计算机安防加固事项.docx

1. Windows主机1.1 系统账户优化安全建议：设置强登录口令、删除多余账户、禁用Guest账户。使用以下指令：“Win+R”键调出“运行”compmgmt.msc（计算机管理）-本地用户和组（或者打开“开始”“管理工具”“计算机管理”）查看是否有不用的账号，系统账号所属组是否正确以及guest账号是否锁定。选择“本地用户和组”的“用户”，可设置口令、删除或禁用非必需账户或禁用Guest账户。或命令行操作：使用“net user 用户名 /del”命令删除多余账号使用“net user 用户名 /active:no”命令锁定账号以修改口令为例：对需要修改口令的用户点击右键，选择“设置密码”（建议口令长度为8位以上，含字母、数字和字符）。添加新密码，点“确定”。实施风险：高中低无风险说明：需要分析用户是否被其它系统使用，如果在使用，则需要进行相应的修改。1.2 关闭非必需服务安全建议：查看服务列表，禁用多个不需要的服务。打开“控制面板”“管理工具”，进入“服务”。点击相应的服务，选择启动类型为“已禁用”，设置服务状态为“停止”。常见的非必需服务有：Alerter 远程发送警告信息Computer Browser 计算机浏览器：维护网络上更新的计算机清单Messenger 允许网络之间互相传送提示信息的功能，如 net sendremote Registry 远程管理注册表，开启此服务带来一定的风险Print Spooler 如果相应服务器没有打印机，可以关闭此服务Task Scheduler 计划任务，查看“控制面板”的“任务计划”中是否有计划，若有，则不关闭。(不确定，暂不关闭)SNMP 简单网管协议，如启用网管应用则不关闭。Help and support 帮助服务，windows 2003以下版本有该服务。Wirrless Configuration 关于无线功能的服务。DHCP client （如果服务器是DHCP自动获取IP地址，该服务别关闭）。Update（没连接外网和更新服务器就可以关闭，windows2008和windows7） 。实施风险：高中低无风险说明：应用系统或程序可能对特定的系统服务有依赖关系，可能由于管理员对应用系统或程序使用的系统服务不了解，影响应用系统或程序的正常运行。1.3 设置合理的日志文件大小安全建议：操作目的增大日志量大小，避免由于日志文件容量过小导致日志记录不全检查方法“Win+R”键调出“运行”-eventvwr.msc -“windows日志”-查看“应用程序”“安全”“系统”的属性加固方法建议设置：日志上限大小：8192 KB可以在“创建自定义视图中”选择要记录的时间，建议选择：近30天或更长是否实施备注调整事件日志的大小、覆盖策略。日志类型大小上限覆盖方式应用日志8192K按需要覆盖事件安全日志8192K按需要覆盖事件系统日志8192K按需要覆盖事件“控制面板”“管理工具”“计算机管理”“事件查看器”选择需要修改的项，右键“属性”，修改日志文件大小及覆盖方式。实施风险：高中低无风险说明：无可预见的风险。1.4 关闭默认共享（需和用户或厂家确认是否对业务有影响）安全建议：命令行运行net share ,查看默认共享情况：打开“控制面板”“管理工具”，进入“服务”。点击Server服务，选择启动类型为“已禁用”，设置服务状态为“停止”。实施风险：高中低无风险说明：可能导致某些应用服务运行故障，如VeritasNetbackup、域控制器、网络版防病毒服务器、集群服务器、其它使用网络管理功能的软件。1.5 设置账户口令策略安全建议：打开“所有程序”“管理工具”，进入“本地安全策略”。策略安全设置密码必须符合复杂性要求已启用密码长度最小值8字符密码最长使用期限90天强制密码历史3个记住的密码复位帐户锁定计数器分钟帐户锁定时间分钟帐户锁定阀值5次修改“密码策略”，启用“设置必须符合复杂性要求”，设置“密码长度最小值”为8个字符，设置“密码最长使用期限”为90天、设置“强制密码历史”为3个记住的密码。注：密码策略启用后立即更改系统管理员密码以及其他所有用户的密码，密码必须由大小写字母，数字，特殊符号组成。密码在90日内必须进行更改，更改时注意最近使用过的3个密码无效。修改“账户锁定策略”，进行恰当的配置。PS：改完之后需要和客户说明严重情况。实施风险：高中低无风险说明：设置账户策略后可能导致不符合策略的账户无法登录，需修改不符合账户策略的口令（注：管理员不受账户策略限制，但管理员口令应具有一定的复杂度，以避免被暴力猜测导致安全风险）。集群配置的Windows系统实施本项操作将导致集群故障，不建议实施。1.6 设置安全审计策略安全建议：操作目的对系统事件进行审核，在日后出现故障时用于排查故障检查方法“Win+R”键调出“运行”-secpol.msc -安全设置-本地策略-审核策略加固方法建议设置：审核策略更改：成功审核登录事件：成功，失败审核对象访问：成功，失败审核进程跟踪：成功，失败审核目录服务访问：成功，失败审核系统事件：成功，失败审核帐户登录事件：成功，失败审核帐户管理：成功，失败是否实施备注“Win+R”键调出“运行”-gpupdate /force立即生效建议修改安全策略为下述值：“控制面板”“管理工具”“计算机管理”“本地安全策略”“审核策略”策略安全设置审核策略更改成功审核登录事件成功, 失败审核对象访问成功, 失败审核过程追踪无审核审核目录服务访问无审核审核特权使用无审核审核系统事件成功, 失败审核帐户登录事件成功, 失败审核帐户管理成功, 失败双击需要修改的选项，按加固要求修改实施风险：高中低无风险说明：无可预见的风险。1.7 用户指派权限远程关机配置方法进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派” :“从远端系统强制关机”设置为“只指派给Administrators组”。本地关机配置方法参考配置操作：进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派” :“关闭系统”设置为“只指派给Administrators组”。用户权利指派配置方法进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”。“取得文件或其它对象的所有权”设置为“只指派给Administrators组”。1.8 屏蔽之前登录的用户信息安全建议：打开“控制面板”“管理工具”，进入“本地安全策略”。修改“安全选项”，选择“交互登录：不显示上次用户名”，选择“已启用”。实施风险: 高中低无风险说明：无可预见的风险。1.9 重命名系统管理员安全建议：重命名Administrator，具体方法如下：通过“所有程序”“管理工具”“本地安全策略”“安全选项”“帐户：重命名管理员帐户”，将原Administrator名称改成不被人熟识的帐户（或通过 “管理工具”“计算机管理”“系统工具”“本地用户和组”“用户”，将原Administrator名称改成不被人熟识的帐户）。同时将一个普通帐户名称改成Administrator，登录普通帐户执行系统所有操作。实施风险：高中低无风险说明：可能会影响部分使用该账户的业务，建议核实所有业务系统后进行实施。集群配置的Windows系统实施本项操作将导致集群故障，不建议实施。1.10 屏蔽非必要端口关闭Windows Server2008一些端口的步骤：1.点击控制面板-管理工具，双击打开本地策略，选中IP安全策略，在本地计算机“右边的空白位置右击鼠标，弹出快捷菜单，选择创建IP安全策略”，弹出向导。在向导中点击下一步，当显示“安全通信请求”画面时，“激活默认相应规则”左边的按默认留空，点“完成”就创建了一个新的IP安全策略。2.右击刚才创建的新的IP安全策略，在“属性”对话框中，把“使用添加向导”左边的钩去掉，然后再点击右边的“添加”按纽添加新的规则，随后弹出“新规则属性”对话框，在画面上点击“添加”按纽，弹出IP筛选器列表窗口。在列表中，首先把“使用添加向导”左边的钩去掉，然后再点击右边的添加按纽添加新的筛选器。3.进入“筛选器属性”对话框，首先看到的是寻地址，源地址选“任何IP地址”，目标地址选“我的IP地址”，点击“协议”选项卡，在“选择协议类型”的下拉列表中选择“TCP”，然后在“到此端口”的下的文本框中输入“135”，点击确定。这样就添加了一个屏蔽TCP135 端口的筛选器，可以防止外界通过135端口连上你的电脑。点确定后回到筛选器列表的对话框，可以看到已经添加了一条策略。重复以上步骤继续添加TCP137 139 445 593 1025 2745 3127 3128 3389 6129端口和udp 135 139 445 端口，为它们建立相应的筛选器。建立好上述端口的筛选器，最后点击确定按纽。4.在“新规则属性”对话框中，选中“新IP筛选器列表”然后点击其左边的复选框，表示已经激活。最后点击“筛选器操作”选项卡中，把“使用添加向导”左边的钩去掉，点击“添加”按钮，在“新筛选器操作属性”的“安全方法”选项卡中，选择“阻止”，然后点击“应用”“确定”。5.进入“新规则属性”对话框，选中“新筛选器操作”左边的复选框，表示已经激活，点击“关闭”按钮，关闭对话框。最后“新IP安全策略属性”对话框，在“新的IP筛选器列表”左边打钩，按确定关闭对话框。在“本地安全策略”窗口，用鼠标右击新添加的IP安全策略，然后选择“分配”。端口介绍：TCP13713944559310252745312731283389（该端口是远程桌面的端口，需谨慎） 6129UDP135139445 注意事项：在分配策略前仔细检查屏蔽的端口，不能出现目的端口为的条目否则远程连接就会断开。1.11 关闭autorun自动播放功能安全建议：通过开始菜单的“运行”，其中输入“gpedit.msc”,进入“组策略编辑器”,“计算机配置”“管理模板”“windows组件”“自动播放策略”，双击“关闭自动播放”，选择“已启用”“所有驱动器”，最后“确定”，即可关闭自动播放。注意，此项设置也存在于“用户配置”中，当与“计算机配置”的设置相互冲突时，“计算机配置”中的设置会覆盖“用户设置”中的值。实施风险：高中低无风险说明：无可预见的风险。1.12 设置自动屏保锁定安全建议：控制面板外观显示设置屏幕保护，开启屏保。设定等待时间，同时选择“在恢复时使用密码保护”。实施风险：高中低无风险说明：无可预见风险。1.13 修改远程桌面管理端口步骤：打开“开始运行”，输入“regedit”，打开注册表，进入以下路径：修改数值的话需要修改注册表的两个地方:第一个地方:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWdsrdpwdTdstcpPortNumber值，默认是3389（十进制），修改成所希望的端口，比如6000第二个地方：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-TcpPortNumber值，默认是3389，修改成所希望的端口，比如6000现在这样就可以了。重启系统就可以了.你如果觉得修改数值不够安全,可以把这个端口屏蔽掉:一是在网卡的端口过滤里边,只开放你需要的端口,具体是在tcp/ip的属性设置里头有个高级按键,然后点里面最后一个选项按钮,在tpc/ip筛选里面,只允许你想开放的端口;二是可以安装一个防火墙,也可以达到阻止别人访问你3389端口的目的1.14 关闭非必需网络连接和网卡安全建议：对于存在多个网口的主机，应在系统中禁用不使用的网络连接。操作步骤：控制面板网络和Internet网络连接，选择不使用的网络连接，右击选择禁用。实施风险：高中低无风险说明：无可预见风险。1.15 关闭不必要的端口（该项不建议做）安全建议：进入网卡IP地址属性设置界面，点击“高级”按钮。通过“选项”选项卡的“属性”，启用TCP/IP筛选，并分别设置允许开放的TCP、UDP、IP协议与端口。实施风险: 高中低无风险说明：实施前须确定哪些端口需要使用，哪些不需要使用，以免影响到正常的业务。2. 华为设备2.1 Console口登录安全安全建议：配置交换机或路由器的console口登录安全策略，配置console口登录超时，并对口令进行加密存储。实施步骤：system-viewQuidwayuser-interface aux 0Quidway-ui-aux0idle-timeout 5 0(设置超时)Quidway-ui0authentication-mode passwordQuidway-ui-aux0set authentication password cipher xxxxx(xxxxx是预设置的用户登录口令，使用cipher加密口令)Quidway-ui-aux0quitQuidwaysave（由于后面还有很多配置需要进行，建议所有配置做完后统一保存）The configuration will be written to the device.Are you sure?Y/NYPlease input the file name(*.cfg)(to leave the exiting filename unchanged press the enter key):xxzx.cfg (文件一定要带后缀.cfg,否则保存不成功)实施风险：高中低无风险说明：无可预见的风险。2.2 限制远程登录地址安全建议：如启用远程网管功能，则需限制远程网管终端登陆地址。实施步骤：system-viewQuidway acl number 2000Quidway-acl rule 0 permit source xx 0Quidway-acl-rule0 rule 10 deny实施风险：高中低无风险说明：由于配置错误，导致所有IP地址都无法管理该交换机。2.3 关闭不安全协议安全建议：建议对外关闭http服务，可以通过访问控制列表或删除交换机的配置文件两种方式实现，可以防止因WEB服务而产生的安全漏洞。实施步骤：Quidway acl number 3001Quidway-acl-adv-3001 ruledeny tcp source any destination 0 destination-port eq 80Quidway-acl-adv-3001quitQuidway interface GigabitEthernet 1/0/1（端口号）Quidway- GigabitEthernet 1/0/1 packet-filter inbound ip-group 3001Quidway-GigabitEthernet1/0/1quitQuidwaysave实施风险：高中低无风险说明：关闭某些服务会导致网络管理不便，网络故障。2.4 Snmp认证安全建议：建议启用SNMP V3版本，启用MD5加密认证。对交换机SNMP信息采集配置严格的访问控制列表，避免普通用户进行非授权访问，更改交换机SNMP缺省字符串。实施步骤：system-viewQuidway undo snmp-agent community public （首先删除原来的public口令串）Quidwaysnmp-agent community read nari (新建一个具有读权限的口令串nari，如为读写权限，则read改为write)Quidwaysave The configuration will be written to the device.Are you sure?Y/NYPlease input the file name(*.cfg)(to leave the exiting filename unchanged press the enter key):xxzx.cfg (文件一定要带后缀.cfg,否则保存不成功)实施风险：高中低无风险说明：如通过SNMP进行网络管理和网络监控，则应修改相应的网管系统配置。2.5 设置ACL访问控制列表安全建议：设置ACL访问控制列表，控制并规范网络访问行为。实施步骤：Quidway acl number 3000Quidway-acl-adv-3000 ruledeny tcp source any destination any destination-port eq 135Quidway-acl-adv-3000 ruledeny udp source any destination any destination-port eq 135Quidway-acl-adv-3000 ruledeny udp source any destination any destination-port eq netbios-nsQuidway-acl-adv-3000 ruledeny udp source any destination any destination-port eq netbios-dgmQuidway-acl-adv-3000 ruledeny tcp source any destination any destination-port eq 139Quidway-acl-adv-3000 ruledeny udp source any destination any destination-port eq 139Quidway-acl-adv-3000 ruledeny tcp source any destination any destination-port eq 445 Quidway-acl-adv-3000 ruledeny udp source any destination any destination-port eq 445Quidway-acl-adv-3000 ruledeny udp source any destination any destination-port eq 593Quidway-acl-adv-3000 ruledeny tcp source any destination any destination-port eq 593Quidway-acl-adv-3000quitQuidwayinterface ethernet5/0/1（端口号）Quidway-Ethernet5/0/1packet-filter inbound ip-group 3000 Quidway-Ethernet5/0/1quitQuidwaysave实施风险：高中低无风险说明：会导致局域网内不能共享文件和打印机。2.6 启用日志审计安全建议：启用日志审计功能，并配置日志审计服务器，对日志应进行定期保存并备案。实施步骤：Quidway info-center enable （开启日志系统） 配置控制台日志输出 Quidway info-center console channel console （设置向控制台输出信息的通道，最后一个console为通道号）Quidway info-center source default channel 6 log level debuggingQuidway info-center loghost IP languageenglish | chinese（选择语言类型）Quidwaysave实施风险：高中低无风险说明：无可预见的风险。2.7 空闲端口控制安全建议：关闭交换机上的空闲端口，防止恶意用户利用空闲端口进行攻击。实施步骤：Quidway interface Ethernet0/1（端口号）Quidway-Ethernet0/1 shutdownQuidway-Ethernet0/1 quitQuidwaysave实施风险：高中低无风险说明：无可预见的风险。2.8 MAC地址绑定安全建议：使用802.1x等技术措施实现IP和MAC地址绑定，防止ARP攻击、中间人攻击、恶意用户的接入、地址冲突等。实施步骤：Quidway arp static IP MAC实施风险：高中低无风险说明：如网络中部署服务器集群，则会影响服务器的切换。2.9 Super权限口令加密安全建议：配置交换机或路由器的super权限口令，分配super权限等级，并对口令做加密存储。实施步骤：system-viewQuidwaysuper password level 1|2|3 cipher xxxxx（设置不同等级super用户登录密码，xxxxx是预设置的用户登录口令，使用cipher加密口令）QuidwayquitQuidwaysave实施风险：高中低无风险说明：无可预见的风险。3. SQL Server数据库系统3.1 必须加固项增强系统管理员帐户sa口令安全建议：登录SQL SERVER数据库企业管理器，在“安全性”“登录”中为sa设置足够复杂的口令：实施风险：高中低无风险说明：可能影响将用户名口令硬编码在程序中的应用系统。3.2 建议加固项限制启动帐户权限安全建议：应根据最小权限原则定义专门的帐户用于启动和运行数据库服务，登录SQL SERVER数据库企业管理器，右键点击打开数据库的“属性”，在“安全性”页面中设置SQL Server的启动帐号：实施风险：高中低无风险说明：需重启数据库，并对应用系统进行测试。删除示例数据库安全建议：删除示例数据库“pubs”和“Northwi