没有合适的资源?快使用搜索试试~ 我知道了~
服务器和网站安全加固技术规范[参照].pdf
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
5星 · 超过95%的资源 1 下载量 136 浏览量
2021-10-12
04:28:04
上传
评论
收藏 198KB PDF 举报
温馨提示
服务器和网站安全加固技术规范[参照].pdf
资源推荐
资源详情
资源评论
服务器和网站安全加固技术规范
1.1
安全加固原理
服务器安全加固是针对服务器系统(包含运行在主机上的各种软件系统)的脆弱
性进行分析并修补。另外,安全加固同时包括了对主机系统的身份鉴别与认证、访问控
制和审计跟踪策略的增强。
1.2
安全加固的目标
安全加固的主要目标包括以下两点:
对系统性能进行优化配置,杜绝系统配置不当而出现的弱点;
解决目标系统在安全评估中发现的技术性安全问题。
在修补加固完全成后,所有被加固的目标系统不应存在高风险漏洞和中风险漏洞
(高风险漏洞和中风险漏洞,根据 CVE:Common Vulnerabilities & Exposures 公共漏洞
和暴露标准定义)。如果对相关的漏洞修补加固与现有应用冲突或会导致不良后果应另
行处理。
1.3
安全加固的原则
安全加固的基本原则如下:
安全加固内容不能影响目标系统所承载的业务运行;
安全加固不能严重影响目标系统的自身性能;
加固操作不能影响与目标系统以及与之相连的其它系统的安全性, 也不能造
成性能的明显下降。
1.4
操作系统安全加固
1.4.1
Windows ( 2003 Server )系统安全加固
项目 分项 加固目的 加固内容和方法
基 本 安 装
和设置
服 务 器 配
置 基 本 要
求
保 证 系 统 基
本 安 全 性 和
易于维护
1、正确划分文件系统格式,确保所有磁盘分区为 NTFS
分区。
2、C 盘安装操作系统, D 盘安装常用软件及存放用户网站
目录文件。
服 务 器 软
件 安 装 要
求
提 供 最 小 化
的功能,减少
可能的漏洞。
安装必备的防护软件,防病毒软件应安装学校统一购买的
网络版瑞星。
与服务运行和管理维护无关的服务软件、工具软件、应用
软件都不能安装。
补丁安装
使 系 统 升 级
到最新版本
将 Windows 自动更新更改为使用校内 WSUS 服务器:
服务器地址: 192.168.32.180:8530
更新命令: wuauclt /detectnow
帐号设置
帐 号 密 码
策略修改
保 障 帐 号 以
及 密 码 的 安
全
在“管理工具” —“本地安全设置” —“帐户策略”中按
如下要求进行设置:
密码长度最小值 7 字符
密码最长存留期 90 天
密码最短存留期 30 天
帐号锁定计数器 30 分钟
帐户锁定时间 30 分钟
帐户锁定阀值 3 次
限制 Guest
用户权限
避免 Guest 帐
号 被 黑 客 激
活作为后门
禁用 Guest 用户。
在“管理工具” —“本地安全设置” —“本地策略” —“用
户权利指派”,“拒绝从网络访问这台计算机” 中加入 Guest
用户,禁止 Guest 帐号本地登录和网络登录的权限。
服务
停 止 不 需
要服务
避 免 未 知 漏
洞 给 主 机 带
来的风险
“服务管理”中将下述服务停止,并将启动类型设置为手
动:
Computer Browser 服务
Alerter 服务
Messenger 服务
Computer Browser :维护网络上计算机的最新列表以
及提供这个列表
Routing and Remote Access:在局域网以及广域网环境
中为企业提供路由服务
Remote Registry Service :允许远程注册表操作
Print Spooler :将文件加载到内存中以便以后打印
DHCP Client :DHCP 客户端
Distributed Link Tracking Client :当文件在网络域的
NTFS 卷中移动时发送通知
Error Reporting Service :收集、存储和向 Microsoft 报
告异常应用程序
Messenger:传输客户端和服务器之间的 NET SEND
和警报器服务消息
Telnet:允许远程用户登录到此计算机并运行程序
Help and Support:启用在此计算机上运行帮助和支持
中心。如果停止服务,帮助和支持中心将不可用。如
果禁用服务,任何直接依赖于此服务的服务将无法启
动。
Wireless Configuration :启用 IEEE 802.11 适配器的自动配
置。如果此服务停止,自动配置将不可用。如果此服务被
禁用,所有明确依赖它的服务都将不能启动。
系统文件
限 制 特 定
执 行 文 件
的权限
对 特 定 文 件
权 限 进 行 限
制,防止被黑
客使用
禁止用户组访问以下文件,仅限 administrators 、system 用
户组访问这些文件:
xcopy.exe, wscript.exe, cscript.exe,net.exe,arp.exe,
edlin.exe,ping.exe,route.exe,posix.exe,Rsh.exe,atsvc.exe,
Copy.exe, cacls.exe, ipconfig.exe , rcp.exe, cmd.exe ,
debug.exe,regedt32.exe,regedit.exe,edit.com,telnet.exe,
Finger.exe, Nslookup.exe , Rexec.exe, ftp.exe , at.exe,
runonce.exe, nbtstat.exe,Tracert.exe,netstat.exe
日志
设 置 审 核
策略
对 系 统 事 件
进行审核,在
日 后 出 现 故
障 时 用 于 排
查故障。
在“管理工具” —“本地安全设置” —“本地策略” —“审
核策略”中按如下要求进行设置:
审核策略更改 成功
审核登录事件 成功
审核对象访问 成功 , 失败
审核过程追踪 成功
审核特权使用 成功
审核系统事件 成功 , 失败
审核帐户登录事件 成功 , 失败
审核帐户管理 成功 , 失败
调 整 事 件
日 志 的 大
小 、 覆 盖
策略
增 大 日 志 大
小,避免由于
日 志 文 件 容
量 过 小 导 致
日 志 记 录 不
全
在“计算机管理” —“事件查看器” —“属性”中修改下
述值:
大小 覆盖方式
应用日志 16382K 覆盖早于 90 天的事件
安全日志 16384K 覆盖早于 90 天的事件
系统日志 16384K 覆盖早于 90 天的事件
16382K 为参考值如果不够存储 90 天的事件日志可根据具
体情况增加。
注册表
禁 止 匿 名
用户连接
可 以 禁 止 匿
名 用 户 列 举
主 机 上 所 有
用户、组、共
享资源
将:
HKEY_LOCAL_MACHINE
\SYSTEM\CurrentControlSet\Control\Lsa
“ restrictanonymous ”的值由“ 0”改为“ 1”
剩余11页未读,继续阅读
资源评论
- weixin_469831402022-11-18感谢资源主分享的资源解决了我当下的问题,非常有用的资源。
czq131452007
- 粉丝: 2
- 资源: 12万+
下载权益
C知道特权
VIP文章
课程特权
开通VIP
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- 国际象棋检测2-YOLO(v5至v11)、COCO、CreateML、Paligemma、TFRecord、VOC数据集合集.rar
- ssd5课件图片记录保存
- 常用算法介绍与学习资源汇总
- Python与Pygame实现带特效的圣诞节场景模拟程序
- 国际象棋检测11-YOLO(v7至v9)、COCO、Darknet、Paligemma、VOC数据集合集.rar
- 使用Python和matplotlib库绘制爱心图形的技术教程
- Java外卖项目(瑞吉外卖项目的扩展)
- 必应图片壁纸Python爬虫代码bing-img.zip
- 基于Pygame库实现新年烟花效果的Python代码
- 浪漫节日代码 - 爱心代码、圣诞树代码
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功