03服务器系统安全加固建议

安全配置规范第1页，共52页服务器系统安全加固建议沈阳东软系统集成工程有限公司2009年12月Windwos安全配置规范第2页共52页目录一．WINDOWS系统安全加固配置规范....................................................................................32.端口服务类.....................................................................................................................43.系统参数类...........................................................................................................................54.网络参数类...........................................................................................................................95.用户管理、访问控制、审计功能类.................................................................................12二．SQLSERVER数据库安全加固配置规范.................................................................................392.1将SQLServer身份验证设置为仅限Windows.....................................................392.2安装最新的补丁更新程序.........................................................................................392.3优化服务.....................................................................................................................392.4限制SQLServer只采用TCP/IP............................................................................402.5帐户.............................................................................................................................402.6文件和目录.................................................................................................................422.7SQLServer数据库对象............................................................................................442.8审核和日志.................................................................................................................48三．应用程序和IIS安全加固配置.....................................................................................................503.1网站动态页面转静态......................................................................................................503.2防注入代码包含..............................................................................................................513.3安全编程和代码审计......................................................................................................513.4数据库内部管理用户密码必须加密..............................................................................523.5后续的整改措施..............................................................................................................52Windwos安全配置规范第3页共52页一．Windows系统安全加固配置规范1.补丁类1.1最新的ServicePack风险描述是否已经安装了最新的ServicePack风险等级风险高加固建议从微软的更新网站上下载最新的补丁进行安装加固风险需要重启系统风险规避加固成果升级后能避免攻击者利用微软已公布的漏洞进行攻击加固具体方法WindowsSP补丁（如WIN2000的SP3）包可以用介质升级；最好选择可以恢复系统的安装方式用户意见用户管理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）厂商意见厂商维护人员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）1.2最新的Hotfixs风险描述是否已经安装了最新的Hotfixs风险等级风险高加固建议从微软的更新网站上下载最新的补丁进行安装加固风险可能需要重新启动系统Windwos安全配置规范第4页共52页风险规避加固成果升级后能避免攻击者利用微软已公布的漏洞进行攻击加固具体方法WIN2000的HOTFIX可以直接点击开始菜单的WindowsUpdate，直接到升级，最好选择可以恢复系统的安装方式用户意见用户管理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）厂商意见厂商维护人员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）2.端口服务类2.1禁止Messenger服务风险描述用于把Alerter服务器的消息发送给网络上的其它机器风险等级风险低加固建议将Messenger服务停止或者禁用加固风险加固成果不会把Alerter服务器的消息发送给网络上的其它机器加固具体方法1、打开控制面板-管理工具-服务窗口2、查看Messenger服务是否已启动3、将服务停止，将其启动类型由“自动”改为“手动”或者“禁用”。用户意见用户管理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）厂商意见厂商维护人员对本条风险加固的意见：同意需要修改（描述修改的意见）Windwos安全配置规范第5页共52页不同意（描述不同意的原因）签名（签字确认）2.2禁止Telnet服务风险描述该服务在缺省时被安装.用于基于命令行方式的远程管理,但是该协议在网络上一明文传输数据.风险等级风险高加固建议将Telnet服务停止或者禁用，如果需要进行命令行方式的远程管理,建议使用SSH来作为替代加固风险加固成果避免入侵者通过监控Telnet协议端口获得敏感信息加固具体方法1、打开控制面板-管理工具-服务窗口2、查看Telnet服务是否已启动3、将服务停止，将其启动类型由“自动”改为“手动”或者“禁用”。用户意见用户管理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）厂商意见厂商维护人员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）3.系统参数类3.1禁止自动登录风险描述自动登录会把用户名和口令以明文的形式保存在注册表中，因此需要禁止自动登录风险等级风险高加固建议修改注册表相关键值来禁止自动登录加固风险风险规避Windwos安全配置规范第6页共52页加固成果禁止了系统自动登录，避免其它用户从注册表中获得其它用户及其口令加固具体方法1、运行中输入regedit2、修改键值HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\AutoAdminLogon为(REG_DWORD)0用户意见用户管理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）厂商意见厂商维护人员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）3.2禁止在蓝屏后自动启动机器风险描述防止有恶意用户故意制造程序错误来重起机器以进行某些操作风险等级风险低加固建议修改注册表相关键值来禁止在蓝屏后自动启动机器加固风险风险规避加固成果用户在输入口令时都会用星号遮掩加固具体方法1、运行中输入regedit2、修改键值HKLM\System\CurrentControlSet\Control\CrashControl\AutoReboot为(REG_DWORD)0用户意见用户管理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）厂商意见厂商维护人员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）Windwos安全配置规范第7页共52页3.3用星号掩藏任何的口令输入风险描述输入口令时可能被他人看到风险等级风险低加固建议修改注册表相关键值来用星号掩藏任何的口令输入加固风险风险规避加固成果用户在输入口令时都会用星号遮掩加固具体方法1、运行中输入regedit2、修改键值HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Network\HideSharePwds为(REG_DWORD)1用户意见用户管理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）厂商意见厂商维护人员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）3.4删除服务器上的管理员共享风险描述每个WindowsNT/2000机器在安装后都缺省存在”管理员共享”,它们被限制只允许管理员使用,但是它们会在网络上以Admin$,c$等来暴露每个卷的根目录和%systemroot%目录风险等级风险高加固建议修改注册表相关键值来删除服务器上的管理员共享加固风险如果在网络上使用管理员共享来进行远程备份,防病毒支持,或其它远程管理,将会使你的应用程序不工作.风险规避加固成果无法利用admin$,c$等来