1、附件中國人民銀行信息系統(tǒng)安全配置指引操作系統(tǒng)分冊（V1.0）中國人民銀行科技司2006年9月TOC o 1-5 h z一前言6適用范圍6使用方式6驗(yàn)證說明6差異性說明6 HYPERLINK l bookmark4二IBMAIX安全配置7*用戶安全7*為root設(shè)定復(fù)雜的口令，刪除臨時用戶和已經(jīng)不用的用戶帳號7設(shè)置默認(rèn)的口令策略7加固系統(tǒng)TCP/IP配置7根據(jù)系統(tǒng)應(yīng)用要求關(guān)閉不必要的服務(wù)9確保不存在默認(rèn)的信任主機(jī)和用戶關(guān)系11在/etc/profile中設(shè)定用戶自動logoff的值11&修改系統(tǒng)登錄前的提示信息（banner）12修改Crontab文件屬性12*確保只有指定的用戶可以使用xhos

2、t命令12 HYPERLINK l bookmark8三Linux安全配置13 HYPERLINK l bookmark101*帳戶安全13 HYPERLINK l bookmark122*強(qiáng)制定義密碼長度13 HYPERLINK l bookmark143檢查服務(wù)是否啟動13 HYPERLINK l bookmark164修改部分執(zhí)行文件的權(quán)限13 HYPERLINK l bookmark18修改/etc/securetty文件13 HYPERLINK l bookmark20修改/etc/services文件權(quán)限13刪除登錄信息14 HYPERLINK l bookmark26避免顯示信息

3、和版本14防止ip欺騙14 HYPERLINK l bookmark30防止FTP反彈攻擊14 HYPERLINK l bookmark32防止DoS攻擊14 HYPERLINK l bookmark34刪除不必要的帳號和組14 HYPERLINK l bookmark36設(shè)置/etc/rc.d/init.d目錄下文件許可權(quán)15 HYPERLINK l bookmark38限制修改用戶相關(guān)文件15 HYPERLINK l bookmark40文件完整性15 HYPERLINK l bookmark42修改/proc/sys/net/ipv4/ip_default_ttl：15 HYPERLIN

4、K l bookmark44修改/proc/sys/net/ipv4/tcp_fin_timeout：15 HYPERLINK l bookmark46修改/proc/sys/net/ipv4/tcp_syn_retries：16 HYPERLINK l bookmark48修改/proc/sys/net/ipv4/tcp_window_scaling：16 HYPERLINK l bookmark50修改/proc/sys/net/ipv4/tcp_syncookies16 HYPERLINK l bookmark52確保路徑環(huán)境變量中不包含當(dāng)前目錄（.）16 HYPERLINK l boo

5、kmark54四SCOUNIX安全配置17 HYPERLINK l bookmark56*口令保護(hù)的設(shè)置17 HYPERLINK l bookmark58*Root帳號的安全性17 HYPERLINK l bookmark603設(shè)置合理的系統(tǒng)安全級別17 HYPERLINK l bookmark624合理設(shè)置用戶17 HYPERLINK l bookmark645檢查所有開啟的服務(wù)，關(guān)閉不需要的服務(wù)17 HYPERLINK l bookmark66檢查slip目錄讀寫屬性18 HYPERLINK l bookmark68去除非root用戶讀寫SYSLOG和cron日志文件權(quán)限18 HYPERL

6、INK l bookmark70檢查/dev目錄下的設(shè)備權(quán)限18 HYPERLINK l bookmark72限制用戶不成功登錄的次數(shù)18 HYPERLINK l bookmark74檢查/etc/default/login文件18 HYPERLINK l bookmark76正確配置.profile文件：18 HYPERLINK l bookmark78查看軟件管理器18 HYPERLINK l bookmark80五Windows2000安全配置19*安裝最新的操作系統(tǒng)補(bǔ)丁程序19*使用NTFS格式分區(qū)19*刪除雙、多操作系統(tǒng):19卸載不必要的Windows組件19禁止光盤自動運(yùn)行功能19

7、*Guest帳號19限制不必要的用戶數(shù)量20*創(chuàng)建2個管理員帳號20*系統(tǒng)administrator帳號改名20*創(chuàng)建一個陷阱帳號20*設(shè)置屏幕保護(hù)密碼20不讓系統(tǒng)顯示上次登錄的用戶名20共享文件的權(quán)限從”everyone”組改成“授權(quán)用戶”21設(shè)置共享文件夾中的文件屬性21對執(zhí)行文件的保護(hù)21*把敏感文件存放在另外的文件服務(wù)器中21關(guān)閉不必要的服務(wù)21關(guān)閉不必要的端口22解除NetBios與TCP/IP協(xié)議的綁定22*打開安全策略22*禁止建立空連接23*關(guān)閉DirectDraw23*刪除默認(rèn)共享24禁止dumpfile的產(chǎn)生24清除temp文件夾24關(guān)機(jī)時清除頁面文件24考慮使用IPSec

8、25刪除IIS管理器中的無用映射25定期清理垃圾文件和整理碎片。25 HYPERLINK l bookmark82六Windows2003安全配置26*安裝最新的操作系統(tǒng)補(bǔ)丁程序26*使用NTFS格式分區(qū)263*Guest帳號26限制不必要的用戶數(shù)量26*創(chuàng)建2個管理員用帳號26*系統(tǒng)administrator帳號改名26*創(chuàng)建一個陷阱帳號26*設(shè)置屏幕保護(hù)密碼27禁用不必要的服務(wù)27禁用TCP/IP上的NetBIOS27*設(shè)置審核策略27*刪除默認(rèn)共享：27*禁止IPC空連接：28防止SYN洪水攻擊28禁止響應(yīng)ICMP路由通告報文28防止ICMP重定向報文的攻擊28不支持IGMP協(xié)議28 H

9、YPERLINK l bookmark84七WindowsXP安全配置30*安裝最新的操作系統(tǒng)補(bǔ)丁程序30*使用NTFS格式分區(qū)30*Guest帳號30限制不必要的用戶數(shù)量30*創(chuàng)建2個管理員用帳號30*系統(tǒng)administrator帳號改名30*創(chuàng)建一個陷阱帳號30*設(shè)置屏幕保護(hù)密碼31用戶權(quán)限分配設(shè)置31*審核策略設(shè)置31安全選項(xiàng)設(shè)置32磁盤碎片整理33*定期清理不必要的文件34 HYPERLINK l bookmark86八WindowsNT安全配置35*安裝最新的操作系統(tǒng)補(bǔ)丁程序35*所有分區(qū)為NTFS35安裝optionpack354安裝最新的MDAC35設(shè)置權(quán)限36*設(shè)置屏幕保護(hù)3

10、6*禁止guest帳號36*更名管理員帳號36設(shè)置服務(wù)36網(wǎng)絡(luò)服務(wù)中刪除不必要的服務(wù)37僅安裝TCP/IP協(xié)議37禁止NetBIOS37改動部分重要文件并加訪問控制37設(shè)定如下的密碼策略38*審計策略38事件查看器設(shè)置38刪除OS/2和POSIX子系統(tǒng)39除去RDS漏洞39 、八、前言本指引是中國人民銀行信息系統(tǒng)安全體系的一部分，旨在從技術(shù)上加固信息系統(tǒng)主流操作系統(tǒng)安全性。本指引是信息系統(tǒng)開發(fā)、實(shí)施及維護(hù)的技術(shù)安全參考依據(jù)。適用范圍適用于中國人民銀行新開發(fā)計算機(jī)應(yīng)用系統(tǒng)及現(xiàn)有計算機(jī)應(yīng)用系統(tǒng)的操作系統(tǒng)、客戶端操作系統(tǒng)安全配置。使用方式對于新開發(fā)的應(yīng)用系統(tǒng)，按照本指引相關(guān)內(nèi)容配置，特殊情況應(yīng)逐條書

11、面說明，相關(guān)說明與開發(fā)文檔共同備案。應(yīng)用系統(tǒng)上線驗(yàn)收應(yīng)包括對本文檔相關(guān)內(nèi)容逐條檢查配置情況，并在驗(yàn)收文檔中給予說明。對于目前的生產(chǎn)環(huán)境，必須逐條在測試環(huán)境下測試，確保不影響應(yīng)用系統(tǒng)的正常運(yùn)行前提下，方能修改生產(chǎn)系統(tǒng)的相關(guān)配置。凡*標(biāo)注的配置修改項(xiàng)目是最基本的安全要求，必須修改。驗(yàn)證說明IBMAIX安全配置通過IBMAIX5.2L環(huán)境驗(yàn)證。LINUX安全配置通過SUSELinuxEnterprise9環(huán)境驗(yàn)證。SCOUNIX安全配置通過SCOOPENSERVER5.0.6環(huán)境驗(yàn)證。WindowsNT安全配置通過WindowsNT4.0SP6環(huán)境驗(yàn)證。Windows2000安全配置通過Window

12、s2000SERVERSP4環(huán)境驗(yàn)證。Windows2003安全配置通過Windows2003SERVERSP1環(huán)境驗(yàn)證。Windowsxp安全配置通過WindowsxpSP2環(huán)境驗(yàn)證。差異性說明不同廠家的同一操作系統(tǒng)，環(huán)境參數(shù)不同。不同版本的同一操作系統(tǒng)，環(huán)境參數(shù)不同。同一操作系統(tǒng)安裝的軟件包不同，環(huán)境參數(shù)不同。對于不同環(huán)境的同一操作系統(tǒng)，可參照本指引相關(guān)內(nèi)容執(zhí)行。二IBMAIX安全配置*用戶安全使用普通用戶登錄，用su取得root權(quán)限，而不是以root身份登錄。使用全路徑執(zhí)行命令。*為root設(shè)定復(fù)雜的口令，刪除臨時用戶和已經(jīng)不用的用戶帳號使用強(qiáng)壯口令（口令長度為8位的無規(guī)則的字母數(shù)字及特

13、殊符號的組合，并定期更換口令），修改弱口令或空口令。設(shè)置默認(rèn)的口令策略通過編輯/etc/security/user文件或使用chsec命令設(shè)置默認(rèn)的口令策略，并啟用SAK：minage=0maxage=12maxexpired=4minalpha=4minother=1minlen=8mindiff=3maxrepeats=3加固系統(tǒng)TCP/IP配置通過/usr/sbin/no-oclean_partial_conns=l防止SYN的攻擊；通過/usr/sbin/no-oarpt_killc=20設(shè)置arp表的清空時間；通過/usr/sbin/no-oicmpaddressmask=O防止網(wǎng)絡(luò)

14、地址掩碼的泄漏；通過/usr/sbin/no-odirected_broadcast=0防止smurf攻擊；通過/usr/sbin/no-oipsrcroutesend=0；/usr/sbin/no-oipsrcrouteforward=0；/usr/sbin/no-oip6srcrouteforward=0防止源路由攻擊；通過/usr/sbin/no-oipignoreredirects=1和/usr/sbin/no-oipsendredirects=0防止IP重定向；利用smitlshostsequiv/smitmkhostsequiv/smitrmhostsquiv或者直接編輯/etc/

15、hosts.equiv,檢查所有其中的內(nèi)容，去除信任主機(jī)和用戶；禾U用smitlsftpusers/smitmkftpusers/smitrmftpusers或者直接編輯/etc/ftpusers來設(shè)定不能通過ftp登錄系統(tǒng)的用戶。設(shè)定所有關(guān)于網(wǎng)絡(luò)配置文件的安全屬性，見下表：/etcDirectoryNameOwnerGroupModePermissionsgated.confRootsystem0664rw-rw-r-hostsRootsystem0664rw-rw-r-hosts.equivRootsystem0664rw-rw-r-inetd.confRootsystem0644rw-r

16、-r-protocolsRootsystem0644rw-r-r-rc.tcpipRootsystem0774rwxrwxr-resolv.confRootsystem0644rw-rw-r-servicesRootsystem0644rw-r-r-3270.keysRootsystem0664rw-rw-r-3270keys.rtRootsystem0664rw-rw-r-/usr/binDirectoryNameOwnerGroupModePermissionsHostRootSystem4555r-sr-xr-xhostidBinBin0555r-xr-xr-xhostnameBinBi

17、n0555r-xr-xr-xfingerrootSystem0755rwxr-xr-xftprootSystem4555r-sr-xr-xrexecrootBin4555r-sr-xr-xruptimerootSystem4555r-sr-xr-xrwhorootSystem4555r-sr-xr-xTalkBinBin0555r-xr-xr-xtelnetrootSystem4555r-sr-xr-x/usr/sbinDirectoryNameOwnerGroupModePermissionsArprootsystem4555r-sr-xr-xfingerdrootsystem0554r-x

18、r-xr-Ftpdrootsystem4554r-sr-xr-gatedrootsystem4554r-sr-xr-ifconfigbinBin0555r-xr-xr-xinetdrootsystem4554r-sr-xr-namedrootsystem4554r-sr-x-rexecdrootsystem4554r-sr-xr-routerootsystem4554r-sr-xr-routedrootsystem0554r-xr-xrwhodrootsystem4554r-sr-xr-syslogdrootsystem0554r-xr-xr-talkdrootsystem4554r-sr-x

19、r-telnetdrootsystem4554r-sr-xr-/var/spool/rwhoDirectoryNameOwnerGroupModePermissionsrwho(directory)rootsystem0755drwxr-xr-x根據(jù)系統(tǒng)應(yīng)用要求關(guān)閉不必要的服務(wù)可以通過編輯/etc/inetd.conf、/etc/rc.tcpip、/etc/rc.*和/etc/inittab等文件來實(shí)現(xiàn)。從系統(tǒng)管理的角度而言，一般只需要開放如下的服務(wù)：telnetftp可從/etc/inittab中關(guān)閉的服務(wù)：piobePrinterIOBackEndqdaemonPrinterQueuein

20、gDaemonwritesrvwriteserveruprintfdConstructsandwriteskernelmessageshttpdlitedocsearchWebServerdt（通用桌面環(huán)境，要用CDE的話不能刪除）imnssdocsearchimnssDaemonimqssdocsearchimqssdaemonrcnfsNFSDaemons通過編輯文件/etc/inittab或rmitab命令完成?？蓮?etc/rc.tcpip中關(guān)閉的服務(wù)：routedgateddhcpcddhcpsddhcprdautoconf6ndpd-hostndpd-routerlpdnamedt

21、imedxntpdrwhodsnmpdpid2mroutedsendmailnfsdportmap可從/etc/inetd.conf中關(guān)閉的服務(wù)：shellkshellloginkloginexeccomsatuucpbootpsfingersystatnetstattftptalkntalkechodiscardchargendaytimetimecomsatwebsminstsrvimap2pop3kfclixmquery確保不存在默認(rèn)的信任主機(jī)和用戶關(guān)系檢查系統(tǒng)中所有的.rhosts,.netrc,hosts.equiv等文件，確保沒有存在默認(rèn)的信任主機(jī)和用戶關(guān)系，并使這些文件內(nèi)容為空。

22、7.在/etc/profile中設(shè)定用戶自動logoff的值如：TMOUT=3600#forKornShellTIMEOUT=3600#forBourneShellexportTMOUTTIMEOUT審查root的PATH環(huán)境變量，確保沒有本地目錄出現(xiàn)。修改系統(tǒng)登錄前的提示信息（banner）啟用SAK，編輯/etc/security/login.cfg文件：sak_enabled=trueherald=rnnnnnnnnnnnnnnnNOTICETOUSERSrnrnUseofthismachinewaivesallrightstoyourprivacy,rnrnandisconsentto

23、bemonitored.rnrnUnauthorizeduseprohibited.rnrnrnlogin:修改Crontab文件屬性Chmod600/var/spool/cron/crontabs/eg.Lpsysadm除了root其他用戶不能擁有cron訪問權(quán)限*確保只有指定的用戶可以使用xhost命令#chmod744/usr/bin/X11/xhost確保在運(yùn)行xhost命令時，指定hostname，否則將允許所有的遠(yuǎn)程主機(jī)訪問本機(jī)，這將帶來潛在的危險性。 三Linux安全配置1*帳戶安全使用強(qiáng)壯的密碼（口令應(yīng)為無規(guī)則的字母、數(shù)字及特殊符號的組合，并定期更換口令）；使用普通用戶登錄，用

24、SU取得root權(quán)限，而不是以root身份登錄。2*強(qiáng)制定義密碼長度修改/etc/login.defS-PASS_MIN_LEN83檢查服務(wù)是否啟動chkconfig-list需要開啟或者關(guān)閉服務(wù)，使用chkconfig服務(wù)名on/off4修改部分執(zhí)行文件的權(quán)限Chmod744/bin/mount/bin/umount/bin/login/bin/ping/usr/bin/chfn/usr/bin/chsh/usr/bin/newgrp/usr/bin/crontabmv/usr/bin/rlogin/usr/bin/rloginbak/usr/bin/rsh/usr/bin/rshbak/u

25、sr/bin/at/usr/bin/atbak5修改/etc/securetty文件只保留需要的tty配置。6.修改/etc/services文件權(quán)限修改etc/services文件權(quán)限，防止未經(jīng)許可的刪除或添加服務(wù)： #chattr+i/etc/services7刪除登錄信息mv/etc/issue/etc/issuebak mvmv HYPERLINK file:/etc/etc/etc/baktouch/etc/issuetouch HYPERLINK file:/etc/etc/8避免顯示信息和版本改變/etc/inetd.conf文件telnetstreamtcpnowaitroot

26、/usr/sbin/tcpdin.telnetd-h加-h表示telnet不顯示系統(tǒng)信息，而僅僅顯示login:。9防止ip欺騙編輯/etc/host.conforderbind,hostsmultioffnospoofon10.防止FTP反彈攻擊配置FTP服務(wù)器，禁止與發(fā)出PORT命令之外的客戶端連接。11.防止DoS攻擊編輯/etc/security/limits.confhardcore0hardrss5000hardnproc20編輯/etc/pam.d/login添加Isessionrequired/lib/security/pam_limits.so12.刪除不必要的帳號和組use

27、rdeladmlpsyncshutdownhaltnewsuucpoperatorgamesgroupdeladmnewsuucpgamespppusers設(shè)置/etc/rcd/initd目錄下文件許可權(quán)路徑是/etc/init.dchmod-R700/etc/init.d/*限制修改用戶相關(guān)文件chattr+i/etc/passwd/etc/shadow/etc/group文件完整性確保操作系統(tǒng)文件，尤其可執(zhí)行程序/bin,/sbin,/usr/bin/usr/sbin目錄下的系統(tǒng)文件不被修改。.修改/proc/sys/net/ipv4/ip_default_ttl設(shè)置從本機(jī)發(fā)出的ip包的生

28、存時間，參數(shù)值為整數(shù)，范圍為0128,缺省值為64。如果你的系統(tǒng)經(jīng)常得到“Timetoliveexceeded”的icmp回應(yīng)，可以適當(dāng)增大該參數(shù)的值，但是也不能過大，因?yàn)槿绻愕穆酚纱嬖诃h(huán)路的話，就會增加系統(tǒng)報錯的時間。.修改/proc/sys/net/ipv4/tcp_fin_timeout在一個tcp會話過程中，在會話結(jié)束時，A首先向B發(fā)送一個fin包，在獲得B的ack確認(rèn)包后，A就進(jìn)入FINWAIT2狀態(tài)等待B的fin包然后給B發(fā)ack確認(rèn)包。這個參數(shù)就是用來設(shè)置A進(jìn)入FINWAIT2狀態(tài)等待對方fin包的超時時間。如果時間到了仍未收到對方的fin包就主動釋放該會話。參數(shù)值為整數(shù)，單位

29、為秒，缺省為180秒。.修改/proc/sys/net/ipv4/tcp_syn_retries設(shè)置開始建立一個tcp會話時，重試發(fā)送syn連接請求包的次數(shù)。參數(shù)值為小于255的整數(shù),缺省值為10。將該值改為5.修改/proc/sys/net/ipv4/tcp_window_scaling設(shè)置tcp/ip會話的滑動窗口大小是否可變。為1時表示可變，為0時表示不可變Tcp/ip通常使用的窗口最大可達(dá)到65535字節(jié)，對于高速網(wǎng)絡(luò)，該值可能太小，這時候如果啟用了該功能，可以使tcp/ip滑動窗口大小增大數(shù)個數(shù)量級，從而提高數(shù)據(jù)傳輸?shù)哪芰Α?修改/proc/sys/net/ipv4/tcp_sync

30、ookies把0改為1tcp_max_syn_backlog把128改512，加大緩存21.確保路徑環(huán)境變量中不包含當(dāng)前目錄（.）檢查文件，例如：/etc/rc.local、/etc/profile/、etc/bashrc、/etc/csh.cshrc、-/.bashrc、/.bash_profile、-/.cshrc-、/.login以保證路徑環(huán)境變量中不包含“.”。如果使用的是shell而不是bash，則檢查相應(yīng)的資源文件。使用echo命令來顯示當(dāng)前用戶的路徑環(huán)境變量值：echo$PATH。 四SCOUNIX安全配置1*口令保護(hù)的設(shè)置口令一般為8個字符，口令的組成應(yīng)以無規(guī)則的大小寫字母、數(shù)

31、字和特殊符號相結(jié)合，應(yīng)定期更換口令。通過編輯/etc/default/passwd文件，可以強(qiáng)制設(shè)定最小口令長度、兩次口令修改之間的最短、最長時間。刪除不必要的帳號。2.*Root帳號的安全性使用普通用戶登錄，用su取得root權(quán)限，而不是以root身份登錄；設(shè)置root用戶的umask為077，在需要時再改回022。設(shè)置合理的系統(tǒng)安全級別SCOUNIX提供了四個安全級別，分別是Low、Traditional、Improved和High級，系統(tǒng)缺省為Traditional級；Improved級達(dá)到美國國防部的C2級安全標(biāo)準(zhǔn)；High級則高于C2級。用戶可以根據(jù)自己系統(tǒng)的重要性及客戶數(shù)的多少，設(shè)

32、置適合自己需要的系統(tǒng)安全級別，具體設(shè)置步驟是：scoadminfsystemsecuritysecurityprofilemanager。如果安裝數(shù)據(jù)庫系統(tǒng)，一般建議使用Traditional級或者按照數(shù)據(jù)庫系統(tǒng)安裝手冊要求設(shè)置。合理設(shè)置用戶建立用戶時，應(yīng)考慮該用戶屬于哪一組，不能隨便選用系統(tǒng)缺省的group組。如果需要，可以新增一個用戶組并確定同組成員，在該用戶的主目錄下，新建文件的存取權(quán)限是由該用戶的配置文件.profile中的umask的值決定。umask的值取決于系統(tǒng)安全級。檢查所有開啟的服務(wù)，關(guān)閉不需要的服務(wù)在/etc/inetd.conf文件中查找相應(yīng)的守護(hù)進(jìn)程，將其注釋掉，然后重

33、啟系統(tǒng)，該服務(wù)即被關(guān)閉。一些服務(wù)比如SENDMAIL并不被inetd啟動，而是開機(jī)時自動加載啟動。/etc/rc2.d/目錄下放置的是開機(jī)時候自動啟動的進(jìn)程。直接從該目錄下移除相應(yīng)的啟動腳本，再重新啟動也可以達(dá)到停止服務(wù)的目的。直接把文件名改掉：cd/usr/libmvsendmailsendmail.bak，再重新啟動也可以達(dá)到停止服務(wù)的目的。6檢查slip目錄讀寫屬性slip帳號缺省uid為0,確保slip的主目錄不能為非root用戶可寫。用Ls-l查看/usr/lib/下的slip目錄讀寫屬性。若需要可用chmod命令修改讀寫屬性。7.去除非root用戶讀寫SYSLOG和cron日志文件

34、權(quán)限/var/spool/cron/crontabs/root缺省創(chuàng)建所有用戶可讀的SYSLOG和cron日志文件。用chmod400去除非root用戶的讀寫權(quán)限。8檢查/dev目錄下的設(shè)備權(quán)限比如：/dev/vga的權(quán)限應(yīng)該是僅僅root可讀寫。這樣做是為了防止一些用戶偵聽設(shè)備。限制用戶不成功登錄的次數(shù)限制用戶不成功登錄的次數(shù),避免入侵者用猜測用戶口令的方法嘗試登錄。為賬戶設(shè)置登錄限制的步驟是：Scoadmin-)AccountManager-選賬戶-Users-LoginControls-添入新的不成功登錄的次數(shù)檢查/etc/default/login文件檢查/etc/default/lo

35、gin文件，檢查PATH當(dāng)中應(yīng)當(dāng)不包含當(dāng)前目錄“./”。11.正確配置.profile文件：.profile文件提供了用戶登錄程序和環(huán)境變量，為了防止一般用戶采用中斷的方法進(jìn)入$符號狀態(tài)，系統(tǒng)管理者必須屏蔽掉鍵盤中斷功能。具體方法是在.profile首部增加如下一行：trap012351512.查看軟件管理器通過查看軟件管理器檢查有沒有打補(bǔ)丁CSSA-2003-SC0.19。如果沒有該項(xiàng)補(bǔ)丁記錄，需要立即打上，避免普通用戶通過manaPATH_INFO漏洞獲得root權(quán)限。五Windows2000安全配置1*安裝最新的操作系統(tǒng)補(bǔ)丁程序*使用NTFS格式分區(qū)把服務(wù)器的所有分區(qū)都改成NTFS格式。

36、NTFS文件系統(tǒng)要比FAT、FAT32的文件系統(tǒng)安全得多。（如果買品牌機(jī)時自帶了廠商的操作系統(tǒng)，廠商會預(yù)留一個用于恢復(fù)的分區(qū)，不格式化這個恢復(fù)分區(qū)。）*刪除雙、多操作系統(tǒng):禁止使用雙、多系統(tǒng)，刪除其他系統(tǒng)，如果是Ntloader引導(dǎo)，應(yīng)該禁止引導(dǎo)其他系統(tǒng)，在boot.ini（隱藏的系統(tǒng)文件）中刪除其他系統(tǒng)。并且設(shè)置boot.ini文件為隱藏的系統(tǒng)文件，權(quán)限只允許Administrators和SYSTEM完全控制，其余用戶無權(quán)限。卸載不必要的Windows組件運(yùn)行“添加/刪除程序”一“添加/刪除Windows組件”，卸載不必要的組件禁止光盤自動運(yùn)行功能光盤中只要存autorun.inf文件，系統(tǒng)

37、就會自動試圖執(zhí)行文件中open字段后的文件路徑，目前已經(jīng)出現(xiàn)了破解屏保密碼的光盤，如果不禁止光盤的自動運(yùn)行功能，將會威脅系統(tǒng)安全。也可以修改注冊表：將HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCdrom下的Autorun值由1改成0。*Guest帳號禁用Guest帳號，將Guest重命名為一個復(fù)雜的名字，增加口令，將Guest帳號從Guest組刪掉。7限制不必要的用戶數(shù)量去掉所有的測試用帳戶、共享帳號、普通部門帳號等不必要賬號。用戶組策略設(shè)置相應(yīng)權(quán)限，并且經(jīng)常檢查系統(tǒng)的帳戶，刪除已經(jīng)不使用的帳戶。8*創(chuàng)建2個管理員帳號創(chuàng)建一個普通用戶帳號

38、、一個Administrators權(quán)限的帳戶。普通用戶帳號用來收信以及處理一些日常事物，另一個擁有Administrators權(quán)限的帳戶只在需要的時候使用。*系統(tǒng)administrator帳號改名將Administrator重命名，改為一個不易猜測的名字。*創(chuàng)建一個陷阱帳號創(chuàng)建一個名為“Administrator”的本地帳戶，把它的權(quán)限設(shè)置成最低，不隸屬任何組，并且加上一個超過10位的超級復(fù)雜密碼。這樣可以發(fā)現(xiàn)入侵者，并可以借此發(fā)現(xiàn)它們的入侵企圖。*設(shè)置屏幕保護(hù)密碼將屏幕保護(hù)啟動時間設(shè)為5分鐘，防止因?yàn)闀簳r離開使機(jī)器被盜用。不讓系統(tǒng)顯示上次登錄的用戶名默認(rèn)情況下，登錄對話框中會顯示上次登錄的帳

39、戶名，這使得別人可以很容易的得到系統(tǒng)的一些用戶名，進(jìn)而作密碼猜測。修改注冊表可以不讓對話框里顯示上次登錄的用戶名，具體是：HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinlogonDontDisplayLastUserName把REG_SZ的鍵值改成1。共享文件的權(quán)限從”everyone”組改成“授權(quán)用戶”“everyone”在Win2000中意味著任何有權(quán)進(jìn)入你的網(wǎng)絡(luò)的用戶都能夠獲得這些共享資料。任何時候都不要把共享文件的用戶設(shè)置成“everyone”組。設(shè)置共享文件夾中的文件屬性對網(wǎng)絡(luò)中的共享文件夾中的每個文件分別設(shè)置讀寫屬性，對于不可修改的文

40、件屬性設(shè)置成只讀。對執(zhí)行文件的保護(hù)將下列執(zhí)行文件定義為只允許特定的管理員或administrators用戶具有操作權(quán)限。net.exenet1.exetcmd.exet HYPERLINK ftp:/ftp.exeftp.exenetstat.exeregedit.exeat.exeattrib.execacls.exe*把敏感文件存放在另外的文件服務(wù)器中應(yīng)該考慮把一些極為重要和敏感的用戶數(shù)據(jù)（文件，數(shù)據(jù)表等）存放在另外一個安全的服務(wù)器中，并且經(jīng)常備份它們。關(guān)閉不必要的服務(wù)Windows2000的TerminalServices（終端服務(wù)）、IIS、和RAS都可能給系統(tǒng)帶來安全漏洞。為了能夠在

41、遠(yuǎn)程方便的管理服務(wù)器，很多機(jī)器的終端服務(wù)都是開著的，如果需要開此服務(wù)，一定要確認(rèn)已經(jīng)正確的配置了終端服務(wù)。停止不需要的服務(wù)，注意檢查下面默認(rèn)開啟的服務(wù)，若不需要，應(yīng)關(guān)閉：ComputerBrowserserviceTCP/IPNetBIOSHelperNTLMSSPServerRPCLocatorNetlogonRemoteRegistryServiceDNSClientDHCPClientMessengerTaskschedulerTerminalServicesTelnet18關(guān)閉不必要的端口在system32driversetcservices文件中有知名端口和服務(wù)的對照表可供參考。關(guān)閉

42、不必要的端口。解除NetBios與TCP/IP協(xié)議的綁定只保留TCP/IP協(xié)議，刪除NETBEUI、IPX/SPX協(xié)議；刪除所有的網(wǎng)絡(luò)共享資源，在網(wǎng)絡(luò)連接的設(shè)置中刪除文件和打印共享，只留下TCP/IP協(xié)議。使用IP安全策略，啟用TCP/IP篩選功能。如果此臺機(jī)器需要訪問網(wǎng)絡(luò)上其他機(jī)器，可保留Microsoft網(wǎng)絡(luò)客戶端。*打開安全策略開啟必要的審核策略：策略設(shè)置審核帳戶登錄事件成功，失敗審核帳戶管理成功，失敗審核登錄事件成功，失敗審核對象訪問成功審核策略更改成功，失敗審核特權(quán)使用成功，失敗審核系統(tǒng)事件成功，失敗開啟密碼策略：策略設(shè)置密碼復(fù)雜性要求啟用密碼長度最小值8位強(qiáng)制密碼歷史5次密碼最長留

43、存期90天開啟帳戶策略：策略設(shè)置復(fù)位帳戶鎖定計數(shù)器20分鐘帳戶鎖定時間20分鐘帳戶鎖定閾值3次*禁止建立空連接默認(rèn)情況下，任何用戶通過空連接連上服務(wù)器，進(jìn)而枚舉出帳號，猜測密碼。通過修改注冊表來禁止建立空連接：HKEY_Local_MachineSystemCurrentControlSetControlLSARestrictAnonymous的值改成”1”即可。22*關(guān)閉DirectDraw修改注冊表HKLMSYSTEMCurrentControlSetControlGraphicsDriversDCI的Timeout(REG_DWORD)為0即可。23*刪除默認(rèn)共享將HKEY_LOCAL_

44、MACHINESYSTEMCurrentControlSetServiceslanmanserverparametersautoshareserver修改為0,若沒有autoshareserver，則新建autoshareserver雙字節(jié)值，修改為0；將HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparametersautosharewks修改為0，若沒有autoshareserver,貝I新建autoshareserver雙字節(jié)值，修改為0。禁止桌面的active功能在桌面屬性的“Web”選項(xiàng)頁禁止啟用“在活動桌

45、面上顯示W(wǎng)eb內(nèi)容”。禁止dumpfile的產(chǎn)生dump文件在系統(tǒng)崩潰和藍(lán)屏的時候是一份很有用的查找問題的資料，然而，它也能夠給黑客提供一些敏感信息比如一些應(yīng)用程序的密碼等。要禁止它，打開我的電腦屬性高級啟動和故障恢復(fù)把寫入調(diào)試信息改成無。要用的時候，可以再重新打開它。清除temp文件夾一些應(yīng)用程序在安裝和升級的時候，會把一些東西拷貝到temp文件夾，但是當(dāng)程序升級完畢或關(guān)閉的時候，它們并不會自動清除temp文件夾的內(nèi)容，必須手動清除temp文件夾的內(nèi)容。關(guān)機(jī)時清除頁面文件頁面文件是Win2000用來存儲沒有裝入內(nèi)存的程序和數(shù)據(jù)文件部分的隱藏文件。一些第三方的程序可以把一些沒有加密的密碼存在內(nèi)

46、存中，頁面文件中也可能含有另外一些敏感的資料。要在關(guān)機(jī)的時候清除頁面文件，可以修改注冊表：HKLMSYSTEMCurrentControlSetControlSessionManagerMemoryManagement，把ClearPageFileAtShutdown的值設(shè)置成1。27考慮使用IPSecIPSec提供IP數(shù)據(jù)包的安全性。IPSec提供身份驗(yàn)證、完整性和可選擇的機(jī)密性。發(fā)送方計算機(jī)在傳輸之前加密數(shù)據(jù)，而接收方計算機(jī)在收到數(shù)據(jù)之后解密數(shù)據(jù)。利用IPSec可以使得系統(tǒng)的安全性能大大增強(qiáng)。刪除IIS管理器中的無用映射在IIS管理器中刪除無用映射和不必要的虛擬目錄。定期清理垃圾文件和整理

47、碎片。 六Windows2003安全配置1*安裝最新的操作系統(tǒng)補(bǔ)丁程序*使用NTFS格式分區(qū)把服務(wù)器的所有分區(qū)都改成NTFS格式。NTFS文件系統(tǒng)要比FAT、FAT32的文件系統(tǒng)安全得多。（如果買品牌機(jī)時自帶了廠商的操作系統(tǒng)，廠商會預(yù)留一個用于恢復(fù)的分區(qū)，不格式化這個恢復(fù)分區(qū)。）*Guest帳號禁用Guest帳號，將Guest重命名為一個復(fù)雜的名字，增加口令，將Guest帳號從Guest組刪掉。限制不必要的用戶數(shù)量去掉所有的測試用帳戶、共享帳號、普通部門帳號等等不必要賬號。用戶組策略設(shè)置相應(yīng)權(quán)限，并且經(jīng)常檢查系統(tǒng)的帳戶，刪除已經(jīng)不使用的帳戶。*創(chuàng)建2個管理員用帳號創(chuàng)建一個一般權(quán)限帳號用來收信以

48、及處理一些日常事物，另一個擁有Administrators權(quán)限的帳戶只在需要的時候使用。*系統(tǒng)administrator帳號改名將Administrator重命名，改為一個不易猜測的名字。*創(chuàng)建一個陷阱帳號創(chuàng)建一個名為“Administrator”的本地帳戶，把它的權(quán)限設(shè)置成最低，并且加上一個超過10位的超級復(fù)雜密碼。這樣可以發(fā)現(xiàn)入侵者，并可以借此發(fā)現(xiàn)它們的入侵企圖。8*設(shè)置屏幕保護(hù)密碼9禁用不必要的服務(wù)建議禁用如下服務(wù)：RemoteRegistryServiceRoutingandRemoteAccessDNSClientDHCPClientMessengerTerminalServices

49、Telnet禁用TCP/IP上的NetBIOS網(wǎng)上鄰居-屬性-本地連接-屬性Tnternet協(xié)議(TCP/IP)屬性-高級-WINS面板-NetBIOS設(shè)置-禁用TCP/IP上的NetBIOS。*設(shè)置審核策略本地安全策略-審核策略中打開相應(yīng)的審核，推薦的審核是：賬戶管理成功失敗登錄事件成功失敗對象訪問失敗策略更改成功失敗特權(quán)使用失敗系統(tǒng)事件成功失敗目錄服務(wù)訪問失敗賬戶登錄事件成功失敗*刪除默認(rèn)共享：修改注冊表：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters：AutoShareServer類型是REG

50、_DW0RD，把值改為0即可*禁止IPC空連接:修改注冊表：將Local_MachineSystemCurrentControlSetControlLSARestrictAnonymous的值改成”1”即可。防止SYN洪水攻擊修改注冊表:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters新建DWORD值，名為SynAttackProtect,值為2EnablePMTUDiscoveryREG_DWORD0NoNameReleaseOnDemandREG_DWORD1EnableDeadGWDetectREG_DWOR

51、D0KeepAliveTimeREG_DWORD300，000PerformRouterDiscoveryREG_DWORD0EnableICMPRedirectsREG_DWORD0禁止響應(yīng)ICMP路由通告報文修改注冊表:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfaces新建DWORD值，名為PerformRouterDiscovery值為0防止ICMP重定向報文的攻擊修改注冊表:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipPara

52、meters將EnableICMPRedirects值設(shè)為0不支持IGMP協(xié)議修改注冊表:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters新建DWORD值，名為IGMPLevel值為0 七WindowsXP安全配置1*安裝最新的操作系統(tǒng)補(bǔ)丁程序*使用NTFS格式分區(qū)把服務(wù)器的所有分區(qū)都改成NTFS格式。NTFS文件系統(tǒng)要比FAT、FAT32的文件系統(tǒng)安全得多。（如果買品牌機(jī)時自帶了廠商的操作系統(tǒng)，廠商會預(yù)留一個用于恢復(fù)的分區(qū)，不格式化這個恢復(fù)分區(qū)。）*Guest帳號禁用Guest帳號，將Guest重命名為一個復(fù)雜的

53、名字，增加口令，將Guest帳號從Guest組刪掉。限制不必要的用戶數(shù)量去掉所有的測試用帳戶、共享帳號、普通部門帳號等等不必要賬號。用戶組策略設(shè)置相應(yīng)權(quán)限，并且經(jīng)常檢查系統(tǒng)的帳戶，刪除已經(jīng)不使用的帳戶。*創(chuàng)建2個管理員用帳號創(chuàng)建一個一般權(quán)限帳號用來收信以及處理一些日常事物，另一個擁有Administrators權(quán)限的帳戶只在需要的時候使用。*系統(tǒng)administrator帳號改名將Administrator重命名，改為一個不易猜測的名字。*創(chuàng)建一個陷阱帳號創(chuàng)建一個名為“Administrator”的本地帳戶，把它的權(quán)限設(shè)置成最低，并且加上一個超過10位的超級復(fù)雜密碼。這樣可以發(fā)現(xiàn)入侵者，并可以

54、借此發(fā)現(xiàn)它們的入侵企圖。8*設(shè)置屏幕保護(hù)密碼9用戶權(quán)限分配設(shè)置在WindowsXP中，可設(shè)置用戶權(quán)限分配。步驟：控制面板管理工具本地安全策略本地策略用戶權(quán)利指派配置如下：從網(wǎng)絡(luò)訪問此計算機(jī)通過終端服務(wù)允許登錄備份文件和目錄跳過遍歷檢查更改系統(tǒng)時間調(diào)試程序通過終端服務(wù)拒絕登錄從遠(yuǎn)程系統(tǒng)強(qiáng)制關(guān)機(jī)在本地登錄配置單一進(jìn)程還原文件和目錄關(guān)閉系統(tǒng)10.*審核策略設(shè)置Administrators,UsersNoOneAdministratorsUsersAdministratorsNoOneEveryoneAdministratorsAdministrators,UsersAdministratorsAdm

55、inistratorsAdministrators,Users # 配置WindowsXP的審核策略。步驟：控制面板管理工具本地安全策略本地策略審核策略配置如下：審核帳戶登錄事件成功、失敗審核帳戶管理成功、失敗審核目錄服務(wù)訪問無審核審核登錄事件成功、失敗成功、失敗成功審核對象訪問審核策略更改無審核無審核成功審核特權(quán)使用審核過程跟蹤審核系統(tǒng)事件11安全選項(xiàng)設(shè)置在WindowsXP中，可設(shè)置安全選項(xiàng)。步驟：控制面板管理工具本地安全策略本地策略安全選項(xiàng)配置如下：帳戶:使用空白密碼的本地帳戶只允許進(jìn)行控制臺登錄已啟用帳戶:重命名系統(tǒng)管理員帳戶推薦帳戶:重命名來賓帳戶推薦設(shè)備:允許不登錄脫離已禁用設(shè)備:

56、允許格式化和彈出可移動媒體Administrators設(shè)備:防止用戶安裝打印機(jī)驅(qū)動程序已啟用設(shè)備:只有本地登錄的用戶才能訪問CD-ROM已啟用設(shè)備:只有本地登錄的用戶才能訪問軟盤已啟用設(shè)備:未簽名驅(qū)動程序的安裝操作允許安裝但發(fā)出警告域成員:需要強(qiáng)（Windows2000或以上版本）會話密鑰已啟用交互式登錄:不顯示上次的用戶名已啟用交互式登錄:不需要按CTRL+ALT+DEL已禁用交互式登錄:可被緩存的前次登錄個數(shù)（在域控制器不可用的情況下）2交互式登錄:在密碼到期前提示用戶更改密碼30天交互式登錄:智能卡移除操作鎖定工作站Microsoft網(wǎng)絡(luò)客戶:數(shù)字簽名的通信（若服務(wù)器同意）已啟用Micr

57、osoft網(wǎng)絡(luò)客戶:發(fā)送未加密的密碼到第三方SMB服務(wù)器。已禁用Microsoft網(wǎng)絡(luò)服務(wù)器:在掛起會話之前所需的空閑時間15分鐘Microsoft網(wǎng)絡(luò)服務(wù)器:數(shù)字簽名的通信（總是）已啟用Microsoft網(wǎng)絡(luò)服務(wù)器:數(shù)字簽名的通信（若客戶同意）已啟用Microsoft網(wǎng)絡(luò)服務(wù)器:當(dāng)?shù)卿洉r間用完時自動注銷用戶已啟用網(wǎng)絡(luò)訪問：允許匿名SID/名稱轉(zhuǎn)換已禁用網(wǎng)絡(luò)訪問:不允許SAM帳戶匿名枚舉已啟用網(wǎng)絡(luò)訪問：不允許SAM帳戶和共享的匿名枚舉已啟用網(wǎng)絡(luò)訪問：不允許為網(wǎng)絡(luò)身份驗(yàn)證儲存憑據(jù)或.NETPassports已啟用網(wǎng)絡(luò)訪問：可匿名訪問的共享為空網(wǎng)絡(luò)訪問：可匿名訪問的命名管道為空網(wǎng)絡(luò)訪問：本地帳戶的

58、共享和安全模式本地用戶以自己的身份驗(yàn)證網(wǎng)絡(luò)安全：不要在下次更改密碼時存儲LANManager的哈希值已啟用網(wǎng)絡(luò)安全：在超過登錄時間后強(qiáng)制注銷已啟用網(wǎng)絡(luò)安全：LANManager身份驗(yàn)證級別僅發(fā)送NTLMv2響應(yīng)網(wǎng)絡(luò)安全：基于NTLMSSP(包括安全RPC)客戶的最小會話安全沒有最小網(wǎng)絡(luò)安全：基于NTLMSSP(包括安全RPC)服務(wù)器的最小會話安全沒有最小故障恢復(fù)控制臺：允許自動系統(tǒng)管理級登錄已禁用故障恢復(fù)控制臺：允許對所有驅(qū)動器和文件夾進(jìn)行軟盤復(fù)制和訪問已禁用關(guān)機(jī)：允許在未登錄前關(guān)機(jī)已禁用關(guān)機(jī)：清理虛擬內(nèi)存頁面文件已啟用系統(tǒng)加密：使用FIPS兼容的算法來加密，哈希和簽名已禁用系統(tǒng)對象：由管理員

59、(Administrators)組成員所創(chuàng)建的對象默認(rèn)所有者對象創(chuàng)建者(Objectcreator)磁盤碎片整理開始一程序一附件一系統(tǒng)工具一磁盤碎片整理，定期清理垃圾文件和整理碎片。 *定期清理不必要的文件 八WindowsNT安全配置1*安裝最新的操作系統(tǒng)補(bǔ)丁程序*所有分區(qū)為NTFS硬盤中只安裝一種操作系統(tǒng)，采用NTFS格式，操作系統(tǒng)和應(yīng)用系統(tǒng)安裝在不同的分區(qū)，安裝成獨(dú)立的服務(wù)器,選擇工作組成員，不選擇域。安裝optionpack選擇自定義安裝：只安裝如下組件：_InternetInformationServer_InternetServiceManager_WorldWideWebServ

60、er_MicrosoftDataAccessComponents1.5_DataSources_MDAC:ADO,OBDC,andOLEDB_RemoteDataService1.5_RDSCoreFiles_MicrosoftManagementConsole_NTOptionPackCommonFiles_TransactionServer_TransactionServerCoreComponents將www安裝在和操作系統(tǒng)不同的分區(qū)上安裝transaetionserver時選擇default/localadministration4安裝最新的MDAC設(shè)置權(quán)限使用用戶管理器在所有分區(qū)上的