Windows系统安全加固技术指导书

甘肃海丰信息科技有限公司甘肃海丰信息科技有限公司 WindowsWindows 系统安全加固技术指导书系统安全加固技术指导书 版 本Ver2.0 密 级【绝密】 发 布甘肃海丰科技 编 号GSHF-0005-OPM-20100101 2006-2020 HIGHFLYER INFORMATION TECHNOLOGY ,INC. 欢迎下载1 目目 录录 文档信息文档信息.2 前前 言言 .3 一、编制说明.3 二、参照标准文件.3 三、加固原则.3 1.业务主导原则.3 2.业务影响最小化原则.4 3.实施风险控制.4 (一)主机系统.4 (二)数据库或其他应用.4 4.保护重点.5 5.灵活实施.5 6.周期性的安全评估.5 四、安全加固流程.5 1.主机分析安全加固.6 2.业务系统安全加固.7 五、WINDOWS 2003 操作系统加固指南.8 1.系统信息.8 2.补丁管理.8 (一)补丁安装.8 3.账号口令.8 (一)优化账号.8 (二)口令策略.8 4.网络服务.9 (三)优化服务.9 (四)关闭共享.9 (五)网络限制.10 5.文件系统.10 (一)使用 NTFS .10 (二)检查 Everyone 权限.10 (三)限制命令权限.10 6.日志审核.11 (一)增强日志.11 (二)增强审核.11 欢迎下载2 文档信息文档信息 版权声明版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版 权均属甘肃海丰所有，受到有关产权及版权法保护。任何个人、机构未经甘肃海丰的书面授权许可， 不得以任何方式复制或引用本文的任何片断。 变更记录变更记录 时间时间版本版本说明说明修改人修改人 2008-07-091.0新建本文档郑方 2009-05-271.5修正了 4 处错误、删除了 IIS5 加固部分郑方 2010-10-112.0新增加固 IIS6、SQL2000 加固操作指南郑方 欢迎下载3 前前 言言 一、一、 编制说明编制说明 信息安全加固作为信息安全体系建设的重要组成部分，本方案的编制是在充分考虑了客户信息系 统，Windows 服务器的现状和行业最佳实践，通过风险评估总结了主机系统现有的安全现状，并参考 了各类安全政策文件，继承和吸收了国家等级保护、风险评估的经验成果。本指导书概括地阐述了安 全加固介绍、安全加固内容等方面内容。 二、二、 参照标准文件参照标准文件 1）信息安全技术 信息安全风险评估规范 2）业务系统安全等级保护基本要求（报批稿） 3）业务系统安全等级保护测评准则V2.0(送审稿) 三、三、 加固原则加固原则 在上述标准文件的基础上，我们建议本次加固归纳了 6 个原则： 1.业务主导原则业务主导原则 业务系统加固是围绕系统所承载业务的保护。对业务系统进行加固的根本目的不是保护系统的网 络节点、系统节点，而是业务系统所承载的业务、数据以及提供的服务，这种以业务为核心的思想将 贯穿整个加固的各个阶段。 因此明确系统业务、分析业务环境、划分业务边界、导出业务安全需求是加固的首要任务，也是 决定加固效果和质量的最关键阶段。 要确保业务安全，取决于网络层、系统层、应用层、数据库层等多个层面的安全，因此安全加固 服务涉及多个层面、是一个复杂的、循序渐进的过程，不能一撮而就； 不同业务系统要结合系统自身身情况制定相应加固方案，加固的预期效果也应不尽相同。 欢迎下载4 2.业务影响最小化原则业务影响最小化原则 对于在线系统的加固服务，应通过必要措施将对业务的影响降至最低，并为现场安全测试、检 查、加固提供完备的应急服务。 3.实施风险控制实施风险控制 在进行安全加固前，进行小范围的全景负载模拟试验，检验安全加固的有效性和安全可靠性。 在加固过程中安全实施顾问会对操作的每一个步骤及系统状态进行详细记录，一旦发现异常立刻 退回上一步。 安全加固过程中可能带来的风险的步骤有： (一一) 主机系统主机系统 安装补丁；安装补丁； 可能会导致某些特定的服务不可用甚至主机崩溃（尽量采用可卸载的 Patch 安装方式，如无法卸 载则由我方根据以往的经验以及被加固主机的应用特点提出我方的建议，由管理员最终确认）。 修改配置文件禁止某些默认用户登陆；修改配置文件禁止某些默认用户登陆； 可能导致某些特定服务不可用（改回配置文件即可恢复）。 停掉某些不必要的系统服务；停掉某些不必要的系统服务； 可能导致某些应用程序不可用，需管理员事先确认（重新启动服务即可恢复）。 对主机上的某些应用程序进行升级或对配置文件进行调整，以增强安全性；对主机上的某些应用程序进行升级或对配置文件进行调整，以增强安全性； 可能导致应用程序运行不正常（改回配置即可恢复）。 文件系统加固，调整重要系统文件的安全属性和存取权限；文件系统加固，调整重要系统文件的安全属性和存取权限； 可能导致某些程序无法正常运行（改回属性和权限即可恢复）。 (二二) 数据库或其他应用数据库或其他应用 针对系统平台选择安装补丁针对系统平台选择安装补丁 可能导致数据库或其他应用无法正常工作，其他依赖于此的应用程序也将受到影响（根据我方的 实施经验由实施工程师提出建议，由数据库或应用管理员进行确认，必要时可咨询厂商技术人员） 将数据库或其他应用的某些帐户的密码改为强壮的密码将数据库或其他应用的某些帐户的密码改为强壮的密码 欢迎下载5 可能导致某些登陆数据库的应用程序需要重新设置（加固前通知相关应用系统管理员，同时设置 应用程序） 禁止数据库或其他应用系统使用不必要的网络协议禁止数据库或其他应用系统使用不必要的网络协议 可能导致某些依赖于相关协议的应用程序无法正常工作（改动前需由数据库或应用管理员进行确 认） 正确分配数据库或其他应用相关文件的访问权限正确分配数据库或其他应用相关文件的访问权限 可能导致被遗漏的用户无法访问相关文件（重新设置即可） 删除无用的存储过程或扩展存储过程删除无用的存储过程或扩展存储过程 可能导致数据库的某些功能无法使用，实施前需经数据库管理员确认 4.保护重点保护重点 加固不是事无巨细，对整个单位的所有区域进行面面俱到的保护，而是重点考虑关键业务、关键 业务流程、关键信息资产、关键区域，保证加固工作重点突出、有的放矢、目标明确。 5.灵活实施灵活实施 由于业务系统/网络是与各省公司具体环境相关，不可能设计一种通用的加固方案，也不存在对所 有单位都适用的单一解决方案。应根据实际情况灵活实施，满足各类单位的需要。 6.周期性的安全评估周期性的安全评估 安全加固工作不应是一次性的，应根据实际情况定期开展，以控制新出现的安全风险。长久来看， 安全加固工作是周期性的，长期性的；在加固后不能抱有一劳永逸的思想，同时也要认知到，安全加 固不仅仅是对设备的安全加固，更要结合加固期间的培训交流，培养维护人员安全意识，不断提升安 全意识； 四、四、 安全加固流程安全加固流程 安全加固服务是绿盟科技安全服务体系中的重要环节。 是风险评估结果得到落地的重要步骤，针对主机系统的加固流程简介如下： 1）主机设备安全加固 欢迎下载6 2）业务系统安全加固 项目助理进度检查 确定工程实施计划 提交给项目经理 根据用户系统需求,安 排工程任务 工程实施 查找客户数据 库相关资料 客户沟通 实施工程师签字客户签字 提交工程实施报告给 项目助理 收集客户反馈 资料输入用户 数据库 提交报告给客户 反馈给项目经理工程实施结束 1. 主机分析安全加固主机分析安全加固 主机安全是信息系统安全中的基础组成部分，关键数据和信息直接由系统平台提供。支持分布式 计算环境中不断增长的系统平台面临各种安全威胁，包括数据窃取、数据篡改、非授权访问、病毒破 坏等。这时就需要专业的安全加固服务以保障运行和存贮在这些系统平台上的数据的的机密性、完整 性和可用性。 主机安全加固服务利用多种技术手段对您信息系统中的操作系统平台提供安全加固和配置优化， 同时将其集成到客户已有的环境中。 欢迎下载7 主机安全加固是指通过一定的技术手段，提高操作系统安全性和抗攻击能力，通常这些技术手段， 只能为实施这项技术的这一台主机服务。所提供的安全加固服务手段有： 1基本安全配置检测和优化 2密码系统安全检测和增强 3系统后门检测 4提供访问控制策略和安全工具 5增强远程维护的安全性 6文件系统完整性审计 7增强的系统日志分析 8系统升级与补丁安装 经过良好配置的系统的抗攻击性有极大的增强。在对系统作相应的安全配置后，结合定期的安全 评估和维护服务就使得系统保持在一个较高的安全线之上。 2. 业务系统安全加固业务系统安全加固 业务系统安全是信息系统安全中的重要组成部分，全网后台数据库与前台界面呈现与应用全由业 务系统平台提供。面临各种安全威胁包括非法登陆与访问控制、数据损坏与篡改、漏洞攻击等。这时 就需要专业的安全加固服务以保障运行在这些系统平台上的数据流的机密性、完整性和可用性。 业务系统安全加固服务利用多种技术手段对您信息系统中的业务平台提供安全加固和配置优化， 同时将其集成到客户已有的环境中。 业务系统安全加固是指通过一定的技术手段，提高其安全性和抗攻击能力，通常这些技术手段， 只能为实施这项技术的这一台设备服务。所提供的安全加固服务手段有： 1基本安全配置检测和优化 2帐户密码系统安全检测和增强 3文件权限安全优化 4应用操作日志安全审核与痕迹管理 5代码安全审核 6系统日志安全审核与痕迹管理 7数据库安全配置 8FTP 与 WEB 服务器安全配置 欢迎下载8 经过良好配置的业务系统平台的抗攻击性和自身安全性有极大的增强。在对其作相应的安全配置 后，结合定期的安全评估和维护服务就使得其保持在一个较高的安全线之上。 五、五、 WindowsWindows 20032003 操作系统加固操作系统加固指南指南 1. 系统系统信息信息 查看系统版本 ver 查看 SP 版本 wmic os get ServicePackMajorVersion 查看 Hotfix wmic qfe get hotfixid,InstalledOn 查看主机名 hostname 查看网络配置 ipconfig /all 查看路由表 route print 查看开放端口 netstat -ano 2. 补丁管理补丁管理 (一一) 补丁安装补丁安装 操作目的安装系统补丁，修补漏洞 检查方法远程扫描漏洞，或安装微软安全基准分析器 Microsoft Baseline Security Analyzer 扫 描漏洞 加固方法手动安装补丁 是否实施 备注补丁安装后可能影响业务系统的稳定性 3. 账号口令账号口令 (一一) 优化账号优化账号 操作目的减少系统无用账号，降低风险 检查方法开始-运行-compmgmt.msc（计算机管理）-本地用户和组，查看是否有不用的账号，系 统账号所属组是否正确以及 guest 账号是否锁定 加固方法使用“net user 用户名 /del”命令删除账号 使用“net user 用户名 /active:no”命令锁定账号 是否实施 备注 (二二) 口令策略口令策略 操作目的增强口令的复杂度及锁定策略等，降低被暴力破解的可能性 检查方法开始-运行-secpol.msc （本地安全策略）-安全设置 加固方法1，账户设置-密码策略 密码必须符合复杂性要求：启用 密码长度最小值：8 个字符 密码最长存留期：90 天 密码最短存留期：0 天 欢迎下载9 密码最短存留期：30 天 强制密码历史：1 个记住密码 2，账户设置-账户锁定策略 复位帐户锁定计数器：1 分钟 帐户锁定时间：1 分钟 帐户锁定阀值：5 次无效登录 3，本地策略-安全选项 交互式登录：不显示上次的用户名：启用 是否实施 备注gpupdate /force 立即生效 4. 网络服务网络服务 (三三) 优化服务优化服务 操作目的关闭不需要的服务，减小风险 检查方法开始-运行-services.msc 加固方法建议将以下服务停止，并将启动方式修改为手动： Automatic Updates（不适用自动更新可以关闭） Background Intelligent Transfer Service（不适用自动更新可以关闭） DHCP Client Messenger Remote Registry Print Spooler Server（不使用文件共享可以关闭） Simple TCP/IP Service Simple Mail Transport Protocol (SMTP) SNMP Service Task Schedule TCP/IP NetBIOS Helper 是否实施 备注其他不需要的服务也应该关闭 (四四) 关闭共享关闭共享 操作目的关闭默认共享 检查方法开始-运行-cmd.exe-net share，查看共享 加固方法1，关闭 C$，D$等默认共享 开始-运行-regedit-找到 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters ， 新建 AutoShareServer（REG_DWORD），键值为 0 2，关闭 ADMIN$默认共享 找到 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters， 新建 AutoShareWks（REG_DWORD），键值为 0 是否实施 备注 (五五) 网络限制网络限制 操作目的网络访问限制 检查方法开始-运行-secpol.msc -安全设置-本地策略-安全选项 欢迎下载10 加固方法网络访问: 不允许 SAM 帐户的匿名枚举：启用 网络访问: 不允许 SAM 帐户和共享的匿名枚举：启用 网络访问: 将 “每个人”权限应用于匿名用户：禁用 帐户: 使用空白密码的本地帐户只允许进行控制台登录：启用 是否实施 备注gpupdate /force 立即生效 5. 文件系统文件系统 (一一) 使用使用 NTFS 操作目的增强文件系统安全性 检查方法查看每个系统驱动器是否使用 NTFS 文件系统 加固方法建议使用 NTFS 文件系统，转换命令：convert : /fs:ntfs 是否实施 备注 (二二) 检查检查 Everyone 权限权限 操作目的增强 Everyone 权限 检查方法查看每个系统驱动器根目录是否设置为 Everyone 有所有权限 加固方法删除 Everyone 的权限或者取消 Everyone 的写权限 是否实施 备注 (三三) 限制命令权限限制命令权限 操作目的限制部分命令的权限 检查方法使用 cacls 命令或资源管理器查看以下文件权限 加固方法建议对以下命令做限制，只允许 system、Administrator 组访问 %systemroot%system32cmd.exe %systemroot%system32regsvr32.exe %systemroot%system32tftp.