安全加固方案模板

_________________________________xxxxx公司平安加固 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 _________________________________文档日期:xxx文档版本:xxx本文档所包含的信息是受xxx公司和xxx公司所签署的“保密信息交换 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 〞保护和限制。在未事先得到xxx公司和xxx公司书面同意之前，本文档全部或部份内容不得用于其他任何用途或交与第三方。目录TOC\o"1-3"\h\z\uHYPERLINK\l"_Toc356287457"第1章概述PAGEREF_Toc356287457\h4HYPERLINK\l"_Toc356287458"1.1.工作目的PAGEREF_Toc356287458\h4HYPERLINK\l"_Toc356287459"1.2.加固方法PAGEREF_Toc356287459\h4HYPERLINK\l"_Toc356287460"1.3.风险的应对措施PAGEREF_Toc356287460\h4HYPERLINK\l"_Toc356287461"1.4.加固步骤PAGEREF_Toc356287461\h5HYPERLINK\l"_Toc356287462"第2章加固内容PAGEREF_Toc356287462\h7HYPERLINK\l"_Toc356287463"2.1.主机加固PAGEREF_Toc356287463\h7HYPERLINK\l"_Toc356287464"2.2.网络加固PAGEREF_Toc356287464\h8HYPERLINK\l"_Toc356287465"2.3.未加固项说明PAGEREF_Toc356287465\h9HYPERLINK\l"_Toc356287466"第3章加固列 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf PAGEREF_Toc356287466\h10HYPERLINK\l"_Toc356287467"3.1.主机加固列表PAGEREF_Toc356287467\h10HYPERLINK\l"_Toc356287468"3.2.数据库加固列表PAGEREF_Toc356287468\h10HYPERLINK\l"_Toc356287469"3.3.网络加固列表PAGEREF_Toc356287469\h10HYPERLINK\l"_Toc356287470"第4章加固操作PAGEREF_Toc356287470\h12HYPERLINK\l"_Toc356287471"4.1.网络平安加固PAGEREF_Toc356287471\h12HYPERLINK\l"_Toc356287472"4.1.1.高等级弱点PAGEREF_Toc356287472\h12HYPERLINK\l"_Toc356287473"4.1.2.中等级弱点PAGEREF_Toc356287473\h13HYPERLINK\l"_Toc356287474"4.1.3.低等级弱点PAGEREF_Toc356287474\h14HYPERLINK\l"_Toc356287475"4.2.XX统一视频监视平台平安加固操作PAGEREF_Toc356287475\h15HYPERLINK\l"_Toc356287476"4.2.1.Windows主机PAGEREF_Toc356287476\h15HYPERLINK\l"_Toc356287477"4.2.2.Oracle数据库PAGEREF_Toc356287477\h20HYPERLINK\l"_Toc356287478"4.3.输XX设备状态在线监测系统平安加固操作PAGEREF_Toc356287478\h22HYPERLINK\l"_Toc356287479"4.3.1.AIX主机PAGEREF_Toc356287479\h22HYPERLINK\l"_Toc356287480"4.3.2.Linux主机PAGEREF_Toc356287480\h27HYPERLINK\l"_Toc356287481"4.3.3.Windows主机PAGEREF_Toc356287481\h30HYPERLINK\l"_Toc356287482"4.3.4.Oracle数据库PAGEREF_Toc356287482\h35HYPERLINK\l"_Toc356287483"4.4.用XX信息采集系统平安加固操作PAGEREF_Toc356287483\h37HYPERLINK\l"_Toc356287484"4.4.1.AIX主机PAGEREF_Toc356287484\h37HYPERLINK\l"_Toc356287485"4.4.2.Linux主机PAGEREF_Toc356287485\h41HYPERLINK\l"_Toc356287486"4.4.3.Windows主机PAGEREF_Toc356287486\h45HYPERLINK\l"_Toc356287487"4.4.4.Oracle数据库PAGEREF_Toc356287487\h49HYPERLINK\l"_Toc356287488"4.5.95598XX互动XX平安加固操作PAGEREF_Toc356287488\h51HYPERLINK\l"_Toc356287489"4.5.1.Linux主机PAGEREF_Toc356287489\h51HYPERLINK\l"_Toc356287490"4.5.2.Oracle数据库PAGEREF_Toc356287490\h54HYPERLINK\l"_Toc356287491"4.6.XXXX平台平安加固操作PAGEREF_Toc356287491\h56HYPERLINK\l"_Toc356287492"4.6.1.Linux主机PAGEREF_Toc356287492\h56文档信息表文档根本信息工程名称xxxxxx文档名称平安加固方案文档版本是否为正式交付件是文档创立日期当前修订日期文档审批信息审阅人职务审阅时间审阅意见文档修订信息版本修正章节日期作者变更记录概述工作目的在前期平安评估过程中，发现xxxx主机系统，包括业务主机、数据库、中间件的多处平安弱点,为降低这些弱点所带来的平安风险，需要针对上述设备进行相应的平安加固工作，修复已发现的平安弱点，进一步提高xxxx的整体平安性。为确保平安加固工作能够顺利进行并到达目标，特制定本平安加固方案以指导该项工作。加固方法为验证和完善主机系统平安加固方案中的内容，尽早躲避加固工作中存在的风险，最终保证xxxx系统业务主机顺利完成加固。将首先选取xxxx系统测试机进行平安加固，待加固完成并通过观察确认无影响后再进行xxxx系统业务主机的加固工作。平安加固工作将由xxxx(甲方)提供加固操作步骤，由xxxx〔甲方〕根据加固操作步骤对确认后的加固项进行逐项设置。假设涉及操作系统、数据库、中间件补丁的升级，软件版本的升级，需由xxxx〔甲方〕协调相关设备售后效劳 合同 劳动合同范本免费下载装修合同范本免费下载租赁合同免费下载房屋买卖合同下载劳务合同范本下载 方人员进行。加固过程中xxxx(甲方)负责现场指导。风险的应对措施为防止在加固过程中出现的异常状况，所有被加固系统均应在加固操作开始前进行完整的数据备份。平安加固时间应尽量选择业务可中止的时段。加固过程中，涉及修改文件等内容时，将备份源文件在同级目录中，以便回退操作。平安加固完成后，需重启主机进行，因此需要xxxx(甲方)提前申请业务停机时间并进行相应的人员安排。在加固完成后，如果出现被加固系统无法正常工作，应立即恢复所做各项配置变更，待业务应用正常运行后，再行协商后续加固工作的进行方式。加固步骤图STYLEREF1\s1SEQ图表\*ARABIC\s11平安加固步骤加固内容主机加固对Windows、HP-UX、AIX、Linux等操作系统和Oracle数据库进行加固。序号加固项加固内容1帐号权限加固对操作系统用户、用户组进行权限设置，应用系统用户和系统普通用户权限的定义遵循最小权限原那么。删除系统多余用户，设置应用系统用户的权限只能做与应用系统相关的操作；设置普通系统用户的权限为只能执行系统日常维护的必要操作2网络效劳加固关闭系统中不平安的效劳，确保操作系统只开启承载业务所必需的网络效劳和网络端口3访问控制加固合理设置系统中重要文件的访问权限只授予必要的用户必要的访问权限。限制特权用户在控制台登录,远程控制有平安机制保证，限制能够访问本机的用户和IP地址4口令策略加固对操作系统设置口令策略，设置口令复杂性要求，为所有用户设置强壮的口令，禁止系统伪帐号的登录5用户鉴别加固设置操作系统用户不成功的鉴别失败次数以及到达此阀值所采取的措施，设置操作系统用户交互登录失败、管理控制台自锁，设置系统超时自动注销功能6审计谋略加固配置操作系统的平安审计功能，使系统对用户登录、系统管理行为、入侵攻击行为等重要事件进行审计，确保每个审计记录中记录事件的日期和时间、事件类型、主体身份、事件的结果〔成功或失败〕,对审计产生的数据分配空间存储，并制定和实施必要的备份、清理措施，设置审计存储超出限制时的覆盖或转储方式，防止审计数据被非法删除、修改网络加固对宁夏XX力公司XXXX五个应用系统的内网出口交换机、核心交换机、核心路由器、综合区会聚交换机、办公区会聚交换机、DMZ区交换机以及各接入交换机进加固。序号加固项加固内容1帐号权限加固对交换机远程访问用户进行权限设置，对管理员用户和审计用户权限的定义遵循最小权限原那么；设置管理员用户对设备进行配置修改，审计用户2网络效劳加固关闭交换机中不平安的效劳，确保操作系统只开启承载业务所必需的网络效劳和网络端口3访问控制加固限制用户对网络设备的远程登录IP地址和超时设置；加强远程控制平安机制的保证，如配置SSH4口令策略加固对网络设备的口令进行加固，确保符合口令复杂度要求5用户鉴别加固设置设备登录不成功的鉴别失败次数以及到达此阀值所采取的措施6审计谋略加固配置交换机的平安审计功能，日志关联审计效劳器中7关键效劳器访控、接入策略加固配置交换机的IP-MAC绑定策略，关闭交换机空闲端口，增强效劳器接入策略未加固项说明各接入交换机的IOS版本不具备端口与MAC绑定功能。Windows主机系统中未关闭远程桌面，考虑到带外管理区未建立，暂时未关闭。Windows主机系统中未修改匿名空连接，由于涉及业务应用正常运行，暂时未关闭。Windows主机系统中未更新补丁，由于操作系统版本较低，且补丁升级效劳器未部署，故暂未进行升级。AIX、HP和Linux主机中未关闭FTP，由于现处于数据验证阶段，FTP做为验证方式之一，暂未关闭。Oracle数据库中未开启日志审计功能，考虑到开启此功能，势必影响数据库的性能。Oracle数据库中未更新补丁，由于数据库版本较低，且补丁升级风险较大，故暂未进行升级。各设备和系统中未加固项具体情况及原因详见加固列表。加固列表主机加固列表序号操作系统名称加固项弱点等级1WindowsWindows效劳器效劳漏洞(MS08-067)高2删除效劳器上的管理员共享中3禁止在任何驱动器上自动运行任何程序中4禁用无关的windows效劳中5设置密码策略中6设置审计和账号策略中7禁止CD自动运行低8设置交互式登录：不显示上次用户名低9设置关机：去除虚拟内存页面文件低10AIX限制root用户远程登录中11禁用ntalk/cmsd效劳中12禁用或删除不必要的帐号中13限制ftp效劳的使用中14设置登陆策略低15设置密码策略低XX禁用Time\DayTime效劳低17设置系统口令策略中18Linux限制能su为root的用户中19禁止root用户远程登录中20限定信任主机中21限制Alt+Ctrl+Del命令低数据库加固列表序号Oracle加固项弱点等级1修改数据库弱口令账户中2限制客户端连接IP中3设置oracle密码策略中网络加固列表序号H3C加固项弱点等级1配置默认级别账户高2开启密码加密保存效劳中3配置失败登陆退出机制中4部署日志效劳器低加固操作网络平安加固高等级弱点配置默认级别账户漏洞名称配置默认级别账户漏洞描述一旦网路设备密码被攻破，直接提取网络设备的特权账户权限，将严重影响设备的平安性。发现方式人工评估风险等级高影响范围加固建议和步骤1.首先备份设备配置；2.交换机命令级别共分为访问、XX、系统、管理4个级别，分别对应标识0、1、2、3。配置登录默认级别为访问级〔0-VISIT〕user-interfaceaux08authentication-modepassworduserprivilegelevel0setauthenticationpasswordcipherxxxuser-interfacevty04authentication-modepassworduserprivilegelevel0setauthenticationpasswordcipherxxx加固风险无回退建议根据原设备口令进行复原即可。建议加固时间无加固时间限制中等级弱点未开启密码加密保存效劳漏洞名称未开启密码加密保存效劳漏洞描述明文密码容易被外部恶意人员获取，影响设备的平安。发现方式人工评估风险等级中影响范围加固建议和步骤1.首先备份设备配置；2.更改配置：user-interfaceaux08userprivilegelevel0setauthenticationpasswordcipherxxxuser-interfacevty04userprivilegelevel0setauthenticationpasswordcipherxxxsuperpasswordlevel1cipherpassword1superpasswordlevel2cipherpassword2superpasswordlevel3cipherpassword3加固风险无回退建议1.更改配置：Noservicepassword-encryption2.copyrunsave建议加固时间无加固时间限制未配置失败登录退出机制漏洞名称未配置失败登录退出机制漏洞描述缺少该配置可能导致恶意攻击者进行口令暴力。发现方式人工评估风险等级中影响范围加固建议和步骤1.首先备份设备配置；2.更改配置，请厂家进行配置加固风险无回退建议去除原配置即可建议加固时间无加固时间限制低等级弱点缺少日志审计效劳漏洞名称缺少日志审计效劳漏洞描述目前宁夏XX力公司网络内部缺少集中的平安XX审计措施，对于系统可能发生的平安问题不能有效的预警，不利于对平安事件的审计和分析。发现方式人工评估风险等级低影响范围加固建议和步骤1.首先部署日志效劳器；2.备份设备配置；3.更改配置：检查配置文件中存在如下配置项：〔在系统模式下进行操作〕[h3c]info-centerenable[h3c]info-centerloghostxxxxxchannelloghost参考检测操作：displaycurrent-configuration加固风险低回退建议复原备份配置即可建议加固时间无加固时间限制XX统一视频监视平台平安加固操作Windows主机高等级弱点Windows效劳器效劳漏洞(MS08-067)加固项WINDOWS效劳器效劳漏洞(MS08-067)描述WINDOWS系统上的效劳器效劳中存在一个远程执行代码漏洞。该漏洞是由于效劳不正确地处理特制的RPC请求导致的。成功利用此漏洞的攻击者可以完全控制受影响的系统。加固风险可能会影响业务系统的应用。弱点严重程度赋值高加固操作更新补丁包：WindowsServer2003SP1:WindowsServer2003SP2:2C390D"\t"_blank"加固主机IP10.XX.5.11、10.XX.5.12中等级弱点删除效劳器上的管理员共享加固项删除效劳器上的管理员共享描述Windows机器在安装后都缺省存在〞管理员共享〞,它们被限制只允许管理员使用，但是它们会在网络上以Admin$、c$、IPC$等来暴露每个卷的根目录和%systemroot%目录加固风险不能使用默认共享弱点严重程度赋值中加固操作删除效劳器上的管理员共享修改注册表运行-regeditserver版:找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareServer〔DWORD〕的键值改为:00000000。professional版:找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareWks〔DWORD〕的键值改为:00000000。如果上面所述的主键不存在，就新建(右击-新建-双字节值〕一个主健再改键值。加固主机IP10.XX.5.11、10.XX.5.12、10.XX.96.15、10.XX.96.XX禁止在任何驱动器上自动运行任何程序加固项禁止在任何驱动器上自动运行任何程序描述防止恶意代码或特洛伊木马自动运行加固风险无弱点严重程度赋值中加固操作gpedit.msc用户配置->管理模板->系统->关闭自动播放或者设置HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun(REG_DWORD)255(十六进制FF)加固主机IP10.XX.5.11、10.XX.5.12、10.XX.96.15、10.XX.96.XX禁用无关的windows效劳加固项禁用无关的windows效劳描述系统中某些效劳存在漏洞，如ComputerBrowser效劳禁用可防止用户通过网上邻居来发现他不知道确切名字的共享资源，或不通过任何授权浏览这些资源。加固风险可能影响某些效劳的正常运行弱点严重程度赋值中加固操作到windows效劳项中services.msc,禁用ComputerBrowser、RemoteRegistry效劳加固主机IP10.XX.5.11、10.XX.5.12、10.XX.96.15、10.XX.96.XX设置密码策略加固项设置密码策略描述设置密码的最短长度以及密码复杂度可以抵御基于密码的攻击，更好的保护帐号的平安。加固风险启用密码复杂度要求后，未满足要求的账户可能会受到影响弱点严重程度赋值中加固操作gpedit.msc进入“计算机设置〞->“Windows设置〞->“平安设置〞->“帐户策略〞->“密码策略〞。设置如下内容“密码策略：密码必须符合复杂性要求〔启用〕密码策略：密码长度最小值〔8〕密码策略：密码最长使用期限〔90天〕密码策略：密码最短使用期限〔1天〕密码策略：强制密码历史〔=>5〕加固主机IP10.XX.5.11、10.XX.5.12、10.XX.96.15、10.XX.96.XX设置审计和账号策略加固项设置审计和账号策略描述系统针对帐号的管理，以及目录效劳访问，对象访问，策略更改，特权使用，进程跟踪，系统事件的审计未做设置加固风险开启审计谋略后，系统日志会增多，需要实时检查磁盘空间弱点严重程度赋值中加固操作设置审核策略以及帐号策略帐户锁定策略：帐户锁定时间〔15分钟〕帐户锁定策略：帐户锁定阀值〔3次无效登录〕审核策略：审核策略更改〔成功和失败〕审核策略：审核登录事件〔成功和失败〕审核策略：审核对象访问〔失败〕审核策略：审核特权使用〔失败〕审核策略：审核系统事件〔成功和失败〕审核策略：审核帐户登录事件〔成功和失败〕审核策略：审核帐户管理〔成功和失败〕加固主机IP10.XX.5.11、10.XX.5.12、10.XX.96.15、10.XX.96.XX低等级弱点禁止CD自动运行加固项禁止CD自动运行描述可防止由于自动运行CD带来的平安风险，如病毒自动安装等。加固风险CD将不能自动运行弱点严重程度赋值低加固操作修改注册表以下键值：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CDrom\Autorun(REG_DWORD)0加固主机IP10.XX.5.11、10.XX.5.12、10.XX.96.15、10.XX.96.XX设置交互式登录：不显示上次用户名加固项设置交互式登录：不显示上次用户名描述防止泄露用户名的信息加固风险在交互登录的过程中，不再显示上次登录的用户名弱点严重程度赋值低加固操作修改系统平安选项中的设置，启用该项。加固主机IP10.XX.5.11、10.XX.5.12、10.XX.96.15、10.XX.96.XX设置关机：去除虚拟内存页面文件加固项设置关机：去除虚拟内存页面文件描述防止内存页面保存敏感的数据信息加固风险无弱点严重程度赋值低加固操作修改系统平安选项中的设置，启用“关机：去除虚拟内存页面文件〞加固主机IP10.XX.5.11、10.XX.5.12、10.XX.96.15、10.XX.96.XXOracle数据库高等级弱点无。中等级弱点修改数据库弱口令账户加固项修改数据库弱口令账户描述数据库存在SCOTT默认口令TIGER，易被利用；加固风险无弱点严重程度赋值中加固操作修改弱口令账户的口令为满足复杂度要求的口令或者对不使用的帐号进行锁定alteruserUSER_NAMEidentifiedbynewpassword;加固主机IP10.XX.5.12限制客户端连接IP加固项限制客户端连接IP描述与数据库效劳器同一网段的IP可连接数据库，降低了数据库的平安性。加固风险未授权的客户端将不能连接数据库效劳器弱点严重程度赋值中加固操作加固风险躲避的方法：备份原配置文件sqlnet.ora具体加固方法：在sqlnet.ora中增加：tcp.validnode_checking=yes#允许访问的IPtcp.invited_nodes=(ip1,ip2,¡­¡­)#不允许访问的IPtcp.excluded_nodes=(ip1,ip2,¡­¡­)或者通过防火墙进行设置。加固主机IP10.2XX.33.244设置oracle密码策略加固项设置oracle密码策略描述Oracle数据库用户的密码策略未配置，使数据库用户及口令可能存在弱点，同时也可能受到非法者利用。设定密码策略也可对失败登陆次数和账户锁定时间进行设置。加固风险未满足密码策略要求的账户可能会收到影响弱点严重程度赋值中加固操作建立用户配置文件profile，并指定给相关用户。1、设置资源限制时，设置数据库系统启动参数RESOURCE_LIMIT为true；altersystemsetRESOURCE_LIMIT=true;2、创立profile文件：createprofile文件名limit参数value;可设置的参数如下FAILED_LOGIN_ATTEMPTS：指定锁定用户的登录失败次数PASSWORD_LOCK_TIME：指定用户被锁定天数PASSWORD_LIFE_TIME：指定口令可用天数PASSWORD_REUSE_TIME：指定在多长时间内口令不能重用PASSWORD_REUSE_MAX：指定在重用口令前口令需要改变的次数PASSWORD_VERIFY_FUNCTION：口令效验函数2、更改用户profile为新建的profile：ALTERUSERusernamePROFILEnewprofilename;加固主机IP10.2XX.33.244低等级弱点无。输XX设备状态在线监测系统平安加固操作AIX主机高等级弱点无。中等级弱点限制root用户远程登录加固项限制root用户远程登录描述远程使用root登录控制台容易导致root密码泄露，尤其是当前采用telnet方式登录系统加固风险root用户不能远程直接连接系统，需要普通用户身份登录后进行切换弱点严重程度赋值高加固操作加固风险躲避的方法：加固前备份原配置文件cp/etc/security/user/etc/security/userXXXX具体加固方法：需要确保有一个可以远程登陆的普通用户修改/etc/security/user文件，将root段的rlogin参数值修改为false或者chuserrlogin=falseroot加固主机IP10.XX.4.177禁用ntalk/cmsd效劳加固项禁用ntalk/cmsd效劳描述ntalk〔字符聊天效劳〕和cmsd效劳是CDE子程序效劳，关闭该类不必要的效劳可以降低系统风险。加固风险CDE组件中的基于字符的聊天效劳效劳将不能使用弱点严重程度赋值中加固操作加固风险躲避的方法：根据主机的业务需求，关闭对应效劳端口，加固前备份原配置文件cp/etc/inetd.conf/etc/inetd.conf.XXXX〔为加固日期〕具体加固方法：编辑/etc/inetd.conf,，以#号注释ntalk、cmsd开头的行执行refresh-sinetd加固主机IP10.XX.4.177禁用或删除不必要的帐号加固项禁用或删除不必要的帐号描述系统中存在不必要的uucp、lpd、guest帐号，关闭不必要的系统帐号可以降低系统风险。加固风险禁用或删除帐号将不能登录主机系统弱点严重程度赋值中加固操作加固风险躲避的方法：先备份需要更改的文件。如需回退，可使用原文件覆盖已加固修改的文件。如：#cp/etc/passwd/etc/passwd.old具体加固方法：禁止系统用户〔uucp、lpd、guest〕登陆操作：将/etc/passwd文件中的shell域设置成/bin/false加固主机IP10.XX.4.177限制ftp效劳的使用加固项限制ftp效劳的使用描述ftpuser文件包含了不能使用本地ftp效劳的用户，禁止系统帐号与root帐号使用ftp，可以降低系统平安风险加固风险可能影响某些使用该帐号ftp登陆的备份，操作，日志记录等脚本弱点严重程度赋值中加固操作加固风险躲避的方法：删除或清空创立的ftpusers文件，预先加固前备份原配置文件cp/etc/ftpusers/etc/ftpusersXXXX具体加固方法：一般需要包含root(如果需要使用可以排除)编辑/etc/ftpusers,每行一个用户，参加如下系统用户：daemonbinsysadmuucpguestnobodylpdlpinvscoutinvscoutipsecnuucp如果不使用ftp效劳，可使用如下方法进行禁用：风险躲避方法：根据主机的业务需求，关闭对应效劳端口，加固前备份原配置文件cp/etc/inetd.conf/etc/inetd.conf.XXXX〔为加固日期〕具体加固方法：如须使用FTP那么将该FTP软件升级至最新版本，假设不使用建议将其关闭。编辑/etc/inetd.conf，以#号注释ftpd开头的行执行refresh-sinetd加固主机IP10.XX.4.177低等级弱点设置登陆策略加固项设置登陆策略描述良好的登陆策略可有效防止暴力破解口令，阻止攻击者暴力猜解用户口令，减少忘记登出用户被非法利用的可能性加固风险将缩小系统用户登陆超时时间，允许输错密码次数将减少弱点严重程度赋值中加固操作加固风险躲避的方法：加固前备份原配置文件cp/etc/security/login.cfg/etc/security/login.cfgXXXX具体加固方法：修改/etc/security/login.cfg文件，做以下设置：logindisable=3〔三次连续失败登录后锁定〕loginreenable=15〔端口锁定15分钟后解锁〕logininterval=60〔在60秒内3次失败登录才锁定〕加固主机IP10.XX.4.177设置密码策略加固项设置密码策略描述良好的密码策略如密码满足一定的复杂度，定期更换密码等可以较好的抵御基于密码的攻击加固风险可能造成某些其他系统来使用弱口令登陆本系统用户来做同步备份或操作的脚本失效弱点严重程度赋值中加固操作加固风险躲避的方法：事先将原配置文件做备份cp/etc/security/user/etc/security/userXXXX具体加固方法：chsec-f/etc/security/user-sdefault-amaxage=13(设置密码最长使用13周)chsec-f/etc/security/user-sdefault-aminlen=8(设置密码最小长度8个字符)chsec-f/etc/security/user-sdefault-amaxrepeats=3(口令中某一字符最多只能重复3次)chsec-f/etc/security/user-sdefault–amindiff=4(新口令中最少有4个字符和旧口令不同)chsec-f/etc/security/user-sdefault–ahistexpire=26(同一口令在26周内不能重复使用)加固主机IP10.XX.4.177禁用Time\DayTime效劳加固项禁用Time\DayTime效劳描述网络时间效劳，允许远程观察系统时间，关闭该类不必要效劳可以减少威胁发生的可能性。加固风险将不能远程查看系统时间弱点严重程度赋值低加固操作加固风险躲避的方法：根据主机的业务需求，关闭对应效劳端口，加固前备份原配置文件cp/etc/inetd.conf/etc/inetd.conf.XXXX〔为加固日期〕具体加固方法：编辑/etc/inetd.conf，以#号注释time开头的行执行refresh-sinetd加固主机IP10.XX.4.177Linux主机高等级弱点无。中等级弱点设置系统口令策略加固项设置系统口令策略描述增加口令复杂度，建议使用数字+大、小写字母+特殊字符设置系统口令，密码长度至少8位。加固风险需要与管理员确认此项操作不会影响到业务系统的登录弱点严重程度赋值中检查方法使用命令#cat/etc/login.defs|grepPASS查看密码策略设置加固操作备份cp-p/etc/login.defs/etc/login.defs_bak加固方法：#vi/etc/login.defs修改配置文件PASS_MAX_DAYS90#新建用户的密码最长使用天数PASS_MIN_DAYS0#新建用户的密码最短使用天数PASS_WARN_AGE7#新建用户的密码到期提前提醒天数PASS_MIN_LEN8#最小密码长度8加固主机IP10.XX.4.XX2、10.XX.4.XX3、10.XX.4.XX4限制能su为root的用户加固项限制能su为root的用户描述能su为root的用户权限过大，易造成操作和平安风险。加固风险需要PAM包的支持;对pam文件的修改应仔细检查，一旦出现错误会导致无法登陆;和管理员确认哪些用户需要su。弱点严重程度赋值中检查方法#cat/etc/pam.d/su,查看是否有authrequired/lib/security/pam_wheel.so这样的配置条目加固操作备份方法：#cp-p/etc/pam.d/etc/pam.d_bak加固方法：#vi/etc/pam.d/su在头部添加：authrequired/lib/security/pam_wheel.sogroup=wheel这样，只有wheel组的用户可以su到root#usermod-G10test将test用户参加到wheel组加固主机IP10.XX.4.XX2、10.XX.4.XX3、10.XX.4.XX4禁止root用户远程登陆加固项禁止root用户远程登录描述管理员需要使用普通用户远程登录后su到root进行系统管理，防止root远程登录时被嗅探到口令。加固风险root用户无法直接远程登录，需要用普通账号登陆后su弱点严重程度赋值中检查方法#cat/etc/ssh/sshd_config查看PermitRootLogin是否为no加固操作备份方法：#cp-p/etc/ssh/sshd_config/etc/ssh/sshd_config_bak加固方法：#vi/etc/ssh/sshd_configPermitRootLoginno保存后重启ssh效劳servicesshdrestart加固主机IP10.XX.4.XX2、10.XX.4.XX3、10.XX.4.XX4限定信任主机加固项限定信任主机描述假设.rhosts文件中包含远程主机名，那么代表允许该主机通过rlogin等方式登录本机；如果包含两个加号，代表任何主机都可以无需用户名口令登录本机使用“cat/etc/hosts.equiv〞查看配置文件，假设包含远程主机名，那么代表允许该主机远程登录本机加固风险在多机互备的环境中，需要保存其他主机的IP可信任。弱点严重程度赋值中检查方法#cat/etc/hosts.equiv查看其中的主机#cat/$HOME/.rhosts查看其中的主机加固操作备份方法：#cp-p/etc/hosts.equiv/etc/hosts.equiv_bak#cp-p/$HOME/.rhosts/$HOME/.rhosts_bak加固方法：#vi/etc/hosts.equiv删除其中不必要的主机#vi/$HOME/.rhosts删除其中不必要的主机加固主机IP10.XX.4.XX2、10.XX.4.XX3、10.XX.4.XX4低等级弱点限制Alt+Ctrl+Del命令加固项限制Alt+Ctrl+Del命令描述防止误使用Ctrl+Alt+Del重启系统加固风险无可见风险弱点严重程度赋值低检查方法使用命令“cat/etc/inittab|grepctrlaltdel〞查看输入行是否被注释加固操作cp/etc/inittab/etc/inittab.XXXX使用命令“vi/etc/inittab〞编辑配置文件，在行开头添加注释符号“#〞#ca::ctrlaltdel:/sbin/shutdown-t3-rnow，再使用命令“initq〞应用设置加固主机IP10.XX.4.XX2、10.XX.4.XX3、10.XX.4.XX4Windows主机高等级弱点Windows效劳器效劳漏洞(MS08-067)加固项WINDOWS效劳器效劳漏洞(MS08-067)描述WINDOWS系统上的效劳器效劳中存在一个远程执行代码漏洞。该漏洞是由于效劳不正确地处理特制的RPC请求导致的。成功利用此漏洞的攻击者可以完全控制受影响的系统。加固风险可能会影响业务系统的应用。弱点严重程度赋值高加固操作更新补丁包：WindowsServer2003SP1:WindowsServer2003SP2:26D395D-2459-4E40-8C92-3DE1C52C390D"\t"_blank"WindowsServer2021for32-bitSystems:加固主机IP10.XX.4.174中等级弱点删除效劳器上的管理员共享加固项删除效劳器上的管理员共享描述Windows机器在安装后都缺省存在〞管理员共享〞,它们被限制只允许管理员使用，但是它们会在网络上以Admin$、c$、IPC$等来暴露每个卷的根目录和%systemroot%目录加固风险不能使用默认共享弱点严重程度赋值中加固操作删除效劳器上的管理员共享修改注册表运行-regeditserver版:找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareServer〔DWORD〕的键值改为:00000000。professional版:找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareWks〔DWORD〕的键值改为:00000000。如果上面所述的主键不存在，就新建(右击-新建-双字节值〕一个主健再改键值。加固主机IP10.XX.4.XX1、10.XX.4.174禁止在任何驱动器上自动运行任何程序加固项禁止在任何驱动器上自动运行任何程序描述防止恶意代码或特洛伊木马自动运行加固风险无弱点严重程度赋值中加固操作gpedit.msc用户配置->管理模板->系统->关闭自动播放或者设置HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun(REG_DWORD)255(十六进制FF)加固主机IP10.XX.4.XX1、10.XX.4.174禁用无关的windows效劳加固项禁用无关的windows效劳描述系统中某些效劳存在漏洞，如ComputerBrowser效劳禁用可防止用户通过网上邻居来发现他不知道确切名字的共享资源，或不通过任何授权浏览这些资源。加固风险可能影响某些效劳的正常运行弱点严重程度赋值中加固操作到windows效劳项中services.msc,禁用RemoteRegistry、ComputerBrowser、RemoteRegistryService效劳加固主机IP10.XX.4.XX1、10.XX.4.174设置密码策略加固项设置密码策略描述设置密码的最短长度以及密码复杂度可以抵御基于密码的攻击，更好的保护帐号的平安。加固风险启用密码复杂度要求后，未满足要求的账户可能会受到影响弱点严重程度赋值中加固操作gpedit.msc进入“计算机设置〞->“Windows设置〞->“平安设置〞->“帐户策略〞->“密码策略〞。设置如下内容：密码策略：密码必须符合复杂性要求〔启用〕密码策略：密码长度最小值〔8〕密码策略：密码最长使用期限〔90天〕密码策略：密码最短使用期限〔1天〕密码策略：强制密码历史〔=>5〕加固主机IP10.XX.4.XX1、10.XX.4.174设置审计和账号策略加固项设置审计和账号策略描述系统针对帐号的管理，以及目录效劳访问，对象访问，策略更改，特权使用，进程跟踪，系统事件的审计未做设置加固风险开启审计谋略后，系统日志会增多，需要实时检查磁盘空间弱点严重程度赋值中加固操作设置审核策略以及帐号策略帐户锁定策略：帐户锁定时间〔15分钟〕帐户锁定策略：帐户锁定阀值〔3次无效登录〕审核策略：审核策略更改〔成功和失败〕审核策略：审核登录事件〔成功和失败〕审核策略：审核对象访问〔失败〕审核策略：审核特权使用〔失败〕审核策略：审核系统事件〔成功和失败〕审核策略：审核帐户登录事件〔成功和失败〕审核策略：审核帐户管理〔成功和失败〕加固主机IP10.XX.4.XX1、10.XX.4.174低等级弱点禁止CD自动运行加固项禁止CD自动运行描述可防止由于自动运行CD带来的平安风险，如病毒自动安装等。加固风险CD将不能自动运行弱点严重程度赋值低加固操作修改注册表以下键值：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CDrom\Autorun(REG_DWORD)0加固主机IP10.XX.4.XX1、10.XX.4.174设置交互式登录：不显示上次用户名加固项设置交互式登录：不显示上次用户名描述防止泄露用户名的信息加固风险在交互登录的过程中，不再显示上次登录的用户名弱点严重程度赋值低加固操作修改系统平安选项中的设置，启用该项。加固主机IP10.XX.4.XX1、10.XX.4.174设置关机：去除虚拟内存页面文件加固项设置关机：去除虚拟内存页面文件描述防止内存页面保存敏感的数据信息加固风险无弱点严重程度赋值低加固操作修改系统平安选项中的设置，启用“关机：去除虚拟内存页面文件〞加固主机IP10.XX.4.XX1、10.XX.4.174Oracle数据库高等级弱点无。中等级弱点限制客户端连接IP加固项限制客户端连接IP描述与数据库效劳器同一网段的IP可连接数据库，降低了数据库的平安性。加固风险未授权的客户端将不能连接数据库效劳器弱点严重程度赋值中加固操作加固风险躲避的方法：备份原配置文件sqlnet.ora具体加固方法：在sqlnet.ora中增加：tcp.validnode_checking=yes#允许访问的IPtcp.invited_nodes=(ip1,ip2,¡­¡­)#不允许访问的IPtcp.excluded_nodes=(ip1,ip2,¡­¡­)或者通过防火墙进行设置。加固主机IP10.XX.4.177设置oracle密码策略加固项设置oracle密码策略描述Oracle数据库用户的密码策略未配置，使数据库用户及口令可能存在弱点，同时也可能受到非法者利用。设定密码策略也可对失败登陆次数和账户锁定时间进行设置。加固风险未满足密码策略要求的账户可能会收到影响弱点严重程度赋值中加固操作建立用户配置文件profile，并指定给相关用户。1、设置资源限制时，设置数据库系统启动参数RESOURCE_LIMIT为true；altersystemsetRESOURCE_LIMIT=true;2、创立profile文件：createprofile文件名limit参数value;可设置的参数如下FAILED_LOGIN_ATTEMPTS：指定锁定用户的登录失败次数PASSWORD_LOCK_TIME：指定用户被锁定天数PASSWORD_LIFE_TIME：指定口令可用天数PASSWORD_REUSE_TIME：指定在多长时间内口令不能重用PASSWORD_REUSE_MAX：指定在重用口令前口令需要改变的次数PASSWORD_VERIFY_FUNCTION：口令效验函数2、更改用户profile为新建的profile：ALTERUSERusernamePROFILEnewprofilename;加固主机IP10.XX.4.177低等级弱点无。用XX信息采集系统平安加固操作AIX主机高等级弱点无。中等级弱点限制root用户远程登录加固项限制root用户远程登录描述远程使用root登录控制台容易导致root密码泄露，尤其是当前采用telnet方式登录系统加固风险root用户不能远程直接连接系统，需要普通用户身份登录后进行切换弱点严重程度赋值高加固操作加固风险躲避的方法：加固前备份原配置文件cp/etc/security/user/etc/security/userXXXX具体加固方法：需要确保有一个可以远程登陆的普通用户修改/etc/security/user文件，将root段的rlogin参数值修改为false或者chuserrlogin=falseroot加固主机IP192.XX禁用ntalk/cmsd效劳加固项禁用ntalk/cmsd效劳描述ntalk〔字符聊天效劳〕和cmsd效劳是CDE子程序效劳，关闭该类不必要的效劳可以降低系统风险。加固风险CDE组件中的基于字符的聊天效劳效劳将不能使用弱点严重程度赋值中加固操作加固风险躲避的方法：根据主机的业务需求，关闭对应效劳端口，加固前备份原配置文件cp/etc/inetd.conf/etc/inetd.conf.XXXX〔为加固日期〕具体加固方法：编辑/etc/inetd.conf,，以#号注释ntalk、cmsd开头的行执行refresh-sinetd加固主机IP192.XX禁用或删除不必要的帐号加固项禁用或删除不必要的帐号描述系统中存在不必要的uucp、nuucp、lpd、、guest帐号，关闭不必要的系统帐号可以降低系统风险。加固风险禁用或删除帐号将不能登录主机系统弱点严重程度赋值中加固操作加固风险躲避的方法：先备份需要更改的文件。如需回退，可使用原文件覆盖已加固修改的文件。如：#cp/etc/passwd/etc/passwd.old具体加固方法：禁止系统用户〔uucp、nuucp、lpd、、guest〕登陆操作：将/etc/passwd文件中的shell域设置成/bin/false加固主机IP192.XX限制ftp效劳的使用加固项限制ftp效劳的使用描述ftpuser文件包含了不能使用本地ftp效劳的用户，禁止系统帐号与root帐号使用ftp，可以降低系统平安风险加固风险可能影响某些使用该帐号ftp登陆的备份，操作，日志记录等脚本弱点严重程度赋值中加固操作加固风险躲避的方法：删除或清空创立的ftpusers文件，预先加固前备份原配置文件cp/etc/ftpusers/etc/ftpusersXXXX具体加固方法：一般需要包含root(如果需要使用可以排除)编辑/etc/ftpusers,每行一个用户，参加如下系统用户：daemonbinsysadmuucpguestnobodylpdlpinvscoutinvscoutipse