2022年操作系统安全基线配置 3.pdf

《2022年操作系统安全基线配置 3.pdf》由会员分享，可在线阅读，更多相关《2022年操作系统安全基线配置 3.pdf（9页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Win2003& 2008操作系统安全配置要求2.1. 帐户口令安全帐户分配：应为不同用户分配不同的帐户， 不允许不同用户间共享同一帐户。帐户锁定：应删除或锁定过期帐户、无用帐户。用户访问权限指派：应只允许指定授权帐户对主机进行远程访问。帐户权限最小化：应根据实际需要为各个帐户分配最小权限。默认帐户管理： 应对 Administrator 帐户重命名， 并禁用 Guest （来宾）帐户。口令长度及复杂度：应要求操作系统帐户口令长度至少为8 位， 且应为数字、字母和特殊符号中至少2 类的组合。口令最长使用期限：应设置口令的最长使用期限小于90 天。口令历史有效次数： 应配置操作系统用户不能重复使

2、用最近5 次 （含 5 次）已使用过的口令。口令锁定策略：应配置当用户连续认证失败次数为5 次，锁定该帐户 30 分钟。2.2. 服务及授权安全服务开启最小化：应关闭不必要的服务。SNMP服务接受团体名称设置：应设置SNMP接受团体名称不为public 或弱字符串。系统时间同步：应确保系统时间与NTP服务器同步。DNS服务指向：应配置系统DNS指向企业内部 DNS服务器。2.3. 补丁安全系统版本：应确保操作系统版本更新至最新。补丁更新：应在确保业务不受影响的情况下及时更新操作系统补丁。2.4. 日志审计日志审核策略设置：应合理配置系统日志审核策略。日志存储规则设置：应设置日志存储规则，保证足

3、够的日志存储空间。日志存储路径：应更改日志默认存放路径。日志定期备份：应定期对系统日志进行备份。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 9 页 - - - - - - - - - 2.5. 系统防火墙：应启用系统自带防火墙，并根据业务需要限定允许通讯的应用程序或端口。2.6. 防病毒软件：应安装由总部统一部署的防病毒软件，并及时更新。2.7. 关闭自动播放功能：应关闭Windows 自动播放功能。2.8. 共享文件夹删除本地默认共享：应关闭Windows 本地默认

4、共享。共享文件权限限制：应设置共享文件夹的访问权限，仅允许授权的帐户共享此文件夹。2.9. 登录通信安全禁止远程访问注册表：应禁止远程访问注册表路径和子路径。登录超时时间设置：应设置远程登录帐户的登录超时时间为30 分钟。限制匿名登录：应禁用匿名访问命名管道和共享。Red Hat Linux 5& 6、Solaris 9& 10、HP-UNIX 11操作系统安全配置要求2.1. 帐户口令安全帐户共用：应为不同用户分配不同系统帐户，不允许不同用户间共享同一系统帐户。帐户锁定：应删除或锁定过期帐户或无用帐户。超级管理员远程登录限制：应限制root 帐户远程登录。帐户权限最小化：应根据实际需要为各个

5、帐户设置最小权限。口令长度及复杂度：应要求操作系统帐户口令长度至少为8 位， 且应为数字、字母和特殊符号中至少2 类的组合。口令最长使用期限：应设置口令的最长生存周期小于等于90天。口令历史有次数：应配置操作系统用户不能重复使用最近5 次（含 5 次）内已使用的口令。口令锁定策略：应配置用户当连续认证失败次数超过5 次（不含 5 次） ，锁定该帐户 30 分钟。 （Solaris 9 & 10 、Red Hat Linux 5 & 6 、AIX 5 ）应配置当用户连续认证失败次数超过5 次 （不含 5 次） ， 锁定该帐户。名师资料总结 - - -精品资料欢迎下载 - - - - - - -

6、- - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 9 页 - - - - - - - - - （UNIX 11 ）2.2. 服务及授权安全重要文件目录权限：应根据用户的业务需要，配置文件及目录所需的最小权限。应对文件和目录进行权限设置，合理设置重要目录和文件的权限（AIX 5 ）用户缺省访问权限：应配置用户缺省访问权限，屏蔽掉新建文件和目录不该有的访问允许权限。（UNIX 11 、Red Hat Linux 5 & 6 、AIX 5无屏蔽, 权限）服务开启最小化：应关闭不必要的服务。系统时间同步：应确保系统时间与NTP服务器同步。DNS服务器

7、指定：应配置系统DNS指向企业内部 DNS服务器。2.3. 补丁安全：应在确保业务不受影响的情况下及时更新操作系统补丁。2.4. 日志审计日志审计功能设置：应配置日志审计功能。日志权限设置： 应合理配置日志文件的权限。 （Solaris 9 & 10 、Red Hat Linux 5 & 6）应配置帐户对日志文件读取、修改和删除等操作权限进行限制。（UNIX 11 、AIX 5 ）日志定期备份：应定期对系统日志进行备份。网络日志服务器设置（可选） ：应配置统一的网络日志服务器。2.5. 防止堆栈溢出设置：应设置防止堆栈缓冲溢出。2.6. 登录通信安全远程管理加密协议：应配置使用SSH等加密协议

8、进行远程管理，禁止使用Telnet等明文传输协议。登录超时时间设置：应设置登录帐户的登录超时为30 分钟。SQL Server 2005& 2008数据库安全配置要求2.1. 帐户口令安全帐户共用：应为不同用户分配不同的数据库帐户，不允许多个用户共用同一个数据库帐户。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 9 页 - - - - - - - - - 帐户锁定：应删除或禁用无关帐户。禁止管理员帐户启动SQL Server 服务： 应禁止使用管理员帐户启动SQL se

9、rver服务。帐户策略：应在 SQL Server 帐户策略中启用操作系统帐户策略，即继承操作系统帐户策略。2.2. 权限最小化：应根据用户的业务需要，配置其数据库所需的最小权限。2.3. 日志审计登录审核：配置登录审核，记录用户登录操作。C2审核跟踪：启用C2 审核跟踪。2.4. 禁用不必要的存储过程：应禁用不必要的存储过程。2.5. 补丁安全：应在确保业务不受影响的情况下及时安装更新操作系统和SQL Server补丁。2.6. 访问 IP限制：应只允许信任的IP 地址通过监听器访问数据库。配置防火墙限制，只允许与指定的IP地址建立 1433 的通讯（从更为安全的角度考虑，可将1433 端口

10、改为其他的端口） 。2.7. 连接数设置：应根据服务器性能和业务需求，设置最大并发连接数。2.8. 数据库备份：应每周对数据库进行一次完整备份。Oracle9i& 10g & 11g数据安全配置要求2.1. 帐户口令安全禁止帐户共用：应为不同用户分配不同的数据库帐户，不允许多个用户共用同一数据库帐户。帐户锁定：应锁定或删除无关帐户。限制 DBA组帐户： DBA组仅添加 Oracle帐户。口令长度及复杂度：应要求数据库系统口令长度至少为8 位，且应为数字、字母和特殊符号中至少2 类的组合。口令过期警告天数：应将口令过期警告天数设置为不少于7 天（提前 7 天通知更改口令）。口令最长使用天数：应将

11、口令最长生存期不长于90 天。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 9 页 - - - - - - - - - 口令历史有效次数：应配置数据库帐户不能重复使用最近5 次（含 5 次）内已使用的口令。口令锁定策略：对于采用静态口令认证的系统，应配置当用户连续认证失败次数超过 5 次（不含 5 次） ，锁定该帐户。帐户锁定时间：当用户连续认证失败次数超过5 次（不含 5 次） ，锁定该帐户 30 分钟。系统帐户口令安全：应修改数据库系统帐户的默认口令。2.2. 服务

12、及授权权限最小化：应根据用户的业务需要，配置数据库帐户所需的最小权限。限制特权帐户远程登录：应限制特权帐户远程登录。2.3. 日志审计：应启用数据库审计功能。2.4. 补丁安全：应在确保业务不受影响的情况下及时更新数据库补丁。2.5. 访问 IP限制：应只允许信任的IP 地址通过监听器访问数据库。2.6. 连接数设置：应根据服务器性能和业务需求，设置最大并发连接数。2.7. 数据库备份：应定期对数据库进行备份。IIS 6&7 安全配置要求2.0. 帐户安全：应根据实际情况，删除或锁定IIS自动生成的无用帐户。 （IIS6）2.1. 文件系统及访问权限：更改站点路径：应更改站点路径为非系统分区。

13、站点目录权限：应确保站点目录的所有权限不分配给Everyone 。主目录权限配置：应合理设置站点“主目录”的权限。（IIS 6 ）禁止目录浏览：应禁止浏览站点目录。 （IIS 7 ）站点目录的功能权限：应禁止站点目录的执行权限。（IIS 7）站点上传目录的功能权限：应禁止站点上传目录的执行和脚本权限。2.2. 最小化服务：匿名访问权限：应确保每个站点的匿名访问帐户是相互独立的，且只存在于Guests组。IIS服务组件：应删除IIS应用服务中不需要的组件服务。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - -

14、 - - - - 第 5 页，共 9 页 - - - - - - - - - Web服务扩展：应禁用站点不需要的Web 服务扩展。（IIS 6 ）删除不必要的脚本映射：应删除不必要的脚本映射。2.3. 日志审计：日志启用：应启用日志记录功能。 （IIS 6 ）日志存储：应更改日志默认的存放路径。2.4. 连接数限制：应合理设置最大并发连接数和最大带宽值。连接数限制：应合理设置最大连接数和最大带宽值。（IIS 6）2.5. 自定义错误页面：应自定义错误页面。Tomcat 6&7安全配置要求2.1. 帐户口令安全帐户共用：应为不同的用户分配不同的Tomcat帐户，不允许不同用户间共享 Tomcat

15、帐户。帐户锁定：应删除过期、无用帐户。口令复杂度：应要求Tomcat管理帐户口令长度至少8 位，且为数字、字母和特殊符号中至少 2 类的组合。2.2. 权限最小化：应仅允许超级管理员具有远程管理权限。2.3. 日志审计：应为服务配置日志功能，对用户登录事件进行记录，记录内容包括用户登录使用的帐户，登录是否成功，登录时间，以及远程登录时使用的IP地址等信息。2.4. 远程访问加密：应对Tomcat的远程访问进行加密。2.5. 更改默认管理端口：应更改Tomcat服务默认管理端口。2.6. 自定义错误页面：应重定向Tomcat的错误页面。2.7. 目录浏览：应禁止站点目录浏览。2.8. 连接数设置

16、：应根据服务器性能和业务需求，设置最大连接数。Apache2.2 & 2.4安全配置要求2.1 帐号安全：应以非系统帐号运行Apache。2.2. 文件与目录安全名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 9 页 - - - - - - - - - Apache主目录权限：应严格控制Apache主目录的访问权限，非系统特权用户不能修改该目录下的文件。文件权限：应严格限制配置文件和日志文件的访问权限。禁止访问外部文件：应禁止Apache访问 Web 目录之外的任何文件。

17、删除缺省安装无用文件：应删除缺省安装的无用文件。禁止目录浏览：应禁止站点目录浏览。2.3. 连接与通信安全连接数设置：应合理设置最大并发连接数。禁用危险 HTTP方法：应禁用 PUT 、DELETE 等危险的 HTTP方法。2.4. 信息泄露防范隐藏 Apache版本号：应隐藏 Apache版本号信息。自定义错误页面内容：应自定义错误页面。2.5. 日志审计：应合理配置审计策略。2.6. 补丁更新：应及时更新补丁。2.7. 其他禁用 CG ：应禁用 CGI程序。关闭 TRACE ：应关闭 TRACE 方法。WebLogic 8& 9 & 10安全配置要求2.1. 帐户口令安全帐户共用：应为不同

18、的用户分配不同的Weblogic帐户，不允许多个用户共用同一个帐户。帐户清理：应删除过期、无用帐户。禁止以特权身份运行：应禁止以特权用户身份运行WebLogic 。口令长度：应设置Weblogic 帐户口令长度至少为8 位。帐户封锁： 应配置当帐户连续认证失败次数超过5 次（不含 5 次） ，锁定该帐户 30分钟。2.2. 日志审计日志启用：应启用日志功能。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 9 页 - - - - - - - - - 审计策略：应合理配置审计

19、策略。2.3. Keystore和 SSL设置：应合理设置Keystore 和 SSL 。2.4. 运行模式：应更改运行模式为“Production Mode” 。2.5. Sender Server Header ：应禁用Send Server header 。2.6. 删除 Sample程序：应删除sample 程序。2.7. 自定义错误页面：应自定义错误页面。2.8. 超时时间策略：应根据具体应用，合理设置session超时时间。2.9. 连接数设置：应合理设置最大连接数。2.10.主机名认证：应开启主机名认证。Web 应用安全配置要求2.1. 帐号口令安全身份认证：应对应用系统用户登录

20、进行身份认证。帐号管理：应禁用或删除应用系统默认、无用或测试帐号。帐号锁定策略：应设置帐户登录失败锁定策略。口令策略：应要求应用系统中管理帐户的口令长度至少为8 位，且为数字、字母和特殊符号中至少2 类的组合。定期更换口令策略：应设置口令定期更换策略。2.2. 数据安全敏感信息存储：应对应用系统中的敏感信息采用加密形式存储。敏感信息传输：应对应用系统的敏感信息采用加密方式传输。数据备份：应定期对应用系统程序及数据库进行备份。2.3. 资源控制权限分离：应对应用系统管理权限进行分离。登录会话超时策略：应配置用户登录超时策略。最大并发连接数限制：应设置应用系统最大并发连接数策略。多重并发会话数限制

21、：应限制单用户的多重并发会话数。2.4. 日志审计：应对系统用户的所有操作进行日志审计。2.5. 代码质量名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 9 页 - - - - - - - - - 跨站脚本攻击：检查系统是否存在跨站脚本攻击漏洞。SQL注入攻击：检查系统是否存在SQL注入攻击漏洞。路径遍历攻击：检查系统是否存在路径遍历攻击漏洞。上传后门脚本：应对上传页面格式进行限制。输入有效性：应对交互式页面上提交数据的有效性进行验证。2.6. 第三方软件安全：应用系统使

22、用的第三方软件的安全性检查。Cisco 、H3C 设备安全配置要求2.1. 帐号口令安全帐户身份认证：应对登录帐户进行身份认证。特权口令安全：应对帐号口令加密存储。 该登录口令要求长度至少为8 位, 应为字母、数字、特殊符号中至少2 类的组合。Console模式口令安全： 应为 Console口模式设置登录口令， 该登录口令要以密文存储，要求长度至少为8 位, 应为字母、数字、特殊符号中至少2 类的组合。帐户登录地址限制：应对帐户登录地址进行限制。登录会话超时：应对登录会话超时自动退出。2.2. 安全配置通讯加密：应采取必要措施防止帐户信息在网络传输过程中被窃听。禁用 CDP协议：应禁用设备上

23、的CDP协议。 （Cisco ）关闭缺省服务：应关闭缺省状态下开启的高危服务。修改默认 Banner login信息：应修改默认banner login 信息。修改 SNMP服务： 应修改 SNMP服务， 该字符串口令要求长度至少为8 位, 应为字母、数字、特殊符号中至少2 类的组合。指定 DNS服务器 IP地址：应指定 DNS服务器 IP地址。OSPF 路由协议加密：应对OSPF 路由协议进行加密。禁止 AUX端口：应禁止 AUX端口。NTP配置：应确保设备时间与内网NTP服务器同步。2.3. 日志审计：应配置设备日志收集策略。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 9 页 - - - - - - - - -