主机加固报告

主机加固报告 本文关键词：加固，主机，报告

主机加固报告 本文简介：Tosec.CnWindows主机加固方案一、加固主机列表本次安全加固服务的对象包括：编号IP地址操作系统用途或服务Windows2000AdvancedServerIIS服务器二、加固方案2.1.1操作系统加固方案2.1.1.1补丁安装编号：Windows-02001名称：补丁安装系统当前状态：实

主机加固报告 本文内容：

Tosec.Cn

Windows

主机加固方案

一、加固主机列表

本次安全加固服务的对象包括：

编号

IP

地址

操作系统

用途或服务

Windows

2000

Advanced

Server

IIS

服务器

二、加固方案

2.1.1

操作系统加固方案

2.1.1.1

补丁安装

编号：

Windows-02001

名称：

补丁安装

系统当前状态：

实施方案：

使用

Windows

update

安装最新补丁

实施目的：

可以使系统版本为最新版本

实施风险：

安装补丁可能导致主机启动失败，或其他未知情况发生。

是否实施：

是否（客户填写）

密码长度最小值

7

字符

密码最长存留期

90

天

密码最短存留期

30

天

帐号锁定计数器

5

次

帐户锁定时间

5

分钟

帐户锁定阀值

1

分钟

密码长度最小值

0

字符

密码最长存留期

42

天

密码最短存留期

0

天

帐号锁定计数器

无

帐户锁定时间

0

帐户锁定阀值

无

2.1.1.2

帐号、口令策略修改

编号：

Windows-03002,Windows-03003,Windows-03004

名称：

帐号口令策略修改

系统当前状态：

实施方案：

实施目的：

保障帐号以及口令的安全

实施风险：

设置帐号策略后可能导致不符合帐号策略的帐号无法登录，

需修改不符合帐号策略的密码（注：管理员不受帐号策略限

制，但管理员密码应复杂以避免被暴力猜测导致安全风险）。

是否实施：

是否（客户填写）

编号：

Windows-03002,Windows-03003,Windows-03004

名称：

更改默认管理员用户名

系统当前状态：

默认管理员帐号为

administrator

实施方案：

更改默认管理员用户名

实施目的：

默认管理员帐号可能被攻击者用来进行密码暴力猜测，可能

由于太多的错误密码尝试导致该帐户被锁定。建议修改默认

Tosec.Cn

管理员用户名。

实施风险：

无，但此步骤不总是必要。

是否实施：

是否（客户填写）

2.1.1.3

网络与服务加固

编号：

Windows-04005

名称：

将暂时不需要开放的服务停止

系统当前状态：

已启动且需要停止的服务包括：

Alerter

服务

Computer

Browser

服务

IPSEC

Policy

Agent

服务

Messenger

服务

Microsoft

Search

服务

Print

Spooler

服务

RunAs

Service

服务

Remote

Registry

Service

服务

Security

Accounts

Manager

服务

Task

Scheduler

服务

TCP/IP

NetBIOS

Helper

Service

服务

实施方案：

开始

|

运行

|

services.msc

|

将上述服务的启动类型设置为

手动并停止上述服务

实施目的：

避免未知漏洞给主机带来的风险

实施风险：

可能由于管理员对主机所开放服务不了解，导致该服务被卸

载。由于某服务被禁止使得依赖于此服务的其他服务不能正

常启动。

是否实施：

是否（客户填写）

2.1.1.4

文件系统加固

编号：

Windows-05002

名称：

限制特定执行文件的权限

系统当前状态：

未对敏感执行文件设置合适的权限

实施方案：

通过实施我公司的安全策略文件对特定文件权限进行限制，禁

止

Guests

用户组访问这些文件。

实施目的：

禁止

Guests

用户组访问以下文件：

xcopy.exewscript.execscript.exenet.exe

arp.exeedlin.exeping.exeroute.exe

posix.exeRsh.exeatsvc.exeCopy.exe

cacls.exeipconfig.exercp.execmd.exe

debug.exeregedt32.exeregedit.exeedit.com

telnet.exeFinger.exeNslookup.exeRexec.exe

ftp.exeat.exerunonce.exenbtstat.exe

Tracert.exenetstat.exe

实施风险：

在极少数情况下，某些网页可能调用

cmd.exe

来完成某种功能，

限制

cmd.exe

的执行权限可能导致调用

cmd

失败。

是否实施：

是否（客户填写）

审核策略更改

无审核

审核登录事件

成功、失败

审核对象访问

无审核

审核过程追踪

无审核

审核目录服务访问

无审核

2.1.1.5

日志审核增强

编号：

Windows-06001

名称：

设置主机审核策略

系统当前状态：

Tosec.Cn

审核策略更改

成功

审核登录事件

无审核

审核对象访问

成功,失败

审核过程追踪

无审核

审核目录服务访问

无审核

审核特权使用

无审核

审核系统事件

成功,失败

审核帐户登录事件

成功,失败

审核帐户管理

成功,失败

大小

覆盖方式

应用日志

512K

覆盖早于

7

天的事件

安全日志

512K

覆盖早于

7

天的事件

系统日志

512K

覆盖早于

7

天的事件

大小

覆盖方式

应用日志

16382K

覆盖早于

30

天的事件

安全日志

16384K

覆盖早于

30

天的事件

审核特权使用无审核

审核系统事件无审核

审核帐户登录事件成功、失败

审核帐户管理成功、失败

实施方案：

通过实施我公司的安全策略文件修改下述值：

实施目的：

对系统事件进行审核，在日后出现故障时用于排查故障。

实施风险：

无

是否实施：

是否（客户填写）

编号：

Windows-06002，Windows-06003，Windows-06004

名称：

调整事件日志的大小、覆盖策略

系统当前状态：

实施方案：

通过实施我公司的安全策略文件修改下述值：

Tosec.Cn

系统日志16384K覆盖早于

30

天的事件

实施目的：

增大日志量大小，避免由于日志文件容量过小导致日志记录

不全。

实施风险：

无

是否实施：

是否（客户填写）

2.1.1.6

安全性增强

编号：

Windows-07001

名称：

禁止匿名用户连接（空连接）

系统当前状态：

注册表如下键值：

HKLM/SYSTEM/CurrentControlSet/Control/Lsa

“restrictanonymous”的值为

0

实施方案：

通过实施我公司的安全策略文件将该值修改为“1”，类型为

REG_DWORD。

实施目的：

可以禁止匿名用户列举主机上所有用户、组、共享资源

实施风险：

无

是否实施：

是否（客户填写）

编号：

Windows-04006

名称：

删除主机默认共享

系统当前状态：

系统开放的默认共享：

共享名资源注释

IPC$远程

IPC

ADMIN$C:/WINNT远程管理

C$C:/默认共享

E$E:/默认共享

F$F:/默认共享

实施方案：

通

过

实

施

我

公

司

的

安

全

策

略

文

件

增加

注

册

表

键

值

“HKLM/SYSTEM/CurrentControlSet/Services/lanmanserver/

parameters

Autoshareserver”项，并设置该值为“1”

实施目的：

删除主机因为管理而开放的共享

实施风险：

某些应用软件可能需要该共享，如

Veritas

Netbackup

是否实施：

是否（客户填写）

编号：

Windows-07001

名称：

限制远程注册表远程访问权限

系统当前状态：

注册表如下键值：

HKLM/SYSTEM/CurrentControlSet/Control/SecurePipeServer

s/winreg

的安全权限如下：

实施方案：

该键权限应为管理员完全控制，其他用户不允许访问该键。

实施目的：

默认权限并不限制对注册表的远程访问。只有管理员才应具

有对注册表的远程访问权限，因为默认情况下

Windows

2000

注册表编辑工具支持远程访问。

实施风险：

无

是否实施：

是否（客户填写）

编号：

Windows-03005

名称：

限制

Guest

用户权限

系统当前状态：

Guest

已禁用，但未对帐号进行权限限制。

实施方案：

通过实施我公司的安全策略文件禁止

Guest

帐号本地登录和

网络登录的权限。

实施目的：

避免

Guest

帐号被黑客激活作为后门

实施风险：

无

是否实施：

是否（客户填写）

编号：

Windows-03005

名称：

设置帐户安全选项

系统当前状态：

启用登录时间用完时自动注销用户

启用显示上次成功登陆的用户名

未启用允许未登录系统执行关机命令

未启用仅登录用户允许使用光盘

未启用仅登录用户允许使用软盘

实施方案：

通过实施我公司的安全策略文件启用上述安全选项。

实施目的：

增强安全性，减少安全隐患。

实施风险：

无

是否实施：

是否（客户填写）

2.1.1.7

推荐安装安全工具

工具名称

MBSA

1.1

工具用途

微软推出的漏洞扫描器

相关信息

http://download.microsoft.com/download/e/

5/7/e57f498f-2468-4905-aa5f-369252f8b15c/mbsasetup.msi

注：

工具名称请包含版本信息

工具用途请简单描述产品功用

相关信息请写明产品相关

URL，尽量详细

2.1.2

IIS

加固方案

2.1.2.1

补丁安装

编号：

IIS-02001，IIS-02002

名称：

补丁安装

系统当前状态：

实施方案：

使用

Windows

update

安装最新补丁并结合手工安装

注意：系统补丁、IIS

补丁、IE

补丁都要安装

实施目的：

可以使系统版本为最新版本

实施风险：

无

是否实施：

是否（客户填写）

2.1.2.2

帐号、口令策略修改

编号：

IIS-03001

名称：

账号、口令的增强

系统当前状态：

实施方案：

站点属性?目录安全性（分为匿名访问和验证，验证分为基

本验证和与系统集成验证方法）

根据客户需求，若无匿名访问情况则取消匿名访问。

实施目的：

加强账号、口令的安全

实施风险：

无

是否实施：

是否（客户填写）

2.1.2.3

网络与服务加固

编号：

IIS-04004

名称：

去除不需要的服务组件

系统当前状态：

本服务器仅仅用作

web

服务器，相关

IIS

服务有不需要的服

务。当前状态如图：

实施方案：

1、禁止不需要的服务。如果仅仅是单纯的

Web

服务器，那

么

最

好

禁

止

掉

系统

以

下

不

需

要

的

服

务

：

ALERTER

、

CLIPBOOK、

SERVER、

COMPUTER

BROWSER、

DHCP

CLIENT、MESSENGER、NETLOGON、NETWORK

DDE、

NET

DDE、

DSDM

、NETWORK

MONITOR

AGENT、

SIMPLE

TCP/IP

SERVICES

、SPOOLER

、NETBIOS

INTERFACE

、TCP/IP

NETBIOS

HELPER

、NWLINK

NETBIOS

等。

2、控制面板?添加/删除程序?添加/删除

windows

组件?IIS

详细信息，去掉不需要的

IIS

服务组件。

实施目的：

确定没有不需要的服务、组件

实施风险：

可能需要重启系统

是否实施：

是否（客户填写）

号：

IIS-04001

名称：

SSL

系统当前状态：

未启用

SSL

实施方案：

启用

SSL：

站点属性?目录安全性?安全通信?编辑(若编辑为灰色则

选择服务器证书?导入证书或者分配证书或申请一个新的

证书?编辑?启用

SSL

实施目的：

采用加密通信的方式保证数据的机密性。

实施风险：

需要通告用户采用

https

方式访问服务器资源。

是否实施：

是否（客户填写）

编号：

IIS-04006，IIS-04007

名称：

已知漏洞补遗(确定有补丁的不再列)

系统当前状态：

通过检测工具检测

实施方案：

Microsoft

IIS

.cnf

文件泄漏漏洞?如果你不需要.cnf

文件，就

删除这个文件；

否则，对这个文件设置正确的存取权限，

禁止匿名用户或

guest

组访问。

Microsoft

IIS

/iisadmin

可读漏洞?通过

IIS

服务管理器限制

对/iisadmin

的存取权限，禁止这个目录的读权限

Microsoft

IIS

/scripts

目录可浏览?打开

Internet

服务管理器

?

右击你的服务器（例如“*

nsfocus”），在菜单中选择“属

性”栏?选择“主属性”?

选择

WWW

服务

|

编辑

|

主目

录

|?取消“允许目录浏览”选项?保存设置，重启

IIS。

Microsoft

IIS

IDA/IDQ

路径泄漏漏洞?打开

Internet

服务管

理器?服务器属性?选择

WWW

服务

|

编辑

|

主目录

|

配置?如果您不需要索引服务，您可以在扩展名列表中删除

“.ida”和“.idq”两项?如果您仍然需要保留这两项，您可以分

别选中“.idq”和“.ida”，选择“编辑”，然后选中“检查文件是否

存在”复选框?

保存设置,然后重启

IIS

服务。

微软

IIS

IDC

扩展映射跨站执行脚本漏洞?删除对.idc

扩展

名的映射.

远程读取

IIS

Global.asa

漏洞?重新设置.asa

扩展名的

ISAPI

映射

?

WWW

Service

-->

Edit

-->

Home

Directory

-->

Configuration

。

点

击

“增

加

“，

指

定

由

C:/winnt/system32/inetsrv/asp.dll

解释执行对.asa

文件的

GET、

HEAD、POST、TRACE

请求。这里

asp.dll

的路径请换成您

所使用系统中的确切路径。确认

Script

Engine

复选框被选中，

点击确定。

主机运行了

Microsoft

Frontpage

扩展?如果不需要就停止此

服务。

IIS

5.0

演示程序泄漏

WEB

根目录物理路径?总是删除

IIS

缺

省

携

带

的

演

示

程

序

。

就

本

漏

洞

具

体

地

说

，

删

除

整

个

/iissamples

目录。

Microsoft

IIS

/scripts/repost.asp

上传文件漏洞

?

删除

/scirpts/repost.asp

文件；

确保/users/目录不允许匿名用户可

写

Microsoft

IIS

ExAir

search.asp

拒绝服务漏洞?将“exair”以及

其它的范例站点全部删除(iis4)

实施目的：

消除安全隐患

实施风险：

无

是否实施：

是否（客户填写）

2.1.2.4

文件系统加固

编号：

IIS-05002

名称：

主目录的权限

系统当前状态：

站点属性?主目录，如下图：

实施方案：

根据客户实际需求，依据最小权限法则设置目录访问权限。

实施目的：

通过降低目录访问权限的能力，增强服务的安全性。

实施风险：

无

是否实施：

是否（客户填写）

编号：

IIS-05001，IIS-05003

名称：

运行权限以及文件系统

系统当前状态：

service

服务权限为本地系统用户

分区格式：NTFS

实施方案：

确定只有管理员可以运行

IIS

服务，确认文件系统为

NTFS

格式。

实施目的：

限制服务运行权限、转换文件系统格式增强安全性

实施风险：

转换分区格式需要重新启动系统，转换过程中如果遇到断电

等可能导致分区不能正常访问。

是否实施：

是否（客户填写）

2.1.2.5

日志审核增强

编号：

IIS-06001

名称：

日志记录

系统当前状态：

启用日志记录，日志格式为

W3C

扩充日志文件格式。

实施方案：

如果没有启用日志记录，那么启用日志记录实现审计跟踪。

实施目的：

启用日志实现审计跟踪。

实施风险：

无

是否实施：

是否（客户填写）

编号：

IIS-06002

名称：

选定日志记录内容

系统当前状态：

实施方案：

根据实际需求，选定日志记录内容，建议选择多项进行详尽

的日志记录。

实施目的：

详尽的记录日志，得到更多的审计信息。

实施风险：

无

是否实施：

是否（客户填写）

2.1.2.6

安全性增强

编号：

IIS-04003

名称：

连接数与带宽限制

系统当前状态：

实施方案：

站点属性?性能

与客户协商确定限制具体细节或者不作限制

实施目的：

限制连接数与带宽，防止过度使用服务器资源导致服务器资

源不可利用。

实施风险：

无

是否实施：

是否（客户填写）

编号：

IIS-04002

名称：

IP

地址与域名限制

系统当前状态：

未启用

IP

地址、域名访问控制

实施方案：

站点属性?目录安全性?IP

地址与域名限制?编辑

根据客户实际需求做

IP

地址与域名限制

实施目的：

针对

IP

地址、域名进行限制，增强

IIS

服务的访问控制功能，

对指定来源的拒绝可以抵制其恶意攻击。

实施风险：

无

是否实施：

是否（客户填写）

编号：

IIS-01006

名称：

删除不需要的映射

系统当前状态：

实施方案：

IIS

服务器属性?计算机

mime

映射?编辑

根据实际需求，删除不需要的映射。

实施目的：

消除潜在的安全隐患

实施风险：

无

是否实施：

是否（客户填写）

编号：

IIS-07002

名称：

备份策略

系统当前状态：

询问客户是否制定了相应的备份策略

实施方案：

与客户一起协商并制定相应的备份策略

实施目的：

备份现有的有效的策略，方便策略的恢复。

实施风险：

无

是否实施：

是否（客户填写）

2.1.2.7

推荐安装安全工具

工具名称

工具用途

相关信息

注：

工具名称请包含版本信息工具用途请简单描述产品功用

相关信息请写明产品相关

URL，尽量详细

2.1.3

SQL

Server

加固方案

2.1.3.1

补丁安装

编号：

SQLSERVER-02001

名称：

补丁安装

系统当前状态：

MDAC

2.6

安装补丁为

SP2。

未安装补丁：MS02-040Q326573

SQL

SERVER

2000

安装补丁为

SP2，最新补丁为

SP3。

系统当前存在缓冲区溢出漏洞，通过发送精心构造的数据

包，攻击者可以导致系统部分内存被覆盖，从而在系统上执

行任意命令。

注意：

MS02-035

Q263968

未安装补丁：MS02-061

Q316333

实施方案：

使用

HFNetChk

检查未安装补丁程序，访问微软站点下载并

安装最新补丁程序。

实施目的：

可以使

SQL

Server

系统版本为最新版本

实施风险：

某些补丁程序可能导致

SQL

Server

系统运行不正常，其它依

赖

SQL

Server

服务的应用也会受到影响。

是否实施：

是否（客户填写）

2.1.3.2

帐号、口令策略修改

编号：

SQLSERVER-03001SQLSERVER-03002

名称：

所有数据库账户使用强壮密码

系统当前状态：

sa

帐户已经设置强壮密码

实施方案：

连接到要修改密码的

SQL

Server

服务器，在“安全性

|

登

录”中双击要修改密码的帐户，输入新密码。

实施目的：

清除系统中弱密码账户

实施风险：

一些依赖

SQL

Server

并使用修改了密码的账户登录数据库

的程序可能需要修改配置后才能使用（例如论坛、动态网页

发布系统??）。

是否实施：

是否（客户填写）

编号：

SQLSERVER-03003

名称：

限制

guest

帐户对数据库的访问

系统当前状态：

guest

帐户可以访问所有的数据库

实施方案：

连接到要管理的

SQL

Server

服务器，选择要管理的数据库，

选择用户，然后删除

guest

帐户。在除

master

和

tempdb

之外

的所有数据库都要删除

guest

帐户。

实施目的：

取消

guest

帐户对

master

和

tempdb

之外的数据库的访问权限

实施风险：

一些使用

guest

账户登录数据库的程序可能需要修改配置后

才能使用（例如论坛、动态网页发布系统??）。

是否实施：

是否（客户填写）

2.1.3.3

网络与服务加固

编号：

SQLSERVER-04001

名称：

禁止使用缺省登录

系统当前状态：

启用了缺省登录

实施方案：

在

Enterprise

Manager->Security

Options

中禁用

Default

Login

实施目的：

禁止使用缺省登录

实施风险：

无（只有

SQL

Server

6.5

才有这个选项）

是否实施：

是否（客户填写）

编号：

SQLSERVER-04002

名称：

禁止使用不需要的通讯协议

系统当前状态：

SQL

Server

允许使用“命名管道”和“TCP/IP”访问

SQL

Server

实施方案：

开始菜单->程序->Microsoft

SQL

Server->企业管理器->控制

台目录->

Microsoft

SQL

Servers->SQL

Server

组，在要查看的

服务器上右键查看“属性”->“常规”->网络配置，选中不

需要使用的网络协议，单击“禁用”

实施目的：

禁止使用不需要的通讯协议

实施风险：

可能使某些通过命名管道访问此

SQL

Server

的程序不能正

常运行

是否实施

是否（客户填写）

2.1.3.4

文件系统加固

编号：

SQLSERVER-05001

名称：

使用

NTFS

文件系统

系统当前状态：

SQL

Server

相关分区都使用

NTFS

文件系统

实施方案：

SQL

Server

程序文件和数据文件所在分区都使用

convert

转

换成

NTFS

文件系统。如果要转换

C

分区，命令行如下：

convert

c:

/fs:NTFS

实施目的：

让

SQL

Server

相关分区都使用

NTFS

文件系统

实施风险：

转换过程中可能需要重新启动，如果转换过程中出现硬件或

者电源故障可能导致数据损坏。

是否实施：

是否（客户填写）

编号：

SQLSERVER-05002

名称：

正确分配

SQL

Server

相关文件访问权限

系统当前状态：

所有人都可以读取

SQL

Server

文件

实施方案：

使

SQL

Server

数据库程序文件和数据文件的文件访问权限

如下：

“SYSTEM”、本地管理员、SQL

Server

运行帐户有所有权

限；备份管理员可以读取和列出文件夹目录；其它用户没有

任何权限。

实施目的：

正确分配

SQL

Server

相关文件系统的访问权限，拒绝未授权

用户访问数据库。

实施风险：

如果遗漏了需要分配权限的用户，可能导致

SQL

Server

不能

正常运行或者用户无法操作数据库文件。

是否实施：

是否（客户填写）

编号：

SQLSERVER-05003

名称：

正确分配

SQL

Server

备份数据分配权限

系统当前状态：

没有使用专门的数据库存放介质

实施方案：

使用

CD-R

光盘或者磁带保存数据库备份。备份完成后，正

确编号备份介质，放到安全的地方妥善保管。确定只有允许

访问数据库备份介质的人才可以获得这些数据库备份介质。

数据库备份过期时，正确销毁上面记录的数据。

实施目的：

正确保存和销毁数据库备份介质

实施风险：

无

是否实施：

是否（客户填写）

2.1.3.5

日志审核增强

编号：

SQLSERVER-06001

名称：

设置审核级别

系统当前状态：

没有使用审核

实施方案：

开始菜单->程序->Microsoft

SQL

Server->企业管理器->控制

台目录->

Microsoft

SQL

Servers->SQL

Server

组，在要查看的

服务器上右键查看“属性”->“安全性”中选中审核“全部”

实施目的：

启用审核并设置审核级别

实施风险：

启用审核对系统性能有影响

是否实施：

是否（客户填写）

编号：

SQLSERVER-06002

名称：

检查系统日志周期

系统当前状态：

很少查看数据库日志

实施方案：

至少每周检查一次数据库日志

实施目的：

提醒管理员经常检查日志

实施风险：

无

是否实施：

是否（客户填写）

2.1.3.6

安全性增强

编号：

SQLSERVER-07001SQLSERVER-07003

名称：

删除无用的存储过程和扩展存储过程

系统当前状态：

实施方案：

删除

xp_cmdshell、xp_regaddmultistring、xp_regdeletekey、

xp_regdeletevalue

、

xp_regenumvalues

、

xp_regread

、

xp_regremovemultistrin、xp_regwrite、xp_sendmail

这些存储

过程。

以

master.xp_cmdshell

为例，在任何

isql

窗口或者查询分析

器输入：

use

master

sp_dropextendedproc

xp_cmdshell

实施目的

删除无用的存储过程和扩展存储过程

实施风险

误删除存储过程可能导致

SQL

Server

某些管理功能失效，也

会导致需要使用者些存储过程的程序无法正常工作

是否实施

是否（客户填写）

2.1.3.7

推荐安装安全工具

工具名称

HFNetChk.v3.86.0.1

工具用途

检查

Microsoft

部分产品补丁安装情况

相关信息

相关信息：http://hfnetchk.shavlik.com/

下载地址：http://hfnetchk.shavlik.com/hfnetchk_3.86.0.1.exe

注：

工具名称请包含版本信息

工具用途请简单描述产品功用

相关信息请写明产品相关

URL，尽量详细