广州市电子政务外网系统安全加固指导书(doc 19页).doc

广州市电子政务外网系统安全加固指南（1.0版）广州市机关信息网络中心编制2010年8月广州市电子政务外网 系统安全 加固指南 （1.0版）1Windows系统安全加固41补丁更新41.1 到微软网站下载最新的补丁程序42安全加固42.2 停掉Guest 帐号42.3 限制不必要的用户数量42.4 创建2个管理员用帐号42.5 把系统administrator帐号改名52.6 创建一个陷阱帐号52.7 把共享文件的权限从”everyone”组改成“授权用户”52.8 使用安全密码52.9 设置屏幕保护密码52.10 使用NTFS格式分区62.11 利用win的安全配置工具来配置策略62.12 关闭不必要的服务62.13 关闭不必要的端口72.14 打开审核策略72.15 开启帐户策略82.16 不让系统显示上次登陆的用户名82.17 禁止建立空连接82.18 关闭 DirectDraw82.19 关闭默认共享82.20 禁止dump file的产生92.21 使用文件加密系统EFS92.22 锁住注册表92.23 建议安装urlscan（或直接安装IISLockdown）102.24 关闭RPC DCOM组件10TOMCAT系统安全加固111.Tomcat安全配置111.1.基本安全配置111.2.多重服务器的安全防护111.3.配置服务器默认端口121.4.关闭服务器端口121.5.默认错误网页设置131.6.配置支持SSL13配置支持SSL的方法(分别以TEST,TestAdmin两实际访问对象举例)13MS SQL系统安全加固161.安装最新安全补丁161.1.安装操作系统提供商发布的最新的安全补丁162.网络和系统服务172.1.检查系统文件是装置在NTFS分区172.2.默认用户状态及口令更改情况172.3.停用不必要的存储过程172.4.错误日志管理192.5.拒绝来自1434端口的探测192.6.对网络连接进行IP限制19Windows系统安全加固1补丁更新1.1 到微软网站下载最新的补丁程序 2安全加固2.2 停掉Guest 帐号 在计算机管理的用户里面把guest帐号停用掉，任何时候都不允许guest帐号登陆系统。为了保险起见，最好给guest 加一个复杂的密码，你可以打开记事本，在里面输入一串包含特殊字符,数字，字母的长字符串，然后把它作为guest帐号的密码拷进去。 （windows03的guest帐号一般情况不可删除，会影响应用）2.3 限制不必要的用户数量 去掉所有的duplicate user 帐户, 测试用帐户, 共享帐号，普通部门帐号等等。用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不在使用的帐户。这些帐户很多时候都是黑客们入侵系统的突破口，系统的帐户越多，黑客们得到合法用户的权限可能性一般也就越大。2.4 创建2个管理员用帐号 创建一个一般权限帐号用来收信以及处理一些日常事物，另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作，以方便管理。2.5 把系统administrator帐号改名 windows 的administrator帐号是不能被停用的，这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。当然，请不要使用Admin之类的名字，改了等于没改，尽量把它伪装成普通用户，比如改成：guestone 。 2.6 创建一个陷阱帐号 创建一个名为” Administrator”的本地帐户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些 Scripts忙上一段时间了，并且可以借此发现它们的入侵企图。2.7 把共享文件的权限从”everyone”组改成“授权用户” “everyone” 在win中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享，默认的属性就是”everyone”组的。 2.8 使用安全密码 一个好的密码对于一个网络是非常重要的，但是它是最容易被忽略的。一些公司的管理员创建帐号的时候往往用公司名，计算机名，或者一些别的一猜就到的东西做用户名，然后又把这些帐户的密码设置得很简单，比如 “welcome”，“iloveyou”或者和用户名相同等等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码，还要注意经常更改密码。 2.9 设置屏幕保护密码 很简单也很有必要，设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。2.10 使用NTFS格式分区 把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT,FAT32的文件系统安全得多。2.11 利用win的安全配置工具来配置策略 微软提供了一套的基于MMC(管理控制台)安全配置和分析工具，利用他们你可以很方便的配置你的服务器以满足你的要求。具体内容请参考微软主页： /windows2000/techinfo/howitworks/security/sctoolset.asp 2.12 关闭不必要的服务 windows 的 Terminal Services（终端服务），IIS ,和RAS都可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器，很多机器的终端服务都是开着的，如果你的也开了，要确认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务，中期性(每天)的检查他们。建议将以下服务设为自启动：Eventlog ( required )NT LM Security Provider (required)Remote Procedure Call (RPC) (required)Workstation (leave service on: will be disabled later in the document)Protected Storage (required)Plug and Play( required )Security Accounts Manager( required )需要注意的是，服务设置不当可能导致系统不能进行正常操作。设置每台主机服务的时候，要针对具体的应用情况和网络情况进行有针对性的设置，不能直接按照推荐完全照做。上面建议只作为参考，并不能作为每一台主机的配置标准。2.13 关闭不必要的端口 关闭端口意味着减少功能，在安全和功能上面需要你作一点决策。如果服务器安装在防火墙的后面，冒的险就会少些，但是，永远不要认为你可以高枕无忧了。用端口扫描器扫描系统所开放的端口，确定开放了哪些服务是黑客入侵你的系统的第一步。system32driversetcservices 文件中有知名端口和服务的对照表可供参考。具体方法为： 网上邻居属性本地连接属性internet 协议(tcp/ip)属性高级选项tcp/ip筛选属性 打开tcp/ip筛选，添加需要的tcp,udp,协议即可。 2.14 打开审核策略 开启安全审核是win最基本的入侵检测方法。当有人尝试对你的系统进行某些方式（如尝试用户密码,改变帐户策略，未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道，直到系统遭到破坏。下面的这些审核是必须开启的，其他的可以根据需要增加： 策略 设置 审核系统登陆事件 成功，失败 审核帐户管理 成功，失败 审核登陆事件 成功，失败 审核对象访问 成功 审核策略更改 成功，失败 审核特权使用 成功，失败 审核系统事件 成功，失败 开启密码策略 策略 设置 密码复杂性要求 启用 密码长度最小值 6位 强制密码历史 5 次 强制密码历史 42 天 2.15 开启帐户策略 策略 设置 复位帐户锁定计数器 20分钟 帐户锁定时间 20分钟 帐户锁定阈值 3次 2.16 不让系统显示上次登陆的用户名 默认情况下，终端服务接入服务器时，登陆对话框中会显示上次登陆的帐户明，本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名，进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名，具体是： HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonDontDisplayLastUserName 把 REG_SZ 的键值改成 1 . 2.17 禁止建立空连接 默认情况下，任何用户通过通过空连接连上服务器，进而枚举出帐号，猜测密码。通过修改注册表来禁止建立空连接： Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值改成”1”即可。 2.18 关闭 DirectDraw 这是C2级安全标准对视频卡和内存的要求。修改注册表 HKLMSYSTEMCurrentControlSetControlGraphicsDriversDCI的Timeout(REG_DWORD)为 0 即可。2.19 关闭默认共享 Win系统安装好以后，系统会创建一些隐藏的共享，要禁止这些共享 ，打开 管理工具计算机管理共享文件夹共享 在相应的共享文件夹上按右键，点停止共享即可，不过机器重新启动后，这些共享又会重新开启的。 默认共享目录 路径和功能 C$ D$ E$ 每个分区的根目录。Win2000 Pro版中，只有Administrator 和Backup Operators组成员才可连接，Win2000 Server版本 Server Operatros组也可以连接到这些共享目录 ADMIN$ %SYSTEMROOT% 远程管理用的共享目录。它的路径永远都 指向Win2000的安装路径，比如 c:winnt FAX$ 在Win2000 Server中，FAX$在fax客户端发传真的时候会到。 IPC$ 空连接。IPC$共享提供了登录到系统的能力。 NetLogon 这个共享在Windows 2000 服务器的Net Login 服务在处 理登陆域请求时用到 PRINT$ %SYSTEMROOT%SYSTEM32SPOOLDRIVERS 用户远程管理打印机 2.20 禁止dump file的产生 dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料，然而，它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。要禁止它，打开 控制面板系统属性高级启动和故障恢复 把 写入调试信息 改成无。要用的时候，可以再重新打开它。2.21 使用文件加密系统EFS Windows 强大的加密系统能够给磁盘，文件夹，文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。记住要给文件夹也使用EFS,而不仅仅是单个的文件。 有关EFS的具体信息可以查看 /windows2000/techinfo/howitworks/security/encrypt.asp2.22 锁住注册表 在windows，只有administrators和Backup Operators才有从网络上访问注册表的权限。如果觉得还不够的话，可以进一步设定注册表访问权限，详细信息请参考： /support/kb/articles/Q153/1/83.asp 2.23 建议安装urlscan（或直接安装IISLockdown）Urlscan 属于IIS Lockdown Tool的一部分是个很强的安全工具，让站点管理员有能力关掉不需要的功能及禁止这些HTTP访问.把一些特定的HTTP访问禁止,Urlscan安全工具可以防止可能会造成伤害的访问,不让这些有害访问到达服务器端.IISLockdown 可执行许多步骤来帮助加强 Web 服务器的安全。这些步骤包括： 锁定文件 禁用服务和组件 安装 Urlscan删除不需要的 Internet 服务器应用程序编程接口 (ISAPI) DLL 脚本映射 删除不需要的目录 更改 ACL 您可以使用 IIS Lockdown 来加强许多类型的 IIS 服务器角色的安全。对于各服务器，您应挑选可满足您 Web 服务器需要的限制性最高的角色。2.24 关闭RPC DCOM组件Remote Procedure Call (RPC)是Windows操作系统使用的一种远程过程调用协议，RPC提供进程间交互通信机制，允许在某台计算机上运行程序无缝的在远程系统上执行代码。协议本身源自OSF RPC协议，但增加了Microsoft特定的扩展。DCOM（the Distributed Component Object Model）扩展COM，以支持不同计算机之间的对象间通信，这些计算机可以是位于局域网，广域网，甚至是互连网。 DCOM规定了网络上组件之间的通信协定，因此DCOM可以说是组件之间的TCP/IP协议。DCOM组件可以远程执行系统命令，并且存在多个已知的和未知的缓冲区溢出漏洞。关闭方法：依次打开 管理工具、组件服务，展开组件服务中的计算机，右键点击其中的我的电脑中的属性，取消默认属性中的“在此计算机上启用分布式com”。TOMCAT系统安全加固1. Tomcat安全配置1.1. 基本安全配置首先，新建一个帐户1. 用ITOMCAT_计算机名建立一个普通用户2. 为其设置一个密码3. 保证密码永不过期(Password Never Expires)被选中修改Tomcat安装文件夹的访问权限1. 选定环境参数CATALINA_HOME或TOMCAT_HOME指向的Tomcat安装文件夹。2. 为ITOMCAT_计算机名用户赋予读、写、执行的访问权限。3. 为ITOMCAT_计算机名用户赋予对WebApps文件夹的只读访问权限。4. 如果某些Web应用程序需要写访问权限，单独为其授予对那个文件夹的写访问权限。当你需要Tomcat作为系统服务运行时，采取以下步骤：1. 到控制面板，选择管理工具，然后选择服务。2. 找到Tomcat：比如Apache Tomcat.exe等等，打开其属性。3. 选择其登录(Log)标签。4. 选择以.登录(Log ON Using)选项。5. 键入新建的ITOMCAT_计算机名用户作为用户名。6. 输入密码。7. 重启机器。1.2. 多重服务器的安全防护如需要apache httpd保护web-inf或meta-inf文件，可以请在httpd.conf 中加入下列的内容：AllowOverride Nonedeny from allAllowOverride Nonedeny from all你也可以把Tomcat配置为将所有对.htaccess的请求都送至错误网页，在Tomcat 的一般安装中，请将下列的servlet-mapping 加到在$CATALINA_HOME/conf/Web.xml 文件的servlet-mapping 项目后面：invoker*.htaccess这会将所有Web应用程序中对.htaccess 的请求映射到invoker servlet，由于无法加载名为invoker 的servlet 类，因此会产生“HTTP 404: Not Found”的错误网页。从技术层面讲，这种形式并不好，因为如果Tomcat可以找到并加载所请求名称的类（.htaccess），它便可能执行该类而非输出消息错误消息1.3. 配置服务器默认端口1. tomcat安装目标下的/conf目录下2. 编辑server.xml文件3. 修改port 8080为你需要端口号，如80.1.4. 关闭服务器端口1. tomcat安装目标下的/conf目录下2. 编辑server.xml文件3. 修改，这样就只有在telnet到8006，并且输入venus才能够关闭Tomcat1.5. 默认错误网页设置1、将附件的index.htm文件拷贝至webappsROOT目录内，删除或改名原来的index.jsp文件。 2、用记事本打开confweb.xml文件，在文件的倒数第二行（一行之前）加入以下内容： 404/error_404.htm1.6. 配置支持SSL配置支持SSL的方法(分别以TEST,TestAdmin两实际访问对象举例)一、 配置tomcat支持SSL方法1. 生成SSL需要用到的keypair。一般在%java_home%/bin下有一个keytool，在命令行窗口，转移到该目录下，运行：keytool -genkey -keyalg RSA在keytool运行时，会询问两次密码，密码是自己设的（例：123456），要记住，随后会用到。最后的那个密码输回车(代表与第一次输的密码相同),中间会问一些国家啊什么的，随便乱填好了。生成的文件叫“.keystore”，可以在-genkey时指定存放该文件路径、或名称等(见该命令帮助)。为了使用方便，本文将其放在C盘根目录下。2. 修改tomcat的conf目录下的server.xml文件去掉有关ssl的那个connector的注释符号。注意，它里面默认没有指定keystorefile等，为了避免路径错误，建议在server.xml中显式地指定keystorePass与keystoreFile，设好后如下：注意：即使是在WINDOWS系统上，server.xml中的大小写也是敏感的。红色斜体部分请根据实际情况填写。3. 重启tomcat二、 配置JAVA环境支持SSL1. 拷贝文件 将Program FilesJavajdk1.5.0_09jrelib 下的 jsse.jar 拷贝到 jdk1.5.0_09jrelibext 下。2. 生成证书文件 访问站点IE，如果用户管理模块要配置为https登录，即访问用户管理网页的地址（比如3:8443/TestAdmin），获取证书，单击查看证书，在弹出的对话框中选择详细信息，然后再单击拷贝文件，根据提供的向导生成待访问网页的证书文件: 将生成的文件直接保存在javajdk1.5.0_09jrelibsecurity目录下，文件名可任意，以容易识别为准：3. 用keytool工具把刚才导出的证书倒入本地keystore： 命令行到jdk1.5.0_09jrelibsecurity下，执行以下命令：keytool -import -noprompt -keystore cacerts -storepass changeit -alias TestAdminHttps -file TestAdminHttps.cer其中TestAdminHttps为当前证书在keystore中的唯一标识符，又称别名 ，可随意取名，只要不与已经存在的重复，以容易识别为准。TestAdminHttps.cer为刚才保存的证书文件名。 如果刚才的证书需要重新导入，可通过以下命令先删除导入的证书：keytool -delete -keystore cacerts -storepass changeit -alias 别名 -file 证书文件（*.cer）4. 重启tomcat注意：1一共需要导入两个证书，分别对应TestAdmin和TEST，步骤完全相同，只是在做操作（2）时访问的页面不同：TestAdmin访问用户管理网页的地址（例如： 3:8443/TestAdmin）TEST访问TEST网页的地址（例如： 3:8443/TEST）2配置前请先确保环境变量设置正确了，需要在环境变量中设置JAVA_HOME，并加入PATH。MS SQL系统安全加固1. 安装最新安全补丁1.1. 安装操作系统提供商发布的最新的安全补丁1) 最新补丁下载地址是：/sql/downloads/default.asp2) 安装补丁详细操作请参照其中的readme文件。2. 网络和系统服务2.1. 检查系统文件是装置在NTFS分区看SQLSERVER安装盘符的属性2.2. 默认用户状态及口令更改情况查看用户状态运行SQL查询分析器，执行（sysxlogins）select*fromsysusersSelectname,Passwordfromsysloginswherepasswordisnullorderbyname#查看口令为空的用户。按F5更改帐户口令运行SQL查询分析器，执行Usemasterexecsp_passwordold_password,new_password,accounname按F52.3. 停用不必要的存储过程停用不必要的存储过程，可能会造成企业管理器一些功能特性的丢失。Xp_cmdshellSp_OACreateSp_OADestroySp_OAGetErrorInfoSp_OAGetPropertySp_O