广州市电子政务外网系统安全加固指导书.docx
- 文档编号:521111
- 上传时间:2023-04-29
- 格式:DOCX
- 页数:17
- 大小:73.73KB
广州市电子政务外网系统安全加固指导书.docx
《广州市电子政务外网系统安全加固指导书.docx》由会员分享,可在线阅读,更多相关《广州市电子政务外网系统安全加固指导书.docx(17页珍藏版)》请在冰点文库上搜索。
广州市电子政务外网系统安全加固指导书
广州市电子政务外网系统安全加固指导书
广州市机关信息网络中心编制
2020年8月
Windows系统安全加固
1.补丁更新
1.1到微软网站下载最新的补丁程序
2.安全加固
2.2停掉Guest帐号
在运算机治理的用户里面把guest帐号停用掉,任何时候都不承诺guest帐号登陆系统。
为了保险起见,最好给guest加一个复杂的密码,你能够打开记事本,在里面输入一串包含专门字符,数字,字母的长字符串,然后把它作为guest帐号的密码拷到里面去。
〔windows03的guest帐号一样情形不可删除,会阻碍应用〕
2.3限制不必要的用户数量
去掉所有的duplicateuser帐户,测试用帐户,共享帐号,一般部门帐号等等。
用户组策略设置相应权限,同时经常检查系统的帐户,删除差不多不在使用的帐户。
这些帐户专门多时候差不多上黑客们入侵系统的突破口,系统的帐户越多,黑客们得到合法用户的权限可能性一样也就越大。
2.4创建2个治理员用帐号
创建一个一样权限帐号用来收信以及处理一些日常事物,另一个拥有Administrators权限的帐户只在需要的时候使用。
能够让治理员使用〝RunAS〞命令来执行一些需要特权才能作的一些工作,以方便治理。
2.5把系统administrator帐号改名
windows的administrator帐号是不能被停用的,这意味着别人能够一遍又一边的尝试那个帐户的密码。
把Administrator帐户改名能够有效的防止这一点。
因此,请不要使用Admin之类的名字,改了等于没改,尽量把它假装成一般用户,比如改成:
guestone。
2.6创建一个陷阱帐号
创建一个名为〞Administrator〞的本地帐户,把它的权限设置成最低,什么事也干不了的那种,同时加上一个超过10位的超级复杂密码。
如此能够让那些Scripts忙上一段时刻了,同时能够借此发觉它们的入侵妄图。
2.7把共享文件的权限从〞everyone〞组改成〝授权用户〞
〝everyone〞在win中意味着任何有权进入你的网络的用户都能够获得这些共享资料。
任何时候都不要把共享文件的用户设置成〞everyone〞组。
包括打印共享,默认的属性确实是〞everyone〞组的。
2.8使用安全密码
一个好的密码关于一个网络是专门重要的,然而它是最容易被忽略的。
一些公司的治理员创建帐号的时候往往用公司名,运算机名,或者一些别的一猜就到的东西做用户名,然后又把这些帐户的密码设置得专门简单,比如〝welcome〞,〝iloveyou〞或者和用户名相同等等。
如此的帐户应该要求用户首此登陆的时候更换成复杂的密码,还要注意经常更换密码。
2.9设置屏幕爱护密码
专门简单也专门有必要,设置屏幕爱护密码也是防止内部人员破坏服务器的一个屏障。
2.10使用NTFS格式分区
把服务器的所有分区都改成NTFS格式。
NTFS文件系统要比FAT,FAT32的文件系统安全得多。
2.11利用win的安全配置工具来配置策略
微软提供了一套的基于MMC(治理操纵台)安全配置和分析工具,利用他们你能够专门方便的配置你的服务器以满足你的要求。
具体内容请参考微软主页:
2.12关闭不必要的服务
windows的TerminalServices〔终端服务〕,IIS,和RAS都可能给你的系统带来安全漏洞。
为了能够在远程方便的治理服务器,专门多机器的终端服务差不多上开着的,假如你的也开了,要确认你差不多正确的配置了终端服务。
有些恶意的程序也能以服务方式悄悄的运行。
要留意服务器上面开启的所有服务,中期性(每天)的检查他们。
建议将以下服务设为自启动:
Eventlog(required)
NTLMSecurityProvider(required)
RemoteProcedureCall(RPC)(required)
Workstation(leaveserviceon:
willbedisabledlaterinthedocument)
ProtectedStorage(required)
PlugandPlay(required)
SecurityAccountsManager(required)
需要注意的是,服务设置不当可能导致系统不能进行正常操作。
设置每台主机服务的时候,要针对具体的应用情形和网络情形进行有针对性的设置,不能直截了当按照举荐完全照做。
上面建议只作为参考,并不能作为每一台主机的配置标准。
2.13关闭不必要的端口
关闭端口意味着减少功能,在安全和功能上面需要你作一点决策。
假如服务器安装在防火墙的后面,冒的险就会少些,然而,永久不要认为你能够高枕无忧了。
用端口扫描器扫描系统所开放的端口,确定开放了哪些服务是黑客入侵你的系统的第一步。
\system32\drivers\etc\services文件中有知名端口和服务的对比表可供参考。
具体方法为:
网上邻居>属性>本地连接>属性>internet协议(tcp/ip)>属性>高级>选项>tcp/ip选择>属性打开tcp/ip选择,添加需要的tcp,udp,协议即可。
2.14打开审核策略
开启安全审核是win最差不多的入侵检测方法。
当有人尝试对你的系统进行某些方式〔如尝试用户密码,改变帐户策略,未经许可的文件访问等等〕入侵的时候,都会被安全审核记录下来。
专门多的治理员在系统被入侵了几个月都不明白,直到系统遭到破坏。
下面的这些审核是必须开启的,其他的能够依照需要增加:
策略设置
审核系统登陆事件成功,失败
审核帐户治理成功,失败
审核登陆事件成功,失败
审核对象访问成功
审核策略更换成功,失败
审核特权使用成功,失败
审核系统事件成功,失败
开启密码策略
策略设置
密码复杂性要求启用
密码长度最小值6位
强制密码历史5次
强制密码历史42天
2.15开启帐户策略
策略设置
复位帐户锁定计数器20分钟
帐户锁定时刻20分钟
帐户锁定阈值3次
2.16不让系统显示上次登陆的用户名
默认情形下,终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户明,本地的登陆对话框也是一样。
这使得别人能够专门容易的得到系统的一些用户名,进而作密码推测。
修改注册表能够不让对话框里显示上次登陆的用户名,具体是:
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\DontDisplayLastUserName
把REG_SZ的键值改成1.
2.17禁止建立空连接
默认情形下,任何用户通过通过空连接连上服务器,进而枚举出帐号,推测密码。
通过修改注册表来禁止建立空连接:
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous的值改成〞1”即可。
2.18关闭DirectDraw
这是C2级安全标准对视频卡和内存的要求。
修改注册表HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI的Timeout(REG_DWORD)为0即可。
2.19关闭默认共享
Win系统安装好以后,系统会创建一些隐藏的共享,要禁止这些共享,打开治理工具>运算机治理>共享文件夹>共享在相应的共享文件夹上按右键,点停止共享即可,只是机重视新启动后,这些共享又会重新开启的。
默认共享名目路径和功能C$D$E$每个分区的根名目。
Win2000Pro版中,只有Administrator和BackupOperators组成员才可连接,Win2000Server版本ServerOperatros组也能够连接到这些共享名目ADMIN$%SYSTEMROOT%远程治理用的共享名目。
它的路径永久都指向Win2000的安装路径,比如c:
\winntFAX$在Win2000Server中,FAX$在fax客户端发的时候会到。
IPC$空连接。
IPC$共享提供了登录到系统的能力。
NetLogon那个共享在Windows2000服务器的NetLogin服务在处理登陆域要求时用到PRINT$%SYSTEMROOT%\SYSTEM32\SPOOL\DRIVERS用户远程治理打印机
2.20禁止dumpfile的产生
dump文件在系统崩溃和蓝屏的时候是一份专门有用的查找问题的资料,然而,它也能够给黑客提供一些敏锐信息比如一些应用程序的密码等。
要禁止它,打开操纵面板>系统属性>高级>启动和故障复原把写入调试信息改成无。
要用的时候,能够再重新打开它。
2.21使用文件加密系统EFS
Windows强大的加密系统能够给磁盘,文件夹,文件加上一层安全爱护。
如此能够防止别人把你的硬盘挂到别的机器上以读出里面的数据。
记住要给文件夹也使用EFS,而不仅仅是单个的文件。
有关EFS的具体信息能够查看
2.22锁住注册表
在windows,只有administrators和BackupOperators才有从网络上访问注册表的权限。
假如觉得还不够的话,能够进一步设定注册表访问权限,详细信息请参考:
2.23建议安装urlscan〔或直截了当安装IISLockdown〕
Urlscan属于IISLockdownTool的一部分是个专门强的安全工具,让站点治理员有能力
关掉不需要的功能及禁止这些访问.把一些特定的访问禁止,Urlscan安全工具能够防止可能会造成损害的访问,不让这些有害访问到达服务器端.
IISLockdown可执行许多步骤来关心加强Web服务器的安全。
这些步骤包括:
锁定文件
禁用服务和组件
安装Urlscan
删除不需要的Internet服务器应用程序编程接口(ISAPI)DLL脚本映射删除不需要的名目
更换ACL
您能够使用IISLockdown来加强许多类型的IIS服务器角色的安全。
关于各服务器,您应选择可满足您Web服务器需要的限制性最高的角色。
2.24关闭RPCDCOM组件
RemoteProcedureCall(RPC)是Windows操作系统使用的一种远程过程调用协议,RPC提供进程间交互通信机制,承诺在某台运算机上运行程序无缝的在远程系统上执行代码。
协议本身源自OSFRPC协议,但增加了Microsoft特定的扩展。
DCOM〔theDistributedComponentObjectModel〕扩展COM,以支持不同运算机之间的对象间通信,这些运算机能够是位于局域网,广域网,甚至是互连网。
DCOM规定了网络上组件之间的通信协定,因此DCOM能够说是组件之间的TCP/IP协议。
DCOM组件能够远程执行系统命令,同时存在多个的和未知的缓冲区溢出漏洞。
关闭方法:
依次打开治理工具、组件服务,展开组件服务中的运算机,右键点击其中的我的电脑中的属性,取消默认属性中的〝在此运算机上启用分布式com〞。
TOMCAT系统安全加固
1.Tomcat安全配置
1.1.差不多安全配置
第一,新建一个帐户
1.用"ITOMCAT_运算机名"建立一个一般用户
2.为其设置一个密码
3.保证"密码永只是期"(PasswordNeverExpires)被选中
修改Tomcat安装文件夹的访问权限
1.选定环境参数CATALINA_HOME或TOMCAT_HOME指向的Tomcat安装文件夹。
2.为"ITOMCAT_运算机名"用户给予读、写、执行的访问权限。
3.为"ITOMCAT_运算机名"用户给予对WebApps文件夹的只读访问权限。
4.假如某些Web应用程序需要写访问权限,单独为其授予对那个文件夹的写访问权限。
当你需要Tomcat作为系统服务运行时,采取以下步骤:
1.到"操纵面板",选择"治理工具",然后选择"服务"。
2.找到Tomcat:
比如ApacheTomcat.exe等等,打开其"属性"。
3.选择其"登录"(Log)标签。
4.选择"以...登录"(LogONUsing)选项。
5.键入新建的"ITOMCAT_运算机名"用户作为用户名。
6.输入密码。
7.重启机器。
1.2.多重服务器的安全防护
如需要apached爱护web-inf或meta-inf文件,能够
请在d.conf中加入以下的
内容:
AllowOverrideNone
denyfromall
AllowOverrideNone
denyfromall
你也能够把Tomcat配置为将所有对.htaccess的要求都送至错误网页,
在Tomcat的一样安装中,请将以下的servlet-mapping加到在$CATALINA_HOME/
conf/Web.xml文件的servlet-mapping项目后面:
这会将所有Web应用程序中对.htaccess的要求映射到invokerservlet,由于无法加载名为invoker的servlet类,因此会产生〝404:
NotFound〞的错误网页。
从技术层面讲,这种形式并不行,因为假如Tomcat能够找到并加载所要求名称的类〔.htaccess〕,它便可能执行该类而非输出消息错误消息
1.3.配置服务器默认端口
1.tomcat安装目标下的/conf名目下
2.编辑server.xml文件
3.修改port8080为你需要端口号,如80.
1.4.关闭服务器端口
1.tomcat安装目标下的/conf名目下
2.编辑server.xml文件
3.修改
如此就只有在telnet到8006,同时输入"venus"才能够关闭Tomcat
1.5.默认错误网页设置
1、将附件的index.htm文件拷贝至\webapps\ROOT名目内,删除或改名原先的index.jsp文件。
2、用记事本打开\conf\web.xml文件,在文件的倒数第二行〔一行之前〕加入以下内容:
1.6.配置支持SSL
配置支持SSL的方法(分别以TEST,TestAdmin两实际访问对象举例)
一、配置tomcat支持SSL方法
1.生成SSL需要用到的keypair。
一样在%java_home%/bin下有一个keytool,在命令行窗口,转移到该名目下,运行:
keytool-genkey-keyalgRSA
在keytool运行时,会询问两次密码,密码是自己设的〔例:
123456〕,要记住,随后会用到。
最后的那个密码输回车(代表与第一次输的密码相同),中间会问一些国家啊什么的,随便乱填好了。
生成的文件叫〝.keystore〞,能够在-genkey时指定存放该文件路径、或名称等(见该命令关心)。
为了使用方便,本文将其放在C盘根名目下。
2.修改tomcat的conf名目下的server.xml文件
去掉有关ssl的那个connector的注释符号
---->。
注意,它里面默认没有指定keystorefile等,为了幸免路径错误,建议在server.xml中显式地指定keystorePass与keystoreFile,设好后如下:
enableLookups="false"disableUploadTimeout="true" acceptCount="100"debug="0"scheme="s"secure="true" clientAuth="false"sslProtocol="TLS"keystoreFile="C: \.keystore"keystorePass="123456"/> 注意: 即使是在WINDOWS系统上,server.xml中的大小写也是敏锐的。 红色斜体部分请依照实际情形填写。 3.重启tomcat 二、配置JAVA环境支持SSL 1.拷贝文件 将ProgramFiles\Java\jdk1.5.0_09\jre\lib下的jsse.jar拷贝到jdk1.5.0_09\jre\lib\ext下。 2.生成证书文件 访问站点IE,假如用户治理模块要配置为s登录,即访问用户治理网页的地址〔比如TestAdmin〕,猎取证书,单击"查看证书", 在弹出的对话框中选择"详细信息",然后再单击"拷贝文件",依照提供的向导生成待访问网页的证书文件: 将生成的文件直截了当储存在java\jdk1.5.0_09\jre\lib\security名目下,文件名可任意,以容易识别为准: 3.用keytool工具把刚才导出的证书倒入本地keystore: 命令行到jdk1.5.0_09\jre\lib\security下,执行以下命令: keytool-import-noprompt-keystorecacerts-storepasschangeit-aliasTestAdmins- 其中TestAdmins为当前证书在keystore中的唯独标识符,又称别名,可随意取名,只要不与差不多存在的重复,以容易识别为准。 TestAdmins.cer为刚才储存的证书文件名。 假如刚才的证书需要重新导入,可通过以下命令先删除导入的证书: keytool-delete-keystorecacerts-storepasschangeit-alias别名-file证书文件〔***.cer〕 4.重启tomcat 注意: 1.一共需要导入两个证书,分别对应TestAdmin和TEST,步骤完全相同,只是在做操作〔2〕时访问的页面不同: TestAdmin访问用户治理网页的地址〔例如: TestAdmin〕 TEST访问TEST网页的地址〔例如: TEST〕 2.配置前请先确保环境变量设置正确了,需要在环境变量中设置JAVA_HOME,并加入PATH。 MSSQL系统安全加固 2.安装最新安全补丁 2.1.安装操作系统提供商公布的最新的安全补丁 1)最新补丁下载地址是: 2)安装补丁详细操作请参照其中的readme文件。 3.网络和系统服务 3.1.检查系统文件是装置在NTFS分区 看SQLSERVER安装盘符的属性 3.2.默认用户状态及口令更换情形 查看用户状态 运行SQL查询分析器,执行〔sysxlogins〕 select*fromsysusers Selectname,Passwordfromsysloginswherepasswordisnullorderbyname#查看口令为空的用户。 按F5更换帐户口令 运行SQL查询分析器,执行 Usemaster execsp_password‘old_password’,’new_password’,accounname 按F5 3.3.停用不必要的储备过程 停用不必要的储备过程,可能会造成企业治理器一些功能特性的丢失。 Xp_cmdshell Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod Sp_OASetProperty Sp_OAStop Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues Xp_regremovemultistring 注意: 那个地点列出xp_regread/xp_regwrite的移除会阻碍一些要紧功能包括日志和SP的安装 p_sdidebug xp_availablemedia xp_cmdshell xp_deletemail xp_dirtree xp_dropwebtask xp_dsninfo xp_enumdsn xp_enumerrorlogs xp_enumgroups xp_enumqueuedtasks xp_eventlog xp_findnextmsg xp_fixeddrives xp_get xp_getnetname xp_grantlogin xp_logevent xp_loginconfig xp_logininfo xp_makewebtask xp_msverxp_perfend xp_perfmonitor xp_perfsample xp_perfstart xp_readerrorlog xp_readmail xp_revokelogin xp_runwebtask xp_schedulersignal xp_sendmail xp_servicecontrol xp_snmp_getstate xp_snmp_raisetrap xp_sprintf xp_sqlinventory xp_sqlregister xp_sqltrace xp_sscanf xp_startmail xp_stopmail xp_subdirs xp_unc_to_drive xp_dirtree 也能够通过安装相应的补丁排除取一些储备过程带来的隐患。 3.4.错误日志治理 错误日志储备在: …\MicrosoftSQLServer\..\log\errorlog中 3.5.拒绝来自1434端口的探测 通过操作系统的IPSec过滤拒绝掉1434端口的UDP通讯,能够尽可能地隐藏SQLServer。 3.6.对网络连接进行IP限制 使用操作系统自己的IPSec实现IP数据包的安全性。 对IP连接进行限制,只保证自己的IP能够访问,同时也拒绝其他IP进行的端口连接。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 广州市 电子政务 系统安全 加固 指导书