操作系统安全基线配置.docx
- 文档编号:15896110
- 上传时间:2023-07-08
- 格式:DOCX
- 页数:14
- 大小:19.23KB
操作系统安全基线配置.docx
《操作系统安全基线配置.docx》由会员分享,可在线阅读,更多相关《操作系统安全基线配置.docx(14页珍藏版)》请在冰点文库上搜索。
操作系统安全基线配置
Win2003&2008操作系统安全配置要求
2.1.帐户口令安全
帐户分派:
应为不一样用户分派不一样的帐户,不一样意不一样用户间共享同一帐户。
帐户锁定:
应删除或锁定过期帐户、无用帐户。
用户接见权限指派:
应只同意指定受权帐户对主机进行远程接见。
帐户权限最小化:
应依据实质需要为各个帐户分派最小权限。
默认帐户管理:
应付Administrator帐户重命名,并禁用Guest(贵宾)帐户。
口令长度及复杂度:
应要求操作系统帐户口令长度起码为
8位,且应为数字、
字母和特别符号中起码2类的组合。
口令最长使用限期:
应设置口令的最长使用限期小于
90天。
口令历史有效次数:
应配置操作系统用户不可以重复使用近来
5次(含
5次)
已使用过的口令。
口令锁定策略:
应配置当用户连续认证失败次数为
5次,锁定该帐户
30分
钟。
2.2.服务及受权安全
服务开启最小化:
应封闭不用要的服务。
SNMP服务接受集体名称设置:
应设置SNMP接受集体名称不为public或弱
字符串。
系统时间同步:
应保证系统时间与NTP服务器同步。
DNS服务指向:
应配置系统DNS指向公司内部DNS服务器。
2.3.补丁安全
系统版本:
应保证操作系统版本更新至最新。
补丁更新:
应在保证业务不受影响的状况下实时更新操作系统补丁。
2.4.日记审计
日记审查策略设置:
应合理配置系统日记审查策略。
日记储存规则设置:
应设置日记储存规则,保证足够的日记储存空间。
日记储存路径:
应更他日记默认寄存路径。
日记按期备份:
应按期对系统日记进行备份。
智能
2.5.系统防火墙:
应启用系统自带防火墙,并依据业务需要限制同意通信的应用
程序或端口。
2.6.防病毒软件:
应安装由总部一致部署的防病毒软件,并实时更新。
2.7.封闭自动播放功能:
应封闭Windows自动播放功能。
2.8.共享文件夹
删除当地默认共享:
应封闭Windows当地默认共享。
共享文件权限限制:
应设置共享文件夹的接见权限,仅同意受权的帐户共享
此文件夹。
2.9.登录通信安全
严禁远程接见注册表:
应严禁远程接见注册表路径和子路径。
登录超不时间设置:
应设置远程登录帐户的登录超不时间为30分钟。
限制匿名登录:
应禁用匿名接见命名管道和共享。
RedHatLinux5&6、Solaris9&10、HP-UNIX11操作系统安全
配置要求
2.1.帐户口令安全
帐户共用:
应为不一样用户分派不一样系统帐户,不一样意不一样用户间共享同一系
统帐户。
帐户锁定:
应删除或锁定过期帐户或无用帐户。
超级管理员远程登录限制:
应限制root帐户远程登录。
帐户权限最小化:
应依据实质需要为各个帐户设置最小权限。
口令长度及复杂度:
应要求操作系统帐户口令长度起码为8位,且应为数字、
字母和特别符号中起码2类的组合。
口令最长使用限期:
应设置口令的最长生计周期小于等于90天。
口令历史有次数:
应配置操作系统用户不可以重复使用近来5次(含5次)
内已使用的口令。
口令锁定策略:
应配置用户当连续认证失败次数超出5次(不含5次),锁
定该帐户30分钟。
(Solaris9&10、RedHatLinux5&6、AIX5)
应配置当用户连续认证失败次数超出5次(不含5次),锁定该帐户。
智能
UNIX11)
2.2.服及授安全
重要文件目限:
依据用的需要,配置文件及目所需的最小
限。
文件和目行限置,合理置重要目和文件的限(AIX5)
用缺省限:
配置用缺省限,障蔽掉新建文件和目不
有的允限。
(UNIX11、RedHatLinux5&6、AIX5无障蔽⋯⋯限)
服开启最小化:
关不用要的服。
系同步:
保证系与NTP服器同步。
DNS服器指定:
配置系DNS指向企内部DNS服器。
2.3.丁安全:
在保证不受影响的状况下及更新操作系丁。
2.4.日记
日记功能置:
配置日记功能。
日记限置:
合理配置日记文件的限。
(Solaris9&10、RedHatLinux5
&6)
配置日记文件取、改正和除等操作限行限制。
(UNIX11、
AIX5)
日记按期份:
按期系日记行份。
网日记服器置(可):
配置一的网日记服器。
2.5.防备堆溢出置:
置防备堆冲溢出。
2.6.登通信安全
程管理加密:
配置使用SSH等加密行程管理,严禁使用
Telnet等明文。
登超置:
置登的登超30分。
SQLServer2005&2008数据库安全配置要求
2.1.口令安全
共用:
不一样用分派不一样的数据,不允多个用共用同一
个数据。
智能
帐户锁定:
应删除或禁用没关帐户。
严禁管理员帐户启动SQLServer服务:
应严禁使用管理员帐户启动SQLserver
服务。
帐户策略:
应在SQLServer帐户策略中启用操作系统帐户策略,即继承操作
系统帐户策略。
2.2.权限最小化:
应依据用户的业务需要,配置其数据库所需的最小权限。
2.3.日记审计
登录审查:
配置登录审查,记录取户登录操作。
C2审查追踪:
启用C2审查追踪。
2.4.禁用不用要的储存过程:
应禁用不用要的储存过程。
2.5.补丁安全:
应在保证业务不受影响的状况下实时安装更新操作系统和SQL
Server补丁。
2.6.接见IP限制:
应只同意相信的IP地点经过监听器接见数据库。
配置防火墙
限制,只同意与指定的IP地点成立1433的通信(从更加安全的角度考虑,可将
1433端口改为其余的端口)。
2.7.连结数设置:
应依据服务器性能和业务需求,设置最大并发连结数。
2.8.数据库备份:
应每周对数据库进行一次完好备份。
Oracle9i&10g&11g数据安全配置要求
2.1.帐户口令安全
严禁帐户共用:
应为不一样用户分派不一样的数据库帐户,不允很多个用户共用
同一数据库帐户。
帐户锁定:
应锁定或删除没关帐户。
限制DBA组帐户:
DBA组仅增添Oracle帐户。
口令长度及复杂度:
应要求数据库系统口令长度起码为8位,且应为数字、
字母和特别符号中起码2类的组合。
口令过期警示天数:
应将口令过期警示天数设置为许多于7天(提早7天通
知改正口令)。
口令最长使用天数:
应将口令最长生计期不擅长90天。
智能
口令历史有效次数:
应配置数据库帐户不可以重复使用近来5次(含5次)
内已使用的口令。
口令锁定策略:
关于采纳静态口令认证的系统,应配置当用户连续认证失败
次数超出5次(不含5次),锁定该帐户。
帐户锁准时间:
当用户连续认证失败次数超出5次(不含5次),锁定该帐
户30分钟。
系统帐户口令安全:
应改正数据库系统帐户的默认口令。
2.2.服务及受权
权限最小化:
应依据用户的业务需要,配置数据库帐户所需的最小权限。
限制特权帐户远程登录:
应限制特权帐户远程登录。
2.3.日记审计:
应启用数据库审计功能。
2.4.补丁安全:
应在保证业务不受影响的状况下实时更新数据库补丁。
2.5.接见IP限制:
应只同意相信的IP地点经过监听器接见数据库。
2.6.连结数设置:
应依据服务器性能和业务需求,设置最大并发连结数。
2.7.数据库备份:
应按期对数据库进行备份。
IIS6&7安全配置要求
2.0.帐户安全:
应依据实质状况,删除或锁定IIS自动生成的无用帐户。
(IIS6)
2.1.文件系统及接见权限:
改正站点路径:
应改正站点路径为非系统分区。
站点目录权限:
应保证站点目录的全部权限不分派给Everyone。
主目录权限配置:
应合理设置站点“主目录”的权限。
(IIS6)
严禁目录阅读:
应严禁阅读站点目录。
(IIS7)
站点目录的功能权限:
应严禁站点目录的履行权限。
(IIS7)
站点上传目录的功能权限:
应严禁站点上传目录的履行和脚本权限。
2.2.最小化服务:
匿名接见权限:
应保证每个站点的匿名接见帐户是互相独立的,且只存在于
Guests组。
IIS服务组件:
应删除IIS应用服务中不需要的组件服务。
智能
Web服务扩展:
应禁用站点不需要的Web服务扩展。
(IIS6)
删除不用要的脚本映照:
应删除不用要的脚本映照。
2.3.日记审计:
日记启用:
应启用日记记录功能。
(IIS6)
日记储存:
应更他日记默认的寄存路径。
2.4.连结数限制:
应合理设置最大并发连结数和最大带宽值。
连结数限制:
应合理设置最大连结数和最大带宽值。
(IIS6)
2.5.自定义错误页面:
应自定义错误页面。
Tomcat6&7安全配置要求
2.1.帐户口令安全
帐户共用:
应为不一样的用户分派不一样的Tomcat帐户,不一样意不一样用户间共
享Tomcat帐户。
帐户锁定:
应删除过期、无用帐户。
口令复杂度:
应要求Tomcat管理帐户口令长度起码8位,且为数字、字母和特
殊符号中起码2类的组合。
2.2.权限最小化:
应仅同意超级管理员拥有远程管理权限。
2.3.日记审计:
应为服务配置日记功能,对用户登录事件进行记录,记录内容包
括用户登录使用的帐户,登录能否成功,登录时间,以及远程登录时使用的IP
地点等信息。
2.4.远程接见加密:
应付Tomcat的远程接见进行加密。
2.5.改正默认管理端口:
应改正Tomcat服务默认管理端口。
2.6.自定义错误页面:
应重定向Tomcat的错误页面。
2.7.目录阅读:
应严禁站点目录阅读。
2.8.连结数设置:
应依据服务器性能和业务需求,设置最大连结数。
&安全配置要求
帐号安全:
应以非系统帐号运转Apache。
2.2.文件与目录安全
智能
Apache主目录权限:
应严格控制Apache主目录的接见权限,非系统特权用户不可以改正该目录下的文件。
文件权限:
应严格限制配置文件和日记文件的接见权限。
严禁接见外面文件:
应严禁Apache接见Web目录以外的任何文件。
删除缺省安装无用文件:
应删除缺省安装的无用文件。
严禁目录阅读:
应严禁站点目录阅读。
2.3.连结与通信安全
连结数设置:
应合理设置最大并发连结数。
禁用危险HTTP方法:
应禁用PUT、DELETE等危险的HTTP方法。
2.4.信息泄漏防备
隐蔽Apache版本号:
应隐蔽Apache版本号信息。
自定义错误页面内容:
应自定义错误页面。
2.5.日记审计:
应合理配置审计谋略。
2.6.补丁更新:
应实时更新补丁。
2.7.其余
禁用CG:
应禁用CGI程序。
封闭TRACE:
应封闭TRACE方法。
WebLogic8&9&10安全配置要求
2.1.帐户口令安全
帐户共用:
应为不一样的用户分派不一样的Weblogic帐户,不允很多个用户共用
同一个帐户。
帐户清理:
应删除过期、无用帐户。
严禁以特权身份运转:
应严禁以特权用户身份运转WebLogic。
口令长度:
应设置Weblogic帐户口令长度起码为8位。
帐户封闭:
应配置当帐户连续认证失败次数超出5次(不含5次),锁定该
帐户30分钟。
2.2.日记审计
日记启用:
应启用日记功能。
智能
审计谋略:
应合理配置审计谋略。
2.3.Keystore和SSL设置:
应合理设置Keystore和SSL。
2.4.运转模式:
应改正运转模式为“ProductionMode”。
2.5.SenderServerHeader:
应禁用SendServerheader。
2.6.删除Sample程序:
应删除sample程序。
2.7.自定义错误页面:
应自定义错误页面。
2.8.超不时间策略:
应依据详细应用,合理设置session超不时间。
2.9.连结数设置:
应合理设置最大连结数。
2.10.主机名认证:
应开启主机名认证。
Web应用安全配置要求
2.1.
帐号口令安全
身份认证:
应付应用系统用户登录进行身份认证。
帐号管理:
应禁用或删除应用系统默认、无用或测试帐号。
帐号锁定策略:
应设置帐户登录失败锁定策略。
口令策略:
应要求应用系统中管理帐户的口令长度起码为
8位,且为数字、
字母和特别符号中起码2类的组合。
按期改换口令策略:
应设置口令按期改换策略。
2.2.
数据安全
敏感信息储存:
应付应用系统中的敏感信息采纳加密形式储存。
敏感信息传输:
应付应用系统的敏感信息采纳加密方式传输。
数据备份:
应按期对应用系统程序及数据库进行备份。
2.3.
资源控制
权限分别:
应付应用系统管理权限进行分别。
登录会话超时策略:
应配置用户登录超时策略。
最大并发连结数限制:
应设置应用系统最大并发连结数策略。
多重并发会话数限制:
应限制单用户的多重并发会话数。
2.4.
日记审计:
应付系统用户的全部操作进行日记审计。
2.5.
代码质量
智能
跨站脚本攻击:
检查系统能否存在跨站脚本攻击破绽。
SQL注入攻击:
检查系统能否存在SQL注入攻击破绽。
路径遍历攻击:
检查系统能否存在路径遍历攻击破绽。
上传后门脚本:
应付上传页面格式进行限制。
输入有效性:
应付交互式页面上提交数据的有效性进行考证。
2.6.第三方软件安全:
应用系统使用的第三方软件的安全性检查。
Cisco、H3C设施安全配置要求
2.1.帐号口令安全
帐户身份认证:
应付登录帐户进行身份认证。
特权口令安全:
应付帐号口令加密储存。
该登录口令要求长度起码为8位,应为字母、数字、特别符号中起码2类的组合。
Console模式口令安全:
应为Console口模式设置登录口令,该登录口令要以密文储存,要求长度起码为8位,应为字母、数字、特别符号中起码2类的组合。
帐户登录地点限制:
应付帐户登录地点进行限制。
登录会话超时:
应付登录会话超时自动退出。
2.2.安全配置
通信加密:
应采纳必需举措防备帐户信息在网络传输过程中被窃听。
禁用CDP协议:
应禁用设施上的CDP协议。
(Cisco)
封闭缺省服务:
应封闭缺省状态下开启的高危服务。
改正默认Bannerlogin信息:
应改正默认bannerlogin信息。
改正SNMP服务:
应改正SNMP服务,该字符串口令要求长度起码为8位,应为字母、数字、特别符号中起码2类的组合。
指定DNS服务器IP地点:
应指定DNS服务器IP地点。
OSPF路由协议加密:
应付OSPF路由协议进行加密。
严禁AUX端口:
应严禁AUX端口。
NTP配置:
应保证设施时间与内网NTP服务器同步。
2.3.日记审计:
应配置设施日记采集策略。
智能
智能
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 操作 系统安全 基线 配置