Windows系统安全加固技术指导书样本.doc

资源描述

甘肃海丰信息科技有限公司 Windows系统安全加固技术指引书 ◆ 版本 Ver2.0 ◆ 密级【绝密】 ◆ 发布甘肃海丰科技 ◆ 编号 GSHF-0005-OPM-0101 ©-2024 HIGHFLYER INFORMATION TECHNOLOGY ,INC. 目录文档信息 2 前言 3 一、编制阐明 3 二、参照原则文献 3 三、加固原则 3 1. 业务主导原则 3 2. 业务影响最小化原则 4 3. 实行风险控制 4 (一) 主机系统 4 (二) 数据库或其她应用 4 4. 保护重点 5 5. 灵活实行 5 6. 周期性安全评估 5 四、安全加固流程 5 1. 主机分析安全加固 6 2. 业务系统安全加固 7 五、 Windows 操作系统加固指南 8 1. 系统信息 8 2. 补丁管理 8 (一) 补丁安装 8 3. 账号口令 8 (一) 优化账号 8 (二) 口令方略 8 4. 网络服务 9 (三) 优化服务 9 (四) 关闭共享 9 (五) 网络限制 10 5. 文献系统 10 (一) 使用NTFS 10 (二) 检查Everyone权限 10 (三) 限制命令权限 10 6. 日记审核 11 (一) 增强日记 11 (二) 增强审核 11 文档信息 ■ 版权声明本文中浮现任何文字论述、文档格式、插图、照片、办法、过程等内容，除另有特别注明，版权均属甘肃海丰所有，受到关于产权及版权法保护。任何个人、机构未经甘肃海丰书面授权允许，不得以任何方式复制或引用本文任何片断。 ■ 变更记录时间版本阐明修改人 -07-09 1.0 新建本文档郑方 -05-27 1.5 修正了4处错误、删除了IIS5加固某些郑方 -10-11 2.0 新增长固IIS6、SQL加固操作指南郑方前言一、编制阐明信息安全加固作为信息安全体系建设重要构成某些，本方案编制是在充分考虑了客户信息系统，Windows服务器现状和行业最佳实践，通过风险评估总结了主机系统既有安全现状，并参照了各类安全政策文献，继承和吸取了国家级别保护、风险评估经验成果。本指引书概括地阐述了安全加固简介、安全加固内容等方面内容。二、参照原则文献 1）《信息安全技术信息安全风险评估规范》 2）《业务系统安全级别保护基本规定（报批稿）》 3）《业务系统安全级别保护测评准则》V2.0(送审稿) 》三、加固原则在上述原则文献基本上，咱们建议本次加固归纳了6个原则： 1. 业务主导原则业务系统加固是环绕系统所承载业务保护。对业务系统进行加固主线目不是保护系统网络节点、系统节点，而是业务系统所承载业务、数据以及提供服务，这种以业务为核心思想将贯穿整个加固各个阶段。因而明确系统业务、分析业务环境、划分业务边界、导出业务安全需求是加固首要任务，也是决定加固效果和质量最核心阶段。要保证业务安全，取决于网络层、系统层、应用层、数据库层等各种层面安全，因而安全加固服务涉及各种层面、是一种复杂、循序渐进过程，不能一撮而就；不同业务系统要结合系统自身身状况制定相应加固方案，加固预期效果也应不尽相似。 2. 业务影响最小化原则对于在线系统加固服务，应通过必要办法将对业务影响降至最低，并为现场安全测试、检查、加固提供完备应急服务。 3. 实行风险控制在进行安全加固前，进行小范畴全景负载模仿实验，检查安全加固有效性和安全可靠性。在加固过程中安全实行顾问会对操作每一种环节及系统状态进行详细记录，一旦发现异常立即退回上一步。安全加固过程中也许带来风险环节有： (一) 主机系统 n 安装补丁；也许会导致某些特定服务不可用甚至主机崩溃（尽量采用可卸载Patch安装方式，如无法卸载则由我方依照以往经验以及被加固主机应用特点提出我方建议，由管理员最后确认）。 n 修改配备文献禁止某些默认顾客登陆；也许导致某些特定服务不可用（改回配备文献即可恢复）。 n 停掉某些不必要系统服务；也许导致某些应用程序不可用，需管理员事先确认（重新启动服务即可恢复）。 n 对主机上某些应用程序进行升级或对配备文献进行调节，以增强安全性；也许导致应用程序运营不正常（改回配备即可恢复）。 n 文献系统加固，调节重要系统文献安全属性和存取权限；也许导致某些程序无法正常运营（改回属性和权限即可恢复）。 (二) 数据库或其她应用 n 针对系统平台选取安装补丁也许导致数据库或其她应用无法正常工作，其她依赖于此应用程序也将受到影响（依照我方实行经验由实行工程师提出建议，由数据库或应用管理员进行确认，必要时可征询厂商技术人员） n 将数据库或其她应用某些帐户密码改为强健密码也许导致某些登陆数据库应用程序需要重新设立（加固前告知有关应用系统管理员，同步设立应用程序） n 禁止数据库或其她应用系统使用不必要网络合同也许导致某些依赖于有关合同应用程序无法正常工作（改动前需由数据库或应用管理员进行确认） n 对的分派数据库或其她应用有关文献访问权限也许导致被漏掉顾客无法访问有关文献（重新设立即可） n 删除无用存储过程或扩展存储过程也许导致数据库某些功能无法使用，实行前需经数据库管理员确认 4. 保护重点加固不是事无巨细，对整个单位所有区域进行面面俱到保护，而是重点考虑核心业务、核心业务流程、核心信息资产、核心区域，保证加固工作重点突出、有放矢、目的明确。 5. 灵活实行由于业务系统/网络是与各省公司详细环境有关，不也许设计一种通用加固方案，也不存在对所有单位都合用单一解决方案。应依照实际状况灵活实行，满足各类单位需要。 6. 周期性安全评估安全加固工作不应是一次性，应依照实际状况定期开展，以控制新浮现安全风险。长期来看，安全加固工作是周期性，长期性；在加固后不能抱有一劳永逸思想，同步也要认知到，安全加固不但仅是对设备安全加固，更要结合加固期间培训交流，培养维护人员安全意识，不断提高安全意识；四、安全加固流程安全加固服务是绿盟科技安全服务体系中重要环节。是风险评估成果得到落地重要环节，针对主机系统加固流程简介如下： 1）主机设备安全加固 2）业务系统安全加固 1. 主机分析安全加固主机安全是信息系统安全中基本构成某些，核心数据和信息直接由系统平台提供。支持分布式计算环境中不断增长系统平台面临各种安全威胁，涉及数据窃取、数据篡改、非授权访问、病毒破坏等。这时就需要专业安全加固服务以保障运营和存贮在这些系统平台上数据机密性、完整性和可用性。主机安全加固服务运用各种技术手段对您信息系统中操作系统平台提供安全加固和配备优化，同步将其集成到客户已有环境中。主机安全加固是指通过一定技术手段，提高操作系统安全性和抗袭击能力，普通这些技术手段，只能为实行这项技术这一台主机服务。所提供安全加固服务手段有： 1．基本安全配备检测和优化 2．密码系统安全检测和增强 3．系统后门检测 4．提供访问控制方略和安全工具 5．增强远程维护安全性 6．文献系统完整性审计 7．增强系统日记分析 8．系统升级与补丁安装通过良好配备系统抗袭击性有极大增强。在对系统作相应安全配备后，结合定期安全评估和维护服务就使得系统保持在一种较高安全线之上。 2. 业务系统安全加固业务系统安全是信息系统安全中重要构成某些，全网后台数据库与前台界面呈现与应用全由业务系统平台提供。面临各种安全威胁涉及非法登陆与访问控制、数据损坏与篡改、漏洞袭击等。这时就需要专业安全加固服务以保障运营在这些系统平台上数据流机密性、完整性和可用性。业务系统安全加固服务运用各种技术手段对您信息系统中业务平台提供安全加固和配备优化，同步将其集成到客户已有环境中。业务系统安全加固是指通过一定技术手段，提高其安全性和抗袭击能力，普通这些技术手段，只能为实行这项技术这一台设备服务。所提供安全加固服务手段有： 1．基本安全配备检测和优化 2．帐户密码系统安全检测和增强 3．文献权限安全优化 4．应用操作日记安全审核与痕迹管理 5．代码安全审核 6．系统日记安全审核与痕迹管理 7．数据库安全配备 8．FTP与WEB服务器安全配备通过良好配备业务系统平台抗袭击性和自身安全性有极大增强。在对其作相应安全配备后，结合定期安全评估和维护服务就使得其保持在一种较高安全线之上。五、 Windows 操作系统加固指南 1. 系统信息查看系统版本 ver 查看SP版本 wmic os get ServicePackMajorVersion 查看Hotfix wmic qfe get hotfixid,InstalledOn 查看主机名 hostname 查看网络配备 ipconfig /all 查看路由表 route print 查看开放端口 netstat -ano 2. 补丁管理 (一) 补丁安装操作目安装系统补丁，修补漏洞检查办法远程扫描漏洞，或安装微软安全基准分析器Microsoft Baseline Security Analyzer扫描漏洞加固办法手动安装补丁与否实行备注补丁安装后也许影响业务系统稳定性 3. 账号口令 (一) 优化账号操作目减少系统无用账号，减少风险检查办法开始->运营->compmgmt.msc（计算机管理）->本地顾客和组，查看与否有不用账号，系统账号所属组与否对的以及guest账号与否锁定加固办法使用“net user 顾客名 /del”命令删除账号使用“net user 顾客名 /active:no”命令锁定账号与否实行备注 (二) 口令方略操作目增强口令复杂度及锁定方略等，减少被暴力破解也许性检查办法开始->运营->secpol.msc （本地安全方略）->安全设立加固办法 1，账户设立->密码方略密码必要符合复杂性规定：启用密码长度最小值：8个字符密码最长存留期：90天密码最短存留期：0天密码最短存留期：30天强制密码历史：1个记住密码 2，账户设立->账户锁定方略复位帐户锁定计数器：1分钟帐户锁定期间：1分钟帐户锁定阀值：5次无效登录 3，本地方略->安全选项交互式登录：不显示上次顾客名：启用与否实行备注 gpupdate /force及时生效 4. 网络服务 (三) 优化服务操作目关闭不需要服务，减小风险检查办法开始->运营->services.msc 加固办法建议将如下服务停止，并将启动方式修改为手动： Automatic Updates（不合用自动更新可以关闭） Background Intelligent Transfer Service（不合用自动更新可以关闭） DHCP Client Messenger Remote Registry Print Spooler Server（不使用文献共享可以关闭） Simple TCP/IP Service Simple Mail Transport Protocol (SMTP) SNMP Service Task Schedule TCP/IP NetBIOS Helper 与否实行备注其她不需要服务也应当关闭 (四) 关闭共享操作目关闭默认共享检查办法开始->运营->cmd.exe->net share，查看共享加固办法 1，关闭C$，D$等默认共享开始->运营->regedit->找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters ，新建AutoShareServer（REG_DWORD），键值为0 2，关闭ADMIN$默认共享找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters，新建AutoShareWks（REG_DWORD），键值为0 与否实行备注 (五) 网络限制操作目网络访问限制检查办法开始->运营->secpol.msc ->安全设立->本地方略->安全选项加固办法网络访问：不容许 SAM 帐户匿名枚举：启用网络访问：不容许 SAM 帐户和共享匿名枚举：启用网络访问：将 “每个人”权限应用于匿名顾客：禁用帐户：使用空白密码本地帐户只容许进行控制台登录：启用与否实行备注 gpupdate /force及时生效 5. 文献系统 (一) 使用NTFS 操作目增强文献系统安全性检查办法查看每个系统驱动器与否使用NTFS文献系统加固办法建议使用NTFS文献系统，转换命令：convert <驱动器盘符>：/fs:ntfs 与否实行备注 (二) 检查Everyone权限操作目增强Everyone权限检查办法查看每个系统驱动器根目录与否设立为Everyone有所有权限加固办法删除Everyone权限或者取消Everyone写权限与否实行备注 (三) 限制命令权限操作目限制某些命令权限检查办法使用cacls命令或资源管理器查看如下文献权限加固办法建议对如下命令做限制，只容许system、Administrator组访问 %systemroot%\system32\cmd.exe %systemroot%\system32\regsvr32.exe %systemroot%\system32\tftp.exe %systemroot%\system32\ftp.exe %systemroot%\system32\telnet.exe %systemroot%\system32\net.exe %systemroot%\system32\net1.exe %systemroot%\system32\cscript.exe %systemroot%\system32\wscript.exe %systemroot%\system32\regedit.exe %systemroot%\system32\regedt32.exe %systemroot%\system32\cacls.exe %systemroot%\system32\ %systemroot%\system32\at.exe 与否实行备注也许会影响业务系统正常运营 6. 日记审核 (一) 增强日记操作目增大日记量大小，避免由于日记文献容量过小导致日记记录不全检查办法开始->运营->eventvwr.msc ->查看“应用程序”“安全性”“系统”属性加固办法建议设立：日记上限大小：16384 KB 达到日记上限大小时：改写久于30天事件与否实行备注 (二) 增强审核操作目对系统事件进行审核，在日后浮现故障时用于排查故障检查办法开始->运营->secpol.msc ->安全设立->本地方略->审核方略加固办法建议设立：审核方略更改：成功审核对象访问：成功，失败审核系统事件：成功，失败审核帐户登录事件：成功，失败审核帐户管理：成功，失败与否实行备注 gpupdate /force及时生效

展开阅读全文