当前位置：文档库 › Server系统安全加固

Server系统安全加固

为安装Windows server操作系统的服务器进行系统安全加固

操作系统基本安全加固

补丁安装

使用Windows update安装最新补丁

或者使用第三方软件安装补丁,如360安全卫士

系统帐户、密码策略

1.帐户密码策略修改

“本地计算机”策→计算机配置→windows设置→安全设置→密码策略

密码长度最小值7 字符

密码最长存留期90 天

密码最短存留期30 天

密码必须符合复杂性要求启用

保障帐号以及口令的安全，但是设置帐号策略后可能导致不符合帐号策略的帐号无法登录，需修改不符合帐号策略的密码（注：管理员不受帐号策略限制，但管理员密码应复杂以避免被暴力猜测导致安全风险）

2.帐户锁定策略

账户锁定时间30 分钟

账户锁定阈值5 次无效登录

复位账户锁定计数器30 分钟

有效的防止攻击者猜出您账户的密码

3.更改默认管理员用户名

“本地计算机”策→计算机配置→windows设置→安全设置→本地策略→安全选项

帐户: 重命名管理员帐户

默认管理员帐号可能被攻击者用来进行密码暴力猜测，可能由于太多的错误密码尝试导致该帐户被锁定。建议修改默认管理员用户名

4.系统默认账户安全

Guest 帐户必须禁用；如有特殊需要保留也一定要重命名

TSInternetUser 此帐户是为了“Terminal Services Internet Connector License”使用而存在的，故帐户必须禁用，不会对于正常的Terminal Services的功能有影响

SUPPORT_388945a0 此帐户是为了IT帮助和支持服务，此帐户必须禁用

IUSR_{system} 必须只能是Guest组的成员，此帐户为IIS（Internet Information Server）服务建立

IWAM_{system} 必须只能是Guest组的成员，此帐户为IIS（Internet Information Server）服务建立

日志审核策略

“本地计算机”策→计算机配置→windows设置→安全设置→本地策略→审核策略

审核策略更改成功

审核登录事件无审核

审核对象访问成功, 失败

审核过程追踪无审核

审核目录服务访问无审核

审核特权使用无审核

审核系统事件成功, 失败

审核帐户登录事件成功, 失败

审核帐户管理成功, 失败

对系统事件进行审核，在日后出现故障时用于排查故障

修改日志的大小与上限

开始→控制面板→管理工具→事件察看器

安全策略文件修改下述值：

日志类型大小覆盖方式

应用日志16382K 覆盖早于30 天的事件

安全日志16384K 覆盖早于30 天的事件

系统日志16384K 覆盖早于30 天的事件

网络与服务安全

暂停或禁用不需要的后台服务

开始→运行→输入“services.msc”将下面服务的启动类型设置为手动并停止上述服务

已启动且需要停止的服务包括：

Alerter 服务

Computer Browser 服务

IPSEC Policy Agent 服务

Messenger 服务

Microsoft Search 服务

Print Spooler 服务

RunAs Service 服务

Remote Registry Service 服务

Security Accounts Manager 服务

Task Scheduler 服务

TCP/IP NetBIOS Helper Service 服务

注册表安全性

1.禁止匿名用户连接（空连接）

注册表如下键值：HKLM\SYSTEM\CurrentControlSet\Control\Lsa

“restrictanonymous”的原值为0将该值修改为“1”可以禁止匿名用户列举主机上所有用户、组、共享资源

2.删除主机默认共享

注册表键值HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

名称：Autoshareserver类型:REG_DOWN值:1 删除主机因为管理而开放的共享

注意：这里可能有部分备份软件使用到系统默认共享

3.限制远程注册表远程访问权限

注册表如下键值：HKLM\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg 名称：Description类型:REG_SZ值:Registry Server

4.阻止远程访问系统日志

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application

“本地计算机”策→计算机配置→windows设置→安全设置→本地策略→安全选项网络访问: 可匿名访问的共享

网络访问: 可匿名访问的命名管道

网络访问: 可远程访问的注册表路径

网络访问: 可远程访问的注册表路径和子路径

网络访问: 限制对命名管道和共享的匿名访问

5.禁用自动运行功能

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer

名称：NoDriveTypeAutoRun类型:REG_DWORD值:0xFF

文件系统加固

注意：文件的权限修改使用cmd命令行下面cacls命令修改，不要直接使用图像界面修改%SystemDrive%\Boot.ini Administrators：完全控制System：完全控制

%SystemDrive%\https://www.wendangku.net/doc/17355121.html, Administrators：完全控制System：完全控制

%SystemDrive%\Ntldr Administrators：完全控制System：完全控制

%SystemDrive%\Io.sys Administrators：完全控制System：完全控制

%SystemDrive%\Autoexec.bat Administrators：完全控制System：完全控制Authenticated Users：读取和执行、列出文件夹内容、读取

%systemdir%\config Administrators：完全控制System：完全控制Authenticated Users：读取和执行、列出文件夹内容、读取

%SystemRoot%\Downloaded Program Files Administrators：完全控制System：完全控制Everyone:读取

%SystemRoot%\ Fonts Administrators：完全控制System：完全控制Everyone:读取

%SystemRoot%\Tasks Administrators：完全控制System：完全控制

%SystemRoot%\system32\Append.exe Administrators：完全控制

%SystemRoot%\system32\Arp.exe Administrators：完全控制

%SystemRoot%\system32\At.exe Administrators：完全控制

%SystemRoot%\system32\Attrib.exe Administrators：完全控制

%SystemRoot%\system32\Cacls.exe Administrators：完全控制

%SystemRoot%\system32\Change.exe Administrators：完全控制

%SystemRoot%\system32\https://www.wendangku.net/doc/17355121.html, Administrators：完全控制

%SystemRoot%\system32\Chglogon.exe Administrators：完全控制

%SystemRoot%\system32\Chgport.exe Administrators：完全控制

%SystemRoot%\system32\Chguser.exe Administrators：完全控制

%SystemRoot%\system32\Chkdsk.exe Administrators：完全控制

%SystemRoot%\system32\Chkntfs.exe Administrators：完全控制

%SystemRoot%\system32\Cipher.exe Administrators：完全控制

%SystemRoot%\system32\Cluster.exe Administrators：完全控制

%SystemRoot%\system32\Cmd.exe Administrators：完全控制

%SystemRoot%\system32\Compact.exe Administrators：完全控制

%SystemRoot%\system32\https://www.wendangku.net/doc/17355121.html, Administrators：完全控制

%SystemRoot%\system32\Convert.exe Administrators：完全控制

%SystemRoot%\system32\Cscript.exe Administrators：完全控制

%SystemRoot%\system32\Debug.exe Administrators：完全控制

%SystemRoot%\system32\https://www.wendangku.net/doc/17355121.html, Administrators：完全控制%SystemRoot%\system32\https://www.wendangku.net/doc/17355121.html, Administrators：完全控制%SystemRoot%\system32\Doskey.exe Administrators：完全控制

%SystemRoot%\system32\Edlin.exe Administrators：完全控制

%SystemRoot%\system32\Exe2bin.exe Administrators：完全控制%SystemRoot%\system32\Expand.exe Administrators：完全控制

%SystemRoot%\system32\Fc.exe Administrators：完全控制

%SystemRoot%\system32\Find.exe Administrators：完全控制

%SystemRoot%\system32\Findstr.exe Administrators：完全控制

%SystemRoot%\system32\Finger.exe Administrators：完全控制

%SystemRoot%\system32\Forcedos.exe Administrators：完全控制%SystemRoot%\system32\https://www.wendangku.net/doc/17355121.html, Administrators：完全控制%SystemRoot%\system32\Ftp.exe Administrators：完全控制

%SystemRoot%\system32\Hostname.exe Administrators：完全控制%SystemRoot%\system32\Iisreset.exe Administrators：完全控制

%SystemRoot%\system32\Ipconfig.exe Administrators：完全控制%SystemRoot%\system32\Ipxroute.exe Administrators：完全控制%SystemRoot%\system32\Label.exe Administrators：完全控制

%SystemRoot%\system32\Logoff.exe Administrators：完全控制

%SystemRoot%\system32\Lpq.exe Administrators：完全控制

%SystemRoot%\system32\Lpr.exe Administrators：完全控制

%SystemRoot%\system32\Makecab.exe Administrators：完全控制%SystemRoot%\system32\Mem.exe Administrators：完全控制

%SystemRoot%\system32\Mmc.exe Administrators：完全控制

%SystemRoot%\system32\https://www.wendangku.net/doc/17355121.html, Administrators：完全控制

%SystemRoot%\system32\Mountvol.exe Administrators：完全控制%SystemRoot%\system32\Msg.exe Administrators：完全控制

%SystemRoot%\system32\Nbtstat.exe Administrators：完全控制

%SystemRoot%\system32\Net.exe Administrators：完全控制

%SystemRoot%\system32\Net1.exe Administrators：完全控制

%SystemRoot%\system32\Netsh.exe Administrators：完全控制

%SystemRoot%\system32\Netstat.exe Administrators：完全控制

%SystemRoot%\system32\Nslookup.exe Administrators：完全控制%SystemRoot%\system32\Ntbackup.exe Administrators：完全控制%SystemRoot%\system32\Ntsd.exe Administrators：完全控制

%SystemRoot%\system32\Pathping.exe Administrators：完全控制%SystemRoot%\system32\Ping.exe Administrators：完全控制

%SystemRoot%\system32\Print.exe Administrators：完全控制

%SystemRoot%\system32\Query.exe Administrators：完全控制

%SystemRoot%\system32\Rasdial.exe Administrators：完全控制

%SystemRoot%\system32\Rcp.exe Administrators：完全控制

%SystemRoot%\system32\Recover.exe Administrators：完全控制

%SystemRoot%\system32\Regedt32.exe Administrators：完全控制

%SystemRoot%\system32\Regini.exe Administrators：完全控制

%SystemRoot%\system32\Register.exe Administrators：完全控制

%SystemRoot%\system32\Regsvr32.exe Administrators：完全控制

%SystemRoot%\system32\Replace.exe Administrators：完全控制

%SystemRoot%\system32\Reset.exe Administrators：完全控制

%SystemRoot%\system32\Rexec.exe Administrators：完全控制

%SystemRoot%\system32\Route.exe Administrators：完全控制

%SystemRoot%\system32\Routemon.exe Administrators：完全控制

%SystemRoot%\system32\Router.exe Administrators：完全控制

%SystemRoot%\system32\Rsh.exe Administrators：完全控制

%SystemRoot%\system32\Runas.exe Administrators：完全控制

%SystemRoot%\system32\Runonce.exe Administrators：完全控制

%SystemRoot%\system32\Secedit.exe Administrators：完全控制

%SystemRoot%\system32\Setpwd.exe Administrators：完全控制

%SystemRoot%\system32\Shadow.exe Administrators：完全控制

%SystemRoot%\system32\Share.exe Administrators：完全控制

%SystemRoot%\system32\Snmp.exe Administrators：完全控制

%SystemRoot%\system32\Snmptrap.exe Administrators：完全控制

%SystemRoot%\system32\Subst.exe Administrators：完全控制

%SystemRoot%\system32\Telnet.exe Administrators：完全控制

%SystemRoot%\system32\Termsrv.exe Administrators：完全控制

%SystemRoot%\system32\Tftp.exe Administrators：完全控制

%SystemRoot%\system32\Tlntadmin.exe Administrators：完全控制

%SystemRoot%\system32\Tlntsess.exe Administrators：完全控制

%SystemRoot%\system32\Tlntsvr.exe Administrators：完全控制

%SystemRoot%\system32\Tracert.exe Administrators：完全控制

%SystemRoot%\system32\https://www.wendangku.net/doc/17355121.html, Administrators：完全控制

%SystemRoot%\system32\Tsadmin.exe Administrators：完全控制

%SystemRoot%\system32\Tscon.exe Administrators：完全控制

%SystemRoot%\system32\Tsdiscon.exe Administrators：完全控制

%SystemRoot%\system32\Tskill.exe Administrators：完全控制

%SystemRoot%\system32\Tsprof.exe Administrators：完全控制

%SystemRoot%\system32\Tsshutdn.exe Administrators：完全控制

%SystemRoot%\system32\https://www.wendangku.net/doc/17355121.html, Administrators：完全控制

%SystemRoot%\system32\Wscript.exe Administrators：完全控制

%SystemRoot%\system32\Xcopy.exe Administrators：完全控制

对特定文件权限进行限制，禁止Guests 用户组意外访问这些文件

网络安全访问

关闭闲置和有潜在危险的端口，将除了用户需要用到的正常计算机端口之外的其他端口都关闭掉

屏蔽端口

系统防火墙

第三方防火墙

使用“IP安全策略”控制端口访问

开始→设置→控制面板→管理工具→本地安全策略

在“IP安全策略，在本地计算机”右键“创建IP安全策略”

在点击下一步后会弹出一个警告窗口，按确定就可以

点击添加。使用“添加向导”

上面可以选者应用的网络范围

这里可以定制访问具体的地址范围

下面选者协议的类型

端口的范围

针对不同的筛选器设置行为

指派新创建的安全策略

软件运行权限控制

手动打开“软件运行权限控制”三个安全等级：基本用户、受限的、不信任等级打开注册表编辑器，展开至

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers 新建一个DWORD值，命名为Levels，其值可以为

0x10000 //增加受限的

0x20000 //增加基本用户

0x30000 //增加受限的，基本用户

0x31000 //增加受限的，基本用户，不信任的

设成0x31000（即4131000）即可

Windows系统安全加固技术指导书

甘肃海丰信息科技有限公司Windows系统安全加固技术指导书 ◆版本◆密级【绝密】 ◆发布甘肃海丰科技◆编号GSHF-0005-OPM- ?2006-2020 HIGHFLYER INFORMATION TECHNOLOGY ,INC.

目录文档信息 (2) 前言 (3) 一、编制说明 (3) 二、参照标准文件 (3) 三、加固原则 (3) 1.业务主导原则 (3) 2.业务影响最小化原则 (4) 3.实施风险控制 (4) (一)主机系统 (4) (二)数据库或其他应用 (4) 4.保护重点 (5) 5.灵活实施 (5) 6.周期性的安全评估 (5) 四、安全加固流程 (5) 1.主机分析安全加固 (6) 2.业务系统安全加固 (7) 五、W INDOWS 2003操作系统加固指南 (8) 1.系统信息 (8) 2.补丁管理 (8) (一)补丁安装 (8) 3.账号口令 (8) (一)优化账号 (8) (二)口令策略 (8) 4.网络服务 (9) (三)优化服务 (9) (四)关闭共享 (9) (五)网络限制 (10) 5.文件系统 (10) (一)使用NTFS (10) (二)检查Everyone权限 (10) (三)限制命令权限 (10) 6.日志审核 (11) (一)增强日志 (11) (二)增强审核 (11)

文档信息 ■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属甘肃海丰所有，受到有关产权及版权法保护。任何个人、机构未经甘肃海丰的书面授权许可，不得以任何方式复制或引用本文的任何片断。 ■变更记录时间版本说明修改人 2008-07-09新建本文档郑方 2009-05-27修正了4处错误、删除了IIS5加固部分郑方 2010-10-11新增加固IIS6、SQL2000加固操作指南郑方

Windows服务器安全加固方案

P43页 Windows 2008服务器安全加固方案来源：中国红盟时间：2010-1-27 9:09:00 点击：201 今日评论：0 条Windows 2008服务器安全加固方案(一）因为IIS(即Internet Information Server)的方便性和易用性，使它成为最受欢迎的Web 服务器软件之一。但是，IIS的安全性却一直令人担忧。如何利用IIS建立一个安全的Web 服务器，是很多人关心的话题。要创服务器安全检测建一个安全可靠的Web服务器，必须要实现Windows 2003和IIS的双重安全，因为IIS的用户同时也是Windows 2003的用户，并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制，所以保护IIS安全的第一步就是确保Windows 2000操作系统的安全，所以要对服务器进行安全加固，以免遭到黑客的攻击，造成严重的后果。我们通过以下几个方面对您的系统进行安全加固： 1. 系统的安全加固：我们通过配置目录权限，系统安全策略，协议栈加强，系统服务和访问控制加固您的系统，整体提高服务器的安全性。 2. IIS手工加固：手工加固iis可以有效的提高iweb站点的安全性服务器安全加固，合理分配用户权限，配置相应的安全策略，有效的防止iis用户溢出提权。 3. 系统应用程序加固，提供应用程序的安全性，例如sql的安全配置以及服务器应用软件的安全加固。系统的安全加固： 1.目录权限的配置： 1.1 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权，之后再对其下的子目录作单独的目录权限，如果WEB站点目录，你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限，如果想使网站更加坚固，可以分配只读权限并对特殊的目录作可写权限。 1.2 系统所在分区下的根目录都要设置为不继承父权限，之后为该分区只赋予Administrators 和SYSTEM有完全控制权。 1.3 因为服务器只有管理员有本地登录权限，所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权，其下的子目录同样。另外还有一个隐藏目录也需要同样操作。因为如果你安装有PCAnyWhere那么他的的配置信息都保存在其下，使用webshell或FSO可以轻松的调取这个配置文件。 1.4 配置Program files目录，为Common Files目录之外的所有目录赋予Administrators和SYSTEM有完全控制权。

安全运维服务方案

1概述 1.1服务范围和服务内容本次服务范围为XX局信息化系统硬件及应用系统，各类软硬件均位于XX局第一办公区内，主要包括计算机终端、打印机、服务器、存储设备、网络（安全）设备以及应用系统。服务内容包括日常运维服务（驻场服务）、专业安全服务、主要硬件设备维保服务、主要应用软件系统维保服务、信息化建设咨询服务等。 1.2服务目标 ●保障软硬件的稳定性和可靠性； ●保障软硬件的安全性和可恢复性； ●故障的及时响应与修复； ●硬件设备的维修服务； ●人员的技术培训服务； ●信息化建设规划、方案制定等咨询服务。 2系统现状 2.1网络系统 XX局计算机网络包括市电子政务外网（简称外网）、市电子政务内网（简称内网）以及全国政府系统电子政务专网（简称专网）三部分。内网、外网、专网所有硬件设备集中于XX局机房各个独立区域，互相物理隔离。外网与互联网逻辑隔离，主要为市人大建议提案网上办理、XX局政务公开等应用系统提供网络平台，为市领导及XX局各处室提供互联网服务。外网安全加固措施：WSUS服务器、瑞星杀毒软件服务器为各联网终端提供系统补丁分发和瑞星杀毒软件管理服务，建立IPS、防火墙等基本网络安全措施。内网与外网和互联网物理隔离，为XX局日常公文流转、公文处理等信息化系统提供基础网络平台。内网安全加固措施：WSUS服务器、瑞星杀毒软件服务器为各联网终端提供系统补丁分发和瑞星杀毒软件管理服务；配备防火墙实现内网中服务器区域间的逻辑隔离及安全区域间的访问控制，重点划分服务器区，实现相应的访问控制策略。专网由XX局电子政务办公室统一规划建设，专网和互联网、内网及其他非涉密网络严格物理隔离，目前主要提供政务信息上报服务和邮件服务。

win10系统加固方案

win10系统加固方案 1、磁盘加密位元锁(Enable BitLocker) Windows 10中的磁盘加密位元锁可以用来加密任何硬盘上的信息，包括启动、系统甚至移动媒体，鼠标右键就可以在选项中加密Windows资源管理器中的数据。用户可以在设置菜单中选择希望加锁的文件，被加密的文件可以被设置为只读，且不能被重新加密。在保存好Bitlocker信息后关闭电脑，BitLocker的恢复信息存储在计算机的属性文件中，大多数情况下自动备份用户的密码恢复到Active Directory。所以要确保可以访问这些属性，防止丢失密码后无法恢复文件。 2、提升安全级别 Windows 10的用户帐户控制得到较大的改进，在区别合法和非法程序时表现得十分精确、迅速。根据用户的登录方式(管理员或普通用户)默认UAC安全级别设置，可以选择不同敏感度的防御级别。 Windows 10中设计了一个简单的用户帐户控制滚动条，方便管理员或标准用户设置它们的UAC安全级别。

建议将UAC安全级别设置为“始终通知”，请放心Windows 10中遇到的安全通知要比Vista少很多。虽然UAC功能提供了一个必要的防御机制，但是为了系统的稳定性，请谨慎使用管理员帐户。 3、及时升级在Windows 10的默认设置中，Windows升级服务将自动下载并安装重要的Windows系统和应用程序的升级包。有一项研究表明，微软的软件是世界上补丁最多的产品。但是系统并没有提醒你，及时更新其他的非系统软件，比如浏览器、媒体播放器等。黑客们现在都喜欢从这些方面对电脑进行攻击。 4、备份数据道高一尺，魔高一丈。有的时候真的是防不胜防，即使做了很多努力，当病毒来临时防御措施仍可能变的不堪一击。及时备份重要数据才是王道，这样就算遇到了极具杀伤性的病毒，也可以通过恢复数据轻松解决。 5.关闭默认共享封锁系统后门同XP、Vista一样，在默认情况下也开启了网络共享。虽然这可以让局域网共享更加方便，但同时也为病毒传播创造了条件。因此关闭默认共享，可以大大降低系统被病毒感染的概率。Windows在默认情况下会开启以下隐藏管理共享：

Windows服务器安全加固

服务器安全加固(以Windows Server 2008为示例,Windows server 2003与Windows Server 2012根据实际需要进行修正) 1、服务器登录安全加固 1）为登录用户添加密码,密码长度在10位以上,并满足密码包括字母数字与特殊字符组成等复杂度要求。(请回答) 2）禁用系统多余帐号,如不需要Guest帐号访问服务器,则应禁用。(请截图) 3）设置Windows用户密码策略,可通过“控制面板－管理工具－本地安全策略”中“帐序号属性可选择值 1 密码必须符合复杂性要求已启用 2 密码长度最小值10个字符 3 密码最短使用期限5天 4 密码最长使用期限40天 5 强制密码历史3次 6 用可还原得加密来储存密码已禁用 4）设置Windows系统非法登录锁定次数,可通过“控制面板－管理工具－本地安全策略”中“帐户策略”下得“帐户锁定策略”进行安全加固,参数设置参考如下;(请截序号属性可选择值 1 帐户锁定阈值5次 2 帐户锁定时间10分钟 2、服务器安全事件审核安全加固。(请截图) 1）设置Windows服务器安全事件审核策略,可通过“控制面板－管理工具－本地安全策略”中“本地策略”下得“审核策略”进行安全设置,将其下得所有审核都设置成

“成功”、“失败”(默认为“无审核”)。 2）设置日志系统得安全加固,打开“控制面板－管理工具－事件查瞧器”中,在“Windows 日志”中选择一个日志类型,右击鼠标,设置“属性”得存储大小不小于512KB(4096KB);覆盖周期不小于15天(60天)。(请截图)

3、关闭服务器共享资源,可通过“控制面板－管理工具－计算机管理”中,选择“共享文件夹－共享”查瞧系统共享资源,删除不必要得多余共享资源。(请截图) 4、自动锁屏设置桌面点击右键－属性－屏幕保护程序,设置服务器自动锁屏时间为3分钟(参考)。(请截图)

Linu系统主机安全加固

L i n u系统主机安全加固 SANY标准化小组 #QS8QHH-HHGX8Q8-GNHHJ8-HHMHGN#

Linux主机安全加固 V1.0 hk有限公司二零一五年二月一、修改密码策略 1、cp/etc/login.defs/etc/ 2、vi/etc/login.defs PASS_MAX_DAYS90（用户的密码不过期最多的天数） PASS_MIN_DAYS0（密码修改之间最小的天数） PASS_MIN_LEN8（密码最小长度） PASS_WARN_AGE7(口令失效前多少天开始通知用户更改密码) 按要求修改这几个密码选项，修改完之后保存（：wq!）退出即可。二、查看系统是否已设定了正确UMASK值（022） 1、用命令umask查看umask值是否是022，如果不是用下面命令进行修改： /etc/profile/etc/profile.bak vi/etc/profile 找到umask022，修改这个数值即可。三、锁定系统中不必要的系统用户和组 1、cp/etc/passwd/etc/passwd.bak cp/etc/shadow/etc/shadow.bak 锁定下列用户 2、foriinadmlpsyncnewsuucpgamesftprpcrpcusernfsnobodymailnullgdmdo usermod- L$idone 3、检查是否锁定成功 more/etc/shadow如：lp:!*:15980:0:99999:7:::lp帐户后面有！号为已锁定。 4、禁用无关的组：备份： cp/etc/group/etc/group.bak

信息系统安全加固描述

一．安全加固概述网络设备与操作系统加固和优化服务是实现客户信息系统安全的关键环节。通过使用该项服务，将在客户信息系统的网络层、主机层等层次建立符合客户安全需求的安全状态，并以此作为保证客户信息系统安全的起点。网络设备与操作系统加固和优化服务的目的是通过对主机和网络设备所存在安全问题执行以下操作： ●网络设备与操作系统的安全配置； ●系统安全风险防范； ●提供系统使用和维护建议； ●安装最新安全补丁（根据风险决定是否打补丁）；上述工作的结果决定了网络设备与操作系统加固和优化的流程、实施的内容、步骤和复杂程度。具体说，则可以归纳为：（1）加固目标也就是确定系统在做过加固和优化后，达到的安全级别，通常不同环境下的系统对安全级别的要求不同，由此采用的加固方案也不同。（2）明确系统运行状况的内容包括: ●系统的具体用途,即明确系统在工作环境下所必需开放的端口和服务等。 ●系统上运行的应用系统及其正常所必需的服务。 ●我们是从网络扫描及人工评估里来收集系统的运行状况的。（3）明确加固风险：网络设备与操作系统加固是有一定风险的，一般可能的风险包括停机、应用程序不能正常使用、最严重的情况是系统被破坏无法使用。这些风险一般是由于系统运行状况调查不清导致，也有因为加固方案的代价分析不准确，误操作引起。因此在加固前做好系统备份是非常重要的。二．加固和优化流程概述网络设备与操作系统加固和优化的流程主要由以下四个环节构成：

1. 状态调查对系统的状态调查的过程主要是导入以下服务的结果： ●系统安全需求分析 ●系统安全策略制订 ●系统安全风险评估(网络扫描和人工评估) 对于新建的系统而言，主要是导入系统安全需求分析和系统安全策略制订这两项服务的结果。在导入上述服务的结果后，应确定被加固系统的安全级别，即确定被加固系统所能达到的安全程度。同时，也必须在分析上述服务结果的基础上确定对网络与应用系统加固和优化的代价。 2. 制订加固方案制订加固方案的主要内容是根据系统状态调查所产生的结果制订对系统实施加固和优化的内容、步骤。 3. 实施加固对系统实施加固和优化主要内容包含以下两个方面： ●对系统进行加固 ●对系统进行测试对系统进行测试的目的是检验在对系统实施安全加固后，系统在安全性和功能性上是否能够满足客户的需求。上述两个方面的工作是一个反复的过程，即每完成一个加固或优化步骤后就要测试系统的功能性要求和安全性要求是否满足客户需求；如果其中一方面的要求不能满足，该加固步骤就要重新进行。对有些系统会存在加固失败的情况，如果发生加固失败，则根据客户的选择，要么放弃加固，要么重建系统。 4. 生成加固报告加固报告是向用户提供完成网络与应用系统加固和优化服务后的最终报告。其中包含以下内容：

Windows系统安全加固

第二章 Windows系统安全加固 Windows Server 2003操作系统，具有高性能、高可靠性和高安全性等特点。Windows Server 2003在默认安装的时候，基于安全的考虑已经实施了很多安全策略，但由于服务器操作系统的特殊性，在默认安装完成后还需要张先生对其进行安全加固，进一步提升服务器操作系统的安全性，保证应用系统以及数据库系统的安全。在安装Windows Server 2003操作系统时，为了提高系统的安全性，张先生按系统建议，采用最小化方式安装，只安装网络服务所必需的组件。如果以后有新的服务需求，再安装相应的服务组件，并及时进行安全设置。在完成操作系统安装全过程后，要对Windows系统安全性方面进行加固，系统加固工作主要包括账户安全配置、密码安全配置、系统安全配置、服务安全配置以及禁用注册表编辑器等内容，从而使得操作系统变得更加安全可靠，为以后的工作提供一个良好的环境平台。操作系统的安全是整个计算机系统安全的基础，其安全问题日益引起人们的高度重视。作为用户使用计算机和网络资源的操作界面，操作系统发挥着十分重要的作用。因此，操作系统本身的安全就成了安全防护的头等大事。一、操作系统安全的概念操作系统的安全防护研究通常包括以下几个方面的内容：（1）操作系统本身提供的安全功能和安全服务。目前的操作系统本身往往要提供一定的访问控制、认证与授权等方面的安全服务，如何对操作系统本身的安全性能进行研究和开发使之符合选定的环境和需求；（2）针对各种常用的操作系统，进行相关配置，使之能正确对付和防御各种入侵；（3）保证操作系统本身所提供的网络服务能得到安全配置。一般来说，如果说一个计算机系统是安全的，那么是指该系统能够控制外部对系统信息的访问。也就是说，只有经过授权的用户或代表该用户运行的进程才能读、写、创建或删除信息。操作系统内的活动都可以认为是主体对计算机系统内部所有客体的一系列操作。主体是指发出访问操作、存取请求的主动方，它包括用户、用户组、主机、终端或应用进程等。主体可以访问客体。客体是指被调用的程序或要存取的数据访问，它包括文件、程序、内存、目录、队列、进程间报文、I/O设备和物理介质等。主体对客体的安全访问策略是一套规则，可用于确定一个主体是否对客体拥有访问能力。一般所说的操作系统的安全通常包含两方面的含义：①操作系统在设计时通过权限访问控制、信息加密性保护、完整性鉴定等机制实现的安全；②操作系统在使用中，通过一系列的配置，保证操作系统避免由于实现时的缺陷或是应用环境因素产生的不安全因素。只有在这两方面同时努力，才能够最

Win2003安全加固方案

目录一、安全加固配置说明..........................................................................................................- 2 - 1.1安全加固配置目的............................................................................................................- 2 - 1.2适用系统...........................................................................................................................- 2 - 1.3相关说明...........................................................................................................................- 2 - 二、主机加固方案..................................................................................................................- 2 - 2.1 操作系统加固方案...........................................................................................................- 2 - 2.1.1 安全补丁检测及安装............................................................................................- 2 - 2.1.2 系统用户口令及策略加固....................................................................................- 3 - 2.1.3日志及审核策略配置.............................................................................................- 4 - 2.1.4 安全选项策略配置................................................................................................- 6 - 2.1.5 用户权限策略配置..............................................................................................- 12 - 2.1.6 注册表安全设置..................................................................................................- 14 - 2.1.7 网络与服务加固..................................................................................................- 16 - 2.1.8 其他安全性加固..................................................................................................- 18 -

Server系统安全加固

为安装Windows server操作系统的服务器进行系统安全加固操作系统基本安全加固补丁安装使用Windows update安装最新补丁或者使用第三方软件安装补丁,如360安全卫士系统帐户、密码策略 1.帐户密码策略修改 “本地计算机”策→计算机配置→windows设置→安全设置→密码策略密码长度最小值7 字符密码最长存留期90 天密码最短存留期30 天密码必须符合复杂性要求启用保障帐号以及口令的安全，但是设置帐号策略后可能导致不符合帐号策略的帐号无法登录，需修改不符合帐号策略的密码（注：管理员不受帐号策略限制，但管理员密码应复杂以避免被暴力猜测导致安全风险） 2.帐户锁定策略账户锁定时间30 分钟账户锁定阈值5 次无效登录复位账户锁定计数器30 分钟有效的防止攻击者猜出您账户的密码 3.更改默认管理员用户名 “本地计算机”策→计算机配置→windows设置→安全设置→本地策略→安全选项帐户: 重命名管理员帐户默认管理员帐号可能被攻击者用来进行密码暴力猜测，可能由于太多的错误密码尝试导致该帐户被锁定。建议修改默认管理员用户名 4.系统默认账户安全 Guest 帐户必须禁用；如有特殊需要保留也一定要重命名 TSInternetUser 此帐户是为了“Terminal Services Internet Connector License”使用而存在的，故帐户必须禁用，不会对于正常的Terminal Services的功能有影响 SUPPORT_388945a0 此帐户是为了IT帮助和支持服务，此帐户必须禁用 IUSR_{system} 必须只能是Guest组的成员，此帐户为IIS（Internet Information Server）服务建立 IWAM_{system} 必须只能是Guest组的成员，此帐户为IIS（Internet Information Server）服务建立日志审核策略 “本地计算机”策→计算机配置→windows设置→安全设置→本地策略→审核策略审核策略更改成功审核登录事件无审核审核对象访问成功, 失败审核过程追踪无审核审核目录服务访问无审核

网络安全加固最新解决方案模板

网络安全加固最新解决方案

网络系统安全加固方案北京*****有限公司 3月

目录 1 项目介绍 .............................................................. 错误!未定义书签。 1.1 项目背景................................................... 错误!未定义书签。 1.2 项目目标................................................... 错误!未定义书签。 1.3 参考标准................................................... 错误!未定义书签。 1.4 方案设计原则 ........................................... 错误!未定义书签。 1.5 网络系统现状 ........................................... 错误!未定义书签。 2 网络系统升级改造方案....................................... 错误!未定义书签。 2.1 网络系统建设要求 ................................... 错误!未定义书签。 2.2 网络系统升级改造方案 ........................... 错误!未定义书签。 2.3 网络设备部署及用途 ............................... 错误!未定义书签。 2.4 核心交换及安全设备UPS电源保证 ....... 错误!未定义书签。 2.5 网络系统升级改造方案总结.................... 错误!未定义书签。 3 网络系统安全加固技术方案............................... 错误!未定义书签。 3.1 网络系统安全加固建设要求.................... 错误!未定义书签。 3.2 网络系统安全加固技术方案.................... 错误!未定义书签。 3.3 安全设备部署及用途 ............................... 错误!未定义书签。 3.4 安全加固方案总结 ................................... 错误!未定义书签。 4 产品清单 .............................................................. 错误!未定义书签。

【原创】Windows 2008 R2服务器的安全加固

【原创】Windows 2008 R2服务器的安全加固最近托管了一台2U服务器到机房，安装的是Windows 2008系统，打算用IIS做web server，因此需要把没用的端口、服务关闭，减小风险。我发现现在网络上有价值的东西实在是太少了，很多人都是转载来转载去，学而不思，没有一点营养。还是自己总结总结吧，大概有以下几步： 1. 如何关掉IPv6？这一点国内国外网站上基本上都有了共识，都是按照下面两步来进行。据说执行之后就剩本地换回路由还没关闭。但关闭之后我发现某些端口还是同时监听ipv4和ipv6的端口，尤其是135端口，已经把ipv4关闭了， ipv6竟然还开着。匪夷所思啊…… 先关闭网络连接->本地连接->属性->Internet协议版本 6 (TCP/IPv6) 然后再修改注册表： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Paramete 增加一个Dword项，名字：DisabledComponents，值：ffffffff（十六位的8个f）重启服务器即可关闭ipv6 2. 如何关闭135端口？这个破端口是RPC服务的端口，以前出过很多问题，现在貌似没啥漏洞了，不过还是心有余悸啊，想关的这样关：开始->运行->dcomcnfg->组件服务->计算机->我的电脑->属性->默认属性->关闭“在此计算机上启用分布式COM”->默认协议->移除“面向连接的 TCP/IP” 但是感觉做了以上的操作还能看到135在Listen状态，还可以试试这样。在cmd中执行：netsh rpc add 127.0.0.0，这样135端口只监听 127.0.0.1了。 3. 如何关闭445端口？ 445端口是netbios用来在局域网内解析机器名的服务端口，一般服务器

安全加固手册

安全加固手册 8.2 系统安全值设置 8.2.1 查看目前系统值: WRKSYSV AL 一个一个顺序在终端上显示或者 DSPSYSVAL SYSV AL （system value） 8.2.2 系统安全级别推荐设置为40 QSECURITY 40 10 没有用户认证，没有资源保护 20 用户使用密码认证，没有资源保护 30 用户认证和默认的资源保护 40 跟 30 相似，但是控制了特权指令和设备的接口（在客户端被认为具有高的风险的时候应用安全级别40。他会限制对对象，其他工作的数据和系统内部程序的直接访问） 50 增强型的安全访问控制，达到真正的 C2 级安全控制 8.2.3 建议设置口令复杂度策略 QPWDVLDPGM *NONE 无密码检测 8.2.4 密码长度最小密码长度 QPWDMINLEN 6 最大密码长度 QPWDMAXLEN 10 8.2.5 设置帐户最大尝试登陆次数 QMAXSIGN 3（默认值）达到最大尝试次数措施 QMAXSGNACN 3（默认值） 1 禁用终端 2 禁用用户配置文件 3 全部

（注 :建议根据自己的情况选择，禁用终端后，可能会给别人的造成误解，怀疑设备损坏。管理员要十分清楚该参数的含义） 8.2.6 设置密码有效期 QPWDEXPITV 30-90 *NOMAX 不限 1-366 天 QPWDRQDDIF 1 0 可以和以前的历史记录中的 32 个密码一样 1 必须和以前的历史记录中的 3 2 个密码不同 8.2.7 限制安全设备登陆 QLMTSECOFR 1 0 允许所有有 *ALLOBJ 授权的用户在任意显示终端登陆，有 *SERVICE 授权的用户可以使用*CHANGE 公开认证手段登陆到任意显示终端 1 不允许有 *ALLOBJ 或 *SERVICE 的用户登陆到任一显示终端上（主控制台除外），除非他们有特别的授权允许访问 8.2.8 设置超时策略 QINACTITV 无活动的任务超时 *NONE: 无超时 5-300 超时最大允许时间（分钟）推荐 15 非授权用户在某个时间段无操作，系统将会根据该参数值决定是否断开当前的session。认证用户通过再次登陆，可以继续以前session 所保留的屏幕。当设置中断连接任务（*DSCJOB ）值去中断任意交互式登陆。 8.2.9 限制设备sessions QLMTDEVSSN 0 不限制一个终端的特定用户 ID 的在同一时刻的使用数 1 限制同一时刻只能有一个特定用户登录到这台工作站 8.2.10 用户登录信息是否显示在屏幕上 QDSPSGNINF 0 在用户登录时 ,登陆信息不显示 1 以下信息会被显示最后登陆时间从上次登陆以来的失败登陆密码 7 天或之内密码将要过期的警告

服务器主机操作系统安全加固方案

主机问题解决方案部分主机未禁用GUEST 账户，需禁用所有主机Guest 账号（只适用于windows）。旗标曝露操作系统的版本： AIX : 修改/etc/motd 中的内容为“ hello ” “ welcome” 或其他，以覆盖系统版本信息。 HP-UNIX 修改/etc/issue 中的内容。超时退出功能，已加固部分服务器，剩余服务器，Windows 设置屏保，时间为10 分钟以内，启用屏保密码功能。HP-UNIX：修改/etc/profile 文件，增加TMOUT值，建议设定600以内。AIX：编辑/etc/profile 文件，添加TMOUT参数设置，例如TMOUT=600 以内，系统600 秒无操作后将自动执行帐户注销操作。明文管理方式，部分设备目前还需要使用TELNET 服务，逐步关闭，建议采用SSH ，在网络和主机层面逐步关闭TELNET协议，禁用TELNET启用SSH协议（适用于AIX与HP-UNIX）： 1.禁用telnet vi /etc/inetd.conf 把telnet 行注释掉，然后refresh -s inetd 2.加速ssh 的登录第一: 如有/etc/resolv.conf ，rm 掉第二：vi /etc/ssh/sshd_config 去掉注释userDns , 把yes 改

为no stopsrs -s sshd startsrc -s sshd 未关闭远程桌面，易受本地局域网恶意用户攻击，需转运行后，在网络层面增加访问控制策略。允许root 账户远程登录，各网省建立专用账号实现远程管理，关闭root 账号运程管理功能在。主机操作系统提供FTP 服务，匿名用户可访问，易导致病毒的传播，禁用AIX 自身的FTP 服务（适用于AIX 与HP-UNIX） 1、编辑/etc/inetd.conf 将ftpd 一项注释； 2、refresh -s inetd 。其它FTP服务软件使用注意：先关闭所有FTP服务，用时开启，用完后关闭。

服务器安全加固

因为IIS(即Internet Information Server)的方便性和易用性，使它成为最受欢迎的Web 服务器软件之一。但是，IIS的安全性却一直令人担忧。如何利用IIS建立一个安全的Web 服务器，是很多人关心的话题。要创建一个安全可靠的Web服务器，必须要实现Windows 2003和IIS的双重安全，因为IIS的用户同时也是Windows 2003的用户，并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制，所以保护IIS安全的第一步就是确保Windows 2000操作系统的安全，所以要对服务器进行安全加固，以免遭到黑客的攻击，造成严重的后果。我们通过以下几个方面对您的系统进行安全加固： 1. 系统的安全加固：我们通过配置目录权限，系统安全策略，协议栈加强，系统服务和访问控制加固您的系统，整体提高服务器的安全性。 2. IIS手工加固：手工加固iis可以有效的提高iweb站点的安全性，合理分配用户权限，配置相应的安全策略，有效的防止iis用户溢出提权。 3. 系统应用程序加固，提供应用程序的安全性，例如sql的安全配置以及服务器应用软件的安全加固。系统的安全加固： 1.目录权限的配置： 1.1 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权，之后再对其下的子目录作单独的目录权限，如果WEB站点目录，你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限，如果想使网站更加坚固，可以分配只读权限并对特殊的目录作可写权限。 1.2 系统所在分区下的根目录都要设置为不继承父权限，之后为该分区只赋予Administrators和SYSTEM有完全控制权。 1.3 因为服务器只有管理员有本地登录权限，所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权，其下的子目录同样。另外还有一个隐藏目录也需要同样操作。因为如果你安装有PCAnyWhere那么他的的配置信息都保存在其下，使用webshell或FSO可以轻松的调取这个配置文件。 1.4 配置Program files目录，为Common Files目录之外的所有目录赋予Administrators和SYSTEM有完全控制权。

网络信息安全加固方案

XXXX业务网网络信息安全加固项目案例介绍一、概述随着信息化技术的深入和互联网的迅速发展，整个世界正在迅速地融为一体，IT系统已经成为XXX整合、共享内部资源的核心平台，同时，随着XXX经营理念的不断深化，利用各种各样的业务平台来为XXX提供更多的增值业务服务的情况越来越多，因此IT系统及各种各样的业务平台在XXX系统内的地位越来越重要，更为XXX提供的新业务利润增长做出了不可磨灭的贡献。伴随着网络的发展，也产生了各种各样的安全风险和威胁，网络中蠕虫、病毒及垃圾邮件肆意泛滥，木马无孔不入，DDOS攻击越来越常见、WEB应用安全事件层出不穷、，黑客攻击行为几乎每时每刻都在发生，而伴随着上级主管部门对于信息安全的重视及审查工作愈加深化，所有这些风险防范及安全审查工作极大的困扰着XXX运维人员，能否及时发现网络黑客的入侵，有效地检测出网络中的异常流量，并同时在“事前”、“事中”及“事后”都能主动协助XXX完成自身信息安全体系的建设以及满足上级部门审查规范，已成为XXX运维人员所面临的一个重要问题。本方案针对XXXX公司业务平台的安全现状进行分析，并依据我公司安全体系建设的总体思路来指导业务平台信息安全体系建设解决方案的制作，从安全技术体系建设的角度给出详细的产品及服务解决方案。

二、网络现状及风险分析 2.1 网络现状业务平台拓扑图 XXXX公司业务平台网络共有包括XXX、XXX、XXX平台等四十余个业务系统，（因涉及客户信息，整体网络架构详述略）业务平台内部根据业务种类的不同，分别部署有数据库、报表、日志等相应业务系统服务器。 2.2 风险及威胁分析根据上述网络架构进行分析，我们认为该业务平台存在如下安全隐患： 1.随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯XX的已经无法满足信息安全防护的需要，部署了×XX的安全保障体系仍需要进一步完善，防火墙系统的不足主要有以下几个方面（略） 2.当前网络不具备针对X攻击专项的检测及防护能力。（略） 3.对正常网络访问行为导致的信息泄密事件、网络资源滥用行为等方面难以实现针对内容、行为的监控管理及安全事件的追查取证。 4.当前XX业务平台仍缺乏针对网络内容及已经授权的正常内部网络访问行为的有效监控技术手段，因此对正常网络访问行为导致的信息泄密事件、网络资源滥用行

win系统加固方案

w i n系统加固方案 The Standardization Office was revised on the afternoon of December 13, 2020

服务器安全加固策略研究

不一样的安全思路服务器加固就是为操作系统安全引入“第三方”机制，对黑客常用的入侵通道增加监控手段，黑客一般针对操作系统的漏洞，绕过操作系统自身的安全机制，但黑客们并不知晓该服务器上的“第三方”机制，入侵就不那么容易得手了。举个例子：缓冲区溢出是常见的提权攻击手段，成功后通常立即建立后门，为自己提供以后的便利，此时常见的动作有：打开远程控制窗口，提升自己为管理员，上传木马替代系统驱动文件。因为溢出后使用的是管理员的权限，绕过了操作系统的权限管理机制，所以黑客可以随意操作你的服务器；但此时第三方的加固可以阻止这些“非正常”的操作，即使你是管理员的权限。若入侵者不能完成上述动作，溢出攻击成功，但也不能进行后续的攻击手段，也只能为系统带来一次进程的异常退出罢了。 “第三方”机制还可以通过发现这些异常的退出，推断系统内的漏位置，从而确定这些漏洞已经被入侵者关注，可以被直接利用，产生不良后果。安全加固的几种思路服务器的安全加固(也称为服务器防入侵加固)思路是在对抗黑客入侵的过程中逐步建立起来的，到目前为止，应该说经历了三个发展阶段：配置加固阶段、合规性加固阶段、反控制加固阶段。 1.配置加固阶段所谓配置加固就是对操作系统的安全配置进行安全加固升级，提升服务器的安全保护等级。常见的做法有下面几个方面：（1）限制连续密码错误的登录次数，是对抗密码暴力破解的重要手段；（2）拆分系统管理员的权限，取消超级管理员，从而限制入侵者获取管理员账户时的权限；（3）删除不需要的各种账户，避免被攻击者利用；（4）关闭不需要的服务端口，一是减少攻击者的入侵点，二是避免被入侵者当作后门利用；（5）限制远程登录者的权限，尤其是系统管理权限。配置加固主要是静态安全策略的提升，入侵者入侵后可以再打开或修改这些配置。这种加固方式一般是人工的定期检查与加固，留给入侵者的“窗口”比较大，或者入侵者完成自己的潜伏后，还可以恢复你的配置，把管理者蒙在鼓里。主机ids可以动态监控上面的安全配置，发现异常进行报警，也可以主动检查“用户”的行为，发现异常及时报警，还可以根据自己的攻击特征库，发现恶意代码进入立即报警…这在一定程度上为入侵者带来了麻烦。但是主机ids的误报率很高，让管理者不胜其烦，虱子多了不痒，报警多了不理，目前用户选择的越来越少了。另外，很多正常的操作，也产生大量的入侵报警，就像我们安装了防病毒软件，进行其他安装软件时，提示多得让人不知道该怎么做。 2.合规性加固阶段做信息安全的人都熟悉一个词汇：强制性访问控制。也就是在用户访问数据时，不仅查看访问者的身份，确认他的访问权限，同时还要查看被访问的数据的安全等级，是否与访问者的安全等级相匹配，若不符合安全策略规定，同样拒绝访问。举一个例子：每个用户都可以修改自己账户的密码，所以他应该可以读写系统存储用户口令的文件，但是系统中这个文件里还有其他用户的密码，所以你只能读取这个文件的一个记录而已，而不是文件的全部。此时就需要对查看密码文件用户的安全等级进行比对，区别对待。合规性加固不只是强制性访问控制，还有很多安全策略的贯彻，比如：三权分立。