Windows服务器安全加固方案

P43页

Windows 2008服务器安全加固方案

来源：中国红盟时间：2010-1-27 9:09:00 点击：201 今日评论：0 条Windows 2008服务器安全加固方案(一）因为IIS(即Internet Information Server)的方便性和易用性，使它成为最受欢迎的Web 服务器软件之一。但是，IIS的安全性却一直令人担忧。如何利用IIS建立一个安全的Web 服务器，是很多人关心的话题。要创服务器安全检测建一个安全可靠的Web服务器，必须要实现Windows 2003和IIS的双重安全，因为IIS的用户同时也是Windows 2003的用户，并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制，所以保护IIS安全的第一步就是确保Windows 2000操作系统的安全，所以要对服务器进行安全加固，以免遭到黑客的攻击，造成严重的后果。

我们通过以下几个方面对您的系统进行安全加固：

1. 系统的安全加固：我们通过配置目录权限，系统安全策略，协议栈加强，系统服务和访问控制加固您的系统，整体提高服务器的安全性。

2. IIS手工加固：手工加固iis可以有效的提高iweb站点的安全性服务器安全加固，合理分配用户权限，配置相应的安全策略，有效的防止iis用户溢出提权。

3. 系统应用程序加固，提供应用程序的安全性，例如sql的安全配置以及服务器应用软件的安全加固。

系统的安全加固：

1.目录权限的配置：

1.1 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权，之后再对其下的子目录作单独的目录权限，如果WEB站点目录，你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限，如果想使网站更加坚固，可以分配只读权限并对特殊的目录作可写权限。

1.2 系统所在分区下的根目录都要设置为不继承父权限，之后为该分区只赋予Administrators 和SYSTEM有完全控制权。

1.3 因为服务器只有管理员有本地登录权限，所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权，其下的子目录同样。另外还有一个隐藏目录也需要同样操作。因为如果你安装有PCAnyWhere那么他的的配置信息都保存在其下，使用webshell或FSO可以轻松的调取这个配置文件。

1.4 配置Program files目录，为Common Files目录之外的所有目录赋予Administrators和SYSTEM有完全控制权。

1.5 配置Windows目录，其实这一块主要是根据自身的情况如果使用默认的安全设置也是可行的，不过还是应该进入SYSTEM32目录下，将cmd.exe、、net.exe、scrrun.dll、shell.dll 这些杀手锏程序赋予匿名帐号拒绝访问。

1.6审核MetBase.bin，C:\WINNT\system32\inetsrv目录只有administrator只允许Administrator 用户读写。

2.组策略配置:

在用户权利指派下，从通过网络访问此计算机中删除Power Users和Backup Operators;

启用不允许匿名访问SAM帐号和共享;

启用不允许为网络验证存储凭据或Passport;

从文件共享中删除允许匿名登录的DFS$和COMCFG;

启用交互登录：不显示上次的用户名;

启用在下一次密码变更时不存储LANMAN哈希值;

禁止IIS匿名用户在本地登录;

3.本地安全策略设置:

开始菜单—>管理工具—>本地安全策略

A、本地策略——>审核策略

审核策略更改成功失败

审核登录事件成功失败

审核对象访问失败

审核过程跟踪无审核

审核目录服务访问失败

审核特权使用失败

审核系统事件成功失败

审核账户登录事件成功失败

审核账户管理成功失败

注：在设置审核登陆事件时选择记失败，这样在事件查看器里的安全日志就会记录登陆失败的信息。

B、本地策略——>用户权限分配

关闭系统：只有Administrators组、其它全部删除。

通过终端服务拒绝登陆：加入Guests、User组

通过终端服务允许登陆：只加入Administrators组，其他全部删除

C、本地策略——>安全选项

交互式登陆：不显示上次的用户名启用

网络访问：不允许SAM帐户和共享的匿名枚举启用

网络访问：不允许为网络身份验证储存凭证启用

网络访问：可匿名访问的共享全部删除

网络访问：可匿名访问的命全部删除

网络访问：可远程访问的注册表路径全部删除

网络访问：可远程访问的注册表路径和子路径全部删除

帐户：重命名来宾帐户重命名一个帐户

帐户：重命名系统管理员帐户重命名一个帐户

******************************************************************

Windows Server 2008用户权限管理

来源：中国红盟时间：2010-12-26 10:46:00 点击：2 今日评论：0 条几十年来，大型机和服务器一直使用“超级用户”和“用户”这种用户控制方案。这种方案存在一个明显的安全问题：它需要防止普通用户获取非法访问权限。

在DOS电脑以及随后的Windows操作系统中，访问控制模式更加复杂。早期的Windows 操作系统不能在同一台机器上设置不同的用户权限；所有的行动都需要超级用户执行。但是，Windows NT系统最终定义了管理员角色和用户角色，尽管在实际情况中大多数用户还是需要超级用户的访问权限来执行他们平时的操作。

今天，许多企业的业务模式都要求大范围（地理位置上的）的联合操作，Windows NT中简单的特权/非特权用户管理功能已经不够用了。意识到这一趋势之后，微软在2009年开发了Windows Server 2008，该系统具有以多级权限属性系统为基础的多层次管理模式。该模式可以限制标准用户，让他们只能用非特权的形式运行应用程序软件，只留给他们操作所需要的最小管理权限，从而改进了微软Windows的安全性。比如，服务台用户只能改变其他用户的密码。通过这种方式，大型企业中的用户管理权限可以受到限制，操作中的超级用户数量减少。在本文中，我们将讨论一下如何使用Windows Server 2008对权限分配进行控制。

域上的权限管理

在Windows Server 2008环境中，有两种政策：活动目录（AD）全局域政策以及本地服务器安全帐户管理器（SAM）注册表政策。AD利用它的目录架构来控制任何给定Windows服务器域（支持通用安全政策的一组服务器）的组权限。这使得AD可以对域中的所有用户帐户执行公共帐户权限管理。

当有新的Windows服务器添加进来时，他们会连接到活动目录，活动目录会检查所有的组政策对象（Group Policy Objects，GPO）——用户能够执行的应用程序和服务——并把这些权限链接到该目录下的Active Directory Users and Computers（活动目录用户和计算机）分支中的域根用户。然后AD把这些定义的、默认的权限传递到新服务器上，开始管理其用户。AD目录下的组织单元（Organization Unit，OU）分支也可以定义，人们可以用OU为计算机创建本地帐户政策。比如，服务台OU可以定义一系列全局政策，帮助服务台人员执行具有公共权限的活动。

Windows Server 2008的活动目录还引进了一个新的功能，叫做多元密码政策(Fine-Grained Password Policy)，其中包括一个锁定政策。有了这个新功能后，公司可以在同一个域中对不同的用户使用不同的密码和锁定政策。这个功能出现之前，整个域中只有一个政策。为了充分利用这个功能，活动目录管理员必须创建一个新的对象，名为密码设置对象（Password Settings Object，PSO）。他或她可以在PSO中设定同样的密码最长期限、复杂度要求、锁定阈值，等等。然后，PSO会连接到一个活动目录组：组的范围为全局（Global）（不是本地（Local或者通用（Univeral）），组的类型为安全（Security）（不是分布（Distribution））。所有的组成员都会继承链接到该组的PSO中定义的密码和锁定政策。

本地多级控制

域上的全局政策配置完成以后，人们就可以在单独的Windows Server 2008系统中通过用户权利分配（User Rights Assignment，URA）功能定义本地权限。用户权利能够控制用户在计算机上执行哪些任务。这些权利包括登录权限和特权。登录权限控制哪些人有权登录到计算机上，以及他们如何登录：通过网络还是本地，作为批处理工作还是作为服务登录。特权则控制计算机和域资源的访问，并可以覆盖特定对象上设定的权限，比如备份文件和目录、创建全局对象、调试程序等等。这些特权由系统URA对象下的组政策（Group Policy）进行管理，而且两种用户权利都是由管理员分配到组或者单独用户，作为系统安全设置的一部分。请注意，管理员应该尽可能地通过分组来管理本地权利，确保与企业政策的一致性以及最小化单独系统中权限管理的困难程度。

为了访问本地URA对象，添加、删除或者修改权限，管理员必须在Windows Server 2008中用Windows控制面板打开本地安全设置（Local Security Settings）。他或她可以在左边看见一个树状目录。点击本地政策（Local Policies），然后选择用户权利分配（User Rights Assignment），就能够编辑所有的39个登录权利和权限了。

确保适当的权限

Windows Server 2008中有九个审计政策，分成两个子类，它们可以确保Windows管理员正确设置用户权限。安全团队可以在计算机中打开本地安全政策（Local Security Policy）控制台，进入Security Settings\Local Policies\Audit Policy目录，查看系统审计政策设置。下文简要地描述了每个政策，以及它们的用法：

审计帐户登录事件——跟踪所有试图用域用户帐户登录的活动，不管这种尝试源自何处。开启这项政策以后，工作站或者成员服务器会记录所有使用计算机SAM中存储的本地帐户的登录尝试。

审计帐户管理——用来监视用户帐户和组的变化，对管理员和服务台工作人员的审计活动有参考价值。该政策记录密码重置、新创建的帐户以及组成员和Active Directory控制器的变化。该政策还记录域用户、域分组以及计算机帐户的变化。

审计目录服务访问——提供Active Directory中对象变化的低级别审计跟踪。该政策跟踪的活动与审计帐户管理事件中跟踪的相同，但是级别低很多。使用这个政策可以识别用户帐户的哪些领域或者任何其他Active Directory对象被访问过。审计帐户管理事件可以提供更好的用户帐户和组的监视维护信息，但是审计目录服务访问是跟踪OU和GPO变化的唯一途径，这对于变化控制来说很重要。

审计登录事件——记录本地计算机上的登录尝试，无论使用域帐户还是本地帐户登录。在Active Directory域控制器中，该政策只记录访问域控制器的尝试。

审计对象访问——处理Active Directory之外所有对象的访问审计。该政策可以用来审计任何类型的Windows对象访问，包括注册表键值、打印机、以及服务。（注意：如果服务器的对象太多，该政策可能会大大影响该服务器的性能。）

审计政策变化——提供本地系统中重要安全政策的变化通知，比如系统审计政策的变化；当本地系统是一个Active Directory域控制器时，该政策会提供信任关系的变化。

审计权限使用---跟踪Security Settings\Local Policies\User Right Assignment目录下本地安全政策（Local Security Policy）的用户权利活动

审计过程跟踪——跟踪每一个被执行的程序，不管该程序是由系统还是最终用户执行的。它还可以决定程序运行的时间。结合该政策，加上审计登录事件和审计对象访问事件，以及在这些不同的事件描述中使用Logon ID, Process ID 和Handle ID等，我们就可以详细地描绘出用户活动了。

审计系统事件——与安全相关的系统事件综合，包括系统启动和关闭。Windows的安全基础设施是模块化设计，可以利用微软和第三方供应商提供的新型、插件安全功能。这些插件可以是认证软件包、合法登录进程或者通知软件包。因为这些插件是值得信赖的扩展操作系统的代码模块，Windows加载每个插件时都会做记录，使用从这个分类中的事件。（注意：不推荐在这个层面上管理审计政策，因为这样会产生很多噪声，应该使用子类型。）

即使有些用户偶尔得到了不必要的权限，这些政策也可以让公司的安全人员核实这些用户是否利用管理权限做伤害公司的事情，不管是有意的还是无意的。企业应该尽可能多的启用这些审计政策，但是请记住，加载所有的政策可能会影响Windows系统的性能。

当启用这些政策时，企业有多种选择：可以让它们产生成功事件，失败事件或者两者都产生，这取决于公司政策。所有九个审计政策都可以产生成功事件，某些政策可以产生失败事件，作为一种最佳实践，企业不该忽略成功事件（会产生大量的安全日志）而只开启失败事件。一个常见的误解是：只有失败事件审计政策才能警告安全团队注意所有的可疑活动。实际上，安全日志中许多最重要的事件是成功事件，比如关键用户帐户和组的变化、帐户锁定的变化，以及安全设置的变化等等。

总结

随着Windows Server 2008的发布，微软最终提供了权限管理功能，能够创建复杂的用户权限分组，却不需要复杂的管理技术。但是复杂的权限分组可能会引起权限的错误配置，不能识别某个人的错误。所以，了解与该功能相关的审计服务同样重要。

归功于适当的考虑和规划，Windows Server 2008最终赋予企业期待已久的功能：成功地匹配了用户的能力和权限。这不仅满足业务需求和信任要求，而且验证了他们的方法是正确的。

Web专用网站服务器的安全设置(1)

来源：中国红盟时间：2010-12-26 10:50:00 点击：2 今日评论：0 条IIS的相关设置：

删除默认建立的站点的虚拟目录，停止默认web站点，删除对应的文件目录c:inetpub，配置所有站点的公共设置，设置好相关的连接数限制，带宽设置以及性能设置等其他设置。配置应用程序映射，删除所有不必要的应用程序扩展，只保留asp，php，cgi，pl，aspx应用程序扩展。对于php和cgi，推荐使用isapi方式解析，用exe解析对安全和性能有所影响。用户程序调试设置发送文本错误信息给客户。

对于数据库，尽量采用mdb后缀，不需要更改为asp，可在IIS中设置一个mdb的扩展映射，将这个映射使用一个无关的dll文件如C:WINNTsystem32inetsrvssinc.dll来防止数据库被下载。设置IIS的日志保存目录，调整日志记录信息。设置为发送文本错误信息。修改403错误页面，将其转向到其他页，可防止一些扫描器的探测。另外为隐藏系统信息，防止telnet 到80端口所泄露的系统版本信息可修改IIS的banner信息，可以使用winhex手工修改或者使用相关软件如banneredit修改。

对于用户站点所在的目录，在此说明一下，用户的FTP根目录下对应三个文件佳，，database，logfiles，分别存放站点文件，数据库备份和该站点的日志。如果一旦发生入侵事件可对该用户站点所在目录设置具体的权限，图片所在的目录只给予列目录的权限，程序所在目录如果不需要生成文件（如生成html的程序）不给予写入权限。因为是虚拟主机平常对脚本安全没办法做到细致入微的地步。

方法

用户从脚本提升权限：

ASP的安全设置：

设置过权限和服务之后，防范asp木马还需要做以下工作，在cmd窗口运行以下命令：regsvr32/u C:\WINNT\System32\wshom.ocx

del C:\WINNT\System32\wshom.ocx

regsvr32/u C:\WINNT\system32\shell32.dll

del C:\WINNT\system32\shell32.dll

即可将WScript.Shell, Shell.application, https://www.wendangku.net/doc/009191381.html,work组件卸载，可有效防止asp木马通过wscript或shell.application执行命令以及使用木马查看一些系统敏感信息。另法：可取消以上文件的users用户的权限，重新启动IIS即可生效。但不推荐该方法。

另外，对于FSO由于用户程序需要使用，服务器上可以不注销掉该组件，这里只提一下FSO 的防范，但并不需要在自动开通空间的虚拟商服务器上使用，只适合于手工开通的站点。可以针对需要FSO和不需要FSO的站点设置两个组，对于需要FSO的用户组给予c:winntsystem32scrrun.dll文件的执行权限，不需要的不给权限。重新启动服务器即可生效。

对于这样的设置结合上面的权限设置，你会发现海阳木马已经在这里失去了作用！

PHP的安全设置：

默认安装的php需要有以下几个注意的问题：

C:\winnt\php.ini只给予users读权限即可。在php.ini里需要做如下设置：

Safe_mode=on 原为：On

register_globals = Off

allow_url_fopen = Off 原为：On

display_errors = Off

magic_quotes_gpc = On [默认是on，但需检查一遍] 原为：Off

open_basedir =web目录

disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod 原为：空默认设置com.allow_dcom = true修改为false[修改前要取消掉前面的；]

MySQL安全设置：

如果服务器上启用MySQL数据库，MySQL数据库需要注意的安全设置为：

删除mysql中的所有默认用户，只保留本地root帐户，为root用户加上一个复杂的密码。赋予普通用户updatedeletealertcreatedrop权限的时候，并限定到特定的数据库，尤其要避免普通客户拥有对mysql数据库操作的权限。检查https://www.wendangku.net/doc/009191381.html,er表，取消不必要用户的shutdown_priv,reload_priv,process_priv和权限，这些权限可能泄漏更多的服务器信息包括非mysql的其它信息出去。可以为mysql设置一个启动用户，该用户只对mysql目录有权限。设置安装目录的data数据库的权限(此目录存放了mysql数据库的数据信息)。对于mysql安装目录给users加上读取、列目录和执行权限。

Serv-u安全问题：

安装程序尽量采用最新版本，避免采用默认安装目录，设置好serv-u目录所在的权限，设置一个复杂的管理员密码。修改serv-u的banner信息，设置被动模式端口范围（4001—4003）在本地服务器中设置中做好相关安全设置：包括检查匿名密码，禁用反超时调度，拦截“”攻击和FXP，对于在30秒内连接超过3次的用户拦截10分钟。域中的设置为：要求复杂密码，目录只使用小写字母，高级中设置取消允许使用MDTM命令更改文件的日期。

更改serv-u的启动用户：在系统中新建一个用户，设置一个复杂点的密码，不属于任何组。将servu的安装目录给予该用户完全控制权限。建立一个FTP根目录，需要给予这个用户该目录完全控制权限，因为所有的ftp用户上传，删除，更改文件都是继承了该用户的权限，否则无法操作文件。另外需要给该目录以上的上级目录给该用户的读取权限，否则会在连接的时候出现530 Not logged in, home directory does not exist。比如在测试的时候ftp根目录为d:soft，必须给d盘该用户的读取权限，为了安全取消d盘其他文件夹的继承权限。而一般的使用默认的system启动就没有这些问题，因为system一般都拥有这些权限的。

数据库服务器的安全设置

对于专用的MSSQL数据库服务器，按照上文所讲的设置TCP/IP筛选和IP策略，对外只开放1433和5631端口。对于MSSQL首先需要为sa设置一个强壮的密码，使用混合身份验证,加强数据库日志的记录,审核数据库登陆事件的”成功和失败”.删除一些不需要的和危险的OLE自动存储过程(会造成企业管理器中部分功能不能使用),这些过程包括如下:

Sp_OAcreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty

Sp_OAMethod Sp_OASetProperty Sp_OAStop

去掉不需要的注册表访问过程,包括有:

Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue

Xp_regenumvalues Xp_regread Xp_regremovemultistring

Xp_regwrite

去掉其他系统存储过程，如果认为还有威胁，当然要小心drop这些过程，可以在测试机器上测试，保证正常的系统能完成工作，这些过程包括：

xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember

xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin

sp_addextendedproc

在实例属性中选择TCP/IP协议的属性。选择隐藏SQL Server 实例可防止对1434端口的探测,可修改默认使用的1433端口。除去数据库的guest账户把未经认可的使用者据之在外。例外情况是master和tempdb 数据库,因为对他们guest帐户是必需的。另外注意设置好各个数据库用户的权限，对于这些用户只给予所在数据库的一些权限。在程序中不要用sa用户去连接任何数据库。网络上有建议大家使用协议加密的，千万不要这么做，否则你只能重装MSSQL了。

Web专用网站服务器的安全设置(2)

来源：中国红盟时间：2010-12-26 10:52:00 点击：3 今日评论：0 条第二部分入侵检测和数据备份

1.1 入侵检测工作

作为服务器的日常管理，入侵检测是一项非常重要的工作，在平常的检测过程中，主要包含日常的服务器安全例行检查和遭到入侵时的入侵检查，也就是分为在入侵进行时的安全检查和在入侵前后的安全检查。系统的安全性遵循木桶原理，木桶原理指的是：一个木桶由许多块木板组成，如果组成木桶的这些木板长短不一，那么这个木桶的最大容量不取决于长的木板，而取决于最短的那块木板。应用到安全方面也就是说系统的安全性取决于系统中最脆弱的地方，这些地方是日常的安全检测的重点所在。

日常的安全检测

日常安全检测主要针对系统的安全性，工作主要按照以下步骤进行：

1．查看服务器状态：

打开进程管理器，查看服务器性能，观察CPU和内存使用状况。查看是否有CPU和内存占用过高等异常情况。

2．检查当前进程情况

切换“任务管理器”到进程，查找有无可疑的应用程序或后台进程在运行。用进程管理器查看进程时里面会有一项taskmgr，这个是进程管理器自身的进程。如果正在运行windows更新会有一项wuauclt.exe进程。对于拿不准的进程或者说不知道是服务器上哪个应用程序开启的进程，可以在网络上搜索一下该进程名加以确定[进程知识库：]。通常的后门如果有进程的话，一般会取一个与系统进程类似的名称，如svch0st.exe，此时要仔细辨别[通常迷惑手段是变字母o为数字0，变字母l为数字1。

3．检查系统帐号

打开计算机管理，展开本地用户和组选项，查看组选项，查看administrators组是否添加有新帐号，检查是否有克隆帐号。

4．查看当前端口开放情况

使用activeport，查看当前的端口连接情况，尤其是注意与外部连接着的端口情况，看是否有未经允许的端口与外界在通信。如有，立即关闭该端口并记录下该端口对应的程序并记录，将该程序转移到其他目录下存放以便后来分析。打开计算机管理==》软件环境==》正在运行任务在（此处可以查看进程管理器中看不到的隐藏进程），查看当前运行的程序，如果有不明程序，记录下该程序的位置，打开任务管理器结束该进程，对于采用了守护进程的后门

网络信息安全系统加固方案设计

XXXX业务网网络信息安全加固项目案例介绍 一、概述 随着信息化技术的深入和互联网的迅速发展，整个世界正在迅速地融为一体，IT系统已经成为XXX整合、共享内部资源的核心平台，同时，随着XXX经营理念的不断深化，利用各种各样的业务平台来为XXX提供更多的增值业务服务的情况越来越多，因此IT系统及各种各样的业务平台在XXX系统内的地位越来越重要，更为XXX提供的新业务利润增长做出了不可磨灭的贡献。 伴随着网络的发展，也产生了各种各样的安全风险和威胁，网络中蠕虫、病毒及垃圾邮件肆意泛滥，木马无孔不入，DDOS攻击越来越常见、WEB应用安全事件层出不穷、，黑客攻击行为几乎每时每刻都在发生，而伴随着上级主管部门对于信息安全的重视及审查工作愈加深化，所有这些风险防范及安全审查工作极大的困扰着XXX运维人员，能否及时发现网络黑客的入侵，有效地检测出网络中的异常流量，并同时在“事前”、“事中”及“事后”都能主动协助XXX完成自身信息安全体系的建设以及满足上级部门审查规范，已成为XXX运维人员所面临的一个重要问题。 本方案针对XXXX公司业务平台的安全现状进行分析，并依据我公司安全体系建设的总体思路来指导业务平台信息安全体系建设解决方案的制作，从安全技术体系建设的角度给出详细的产品及服务解决方案。

二、网络现状及风险分析 2.1 网络现状 业务平台拓扑图 XXXX公司业务平台网络共有包括XXX、XXX、XXX平台等四十余个业务系统，（因涉及客户信息，整体网络架构详述略）业务平台内部根据业务种类的不同，分别部署有数据库、报表、日志等相应业务系统服务器。 2.2 风险及威胁分析 根据上述网络架构进行分析，我们认为该业务平台存在如下安全隐患： 1.随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯XX的已经 无法满足信息安全防护的需要，部署了×XX的安全保障体系仍需要进一步完善， 防火墙系统的不足主要有以下几个方面（略） 2.当前网络不具备针对X攻击专项的检测及防护能力。（略） 3.对正常网络访问行为导致的信息泄密事件、网络资源滥用行为等方面难以实现针 对内容、行为的监控管理及安全事件的追查取证。 4.当前XX业务平台仍缺乏针对网络内容及已经授权的正常内部网络访问行为的有 效监控技术手段，因此对正常网络访问行为导致的信息泄密事件、网络资源滥用

linux系统安全加固方案

1.1适用范围..................................................................................错误!未指定书签。2用户账户安全加固......................................................................错误!未指定书签。 2.1修改用户密码策略...................................................................错误!未指定书签。 2.2锁定或删除系统中与服务运行，运维无关的的用户 ..........错误!未指定书签。 2.3锁定或删除系统中不使用的组 ..............................................错误!未指定书签。 2.4限制密码的最小长度........................................................错误!未指定书签。3用户登录安全设置......................................................................错误!未指定书签。 3.1禁止root用户远程登录..........................................................错误!未指定书签。 3.2设置远程ssh登录超时时间 ...................................................错误!未指定书签。 3.3设置当用户连续登录失败三次，锁定用户30分钟 ............错误!未指定书签。 3.4设置用户不能使用最近五次使用过的密码 ..........................错误!未指定书签。 3.5设置登陆系统账户超时自动退出登陆 ..................................错误!未指定书签。4系统安全加固..............................................................................错误!未指定书签。 4.1关闭系统中与系统正常运行、业务无关的服务 ..................错误!未指定书签。 4.2禁用“CTRL+ALT+DEL”重启系统...........................................错误!未指定书签。 4.3加密grub菜单 .........................................................................错误!未指定书签。

网络安全加固 解决方案

网络系统安全加固方案北京*****有限公司 2018年3月

目录 1.1项目背景 ..................................... 1.2项目目标 ..................................... 1.3参考标准 ..................................... 1.4方案设计原则 ................................. 1.5网络系统现状 ................................. 2网络系统升级改造方案............................... 2.1网络系统建设要求 ............................. 2.2网络系统升级改造方案 ......................... 2.3网络设备部署及用途 ........................... 2.4核心交换及安全设备UPS电源保证 ............... 2.5网络系统升级改造方案总结 ..................... 3网络系统安全加固技术方案........................... 3.1网络系统安全加固建设要求 ..................... 3.2网络系统安全加固技术方案 ..................... 3.3安全设备部署及用途 ........................... 3.4安全加固方案总结 ............................. 4产品清单...........................................

LINUX安全加固手册

LINUX安全加固手册

目录 1概述 (3) 2 安装 (3) 3 用户帐号安全Password and account security (4) 3.1 密码安全策略 (4) 3.2 检查密码是否安全 (4) 3.3 Password Shadowing (4) 3.4 管理密码 (4) 3.5 其它 (5) 4 网络服务安全(Network Service Security) (5) 4.1服务过滤Filtering (6) 4.2 /etc/inetd.conf (7) 4.3 R 服务 (7) 4.4 Tcp_wrapper (7) 4.5 /etc/hosts.equiv 文件 (8) 4.6 /etc/services (8) 4.7 /etc/aliases (8) 4.8 NFS (9) 4.9 Trivial ftp (tftp) (9) 4.10 Sendmail (9) 4.11 finger (10) 4.12 UUCP (10) 4.13 World Wide Web (WWW) – httpd (10) 4.14 FTP安全问题 (11) 5 系统设置安全(System Setting Security) (12) 5.1限制控制台的使用 (12) 5.2系统关闭Ping (12) 5.3关闭或更改系统信息 (12) 5.4 /etc/securetty文件 (13) 5.5 /etc/host.conf文件 (13) 5.6禁止IP源路径路由 (13) 5.7资源限制 (13) 5.8 LILO安全 (14) 5.9 Control-Alt-Delete 键盘关机命令 (14) 5.10日志系统安全 (15) 5.11修正脚本文件在“/etc/rc.d/init.d”目录下的权限 (15) 6 文件系统安全(File System Security) (15) 6.1文件权限 (15) 6.2控制mount上的文件系统 (16) 6.3备份与恢复 (16) 7 其它 (16) 7.1使用防火墙 (16)

钢结构加固施工方案(1)

目录 1.工程加固概况 2.钢结构工程加固方案编制依据 3.施工组织及部署 4.施工准备 5.钢结构加固方法及工艺 6.现场安全防护及措施 1#机组烟气脱销钢结构加固改造施工方案

1.工程概况 a)工程名称：1.本加固改造为陕西北元化工集团有限公司2×125MW机组烟气脱硝工程锅炉钢结构加 固改造，本项目SCR放置于锅炉尾部构架（即预热器上部）。SCR荷载直接由原锅炉尾部构架承担，锅炉尾部钢架柱顶新立SCR钢柱。由于尾部结构荷载增加，因此需对原锅炉构架进行加固改造。加固改造对原结构体系无破坏，考虑尾部荷载及高度变化，因此地震及风产生的水平力加大，因此需对锅炉尾部原杆件进行加固改造处理；加固改造大致分为三类；1).对原锅炉柱、梁进行加固。2).增加梁、垂直支撑及水平支撑。3).拆除EL27000层原锅炉烟道吊梁。 2.钢结构工程加固方案编制依据 ●相关钢结构设计及加固方案 ●《钢结构工程施工及验收规范50205-2001》 ●《钢结构工程质量检验评定标准》 ●《钢结构加固技术规范》CECS77:96 3．施工组织及部署 3.1、 施工 管理 体 3.2、 主要 管理 人员 责任 制： 3.2.1 项目 经理： 对工程全面负责。是项目部生产进度、安全、质量和成本的第一责任人。按国际工程施工管理的要求，组织好施

工，协调好业主、总承包商、监理在工程上和技术上的关系，管理好施工队伍。 3.2.2 技术经理 全面对工程的技术、质量、安全负责，负责施工技术资料、文件的全过程管理。协调、组织、参与工程项目的质量检查、整改、验收工作。 3.2.3 施工经理： 组织工程的施工。按项目经理的要求，对工程的进度、安全、质量进行管理，对施工方案的实施进行监督。合理组织调配现场的施工人员、施工设备、材料和施工机械，使施工全过程处于受控状态。 3.2.4 安全经理： 负责施工现场的安全管理。负责编写“安全生产管理计划书”，做好安全宣传教育工作，做好安全监督检查工作，落实各项安全措施，杜绝各类事故苗子，有权制止任何不安全操作，确保安全生产。 3.2.5 质量经理： 负责工程的质量管理。协助技术经理落实项目部质量计划，加强对工程质量进行监督检查，监督施工班组做好自检、互检及分部分项工程质量评定，熟悉施工规范和质量标准，检查工程中存在的问题及时整改。 3.2.6 施工工程师： 负责本工种（本专业）的施工管理。熟悉施工图纸，参加图纸会审，负责向施工班组进行包括进度、安全、质量、技术、文明施工等内容的交底，调配好本工种的施工机具和劳动力使用，做好材料计划，控制限额领料 3.2.7 设备（材料）工程师： 负责项目部施工工器具和材料的发放管理工作，做好相应的管理台帐。对施工设备及工装器具进行标识。负责工地物资计划的编制。物资的定额、物资的限额、物资的采购、运输、验收和保管工作。具体工作如下： 1、配合项目经理对分承包方的资质、信誉及质量方面保证和供货能力的评审记录，确保材料质量、价格受控。 2、汇总、审核各施工工程师提交的材料计划。按公司物资采购程序执行采购，负责验收中所产生的不合格问题。 3、做好甲供或自行采购的主材的采购台帐及供货的原始记录。收集各类技术资料或质保书提交专职资料员保管。 4、加强库存管理，杜绝错购及库存物资超额。现场物资管理布置堆放。 3.2.8 资料员 负责项目合同、文件、图纸的日常管理，做好各类文件资料的登记、归档、分发工作。负责对施工过程中产生的各类检查、验收表格或报告进行收集、整理，协助竣工资料的汇编。 3.2临时设施

服务器安全加固操作指南

网络通信安全管理员培训 WEB安全加固 操 作 指 南 邮电职业技术学院培训中心 二零一二年五月 1、Windows server 2003系统加固 (4)

1.1采集系统信息 (4) 1.2账号 (5) 1.2.1优化账号 (5) 1.2.2检测隐藏 (6) 1.2.3更改默认管理员用户名 (7) 1.3口令策略 (7) 1.4授权 (9) 1.5补丁管理 (10) 1.6安全配置 (11) 1.6.1IP协议安全配置 (11) 1.6.2屏幕保护 (13) 1.6.3安装防病毒软件 (14) 1.6.4病毒查杀 (15) 1.6.5木马查杀 (16) 1.7日志审核 (18) 1.7.1增强日志 (18) 1.7.2增强审核 (20) 1.8关闭不必要的端口、服务 (21) 1.8.1修改远程桌面端口 (21) 1.8.2关闭高危的数据库端口 (22) 1.8.3优化服务 (22) 1.8.4修改SNMP服务 (24) 1.9启动项 (24) 1.10关闭自动播放功能 (26) 1.11关闭共享 (26) 1.12使用NTFS (27) 1.13网络访问 (28) 1.14会话超时设置 (29) 1.15注册表设置 (29) 1.16其他 (30) 1.16.1网络限制 (30) 1.16.2安全性增强 (31) 1.16.3检查Everyone权限 (31) 1.16.4限制命令操作权限 (32) 1.16.5防病毒软件建立计划任务，每天深夜执行全盘扫描 (33) 1.16.6进行IP-MAC双向绑定 (33) 1.16.7第三方软件升级 (34) 1.16.8开启360safe arp防火墙 (34) 1.17Apache系统加固 (35) 1.17.1 (35) 1.17.2授权 (36) 1.17.3日志 (37) 1.17.4禁止访问外部文件 (38) 1.17.5目录列出 (39)

网络安全加固最新解决方案模板

网络安全加固最新 解决方案

网络系统安全加固方案 北京*****有限公司 3月

目录 1 项目介绍 .............................................................. 错误!未定义书签。 1.1 项目背景................................................... 错误!未定义书签。 1.2 项目目标................................................... 错误!未定义书签。 1.3 参考标准................................................... 错误!未定义书签。 1.4 方案设计原则 ........................................... 错误!未定义书签。 1.5 网络系统现状 ........................................... 错误!未定义书签。 2 网络系统升级改造方案....................................... 错误!未定义书签。 2.1 网络系统建设要求 ................................... 错误!未定义书签。 2.2 网络系统升级改造方案 ........................... 错误!未定义书签。 2.3 网络设备部署及用途 ............................... 错误!未定义书签。 2.4 核心交换及安全设备UPS电源保证 ....... 错误!未定义书签。 2.5 网络系统升级改造方案总结.................... 错误!未定义书签。 3 网络系统安全加固技术方案............................... 错误!未定义书签。 3.1 网络系统安全加固建设要求.................... 错误!未定义书签。 3.2 网络系统安全加固技术方案.................... 错误!未定义书签。 3.3 安全设备部署及用途 ............................... 错误!未定义书签。 3.4 安全加固方案总结 ................................... 错误!未定义书签。 4 产品清单 .............................................................. 错误!未定义书签。

围墙加固方案

老海青桥桥南桥台基础、老护岸拆除 及新护岸施工安全加固方案 一、编制依据 《海宁市新海青桥施工图》及现场施工条件。 二、工程概况 老海青桥桥南新建护岸线变更前（投标时）平面布置如附图一所示（HA1至HA2段），变更后平面布置如附图二所示（Hi段）。该处新建护岸设计底标高为0.36m，老海青桥桥台基础结构底标高在－1.45m以下，该处河道设计开挖底标高为－1.84m。老海青桥桥南西侧紧贴民房及其围墙，该处砖砌围墙高约2.4m，顶标高约为6.36m，围墙基础（浆砌块石挡墙）高约 2.0m，且该民房及其围墙建造时间较早，已经出现了裂缝，而该处新建护岸设计底标高为0.36m，则围墙顶至新建护岸底有6.0m的高差，这给我方在该处的老桥台基础、老护岸拆除及新建护岸施工带来极大的安全隐患。 三、加固方案 为确保我方在该处的老桥台基础、老护岸拆除及新建护岸施工的安全，我方拟定在该围墙基础处打置永久性松木桩对该围墙进行加固处理。

1、施工工艺流程：施工准备→施工放样→挖机就位、松木桩对位→松木桩打置→松木桩纵、横向连接加固 2、施工准备：施工准备工作包括现场勘察，准备松木桩等加固材料，现场场地平整以及施工平台修筑等。 3、施工放样：沿围墙基础方向用白灰撒出松木桩位置。松木桩位置具体布置见附图四。 4、挖机就位、松木桩对位：将挖机开至适宜施打松木桩的位置。松木桩距施打端0.5m左右处用麻绳山系牢，然后将麻绳的另一端系在挖机斗的挂钩处，用挖机将松木桩起吊就位，对准白灰撒出松木桩位置。 5、松木桩打置：松木桩起吊就位好后，用挖机斗将松木桩摁压并适当敲打，打入土质层中。松木桩打入深度以桩顶标高控制在2.5m 为准。松木桩施打时，先打置靠围墙的一排，然后打置外侧一排，且从一端往另一端按顺序打置。 6、松木桩纵、横向连接加固：松木桩打置好后，用松木桩（杆）将打好的两排松木桩进行纵、横向连接加固，使其成为一个整体共同作用。 7、主要投入机械设备：PC320挖机一台。 主要投入材料：①松木桩：小头直径D16，L＝6m，19根；

服务器安全加固

因为IIS(即Internet Information Server)的方便性和易用性，使它成为最受欢迎的Web 服务器软件之一。但是，IIS的安全性却一直令人担忧。如何利用IIS建立一个安全的Web 服务器，是很多人关心的话题。要创建一个安全可靠的Web服务器，必须要实现Windows 2003和IIS的双重安全，因为IIS的用户同时也是Windows 2003的用户，并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制，所以保护IIS安全的第一步就是确保Windows 2000操作系统的安全，所以要对服务器进行安全加固，以免遭到黑客的攻击，造成严重的后果。 我们通过以下几个方面对您的系统进行安全加固： 1. 系统的安全加固：我们通过配置目录权限，系统安全策略，协议栈加强，系统服务和访问控制加固您的系统，整体提高服务器的安全性。 2. IIS手工加固：手工加固iis可以有效的提高iweb站点的安全性，合理分配用户权限，配置相应的安全策略，有效的防止iis用户溢出提权。 3. 系统应用程序加固，提供应用程序的安全性，例如sql的安全配置以及服务器应用软件的安全加固。 系统的安全加固： 1.目录权限的配置： 1.1 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权，之后再对其下的子目录作单独的目录权限，如果WEB站点目录，你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限，如果想使网站更加坚固，可以分配只读权限并对特殊的目录作可写权限。 1.2 系统所在分区下的根目录都要设置为不继承父权限，之后为该分区只赋予Administrators和SYSTEM有完全控制权。 1.3 因为服务器只有管理员有本地登录权限，所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权，其下的子目录同样。另外还有一个隐藏目录也需要同样操作。因为如果你安装有PCAnyWhere那么他的的配置信息都保存在其下，使用webshell或FSO可以轻松的调取这个配置文件。 1.4 配置Program files目录，为Common Files目录之外的所有目录赋予Administrators和SYSTEM有完全控制权。

WindowsXP安全加固方案

WindowsXP 安全加固配置手册 目录 一、安全加固配置说明..........................................................................................................- 2 - 1.1 安全加固配置目的............................................................................................................- 2 - 1.2 适用系统...........................................................................................................................- 2 - 1.3 相关说明...........................................................................................................................- 2 - 二、主机加固方案..................................................................................................................- 2 - 2.1 操作系统加固方案...........................................................................................................- 2 - 2.1.1 安全补丁检测及安装............................................................................................- 2 - 2.1.2 系统用户口令及策略加固....................................................................................- 3 - 2.1.3 日志及审核策略配置.............................................................................................- 4 - 2.1.4 安全选项策略配置................................................................................................- 6 - 2.1.5 用户权限策略配置..............................................................................................- 12 - 2.1.6 注册表安全设置..................................................................................................- 14 - 2.1.7 网络与服务加固..................................................................................................- 16 - 2.1.8 其他安全性加固..................................................................................................- 18 -

Windows服务器安全加固

服务器安全加固(以Windows Server 2008为示例，Windows server 2003和Windows Server 2012根据实际需要进行修正) 1、服务器登录安全加固 1）为登录用户添加密码，密码长度在10位以上，并满足密码包括字母数字和特殊字符组成等复杂度要求。（请回答） 2）禁用系统多余帐号，如不需要Guest帐号访问服务器，则应禁用。（请截图） 3）设置Windows用户密码策略，可通过“控制面板－管理工具－本地安全策略”中“帐户策略”下的“帐户策略”进行安全设置如下。（请截图） 序号属性可选择值 1 密码必须符合复杂性要求已启用 2 密码长度最小值10个字符 3 密码最短使用期限5天 4 密码最长使用期限40天 5 强制密码历史3次 6 用可还原的加密来储存密码已禁用 4）设置Windows系统非法登录锁定次数，可通过“控制面板－管理工具－本地安全策略”中“帐户策略”下的“帐户锁定策略”进行安全加固，参数设置参考如下；（请 序号属性可选择值 1 帐户锁定阈值5次 2 帐户锁定时间10分钟

2、服务器安全事件审核安全加固。（请截图） 1）设置Windows服务器安全事件审核策略，可通过“控制面板－管理工具－本地安全策略”中“本地策略”下的“审核策略”进行安全设置，将其下的所有审核都设置成“成功”、“失败”（默认为“无审核”）。 2）设置日志系统的安全加固，打开“控制面板－管理工具－事件查看器”中，在“Windows日志”中选择一个日志类型，右击鼠标，设置“属性”的存储大小不小于512KB（4096KB）；覆盖周期不小于15天（60天）。（请截图）

AIX安全加固操作手册

AIX安全加固操作手册 作为宽带智能网中的Appserver，在完成AIX操作系统上智能网系统的安装和配置以后（除系统加固之外的所有安装和配置，包括双机），需要立即进行系统加固，以防止非法入侵，系统加固的具体步骤如下： 一、系统推荐补丁升级加固 1．检查是否打上了AIX操作系统要求补丁（433要求10以上；5.1要求5以上；5.2要求使用IBM最新发布的补丁） 检查补丁版本命令：oslevel –r 或instfix –i |grep ML (看返回结果中OS版本后带的小版本号) 2．如果未安装补丁，使用如下方式安装补丁 1)将补丁盘放入光驱、以root执行：mount /cdrom 2)执行：smitty update_all （选择/dev/cd0为安装介质） 注意选择安装选项中： COMMIT software updates? no SA VE replaced files? yes 安装结束后使用以上方式检查是否已经安装成功，并使用：shutdown –Fr 重起系统 二、AIX系统配置安全加固 1.编辑/etc/inetd.conf文件，关闭所有服务。 将inetd.conf文件中的内容清空 > /etc/inetd.conf refresh –s inetd 2.编辑/etc/rc.tcpip文件，关闭除以下服务外的所有服务： portmap syslog inetd sendmail snmpd 如关闭dpid2，则只要注销以下行：(前面加#号即可) #start /usr/sbin/dpid2 "$src_running" 再使用： stopsrc –s XXX来停止这些已经启动的服务 3./etc/inittab中关闭 用:注释服务，不是‘#’ piobe Printer IO BackEnd qdaemon Printer Queueing Daemon writesrv write server httpdlite docsearch Web Server

安全加固手册

安全加固手册 8.2 系统安全值设置 8.2.1 查看目前系统值: WRKSYSV AL 一个一个顺序在终端上显示 或者 DSPSYSVAL SYSV AL （system value） 8.2.2 系统安全级别推荐设置为40 QSECURITY 40 10 没有用户认证，没有资源保护 20 用户使用密码认证，没有资源保护 30 用户认证和默认的资源保护 40 跟 30 相似，但是控制了特权指令和设备的接口 （在客户端被认为具有高的风险的时候应用安全级别40。他会限制对对象，其他工作的数据和系统内部程序的直接访问） 50 增强型的安全访问控制，达到真正的 C2 级安全控制 8.2.3 建议设置口令复杂度策略 QPWDVLDPGM *NONE 无密码检测 8.2.4 密码长度 最小密码长度 QPWDMINLEN 6 最大密码长度 QPWDMAXLEN 10 8.2.5 设置帐户最大尝试登陆次数 QMAXSIGN 3（默认值） 达到最大尝试次数措施 QMAXSGNACN 3（默认值） 1 禁用终端 2 禁用用户配置文件 3 全部

（注 :建议根据自己的情况选择，禁用终端后，可能会给别人的造成误解，怀疑设备损坏。管理员要十分清楚该参数的含义） 8.2.6 设置密码有效期 QPWDEXPITV 30-90 *NOMAX 不限 1-366 天 QPWDRQDDIF 1 0 可以和以前的历史记录中的 32 个密码一样 1 必须和以前的历史记录中的 3 2 个密码不同 8.2.7 限制安全设备登陆 QLMTSECOFR 1 0 允许所有有 *ALLOBJ 授权的用户在任意显示终端登陆，有 *SERVICE 授权的用户可以使用*CHANGE 公开认证手段登陆到任意显示终端 1 不允许有 *ALLOBJ 或 *SERVICE 的用户登陆到任一显示终端上（主控制台除外），除非他们有特别的授权允许访问 8.2.8 设置超时策略 QINACTITV 无活动的任务超时 *NONE: 无超时 5-300 超时最大允许时间（分钟）推荐 15 非授权用户在某个时间段无操作，系统将会根据该参数值决定是否断开当前的session。 认证用户通过再次登陆，可以继续以前session 所保留的屏幕。当设置中断连接任务 （*DSCJOB ）值去中断任意交互式登陆。 8.2.9 限制设备sessions QLMTDEVSSN 0 不限制一个终端的特定用户 ID 的在同一时刻的使用数 1 限制同一时刻只能有一个特定用户登录到这台工作站 8.2.10 用户登录信息是否显示在屏幕上 QDSPSGNINF 0 在用户登录时 ,登陆信息不显示 1 以下信息会被显示最后登陆时间 从上次登陆以来的失败登陆 密码 7 天或之内密码将要过期的警告

网络安全加固最新解决方案

网络系统安全加固方案 北京*****有限公司 2018年3月

目录 1项目介绍 (3) 1.1项目背景 (3) 1.2项目目标 (3) 1.3参考标准 (3) 1.4方案设计原则 (4) 1.5网络系统现状 (5) 2网络系统升级改造方案 (6) 2.1网络系统建设要求 (6) 2.2网络系统升级改造方案 (7) 2.3网络设备部署及用途 (9) 2.4核心交换及安全设备UPS电源保证 (10) 2.5网络系统升级改造方案总结 (10) 3网络系统安全加固技术方案 (10) 3.1网络系统安全加固建设要求 (10) 3.2网络系统安全加固技术方案 (11) 3.3安全设备部署及用途 (22) 3.4安全加固方案总结 (22) 4产品清单 ..................................................................... 错误！未定义书签。

1 项目介绍 1.1 项目背景 随着对外网信息化的发展，业务系统对外网络系统、信息系统的依赖程度也越来越高，信息安全的问题也越来越突出。为了有效防范和化解风险，保证对外网信息系统平稳运行和业务持续开展，须对对外网现有的网络升级，并建立信息安全保障体系，以增强对外网的信息安全风险防范能力。 同时随着全球化和网络化，全球信息化建设的加快对我国的影响越来越大。由于利益的驱使，针对信息系统的安全威胁越来越多，必需加强自身的信息安全保护工作，建立完善的安全机制来抵御外来和内在的信息安全威胁。为提升对外网整体信息安全管理水平和抗风险能力，我们需要根据国内外先进信息安全管理机制结合对外网自身特点和需求来开展一项科学和系统的信息安全体系建设和规划设计工作。 通过系统的信息安全体系规划和建设，将为对外网加强内部控制和内部管理，降低运营风险，建立高效、统一、运转协调的管理体制的重要因素。 1.2 项目目标 满足对外网对网络系统等基础设施的需求，降低基础设施对对外网信息化发展的制约，顺利完成业务系统、网络系统与信息安全系统的整合，促进对外网信息化可持续发展。本次改造工作的主要内容：通过网络系统改造及安全加固，满足对外网日常办公需要，保障重要网络及业务系统的安全运行。 1.3 参考标准 本方案重点参考的政策和标准包括： ●《中华人民共和国政府信息公开条例》（中华人民共和国国务院令第 492号） ●《中华人民共和国计算机信息网络国际联网管理暂行规定》

win系统加固方案

w i n系统加固方案 The Standardization Office was revised on the afternoon of December 13, 2020

win10系统加固方案 1、磁盘加密位元锁(Enable BitLocker) Windows 10中的磁盘加密位元锁可以用来加密任何硬盘上的信息，包括启动、系统甚至移动媒体，鼠标右键就可以在选项中加密Windows资源管理器中的数据。用户可以在设置菜单中选择希望加锁的文件，被加密的文件可以被设置为只读，且不能被重新加密。 在保存好Bitlocker信息后关闭电脑，BitLocker的恢复信息存储在计算机的属性文件中，大多数情况下自动备份用户的密码恢复到Active Directory。所以要确保可以访问这些属性，防止丢失密码后无法恢复文件。 2、提升安全级别 Windows 10的用户帐户控制得到较大的改进，在区别合法和非法程序时表现得十分精确、迅速。根据用户的登录方式(管理员或普通用户)默认UAC安全级别设置，可以选择不同敏感度的防御级别。 Windows 10中设计了一个简单的用户帐户控制滚动条，方便管理员或标准用户设置它们的UAC安全级别。

建议将UAC安全级别设置为“始终通知”，请放心Windows 10中遇到的安全通知要比Vista少很多。 虽然UAC功能提供了一个必要的防御机制，但是为了系统的稳定性，请谨慎使用管理员帐户。 3、及时升级 在Windows 10的默认设置中，Windows升级服务将自动下载并安装重要的Windows系统和应用程序的升级包。 有一项研究表明，微软的软件是世界上补丁最多的产品。但是系统并没有提醒你，及时更新其他的非系统软件，比如浏览器、媒体播放器等。黑客们现在都喜欢从这些方面对电脑进行攻击。 4、备份数据 道高一尺，魔高一丈。有的时候真的是防不胜防，即使做了很多努力，当病毒来临时防御措施仍可能变的不堪一击。及时备份重要数据才是王道，这样就算遇到了极具杀伤性的病毒，也可以通过恢复数据轻松解决。 5.关闭默认共享封锁系统后门

Linux系统安全加固手册

密级：商业秘密LINUX评估加固手册 安氏领信科技发展有限公司 二〇一五年十二月

目录 1、系统补丁的安装 (3) 2、帐户、口令策略的加固 (3) 2．1、删除或禁用系统无用的用户 (3) 2．2、口令策略的设置 (4) 2．3、系统是否允许ROOT远程登录 (5) 2．4、ROOT的环境变量设置 (5) 3、网络与服务加固 (5) 3．1、RC?.D中的服务的设置 (5) 3．2、/ETC/INETD.CONF中服务的设置 (6) 3．3、NFS的配置 (8) 3．4、SNMP的配置 (9) 3．5、S ENDMAIL的配置 (9) 3．6、DNS（B IND）的配置 (9) 3．7、网络连接访问控制的设置 (10) 4、信任主机的设置 (11) 5、日志审核的设置 (11) 6、物理安全加固 (11) 7、系统内核参数的配置 (13) 8、选装安全工具 (14)

1、系统补丁的安装 RedHat使用RPM包实现系统安装的管理，系统没有单独补丁包（Patch）。如果出现新的漏洞，则发布一个新的RPM包，版本号（Version）不变，Release做相应的调整。因此检查RH Linux的补丁安装情况只能列出所有安装的软件，和RH 网站上发布的升级软件对照，检查其中的变化。 通过访问官方站点下载最新系统补丁，RedHat公司补丁地址如下： https://www.wendangku.net/doc/009191381.html,/corp/support/errata/ rpm -qa 查看系统当前安装的rpm包 rpm -ivh package1安装RPM包 rpm -Uvh package1升级RPM包 rpm -Fvh package1升级RPM包（如果原先没有安装，则不安装） 2、帐户、口令策略的加固 2．1、删除或禁用系统无用的用户 询问系统管理员，确认其需要使用的帐户 如果下面的用户及其所在的组经过确认不需要，可以删除。 lp, sync, shutdown, halt, news, uucp, operator, games, gopher 修改一些系统帐号的shell变量，例如uucp,ftp和news等，还有一些仅仅需要FTP功能的帐号，检查并取消/bin/bash或者/bin/sh等Shell变量。可以在/etc/passwd中将它们的shell变量设为/bin/false或者/dev/null等。也可以通过passwd groupdel 来锁定用户、删除组。 passwd -l user1锁定user1用户 passwd -u user1解锁user1用户 groupdel lp 删除lp组。

linux系统安全加固方案

1概述......................................................................................................................... - 1 - 1.1适用范围...................................................................................................... - 1 - 2用户账户安全加固................................................................................................. - 1 - 2.1修改用户密码策略 ...................................................................................... - 1 - 2.2锁定或删除系统中与服务运行，运维无关的的用户 .............................. - 1 - 2.3锁定或删除系统中不使用的组 .................................................................. - 2 - 2.4限制密码的最小长度 .................................................................................. - 2 - 3用户登录安全设置................................................................................................. - 3 - 3.1禁止root用户远程登录.............................................................................. - 3 - 3.2设置远程ssh登录超时时间 ....................................................................... - 3 - 3.3设置当用户连续登录失败三次，锁定用户30分钟 ................................ - 4 - 3.4设置用户不能使用最近五次使用过的密码 .............................................. - 5 - 3.5设置登陆系统账户超时自动退出登陆 ...................................................... - 5 - 4系统安全加固......................................................................................................... - 5 - 4.1关闭系统中与系统正常运行、业务无关的服务 ...................................... - 5 - 4.2禁用“CTRL+ALT+DEL”重启系统 ............................................................... - 6 - 4.3加密grub菜单 ............................................................................................. - 6 -