_________________________________xxxxx公司安全加固方案_________________________________文檔日期:xxx文檔版本:xxx本文檔所包含的信息是受xxx公司和xxx公司所簽訂的“保密信息交換合同”保護和限制。在未事先得到xxx公司和xxx公司書面同意之前，本文檔全部或部份內容不得用于其它任何用途或交與第三方。目錄第1章 概述 41.1. 工作目的 41.2. 加固辦法 41.3. 風險的應對方法 41.4. 加固環(huán)節(jié) 5第2章 加固內容 72.1. 主機加固 72.2. 網絡加固 82.3. 未加固項闡明 9第3章 加固列表 103.1. 主機加固列表 103.2. 數(shù)據庫加固列表 103.3. 網絡加固列表 10第4章 加固操作 124.1. 網絡安全加固 124.1.1. 高等級弱點 124.1.2. 中檔級弱點 134.1.3. 低等級弱點 144.2. XX統(tǒng)一視頻監(jiān)視平臺安全加固操作 154.2.1. Windows主機 154.2.2. Oracle數(shù)據庫 204.3. 輸XX設備狀態(tài)在線監(jiān)測系統(tǒng)安全加固操作 224.3.1. AIX主機 224.3.2. Linux主機 274.3.3. Windows主機 304.3.4. Oracle數(shù)據庫 354.4. 用XX信息采集系統(tǒng)安全加固操作 374.4.1. AIX主機 374.4.2. Linux主機 414.4.3. Windows主機 454.4.4. Oracle數(shù)據庫 494.5. 95598XX互動XX安全加固操作 514.5.1. Linux主機 514.5.2. Oracle數(shù)據庫 544.6. XXXX平臺安全加固操作 564.6.1. Linux主機 56 文檔信息表 文檔基本信息項目名稱xxxxxx文檔名稱安全加固方案文檔版本與否為正式交付件是文檔創(chuàng)立日期現(xiàn)在修訂日期文檔審批信息審視人職務審視時間審視意見文檔修訂信息版本修正章節(jié)日期作者變更統(tǒng)計概述工作目的在前期安全評定過程中，發(fā)現(xiàn)xxxx主機系統(tǒng)，涉及業(yè)務主機、數(shù)據庫、中間件的多處安全弱點,為減少這些弱點所帶來的安全風險，需要針對上述設備進行對應的安全加固工作，修復已發(fā)現(xiàn)的安全弱點，進一步提高xxxx的整體安全性。為確保安全加固工作能夠順利進行并達成目的，特制訂本安全加固方案以指導該項工作。加固辦法為驗證和完善主機系統(tǒng)安全加固方案中的內容，盡早規(guī)避加固工作中存在的風險，最后確保xxxx系統(tǒng)業(yè)務主機順利完畢加固。將首先選用xxxx系統(tǒng)測試機進行安全加固，待加固完畢并通過觀察確認無影響后再進行xxxx系統(tǒng)業(yè)務主機的加固工作。安全加固工作將由xxxx(甲方)提供加固操作環(huán)節(jié)，由xxxx（甲方）根據加固操作環(huán)節(jié)對確認后的加固項進行逐項設立。若涉及操作系統(tǒng)、數(shù)據庫、中間件補丁的升級，軟件版本的升級，需由xxxx（甲方）協(xié)調有關設備售后服務合同方人員進行。加固過程中xxxx(甲方)負責現(xiàn)場指導。風險的應對方法為避免在加固過程中出現(xiàn)的異常狀況，全部被加固系統(tǒng)均應在加固操作開始邁進行完整的數(shù)據備份。安全加固時間應盡量選擇業(yè)務可中斷的時段。加固過程中，涉及修改文獻等內容時，將備份源文獻在同級目錄中，方便回退操作。安全加固完畢后，需重啟主機進行，因此需要xxxx(甲方)提前申請業(yè)務停機時間并進行對應的人員安排。在加固完畢后，如果出現(xiàn)被加固系統(tǒng)無法正常工作，應立刻恢復所做各項配備變更，待業(yè)務應用正常運行后，再行協(xié)商后續(xù)加固工作的進行方式。加固環(huán)節(jié)圖STYLEREF1\s1SEQ圖表\*ARABIC\s11安全加固環(huán)節(jié)加固內容主機加固對Windows、HP-UX、AIX、Linux等操作系統(tǒng)和Oracle數(shù)據庫進行加固。序號加固項加固內容1帳號權限加固對操作系統(tǒng)顧客、顧客組進行權限設立，應用系統(tǒng)顧客和系統(tǒng)普通顧客權限的定義遵照最小權限原則。刪除系統(tǒng)多出顧客，設立應用系統(tǒng)顧客的權限只能做與應用系統(tǒng)有關的操作；設立普通系統(tǒng)顧客的權限為只能執(zhí)行系統(tǒng)日常維護的必要操作2網絡服務加固關閉系統(tǒng)中不安全的服務，確保操作系統(tǒng)只啟動承載業(yè)務所必需的網絡服務和網絡端口3訪問控制加固合理設立系統(tǒng)中重要文獻的訪問權限只授予必要的顧客必要的訪問權限。限制特權顧客在控制臺登錄,遠程控制有安全機制確保，限制能夠訪問本機的顧客和IP地址4口令方略加固對操作系統(tǒng)設立口令方略，設立口令復雜性規(guī)定，為全部顧客設立強健的口令，嚴禁系統(tǒng)偽帳號的登錄5顧客鑒別加固設立操作系統(tǒng)顧客不成功的鑒別失敗次數(shù)以及達成此閥值所采用的方法，設立操作系統(tǒng)顧客交互登錄失敗、管理控制臺自鎖，設立系統(tǒng)超時自動注銷功效6審計方略加固配備操作系統(tǒng)的安全審計功效，使系統(tǒng)對顧客登錄、系統(tǒng)管理行為、入侵攻擊行為等重要事件進行審計，確保每個審計統(tǒng)計中統(tǒng)計事件的日期和時間、事件類型、主體身份、事件的成果（成功或失?。?對審計產生的數(shù)據分派空間存儲，并制訂和實施必要的備份、清理方法，設立審計存儲超出限制時的覆蓋或轉儲方式，避免審計數(shù)據被非法刪除、修改網絡加固對寧夏XX力公司XXXX五個應用系統(tǒng)的內網出口交換機、核心交換機、核心路由器、綜合區(qū)匯聚交換機、辦公區(qū)匯聚交換機、DMZ區(qū)交換機以及各接入交換機進加固。序號加固項加固內容1帳號權限加固對交換機遠程訪問顧客進行權限設立，對管理員顧客和審計顧客權限的定義遵照最小權限原則；設立管理員顧客對設備進行配備修改，審計顧客2網絡服務加固關閉交換機中不安全的服務，確保操作系統(tǒng)只啟動承載業(yè)務所必需的網絡服務和網絡端口3訪問控制加固限制顧客對網絡設備的遠程登錄IP地址和超時設立；加強遠程控制安全機制的確保，如配備SSH4口令方略加固對網絡設備的口令進行加固，確保符合口令復雜度規(guī)定5顧客鑒別加固設立設備登錄不成功的鑒別失敗次數(shù)以及達成此閥值所采用的方法6審計方略加固配備交換機的安全審計功效，日志關聯(lián)審計服務器中7核心服務器訪控、接入方略加固配備交換機的IP-MAC綁定方略，關閉交換機空閑端口，增強服務器接入方略未加固項闡明各接入交換機的IOS版本不具有端口與MAC綁定功效。Windows主機系統(tǒng)中未關閉遠程桌面，考慮到帶外管理區(qū)未建立，臨時未關閉。Windows主機系統(tǒng)中未修改匿名空連接，由于涉及業(yè)務應用正常運行，臨時未關閉。Windows主機系統(tǒng)中未更新補丁，由于操作系統(tǒng)版本較低，且補丁升級服務器未布署，故暫未進行升級。AIX、HP和Linux主機中未關閉FTP，由于現(xiàn)處在數(shù)據驗證階段，F(xiàn)TP做為驗證方式之一，暫未關閉。Oracle數(shù)據庫中未啟動日志審計功效，考慮到啟動此功效，勢必影響數(shù)據庫的性能。Oracle數(shù)據庫中未更新補丁，由于數(shù)據庫版本較低，且補丁升級風險較大，故暫未進行升級。各設備和系統(tǒng)中未加固項具體狀況及因素詳見加固列表。加固列表主機加固列表序號操作系統(tǒng)名稱加固項弱點等級1WindowsWindows服務器服務漏洞(MS08-067)高2刪除服務器上的管理員共享中3嚴禁在任何驅動器上自動運行任何程序中4禁用無關的windows服務中5設立密碼方略中6設立審計和賬號方略中7嚴禁CD自動運行低8設立交互式登錄：不顯示上次顧客名低9設立關機：去除虛擬內存頁面文獻低10AIX限制root顧客遠程登錄中11禁用ntalk/cmsd服務中12禁用或刪除不必要的帳號中13限制ftp服務的使用中14設立登陸方略低15設立密碼方略低XX禁用Time\DayTime服務低17設立系統(tǒng)口令方略中18Linux限制能su為root的顧客中19嚴禁root顧客遠程登錄中20限定信任主機中21限制Alt+Ctrl+Del命令低數(shù)據庫加固列表序號Oracle加固項弱點等級1修改數(shù)據庫弱口令賬戶中2限制客戶端連接IP中3設立oracle密碼方略中網絡加固列表序號H3C加固項弱點等級1配備默認級別賬戶高2啟動密碼加密保存服務中3配備失敗登陸退出機制中4布署日志服務器低加固操作網絡安全加固高等級弱點配備默認級別賬戶漏洞名稱配備默認級別賬戶漏洞描述一旦網路設備密碼被攻破，直接提取網絡設備的特權賬戶權限，將嚴重影響設備的安全性。發(fā)現(xiàn)方式人工評定風險等級高影響范疇加固建議和環(huán)節(jié)1.首先備份設備配備；2.交換機命令級別共分為訪問、XX、系統(tǒng)、管理4個級別，分別對應標記0、1、2、3。配備登錄默認級別為訪問級（0-VISIT）user-interfaceaux08authentication-modepassworduserprivilegelevel0setauthenticationpasswordcipherxxxuser-interfacevty04authentication-modepassworduserprivilegelevel0setauthenticationpasswordcipherxxx加固風險無回退建議根據原設備口令進行還原即可。建議加固時間無加固時間限制中檔級弱點未啟動密碼加密保存服務漏洞名稱未啟動密碼加密保存服務漏洞描述明文密碼容易被外部惡意人員獲取，影響設備的安全。發(fā)現(xiàn)方式人工評定風險等級中影響范疇加固建議和環(huán)節(jié)1.首先備份設備配備；2.更改配備：user-interfaceaux08userprivilegelevel0setauthenticationpasswordcipherxxxuser-interfacevty04userprivilegelevel0setauthenticationpasswordcipherxxxsuperpasswordlevel1cipherpassword1superpasswordlevel2cipherpassword2superpasswordlevel3cipherpassword3加固風險無回退建議1.更改配備：Noservicepassword-encryption2.copyrunsave建議加固時間無加固時間限制未配備失敗登錄退出機制漏洞名稱未配備失敗登錄退出機制漏洞描述缺少該配備可能造成惡意攻擊者進行口令暴力。發(fā)現(xiàn)方式人工評定風險等級中影響范疇加固建議和環(huán)節(jié)1.首先備份設備配備；2.更改配備，請廠家進行配備加固風險無回退建議去除原配備即可建議加固時間無加固時間限制低等級弱點缺少日志審計服務漏洞名稱缺少日志審計服務漏洞描述現(xiàn)在寧夏XX力公司網絡內部缺少集中的安全XX審計方法，對于系統(tǒng)可能發(fā)生的安全問題不能有效的預警，不利于對安全事件的審計和分析。發(fā)現(xiàn)方式人工評定風險等級低影響范疇加固建議和環(huán)節(jié)1.首先布署日志服務器；2.備份設備配備；3.更改配備：檢查配備文獻中存在以下配備項：（在系統(tǒng)模式下進行操作）[h3c]info-centerenable[h3c]info-centerloghostxxxxxchannelloghost參考檢測操作：displaycurrent-configuration加固風險低回退建議還原備份配備即可建議加固時間無加固時間限制XX統(tǒng)一視頻監(jiān)視平臺安全加固操作Windows主機高等級弱點Windows服務器服務漏洞(MS08-067)加固項WINDOWS服務器服務漏洞(MS08-067)描述WINDOWS系統(tǒng)上的服務器服務中存在一種遠程執(zhí)行代碼漏洞。該漏洞是由于服務不對的地解決特制的RPC請求造成的。成功運用此漏洞的攻擊者能夠完全控制受影響的系統(tǒng)。加固風險可能會影響業(yè)務系統(tǒng)的應用。弱點嚴重程度賦值高加固操作更新補丁包：WindowsServerSP1:WindowsServerSP2:/downloads/details.aspx?displaylang=zh-cn&FamilyID=F26D395D-2459-4E40-8C92-3DE1C52C390D加固主機IP10.XX.5.11、10.XX.5.12中檔級弱點刪除服務器上的管理員共享加固項刪除服務器上的管理員共享描述Windows機器在安裝后都缺省存在”管理員共享”,它們被限制只允許管理員使用，但是它們會在網絡上以Admin$、c$、IPC$等來暴露每個卷的根目錄和%systemroot%目錄加固風險不能使用默認共享弱點嚴重程度賦值中加固操作刪除服務器上的管理員共享修改注冊表運行-regeditserver版:找到以下主鍵[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareServer（DWORD）的鍵值改為:00000000。professional版:找到以下主鍵[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareWks（DWORD）的鍵值改為:00000000。如果上面所述的主鍵不存在，就新建(右擊-新建-雙字節(jié)值）一種主健再改鍵值。加固主機IP10.XX.5.11、10.XX.5.12、10.XX.96.15、10.XX.96.XX嚴禁在任何驅動器上自動運行任何程序加固項嚴禁在任何驅動器上自動運行任何程序描述避免惡意代碼或特洛伊木馬自動運行加固風險無弱點嚴重程度賦值中加固操作gpedit.msc顧客配備->管理模板->系統(tǒng)->關閉自動播放或者設立HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun(REG_DWORD)255(十六進制FF)加固主機IP10.XX.5.11、10.XX.5.12、10.XX.96.15、10.XX.96.XX禁用無關的windows服務加固項禁用無關的windows服務描述系統(tǒng)中某些服務存在漏洞，如ComputerBrowser服務禁用可避免顧客通過網上鄰居來發(fā)現(xiàn)他不懂得確切名字的共享資源，或不通過任何授權瀏覽這些資源。加固風險可能影響某些服務的正常運行弱點嚴重程度賦值中加固操作到windows服務項中services.msc,禁用ComputerBrowser、RemoteRegistry服務加固主機IP10.XX.5.11、10.XX.5.12、10.XX.96.15、10.XX.96.XX設立密碼方略加固項設立密碼方略描述設立密碼的最短長度以及密碼復雜度能夠抵抗基于密碼的攻擊，更加好的保護帳號的安全。加固風險啟用密碼復雜度規(guī)定后，未滿足規(guī)定的賬戶可能會受到影響弱點嚴重程度賦值中加固操作gpedit.msc進入“計算機設立”->“Windows設立”->“安全設立”->“帳戶方略”->“密碼方略”。設立以下內容“密碼方略：密碼必須符合復雜性規(guī)定（啟用）密碼方略：密碼長度最小值（8）密碼方略：密碼最長使用期限（90天）密碼方略：密碼最短使用期限（1天）密碼方略：強制密碼歷史（=>5）加固主機IP10.XX.5.11、10.XX.5.12、10.XX.96.15、10.XX.96.XX設立審計和賬號方略加固項設立審計和賬號方略描述系統(tǒng)針對帳號的管理，以及目錄服務訪問，對象訪問，方略更改，特權使用，進程跟蹤，系統(tǒng)事件的審計未做設立加固風險啟動審計方略后，系統(tǒng)日志會增多，需要實時檢查磁盤空間弱點嚴重程度賦值中加固操作設立審核方略以及帳號方略帳戶鎖定方略：帳戶鎖定時間（15分鐘）帳戶鎖定方略：帳戶鎖定閥值（3次無效登錄）審核方略：審核方略更改（成功和失?。徍朔铰裕簩徍说卿浭录ǔ晒褪。徍朔铰裕簩徍藢ο笤L問（失?。徍朔铰裕簩徍颂貦嗍褂茫ㄊ。徍朔铰裕簩徍讼到y(tǒng)事件（成功和失敗）審核方略：審核帳戶登錄事件（成功和失?。徍朔铰裕簩徍藥艄芾恚ǔ晒褪。┘庸讨鳈CIP10.XX.5.11、10.XX.5.12、10.XX.96.15、10.XX.96.XX低等級弱點嚴禁CD自動運行加固項嚴禁CD自動運行描述可避免由于自動運行CD帶來的安全風險，如病毒自動安裝等。加固風險CD將不能自動運行弱點嚴重程度賦值低加固操作修改注冊表下列鍵值：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CDrom\Autorun(REG_DWORD)0加固主機IP10.XX.5.11、10.XX.5.12、10.XX.96.15、10.XX.96.XX設立交互式登錄：不顯示上次顧客名加固項設立交互式登錄：不顯示上次顧客名描述避免泄露顧客名的信息加固風險在交互登錄的過程中，不再顯示上次登錄的顧客名弱點嚴重程度賦值低加固操作修改系統(tǒng)安全選項中的設立，啟用該項。加固主機IP10.XX.5.11、10.XX.5.12、10.XX.96.15、10.XX.96.XX設立關機：去除虛擬內存頁面文獻加固項設立關機：去除虛擬內存頁面文獻描述避免內存頁面保存敏感的數(shù)據信息加固風險無弱點嚴重程度賦值低加固操作修改系統(tǒng)安全選項中的設立，啟用“關機：去除虛擬內存頁面文獻”加固主機IP10.XX.5.11、10.XX.5.12、10.XX.96.15、10.XX.96.XXOracle數(shù)據庫高等級弱點無。中檔級弱點修改數(shù)據庫弱口令賬戶加固項修改數(shù)據庫弱口令賬戶描述數(shù)據庫存在SCOTT默認口令TIGER，易被運用；加固風險無弱點嚴重程度賦值中加固操作修改弱口令賬戶的口令為滿足復雜度規(guī)定的口令或者對不使用的帳號進行鎖定alteruserUSER_NAMEidentifiedbynewpassword;加固主機IP10.XX.5.12限制客戶端連接IP加固項限制客戶端連接IP描述與數(shù)據庫服務器同一網段的IP可連接數(shù)據庫，減少了數(shù)據庫的安全性。加固風險未授權的客戶端將不能連接數(shù)據庫服務器弱點嚴重程度賦值中加固操作加固風險規(guī)避的辦法：備份原配備文獻sqlnet.ora具體加固辦法：在sqlnet.ora中增加：tcp.validnode_checking=yes#允許訪問的IPtcp.invited_nodes=(ip1,ip2,¡­¡­)#不允許訪問的IPtcp.excluded_nodes=(ip1,ip2,¡­¡­)或者通過防火墻進行設立。加固主機IP10.2XX.33.244設立oracle密碼方略加固項設立oracle密碼方略描述Oracle數(shù)據庫顧客的密碼方略未配備，使數(shù)據庫顧客及口令可能存在弱點，同時也可能受到非法者運用。設定密碼方略也可對失敗登陸次數(shù)和賬戶鎖定時間進行設立。加固風險未滿足密碼方略規(guī)定的賬戶可能會收到影響弱點嚴重程度賦值中加固操作建立顧客配備文獻profile，并指定給有關顧客。1、設立資源限制時，設立數(shù)據庫系統(tǒng)啟動參數(shù)RESOURCE_LIMIT為true；altersystemsetRESOURCE_LIMIT=true;2、創(chuàng)立profile文獻：createprofile文獻名limit參數(shù)value;可設立的參數(shù)以下FAILED_LOGIN_ATTEMPTS：指定鎖定顧客的登錄失敗次數(shù)PASSWORD_LOCK_TIME：指定顧客被鎖定天數(shù)PASSWORD_LIFE_TIME：指定口令可用天數(shù)PASSWORD_REUSE_TIME：指定在多長時間內口令不能重用PASSWORD_REUSE_MAX：指定在重用口令前口令需要變化的次數(shù)PASSWORD_VERIFY_FUNCTION：口令效驗函數(shù)2、更改顧客profile為新建的profile：ALTERUSERusernamePROFILEnewprofilename;加固主機IP10.2XX.33.244低等級弱點無。輸XX設備狀態(tài)在線監(jiān)測系統(tǒng)安全加固操作AIX主機高等級弱點無。中檔級弱點限制root顧客遠程登錄加固項限制root顧客遠程登錄描述遠程使用root登錄控制臺容易造成root密碼泄露，特別是現(xiàn)在采用telnet方式登錄系統(tǒng)加固風險root顧客不能遠程直接連接系統(tǒng)，需要普通顧客身份登錄后進行切換弱點嚴重程度賦值高加固操作加固風險規(guī)避的辦法：加固前備份原配備文獻cp/etc/security/user/etc/security/userXXXX具體加固辦法：需要確保有一種能夠遠程登陸的普通顧客修改/etc/security/user文獻，將root段的rlogin參數(shù)值修改為false或者chuserrlogin=falseroot加固主機IP10.XX.4.177禁用ntalk/cmsd服務加固項禁用ntalk/cmsd服務描述ntalk（字符聊天服務）和cmsd服務是CDE子程序服務，關閉該類不必要的服務能夠減少系統(tǒng)風險。加固風險CDE組件中的基于字符的聊天服務服務將不能使用弱點嚴重程度賦值中加固操作加固風險規(guī)避的辦法：根據主機的業(yè)務需求，關閉對應服務端口，加固前備份原配備文獻cp/etc/inetd.conf/etc/inetd.conf.XXXX（為加固日期）具體加固辦法：編輯/etc/inetd.conf,，以#號注釋ntalk、cmsd開頭的行執(zhí)行refresh-sinetd加固主機IP10.XX.4.177禁用或刪除不必要的帳號加固項禁用或刪除不必要的帳號描述系統(tǒng)中存在不必要的uucp、lpd、guest帳號，關閉不必要的系統(tǒng)帳號能夠減少系統(tǒng)風險。加固風險禁用或刪除帳號將不能登錄主機系統(tǒng)弱點嚴重程度賦值中加固操作加固風險規(guī)避的辦法：先備份需要更改的文獻。如需回退，可使用原文獻覆蓋已加固修改的文獻。如：#cp/etc/passwd/etc/passwd.old具體加固辦法：嚴禁系統(tǒng)顧客（uucp、lpd、guest）登陸操作：將/etc/passwd文獻中的shell域設立成/bin/false加固主機IP10.XX.4.177限制ftp服務的使用加固項限制ftp服務的使用描述ftpuser文獻包含了不能使用本地ftp服務的顧客，嚴禁系統(tǒng)帳號與root帳號使用ftp，能夠減少系統(tǒng)安全風險加固風險可能影響某些使用該帳號ftp登陸的備份，操作，日志統(tǒng)計等腳本弱點嚴重程度賦值中加固操作加固風險規(guī)避的辦法：刪除或清空創(chuàng)立的ftpusers文獻，預先加固前備份原配備文獻cp/etc/ftpusers/etc/ftpusersXXXX具體加固辦法：普通需要包含root(如果需要使用能夠排除)編輯/etc/ftpusers,每行一種顧客，加入以下系統(tǒng)顧客：daemonbinsysadmuucpguestnobodylpdlpinvscoutinvscoutipsecnuucp如果不使用ftp服務，可使用以下辦法進行禁用：風險規(guī)避辦法：根據主機的業(yè)務需求，關閉對應服務端口，加固前備份原配備文獻cp/etc/inetd.conf/etc/inetd.conf.XXXX（為加固日期）具體加固辦法：如須使用FTP則將該FTP軟件升級至最新版本，若不使用建議將其關閉。編輯/etc/inetd.conf，以#號注釋ftpd開頭的行執(zhí)行refresh-sinetd加固主機IP10.XX.4.177低等級弱點設立登陸方略加固項設立登陸方略描述良好的登陸方略可有效避免暴力破解口令，制止攻擊者暴力猜解顧客口令，減少忘記登出顧客被非法運用的可能性加固風險將縮小系統(tǒng)顧客登陸超時時間，允許輸錯密碼次數(shù)將減少弱點嚴重程度賦值中加固操作加固風險規(guī)避的辦法：加固前備份原配備文獻cp/etc/security/login.cfg/etc/security/login.cfgXXXX具體加固辦法：修改/etc/security/login.cfg文獻，做下列設立：logindisable=3（三次持續(xù)失敗登錄后鎖定）loginreenable=15（端口鎖定15分鐘后解鎖）logininterval=60（在60秒內3次失敗登錄才鎖定）加固主機IP10.XX.4.177設立密碼方略加固項設立密碼方略描述良好的密碼方略如密碼滿足一定的復雜度，定時更換密碼等能夠較好的抵抗基于密碼的攻擊加固風險可能造成某些其它系統(tǒng)來使用弱口令登陸本系統(tǒng)顧客來做同時備份或操作的腳本失效弱點嚴重程度賦值中加固操作加固風險規(guī)避的辦法：事先將原配備文獻做備份cp/etc/security/user/etc/security/userXXXX具體加固辦法：chsec-f/etc/security/user-sdefault-amaxage=13(設立密碼最長使用13周)chsec-f/etc/security/user-sdefault-aminlen=8(設立密碼最小長度8個字符)chsec-f/etc/security/user-sdefault-amaxrepeats=3(口令中某一字符最多只能重復3次)chsec-f/etc/security/user-sdefault–amindiff=4(新口令中最少有4個字符和舊口令不同)chsec-f/etc/security/user-sdefault–ahistexpire=26(同一口令在26周內不能重復使用)加固主機IP10.XX.4.177禁用Time\DayTime服務加固項禁用Time\DayTime服務描述網絡時間服務，允許遠程察看系統(tǒng)時間，關閉該類不必要服務能夠減少威脅發(fā)生的可能性。加固風險將不能遠程查看系統(tǒng)時間弱點嚴重程度賦值低加固操作加固風險規(guī)避的辦法：根據主機的業(yè)務需求，關閉對應服務端口，加固前備份原配備文獻cp/etc/inetd.conf/etc/inetd.conf.XXXX（為加固日期）具體加固辦法：編輯/etc/inetd.conf，以#號注釋time開頭的行執(zhí)行refresh-sinetd加固主機IP10.XX.4.177Linux主機高等級弱點無。中檔級弱點設立系統(tǒng)口令方略加固項設立系統(tǒng)口令方略描述增加口令復雜度，建議使用數(shù)字+大、小寫字母+特殊字符設立系統(tǒng)口令，密碼長度最少8位。加固風險需要與管理員確認此項操作不會影響到業(yè)務系統(tǒng)的登錄弱點嚴重程度賦值中檢查辦法使用命令#cat/etc/login.defs|grepPASS查看密碼方略設立加固操作備份cp-p/etc/login.defs/etc/login.defs_bak加固辦法：#vi/etc/login.defs修改配備文獻PASS_MAX_DAYS90#新建顧客的密碼最長使用天數(shù)PASS_MIN_DAYS0#新建顧客的密碼最短使用天數(shù)PASS_WARN_AGE7#新建顧客的密碼到期提前提示天數(shù)PASS_MIN_LEN8#最小密碼長度8加固主機IP10.XX.4.XX2、10.XX.4.XX3、10.XX.4.XX4限制能su為root的顧客加固項限制能su為root的顧客描述能su為root的顧客權限過大，易造成操作和安全風險。加固風險需要PAM包的支持;對pam文獻的修改應認真檢查，一旦出現(xiàn)錯誤會造成無法登陸;和管理員確認哪些顧客需要su。弱點嚴重程度賦值中檢查辦法#cat/etc/pam.d/su,查看與否有authrequired/lib/security/pam_wheel.so這樣的配備條目加固操作備份辦法：#cp-p/etc/pam.d/etc/pam.d_bak加固辦法：#vi/etc/pam.d/su在頭部添加：authrequired/lib/security/pam_wheel.sogroup=wheel這樣，只有wheel組的顧客能夠su到root#usermod-G10test將test顧客加入到wheel組加固主機IP10.XX.4.XX2、10.XX.4.XX3、10.XX.4.XX4嚴禁root顧客遠程登陸加固項嚴禁root顧客遠程登錄描述管理員需要使用普通顧客遠程登錄后su到root進行系統(tǒng)管理，避免root遠程登錄時被嗅探到口令。加固風險root顧客無法直接遠程登錄，需要用普通賬號登陸后su弱點嚴重程度賦值中檢查辦法#cat/etc/ssh/sshd_config查看PermitRootLogin與否為no加固操作備份辦法：#cp-p/etc/ssh/sshd_config/etc/ssh/sshd_config_bak加固辦法：#vi/etc/ssh/sshd_configPermitRootLoginno保存后重啟ssh服務servicesshdrestart加固主機IP10.XX.4.XX2、10.XX.4.XX3、10.XX.4.XX4限定信任主機加固項限定信任主機描述若.rhosts文獻中包含遠程主機名，則代表允許該主機通過rlogin等方式登錄本機；如果包含兩個加號，代表任何主機都能夠無需顧客名口令登錄本機使用“cat/etc/hosts.equiv”查看配備文獻，若包含遠程主機名，則代表允許該主機遠程登錄本機加固風險在多機互備的環(huán)境中，需要保存其它主機的IP可信任。弱點嚴重程度賦值中檢查辦法#cat/etc/hosts.equiv查看其中的主機#cat/$HOME/.rhosts查看其中的主機加固操作備份辦法：#cp-p/etc/hosts.equiv/etc/hosts.equiv_bak#cp-p/$HOME/.rhosts/$HOME/.rhosts_bak加固辦法：#vi/etc/hosts.equiv刪除其中不必要的主機#vi/$HOME/.rhosts刪除其中不必要的主機加固主機IP10.XX.4.XX2、10.XX.4.XX3、10.XX.4.XX4低等級弱點限制Alt+Ctrl+Del命令加固項限制Alt+Ctrl+Del命令描述避免誤使用Ctrl+Alt+Del重啟系統(tǒng)加固風險無可見風險弱點嚴重程度賦值低檢查辦法使用命令“cat/etc/inittab|grepctrlaltdel”查看輸入行與否被注釋加固操作cp/etc/inittab/etc/inittab.XXXX使用命令“vi/etc/inittab”編輯配備文獻，在行開頭添加注釋符號“#”#ca::ctrlaltdel:/sbin/shutdown-t3-rnow，再使用命令“initq”應用設立加固主機IP10.XX.4.XX2、10.XX.4.XX3、10.XX.4.XX4Windows主機高等級弱點Windows服務器服務漏洞(MS08-067)加固項WINDOWS服務器服務漏洞(MS08-067)描述WINDOWS系統(tǒng)上的服務器服務中存在一種遠程執(zhí)行代碼漏洞。該漏洞是由于服務不對的地解決特制的RPC請求造成的。成功運用此漏洞的攻擊者能夠完全控制受影響的系統(tǒng)。加固風險可能會影響業(yè)務系統(tǒng)的應用。弱點嚴重程度賦值高加固操作更新補丁包：WindowsServerSP1:WindowsServerSP2:/downloads/details.aspx?displaylang=zh-cn&FamilyID=F26D395D-2459-4E40-8C92-3DE1C52C390DWindowsServerfor32-bitSystems:/downloads/details.aspx?displaylang=zh-cn&FamilyID=25C17B07-1EFE-43D7-9B01-3DFDF1CE0BD7加固主機IP10.XX.4.174中檔級弱點刪除服務器上的管理員共享加固項刪除服務器上的管理員共享描述Windows機器在安裝后都缺省存在”管理員共享”,它們被限制只允許管理員使用，但是它們會在網絡上以Admin$、c$、IPC$等來暴露每個卷的根目錄和%systemroot%目錄加固風險不能使用默認共享弱點嚴重程度賦值中加固操作刪除服務器上的管理員共享修改注冊表運行-regeditserver版:找到以下主鍵[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareServer（DWORD）的鍵值改為:00000000。professional版:找到以下主鍵[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareWks（DWORD）的鍵值改為:00000000。如果上面所述的主鍵不存在，就新建(右擊-新建-雙字節(jié)值）一種主健再改鍵值。加固主機IP10.XX.4.XX1、10.XX.4.174嚴禁在任何驅動器上自動運行任何程序加固項嚴禁在任何驅動器上自動運行任何程序描述避免惡意代碼或特洛伊木馬自動運行加固風險無弱點嚴重程度賦值中加固操作gpedit.msc顧客配備->管理模板->系統(tǒng)->關閉自動播放或者設立HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun(REG_DWORD)255(十六進制FF)加固主機IP10.XX.4.XX1、10.XX.4.174禁用無關的windows服務加固項禁用無關的windows服務描述系統(tǒng)中某些服務存在漏洞，如ComputerBrowser服務禁用可避免顧客通過網上鄰居來發(fā)現(xiàn)他不懂得確切名字的共享資源，或不通過任何授權瀏覽這些資源。加固風險可能影響某些服務的正常運行弱點嚴重程度賦值中加固操作到windows服務項中services.msc,禁用RemoteRegistry、ComputerBrowser、RemoteRegistryService服務加固主機IP10.XX.4.XX1、10.XX.4.174設立密碼方略加固項設立密碼方略描述設立密碼的最短長度以及密碼復雜度能夠抵抗基于密碼的攻擊，更加好的保護帳號的安全。加固風險啟用密碼復雜度規(guī)定后，未滿足規(guī)定的賬戶可能會受到影響弱點嚴重程度賦值中加固操作gpedit.msc進入“計算機設立”->“Windows設立”->“安全設立”->“帳戶方略”->“密碼方略”。設立以下內容：密碼方略：密碼必須符合復雜性規(guī)定（啟用）密碼方略：密碼長度最小值（8）密碼方略：密碼最長使用期限（90天）密碼方略：密碼最短使用期限（1天）密碼方略：強制密碼歷史（=>5）加固主機IP10.XX.4.XX1、10.XX.4.174設立審計和賬號方略加固項設立審計和賬號方略描述系統(tǒng)針對帳號的管理，以及目錄服務訪問，對象訪問，方略更改，特權使用，進程跟蹤，系統(tǒng)事件的審計未做設立加固風險啟動審計方略后，系統(tǒng)日志會增多，需要實時檢查磁盤空間弱點嚴重程度賦值中加固操作設立審核方略以及帳號方略帳戶鎖定方略：帳戶鎖定時間（15分鐘）帳戶鎖定方略：帳戶鎖定閥值（3次無效登錄）審核方略：審核方略更改（成功和失?。徍朔铰裕簩徍说卿浭录ǔ晒褪。徍朔铰裕簩徍藢ο笤L問（失?。徍朔铰裕簩徍颂貦嗍褂茫ㄊ。徍朔铰裕簩徍讼到y(tǒng)事件（成功和失?。徍朔铰裕簩徍藥舻卿浭录ǔ晒褪。徍朔铰裕簩徍藥艄芾恚ǔ晒褪。┘庸讨鳈CIP10.XX.4.XX1、10.XX.4.174低等級弱點嚴禁CD自動運行加固項嚴禁CD自動運行描述可避免由于自動運行CD帶來的安全風險，如病毒自動安裝等。加固風險CD將不能自動運行弱點嚴重程度賦值低加固操作修改注冊表下列鍵值：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CDrom\Autorun(REG_DWORD)0加固主機IP10.XX.4.XX1、10.XX.4.174設立交互式登錄：不顯示上次顧客名加固項設立交互式登錄：不顯示上次顧客名描述避免泄露顧客名的信息加固風險在交互登錄的過程中，不再顯示上次登錄的顧客名弱點嚴重程度賦值低加固操作修改系統(tǒng)安全選項中的設立，啟用該項。加固主機IP10.XX.4.XX1、10.XX.4.174設立關機：去除虛擬內存頁面文獻加固項設立關機：去除虛擬內存頁面文獻描述避免內存頁面保存敏感的數(shù)據信息加固風險無弱點嚴重程度賦值低加固操作修改系統(tǒng)安全選項中的設立，啟用“關機：去除虛擬內存頁面文獻”加固主機IP10.XX.4.XX1、10.XX.4.174Oracle數(shù)據庫高等級弱點無。中檔級弱點限制客戶端連接IP加固項限制客戶端連接IP描述與數(shù)據庫服務器同一網段的IP可連接數(shù)據庫，減少了數(shù)據庫的安全性。加固風險未授權的客戶端將不能連接數(shù)據庫服務器弱點嚴重程度賦值中加固操作加固風險規(guī)避的辦法：備份原配備文獻sqlnet.ora具體加固辦法：在sqlnet.ora中增加：tcp.validnode_checking=yes#允許訪問的IPtcp.invited_nodes=(ip1,ip2,¡­¡­)#不允許訪問的IPtcp.excluded_nodes=(ip1,ip2,¡­¡­)或者通過防火墻進行設立。加固主機IP10.XX.4.177設立oracle密碼方略加固項設立oracle密碼方略描述Oracle數(shù)據庫顧客的密碼方略未配備，使數(shù)據庫顧客及口令可能存在弱點，同時也可能受到非法者運用。設定密碼方略也可對失敗登陸次數(shù)和賬戶鎖定時間進行設立。加固風險未滿足密碼方略規(guī)定的賬戶可能會收到影響弱點嚴重程度賦值中加固操作建立顧客配備文獻profile，并指定給有關顧客。1、設立資源限制時，設立數(shù)據庫系統(tǒng)啟動參數(shù)RESOURCE_LIMIT為true；altersystemsetRESOURCE_LIMIT=true;2、創(chuàng)立profile文獻：createprofile文獻名limit參數(shù)value;可設立的參數(shù)以下FAILED_LOGIN_ATTEMPTS：指定鎖定顧客的登錄失敗次數(shù)PASSWORD_LOCK_TIME：指定顧客被鎖定天數(shù)PASSWORD_LIFE_TIME：指定口令可用天數(shù)PASSWORD_REUSE_TIME：指定在多長時間內口令不能重用PASSWORD_REUSE_MAX：指定在重用口令前口令需要變化的次數(shù)PASSWORD_VERIFY_FUNCTION：口令效驗函數(shù)2、更改顧客profile為新建的profile：ALTERUSERusernamePROFILEnewprofilename;加固主機IP10.XX.4.177低等級弱點無。用XX信息采集系統(tǒng)安全加固操作AIX主機高等級弱點無。中檔級弱點限制root顧客遠程登錄加固項限制root顧客遠程登錄描述遠程使用root登錄控制臺容易造成root密碼泄露，特別是現(xiàn)在采用telnet方式登錄系統(tǒng)加固風險root顧客不能遠程直接連接系統(tǒng)，需要普通顧客身份登錄后進行切換弱點嚴重程度賦值高加固操作加固風險規(guī)避的辦法：加固前備份原配備文獻cp/etc/security/user/etc/security/userXXXX具體加固辦法：需要確保有一種能夠遠程登陸的普通顧客修改/etc/security/user文獻，將root段的rlogin參數(shù)值修改為false或者chuserrlogin=falseroot加固主機IP192.XX8.0.142禁用ntalk/cmsd服務加固項禁用ntalk/cmsd服務描述ntalk（字符聊天服務）和cmsd服務是CDE子程序服務，關閉該類不必要的服務能夠減少系統(tǒng)風險。加固風險CDE組件中的基于字符的聊天服務服務將不能使用弱點嚴重程度賦值中加固操作加固風險規(guī)避的辦法：根據主機的業(yè)務需求，關閉對應服務端口，加固前備份原配備文獻cp/etc/inetd.conf/etc/inetd.conf.XXXX（為加固日期）具體加固辦法：編輯/etc/inetd.conf,，以#號注釋ntalk、cmsd開頭的行執(zhí)行refresh-sinetd加固主機IP192.XX8.0.142禁用或刪除不必要的帳號加固項禁用或刪除不必要的帳號描述系統(tǒng)中存在不必要的uucp、nuucp、lpd、、guest帳號，關閉不必要的系統(tǒng)帳號能夠減少系統(tǒng)風險。加固風險禁用或刪除帳號將不能登錄主機系統(tǒng)弱點嚴重程度賦值中加固操作加固風險規(guī)避的辦法：先備份需要更改的文獻。如需回退，可使用原文獻覆蓋已加固修改的文獻。如：#cp/etc/passwd/etc/passwd.old具體加固辦法：嚴禁系統(tǒng)顧客（uucp、nuucp、lpd、、guest）登陸操作：將/etc/passwd文獻中的shell域設立成/bin/false加固主機IP192.XX8.0.142限制ftp服務的使用加固項限制ftp服務的使用描述ftpuser文獻包含了不能使用本地ftp服務的顧客，嚴禁系統(tǒng)帳號與root帳號使用ftp，能夠減少系統(tǒng)安全風險加固風險可能影響某些使用該帳號ftp登陸的備份，操作，日志統(tǒng)計等腳本弱點嚴重程度賦值中加固操作加固風險規(guī)避的辦法：刪除或清空創(chuàng)立的ftpusers文獻，預先加固前備份原配備文獻cp/etc/ftpusers/etc/ftpusersXXXX具體加固辦法：普通需要包含root(如果需要使用能夠排除)編輯/etc/ftpusers,每行一種顧客，加入以下系統(tǒng)顧客：daemonbinsysadmuucpguestnobodylpdlpinvscoutinvscoutipsecnuucp如果不使用ftp服務，可使用以下辦法進行禁用：風險規(guī)避辦法：根據主機的業(yè)務需求，關閉對應服務端口，加固前備份原配備文獻cp/etc/inetd.conf/etc/inetd.conf.XXXX（為加固日期）具體加固辦法：如須使用FTP則將該FTP軟件升級至最新版本，若不使用建議將其關閉。編輯/etc/inetd.conf，以#號注釋ftpd開頭的行執(zhí)行refresh-sinetd加固主機IP192.XX8.0.142低等級弱點設立登陸方略加固項設立登陸方略描述良好的登陸方略可有效避免暴力破解口令，制止攻擊者暴力猜解顧客口令，減少忘記登出顧客被非法運用的可能性加固風險將縮小系統(tǒng)顧客登陸超時時間，允許輸錯密碼次數(shù)將減少弱點嚴重程度賦值中加固操作加固風險規(guī)避的辦法：加固前備份原配備文獻cp/etc/security/login.cfg/etc/security/login.cfgXXXX具體加固辦法：修改/etc/security/login.cfg文獻，做下列設立：logindisable=3（三次持續(xù)失敗登錄后鎖定）loginreenable=15（端口鎖定15分鐘后解鎖）logininterval=60（在60秒內3次失敗登錄才鎖定）加固主機IP192.XX8.0.142設立密碼方略加固項設立密碼方略描述良好的密碼方略如密碼滿足一定的復雜度，定時更換密碼等能夠較好的抵抗基于密碼的攻擊加固風險可能造成某些其它系統(tǒng)來使用弱口令登陸本系統(tǒng)顧客來做同時備份或操作的腳本失效弱點嚴重程度賦值中加固操作加固風險規(guī)避的辦法：事先將原配備文獻做備份cp/etc/security/user/etc/security/userXXXX具體加固辦法：chsec-f/etc/security/user-sdefault-amaxage=13(設立密碼最長使用13周)chsec-f/etc/security/user-sdefault-aminlen=8(設立密碼最小長度8個字符)chsec-f/etc/security/user-sdefault-amaxrepeats=3(口令中某一字符最多只能重復3次)chsec-f/etc/security/user-sdefault–amindiff=4(新口令中最少有4個字符和舊口令不同)chsec-f/etc/security/user-sdefault–ahistexpire=26(同一口令在26周內不能重復使用)加固主機IP192.XX8.0.142禁用Time\DayTime服務加固項禁用Time\DayTime服務描述網絡時間服務，允許遠程察看系統(tǒng)時間，關閉該類不必要服務能夠減少威脅發(fā)生的可能性。加固風險將不能遠程查看系統(tǒng)時間弱點嚴重程度賦值低加固操作加固風險規(guī)避的辦法：根據主機的業(yè)務需求，關閉對應服務端口，加固前備份原配備文獻cp/etc/inetd.conf/etc/inetd.conf.XXXX（為加固日期）具體加固辦法：編輯/etc/inetd.conf，以#號注釋time開頭的行執(zhí)行refresh-sinetd加固主機IP192.XX8.0.142Linux主機高等級弱點無。中檔級弱點設立系統(tǒng)口令方略加固項設立系統(tǒng)口令方略描述增加口令復雜度，建議使用數(shù)字+大、小寫字母+特殊字符設立系統(tǒng)口令，密碼長度最少8位。加固風險需要與管理員確認此項操作不會影響到業(yè)務系統(tǒng)的登錄弱點嚴重程度賦值中檢查辦法使用命令#cat/etc/login.defs|grepPASS查看密碼方略設立加固操作備份cp-p/etc/login.defs/etc/login.defs_bak加固辦法：#vi/etc/login.defs修改配備文獻PASS_MAX_DAYS90#新建顧客的密碼最長使用天數(shù)PASS_MIN_DAYS0#新建顧客的密碼最短使用天數(shù)PASS_WARN_AGE7#新建顧客的密碼到期提前提示天數(shù)PASS_MIN_LEN8#最小密碼長度8加固主機IP192.XX8.0.12限制能su為root的顧客加固項限制能su為root的顧客描述能su為root的顧客權限過大，易造成操作和安全風險。加固風險需要PAM包的支持;對pam文獻的修改應認真檢查，一旦出現(xiàn)錯誤會造成無法登陸;和管理員確認哪些顧客需要su。弱點嚴重程度賦值中檢查辦法#cat/etc/pam.d/su,查看與否有authrequired/lib/security/pam_wheel.so這樣的配備條目加固操作備份辦法：#cp-p/etc/pam.d/etc/pam.d_bak加固辦法：#vi/etc/pam.d/su在頭部添加：authrequired/lib/security/pam_wheel.sogroup=wheel這樣，只有wheel組的顧客能夠su到root#usermod-G10test將test顧客加入到wheel組加固主機IP192.XX8.0.12嚴禁root顧客遠程登陸加固項嚴禁root顧客遠程登錄描述管理員需要使用普通顧客遠程登錄后su到root進行系統(tǒng)管理，避免root遠程登錄時被嗅探到口令。加固風險root顧客無法直接遠程登錄，需要用普通賬號登陸后su弱點嚴重程度賦值中檢查辦法#cat/etc/ssh/sshd_config查看PermitRootLogin與否為no加固操作備份辦法：#cp-p/etc/ssh/sshd_config/etc/ssh/sshd_config_bak加固辦法：#vi/etc/ssh/sshd_configPermitRootLoginno保存后重啟ssh服務servicesshdrestart加固主機IP192.XX8.0.12限定信任主機加固項限定信任主機描述若.rhosts文獻中包含遠程主機名，則代表允許該主機通過rlogin等方式登錄本機；如果包含兩個加號，代表任何主機都能夠無需顧客名口令登錄本機使用“cat/etc/hosts.equiv”查看配備文獻，若包含遠程主機名，則代表允許該主機遠程登錄本機加固風險在多機互備的環(huán)境中，需要保存其它主機的IP可信任。弱點嚴重程度賦值中檢查辦法#cat/etc/hosts.equiv查看其中的主機#cat/$HOME/.rhosts查看其中的主機加固操作備份辦法：#cp-p/etc/hosts.equiv/etc/hosts.equiv_bak#cp-p/$HOME/.rhosts/$HOME/.rhosts_bak加固辦法：#vi/etc/hosts.equiv刪除其中不必要的主機#vi/$HOME/.rhosts刪除其中不必要的主機加固主機IP192.XX8.0.12低等級弱點限制Alt+Ctrl+Del命令加固項限制Alt+Ctrl+Del命令描述避免誤使用Ctrl+Alt+Del重啟系統(tǒng)加固風險無可見風險弱點嚴重程度賦值低檢查辦法使用命令“cat/etc/inittab|grepctrlaltdel”查看輸入行與否被注釋加固操作cp/etc/inittab/etc/inittab.XXXX使用命令“vi/etc/inittab”編輯配備文獻，在行開頭添加注釋符號“#”#ca::ctrlaltdel:/sbin/shutdown-t3-rnow，再使用命令“initq”應用設立加固主機IP192.XX8.0.12Windows主機高等級弱點Windows服務器服務漏洞(MS08-067)加固項WINDOWS服務器服務漏洞(MS08-067)描述WINDOWS系統(tǒng)上的服務器服務中存在一種遠程執(zhí)行代碼漏洞。該漏洞是由于服務不對的地解決特制的RPC請求造成的。成功運用此漏洞的攻擊者能夠完全控制受影響的系統(tǒng)。加固風險可能會影響業(yè)務系統(tǒng)的應用。弱點嚴重程度賦值高加固操作更新補丁包：WindowsServerSP1:WindowsServerSP2:/downloads/details.aspx?displaylang=zh-cn&FamilyID=F26D395D-2459-4E40-8C92-3DE1C52C390DWindowsServerfor32-bitSystems:/downloads/details.aspx?displaylang=zh-cn&FamilyID=25C17B07-1EFE-43D7-9B01-3DFDF1CE0BD7加固主機IP192.XX8.0.62中檔級弱點刪除服務器上的管理員共享加固項刪除服務器上的管理員共享描述Windows機器在安裝后都缺省存在”管理員共享”,它們被限制只允許管理員使用，但是它們會在網絡上以Admin$、c$、IPC$等來暴露每個卷的根目錄和%systemroot%目錄加固風險不能使用默認共享弱點嚴重程度賦值中加固操作刪除服務器上的管理員共享修改注冊表運行-regeditserver版:找到以下主鍵[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareServer（DWORD）的鍵值改為:00000000。professional版:找到以下主鍵[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareWks（DWORD）的鍵值改為:00000000。如果上面所述的主鍵不存在，就新建(右擊-新建-雙字節(jié)值）一種主健再改鍵值。加固主機IP192.XX8.0.51、192.XX8.0.62、192.XX8.0.72嚴禁在任何驅動器上自動運行任何程序加固項嚴禁在任何驅動器上自動運行任何程序描述避免惡意代碼或特洛伊木馬自動運行加固風險無弱點嚴重程度賦值中加固操作gpedit.msc顧客配備->管理模板->系統(tǒng)->關閉自動播放或者設立HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun(REG_DWORD)255(十六進制FF)加固主機IP192.XX8.0.51、192.XX8.0.62、192.XX8.0.72禁用無關的windows服務加固項禁用無關的windows服務描述系統(tǒng)中某些服務存在漏洞，如ComputerBrowser服務禁用可避免顧客通過網上鄰居來發(fā)現(xiàn)他不懂得確切名字的共享資源，或不通過任何授權瀏覽這些資源。加固風險可能影響某些服務的正常運行弱點嚴重程度賦值中加固操作到windows服務項中services.msc,禁用RemoteRegistry、SimpleNetworkManagementProtocol(SNMP)Service、SimpleNetworkManagementProtocol(SNMP)Trap服務加固主機IP192.XX8.0.51、192.XX8.0.62、192.XX8.0.72設立密碼方略加固項設立密碼方略描述設立密碼的最短長度以及密碼復雜度能夠抵抗基于密碼的攻擊，更加好的保護帳號的安全。加固風險啟用密碼復雜度規(guī)定后，未滿足規(guī)定的賬戶可能會受到影響弱點嚴重程度賦值中加固操作gpedit.msc進入“計算機設立”->“Windows設立”->“安全設立”->“帳戶方略”->“密碼方略”。設立以下內容：密碼方略：密碼必須符合復雜性規(guī)定（啟用）密碼方略：密碼長度最小值（8）密碼方略：密碼最長使用期限（90天）密碼方略：密碼最短使用期限（1天）密碼方略：強制密碼歷史（=>5）加固主機IP192.XX8.0.51、192.XX8.0.62、192.XX8.0.72設立審計和賬號方略加固項設立審計和賬號方略描述系統(tǒng)針對帳號的管理，以及目錄服務訪問，對象訪問，方略更改，特權使用，進程跟蹤，系統(tǒng)事件的審計未做設立加固風險啟動審計方略后，系統(tǒng)日志會增多，需要實時檢查磁盤空間弱點嚴重程度賦值中加固操作設立審核方略以及帳號方略帳戶鎖定方略：帳戶鎖定時間（15分鐘）帳戶鎖定方略：帳戶鎖定閥值（3次無效登錄）審核方略：審核方略更改（成功和失?。徍朔铰裕簩徍说卿浭录ǔ晒褪。徍朔铰裕簩徍藢ο笤L問（失?。徍朔铰裕簩徍颂貦嗍褂茫ㄊ。徍朔铰裕簩徍讼到y(tǒng)事件（成功和失敗）審核方略：審核帳戶登錄事件（成功和失?。徍朔铰裕簩徍藥艄芾恚ǔ晒褪。┘庸讨鳈CIP192.XX8.0.51、192.XX8.0.62、192.XX8.0.72低等級弱點嚴禁CD自動運行加固項嚴禁CD自動運行描述可避免由于自動運行CD帶來的安全風險，如病毒自動安裝等。加固風險CD將不能自動運行弱點嚴重程度賦值低加固操作修改注冊表下列鍵值：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CDrom\Autorun(REG_DWORD)0加固主機IP192.XX8.0.51、192.XX8.0.62、192.XX8.0.72設立交互式登錄：不顯示上次顧客名加固項設立交互式登錄：不顯示上次顧客名描述避免泄露顧客名的信息加固風險在交互登錄的過程中，不再顯示上次登錄的顧客名弱點嚴重程度賦值低加固操作修改系統(tǒng)安全選項中的設立，啟用該項。加固主機IP192.XX8.0.51、192.XX8.0.62、192.XX8.0.72設立關機：去除虛擬內存頁面文獻加固項設立關機：去除虛擬內存頁面文獻描述避免內存頁面保存敏感的數(shù)據信息加固風險無弱點嚴重程度賦值低加固操作修改系統(tǒng)安全選項中的設立，啟用“關機：去除虛擬內存頁面文獻”加固主機IP192.XX8.0.51、192.XX8.0.62、192.XX8.0.72Oracle數(shù)據庫高等級弱點無。中檔級弱點限制客戶端連接IP加固項限制客戶端連接IP描述與數(shù)據庫服務器同一網段的IP可連接數(shù)據庫，減少了數(shù)據庫的安全性。加固風險未授權的客戶端將不能連接數(shù)據庫服務器弱點嚴重程度賦值中加固操作加固風險規(guī)避的辦法：備份原配備文獻sqlnet.ora具體加固辦法：在sqlnet.ora中增加：tcp.validnode_checking=yes#允許訪問的IPtcp.invited_nodes=(ip1,ip2,¡­¡­)#不允許訪問的IPtcp.excluded_nodes=(ip1,ip2,¡­¡­)或者通過防火墻進行設立。加固主機IP192.XX8.0.2設立oracle密碼方略加固項設立oracle密碼方略描述Oracle數(shù)據庫顧客的密碼方略未配備，使數(shù)據庫顧客及口令可能存在弱點，同時也可能受到非法者運用。設定密碼方略也可對失敗登陸次數(shù)和賬戶鎖定時間進行設立。加固風險未滿足密碼方略規(guī)定的賬戶可能會收到影響弱點嚴重程度賦值中加固操作建立顧客配備文獻profile，并指定給有關顧客。1、設立資源限制時，設立數(shù)據庫系統(tǒng)啟動參數(shù)RESOURCE_LIMIT為true；altersystemsetRESOURCE_LIMIT=true;2、創(chuàng)立profile文獻：createprofile文獻名limit參數(shù)value;可設立的參數(shù)以下FAILED_LOGIN_ATTEMPTS：指定鎖定顧客的登錄失敗次數(shù)PASSWORD_LOCK_TIME：指定顧客被鎖定天數(shù)PASSWORD_LIFE_TIME：指定口令可用天數(shù)PASSWORD_REUSE_TIME：指定在多長時間內口令不能重用PASSWORD_REUSE_MAX：指定在重用口令前口令需要變化的次數(shù)PASSWORD_VERIFY_FUNCTION：口令效驗函數(shù)2、更改顧客profile為新建的profile：ALTERUSERusernamePROFILEnewprofilename;加固主機IP192.XX8.0.2低等級弱點無。互動XX安全加固操作Linux主機高等級弱點無。中檔級弱點設立系統(tǒng)口令方略加固項設立系統(tǒng)口令方略描述增加口令復雜度，建議使用數(shù)字+大、小寫字母+特殊字符設立系統(tǒng)口令，密碼長度最少8位。加固風險需要與管理員確認此項操作不會影響到業(yè)務系統(tǒng)的登錄弱點嚴重程度賦值中檢查辦法使用命令#cat/etc/login.defs|grepPASS查看密碼方略設立加固操作備份cp-p/etc/login.defs/etc/login.defs_bak加固辦法：#vi/etc/login.defs修改配備文獻PASS_MAX_DAYS90#新建顧客的密碼最長使用天數(shù)PASS_MIN_DAYS0#新建顧客的密碼最短使用天數(shù)PASS_WARN_AGE7#新建顧客的密碼到期提前提示天數(shù)PASS_MIN_LEN8#最小密碼長度8加固主機IPXX.XX.1.33、XX.XX.1.36、XX.XX.1.38限制能su為root的顧客加固項限制能su為root的顧客描述能su為root的顧客權限過大，易造成操作和安全風險。加固風險需要PAM包的支持;對pam文獻的修改應認真檢查，一旦出現(xiàn)錯誤會造成無法登陸;和管理員確認哪些顧客需要su。弱點嚴重程度賦值中檢查辦法#cat/etc/pam.d/su,查看與否有authrequired/lib/security/pam_wheel.so這樣的配備條目加固操作備份辦法：#cp-p/etc/pam.d/etc/pam.d_bak加固辦法：#vi/etc/pam.d/su在頭部添加：authrequired/lib/security/pam_wheel.sogroup=wheel這樣，只有wheel組的顧客能夠su到root#usermod-G10test將test顧客加入到wheel組加固主機IPXX.XX.1.33、XX.XX.1.36、XX.XX.1.38嚴禁root顧客遠程登陸加固項嚴禁root顧客遠程登錄描述管理員需要使用普通顧客遠程登錄后su到root進行系統(tǒng)管理，避免root遠程登錄時被嗅探到口令。加固風險root顧客無法直接遠程登錄，需要用普通賬號登陸后su弱點嚴重程度賦值中檢查辦法#cat/etc/ssh/sshd_config查看PermitRootLogin與否為no加固操作備份辦法：#cp-p/etc/ssh/sshd_config/etc/ssh/sshd_config_bak加固辦法：#vi/etc/ssh/sshd_configPermitRootLoginno保存后重啟ssh服務servicesshdrestart加固主機IPXX.XX.1.33、XX.XX.1.36、XX.XX.1.38限定信任主機加固項限定信任主機描述若.rhosts文獻中包含遠程主機名，則代表允許該主機通過rlogin等方式登錄本機；如果包含兩個加號，代表任何主機都能夠無需顧客名口令登錄本機使用“cat/etc/hosts.equiv”查看配備文獻，若包含遠程主機名，則代表允許該主機遠程登錄本機加固風險在多機互備的環(huán)境中，需要保存其它主機的IP可信任。弱點嚴重程度賦值中檢查辦法#cat/etc/hosts.equiv查看其中的主機#cat/$HOME/.rhosts查看其中的主機加固操作備份辦法：#cp-p/etc/hosts.equiv/etc/hosts.equiv_bak#cp-p/$HOME/.rhosts/$HOME/.rhosts_bak加固辦法：#vi/etc/hosts.equiv刪除其中不必要的主機#vi/$HOME/.rhosts刪除其中不必要的主機加固主機IPXX.XX.1.33、XX.XX.1.36、XX.XX.1.38低等級弱點限制Alt+Ctrl+Del命令加固項限制Alt+Ctrl+Del命令描述避免誤使用Ctrl+Alt+Del重啟系統(tǒng)加固風險無可見風險弱點嚴重程度賦值低檢查辦法使用命令“cat/etc/inittab|grepctrlaltdel”查看輸入行與否被注釋加固操作cp/etc/inittab/etc/inittab.XXXX使用命令“vi/etc/inittab”編輯配備文獻，在行開頭添加注釋符號“#”#ca::ctrlaltdel:/sbin/shutdown-t3-rnow，再使用命令“initq”應用設立加固主機IPXX.XX.1.33、XX.XX.1.36、XX.XX.1.38Oracle數(shù)據庫高等級弱點無。中檔級弱點限制客戶端連接IP加