组和system完全权限；防止用户的恶意访问。检查每个卷，确定只给administrator组和system完全权限。数据保护重要数据的本地存储要求使用EFS加密保护；防止用户的恶意访问。配置EFS给文件加密。关键系统间的通信要求使用IPSEC封装，避免被侦听；防止在传输过程中被侦听。要求数据通讯的双方都配置IPSEC。访问控制服务访问控制检查Windows服务器是否开启了一些危险的缺省服务，若存在应及时关闭。否则会成为潜在威胁。这些不必要的服务开启完全可能被恶意分子利用，有些服务的开启有可能通过网络共享资源泄漏出系统的敏感信息或者通过一些不必要的服务开启利用共享资源浏览一些而这些其它机器上的信息，信息的泄漏都是在用户不知情的情况下发生的。因为开启了这些服务后，这些服务会自动跟踪网络上一个域内的机器，允许用户通过网上邻居来发现他们不知道确切名字的共享资源。而且浏览这些资源是不通过任何授权的。关闭Windows主机的一些有危险的缺省服务:禁用alerter、clipbook、commputerbrowser、messenger、Routing andRemote Access、Telnet、remoteregistry等服务检查Windows服务器是否没有关闭远程注册表服务如果恶意分子利用远程修改注册表键值，可以修改部分主机属性，为远程获取主机信息，甚至远程控制主机提供便利。应及时关闭远程注册表项。关闭windows主机的远程注册表服务remote registry网络访问控制防火墙配置默认禁止所有网络访问的条件许可可信通信；防止黑客利用多余的网络连接。核对网络访问，核查异常连接。配置防火墙只开放允许的连接和服务。使用TCP/IP筛选过滤网络访问，至少关闭高危和服务不必要的端口；减少黑客攻击的风险。关闭一些不必要的TCP/IP端口。日常维护异常监控检查Windows服务器注册表HKLMsoftwaremicrosoftDrWatsonCreateCrashDump键值是否不合理。若存在，一旦存到磁盘上很可能泄露一些敏感信息。（注：Dr.Watson是Microsoft用来处理应用程序错误的一个实用程序。它可以Dump一个出错应用程序的内存以便进行分析。但是Dump出来的数据中肯能会含有敏感信息，因此应该防止Dr.Watsoncrash dump到磁盘上。）Dr.Watson是Microsoft用来处理应用程序错误的一个实用程序。它可以Dump一个出错应用程序的内存以便进行分析。但是Dump出来的数据中肯能会含有敏感信息，因此应该防止Dr.Watson crashdump到磁盘上。更改键值为0通过登录查看Windows主机注册表后发现注册表HKLMSystemCurrentControlSetControlCrashControlAutoReboot键值不合理，存在安全隐患应该及时更改。防止有恶意用户故意制造程序错误来重起机器以进行破坏操作。致使正在编辑、修改的资料和信息来不及保存就重启机器，导致文件丢失。或者使正在运行的程序由于没有写入成功，导致文件破坏。有一些恶意程序需要 重新启动后才能运行，如果键值不合理，遭到恶意程序入侵后恶意程序主动制造程序错误导致系统自动重新启动，会造成恶意程序直接运行，泄漏系统信息或对系统造成破坏。更改键值为0检查系统是否存在明显异常TCP/UDP端口连接防止有恶意用户发起攻击或者安装木马等。运行netstat.exe-an，察看各Active Connections中：是否有明显异常的端口处于LISTENING状态，是否有明显异常的Foreign Address同Local Address处于ESTABLISHED状态。检查系统是否存在明显异常的启动项防止病毒、木马程序等利用启动的机会发作或蔓延。运行msconfig.exe，察看“启动”标签下的各启动项内，是否存在明显异常的内容；察看“system.ini”标签下是否存在“shell=exp1orer.exe”等明显异常的内容；察看“win.ini”标签下是否存在类似“load=exp1orer.exe”“run=exp1orer.exe”等明显异常的内容。系统检查设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。对各种用户的访问进行审计，为发现恶意攻击和事后发现提供帮助。开始-运行-执行“控制面板-管理工具-本地安全策略-审核策略”审核登录事件，双击，查看是否设置为成功和失败都审核。检查Windows主机审核完全采用缺省设置，这样的设置非常不方便对安全事件的定位和分析，存在安全隐患。一旦出现安全事故或者发现入侵行为，查看系统审核日志是找出操作源的最简便方法。如果恶意人员篡改一些文件或者系统重要信息，而系统没有设该审核策略，将无法对恶意事件进行详细的定位。设置审核策略，禁止使用默认（无审核）是否对主机进行了定期漏洞扫描由于定期进行漏洞扫描是发现系统和应用漏洞最有效和最便捷的方法，通过分析扫描结果可以及时对系统进行相应的加固。定期对主机进行安全扫描访问控制检检查查项项检检查查内内容容问问题题带带来来的的风风险险整整改改建建议议整整改改结结果果UNIXUNIX 系系统统安安全全检检查查项项帐号口令安全查看是否存在uucp、nuucp、lpd、imnadm、guest等用户，尤其是有shell的用户查看是否存在uucp、printq、imnadm等用户组bin,uucp,lpd,imnadm,guest nuucp,这些帐户是系统的缺省帐户，若不禁用这些帐户，则存在被黑客利用这些帐户攻击系统的隐患。建议禁用这些帐户，删除bin,uucp,lpd,imnadm,guest nuucp的有效shell。查看目前系统中是否存在弱口令查看UNIX系统对口令安全的配置，考察口令复杂度，口令更换周期的强制要求等如果口令复杂度及口令生命周期设置不当，可能导致弱口令、长期未修改的口令等安全问题针对口令安全配置，采用下面命令检查#more/etc/security/user查看default和root等节是否使用了默认配置。建议配置为:dictionlist=/usr/share/dict/words 强制密码不能是字典中的单词maxage=52 密码的生命期最大为52周maxrepeats=3 密码中可重复字符的最大次数为3次minalpha=2 密码至少应该包含2个字母minlen=8 密码最小长度是8位minother=2 密码包含的非字母字符数目至少是2检查各主机密码是否存在一致的情况，一旦丢失或外泄某一台主机的密码，将会对整个系统带来严重的威胁。一旦丢失或外泄某一台主机的密码，将会对整个系统带来严重的威胁。加固建议：修改系统口令，使用带有大小写字符数字和特殊符号的高强度口令，不同服务器采用不同的密码。登陆安全修改login.defs配置文件系统登陆超时为5分钟；防止用户离开后，非法用户使用该帐号。编辑“/etc/profile”文件在HISTFILESIZE=之后添加：TMOUT=300为“TMOUT=”输入的值代表5分钟的秒数（60*5=3600秒）。修改了该参数后，必须退出并重新登录（为根帐户），更改才能生效。查看允许的最大登陆失败次数，及相关锁定策略如果对登陆失败次数过多的情况不进行有效锁定，将导致黑客对帐号口令进行暴力破解#more/etc/security/login.cfg查看default、/dev/console和usw等节是否使用了默认配置。建议配置为：logindisable=3/设置登录失败多少次后锁定该终端，该参数与logininterval配合使用。（默认为0，表示没有次数限制）logininterval=60/设置无效登录的终端锁定时间，单位为秒。（默认为0）loginreenable=10/设置了终端被禁用后，重新启用的时间，单位为分钟。（默认为0，表示不会自动解锁）远程登陆安全检查是否使用SSH替换Telent做为远程登陆模式因为Telnet登陆使用明文传递用户名口令，因此可能被黑客采取窃听等手段获取运行：#ls-al/etc/rc.d/rc2.d/sshd检查系统中是否存在sshd文件。或者运行：#netstat-an检查ssh(22)端口是否开放，以及telnet(23)端口是否关闭。主机信任检查主机上是否配置主机信任“.rhosts”文件在系统中存在是非常危险的，黑客在破解了某一个系统中的一个帐号就能获得网络内所有主机的控制权。运行：#find/-name.rhosts-print如果存在.rhosts文件，查看这些.rhosts文件中是否存在+配置。服务管理检查主机上是否存在一些没有缺省的服务没有关闭，例如：rpuotad,rexd,tstatd,rusersd,rwalld,sprayd,pcnfsd,ttdbserver,cmsd,finger,talk,exec,login,shell。系统重要应用和数据库服务例如exec、login、shell服务未关闭，会造成系统信息泄漏等安全问题。立即关闭UNIX系统中的rpuotad,rexd,tstatd,rusersd,rwalld,sprayd,pcnfsd,ttdbserver,cmsd,finger,talk,exec,login,shell等服务。日志审计系统打开syslog日志一旦出现安全事故或者发现入侵行为，查看系统审核日志是找出操作源的最简便方法。如果恶意人员篡改一些文件或者系统重要信息，而系统没有设该审核策略，将无法对恶意事件进行详细的定位。运行：#more/etc/syslog.conf察看是否设置了专门的loghost补丁情况系统的ML(Maintenance Level)未更新至最新。系统未打补丁，可能存在已知的系统漏洞，遭受黑客攻击运行：#oslevel-s或运行：#lslpp-h bos.rte查看当前ML版本，AIX 4.3.3版本当前的ML是4330-11AIX 5.1版本当前的ML是5100-09（September,2005）AIX 5.2版本当前的ML是5200-07（September,2005）AIX 5.3版本当前的ML是5300-03（September,2005）系统状态存在明显异常的隐藏文件这种隐藏文件很有可能是黑客入侵留下的后门运行：#find/-name.*#find/-name.*异常隐含文件（以点号作为第一个字符的，用“ls”命令看不到的文件）可能是隐藏的黑客工具或者其它一些信息（口令破解程序、其它系统的口令文件，等等）。在UNIX下，一个常用的技术就是用一些特殊的名，如：“”、“.”（点点空格）或“.G”（点点control-G），来隐含文件或目录。有文件存在明显异常的SUID/SGID这种文件很有可能也是黑客入侵留下的后门文件用下面的命令查找系统中所有的SUID和SGID程序，运行：#find/(-perm-04000-o-perm-02000)-type f-xdev-ls尤其是要查看是否有隐藏起来的权限为-rwsr-xr-x的.bash等shell。当然，在find文件被恶意攻击者替换的时候，将无法真正发现异常。系统TCP/UDP端口连接明显异常如果存在异常连接，往往是被黑客植入恶意软件或者被远程攻击、控制运行：#netstat-an察看各Active Internet Connections中：是否有明显异常的端口处于LISTEN状态，是否有明显异常的Foreign Address同LocalAddress处于ESTABLISHED状态。修改inetd.conf配置文件剔除不需要的服务禁止不必要的服务，以防止被黑客利用。编辑/etc/inetd.conf，删除不必要的服务。日常维护是否对系统日志进行了定期查看通过日志可以发现安全问题应设专人对系统日志进行定期检查是否对主机进行了定期漏洞扫描漏洞扫描是发现系统和应用漏洞最有效和最便捷的方法，通过分析扫描结果可以及时对系统进行相应的加固。定期对主机进行安全扫描检检查查项项检检查查内内容容问问题题带带来来的的风风险险数数据据库库安安全全检检查查项项账号及口令管理检查数据库只采用密码认证方式，容易遭到网络窃听明文在网络传输过程中容易被窃取。数据库没有开启密码安全锁定，对密码强度没有做限制为暴力破解提供方便。数据库使用缺省帐号口令或者弱口令利用弱口令或默认口令发起攻击。帐户口令信息以明文方式保存，若这些数据库连接信息被恶意访问者获取，就能获取数据库的帐户口令信息进而访问并修改数据库数据。明文口令容易被恶意用户获得并利用。应用服务器上存在已经不使用的数据库连接配置文件，该配置文件中的帐户口令信息以明文方式保存，并且此帐户也已经不再使用，但数据库未锁定此帐户，若这些数据库连接信息被恶意访问者获取，就能获取数据库的帐户口令信息进而访问并修改数据库数据。应用服务器被攻击成功，直接造成数据库服务器面临危险。定期应更新口令，同时应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。防止暴力破解。远程管理限制具备数据库超级管理员（SYSDBA）权限的用户远程登录防止黑客获取超级管理员用户后从远程完全控制数据库系统设置只有信任的IP地址才能通过监听器访问数据库。防止黑客从外网入侵数据库权限管理启用数据字典保护，只有SYSDBA用户才能访问数据字典基础表防止数据库内的敏感信息被恶意用户窃取并利用。限制在DBA组中的操作系统用户数量，通常DBA组中只有Oracle安装用户防止利用其他操作系统账号盗取数据库中的数据等。系统日志数据库应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号、登录是否成功、登录时间以及远程登录时用户使用的IP地址一旦出现安全事故或者发现入侵行为，查看系统审核日志是找出操作源的最简便方法。如果恶意人员篡改一些文件或者系统重要信息，而系统没有设该审核策略，将无法对恶意事件进行详细的定位。其他为数据库监听器（LISTENER）的关闭和启动设置密码防止服务被恶意用户终止。使用Oracle提供的高级安全选件来加密客户端与数据库之间或中间件与数据库之间的网络传输数据防止数据在网络传输过程中被泄漏。整整改改建建议议整整改改结结果果建议应采用Kerberos、RADIUS、SSH 等手段，对数据库登录进行保护。建议开启数据库密码安全锁定等安全策略，最大限度保护数据库安全。建议为数据库用户设置强口令，并选择“强制实施密码策略”选项以保证用户口令的复杂度。建议加密数据库配置文件中的帐户口令信息。建议删除该数据库配置文件，并锁定或删除数据库中对应的帐户信息为用户建相关profile，指定PASSWORD_GRACE_TIME为90天；指定FAILED_LOGIN_ATTEMPTS为6。检测操作1.以Oracle用户登陆到系统中。2.以sqlplus/as sysdba登陆到sqlplus环境中。3.使用show parameter命令来检查参数REMOTE_LOGIN_PASSWORDFILE是否设置为NONE。Show parameterREMOTE_LOGIN_PASSWORDFILE4.检查在$ORACLE_HOME/network/admin/sqlnet.ora文件中参数SQLNET.AUTHENTICATION_SERVICES是否被设置成NONE检测操作检查$ORACLE_HOME/network/admin/sqlnet.ora文件中是否设置参数tcp.validnode_checking和tcp.invited_nodes。判定条件在非信任的客户端以数据库账户登陆被提示拒绝参考配置操作通过设置下面初始化参数来限制只有SYSDBA权限的用户才能访问数据字典。O7_DICTIONARY_ACCESSIBILITY=FALSE检测操作1.以Oracle用户登陆到系统中。2.以sqlplus/as sysdba登陆到sqlplus环境中。3.使用show parameter命令来检查参数O7_DICTIONARY_ACCESSIBILITY是否设置为FALSE判定条件以普通dba用户登陆到数据库，不能查看X$开头的表，比如：select*fro通过/etc/passwd文件来检查是否有其它用户在DBA组中参考配置操作创建ORACLE登录触发器，记录相关信息，但对IP地址的记录会有困难1.建表LOGON_TABLE2.建触发器CREATE TRIGGER TRI_LOGON AFTER LOGON ON DATABASEBEGIN INSERT INTO LOGON_TABLEVALUES(SYS_CONTEXT(USERENV,SESSION_USER),SYSDATE);END;判定条件登录测试，检查相关信息是否被记录检查$ORACLE_HOME/network/admin/listener.ora文件中是否设置参数PASSWORDS_LISTENER。检查$ORACLE_HOME/network/admin/sqlnet.ora文件中是否设置sqlnet.encryption等参数。检检查查项项检检查查内内容容问问题题带带来来的的风风险险整整改改建建议议安装源检查应用程序的安装源必须通过验证和审核；未经过审核的安装源有可能带来恶意软件和后门程序。确认必须安装的软件是经过审核并取得安全证书的。安装后产生的问题检查新安装的软件是否会对原有服务产生影响。正在运行的服务可能会产生终止或停顿。确认必须安装的软件是不需要重启或影响其他服务的正常运行。额外风险控制是否会给系统和网络带来额外的安全威胁和风险给系统和网络带来额外的安全威胁和风险查看软件声明和收集资料，以确认该软件的风险程度。考虑是否安装该软件。整整改改结结果果