Windows系統(tǒng)安全加固技術(shù)指導(dǎo)書

甘肅海豐信息科技有限公司W(wǎng)indows系統(tǒng)安全加固技術(shù)指導(dǎo)書?版本??版本?發(fā)布甘肅海豐科技?編號(hào)GSHF-0005-OPM-?2006-2020HIGHFLYERINFORMATIONTECHNOLOGY,INC.文檔信息錯(cuò)誤！未定義書簽。前言錯(cuò)誤！未定義書簽。編制說明錯(cuò)誤！未定義書簽。參照標(biāo)準(zhǔn)文件錯(cuò)誤！未定義書簽。加固原則錯(cuò)誤！未定義書簽。業(yè)務(wù)主導(dǎo)原則錯(cuò)誤！未定義書簽。業(yè)務(wù)影響最小化原則錯(cuò)誤！未定義書簽。實(shí)施風(fēng)險(xiǎn)控制錯(cuò)誤！未定義書簽。主機(jī)系統(tǒng)錯(cuò)誤！未定義書簽。數(shù)據(jù)庫或其他應(yīng)用錯(cuò)誤！未定義書簽。保護(hù)重點(diǎn)錯(cuò)誤！未定義書簽。靈活實(shí)施錯(cuò)誤！未定義書簽。周期性的安全評(píng)估錯(cuò)誤！未定義書簽。安全加固流程錯(cuò)誤！未定義書簽。主機(jī)分析安全加固錯(cuò)誤！未定義書簽o業(yè)務(wù)系統(tǒng)安全加固錯(cuò)誤！未定義書簽。WNDOWS2003操作系統(tǒng)加固指南錯(cuò)誤！未定義書簽。系統(tǒng)信息錯(cuò)誤！未定義書簽。補(bǔ)丁管理錯(cuò)誤！未定義書簽。（一）補(bǔ)丁安裝錯(cuò)誤！未定義書簽。賬號(hào)口令錯(cuò)誤！未定義書簽。優(yōu)化賬號(hào)錯(cuò)誤！未定義書簽?？诹畈呗藻e(cuò)誤！未定義書簽。網(wǎng)絡(luò)服務(wù)錯(cuò)誤！未定義書簽。優(yōu)化服務(wù)錯(cuò)誤！未定義書簽。關(guān)閉共享錯(cuò)誤！未定義書簽。網(wǎng)絡(luò)限制錯(cuò)誤！未定義書簽。文件系統(tǒng)錯(cuò)誤！未定義書簽。使用NTFS錯(cuò)誤！未定義書簽。檢查Everyone權(quán)限錯(cuò)誤!未定義書簽。限制命令權(quán)限錯(cuò)誤!未定義書簽。日志審核錯(cuò)誤！未定義書簽。增強(qiáng)日志錯(cuò)誤!未定義書簽。增強(qiáng)審核錯(cuò)誤!未定義書簽。文檔信息■版權(quán)聲明本文中出現(xiàn)的任何文字?jǐn)⑹觥⑽臋n格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明，版權(quán)均屬甘肅海豐所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護(hù)。任何個(gè)人、機(jī)構(gòu)未經(jīng)甘肅海豐的書面授權(quán)許可，不得以任何方式復(fù)制或引用本文的任何片斷?！鲎兏涗洉r(shí)間版本說明修改人2008-07-09新建本文檔鄭方2009-05-27修正了4處錯(cuò)誤、刪除了IIS5加固部分鄭方2010-10-11新增加固IIS6、SQL2000加固操作指南鄭方一、編制說明信息安全加固作為信息安全體系建設(shè)的重要組成部分，本方案的編制是在充分考慮了客戶信息系統(tǒng)，Windows服務(wù)器的現(xiàn)狀和行業(yè)最佳實(shí)踐，通過風(fēng)險(xiǎn)評(píng)估總結(jié)了主機(jī)系統(tǒng)現(xiàn)有的安全現(xiàn)狀，并參考了各類安全政策文件，繼承和吸收了國家等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估的經(jīng)驗(yàn)成果。本指導(dǎo)書概括地闡述了安全加固介紹、安全加固內(nèi)容等方面內(nèi)容。二、參照標(biāo)準(zhǔn)文件1）《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》2）《業(yè)務(wù)系統(tǒng)安全等級(jí)保護(hù)基本要求（報(bào)批稿）?3）《業(yè)務(wù)系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則》（送審稿）》三、加固原則在上述標(biāo)準(zhǔn)文件的基礎(chǔ)上，我們建議本次加固歸納了6個(gè)原則：.業(yè)務(wù)主導(dǎo)原則業(yè)務(wù)系統(tǒng)加固是圍繞系統(tǒng)所承載業(yè)務(wù)的保護(hù)。對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行加固的根本目的不是保護(hù)系統(tǒng)的網(wǎng)絡(luò)節(jié)點(diǎn)、系統(tǒng)節(jié)點(diǎn)，而是業(yè)務(wù)系統(tǒng)所承載的業(yè)務(wù)、數(shù)據(jù)以及提供的服務(wù)，這種以業(yè)務(wù)為核心的思想將貫穿整個(gè)加固的各個(gè)階段。因此明確系統(tǒng)業(yè)務(wù)、分析業(yè)務(wù)環(huán)境、劃分業(yè)務(wù)邊界、導(dǎo)出業(yè)務(wù)安全需求是加固的首要任務(wù)，也是決定加固效果和質(zhì)量的最關(guān)鍵階段。要確保業(yè)務(wù)安全，取決于網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、數(shù)據(jù)庫層等多個(gè)層面的安全，因此安全加固服務(wù)涉及多個(gè)層面、是一個(gè)復(fù)雜的、循序漸進(jìn)的過程，不能一撮而就；不同業(yè)務(wù)系統(tǒng)要結(jié)合系統(tǒng)自身身情況制定相應(yīng)加固方案，加固的預(yù)期效果也應(yīng)不盡相同。.業(yè)務(wù)影響最小化原則對(duì)于在線系統(tǒng)的加固服務(wù)，應(yīng)通過必要措施將對(duì)業(yè)務(wù)的影響降至最低，并為現(xiàn)場(chǎng)安全測(cè)試、檢查、加固提供完備的應(yīng)急服務(wù)。.實(shí)施風(fēng)險(xiǎn)控制在進(jìn)行安全加固前，進(jìn)行小范圍的全景負(fù)載模擬試驗(yàn)，檢驗(yàn)安全加固的有效性和安全可靠性。在加固過程中安全實(shí)施顧問會(huì)對(duì)操作的每一個(gè)步驟及系統(tǒng)狀態(tài)進(jìn)行詳細(xì)記錄，一旦發(fā)現(xiàn)異常立刻退回上一步。安全加固過程中可能帶來的風(fēng)險(xiǎn)的步驟有：（一）主機(jī)系統(tǒng)安裝補(bǔ)?。豢赡軙?huì)導(dǎo)致某些特定的服務(wù)不可用甚至主機(jī)崩潰（盡量采用可卸載的Patch安裝方式，如無法卸載則由我方根據(jù)以往的經(jīng)驗(yàn)以及被加固主機(jī)的應(yīng)用特點(diǎn)提出我方的建議，由管理員最終確認(rèn)）。修改配置文件禁止某些默認(rèn)用戶登陸；可能導(dǎo)致某些特定服務(wù)不可用（改回配置文件即可恢復(fù)）。停掉某些不必要的系統(tǒng)服務(wù)；可能導(dǎo)致某些應(yīng)用程序不可用，需管理員事先確認(rèn)（重新啟動(dòng)服務(wù)即可恢復(fù)）。對(duì)主機(jī)上的某些應(yīng)用程序進(jìn)行升級(jí)或?qū)ε渲梦募M(jìn)行調(diào)整，以增強(qiáng)安全性；可能導(dǎo)致應(yīng)用程序運(yùn)行不正常（改回配置即可恢復(fù)）。文件系統(tǒng)加固，調(diào)整重要系統(tǒng)文件的安全屬性和存取權(quán)限；可能導(dǎo)致某些程序無法正常運(yùn)行（改回屬性和權(quán)限即可恢復(fù)）。（二）數(shù)據(jù)庫或其他應(yīng)用針對(duì)系統(tǒng)平臺(tái)選擇安裝補(bǔ)丁可能導(dǎo)致數(shù)據(jù)庫或其他應(yīng)用無法正常工作，其他依賴于此的應(yīng)用程序也將受到影響（根據(jù)我方的實(shí)施經(jīng)驗(yàn)由實(shí)施工程師提出建議，由數(shù)據(jù)庫或應(yīng)用管理員進(jìn)行確認(rèn)，必要時(shí)可咨詢廠商技術(shù)人員）將數(shù)據(jù)庫或其他應(yīng)用的某些帳戶的密碼改為強(qiáng)壯的密碼可能導(dǎo)致某些登陸數(shù)據(jù)庫的應(yīng)用程序需要重新設(shè)置（加固前通知相關(guān)應(yīng)用系統(tǒng)管理員，同時(shí)設(shè)置應(yīng)用程序）禁止數(shù)據(jù)庫或其他應(yīng)用系統(tǒng)使用不必要的網(wǎng)絡(luò)協(xié)議可能導(dǎo)致某些依賴于相關(guān)協(xié)議的應(yīng)用程序無法正常工作（改動(dòng)前需由數(shù)據(jù)庫或應(yīng)用管理員進(jìn)行確認(rèn)）正確分配數(shù)據(jù)庫或其他應(yīng)用相關(guān)文件的訪問權(quán)限可能導(dǎo)致被遺漏的用戶無法訪問相關(guān)文件（重新設(shè)置即可）刪除無用的存儲(chǔ)過程或擴(kuò)展存儲(chǔ)過程可能導(dǎo)致數(shù)據(jù)庫的某些功能無法使用，實(shí)施前需經(jīng)數(shù)據(jù)庫管理員確認(rèn).保護(hù)重點(diǎn)加固不是事無巨細(xì)，對(duì)整個(gè)單位的所有區(qū)域進(jìn)行面面俱到的保護(hù)，而是重點(diǎn)考慮關(guān)鍵業(yè)務(wù)、關(guān)鍵業(yè)務(wù)流程、關(guān)鍵信息資產(chǎn)、關(guān)鍵區(qū)域，保證加固工作重點(diǎn)突出、有的放矢、目標(biāo)明確。.靈活實(shí)施由于業(yè)務(wù)系統(tǒng)/網(wǎng)絡(luò)是與各省公司具體環(huán)境相關(guān)，不可能設(shè)計(jì)一種通用的加固方案，也不存在對(duì)所有單位都適用的單一解決方案。應(yīng)根據(jù)實(shí)際情況靈活實(shí)施，滿足各類單位的需要。.周期性的安全評(píng)估安全加固工作不應(yīng)是一次性的，應(yīng)根據(jù)實(shí)際情況定期開展，以控制新出現(xiàn)的安全風(fēng)險(xiǎn)。長久來看，安全加固工作是周期性的，長期性的；在加固后不能抱有一勞永逸的思想，同時(shí)也要認(rèn)知到，安全加固不僅僅是對(duì)設(shè)備的安全加固，更要結(jié)合加固期間的培訓(xùn)交流，培養(yǎng)維護(hù)人員安全意識(shí)，不斷提升安全意識(shí)；四、安全加固流程安全加固服務(wù)是綠盟科技安全服務(wù)體系中的重要環(huán)節(jié)。是風(fēng)險(xiǎn)評(píng)估結(jié)果得到落地的重要步驟，針對(duì)主機(jī)系統(tǒng)的加固流程簡(jiǎn)介如下：1）主機(jī)設(shè)備安全加固

2）業(yè)務(wù)系統(tǒng)安全加固1.主機(jī)分析安全加固主機(jī)安全是信息系統(tǒng)安全中的基礎(chǔ)組成部分，關(guān)鍵數(shù)據(jù)和信息直接由系統(tǒng)平臺(tái)提供。支持分布式計(jì)算環(huán)境中不斷增長的系統(tǒng)平臺(tái)面臨各種安全威脅，包括數(shù)據(jù)竊取、數(shù)據(jù)篡改、非授權(quán)訪問、病毒破壞等。這時(shí)就需要專業(yè)的安全加固服務(wù)以保障運(yùn)行和存貯在這些系統(tǒng)平臺(tái)上的數(shù)據(jù)的的機(jī)密性、完整性和可用性。主機(jī)安全加固服務(wù)利用多種技術(shù)手段對(duì)您信息系統(tǒng)中的操作系統(tǒng)平臺(tái)提供安全加固和配置優(yōu)化，同時(shí)將其集成到客戶已有的環(huán)境中。主機(jī)安全加固是指通過一定的技術(shù)手段，提高操作系統(tǒng)安全性和抗攻擊能力，通常這些技術(shù)手段，只能為實(shí)施這項(xiàng)技術(shù)的這一臺(tái)主機(jī)服務(wù)。所提供的安全加固服務(wù)手段有：.基本安全配置檢測(cè)和優(yōu)化.密碼系統(tǒng)安全檢測(cè)和增強(qiáng).系統(tǒng)后門檢測(cè).提供訪問控制策略和安全工具.增強(qiáng)遠(yuǎn)程維護(hù)的安全性.文件系統(tǒng)完整性審計(jì).增強(qiáng)的系統(tǒng)日志分析.系統(tǒng)升級(jí)與補(bǔ)丁安裝經(jīng)過良好配置的系統(tǒng)的抗攻擊性有極大的增強(qiáng)。在對(duì)系統(tǒng)作相應(yīng)的安全配置后，結(jié)合定期的安全評(píng)估和維護(hù)服務(wù)就使得系統(tǒng)保持在一個(gè)較高的安全線之上。.業(yè)務(wù)系統(tǒng)安全加固業(yè)務(wù)系統(tǒng)安全是信息系統(tǒng)安全中的重要組成部分，全網(wǎng)后臺(tái)數(shù)據(jù)庫與前臺(tái)界面呈現(xiàn)與應(yīng)用全由業(yè)務(wù)系統(tǒng)平臺(tái)提供。面臨各種安全威脅包括非法登陸與訪問控制、數(shù)據(jù)損壞與篡改、漏洞攻擊等。這時(shí)就需要專業(yè)的安全加固服務(wù)以保障運(yùn)行在這些系統(tǒng)平臺(tái)上的數(shù)據(jù)流的機(jī)密性、完整性和可用性。業(yè)務(wù)系統(tǒng)安全加固服務(wù)利用多種技術(shù)手段對(duì)您信息系統(tǒng)中的業(yè)務(wù)平臺(tái)提供安全加固和配置優(yōu)化，同時(shí)將其集成到客戶已有的環(huán)境中。業(yè)務(wù)系統(tǒng)安全加固是指通過一定的技術(shù)手段，提高其安全性和抗攻擊能力，通常這些技術(shù)手段，只能為實(shí)施這項(xiàng)技術(shù)的這一臺(tái)設(shè)備服務(wù)。所提供的安全加固服務(wù)手段有：.基本安全配置檢測(cè)和優(yōu)化.帳戶密碼系統(tǒng)安全檢測(cè)和增強(qiáng).文件權(quán)限安全優(yōu)化.應(yīng)用操作日志安全審核與痕跡管理.代碼安全審核.系統(tǒng)日志安全審核與痕跡管理.數(shù)據(jù)庫安全配置.FTP與WE國艮務(wù)器安全配置經(jīng)過良好配置的業(yè)務(wù)系統(tǒng)平臺(tái)的抗攻擊性和自身安全性有極大的增強(qiáng)。在對(duì)其作相應(yīng)的安全配置后，結(jié)合定期的安全評(píng)估和維護(hù)服務(wù)就使得其保持在一個(gè)較高的安全線之上。五、Windows2003操作系統(tǒng)加固指南1.系統(tǒng)信息查看系統(tǒng)版本ver查看SP版本wmicosgetServicePackMajorVersion查看Hotfixwmicqfegethotfixid,InstalledOn查看主機(jī)名hostname查看網(wǎng)絡(luò)配置ipconfig/all查看路由表routeprint『查看開放端口netstat-ano2.補(bǔ)丁管理補(bǔ)丁安裝操作目的安裝系統(tǒng)補(bǔ)丁，修補(bǔ)漏洞檢查方法遠(yuǎn)程掃描漏洞，或安裝微軟安全基準(zhǔn)分析器MicrosoftBaselineSecurityAnalyzer掃描漏洞加固方法手動(dòng)安裝補(bǔ)丁是否實(shí)施備注補(bǔ)丁安裝后可能影響業(yè)務(wù)系統(tǒng)的穩(wěn)定性3.賬號(hào)口令（一）優(yōu)化賬號(hào)操作目的減少系統(tǒng)無用賬號(hào)，降低風(fēng)險(xiǎn)檢查方法開始->運(yùn)行->（計(jì)算機(jī)管理）->本地用戶和組，查看是否有不用的賬號(hào)，系統(tǒng)賬號(hào)所屬組是否正確以及guest賬號(hào)是否鎖定加固方法使用"netuser用戶名/del"命令刪除賬號(hào)使用"netuser用戶名/active:no"命令鎖定賬號(hào)是否實(shí)施備注（二）口令策略操作目的增強(qiáng)口令的復(fù)雜度及鎖定策略等，降低被暴力破解的可能性檢查方法開始->運(yùn)行->（本地安全策略）->安全設(shè)置加固方法1,賬戶設(shè)置->密碼策略密碼必須符合復(fù)雜性要求：?jiǎn)⒂妹艽a長度最小值：8個(gè)字符密碼最長存留期：90天密碼最短存留期：0天密碼最短存留期：30天強(qiáng)制密碼歷史：1個(gè)記住密碼2,賬戶設(shè)置->賬戶鎖定策略復(fù)位帳戶鎖定計(jì)數(shù)器：1分鐘帳戶鎖定時(shí)間：1分鐘帳戶鎖定閥值：5次無效登錄3,本地策略->安全選項(xiàng)交互式登錄：不顯示上次的用戶名：?jiǎn)⒂檬欠駥?shí)施備注gpupdate/force立即生效4.網(wǎng)絡(luò)服務(wù)（三）優(yōu)化服務(wù)操作目的關(guān)閉不需要的服務(wù)，減小風(fēng)險(xiǎn)檢查萬法開始—>運(yùn)仃->加固方法建議將以下服務(wù)停止，并將啟動(dòng)方式修改為手動(dòng)：AutomaticUpdates（不適用自動(dòng)更新可以關(guān)閉）BackgroundIntelligentTransferService（不適用自動(dòng)更新可以關(guān)閉）DHCPClientMessengerRemoteRegistryPrintSpoolerServer（不使用文件共享可以關(guān)閉）SimpleTCP/IPServiceSimpleMailTransportProtocol（SMTP）SNMPServiceTaskScheduleTCP/IPNetBIOSHelper是否實(shí)施備注其他不需要的服務(wù)也應(yīng)該關(guān)閉（四）關(guān)閉共享操作目的關(guān)閉默認(rèn)共享檢查方法開始->運(yùn)行->>netshare,查看共享加固方法1,關(guān)閉C$,D樗默認(rèn)共享開始->運(yùn)行->regedit->找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters,新建AutoShareServer（REG_DWORD鍵值為02,關(guān)閉ADMIN默認(rèn)共享找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters,新建AutoShareWks（REG_DWORD鍵值為0是否實(shí)施備注

（五）網(wǎng)絡(luò)限制操作目的網(wǎng)絡(luò)訪問限制檢查方法開始->運(yùn)行->->安全設(shè)置->本地策略->安全選項(xiàng)加固方法網(wǎng)絡(luò)訪問：不允許SAM帳戶的匿名枚舉：?jiǎn)⒂镁W(wǎng)絡(luò)訪問：不允許SAM帳戶和共享的匿名枚舉：?jiǎn)⒂镁W(wǎng)絡(luò)訪問：將“每個(gè)人”權(quán)限應(yīng)用于匿名用戶：禁用帳戶：使用空白密碼的本地帳戶只允許進(jìn)行控制臺(tái)登錄：?jiǎn)⒂檬欠駥?shí)施『備注gpupdate/force立即生效5.文件系統(tǒng)（一）使用NTFS操作目的增強(qiáng)文件系統(tǒng)安全性檢查方法查看每個(gè)系統(tǒng)驅(qū)動(dòng)器是否使用NTFS^C件系統(tǒng)加固方法建議使用NTFS文件系統(tǒng)，轉(zhuǎn)換命令：convert<驅(qū)動(dòng)器盤符>:/fs:ntfs是否實(shí)施『備注檢查Everyone權(quán)限操作目的增強(qiáng)Everyone權(quán)限檢查方法查看每個(gè)系統(tǒng)驅(qū)動(dòng)器根目錄是否設(shè)置為Everyone有所有權(quán)限加固方法刪除Everyone的權(quán)限或者取消Everyone的寫權(quán)限是否實(shí)施備注（三）限制命令權(quán)限操作目的限制部分命令的權(quán)限檢查方法使用cacls命令或資源管理器查看以下文件權(quán)限加固方法建議對(duì)以下命令做限制，只允許system、Administrator組訪問是否實(shí)施備注可能會(huì)影響業(yè)務(wù)系統(tǒng)正常運(yùn)行6.日志審核（一