Windows服务器安全加固

服务器安全加固(以Windows Server 2008为示例,Windows server 2003与Windows Server 2012根据实际需要进行修正)

1、服务器登录安全加固

1）为登录用户添加密码,密码长度在10位以上,并满足密码包括字母数字与特殊字符组成等复杂度要求。(请回答)

2）禁用系统多余帐号,如不需要Guest帐号访问服务器,则应禁用。(请截图)

3）设置Windows用户密码策略,可通过“控制面板－管理工具－本地安全策略”中“帐

序号属性可选择值

1 密码必须符合复杂性要求已启用

2 密码长度最小值10个字符

3 密码最短使用期限5天

4 密码最长使用期限40天

5 强制密码历史3次

6 用可还原得加密来储存密码已禁用

4）设置Windows系统非法登录锁定次数,可通过“控制面板－管理工具－本地安全策略”中“帐户策略”下得“帐户锁定策略”进行安全加固,参数设置参考如下;(请截

序号属性可选择值

1 帐户锁定阈值5次

2 帐户锁定时间10分钟

2、服务器安全事件审核安全加固。(请截图)

1）设置Windows服务器安全事件审核策略,可通过“控制面板－管理工具－本地安全策略”中“本地策略”下得“审核策略”进行安全设置,将其下得所有审核都设置成

“成功”、“失败”(默认为“无审核”)。

2）设置日志系统得安全加固,打开“控制面板－管理工具－事件查瞧器”中,在“Windows 日志”中选择一个日志类型,右击鼠标,设置“属性”得存储大小不小于512KB(4096KB);覆盖周期不小于15天(60天)。(请截图)

3、关闭服务器共享资源,可通过“控制面板－管理工具－计算机管理”中,选择“共

享文件夹－共享”查瞧系统共享资源,删除不必要得多余共享资源。(请截图)

4、自动锁屏设置

桌面点击右键－属性－屏幕保护程序,设置服务器自动锁屏时间为3分钟(参考)。(请截图)

5、对系统安装得FTP中建立得用户进行用户权限管理,根据“最小资源配置原则”,为每个

FPT用户分配最小访问目录权限,访问目前权限设置,如用户可进行写操作,则对用户可分配得磁盘空间大小进行限制。(就是否开启FTP)

6、根据工作得需要,为每个访问服务器得工作人员创建访问权限合理得用户,或建立工作人

员访问服务器得纸质操作记录。(就是否只有一个管理员操作)

7、设置系统剩余信息保护安全加固

1）设置Windows服务器安全事件审核策略,可通过“控制面板－管理工具－本地安全序号属性可选择值

1 关机: 清除虚拟内存页面文件已启用

2 交互式登录: 不显示最后得用户名已启用

网络访问:不允许SAM帐户与共享得匿

已启用

3

名枚举

4 网络访问:不允许为网络身份验证储存已启用

凭证

5 网络访问:可远程访问得注册表路径全部删除

网络访问:可远程访问得注册表路径与

6

全部删除

子路径

全部删除(根据实际共７网络访问:可匿名访问得共享

享情况要配置)

8、请根据实际需要为系统安装病毒查杀软件(360、瑞星防毒)、防木马软件(360木马查杀、

安全卫士),安全狗服务器版(safedog)等类似得软件并定期进行病毒库升级,以及定期进行系统安全检测,做好该项工作得纸质记录得存档。(请回答)

已安装:

9、在系统服务中关闭不必要得系统服务,如:ＤＨＣＰ、ＦＴＰ等(请截图)

10、打开“组策略”gpedit、msc中,在“计算机配置”->“管理模板”->“Windows 组件”->“远程桌面服务”->“远程桌面会话时间限制”中,查瞧在“会话时间限制”中,对空闲得会话(没有客户端活动得会话)继续留在服务器上得最长时间进行配置。(请截图)

11、能够通过360等软件对系统补丁进行自动更新。(请截图)

Windows系统安全加固技术指导书

甘肃海丰信息科技有限公司Windows系统安全加固技术指导书 ◆版本◆密级【绝密】 ◆发布甘肃海丰科技◆编号GSHF-0005-OPM- ?2006-2020 HIGHFLYER INFORMATION TECHNOLOGY ,INC.

目录 文档信息 (2) 前言 (3) 一、编制说明 (3) 二、参照标准文件 (3) 三、加固原则 (3) 1.业务主导原则 (3) 2.业务影响最小化原则 (4) 3.实施风险控制 (4) (一)主机系统 (4) (二)数据库或其他应用 (4) 4.保护重点 (5) 5.灵活实施 (5) 6.周期性的安全评估 (5) 四、安全加固流程 (5) 1.主机分析安全加固 (6) 2.业务系统安全加固 (7) 五、W INDOWS 2003操作系统加固指南 (8) 1.系统信息 (8) 2.补丁管理 (8) (一)补丁安装 (8) 3.账号口令 (8) (一)优化账号 (8) (二)口令策略 (8) 4.网络服务 (9) (三)优化服务 (9) (四)关闭共享 (9) (五)网络限制 (10) 5.文件系统 (10) (一)使用NTFS (10) (二)检查Everyone权限 (10) (三)限制命令权限 (10) 6.日志审核 (11) (一)增强日志 (11) (二)增强审核 (11)

文档信息 ■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属甘肃海丰所有，受到有关产权及版权法保护。任何个人、机构未经甘肃海丰的书面授权许可，不得以任何方式复制或引用本文的任何片断。 ■变更记录 时间版本说明修改人 2008-07-09新建本文档郑方 2009-05-27修正了4处错误、删除了IIS5加固部分郑方 2010-10-11新增加固IIS6、SQL2000加固操作指南郑方

Windows服务器安全加固方案

P43页 Windows 2008服务器安全加固方案 来源：中国红盟时间：2010-1-27 9:09:00 点击：201 今日评论：0 条Windows 2008服务器安全加固方案(一）因为IIS(即Internet Information Server)的方便性和易用性，使它成为最受欢迎的Web 服务器软件之一。但是，IIS的安全性却一直令人担忧。如何利用IIS建立一个安全的Web 服务器，是很多人关心的话题。要创服务器安全检测建一个安全可靠的Web服务器，必须要实现Windows 2003和IIS的双重安全，因为IIS的用户同时也是Windows 2003的用户，并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制，所以保护IIS安全的第一步就是确保Windows 2000操作系统的安全，所以要对服务器进行安全加固，以免遭到黑客的攻击，造成严重的后果。 我们通过以下几个方面对您的系统进行安全加固： 1. 系统的安全加固：我们通过配置目录权限，系统安全策略，协议栈加强，系统服务和访问控制加固您的系统，整体提高服务器的安全性。 2. IIS手工加固：手工加固iis可以有效的提高iweb站点的安全性服务器安全加固，合理分配用户权限，配置相应的安全策略，有效的防止iis用户溢出提权。 3. 系统应用程序加固，提供应用程序的安全性，例如sql的安全配置以及服务器应用软件的安全加固。 系统的安全加固： 1.目录权限的配置： 1.1 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权，之后再对其下的子目录作单独的目录权限，如果WEB站点目录，你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限，如果想使网站更加坚固，可以分配只读权限并对特殊的目录作可写权限。 1.2 系统所在分区下的根目录都要设置为不继承父权限，之后为该分区只赋予Administrators 和SYSTEM有完全控制权。 1.3 因为服务器只有管理员有本地登录权限，所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权，其下的子目录同样。另外还有一个隐藏目录也需要同样操作。因为如果你安装有PCAnyWhere那么他的的配置信息都保存在其下，使用webshell或FSO可以轻松的调取这个配置文件。 1.4 配置Program files目录，为Common Files目录之外的所有目录赋予Administrators和SYSTEM有完全控制权。

安全运维服务方案

1概述 1.1服务范围和服务内容 本次服务范围为XX局信息化系统硬件及应用系统，各类软硬件均位于XX局第一办公区内，主要包括计算机终端、打印机、服务器、存储设备、网络（安全）设备以及应用系统。服务内容包括日常运维服务（驻场服务）、专业安全服务、主要硬件设备维保服务、主要应用软件系统维保服务、信息化建设咨询服务等。 1.2服务目标 ●保障软硬件的稳定性和可靠性； ●保障软硬件的安全性和可恢复性； ●故障的及时响应与修复； ●硬件设备的维修服务； ●人员的技术培训服务； ●信息化建设规划、方案制定等咨询服务。 2系统现状 2.1网络系统 XX局计算机网络包括市电子政务外网（简称外网）、市电子政务内网（简称内网）以及全国政府系统电子政务专网（简称专网）三部分。内网、外网、专网所有硬件设备集中于XX局机房各个独立区域，互相物理隔离。 外网与互联网逻辑隔离，主要为市人大建议提案网上办理、XX局政务公开等应用系统提供网络平台，为市领导及XX局各处室提供互联网服务。外网安全加固措施：WSUS服务器、瑞星杀毒软件服务器为各联网终端提供系统补丁分发和瑞星杀毒软件管理服务，建立IPS、防火墙等基本网络安全措施。 内网与外网和互联网物理隔离，为XX局日常公文流转、公文处理等信息化系统提供基础网络平台。内网安全加固措施：WSUS服务器、瑞星杀毒软件服务器为各联网终端提供系统补丁分发和瑞星杀毒软件管理服务；配备防火墙实现内网中服务器区域间的逻辑隔离及安全区域间的访问控制，重点划分服务器区，实现相应的访问控制策略。 专网由XX局电子政务办公室统一规划建设，专网和互联网、内网及其他非涉密网络严格物理隔离，目前主要提供政务信息上报服务和邮件服务。

网络安全主机安全加固

网络安全主机安全加固 一、安全加固概述 网络与应用系统加固和优化服务是实现客户信息系统安全的关键环节。通过使用该项服务，将在客户信息系统的网络层、主机层和应用层等层次建立符合客户安全需求的安全状态，并以此作为保证客户信息系统安全的起点。 网络与应用系统加固和优化服务的目的是通过对主机和网络设备所存在安全问题执行以下操作： ●? 正确的安装； ●? 安装最新和全部OS和应用软件的安全补丁； ●? 操作系统和应用软件的安全配置； ●? 系统安全风险防范； ●? 提供系统使用和维护建议； ●? 系统功能测试； ●? 系统安全风险测试； ●? 系统完整性备份； ●? 必要时重建系统等。 上述工作的结果决定了网络与应用系统加固和优化的流程、实施的内容、步骤和复杂程度。具体说，则可以归纳为： （1）加固目标也就是确定系统在做过加固和优化后，达到的安全级别，通常不同环境下的系统对安全级别的要求不同，由此采用的加固方案也不同。 （2）明确系统运行状况的内容包括: ●? 系统的具体用途,即明确系统在工作环境下所必需开放的端口和服务等。

●? 系统上运行的应用系统及其正常所必需的服务。 ●? 我们是从网络扫描及人工评估里来收集系统的运行状况的。 （3）明确加固风险：网络与应用系统加固是有一定风险的，一般可能的风险包括停机、应用程序不能正常使用、最严重的情况是系统被破坏无法使用。这些风险一般是由于系统运行状况调查不清导致，也有因为加固方案的代价分析不准确，误操作引起。因此在加固前做好系统备份是非常重要的。 （4）系统备份：备份内容包括：文件系统、关键数据、配置信息、口令、用户权限等内容；最好做系统全备份以便快速恢复。 二．加固和优化流程概述 网络与应用系统加固和优化的流程主要由以下四个环节构成： 1. 状态调查 对系统的状态调查的过程主要是导入以下服务的结果： ●? 系统安全需求分析 ●? 系统安全策略制订 ●? 系统安全风险评估(网络扫描和人工评估) 对于新建的系统而言，主要是导入系统安全需求分析和系统安全策略制订这两项服务的结果。在导入上述服务的结果后，应确定被加固系统的安全级别，即确定被加固系统所能达到的安全程度。同时，也必须在分析上述服务结果的基础上确定对网络与应用系统加固和优化的代价。 2. 制订加固方案 制订加固方案的主要内容是根据系统状态调查所产生的结果制订对系统实施加固和优化的内容、步骤和时间表。

win10系统加固方案

win10系统加固方案 1、磁盘加密位元锁(Enable BitLocker) Windows 10中的磁盘加密位元锁可以用来加密任何硬盘上的信息，包括启动、系统甚至移动媒体，鼠标右键就可以在选项中加密Windows资源管理器中的数据。用户可以在设置菜单中选择希望加锁的文件，被加密的文件可以被设置为只读，且不能被重新加密。 在保存好Bitlocker信息后关闭电脑，BitLocker的恢复信息存储在计算机的属性文件中，大多数情况下自动备份用户的密码恢复到Active Directory。所以要确保可以访问这些属性，防止丢失密码后无法恢复文件。 2、提升安全级别 Windows 10的用户帐户控制得到较大的改进，在区别合法和非法程序时表现得十分精确、迅速。根据用户的登录方式(管理员或普通用户)默认UAC安全级别设置，可以选择不同敏感度的防御级别。 Windows 10中设计了一个简单的用户帐户控制滚动条，方便管理员或标准用户设置它们的UAC安全级别。

建议将UAC安全级别设置为“始终通知”，请放心Windows 10中遇到的安全通知 要比Vista少很多。 虽然UAC功能提供了一个必要的防御机制，但是为了系统的稳定性，请谨慎使用 管理员帐户。 3、及时升级 在Windows 10的默认设置中，Windows升级服务将自动下载并安装重要的Windows系统和应用程序的升级包。 有一项研究表明，微软的软件是世界上补丁最多的产品。但是系统并没有提醒你，及时更新其他的非系统软件，比如浏览器、媒体播放器等。黑客们现在都喜欢从这些 方面对电脑进行攻击。 4、备份数据 道高一尺，魔高一丈。有的时候真的是防不胜防，即使做了很多努力，当病毒来 临时防御措施仍可能变的不堪一击。及时备份重要数据才是王道，这样就算遇到了极 具杀伤性的病毒，也可以通过恢复数据轻松解决。 5.关闭默认共享封锁系统后门 同XP、Vista一样，在默认情况下也开启了网络共享。虽然这可以让局域网共享 更加方便，但同时也为病毒传播创造了条件。因此关闭默认共享，可以大大降低系统 被病毒感染的概率。Windows在默认情况下会开启以下隐藏管理共享：

LINUX安全加固手册

LINUX安全加固手册

目录 1概述 (3) 2 安装 (3) 3 用户帐号安全Password and account security (4) 3.1 密码安全策略 (4) 3.2 检查密码是否安全 (4) 3.3 Password Shadowing (4) 3.4 管理密码 (4) 3.5 其它 (5) 4 网络服务安全(Network Service Security) (5) 4.1服务过滤Filtering (6) 4.2 /etc/inetd.conf (7) 4.3 R 服务 (7) 4.4 Tcp_wrapper (7) 4.5 /etc/hosts.equiv 文件 (8) 4.6 /etc/services (8) 4.7 /etc/aliases (8) 4.8 NFS (9) 4.9 Trivial ftp (tftp) (9) 4.10 Sendmail (9) 4.11 finger (10) 4.12 UUCP (10) 4.13 World Wide Web (WWW) – httpd (10) 4.14 FTP安全问题 (11) 5 系统设置安全(System Setting Security) (12) 5.1限制控制台的使用 (12) 5.2系统关闭Ping (12) 5.3关闭或更改系统信息 (12) 5.4 /etc/securetty文件 (13) 5.5 /etc/host.conf文件 (13) 5.6禁止IP源路径路由 (13) 5.7资源限制 (13) 5.8 LILO安全 (14) 5.9 Control-Alt-Delete 键盘关机命令 (14) 5.10日志系统安全 (15) 5.11修正脚本文件在“/etc/rc.d/init.d”目录下的权限 (15) 6 文件系统安全(File System Security) (15) 6.1文件权限 (15) 6.2控制mount上的文件系统 (16) 6.3备份与恢复 (16) 7 其它 (16) 7.1使用防火墙 (16)

Windows服务器安全加固

服务器安全加固(以Windows Server 2008为示例,Windows server 2003与Windows Server 2012根据实际需要进行修正) 1、服务器登录安全加固 1）为登录用户添加密码,密码长度在10位以上,并满足密码包括字母数字与特殊字符组成等复杂度要求。(请回答) 2）禁用系统多余帐号,如不需要Guest帐号访问服务器,则应禁用。(请截图) 3）设置Windows用户密码策略,可通过“控制面板－管理工具－本地安全策略”中“帐 序号属性可选择值 1 密码必须符合复杂性要求已启用 2 密码长度最小值10个字符 3 密码最短使用期限5天 4 密码最长使用期限40天 5 强制密码历史3次 6 用可还原得加密来储存密码已禁用 4）设置Windows系统非法登录锁定次数,可通过“控制面板－管理工具－本地安全策略”中“帐户策略”下得“帐户锁定策略”进行安全加固,参数设置参考如下;(请截 序号属性可选择值 1 帐户锁定阈值5次 2 帐户锁定时间10分钟 2、服务器安全事件审核安全加固。(请截图) 1）设置Windows服务器安全事件审核策略,可通过“控制面板－管理工具－本地安全策略”中“本地策略”下得“审核策略”进行安全设置,将其下得所有审核都设置成

“成功”、“失败”(默认为“无审核”)。 2）设置日志系统得安全加固,打开“控制面板－管理工具－事件查瞧器”中,在“Windows 日志”中选择一个日志类型,右击鼠标,设置“属性”得存储大小不小于512KB(4096KB);覆盖周期不小于15天(60天)。(请截图)

3、关闭服务器共享资源,可通过“控制面板－管理工具－计算机管理”中,选择“共 享文件夹－共享”查瞧系统共享资源,删除不必要得多余共享资源。(请截图) 4、自动锁屏设置 桌面点击右键－属性－屏幕保护程序,设置服务器自动锁屏时间为3分钟(参考)。(请截图)

服务器安全加固操作指南

网络通信安全管理员培训 WEB安全加固 操 作 指 南 邮电职业技术学院培训中心 二零一二年五月 1、Windows server 2003系统加固 (4)

1.1采集系统信息 (4) 1.2账号 (5) 1.2.1优化账号 (5) 1.2.2检测隐藏 (6) 1.2.3更改默认管理员用户名 (7) 1.3口令策略 (7) 1.4授权 (9) 1.5补丁管理 (10) 1.6安全配置 (11) 1.6.1IP协议安全配置 (11) 1.6.2屏幕保护 (13) 1.6.3安装防病毒软件 (14) 1.6.4病毒查杀 (15) 1.6.5木马查杀 (16) 1.7日志审核 (18) 1.7.1增强日志 (18) 1.7.2增强审核 (20) 1.8关闭不必要的端口、服务 (21) 1.8.1修改远程桌面端口 (21) 1.8.2关闭高危的数据库端口 (22) 1.8.3优化服务 (22) 1.8.4修改SNMP服务 (24) 1.9启动项 (24) 1.10关闭自动播放功能 (26) 1.11关闭共享 (26) 1.12使用NTFS (27) 1.13网络访问 (28) 1.14会话超时设置 (29) 1.15注册表设置 (29) 1.16其他 (30) 1.16.1网络限制 (30) 1.16.2安全性增强 (31) 1.16.3检查Everyone权限 (31) 1.16.4限制命令操作权限 (32) 1.16.5防病毒软件建立计划任务，每天深夜执行全盘扫描 (33) 1.16.6进行IP-MAC双向绑定 (33) 1.16.7第三方软件升级 (34) 1.16.8开启360safe arp防火墙 (34) 1.17Apache系统加固 (35) 1.17.1 (35) 1.17.2授权 (36) 1.17.3日志 (37) 1.17.4禁止访问外部文件 (38) 1.17.5目录列出 (39)

服务器安全加固

因为IIS(即Internet Information Server)的方便性和易用性，使它成为最受欢迎的Web 服务器软件之一。但是，IIS的安全性却一直令人担忧。如何利用IIS建立一个安全的Web 服务器，是很多人关心的话题。要创建一个安全可靠的Web服务器，必须要实现Windows 2003和IIS的双重安全，因为IIS的用户同时也是Windows 2003的用户，并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制，所以保护IIS安全的第一步就是确保Windows 2000操作系统的安全，所以要对服务器进行安全加固，以免遭到黑客的攻击，造成严重的后果。 我们通过以下几个方面对您的系统进行安全加固： 1. 系统的安全加固：我们通过配置目录权限，系统安全策略，协议栈加强，系统服务和访问控制加固您的系统，整体提高服务器的安全性。 2. IIS手工加固：手工加固iis可以有效的提高iweb站点的安全性，合理分配用户权限，配置相应的安全策略，有效的防止iis用户溢出提权。 3. 系统应用程序加固，提供应用程序的安全性，例如sql的安全配置以及服务器应用软件的安全加固。 系统的安全加固： 1.目录权限的配置： 1.1 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权，之后再对其下的子目录作单独的目录权限，如果WEB站点目录，你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限，如果想使网站更加坚固，可以分配只读权限并对特殊的目录作可写权限。 1.2 系统所在分区下的根目录都要设置为不继承父权限，之后为该分区只赋予Administrators和SYSTEM有完全控制权。 1.3 因为服务器只有管理员有本地登录权限，所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权，其下的子目录同样。另外还有一个隐藏目录也需要同样操作。因为如果你安装有PCAnyWhere那么他的的配置信息都保存在其下，使用webshell或FSO可以轻松的调取这个配置文件。 1.4 配置Program files目录，为Common Files目录之外的所有目录赋予Administrators和SYSTEM有完全控制权。

Windows系统安全加固

第二章 Windows系统安全加固 Windows Server 2003操作系统，具有高性能、高可靠性和高安全性等特点。Windows Server 2003在默认安装的时候，基于安全的考虑已经实施了很多安全策略，但由于服务器操作系统的特殊性，在默认安装完成后还需要张先生对其进行安全加固，进一步提升服务器操作系统的安全性，保证应用系统以及数据库系统的安全。 在安装Windows Server 2003操作系统时，为了提高系统的安全性，张先生按系统建议，采用最小化方式安装，只安装网络服务所必需的组件。如果以后有新的服务需求，再安装相应的服务组件，并及时进行安全设置。 在完成操作系统安装全过程后，要对Windows系统安全性方面进行加固，系统加固工作主要包括账户安全配置、密码安全配置、系统安全配置、服务安全配置以及禁用注册表编辑器等内容，从而使得操作系统变得更加安全可靠，为以后的工作提供一个良好的环境平台。 操作系统的安全是整个计算机系统安全的基础，其安全问题日益引起人们的高度重视。作为用户使用计算机和网络资源的操作界面，操作系统发挥着十分重要的作用。因此，操作系统本身的安全就成了安全防护的头等大事。 一、操作系统安全的概念 操作系统的安全防护研究通常包括以下几个方面的内容： （1）操作系统本身提供的安全功能和安全服务。目前的操作系统本身往往要提供一定的访问控制、认证与授权等方面的安全服务，如何对操作系统本身的安全性能进行研究和开发使之符合选定的环境和需求； （2）针对各种常用的操作系统，进行相关配置，使之能正确对付和防御各种入侵； （3）保证操作系统本身所提供的网络服务能得到安全配置。 一般来说，如果说一个计算机系统是安全的，那么是指该系统能够控制外部对系统信息的访问。也就是说，只有经过授权的用户或代表该用户运行的进程才能读、写、创建或删除信息。操作系统内的活动都可以认为是主体对计算机系统内部所有客体的一系列操作。主体是指发出访问操作、存取请求的主动方，它包括用户、用户组、主机、终端或应用进程等。主体可以访问客体。客体是指被调用的程序或要存取的数据访问，它包括文件、程序、内存、目录、队列、进程间报文、I/O设备和物理介质等。 主体对客体的安全访问策略是一套规则，可用于确定一个主体是否对客体拥有访问能力。 一般所说的操作系统的安全通常包含两方面的含义：①操作系统在设计时通过权限访问控制、信息加密性保护、完整性鉴定等机制实现的安全；②操作系统在使用中，通过一系列的配置，保证操作系统避免由于实现时的缺陷或是应用环境因素产生的不安全因素。只有在这两方面同时努力，才能够最

Win2003安全加固方案

目录 一、 安全加固配置说明..........................................................................................................- 2 - 1.1安全加固配置目的............................................................................................................- 2 - 1.2适用系统...........................................................................................................................- 2 - 1.3相关说明...........................................................................................................................- 2 - 二、 主机加固方案..................................................................................................................- 2 - 2.1 操作系统加固方案...........................................................................................................- 2 - 2.1.1 安全补丁检测及安装............................................................................................- 2 - 2.1.2 系统用户口令及策略加固....................................................................................- 3 - 2.1.3日志及审核策略配置.............................................................................................- 4 - 2.1.4 安全选项策略配置................................................................................................- 6 - 2.1.5 用户权限策略配置..............................................................................................- 12 - 2.1.6 注册表安全设置..................................................................................................- 14 - 2.1.7 网络与服务加固..................................................................................................- 16 - 2.1.8 其他安全性加固..................................................................................................- 18 -

Server系统安全加固

为安装Windows server操作系统的服务器进行系统安全加固 操作系统基本安全加固 补丁安装 使用Windows update安装最新补丁 或者使用第三方软件安装补丁,如360安全卫士 系统帐户、密码策略 1.帐户密码策略修改 “本地计算机”策→计算机配置→windows设置→安全设置→密码策略 密码长度最小值7 字符 密码最长存留期90 天 密码最短存留期30 天 密码必须符合复杂性要求启用 保障帐号以及口令的安全，但是设置帐号策略后可能导致不符合帐号策略的帐号无法登录，需修改不符合帐号策略的密码（注：管理员不受帐号策略限制，但管理员密码应复杂以避免被暴力猜测导致安全风险） 2.帐户锁定策略 账户锁定时间30 分钟 账户锁定阈值5 次无效登录 复位账户锁定计数器30 分钟 有效的防止攻击者猜出您账户的密码 3.更改默认管理员用户名 “本地计算机”策→计算机配置→windows设置→安全设置→本地策略→安全选项 帐户: 重命名管理员帐户 默认管理员帐号可能被攻击者用来进行密码暴力猜测，可能由于太多的错误密码尝试导致该帐户被锁定。建议修改默认管理员用户名 4.系统默认账户安全 Guest 帐户必须禁用；如有特殊需要保留也一定要重命名 TSInternetUser 此帐户是为了“Terminal Services Internet Connector License”使用而存在的，故帐户必须禁用，不会对于正常的Terminal Services的功能有影响 SUPPORT_388945a0 此帐户是为了IT帮助和支持服务，此帐户必须禁用 IUSR_{system} 必须只能是Guest组的成员，此帐户为IIS（Internet Information Server）服务建立 IWAM_{system} 必须只能是Guest组的成员，此帐户为IIS（Internet Information Server）服务建立 日志审核策略 “本地计算机”策→计算机配置→windows设置→安全设置→本地策略→审核策略 审核策略更改成功 审核登录事件无审核 审核对象访问成功, 失败 审核过程追踪无审核 审核目录服务访问无审核

安全加固手册

安全加固手册 8.2 系统安全值设置 8.2.1 查看目前系统值: WRKSYSV AL 一个一个顺序在终端上显示 或者 DSPSYSVAL SYSV AL （system value） 8.2.2 系统安全级别推荐设置为40 QSECURITY 40 10 没有用户认证，没有资源保护 20 用户使用密码认证，没有资源保护 30 用户认证和默认的资源保护 40 跟 30 相似，但是控制了特权指令和设备的接口 （在客户端被认为具有高的风险的时候应用安全级别40。他会限制对对象，其他工作的数据和系统内部程序的直接访问） 50 增强型的安全访问控制，达到真正的 C2 级安全控制 8.2.3 建议设置口令复杂度策略 QPWDVLDPGM *NONE 无密码检测 8.2.4 密码长度 最小密码长度 QPWDMINLEN 6 最大密码长度 QPWDMAXLEN 10 8.2.5 设置帐户最大尝试登陆次数 QMAXSIGN 3（默认值） 达到最大尝试次数措施 QMAXSGNACN 3（默认值） 1 禁用终端 2 禁用用户配置文件 3 全部

（注 :建议根据自己的情况选择，禁用终端后，可能会给别人的造成误解，怀疑设备损坏。管理员要十分清楚该参数的含义） 8.2.6 设置密码有效期 QPWDEXPITV 30-90 *NOMAX 不限 1-366 天 QPWDRQDDIF 1 0 可以和以前的历史记录中的 32 个密码一样 1 必须和以前的历史记录中的 3 2 个密码不同 8.2.7 限制安全设备登陆 QLMTSECOFR 1 0 允许所有有 *ALLOBJ 授权的用户在任意显示终端登陆，有 *SERVICE 授权的用户可以使用*CHANGE 公开认证手段登陆到任意显示终端 1 不允许有 *ALLOBJ 或 *SERVICE 的用户登陆到任一显示终端上（主控制台除外），除非他们有特别的授权允许访问 8.2.8 设置超时策略 QINACTITV 无活动的任务超时 *NONE: 无超时 5-300 超时最大允许时间（分钟）推荐 15 非授权用户在某个时间段无操作，系统将会根据该参数值决定是否断开当前的session。 认证用户通过再次登陆，可以继续以前session 所保留的屏幕。当设置中断连接任务 （*DSCJOB ）值去中断任意交互式登陆。 8.2.9 限制设备sessions QLMTDEVSSN 0 不限制一个终端的特定用户 ID 的在同一时刻的使用数 1 限制同一时刻只能有一个特定用户登录到这台工作站 8.2.10 用户登录信息是否显示在屏幕上 QDSPSGNINF 0 在用户登录时 ,登陆信息不显示 1 以下信息会被显示最后登陆时间 从上次登陆以来的失败登陆 密码 7 天或之内密码将要过期的警告

【原创】Windows 2008 R2服务器的安全加固

【原创】Windows 2008 R2服务器的安全加固 最近托管了一台2U服务器到机房，安装的是Windows 2008系统，打算 用IIS做web server，因此需要把没用的端口、服务关闭，减小风险。 我发现现在网络上有价值的东西实在是太少了，很多人都是转载来转载 去，学而不思，没有一点营养。还是自己总结总结吧，大概有以下几 步： 1. 如何关掉IPv6？ 这一点国内国外网站上基本上都有了共识，都是按照下面两步来进行。 据说执行之后就剩本地换回路由还没关闭。但关闭之后我发现某些端口 还是同时监听ipv4和ipv6的端口，尤其是135端口，已经把ipv4关闭了， ipv6竟然还开着。匪夷所思啊…… 先关闭网络连接->本地连接->属性->Internet协议版本 6 (TCP/IPv6) 然后再修改注册表： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Paramete 增加一个Dword项，名字：DisabledComponents，值：ffffffff（十六位 的8个f） 重启服务器即可关闭ipv6 2. 如何关闭135端口？ 这个破端口是RPC服务的端口，以前出过很多问题，现在貌似没啥漏洞 了，不过还是心有余悸啊，想关的这样关： 开始->运行->dcomcnfg->组件服务->计算机->我的电脑->属性->默认属 性->关闭“在此计算机上启用分布式COM”->默认协议->移除“面向连接的 TCP/IP” 但是感觉做了以上的操作还能看到135在Listen状态，还可以试试这 样。 在cmd中执行：netsh rpc add 127.0.0.0，这样135端口只监听 127.0.0.1了。 3. 如何关闭445端口？ 445端口是netbios用来在局域网内解析机器名的服务端口，一般服务器

服务器主机操作系统安全加固方案

主机问题解决方案 部分主机未禁用GUEST 账户，需禁用所有主机Guest 账号 （只适用于windows）。旗标曝露操作系统的版本： AIX : 修改/etc/motd 中的内容为“ hello ” “ welcome” 或其 他，以覆盖系统版本信息。 HP-UNIX 修改/etc/issue 中的内容。 超时退出功能，已加固部分服务器，剩余服务器，Windows 设置屏保，时间为10 分钟以内，启用屏保密码功能。HP-UNIX：修改/etc/profile 文件，增加TMOUT值，建议设定600以 内。AIX：编辑/etc/profile 文件，添加TMOUT参数设置，例如TMOUT=600 以内，系统600 秒无操作后将自动执行帐户注销操作。 明文管理方式，部分设备目前还需要使用TELNET 服务，逐步关闭，建议采用SSH ，在网络和主机层面逐步关闭TELNET协议，禁用TELNET启用SSH协议（适用于AIX与HP-UNIX）： 1.禁用telnet vi /etc/inetd.conf 把telnet 行注释掉，然后refresh -s inetd 2.加速ssh 的登录 第一: 如有/etc/resolv.conf ，rm 掉 第二：vi /etc/ssh/sshd_config 去掉注释userDns , 把yes 改

为no stopsrs -s sshd startsrc -s sshd 未关闭远程桌面，易受本地局域网恶意用户攻击，需转运行后，在网络层面增加访问控制策略。 允许root 账户远程登录，各网省建立专用账号实现远程管理，关闭root 账号运程管理功能在。 主机操作系统提供FTP 服务，匿名用户可访问，易导致病毒的传播，禁用AIX 自身的FTP 服务（适用于AIX 与HP-UNIX） 1、编辑/etc/inetd.conf 将ftpd 一项注释； 2、refresh -s inetd 。 其它FTP服务软件使用注意：先关闭所有FTP服务，用时开启，用完后关闭。

Linux系统安全加固手册

密级：商业秘密LINUX评估加固手册 安氏领信科技发展有限公司 二〇一五年十二月

目录 1、系统补丁的安装 (3) 2、帐户、口令策略的加固 (3) 2．1、删除或禁用系统无用的用户 (3) 2．2、口令策略的设置 (4) 2．3、系统是否允许ROOT远程登录 (5) 2．4、ROOT的环境变量设置 (5) 3、网络与服务加固 (5) 3．1、RC?.D中的服务的设置 (5) 3．2、/ETC/INETD.CONF中服务的设置 (6) 3．3、NFS的配置 (8) 3．4、SNMP的配置 (9) 3．5、S ENDMAIL的配置 (9) 3．6、DNS（B IND）的配置 (9) 3．7、网络连接访问控制的设置 (10) 4、信任主机的设置 (11) 5、日志审核的设置 (11) 6、物理安全加固 (11) 7、系统内核参数的配置 (13) 8、选装安全工具 (14)

1、系统补丁的安装 RedHat使用RPM包实现系统安装的管理，系统没有单独补丁包（Patch）。如果出现新的漏洞，则发布一个新的RPM包，版本号（Version）不变，Release做相应的调整。因此检查RH Linux的补丁安装情况只能列出所有安装的软件，和RH 网站上发布的升级软件对照，检查其中的变化。 通过访问官方站点下载最新系统补丁，RedHat公司补丁地址如下： https://www.wendangku.net/doc/0a9946928.html,/corp/support/errata/ rpm -qa 查看系统当前安装的rpm包 rpm -ivh package1安装RPM包 rpm -Uvh package1升级RPM包 rpm -Fvh package1升级RPM包（如果原先没有安装，则不安装） 2、帐户、口令策略的加固 2．1、删除或禁用系统无用的用户 询问系统管理员，确认其需要使用的帐户 如果下面的用户及其所在的组经过确认不需要，可以删除。 lp, sync, shutdown, halt, news, uucp, operator, games, gopher 修改一些系统帐号的shell变量，例如uucp,ftp和news等，还有一些仅仅需要FTP功能的帐号，检查并取消/bin/bash或者/bin/sh等Shell变量。可以在/etc/passwd中将它们的shell变量设为/bin/false或者/dev/null等。也可以通过passwd groupdel 来锁定用户、删除组。 passwd -l user1锁定user1用户 passwd -u user1解锁user1用户 groupdel lp 删除lp组。

win系统加固方案

w i n系统加固方案 The Standardization Office was revised on the afternoon of December 13, 2020

win10系统加固方案 1、磁盘加密位元锁(Enable BitLocker) Windows 10中的磁盘加密位元锁可以用来加密任何硬盘上的信息，包括启动、系统甚至移动媒体，鼠标右键就可以在选项中加密Windows资源管理器中的数据。用户可以在设置菜单中选择希望加锁的文件，被加密的文件可以被设置为只读，且不能被重新加密。 在保存好Bitlocker信息后关闭电脑，BitLocker的恢复信息存储在计算机的属性文件中，大多数情况下自动备份用户的密码恢复到Active Directory。所以要确保可以访问这些属性，防止丢失密码后无法恢复文件。 2、提升安全级别 Windows 10的用户帐户控制得到较大的改进，在区别合法和非法程序时表现得十分精确、迅速。根据用户的登录方式(管理员或普通用户)默认UAC安全级别设置，可以选择不同敏感度的防御级别。 Windows 10中设计了一个简单的用户帐户控制滚动条，方便管理员或标准用户设置它们的UAC安全级别。

建议将UAC安全级别设置为“始终通知”，请放心Windows 10中遇到的安全通知要比Vista少很多。 虽然UAC功能提供了一个必要的防御机制，但是为了系统的稳定性，请谨慎使用管理员帐户。 3、及时升级 在Windows 10的默认设置中，Windows升级服务将自动下载并安装重要的Windows系统和应用程序的升级包。 有一项研究表明，微软的软件是世界上补丁最多的产品。但是系统并没有提醒你，及时更新其他的非系统软件，比如浏览器、媒体播放器等。黑客们现在都喜欢从这些方面对电脑进行攻击。 4、备份数据 道高一尺，魔高一丈。有的时候真的是防不胜防，即使做了很多努力，当病毒来临时防御措施仍可能变的不堪一击。及时备份重要数据才是王道，这样就算遇到了极具杀伤性的病毒，也可以通过恢复数据轻松解决。 5.关闭默认共享封锁系统后门

服务器安全加固策略研究

不一样的安全思路 服务器加固就是为操作系统安全引入“第三方”机制，对黑客常用的入侵通道增加监控手段，黑客一般针对操作系统的漏洞，绕过操作系统自身的安全机制，但黑客们并不知晓该服务器上的“第三方”机制，入侵就不那么容易得手了。 举个例子：缓冲区溢出是常见的提权攻击手段，成功后通常立即建立后门，为自己提供以后的便利，此时常见的动作有：打开远程控制窗口，提升自己为管理员，上传木马替代系统驱动文件。因为溢出后使用的是管理员的权限，绕过了操作系统的权限管理机制，所以黑客可以随意操作你的服务器；但此时第三方的加固可以阻止这些“非正常”的操作，即使你是管理员的权限。若入侵者不能完成上述动作，溢出攻击成功，但也不能进行后续的攻击手段，也只能为系统带来一次进程的异常退出罢了。 “第三方”机制还可以通过发现这些异常的退出，推断系统内的漏位置，从而确定这些漏洞已经被入侵者关注，可以被直接利用，产生不良后果。 安全加固的几种思路 服务器的安全加固(也称为服务器防入侵加固)思路是在对抗黑客入侵的过程中逐步建立起来的，到目前为止，应该说经历了三个发展阶段：配置加固阶段、合规性加固阶段、反控制加固阶段。 1.配置加固阶段 所谓配置加固就是对操作系统的安全配置进行安全加固升级，提升服务器的安全保护等级。常见的做法有下面几个方面： （1）限制连续密码错误的登录次数，是对抗密码暴力破解的重要手段； （2）拆分系统管理员的权限，取消超级管理员，从而限制入侵者获取管理员账户时的权限；（3）删除不需要的各种账户，避免被攻击者利用； （4）关闭不需要的服务端口，一是减少攻击者的入侵点，二是避免被入侵者当作后门利用；（5）限制远程登录者的权限，尤其是系统管理权限。 配置加固主要是静态安全策略的提升，入侵者入侵后可以再打开或修改这些配置。这种加固方式一般是人工的定期检查与加固，留给入侵者的“窗口”比较大，或者入侵者完成自己的潜伏后，还可以恢复你的配置，把管理者蒙在鼓里。 主机ids可以动态监控上面的安全配置，发现异常进行报警，也可以主动检查“用户”的行为，发现异常及时报警，还可以根据自己的攻击特征库，发现恶意代码进入立即报警…这在一定程度上为入侵者带来了麻烦。 但是主机ids的误报率很高，让管理者不胜其烦，虱子多了不痒，报警多了不理，目前用户选择的越来越少了。另外，很多正常的操作，也产生大量的入侵报警，就像我们安装了防病毒软件，进行其他安装软件时，提示多得让人不知道该怎么做。 2.合规性加固阶段 做信息安全的人都熟悉一个词汇：强制性访问控制。也就是在用户访问数据时，不仅查看访问者的身份，确认他的访问权限，同时还要查看被访问的数据的安全等级，是否与访问者的安全等级相匹配，若不符合安全策略规定，同样拒绝访问。举一个例子：每个用户都可以修改自己账户的密码，所以他应该可以读写系统存储用户口令的文件，但是系统中这个文件里还有其他用户的密码，所以你只能读取这个文件的一个记录而已，而不是文件的全部。此时就需要对查看密码文件用户的安全等级进行比对，区别对待。 合规性加固不只是强制性访问控制，还有很多安全策略的贯彻，比如：三权分立。