网络安全运维服务方案.docx

网络安全运维服务方案时间：2021年7月目录一、项目概述21.1 项目背景21.2 项目现状21.3 项目目标2二、安全运维方案设计33.1 日常基础运维33.1.1 基础设施巡检服务33.1.2 基础设施运维服务43.1.3 日常技术支持和维护53.1.4 安全性维护63.1.5 安全整改63.1.6 其他相关配合服务73. 2网络安全运维服务83. 2.1安全咨询服务83. 2.2渗透测试及修复服务93. 2.3基线加固服务143. 2.4漏洞扫描服务333. 2. 5新系统上线前安全评估服务333. 2. 6网络安全应急响应服务343. 3安全运维驻场要求35一、项目概述1.1 项目背景网络安全运维服务是企事业单位信息化建设和信息系统安全体系中不可或 缺的一部分，是整个IT环境成熟度的一个衡量指标，完整的网络安全运维服务 不仅能帮助单位解决现有的各类安全隐患，还能够帮助他们预计未来的趋势， 规划信息系统安全、稳定的长期发展。为响应国家网络安全等级保护的要求和2017年6月1日，中华人民共和国 网络安全法正式实行，其中第二十一条：国家实行网络安全等级保护制度。网 络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障 网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改， 全面的了解自身信息安全隐患，从物理、网络、主机、应用、数据及安全管理、 安全运维各个层面分析系统可能存在的风险，判断系统所面临的安全威胁，加强 信息系统的安全保障工作。1.2 项目现状xxx局本身网络包含互联网、环境专网、电子政务外网3张网络，整体网络 已参照网络安全等级保护制度要求进行了建设，基本能确保整体具有支持业务稳 定、持续安全运行的能力。整体网络和信息系统由xxx局网络信息科室自行提供 安全运维和日常维护。按照等保2.0的要求，xxx局在人员数量配备、专业技术 能力方面尚存在一定的差距。同时在“十四五”期间生态环境数字化转型将继续 深化，基于智慧环保、生态环境大数据、物联网、数据共享、无纸化会议、视频 会议等越来越多的信息化建设内容和维护需求，更是给日常运维及安全保障工作 带来了巨大压力。1.3 项目目标依托第三运维服务机构所提供的专业化运维服务和咨询建议，建立和完善安 全运维及安全保障体系，增强信息化建设的安全防护能力、隐患检测能力和恢复 能力，并确保信息化安全建设满足国家及行业相关政策要求，满足“事前可预防、 事中可控制、事后可恢复”的网络安全保障需求，打造一个可信、可管、可控、 可视的网络环境，确保重要信息系统、业务应用持续安全稳定的运行；经过有步骤有计划安全运维、安全整改和后期的安全建设，能保护组织核心业务不被网络 攻击中断，保障组织核心业务数据不被窃取。在对已知威胁有较强的防御能力外， 对于未知威胁也具有一定的防御能力。为xxx局业务的高效、顺利开展提供强有 力技术支撑。二、安全运维方案设计3.1 日常基础运维3.1.1 基础设施巡检服务常规基础设施巡检和维护内容服务要求序号服务内容服务 时间服务说明周期次数收集和梳理数据中心信息化资产信 息，并建立归档。根据梳理排查情况 及采购人提供的服务功能、设备等信不固 定按需提1资产梳理5*8息，编制设备资产表。设备资产表包供，不括型号、数量、配置、功能、主机名 称、IP地址、位置等信息。有调整和限次数变动时立即更新。利用数据中心现有监控设备或工具，服务器健康5*8定期对各服务器进行健康巡检；对发每天力2巡检现的异常情况进行排查，并针对异常情况提出解决方案和建议。对存储设备系统的运行状态，包括设存储设备健5*8备指示灯、存储存储光纤链路等；对发每天力3康巡检数据库健康 巡检现的异常情况进行排查，并针对异常 情况提出解决方案和建议。定期进行数据库健康巡检，监控内容 包括数据库健康状态、数据库空间使45*85*8用情况等；对发现的异常情况进行排 查，并针对异常情况提出解决方案和 建议。定期对安全设备病毒库和特征库更新 情况检查；对安全设备异常/安全告 警进行日志审核分析；对安全设备主 机控制面板状态指示灯检查、CPU利每月每天力力安全设备健5康巡检用率、内存利用率、磁盘使用率、电 源情况巡检；对异常情况进行排查，并针对异常情况提出解决方案和建议。核心网络设备健康巡检5*8定期对核心网络设备CPU利用率、内 存利用率、电源状态、风扇状态巡检， 对错误事件日志和异常情况进行分析 和维护；提供巡检报告；对异常情况进每天 行排查，并针对异常情况提出解决方 案和建议。检查UPS主机、精密空调工作状态及UPS、精密7空调健康巡检各板件上指示灯的状态；对发现的异5*8常情况进行排查，并针对异常情况提每天出解决方案和建议。8 月度汇报5*8按月对采购人整体基础设施巡检情况每月进行总结汇报。每月3.1.2 基础设施运维服务包括采购人工作人员桌面PC机、平板电脑、打印机、复印机的日常维护， 包括桌面操作系统方面、办公网络方面的运维和故障处理工作。具体服务内容如下：常规基础设施运维服务内容服务要求序号服务内容服务 时间服务说明周期次数负责采购人所有桌面电脑、平板电 脑、打印机、复印机、网络设备等信 息终端设备的维护工作。主要包含设备安装调试、故障检测、配件更换按需提 供，不 限次数硬件维护5*8（配件由采购人提供）、故障处置不固1等。涉及硬件维修的设备根据实际情 况书面申请维修费用，经采购人同意 后联系送修，维修完成后对设备进行 测试，确定无故障后交还采购人并做定好记录。负责桌面操作系统的安装和修复，常 用软件、业务软件、防病毒软件安装不固 定按需提2软件维护5*8（软件由采购人提供）等；处置操作供，不系统升级、数据备份、系统故障、软限次数件故障等问题；3网络维护5*8负责采购人办公区域网络故障的排查 和处理。不固 定按需提 供，不 限次数按需提供，不限次数虚拟机、配合采购人对终端计算机进行资产清4信息资产清 理，包括型号、数量、位置、使用人等不固4 理和管理 5 8信息。资产信息以电子表格的形式进 定 行保存。3.1.2 日常技术支持和维护1 .日常技术支持：对在建或新建的信息化系统提供服务器、存储、 数据库、中间件、网络等基础IT环境的配合等服务；对于采购人日常发生的网 络设备调试、安全设备调试、服务器调试、数据库调试、视频会议调试、终端系 统调试等提供技术支持服务。服务次数：按需提供，不限次数；常规服务时间：5X8,应急服务时间：7X8。2 .日常技术维护：a）策略调优及优化:依据资产情况、业务系统网络流向、日常安全监测情况、 近期风险通报结果及安全设备实际策略配置情况，对安全设备协助开展策略配置 调优，以持续提升安全运行和防护能力。（安全设备包含但不限于防火墙、入侵 防御、WAF、防病毒系统、安全网关等。）b）配置备份：定期对核心交换机、汇聚交换机、防火墙、WEB应用防火墙、 入侵防御系统等关键节点设备的系统配置和策略配置进行完整备份，在设备发生 故障后提供配置快速导入等恢复措施。服务期内按需提供,策略配置及系统配置 备份每周一次。c）安全设备软件及特征库更新升级:依据巡检结果定期对可以进行特征库、 病毒库、威胁情报库和漏洞库等特征库升级的安全设备进行更新升级。（更新升 级原则为同步产品厂商官网更新情况），针对已过授权许可时间的安全设备，提 供处置建议。服务期内按需提供。（安全设备包含但不限于防火墙、入侵防御、 WAF、防病毒系统、安全网关等。）3 .故障处置支持：a）对于采购人出现的各类故障情况，提供技术支持服务（非硬件层面；包 括服务器系统故障、安全设备系统故障、核心网络设备系统故障、UPS、精密空 调系统故障等；针对未过保的设备故障处置由供应商协调设备所属维护商进行维 护，并跟进维修进度和效果及时向采购人汇报情况。针对已过保设备的故障处置 由供应商进行维护。针对特殊情况下供应商无法维护的故障情况，供应商出具实际可行的解决方案和建议。b）对于采购人出现的各类故障情况，提供技术咨询服务（硬件层面；未过 保的各类硬件维修由供应商协调设备所属维护商进行维修，并跟进维修进度和效 果。已过保设备及不具备维修价值的硬件设备或部件，由供应商提供处理建议由 采购人评估后，根据评估结果，按采购人要求对设备进行处理。服务次数：按需提供，不限次数；常规服务时间：5X8,应急服务时间：7X8。3.1.3 安全性维护按照网络安全法和网络安全等级保护基本要求（GB/T 22239-2019 ） 要求，为各信息系统的基础IT设施进行安全性维护，包括但不限于其提供操作 系统升级、补丁更新、安全设备配置、合规性配置，针对风险事件提供安全整改 建议等。安全性维护服务内容及要求服务内容常规服务时间服务说明服务要求操作系统升级与补丁更新5X82安全设备配5X8置对机房内现有，在运行的操 作系统定期安全补丁更新提 供配合和协助服务；配合采购人安装升级操作系统。根据采购人需求，对现有数 据中心机房内的安全设备进 行优化，其中包括安全设备 构架层和安全设备策略层， 并给出合理化的安全规划建按需提供，不限次数按需提供，不限次数议。针对各应用系统的不同需求，在服务对象中安全设备、3 合规性配置 5X8网络设备等基础IT设施进按需提供，不限次数 行防火墙、堡垒机、日志审计 等合规性配置。3.1.4 安全整改运维服务期间，如上级部门、公安部门、信息化主管部门等单位对数据中心 （不含信息系统软件本身）进行安全扫描，根据各方安全评估结果，协助修复安 全漏洞、加固系统平台，防止系统破坏、数据泄露。如安全整改经评估会对业务 系统产生影响时，需提出整改建议方案（方案中需注明风险）经采购人签字授权 后进行修复。安全整改服务内容及要求序号服务内 容常规服务要求服务服务说明周期次数时间1、及时响应相关单位发出的安全漏洞通 报。2、针对风险等级为严重的漏洞，在收到报告后的三个工作日内修复解决或提出整改建议方案；针对风险等级为中、低的漏按安全 按需提修复安1 全漏洞 加固系统防护洞，须在收到报告后的两周内修复解决或通告或供，不5X8提出整改建议方案。通知文 限次数3、针对紧急漏洞（比如勒索病毒），需相 件关单位发出的安全漏洞通报中的解决方案立即解决。4、修复解决后提交安全整改报告（如遇到系统较大版本升级改动等特殊情况需要延期解决，须在安全整改报告中说明）3.1.5 其他相关配合服务按照采购人及上级主管单位要求，做好正版化检查、网络安全检查、保密检 查、业务对接、区县单位技术支撑、采购人交办的其他相关事宜等配合服务。服务次数：按需提供，不限次数；常规服务时间：5X8,应急服务时间：7X8。3. 2网络安全运维服务3. 2.1安全咨询服务3. 2.1.1日常安全问题咨询服务服务内容结合本单位的实际需求，参考国内外安全标准，提供日常安全咨询服务，主 要包括大的网络安全规划、安全决策、安全事件处理等。提供完整全面的处理方 案，要求方案具有可操作性、能够指导采购人进行事件处理和应对。服务次数：按需提供，不限次数；常规服务时间：5X8,应急服务时间：7X8。交付成果日常安全问题咨询反馈记录3. 2.1. 2网络安全规划服务服务内容结合采购人的实际需求，参考国内外安全标准和国内新技术研究（如等保2. 0、 关键信息基础设施保护条例、商用密码体系、云计算、大数据、物联网、移动安 全），对采购人网络安全方案设计，网络安全建设，包括网络安全结构设计、系 统安全设计、其他网络安全方案设计，提供网络安全远景规划设计，为未来网络 信息安全工作开展提供有力指导与支撑。服务次数：按需提供，不限次数；交付成果安全远景规划建议书3. 2.1. 3等级保护咨询服务服务内容深化网络安全等级保护工作，基于对网络安全的深刻理解，在等级保护的框 架下构建一个安全、可靠、灵活、可持续改进的网络安全体系，对等级保护各个 阶段的工作重点为客户提供全方位的支持和服务，协助完成定级备案、差距分析、 安全整改或安全建议和协助对接等保测评工作。服务次数：按需提供，不限次数;交付成果网络系统等级保护咨询记录3. 2. 2渗透测试及修复服务3. 2. 2.1渗透测试服务服务内容针对渗透测试服务范围，结合等级保护合规性测评等各项检查工作的成果， 采用外部渗透方式及内部渗透方式对应用系统进行非破坏性质的模拟入侵者攻 击的测试，检测外部威胁源和路径，以便掌握系统的安全状况，寻找系统存在的 漏洞和风险；并出具渗透测试报告；测试方法渗透测试完全模拟黑客的入侵思路与技术手段，黑客的攻击入侵需要利用目 标网络的安全弱点，渗透测试也是同样的道理。以人工渗透为主，辅助以攻击工 具的使用，这样保证了整个渗透测试过程都在可以控制和调整的范围之内。针对各应用系统的渗透测试方法包括以下方法但不局限于以下方法：测试方法描述信息收集是渗透攻击的前提，通过信息收集可以有针对性地 制定模拟攻击测试计划，提高模拟攻击的成功率，同时可以信息收集有效的降低攻击测试对系统正常运行造成的不利影响。信息收集的方法包括端口扫描、操作系统指纹判别、应用判别、 账号扫描、配置判别等。通过对目标地址的TCP/UDP端口扫描，确定其所开放的服务 的数量和类型，这是所有渗透测试的基础。通过端口扫描， 端口扫描可以基本确定一个系统的基本信息，结合安全工程师的经验可以确定其可能存在以及被利用的安全弱点，为进行深层次 的渗透提供依据。本阶段将对暴露在公网的所有登陆口进行口令猜解的测试， 找出各个系统可能存在的弱口令或易被猜解的口令。猜解成 功后将继续对系统进行渗透测试，挖掘嵌套在登录口背后的口令猜测漏洞、寻找新的突破口以及可能泄漏的敏感信息，并评估相 应的危害性。猜解的对象包括：WEB登录口、FTP端口、数据 库端口、远程管理端口等。这是当前出现的频率最高、威胁最严重，同时又是最容易实 现的一种渗透方法，一个具有一般网络知识的入侵者就可以 在很短的时间内利用现成的工具实现远程溢出攻击。对于在远程溢出防火墙内的系统存在同样的风险，只要对跨接防火墙内外的 一台主机攻击成功，那么通过这台主机对防火墙内的主机进 行攻击就易如反掌。本地溢出是指在拥有了一个普通用户的账号之后，通过一段 特殊的指令代码获得管理员权限的方法。使用本地溢出的前 提是首先要获得一个普通用户的密码。也就是说由于导致本本地溢出地溢出的一个关键条件是设置不当的密码策略。多年的实践 证明，在经过前期的口令猜测阶段获取的普通账号登录系统 之后，对系统实施本地溢出攻击，就能获取不进行主动安全 防御的系统的控制管理权限。脚本测试专门针对Web服务器进行。根据最新的技术统计， 脚本安全弱点为当前Web系统尤其存在动态内容的Web系统 存在的主要比较严重的安全弱点之一。利用脚本相关弱点轻脚本测试则可以获取系统其他目录的访问权限，重则将有可能取得系 统的控制权限。因此对于含有动态页面的Web系统，脚本测 试将是必不可少的一个环节。通过初步信息收集分析，存在两种可能性，一种是目标系统 存在重大的安全弱点，测试可以直接控制目标系统；另一种 是目标系统没有远程重大的安全弱点，但是可以获得普通用 权限获取户权限，这时可以通过该普通用户权限进一步收集目标系统信息。接下来尽最大努力取得超级用户权限、收集目标主机 资料信息，寻求本地权限提升的机会。这样不停的进行信息 收集分析、权限提升的结果形成了整个的渗透测试过程。测试内容 本项目渗透测试包括但不限于以下内容:测试大类测试项用户注册用户登录身份验证修改密码类密码重置验证码绕过用户锁定功能Cookie重放攻击测试目的检查用户注册功能可能涉及的安全问题 检查用户登录功能可能涉及的安全问题 检查用户修改密码功能可能涉及的安全问题 检查忘记密码、找回密码、密码重置功能可能 涉及的安全问题会话管理类会话令牌分析会话令牌泄露会话固定攻击跨站请求伪造访问控制类功能滥用垂直权限提升水平权限提升SQL注入Cookie具有明显含义，或可被预测、可逆向， 可被攻击者分析出cookie结构 测试会话令牌是否存在泄露的可能 测试目标系统是否存在固定会话的缺陷 检测目标系统是否存在CSRF漏洞 测试目标系统是否由于设计不当，导致合法功 能非法利用测试可能出现垂直权限提升的情况 测试可能出现水平权限提升的情况 检测目标系统是否存在SQL注入漏洞文件上传检测目标系统的文件上传功能是否存在缺陷 导致可以上传非预期类型和内容的文件输入处理类任意文件下载XML注入目录穿越SSRF检测目标系统加载/下载文件功能是否可以造成任意文件下载问题测试目标系统-是否存在XML注入漏洞测试目标系统是否存在目录穿越漏洞检测目标系统是否存在服务端跨站请求伪造漏 洞检测验证码机制是否合理，是否可以被绕过 测试用户锁定功能相关的安全问题 检测目标系统是否仅依靠cookie来确认会话身 份，从而易受到cookie回放攻击信息泄露类第三方应用类本地文件包含远程文件包含远程命令/代码执行反射型跨站脚本存储型跨站脚本DOM-based 跨站脚本服务端URL重定向error codeStack Traces敏感信息中间件CMS测试目标站点是否存在LFI漏洞 测试目标站点是否存在RFI漏洞测试目标系统是否存在命令/代码注入漏洞检测目标系统是否存在反射型跨站脚本漏洞 检测目标系统是否存在存储型跨站脚本漏洞 检测目标系统是否存在DOM-based跨站脚本漏 洞检查目标系统是否存在服务端URL重定向漏洞测试目标系统的错误处理能力，是否会输出详 尽的错误信息测试目标系统是否开启了 Stack Traces调试信 息尽量收集目标系统的敏感信息测试目标系统是否存在jboss、weblogic、 tomcat等中间件测试目标系统是否存在dedecms、phpcms等CMS测试方式透测试服务根据测试的位置不同可以分为现场测试和远程测试；根据测试的 方法不同分为黑盒测试和白盒测试两类；现场测试是指经过用户授权后，测试人员到达用户工作现场或接入用户工作 内网，根据用户的期望测试的目标直接接入到用户的办公网络甚至业务网络中。这种测试的好处就在于免去了测试人员从外部绕过防火墙、入侵保护等安全设备 的工作。一般用于检测内部威胁源和路径。远程测试与现场测试相反，测试人员无需到达客户现场或接入用户内部网络， 直接从互联网访问用户的某个接入到互联网的系统并进行测试即可。这种测试往 往是应用于那些关注门户站点和互联网应用的用户，主要用于检测外部威胁源和 路径。黑盒测试是指测试人员对除目标系统的IP或域名以外的信息一无所知的情 况下对系统发起的测试工作，这种方式可以较好的模拟黑客行为，了解外部恶意 用户可能对系统带来的威胁。白盒测试则是指测试人员通过用户授权获取了部分信息的情况下进行的测 试，如：目标系统的帐号、配置甚至源代码。这种情况用户模拟并检测内部的恶 意用户可能为系统带来的威胁。测试流程服务频率服务期内每年一次。服务范围国控系统、机动车尾气系统、大气预警平台、电子政务平台、OA系统。交付成果渗透测试报告 3. 2. 2. 2渗透测试漏洞修复服务服务内容提供漏洞修复服务；依据渗透测试的结果，对发现的应用系统和应用系统承 载设施存在的安全风险给出修复建议或协助修复。服务频率服务期内每季度一次服务范围国控系统、机动车尾气系统、大气预警平台、电子政务平台、OA系统。交付成果渗透测试漏洞修复报告3.2.3基线加固服务服务内容安全加固服务，是指根据安全加固列表，对目标系统的安全漏洞对进行修复、 配置隐患进行优化的过程。加固内容包括但不限于系统补丁、防火墙、防病毒、 危险服务、共享、自动播放、密码安全。针对范围内主机提供基线安全加固服务， 遵循基线安全加固技术标准对授权的设备进行基线安全加固。使服务器具有基本 的安全防护能力，能抵御对操作系统的直接攻击，能在发生攻击时限制影响范围。基线加固内容安全加固的操作系统包括Windows、Linux、AIX、HP-Unix、Solaris。操作 系统的加固内容如下表所示：a Windows基线安全加固标准：控制点 1:应对登录操作系统和数据库系统的用户进行身份标识和鉴别；目的防止未授权访问加固检查 查看登录是否需要密码数据库使用口令鉴别机制对用户进行身份标识和鉴别；加固标准 登录时提示输入用户名和口令，以错误口令或空口令登录时提示登录失败， 验证了登录控制功能的有效性。控制点 2:操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令 应有复杂度要求并定期更换；目的 防止弱口令加固检查查看安全策略是否启用密码复杂性策略密码最小长度密码最短使用期限密码最长使用期限强制密码历史加固标准启用密码复杂性策略密码最小长度为8位密码最短使用期限0天密码最长使用期限90天强制记住密码历史0个控制点 3:启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；目的防止恶意猜解账户口令加固检查查看安全策略是否启用账户锁定时间账户锁定阈值重置账户锁定计数器加固标准账户锁定时间30分钟账户锁定阈值5次无效登陆重置账户锁定计数器30分钟之后控制点 4:对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；目的 RDP加密传输，防止身份鉴别信息在传输过程中泄露加固检查点击开始-运行输入：gpedit.msc，点击计算机配置-管理模板-Windows组件-远程桌面服务-远程桌面会话主机-安全，双 击远程（rdp）连接要求使用指定的安全层，选择已启用，安全层选择 SSL（TLSI.O）,点击确定；双击设置客户端连接加密级别，选择已启用， 加密级别为高级别，点击确定。加固标准安全层使用ssL加密，加密级别为高级别控制点5:应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性；目的防止账户滥用加固检查依次展开开始-（控制面板-）管理工具-计算机管理-本地用户和组-用户;查看用户列表，询问每个账户的使用情况。加固标准无多人共用同一个账号的情况。控制点6:系统敏感资源访问控制目的限制系统敏感资源的访问权限加固检查 1）文件权限：a）右键点击开始，打开资源管理器（X），工具-文件夹选项-查看 中的“使用简单文件共享（推荐）”是否选中；b）右键单击下面两个文件夹的属性-安全，查看users的权限。2）用户权限：a）开始- （控制面板-）管理工具-计算机管理-本地用户和 组-组b）双击“名称”列中Administrators用户，查看成员。加固标准 未选中“使用简单文件共享（推荐）”选项。program files文件夹的users权限只允许“读取和运行”、“列出文件夹目 录”、“读取”三种权限；普通用户、应用账户等非管理员账户不属于管理员组。控制点7:重命名系统默认账户，修改默认口令目的防止恶意攻击者通过默认账户口令进行系统加固检查依次点击控制面板-用户账户-更改账户类型-选择更改的账号，此时选择一个需要更改的账户，继续选择更改账户名称，重新输入账户名 称，选择更改密码，重新输入一次密码。加固标准不存在默认账户名，无默认口令控制点8:删除多余的、过期的账户目的防止多余过期的账户被利用加固检查”依次展开开始-（控制面板-）管理工具-计算机管理-本地用户和组-用户，查看是否存在过期账户；）依据用户账户列表询问主机管理 员，每个账户是否为合法用户；依据用户账户列表询问主机管理员，是否存在多人共用的账户。”加固标准无多余的、过期的账户控制点9:端口限制目的限制常见危险端口的访问权限加固检查 彻底关闭137、138、139端口：进入控制面板-网络和共享中心-本地 连接-属性-internet协议版本4- 高级- Wins- 禁用TCP/IP上 的NETBIOS点击确定，回到本地连接属性中，不选中Microsoft网络的文件 和打印机共享点击确定。关闭135、445端口：点击开始-运行输入dcomcnfg,打开组件服务-计算机-我的 电脑右键属性，点击默认属性，把在此计算机上启用分布式com前面的勾 去掉，返回到默认协议，移除面向连接的TCP/IP协议，点击确定。重新 开始-运行输入regedit，进入注册表，定位到HKEY_LOCAL_MACHINESOFTWAREMicrosoftRpc，右键 Rpc-新建一项，改为 internet。关闭445：开始-运行，输入：regedit，定位到 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParamete rs，右键新建一个dword值，若是系统是32位，就建32的dword的，64位 的就选择新建对应64的dword值，然后将值设为0。重新开始-运行，输入 services.msc,进入服务，找到server服务，双击进入，启动类型为“禁 用”，服务状态改为“停止”，点击应用，重启服务器。ip安全策略关闭端口：依次展开开始-控制面板-管理工具-本地安 全策略选择ip安全策略点击右键选择创建ip安全策略一直下一步在此 过程中可以进行重命名此安全策略，在弹出的属性里选择添加在新规则属 性里选择添加，在ip筛选列表里选择添加，在ip筛选器里选择从任何 ip地址到我的ip地址，选择协议，在新的属性里选择tcp协议，从任意端 口到此端口（135）点击确定，此时回到了新规则属性面板，可以给新规则命 名（关闭135），在ip筛选列表里选中关闭135在筛选器操作面板双击关闭 135，在关闭135属性面板中选择安全方法- 阻止，点击确定，属性面 板都是选择确定，此时回到了 ip安全策略面板，右键之前新建的安全策 略，选择分配。防火墙关闭端口：展开控制面板-防火墙-高级设 置-入站规则-新建规则-在新弹出的属性面板中选择端口点击下 一步选择TCP和特定本地端口输入135点击下一步选中阻止连接选 中下一步，在此可以给此规则命名，点击确定加固标准安装msT7-010补丁，确认135、137、138、139、445端口已关闭，并在防火墙、ipsec处配置相应策略限制端口使用控制点10:配置审计策略，审计范围覆盖每个用户目的保证审计策略覆盖到安全事件和用户加固检查安全系统扩展系统完整性其他系统事件安全状态更改登录注销帐户锁定特殊登录其他登录/注销事件网络策略服务器 用户/设备声明文件系统注册表SAM筛选平台连接其他对象访问事件可移动存储非敏感权限使用敏感权限使用进程创建进程终止身份验证策略更改授权策略更改MPSSVC规则级别策略更改筛选平台策略更改其他策略更改事件审核策略更改用户帐户管理计算机帐户管理安全组管理应用程序组管理其他帐户管理事件其他帐户登录事件凭据验证加固标准”安全系统扩展成功和失败系统完整性成功和失败其他系统事件成功和失败安全状态更改成功和失败登录成功和失败注销成功和失败帐户锁定成功和失败特殊登录成功和失败其他登录/注销事件成功和失败网络策略服务器成功和失败用户/设备声明成功和失败文件系统失败注册表成功和失败SAM成功筛选平台连接失败其他对象访问事件成功和失败可移动存储成功和失败非敏感权限使用成功和失败敏感权限使用成功和失败进程创建成功和失败进程终止成功和失败身份验证策略更改成功和失败授权策略更改成功和失败MPSSVC规则级别策略更改成功和失败筛选平台策略更改成功和失败其他策略更改事件成功和失败审核策略更改成功和失败用户帐户管理成功和失败计算机帐户管理成功和失败安全组管理成功和失败应用程序组管理成功和失败其他帐户管理事件成功和失败其他帐户登录事件成功成功”凭据验证控制点11:保护审计记录目的防止审计记录受到非预期的删除和修改加固检查依次展开开始-> 控制面板-> 管理工具-> 事件查看器-> Windows日志->应用程序右键属性，设置日志最大大小为20480kb，按需要覆盖事 件，按以上步骤对应用程序、安全、Setup、系统选项进行配置。加固标准 Windows日志最大为20480kb，按需要覆盖日志配置日志传输到日志审计服务器控制点12: windows组策略安全选项配置目的保护系统剩余资源，防止漏洞危害扩大加固检查 Microsoft网络服务器：暂停会话前所需的空闲时间数量关机：清除虚拟内存页面文件交互式登录：不显示最后的用户名交互式登录：锁定会话时显示用户信息设备：将CD-ROM的访问权限仅限于本地登录的用户设备：将软盘驱动器的访问权限仅限于本地登录的用户设备：允许对可移动媒体进行格式化并弹出审核：对备份和还原权限的使用进行审核审核：强制审核策略子类别设置（Windows Vista或更高版本）替代审核策略 类别设置。网络访问：不允许存储网络身份验证的密码和凭据网络访问：可远程访问的注册表路径网络访问：可远程访问的注册表路径和子路径加固标准 Microsoft网络服务器：暂停会话前所需的空闲时间数量10分钟关机：清除虚拟内存页面文件已启用交互式登录：不显示最后的用户名已启用交互式登录：锁定会话时显示用户信息不显示用户信息设备：将CD-ROM的访问权限仅限于本地登录的用户 已启用设备：将软盘驱动器的访问权限仅限于本地登录的用户已启用设备：允许对可移动媒体进行格式化并弹出管理员审核：对备份和还原权限的使用进行审核已启用审核：强制审核策略子类别设置（Windows Vista或更高版本）替代审核策略类别设置。已启用网络访问：不允许存储网络身份验证的密码和凭据已启用网络访问：可远程访问的注册表路径无路径网络访问：可远程访问的注册表路径和子路径无路径控制点13: SYN保护目的防护SYN攻击加固检查 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSynAttackProte ct;推荐值：2HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpMaxPortsExh austed;推荐值：5HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpMaxHalfOpen ;推荐值：500HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpMaxHalfOpenRetried。推荐值：400加固标准 SynAttackProtect;值：2TcpMaxPortsExhausted; 值：5TcpMaxHalfOpen;值：500TcpMaxHalfOpenRetried 值：400控制点14:关闭默认共享目的防止攻击者通过网络共享功能获取敏感数据加固检查 进入“开始一运行一Regedit”，进入注册表编辑器，查看HKLMSystemCurrentControlSetServicesLanmanServerParametersAutoShareServer； 值为 0加固标准 进入“开始>运行>Regedit”，进入注册表编辑器，查看HKLMSystemCurrentControlSetServicesLanmanServerParametersAutoShareServer； 值为 0控制点15:数据执行保护（DEP）目的防止恶意应用运行用于暂存指令的那部分内存中的数据加固检查 进入“控制面板一系统”，在“高级”选项卡的“性能”下的“设置”。进入“数据执行保护”选项卡。查看“仅为基本Windows操作系统程序和 服务启用DEP”。加固标准 为基本Windows操作系统程序和服务启用DEP”。控制点16:关闭多余的服务目的关闭多余服务加固检查关闭下列服务：BITSBrowserDDHCP（仅2012）NlaSvcSpoolerRemoteRegistry （仅 2012）seclogonSCardSvrImhostsLanmanWorkstationAudiosrvW32Time加固标准关闭下列服务：BITSBrowserDDHCP（仅2012）NlaSvcSpoolerRe