Linux/Windows系统通用安全基本配置

Linux/Windows系统通用安全基本配置

🗨
Linux系统安全配置基线
一:共享账号检查
配置名称:用户账号分配检查,避免共享账号存在
配置要求:1、系统需按照实际用户分配账号;
          2、避免不同用户间共享账号,避免用户账号和服务器间通信使用的账号共享。
操作指南:参考配置操作:cat /etc/passwd查看当前所有用户的情况;
检查方法:命令cat /etc/passwd查看当前所有用户的信息,与管理员确认是否有共享账号情况存在。
配置方法:如需建立用户,参考如下:
          #useradd username  #创建账号
          #passwd username   #设置密码
          使用该命令为不同的用户分配不同的账号,设置不同的口令及权限信息等。
适用版本:Linux Redhat AS 3、Linux Redhat AS 4

二:多余账户锁定策略

配置名称:多余账户锁定策略
配置要求:应锁定与设备运行、维护等工作无关的账号。
操作指南:参考配置操作:
          查看锁定用户:
          # cat /etc/password,查看哪些账户的shell域中为nologin;
检查方法:人工检查:
          	# cat /etc/password后查看多余账户的shell域为nologin为符合;
          BVS基线检查:
          	多余账户处于锁定状态为符合。
配置方法:锁定用户:
        修改/etc/password文件,将需要锁定的用户的shell域设为nologin;
        或通过#passwd –l username锁定账户;
        只有具备超级用户权限的使用者方可使用#passwd –l username锁定用户,用#passwd –d username解锁后原有密码失效,登录需输入新密码。
        补充操作说明:
        一般情况下,需要锁定的用户:lp,nuucp,hpdb,www,demon
适用版本:Linux Redhat AS 3、Linux Redhat AS 4

三:root账户远程登录限制

配置名称:root账户远程登录账户限制
配置要求:1、限制具备超级管理员权限的用户远程登录。
          2、远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账号后执行相应操作。
操作指南:使用root账户远程尝试登陆
检查方法:1、root远程登录不成功,提示“Not on system console”;
         2、普通用户可以登录成功,而且可以切换到root用户;
配置方法:修改/etc/ssh/sshd_config文件,将PermitRootLogin yes改为PermitRootLogin no,重启sshd服务。
适用版本:Linux Redhat AS 3、Linux Redhat AS 4

四:口令复杂度策略

配置名称:操作系统口令复杂度策略
配置要求:口令长度至少12位,并包括数字、小写字母、大写字母和特殊符号。
操作指南:1、参考配置操作
        # cat /etc/pam.d/system-auth,找到password模块接口的配置部分,找到类似如下的配置行:
        password  requisite  /lib/security/$ISA/pam_cracklib.so minlen =6
        2、补充操作说明
        参数说明如下:
        1、retry=N,确定用户创建密码时允许重试的次数;
        2、minlen=N,确定密码最小长度要求,事实上,在默认配置下,此参数代表密码最小长度为N-1;
        3、dcredit=N,当N小于0时,代表新密码中数字字符数量不得少于(-N)个。例如,dcredit=-2代表密码中要至少包含两个数字字符;
        4、ucredit=N,当N小于0时,代表则新密码中大写字符数量不得少于(-N)个;
        5、lcredit=N,当N小于0时,代表则新密码中小写字符数量不得少于(-N)个;
        6、ocredit=N,当N小于0时,代表则新密码中特殊字符数量不得少于(-N)个;
检查方法:# cat /etc/pam.d/system-auth,参考操作指南检查对应参数
         	口令的最小长度至少12位
         	口令最少应包含的字符数量
         	口令中最少应包含的字母字符数量
         	口令中最少应包含的非字母数字字符数量
         通过以上4子项的输出综合判断该项是否满足。
配置方法:# vi /etc/pam.d/system-auth,找到password模块接口的配置部分,按照配置要求内容修改对应属性。
适用版本:Linux Redhat AS 4

五: 口令最长生存期策略

配置名称:口令最长生存期策略
配置要求:要求操作系统的账户口令的最长生存期不长于90天
操作指南:# cat /etc/login.defs文件中指定配置项,其中:
          PASS_MAX_DAYS配置项决定密码最长使用期限;
          PASS_MIN_DAYS配置项决定密码最短使用期限;
          PASS_WARN_AGE配置项决定密码到期提醒时间。
检查方法:PASS_MAX_DAYS值小于等于90为符合;
         “对于采用静态口令认证技术的设备,账户口令的生存期不长于90天”项的当前值:表示当前的口令生存期长度。
配置方法:vi /etc/login.defs文件,修改PASS_MAX_DAYS值为小于等于9
适用版本:Linux Redhat AS 3、Linux Redhat AS 4

六:系统关键目录权限控制

配置名称:关键目录权限控制
配置要求:根据安全需要,配置某些关键目录其所需的最小权限;
          重点要求password配置文件、shadow文件、group文件权限。
         当前主流版本的linux系统在默认情况下即对重要文件做了必要的权限设置,在日常管理和操作过程中应避免修改此类文件权限,除此以外,
         应定期对权限进行检查及复核,确保权限设置正确。
操作指南:查看关键目录的用户对应权限参考命令
          ls -l /etc/passwd
          ls -l /etc/shadow
          ls -l /etc/group
检查方法:与管理员确认已有权限为最小权限。
配置方法:参考配置操作:
        通过chmod命令对目录的权限进行实际设置。
        补充操作说明:
        	/etc/passwd 所有用户都可读,root用户可写 –rw-r—r— 
        配置命令:chmod 644 /etc/passwd
        	/etc/shadow 只有root可读 –r-------- 
        配置命令:chmod 600 /etc/shadow;
        	/etc/group 必须所有用户都可读,root用户可写 –rw-r—r—
        配置命令:chmod 644 /etc/group;
        如果是有写权限,就需移去组及其它用户对/etc的写权限(特殊情况除外)执行命令#chmod -R go-w,o-r /etc
适用版本:Linux Redhat AS 3、Linux Redhat AS 4

七:用户缺省权限控制

配置名称:用户缺省权限控制
配置要求:控制用户缺省访问权限,当在创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限,防止同属于
该组的其它用户及别的组的用户修改该用户的文件或更高限制。
操作指南:1、# cat /etc/bashrc  查看全局默认设置umask值
          2、查看具体用户home目录下bash_profile,具体用户的umask
检查方法:查看全局默认设置umask值为027或更小权限为符合(如有特许权限需求,可根据实际情况判断);
          查看具体用户的umask,本着最小权限的原则。
配置方法:参考配置操作:
          单独针对用户设置
          可修改用户home目录下的.bash_profile脚本文件,例如,可增加一条语句:umask 027;对于权限要求较严格的场合,建议设置为077。
          全局默认设置:
          默认通过全局脚本/etc/bashrc设置所有用户的默认umask值,修改脚本即可实现对用户默认umask值的全局性修改,
          通常建议将umask设置为027以上,对于权限要求较严格的场合,建议设置为077。
适用版本:Linux Redhat AS 3、Linux Redhat AS 4

八:安全日志完备性要求

配置名称:安全日志完备性要求
配置要求:系统应配置完备日志记录,记录对与系统相关的安全事件。
操作指南:1、# cat /etc/syslog.conf查看是否有对应配置
          2、# cat /var/log/secure查看是否有对应配置
检查方法:1、cat /etc/syslog.conf确认有对应配置;
          2、查看/var/log/secure,应记录有需要的设备相关的安全事件。
配置方法:修改配置文件vi /etc/syslog.conf。
          配置如下类似语句:
          authpriv.*			/var/log/secure
          定义为需要保存的设备相关安全事件。
适用版本:Linux Redhat AS 3、Linux Redhat AS 4

九:统一远程日志服务器配置

配置名称:统一远程日志服务器配置
配置要求:当前系统应配置远程日志功能,将需要重点关注的日志内容传输到日志服务器进行备份。
操作指南:# cat /etc/syslog.conf查看是否有对应配置
检查方法:配置了远程日志服务器为符合
配置方法:1、参考配置操作
          修改配置文件vi /etc/syslog.conf,
          加上这一行:
          *.* @192.168.0.1
          可以将"*.*"替换为你实际需要的日志信息。比如:kern.* / mail.* 等等;可以将此处192.168.0.1替换为实际的IP或域名。
          重新启动syslog服务,执行下列命令:
          services syslogd restart
          2、补充操作说明
          注意:*.*和@之间为一个Tab
适用版本:Linux Redhat AS 3、Linux Redhat AS 4

十:设置history时间戳

配置名称:设置history时间戳
配置要求:配置history时间戳,便于审计。
操作指南:# cat /etc/bashrc查看是否有对应配置
检查方法:已添加,如:“export HISTTIMEFORMAT="%F %T”配置为符合。
配置方法:参考配置操作:
          在/etc/bashrc文件中增加如下行:
          export HISTTIMEFORMAT="%F %T
适用版本:Linux Redhat AS 4

十一:SSH登录配置

配置名称:SSH登录配置
配置要求:系统应配置使用SSH等加密协议进行远程登录维护,并安全配置SSHD的设置。不使用TELENT进行远程登录维护。
操作指南:1、查看SSH服务状态:# ps –elf|grep ssh;
          2、查看telnet服务状态:# ps –elf|grep telnet。
检查方法:1、	不能使用telnet进行远程维护;
          2、	应使用SSH进行远程维护;
          3、	SSH配置要符合如下要求;
              Protocol  2 #使用ssh2版本
              X11Forwarding yes #允许窗口图形传输使用ssh加密
              IgnoreRhosts  yes#完全禁止SSHD使用.rhosts文件
              RhostsAuthentication no #不设置使用基于rhosts的安全验证
              RhostsRSAAuthentication no #不设置使用RSA算法的基于rhosts的安全验证
              HostbasedAuthentication no #不允许基于主机白名单方式认证
              PermitRootLogin no #不允许root登录
              PermitEmptyPasswords no #不允许空密码
              Banner /etc/motd  #设置ssh登录时显示的banner
          4、以上条件都满足为符合。
配置方法:1、参考配置操作
            编辑 sshd_config,添加相关设置,SSHD相关安全设置选项参考检查方法中的描述。
          2、补充操作说明
            查看SSH服务状态:# ps –elf|grep ssh
适用版本:Linux Redhat AS 4

十二:关闭不必要的系统服务

配置名称:关闭不必要的系统服务
配置要求:根据每台机器的不同角色,关闭不需要的系统服务。操作指南中的服务项提供参考,根据服务器的角色和应用情况对启动项进行修改。
如无特殊需要,应关闭Sendmail、Telnet、Bind等服务。
操作指南:执行命令 #chkconfig --list,查看哪些服务开放。
检查方法:与管理员确认无用服务已关闭
配置方法:1、参考配置操作
        使用如下方式禁用不必要的服务
        #service <服务名> stop
        #chkconfig --level 35 off
        2、参考说明
        Linux/Unix系统服务中,部分服务存在较高安全风险,应当禁用,包括:
        “lpd”,此服务为行式打印机后台程序,用于假脱机打印工作的UNIX后台程序,此服务通常情况下不用,建议禁用;
        “telnet”,此服务采用明文传输数据,登陆信息容易被窃取,建议用ssh代替;
        “routed”,此服务为路由守候进程,使用动态RIP路由选择协议,建议禁用;
        “sendmail”,此服务为邮件服务守护进程,非邮件服务器应将其关闭;
        “Bluetooth”,此服务为蓝牙服务,如果不需要蓝牙服务时应关闭;
        “identd”,此服务为AUTH服务,在提供用户信息方面与finger类似,一般情况下该服务不是必须的,建议关闭;
        “xfs”,此服务为Linux中X Window的字体服务,关于该服务历史上出现过信息泄露和拒绝服务等漏洞,应以减少系统风险;
        R服务(“rlogin”、“rwho”、“rsh”、“rexec”),R服务设计上存在严重的安全缺陷,仅适用于封闭环境中信任主机之间便捷访问,
        其他场合下均必须禁用;
        基于inetd/xinetd的服务(daytime、chargen、echo等),此类服务建议禁用。
适用版本:Linux Redhat AS 3、Linux Redhat AS 4

十三:禁止Control-Alt-Delete键盘关闭命令

配置名称:禁止Control-Alt-Delete键盘关闭命令
配置要求:应禁止使用Control-Alt-Delete组合键重启服务器,防止误操作
操作指南:命令cat /etc/inittab,查看配置
检查方法:/etc/inittab 中应有:“#ca::ctrlaltdel:/sbin/shutdown -t3 -r now”配置为符合。
配置方法:1、参考配置操作
            在“/etc/inittab” 文件中注释掉下面这行(使用#): ca::ctrlaltdel:/sbin/shutdown -t3 -r now  
            改为: #ca::ctrlaltdel:/sbin/shutdown -t3 -r now  
            为了使此改动生效,输入下面这个命令: # /sbin/init q
        2、补充说明
            禁止ctl-alt-del使得在控制台直接按ctl-alt-del不能重新启动计算机。
适用版本:Linux Redhat AS 4

十四:安装操作系统更新补丁

配置名称:安装操作系统更新补丁
配置要求:安装操作系统更新补丁,修复系统漏洞
操作指南:1、查看当前系统补丁版本
          2、检查官网当前系统版本是否发布安全更新。
检查方法:版本应保持为最新
配置方法:通过访问
https://rhn.redhat.com/errata/下载补丁安装包,在打开的页面上,选择与自己使用相对应的系统后,点击连接进入补丁包下载列表界面,
选择需要的补丁下载。
         下载的补丁为rpm安装包,将该安装包复制到目标系统上,使用命令rpm –ivh xxx.rpm进行安装,随后重新启动系统,
         检查所安装补丁的服务或应用程序是否运行正常,即完成该补丁的安装和升级工作。
适用版本:Linux Redhat AS 3 Linux Redhat AS 4





Windows系统通用安全配置基线

一:共享账号检查

配置名称:账号分配检查,避免共享账号存在
配置要求: 1、系统需按照实际用户分配账号;
          2、根据系统的使用需求,设定不同的账户和账户组,包括管理员用户,数据库用户,审计用户,来宾用户等;
          3、避免出现共享账号情况;
操作指南:参考配置操作(适用2000、2003)
         ”控制面板->管理工具->计算机管理->系统工具->本地用户和组”。
          参考配置操作(适用2008 x64)
         ”管理工具->服务器管理->配置->本地用户和组”。
检查方法:查看已创建账户和账户组,与管理员确认有无无用的或共用的账户,如果每一账户都按需创建和划分账户组的则符合要求。
配置方法:根据系统实际使用需求,设定不同的账户和账户组,如:管理员用户,数据库用户,审计用户,来宾用户。
使用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64。

二:来宾账户检查

配置名称:禁用来宾账户
配置要求:禁用guest(来宾)用户
操作指南:参考配置操作(适用2000、2003)
        ”控制面板->管理工具->计算机管理”,在”系统工具->本地用户和组->Guest账户>属性->“常规”页
         参考配置操作(适用2008 x64)
         ”管理工具->服务器管理”,在”配置->本地用户和组->Guest账户->属性-> “常规”页
检查方法:检查复选框”账户已禁用”项状态,勾选为已禁用来宾账号
配置方法:勾选复选框”账户已禁用”项,禁用来宾账号。
适用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64。

三:口令复杂度策略

配置名称:口令复杂度策略
配置要求:1、最短密码长度 12个字符;
          2、启用本机组策略中密码必须符合复杂性要求的策略,即密码至少包含以下四种类别的字符中的三种:
            	英语大写字母 A, B, C, … Z 
            	英语小写字母 a, b, c, … z 
            	西方阿拉伯数字 0, 1, 2, … 9 
            	非字母数字字符,如标点符号,@, #, $, %, &, *等
操作指南:参考配置操作(适用2000、2003)
            1、”控制面板->管理工具->本地安全策略->帐户策略->密码策略->密码长度最小值->属性”
            2、”控制面板->管理工具->本地安全策略->帐户策略->密码策略->密码必须符合复杂性要求->属性”
          参考配置操作(适用2008 x64)
            1、”管理工具->本地安全策略->帐户策略->密码策略->密码长度最小值->属性”
            2、”管理工具->本地安全策略->帐户策略->密码策略->密码必须符合复杂性要求->属性”
检查方法:1、检查最小值设置,大于等于12为符合要求;
          2、检查单选框”已启动”状态,选中”已启动”为符合。
配置方法:1、将密码最小值设置为大于等于12;
          2、将”密码必须符合复杂性要求”项,选中”已启动”。
使用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

四:口令最长生存期策略

配置名称:口令最长生存期策略
配置要求:要求操作系统的账户口令的最长生存期不长于90天。
操作指南:参考配置操作(适用2000、2003)
          ”控制面板->管理工具->本地安全策略->帐户策略->密码策略->密码最长存留期->属性”
          参考配置操作(适用2008 x64)
          ”管理工具->本地安全策略->帐户策略->密码策略->密码最长存留期->属性”
检查方法:检查”密码最长使用期限”小于等于90为符合。
配置方法:检查”密码最长使用期限”小于等于90为符合。
使用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

五:远程关机授权

配置名称:本地安全设置中远程关机授权只指派给Administrators组
配置要求:在本地安全设置中从远端系统强制关机只指派给Administrators组。
操作指南:参考配置操作(适用2000、2003)
          ”控制面板->管理工具->本地安全策略->本地策略->用户权利指派->从远端系统强制关机->属性”
          参考配置操作(适用2008 x64)
          ”管理工具->本地安全策略->本地策略->用户权限分配->从远程系统强制关机->属性”
检查方法:查看”从远端系统强制关机”权限指派情况”,仅指派给 administrators,符合要求。
配置方法:设置为”只指派给Administrators组”
使用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

六:系统关闭授权

配置名称:本地安全设置中关闭系统仅指派给Administrators组
配置要求:检测本地安全设置中关闭系统仅指派给Administrators组
操作指南:参考配置操作(适用2003)
          ”控制面板->管理工具->本地安全策略->本地策略->用户权利指派->关闭系统->属性”
          参考配置操作(适用2008 x64)
          ”管理工具->本地安全策略->本地策略->用户权限分配->关闭系统->属性”
检查方法:查看”关闭系统”权限指派情况,内容为administrators,表示符合要求。
配置方法:设置为”只指派给Administrators组”
使用版本:Windows Server 2003、Windows Server 2008 X64

七:文件权限指派

配置名称:文件权限指派
配置要求:在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。
操作指南:参考配置操作(适用2003)
          ”控制面板->管理工具->本地安全策略->本地策略->用户权利指派->取得文件或其它
          对象的所有权->属性”
          参考配置操作(适用2008 x64)
         ”管理工具->本地安全策略->本地策略->用户权限分配->用户权利指派->取得文件或其它对象的所有权->属性”
检查方法:查看“取得文件或其它对象”的仅限指情况,指派给Administrators”为符合要求。
配置方法:设置为”只指派给Administrators组”
使用版本:Windows Server 2003、Windows Server 2008 X64

八:匿名权限限制

配置名称:网络连接中限制匿名用户连接权限
配置要求:在组策略中只允许授权帐号从网络访问(包括网络共享等,但不包括终端服务)此计算机。
操作指南:参考配置操作(适用2003)
          ”控制面板->管理工具->本地安全策略->本地策略->用户权利指派->从网络访问此计算机->属性”
          参考配置操作(适用2008 x64)
          ”管理工具->本地安全策略->本地策略->用户权限分配->从网络访问此计算机->属性”
检查方法:检查属性列表,不包括”Users”和”Everyone”组和其他无用组为符合要求.
配置方法:根据需求添加访问组。
适用版本:Windows Server 2003、Windows Server 2008 X64

八:登陆日志检查

配置名称:检测是否设置审核账户登录事件
配置要求:系统应启用日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。
操作指南:参考配置操作(适用2000、2003)
         ”控制面板->管理工具->本地安全策略->审核策略->审核登录事件->属性”。
         参考配置操作(适用2008 x64)
         ”管理工具->本地安全策略->审核策略->审核登录事件->属性”。
检查方法:检查是否同时勾选了”成功”和”失败”,同时勾选为符合要求。
配置方法:设置为成功和失败都审核。
适用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

九:系统日志完备性检查

配置名称:系统日志完备性检查,检查是否启用系统多项审核策略
配置要求:系统应配置完整的审核策略,启用本地策略中审核策略中如下项。每项都需要设置为”成功”和”失败”都要审核。
          参考配置操作(适用2000、2003)
          ”控制面板->管理工具->本地安全策略->需要配置的策略:
          参考配置操作(适用2008 x64)
          ”管理工具->本地安全策略->需要配置的策略:
          	审核策略更改
          	审核对象访问
          	审核进程跟踪
          	审核目录服务访问
          	审核特权使用
          	审核系统事件
          	审核账户管理
操作指南:参考配置操作
         进入”控制面板->管理工具->本地安全策略->本地策略->审核策略”中。进入如下项的”属性页” 
        	审核策略更改
        	审核对象访问
        	审核进程跟踪
        	审核目录服务访问
        	审核特权使用
        	审核系统事件
        	审核账户管理
检查方法:检查项包括以下7子项:
            	检测是否启用对Windows系统的审核策略更改
            	检测是否启用对Windows系统的审核对象访问
            	检测是否启用Windows系统审核目录服务访问
            	检测是否启用Windows系统审核特权使用
            	检测是否启用Windows系统审核系统事件
            	检测是否启用Windows系统的审核账户管理
            	检测是否启用Windows系统的审核过程追踪
        以上每一项都要勾选”成功”和”失败”项,才符合要求。
配置方法:分别进入以上7个子项配置页,勾选”成功”和”失败”复选框。
适用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

十:日志大小设置

配置名称:检测系统日志、应用日志、安全日志的大小以及扩展设置是否符合规范
配置要求:1、设置系统日志文件大小至少为32MB,设置当达到最大的日志尺寸时,按需要改写事件。
          2、设置应用日志文件大小至少为32M B,设置当达到最大的日志尺寸时,按需要改写事件。
          3、设置安全日志文件大小至少为32M B,设置当达到最大的日志尺寸时,按需要改写事件。
操作指南:参考配置操作(适用2000、2003)
          进入”控制面板->管理工具->事件查看器”,在”事件查看器(本地)”中的:
          “系统日志”属性页;
          “应用日志”属性页;
          “安全日志”属性页。
          参考配置操作(适用2008 x64)
          进入”管理工具->服务器管理”, 在”诊断->事件查看器->windows日志”中的:
         “系统日志”属性页;
         “应用日志”属性页;
         “安全日志”属性页。
检查方法:检查包括以下6子项
        	应用日志文件大小至少为32M B
        	当达到最大的应用日志尺寸时,按需要改写事件
        	系统日志文件大小至少为32M B
        	当达到最大的应用日志尺寸时,按需要改写事件
        	安全日志文件大小至少为32M B
        	当达到最大的安全日志尺寸时,按需要改写事件
        以上检查内容符合,整体才符合要求。
配置方法:1、设置应用日志文件大小至少为32M B
            设置当达到最大的应用日志尺寸时,按需要改写事件
          2、设置系统日志文件大小至少为32M B
            设置当达到最大的应用日志尺寸时,按需要改写事件
          3、设置安全日志文件大小至少为32M B
             设置当达到最大的安全日志尺寸时,按需要改写事件
适用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

十一:远程登录超时配置

配置名称:远程登陆超时配置
配置要求:检查设置:对于远程登陆的帐号,设置不活动断连时间15分钟
操作指南:参考配置操作(适用2003)
         ”控制面板->管理工具->本地安全策略->本地策略->安全选项->Microsoft网络服务器”
         参考配置操作(适用2008 x64)
         ”管理工具->本地安全策略->本地策略->安全选项->Microsoft网络服务器” 
检查方法:检查”对于远程登陆的帐号设置”,不活动断连时间15分钟或小于15分钟为符合要求。
配置方法:设置为”在挂起会话之前所需的空闲时间”为15分钟或更小。
适用版本:Windows Server 2003、Windows Server 2008 X64

十二:默认共享检查

配置名称:默认共享检查
配置要求:非域环境中,关闭Windows硬盘默认共享,例如C$,D$。
操作指南:参考配置操作
         ”开始->运行->net share”
检查方法:检查有无默认共享,无任何默认共享为符合要求。
配置方法:”开始->运行->Regedit”,进入注册表编辑器,
          定位到HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\下,
          增加REG_DWORD类型的AutoShareServer 键,值为 0。
        Windows Server 2008X64环境配置检查位置:HKEY_LOCAL_MACHINE//SYSTEM//CurrentControlSet//Services//lanmanserver//parameters”
适用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

十三:共享权限检查

配置名称:共享权限检查
配置要求:查看每个共享文件夹的共享权限,只允许授权的账户拥有权限共享此文件夹,禁止使用共享权限为”everyone”
操作指南:参考配置操作(适用2000、2003)
          ”控制面板->管理工具->计算机管理->系统工具->共享文件夹”
          参考配置操作(适用2008 x64)
          ”管理工具->共享和存储管理”
检查方法:1、查看每个共享文件夹的共享权限仅限于业务需要,不设置成为”everyone”
         2、输出所有共享文件夹信息和具体权限信息;但权限是否符合需求需要后期处理确认
配置方法:在”共享文件”属性页中,只保留需要的账户。
适用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

十四:防范病毒管理

配置名称:防病毒管理
配置要求:安装防病毒软件,并及时更新。
操作指南:参考配置操作
          定位到杀毒软件版本信息页面。
检查方法:检查防病毒进程运行是否正常及当前病毒库版本是否为最新。
配置方法:安装防病毒软件,并检查是否更新到最新病毒定义。
适用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

十五:补丁分发管理

配置名称:补丁分发管理
配置要求:加入网上交易WSUS系统,及时更新系统补丁。
操作指南:参考配置操作
        1、定位到注册表项:
        HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate WUServer键
        2、”开始->运行->services.msc->Automatic Updates”
检查方法:1、键值是否为http://10.1.30.233。若是,则表明加入了网上交易WSUS,否则没有正确加入网上交易WSUS系统。
          2、检查服务项Automatic Updates服务是否开启,启动类型是否设置为自动。
          以上2项都满足为符合要求。
配置方法:登录http://10.1.30.233,下载并运行网上交易服务器补丁注册脚本。在导入注册表后检查自动更新选项是否显示为灰色不可选,
        如是则表明注册表导入成功,之后重启Automatic Updates服务。
适用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

十六:server pack 管理

配置名称:Service Pack管理
配置要求:安装最新的Service Pack
操作指南:参考配置操作
          右键”我的电脑->属性->常规页”
检查方法:检查是否安装了最新的Service Pack。
          目前Windows 2000 server最新版本Service Pack为SP4,Windows Server 2003 
          最新的Service Pack为SP2
配置方法:安装最新的Service Pack,并及时更新。
        登录http://10.1.30.233,下载并安装最新的Service Pack。
适用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

十七:屏保密码保护

配置名称:密码屏幕保护
配置要求:设置带密码的屏幕保护,并将时间设定为15分钟。
操作指南:参考配置操作(适用2000、2003) 
          ”控制面板->显示->屏幕保护程序”:
          参考配置操作(适用2008 x64)
          ”控制面板->外观->显示->屏幕保护程序”:
检查方法:检查是否启用了”在恢复时使用密码保护”,并设置等待时间为15分钟或者更短,两项都满足为符合要求。
配置方法:1、设置等待时间为”15分钟”;
          2、勾选”在恢复时使用密码保护”选择框。
适用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

十八:自动播放关闭

配置名称:自动播放关闭
配置要求:关闭Windows自动播放功能
操作指南:参考配置操作(适用2000)
          ”开始->运行->Regedit”,进入注册表编辑器,定位到注册表:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CDRom 
         参考配置操作(适用2003)
         点击开始→运行→输入gpedit.msc,打开组策略编辑器,浏览到计算机配置→管理模板→系统”
         参考配置操作(适用2008 x64)
         点击开始->运行→输入gpedit.msc,打开组策略编辑器,浏览到计算机配置->管理模板->Windows 组件->自动播放策略”
检查方法:Windows2000:检查”Autorun”键值,为0符合要求;
         Windows 2003:检查”关闭自动播放”对话框,选择了所有驱动器为符合要求;
        Windows 2008:检查”关闭自动播放”对话框,选择了所有驱动器,为符合要求。
配置方法:Windows 2000:将”Autorun”键值更改为0。
          Windows2003:在右边窗格中双击”关闭自动播放”,对话框中选择所有驱动器,确定即可。
          Windows2008:,在右边窗格中双击”关闭自动播放”,对话框中选择所有驱动器,确定即可。
适用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

十九:SNMP默认口令修改

配置名称:SNMP默认口令修改
配置要求:如需启用SNMP服务,则修改默认的SNMP Community String设置。
操作指南:参考配置操作(适用2003)
          打开”控制面板”,打开”管理工具”中的”服务”,找到”SNMP Service”,单击右键打开”属性”面板中的”安全”选项卡。
          参考配置操作(适用2008 x64)
          进入”管理工具->服务器管理”,在”配置->服务”,找到”SNMP Service”,单击右键打开”属性”面板中的”安全”选项卡
检查方法:1、确认SNMP 服务已启动;
          2、服务如启动,检查Community String是否使用默认public和private,如果没使用为符合要求
配置方法:在这个配置界面中,修改community strings,避免使用默认密码。
适用版本:Windows Server 2003、Windows Server 2008 X64

二十:启动项检查

配置名称:启动项检查
配置要求:列出系统启动时自动加载的进程和服务列表,不在此列表的需关闭。
操作指南:参考配置操作
         “开始->运行->MSconfig”启动系统配置实用程序。
检查方法:查看是否有可疑启动项,对于无法确认程序,需要与管理员进行确认。
配置方法:直接将可以启动项前的勾选框勾选掉。
适用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64

二十一:管理员账号更名

配置名称:管理员账号更改名称
配置要求:对于管理员帐号,要求更改缺省帐户名称administrator
操作指南:参考配置操作(适用2003)
          进入”控制面板->管理工具->计算机管理”,在”系统工具->本地用户和组”
          参考配置操作(适用2008 x64)
          进入”管理工具->服务器管理->配置->本地用户和组”
检查方法:检测管理员帐户是否改名,已更名为符合要求
配置方法:“右键Administrator->属性”,更改名称即可
适用版本:Windows Server 2003、Windows Server 2008 X64

二十二:登录失败账户锁定策略

配置名称:配置登录失败账户锁定策略,超过8次登录失败锁定账号策略
配置要求:应配置当用户短时间内连续认证失败次数超过8次(不含8次),锁定该用户使用的账号;设置账户锁定时间为30分钟。
操作指南:参考配置操作(适用2003)
          进入”控制面板->管理工具->本地安全策略->帐户策略->帐户锁定策略->账户锁定时间->属性页” 
          参考配置操作(适用2008 x64)
          进入”管理工具->服务器管理->帐户策略->帐户锁定策略->账户锁定阀值->属性页” 
检查方法:1、”静态口令认证技术的设备用户是否连续认证失败次数超过8次(不含8次),锁定该用户的账号”;
          2、检查是否设置账号锁定时间为30分钟或更长;
          符合以上2项检查为符合要求。
配置方法:1、在”账户锁定阀值”属性页中,设置为 8次;
          2、在”账户锁定时间”属性页中,设置为30分钟
适用版本:Windows Server 2003、Windows Server 2008 X64

二十三:本机防火墙设置

配置名称:检查Windows是否启用自带防火墙
配置要求:启用Windows 自带防火墙。根据业务需要限定允许访问网络的应用程序,和允许远程登陆该设备的IP地址范围。
操作指南:参考配置操作(适用2003)
          ”控制面板->网络连接->本地连接->高级选项” 
          参考配置操作(适用2008 x64)
          ”控制面板->系统和安全->Windows防火墙->打开或关闭Windows防火墙选项” 
检查方法:检查Windows是否启用自带防火墙”.
配置方法:1、启用Windows防火墙。
          在”例外”中配置允许业务所需的程序接入网络。
          在”例外->编辑->更改范围”编辑允许接入的网络地址范围。
适用版本:Windows Server 2003、Windows Server 2008 X64

二十四:DEP功能启用

配置名称:DEP功能启用
配置要求:对于Windows 2003及Windows 2008对Windows操作系统程序和服务启用系统自带DEP功能(数据执行保护),防止在受保护内存位置运行有害代码。
操作指南:参考配置操作(适用2003、2008 x64)
         进入”控制面板->系统”,在”高级”选项卡的”性能”下的”设置”。进入 “数据执行保护”选项卡。
检查方法:检测Windows是否启用数据执行保护,启动为符合要求。
配置方法:在“数据执行保护”选项卡中,设置为”仅为基本 Windows 操作系统程序和服务启用DEP”。
适用版本:Windows Server 2003、Windows Server 2008 X64

二十五:服务检查

配置名称:Windows服务输出
配置要求:列出所需要服务的列表(包括所需的系统服务),通过与系统管理员确认无异常服务存在。一般情况下,如无特殊必要,
不应安装IIS、DNS、WINS、DHCP等服务或组件。
配置指南:参考配置操作(适用2000、2003)
          进入”控制面板->管理工具->计算机管理”,进入”服务和应用程序”:
          查看所有服务,输出所有服务列表,查看是否有异常服务。
          参考配置操作(适用2008 x64)
          进入”管理工具->服务器管理”,在”配置->服务”:
          查看所有服务,输出所有服务列表,查看是否有异常服务。
检查方法:1、系统管理员应出具系统所必要的服务列表。
          2、查看所有服务,不在此列表的服务需关闭。
          或建议关闭Task Scheduler 计划任务,Routing and Remote Access在局域网以及广域网环境中为企业提供路由服务。
          RemoteRegistry使远程用户能修改此计算机上的注册表设置。Print Spooler将文件加载到内存中以便迟后打印。关闭无线服务和telnet服务。
配置方法:进入”控制面板->管理工具->计算机管理”,进入”服务和应用程序”:
          查看所有服务,不在此列表的服务是否已关闭。
适用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64
 

频道:OS
扫描本文章二维码可手机访问: