广州市电子政务外网系统安全加固25115.docx

《广州市电子政务外网系统安全加固25115.docx》由会员分享，可在线阅读，更多相关《广州市电子政务外网系统安全加固25115.docx（28页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、广州市电子政务外网系统安全加固指南（1.0版）广州市机关信息息网络中心编编制2010年8月月广州市电子政务务外网 系统安全 加固指南 （1.0版）1Windowss系统安全加加固41补丁更新41.1 到微软软网站下载最最新的补丁程程序42安全加固42.2 停掉Guesst 帐号42.3 限制不不必要的用户户数量42.4 创建22个管理员用用帐号42.5 把系统统adminnistraator帐号号改名52.6 创建一一个陷阱帐号号52.7 把共享享文件的权限限从”eveeryonee”组改成“授权用户”52.8 使用用安全密码52.9 设置屏屏幕保护密码码52.10 使用用NTFS格式式分区6

2、2.11 利用用win的安全全配置工具来来配置策略62.12 关闭闭不必要的服服务62.13 关闭闭不必要的端端口72.14 打开开审核策略72.15 开启启帐户策略82.16 不让让系统显示上上次登陆的用用户名82.17 禁止止建立空连接接82.18 关闭闭 DireectDraaw82.19 关闭闭默认共享82.20 禁止止dump file的的产生92.21 使用用文件加密系系统EFS92.22 锁住住注册表92.23 建议议安装urllscan（或直接安装装IISLoockdowwn）102.24 关闭闭RPC DDCOM组件件10TOMCAT系系统安全加固固111.Tomccat安全

3、配配置111.1.基本本安全配置111.2.多重重服务器的安安全防护111.3.配置置服务器默认认端口121.4.关闭闭服务器端口口121.5.默认认错误网页设设置131.6.配置置支持SSLL13配置支持SSSL的方法(分别以TESST,TesstAdmiin两实际访访问对象举例例)13MS SQL系系统安全加固固161.安装最新新安全补丁161.1.安装装操作系统提提供商发布的的最新的安全全补丁162.网络和系系统服务172.1.检查查系统文件是是装置在NTTFS分区172.2.默认认用户状态及及口令更改情情况172.3.停用用不必要的存存储过程172.4.错误误日志管理192.5.拒绝来

4、自14434端口的的探测192.6.对网网络连接进行行IP限制19Windowss系统安全加加固1补丁更新1.1 到微软软网站下载最最新的补丁程程序 2安全加固2.2 停掉GGuest 帐号 在计算机管理的的用户里面把把guestt帐号停用掉掉，任何时候候都不允许gguest帐帐号登陆系统统。为了保险险起见，最好好给guesst 加一个个复杂的密码码，你可以打打开记事本，在在里面输入一一串包含特殊殊字符,数字，字母母的长字符串串，然后把它它作为gueest帐号的的密码拷进去去。 （windoows03的的guestt帐号一般情情况不可删除除，会影响应应用）2.3 限制不不必要的用户户数量 去掉

5、所有的duuplicaate usser 帐户户, 测试用帐帐户, 共享帐号号，普通部门门帐号等等。用用户组策略设设置相应权限限，并且经常常检查系统的的帐户，删除除已经不在使使用的帐户。这这些帐户很多多时候都是黑黑客们入侵系系统的突破口口，系统的帐帐户越多，黑黑客们得到合合法用户的权权限可能性一一般也就越大大。2.4 创建22个管理员用用帐号 创建一个一般权权限帐号用来来收信以及处处理一些日常常事物，另一一个拥有Addminisstratoors 权限限的帐户只在在需要的时候候使用。可以以让管理员使使用 “ RunAAS” 命令来执行行一些需要特特权才能作的的一些工作，以以方便管理。2.5 把

6、系统统adminnistraator帐号号改名 windowss 的adminnistraator帐号号是不能被停停用的，这意味着别别人可以一遍遍又一边的尝尝试这个帐户户的密码。把把Adminnistraator帐户户改名可以有有效的防止这这一点。当然然，请不要使使用Admiin之类的名名字，改了等等于没改，尽尽量把它伪装装成普通用户户，比如改成成：guesstone 。 2.6 创建一一个陷阱帐号号 创建一个名为” Admiinistrrator”的本地帐户户，把它的权权限设置成最最低，什么事事也干不了的的那种，并且且加上一个超超过10位的超级级复杂密码。这这样可以让那那些 Scrripts

7、忙忙上一段时间间了，并且可可以借此发现现它们的入侵侵企图。2.7 把共享享文件的权限限从”eveeryonee”组改成“授权用户” “everyoone” 在win中意味味着任何有权权进入你的网网络的用户都都能够获得这这些共享资料料。任何时候候都不要把共共享文件的用用户设置成”everyyone”组。包括打打印共享，默默认的属性就就是”everyyone”组的。 2.8 使用安安全密码 一个好的密码对对于一个网络络是非常重要要的，但是它它是最容易被被忽略的。一一些公司的管管理员创建帐帐号的时候往往往用公司名名，计算机名名，或者一些些别的一猜就就到的东西做做用户名，然然后又把这些些帐户的密码码设

8、置得很简简单，比如 “welcoome”，“iloveeyou”或者和用户户名相同等等等。这样的帐帐户应该要求求用户首此登登陆的时候更更改成复杂的的密码，还要要注意经常更更改密码。 2.9 设置屏屏幕保护密码码 很简单也很有必必要，设置屏屏幕保护密码码也是防止内内部人员破坏坏服务器的一一个屏障。2.10 使用用NTFS格式式分区 把服务器的所有有分区都改成成NTFS格式式。NTFSS文件系统要要比FAT,FAT322的文件系统统安全得多。2.11 利用用win的安全全配置工具来来配置策略 微软提供了一套套的基于MMMC(管理控控制台)安全配置和和分析工具，利利用他们你可可以很方便的的配置你的服

9、服务器以满足足你的要求。具具体内容请参参考微软主页页： http:/www.mmicrossoft.ccom/wiindowss2000/techiinfo/hhowitwworks/securrity/ssctoollset.aasp 2.12 关闭闭不必要的服服务 windowss 的 Termminal Serviices（终端服务），IIS ,和RAS都可能能给你的系统统带来安全漏漏洞。为了能能够在远程方方便的管理服服务器，很多多机器的终端端服务都是开开着的，如果果你的也开了了，要确认你你已经正确的的配置了终端端服务。有些些恶意的程序序也能以服务务方式悄悄的的运行。要留留意服务器上上面

10、开启的所所有服务，中中期性(每天)的检查他们们。建议将以以下服务设为为自启动：Eventloog ( rrequirred )NT LM SSecuriity Prrovideer (reequireed)Remote Proceedure Call (RPC) (reqquiredd)Workstaation (leavve serrvice on: wwill bbe dissabledd lateer in the ddocumeent)Protectted Sttoragee (reqquiredd)Plug annd Plaay( reequireed )Securitty Accc

11、ountss Manaager( requiired )需要注意的是，服务设置不不当可能导致致系统不能进进行正常操作作。设置每台台主机服务的的时候，要针对具体体的应用情况况和网络情况况进行有针对对性的设置，不能直接按按照推荐完全全照做。上面面建议只作为为参考，并不不能作为每一一台主机的配配置标准。2.13 关闭闭不必要的端端口 关闭端口意味着着减少功能，在在安全和功能能上面需要你你作一点决策策。如果服务务器安装在防防火墙的后面面，冒的险就就会少些，但但是，永远不不要认为你可可以高枕无忧忧了。用端口口扫描器扫描描系统所开放放的端口，确确定开放了哪哪些服务是黑黑客入侵你的的系统的第一一步。syys

12、tem332driiversetcsservicces 文件件中有知名端端口和服务的的对照表可供供参考。具体体方法为： 网上邻居属性性本地连接属性intternett 协议(tcpp/ip)属性高级选项tcpp/ip筛选选属性 打开tcp/ip筛选，添添加需要的ttcp,uddp,协议即即可。 2.14 打开开审核策略 开启安全审核是是win最基本本的入侵检测测方法。当有有人尝试对你你的系统进行行某些方式（如如尝试用户密密码,改变帐户策策略，未经许许可的文件访访问等等）入入侵的时候，都都会被安全审审核记录下来来。很多的管管理员在系统统被入侵了几几个月都不知知道，直到系系统遭到破坏坏。下面的这这

13、些审核是必必须开启的，其其他的可以根根据需要增加加： 策略 设置 审核系统登陆事事件 成功，失败败 审核帐户管理 成功，失败败 审核登陆事件 成功，失败败 审核对象访问 成功 审核策略更改 成功，失败败 审核特权使用 成功，失败败 审核系统事件 成功，失败败 开启密码策略 策略 设置 密码复杂性要求求 启用 密码长度最小值值 6位 强制密码历史 5 次 强制密码历史 42 天 2.15 开启启帐户策略 策略 设置 复位帐户锁定计计数器 200分钟 帐户锁定时间 20分钟 帐户锁定阈值 3次 2.16 不让让系统显示上上次登陆的用用户名 默认情况下，终终端服务接入入服务器时，登登陆对话框中中会显

14、示上次次登陆的帐户户明，本地的的登陆对话框框也是一样。这这使得别人可可以很容易的的得到系统的的一些用户名名，进而作密密码猜测。修修改注册表可可以不让对话话框里显示上上次登陆的用用户名，具体体是： HKLMSooftwarreMiccrosofftWinndows NTCuurrenttVersiionWiinlogoonDonntDispplayLaastUseerNamee 把 REG_SSZ 的键值值改成 1 . 2.17 禁止止建立空连接接 默认情况下，任任何用户通过过通过空连接接连上服务器器，进而枚举举出帐号，猜猜测密码。通通过修改注册册表来禁止建建立空连接： Local_MMachi

15、nneSysstemCCurrenntConttrolSeetConntrolLSA-RRestriictAnoonymouus 的值改改成”1”即可。 2.18 关闭闭 DireectDraaw 这是C2级安全全标准对视频频卡和内存的的要求。修改改注册表 HHKLMSSYSTEMMCurrrentCoontrollSetCControolGraaphicssDriveersDCCI的Timeoout(REEG_DWOORD)为 0 即可。2.19 关闭闭默认共享 Win系统安装装好以后，系系统会创建一一些隐藏的共共享，要禁止止这些共享 ，打开 管理工具计算机管理理共享文件夹夹共享 在相应的共

16、共享文件夹上上按右键，点点停止共享即即可，不过机机器重新启动动后，这些共共享又会重新新开启的。 默认共享目录 路径和功能能 C$ DD$ E$ 每个分区的的根目录。WWin20000 Proo版中，只有有Adminnistraator 和和Backuup Opeeratorrs组成员才才可连接，WWin20000 Serrver版本本 Servver Opperatrros组也可可以连接到这这些共享目录录 ADMIIN$ %SSYSTEMMROOT% 远程管理理用的共享目目录。它的路路径永远都 指向Win22000的安安装路径，比比如 c:winntt FAX$ 在Win20000 Seerv

17、er中中，FAX$在fax客户端端发传真的时时候会到。 IPC$ 空连连接。IPCC$共享提供供了登录到系系统的能力。 NetLogon 这个共享在Windows 2000 服务器的Net Login 服务在处 理登陆域请求时用到 PRINT$ %SYSTEMROOT%SYSTEM32SPOOLDRIVERS 用户远程管理打印机 2.20 禁止止dump file的的产生 dump文件在在系统崩溃和和蓝屏的时候候是一份很有有用的查找问问题的资料，然然而，它也能能够给黑客提提供一些敏感感信息比如一一些应用程序序的密码等。要要禁止它，打打开 控制面板系统属性高级启动和故障障恢复 把 写入调试信信息

18、 改成无。要要用的时候，可可以再重新打打开它。2.21 使用用文件加密系系统EFS Windowss 强大的加加密系统能够够给磁盘，文文件夹，文件件加上一层安安全保护。这这样可以防止止别人把你的的硬盘挂到别别的机器上以以读出里面的的数据。记住住要给文件夹夹也使用EFFS,而不仅仅仅是单个的的文件。 有关EFS的具体体信息可以查查看 http:/www.mmicrossoft.ccom/wiindowss2000/techiinfo/hhowitwworks/securrity/eencryppt.aspp2.22 锁住住注册表 在windowws，只有admiinistrratorss和Bac

19、kuup Opeeratorrs才有从网网络上访问注注册表的权限限。如果觉得得还不够的话话，可以进一步步设定注册表表访问权限，详细信息请请参考： http:/ 2.23 建议议安装urllscan（或直接安装装IISLoockdowwn）Urlscann 属于IIS Lockddown TTool的一一部分是个很很强的安全工工具，让站点管理理员有能力关掉不需要的功功能及禁止这这些HTTPP访问.把一些特定定的HTTPP访问禁止,UUrlscaan安全工具具可以防止可可能会造成伤伤害的访问,不让这些有有害访问到达达服务器端.IISLockkdown 可执行许多多步骤来帮助助加强 Weeb 服务器

20、器的安全。这这些步骤包括括： 锁定文件 禁用服务和组件件 安装 Urlsscan删除不需要的 Interrnet 服服务器应用程程序编程接口口 (ISAAPI) DDLL 脚本本映射 删除不需要要的目录 更改 ACL 您可以使用 IIIS Loockdowwn 来加强强许多类型的的 IIS 服务器角色色的安全。对对于各服务器器，您应挑选选可满足您 Web 服服务器需要的的限制性最高高的角色。2.24 关闭闭RPC DDCOM组件件Remote Proceedure Call (RPC)是Windoows操作系系统使用的一一种远程过程程调用协议，RPC提供进进程间交互通通信机制，允许在某台台计算

21、机上运运行程序无缝缝的在远程系系统上执行代代码。协议本本身源自OSSF RPCC协议，但增增加了Miccrosofft特定的扩扩展。DCOM（thhe Disstribuuted CComponnent OObjectt Modeel）扩展COM，以支持不同同计算机之间间的对象间通通信，这些计算机机可以是位于于局域网，广域网，甚至是互连连网。 DCCOM规定了了网络上组件件之间的通信信协定，因此此DCOM可以以说是组件之之间的TCPP/IP协议议。DCOM组件可可以远程执行行系统命令，并并且存在多个个已知的和未未知的缓冲区区溢出漏洞。关闭方法：依次打开 管理理工具、组件件服务，展开开组件服务中

22、中的计算机，右右键点击其中中的我的电脑脑中的属性，取取消默认属性性中的“在此计算机机上启用分布布式com”。TOMCAT系系统安全加固固1. Tomcat安安全配置1.1. 基本安全配置首先，新建一个个帐户1. 用ITTOMCATT_计算机名名建立一个个普通用户22. 为其设设置一个密码码3. 保证证密码永不不过期(PPasswoord Neever EExpirees)被选中中修改Tomcaat安装文件件夹的访问权权限1. 选选定环境参数数CATALLINA_HHOME或TTOMCATT_HOMEE指向的Toomcat安安装文件夹。2. 为ITTOMCATT_计算机名名用户赋予予读、写、执执

23、行的访问权权限。3. 为ITTOMCATT_计算机名名用户赋予予对WebAApps文件件夹的只读访访问权限。4. 如果某些些Web应用用程序需要写写访问权限，单单独为其授予予对那个文件件夹的写访问问权限。当你需要Tommcat作为为系统服务运运行时，采取取以下步骤：1. 到控制制面板，选选择管理工工具，然后后选择服务务。2. 找到Toomcat：比如Apaache TTomcatt.exe等等等，打开其其属性。3. 选择其登录(LLog)标签签。4. 选择以以.登录录(Logg ON UUsing)选项。5. 键入新建建的ITOOMCAT_计算机名用户作为用用户名。6. 输入密码码。7. 重启

24、机器器。1.2. 多重服务器的安安全防护如需要apacche htttpd保护护web-iinf或meeta-innf文件，可可以请在httpdd.conff 中加入下下列的内容：AllowOvverridde Nonnedeny frrom alllAllowOvverridde Nonnedeny frrom alll你也可以把Toomcat配配置为将所有有对.htaaccesss的请求都送送至错误网页页，在Tomcatt 的一般安安装中，请将将下列的seervlett-mappping 加加到在$CAATALINNA_HOMME/conf/Weeb.xmll 文件的serrvlet-ma

25、ppiing 项目目后面：invvoker*.httaccesss这会将所有Weeb应用程序序中对.httaccesss 的请求求映射到innvokerr servvlet，由由于无法加载载名为invvoker 的servllet 类，因因此会产生“HTTP 404: Not FFound”的错误网页页。从技术层层面讲，这种种形式并不好好，因为如果果Tomcaat可以找到到并加载所请请求名称的类类（.htaaccesss），它便可可能执行该类类而非输出消消息错误消息息1.3. 配置服务器默认认端口1. tomcat安安装目标下的的/conff目录下2. 编辑serveer.xmll文件3. 修

26、改port 8080为为你需要端口口号，如800.1.4. 关闭服务器端口口1. tomcat安安装目标下的的/conff目录下2. 编辑serveer.xmll文件3. 修改，这样就只有在ttelnett到80066，并且输入入venuus才能够够关闭Tommcat1.5. 默认错误网页设设置1、将附件的iindex.htm文件件拷贝至wwebapppsROOOT目录内，删删除或改名原原来的inddex.jssp文件。 2、用记事本打打开connfwebb.xml文文件，在文件件的倒数第二二行（一行之之前）加入以以下内容： 404/eerror_404.hhtm1.6. 配置支持SSLL配置

27、支持SSLL的方法(分别别以TESTT,TestAAdmin两两实际访问对对象举例)一、 配置tomcaat支持SSL方法1. 生成SSL需要要用到的keeypairr。一般在%javva_homme%/biin下有一个个keytoool，在命命令行窗口，转转移到该目录录下，运行：keytooll -gennkey -keyallg RSAA在keytoool运行时，会会询问两次密密码，密码是是自己设的（例例：1234456），要要记住，随后后会用到。最最后的那个密密码输回车(代表与第一一次输的密码码相同),中间会问问一些国家啊啊什么的，随随便乱填好了了。生成的文文件叫“.kkeystoore

28、”，可可以在-geenkey时时指定存放该该文件路径、或或名称等(见该命令帮帮助)。为了使用用方便，本文文将其放在CC盘根目录下下。2. 修改tomcaat的conf目录录下的serrver.xxml文件去掉有关ssll的那个connnectoor的注释符符号。注注意，它里面面默认没有指指定keysstoreffile等，为为了避免路径径错误，建议议在servver.xmml中显式地地指定keyystoreePass与与keysttoreFiile，设好好后如下：注意：即使是在在WINDOOWS系统上上，servver.xmml中的大小小写也是敏感感的。红色斜斜体部分请根根据实际情况况填写。3

29、. 重启tomcaat二、 配置JAVA环环境支持SSSL1. 拷贝文件 将Prrogramm FileesJavvajdkk1.5.00_09jjreliib 下的的 jssee.jar 拷贝到 jddk1.5.0_09jrellibexxt 下。2. 生成证书文件 访问站站点IE，如果用用户管理模块块要配置为hhttps登登录，即访问问用户管理网网页的地址（比比如httpps:/1192.1668.1144.73:88443/TTestAddmin），获获取证书，单单击查看证书，在弹出的对话框框中选择详细信息，然后再单单击拷贝文件，根据提供供的向导生成成待访问网页页的证书文件件: 将生成成

30、的文件直接接保存在jaavajddk1.5.0_09jrellibseecuritty目录下，文文件名可任意意，以容易识识别为准：3. 用keytoool工具把刚刚才导出的证证书倒入本地地keysttore： 命令行行到jdk1.55.0_099jrelibssecuriity下，执执行以下命令令：keytooll -impport -noproompt -keysttore ccacertts -sttorepaass chhangeiit -allias TTestAddminHtttps -file TestAAdminHHttps.cer其中TestAAdminHHttps为为当前证书

31、在在keysttore中的的唯一标识符符，又称别名名 ，可随意取取名，只要不不与已经存在在的重复，以以容易识别为为准。TesstAdmiinHttpps.cerr为刚才保存存的证书文件件名。 如果刚刚才的证书需需要重新导入入，可通过以以下命令先删删除导入的证证书：keytooll -dellete -keysttore ccacertts -sttorepaass chhangeiit -allias 别名 -fiile 证书书文件（*.cerr）4. 重启tomcaat注意：1一共需要导导入两个证书书，分别对应应TestAAdmin和和TEST，步步骤完全相同同，只是在做做操作（2）时访问的

32、的页面不同：TestAdmmin访问用用户管理网页页的地址（例例如： htttps:/192.168.1114.733:84433/TesttAdminn）TEST访问TTEST网页页的地址（例例如： htttps:/192.168.1114.733:84433/TESTT）2配置前请先先确保环境变变量设置正确确了，需要在在环境变量中中设置JAVVA_HOMME，并加入入PATH。MS SQL系系统安全加固固1. 安装最新安全补补丁1.1. 安装操作系统提提供商发布的的最新的安全全补丁1) 最新补丁下载地地址是：http:/www.mmicrossoft.ccom/sqql/dowwnload

33、ds/deffault.asp2) 安装补丁详细操操作请参照其其中的reaadme文件件。2. 网络和系统服务务2.1. 检查系统文件是是装置在NTTFS分区看SQLSERRVER安装装盘符的属性性2.2. 默认用户状态及及口令更改情情况查看用户状态运行SQL查询询分析器，执执行（syssxlogiins）select*fromssysuseersSelectnname,PPasswoordfroomsyslloginsswhereepasswwordissnulloorderbbynamee#查看口令令为空的用户户。按F5更改帐户户口令运行SQL查询询分析器，执执行Usemastterexe

34、csp_passwwordold_ppasswoord,new_ppasswoord,accoounnamme按F52.3. 停用不必要的存存储过程停用不必要的存存储过程，可可能会造成企企业管理器一一些功能特性性的丢失。Xp_cmdsshellSp_OACrreateSSp_OADDestrooySp_OOAGetEErrorIInfoSpp_OAGeetProppertySSp_OAMMethoddSp_OAASetPrroperttySp_OOAStoppXp_regaaddmulltistrringXpp_regddeleteekeyXpp_regddeleteevalueeXp_ree

35、genummvalueesXp_rregremmovemuultisttring注意:这里列出出xp_reegreadd/xp_rregwriite的移除除会影响一些些主要功能包包括日志和SSP的安装p_sdideebugxpp_avaiilableemediaaxp_cmmdshelllxp_ddeleteemailxxp_dirrtreexxp_droopwebttaskxpp_dsniinfoxpp_enummdsnxpp_enummerrorrlogsxxp_enuumgrouupsxp_enumqqueueddtaskssxp_evventloogxp_ffindneextmsggx

36、p_fiixeddrrivesxxp_gettfileddetaillsxp_ggetnettnamexxp_graantlogginxp_logevventxpp_logiinconffigxp_loginninfoxxp_makkewebttaskxpp_msveerxp_pperfenndxp_pperfmoonitorrxp_peerfsammplexpp_perffstarttxp_reeaderrrorloggxp_reeadmaiilxp_rrevokeeloginnxp_ruunwebttaskxpp_scheedulerrsignaalxp_ssendmaailxp_serv

37、iiceconntrolxxp_snmmp_gettstateexp_snnmp_raaisetrrapxp_sprinntfxp_sqlinnventooryxp_sqlreegisteerxp_ssqltraacexp_sscannfxp_sstartmmailxpp_stoppmailxxp_subbdirsxxp_uncc_to_ddrivexxp_dirrtree也可以通过安装装相应的补丁丁消除取一些些存储过程带带来的隐患。2.4. 错误日志管理错误日志存储在在：MicroosoftSSQLSerrver.loggerroorlog中中2.5. 拒绝来自14334端口的探探测通过操作系统的的IPSecc过滤拒绝掉掉1434端端口的UDPP通讯，可以以尽可能地隐隐藏SQLSServerr。2.6. 对网络连接进行行IP限制使用操作系统自自己的IPSSec实现IIP数据包的的安全性。对对IP连接进进行限制，只只保证自己的的IP能够访访问，同时也也拒绝其他IIP进行的端端口连接。