websphere系统加固规范

WebSphere系统加固规范2010年9月目录1账号管理、认证授权......................................................................................................11.1账号...........................................................................................................................11.1.1SHG-WebSphere-01-01-01..................................................................................11.1.2SHG-WebSphere-01-01-02..................................................................................31.2认证授权...................................................................................................................51.2.1SHG-WebSphere-01-02-01..................................................................................51.2.2SHG-WebSphere-01-02-02..................................................................................61.2.3SHG-WebSphere-01-02-03..................................................................................82日志配置...........................................................................................................................92.1.1SHG-WebSphere-02-01-01..................................................................................93通信协议..........................................................................................................................113.1.1SHG-WebSphere-03-01-01.................................................................................114设备其他安全要求........................................................................................................134.1安装部署.................................................................................................................134.1.1SHG-WebSphere-04-01-01................................................................................134.1.2SHG-WebSphere-04-01-02................................................................................144.1.3SHG-WebSphere-04-01-03................................................................................154.1.4SHG-WebSphere-04-01-04................................................................................164.1.5SHG-WebSphere-04-01-05................................................................................174.1.6SHG-WebSphere-04-01-06................................................................................184.1.7SHG-WebSphere-04-01-07................................................................................194.1.8SHG-WebSphere-04-01-08................................................................................204.1.9SHG-WebSphere-04-01-09................................................................................224.2运行维护.................................................................................................................234.2.1SHG-WebSphere-04-02-01................................................................................234.2.2SHG-WebSphere-0402-02................................................................................284.2.3SHG-WebSphere-04-02-03................................................................................294.3备份容错.................................................................................................................304.3.1SHG-WebSphere-04-03-01................................................................................305附录：系统开放端口及对应服务说明.......................................................................3111账账号号管管理理、、认认证证授授权权11..11账账号号11..11..11SSHHGG--WWeebbSSpphheerree--0011--0011--0011编号SHG-WebSphere-01-01-01名称查看应用程序角色MAP实施目的用户定义的合适的角色MAP问题影响不合适的角色MAP会带来安全隐患系统当前状态以管理员身份打开管理控制台,执行：1.点击“应用程序”--”企业应用程序”2.双击要查看的应用程序3.点击“其它属性”中的”映射安全性角色到用户/组”4.查看安全角色是否映射到“每个用户“、“所有已认证用户”、“已映射的用户”、“已映射的组”实施步骤定义合适的角色MAP，注意也不可限制过多，否则应用会有问题以管理员身份打开管理控制台,执行：1.点击“应用程序”--”企业应用程序”2.双击要查看的应用程序3.点击“其它属性”中的”映射安全性角色到用户/组”4.与开发人员确认协商，修改安全角色映射,保证“每个用户“、“所有已认证用户”、“已映射的用户”、“已映射的组”进行安全的角色映射，没有赋予不必要的权限回退方案回复用户角色到加固前状态判断依据以管理员身份打开管理控制台,执行：5.点击“应用程序”--”企业应用程序”6.双击要查看的应用程序7.点击“其它属性”中的”映射安全性角色到用户/组”8.查看安全角色是否映射到“每个用户“、“所有已认证用户”、“已映射的用户”、“已映射的组”是否正常实施风险中重要等级★★★备注11..11..22SSHHGG--WWeebbSSpphheerree--0011--0011--0022编号SHG-WebSphere-01-01-02名称控制台CosNaming服务安全设置实施目的删除EVERYONE组,将ALL_AUTHENTICATED组角色仅设为”控制台命名读”问题影响Cosnaming服务权限设置过大会引入安全隐患，如当EVERYONE组默认权限为控制台命名读时，Javaclient可以bypass用户认证步骤.系统当前状态以管理员身份打开管理控制台,执行：1.点击“环境”--命名--CORBA命名服务用户2.查看服务用户3.点击“环境”--命名--CORBA命名服务组4.查看服务组授权实施步骤删除EVERYONE组将ALL_AUTHENTICATED组角色仅设为”控制台命名读”与应用程序开发人员确认命名服务权限修改对应用程序的影响,一般来说，除非J2EE应用程序明确指定了它的命名空间访问需求，否则更改缺省策略可能会导致在运行时发生意外的org.omg.CORBA.NO_PERMISSION异常以管理员身份打开管理控制台,执行：1.点击“环境”--命名--CORBA命名服务用户2.查看服务用户3.点击“环境”--命名--CORBA命名服务组5.删除EVERYONE组6.将ALL_AUTHENTICATED组角色仅设为”控制台命名读”回退方案判断依据以管理员身份打开管理控制台,执行：5.点击“环境”--命名--CORBA命名服务用户6.查看服务用户7.点击“环境”--命名--CORBA命名服务组8.查看服务组授权删除EVERYONE组将ALL_AUTHENTICATED组角色仅设为”控制台命名读”实施风险中重要等级★★★备注11..22认认证证授授权权11..22..11SSHHGG--WWeebbSSpphheerree--0011--0022--0011编号SHG-WebSphere-01-02-01名称启用全局安全性和JAVA2安全实施目的启用全局安全性和JAVA2安全问题影响不启用全局安全性，任何人都可以登录管理控制台并有完全控制权限，同时应用程序将不能使用WebSphere的安全特性,Java2安全性在J2EE基于角色的授权之上提供访