服务器安全检查基准.docx

服务器安全检查基准检查项检查子项检杳内容问题带来的风险检查方式检查结果安全管理用户宣里系统默认帐户和用户名进行改名，密码符合长度要求；恶意分子利用默认帐号暴力破解。常见的暴力破解办法就是利用大多数管理员安全意识疏忽采用默认管理员帐号。运用黑客工具可暴力破解管理员帐号的密码。进入控制面板->管理工具->计算机管理->本地用户和组，在“用户中，选择默认管理员，点右键，选择"重命名。命名长度必须是8位以上。合理规划帐户的权限，帐户的分配基于最小权限原则；多余权限会被黑客利用。1,在"开始一"运行，输入gpedit.msc,打开组策略管理器2,在组策略管理中，依次打开“计算机配置”一一"Windows设置一安全设置本地策略一“用户权限指派。3,在用户权限指派中，根据你的实际情况，对每个用户指定最适当的权利。用户和帐户集中统一管理，专人负责发放和回收；不规范的帐号发放会让管理出现混舌侨让黑客有机可寻。进入控制面板->管理工具->计算机管理->本地用户和组，根据需要管理帐户。进入控制面板->管理工具->本地当用户连续认证失安全策略，在帐败次数超过3次,锁会给暴力破解带户策略->帐户锁定该用户使用的账来机会。定策略：号。查看是否"账户锁定阀值设置为小于等于3次，帐户锁定时间设置为20分钟，复位帐户锁定计数器设置为20分钟以后。利用这些开放的共享信息，恶意人员通过这些可禁止网络默认共享，以获得系统信禁用netbios服务禁止枚举域内用户息，并通过IPC$枚举域内用户。注册在HKEY_LOCAL_M全ACHINESYSTEMXCurrentContr会被黑客使用olSetServicesT防范SYN攻击SYN碎用口cpipParameterDDOS攻击。S下，修改SynAttackProteCt的值为2o并添加以下数据EnabIePMTUDiscoveryREG_DW0RD0NoNameReIeaseOnDemandREG_DWORD1EnabIeDeadGWDetectREG_DWORD0KeepAIiveTimeREG_DWORD300z000糠备份将数据备份到文件或磁带，备份系统状态检查防止硬件故障导致数据无法使用。定期检查备份系统的状态。计划使用增量和完全备份结合，良好控制备份的可还原性；防止硬件故障导致数据无法使用。定期备份数据。漏洞与补T定期安装补丁和安全更新，包括系统、组件、应用程序的更新；黑客会利用WINDoWS漏洞对系统进行攻击。定期更新补丁。定期检查补丁安装的情况，可用日志与MBSA分析结合检查；黑客会利用WlNDoWS漏洞对系统进行攻击。定期核查并记录在案。检查Windows服务器是否都安装了防病毒软件，病毒库是否升级到了最新版本Windows系统易感染病毒，给内部网带来较大风险安装防病毒软件，升级防病毒库到最新如需启用IIS服务，则将HS升级到最新补丁。没有及时更新系统补丁，这样一旦发现系统漏洞，则存在被黑客攻击的安全隐患。控制面板->添加或删除程序->显示更新打钩，查看是否安装IIS补丁包。安全配置本地策略模板使用securews.inf配置模板进行修改和对应分析；预防黑客攻击。使用安全配置审核审核登陆事件和目录访问；预防黑客攻击和用户的恶意访问。在日志中审核登陆记录，并审核恶意访问的记录。数据糠所有分区使用减少磁盘碎片，将所有FAT32转安全存储NTFS;扩展磁盘配额、换为NTFS格式。配置EFS等安全功能。检查每个卷，确定所有卷只给防止用户的恶意只给administrator组和访问。administrator组system完全权限；和system完全权限。重要数据的本地存防止用户的恶意配置EFS给文件储要求使用EFS加访问。加密。幡密保护；保护关键系统间的通信防止在传输过程要求数据通讯的要求使用IPSEC封中被侦听。双方都配置装，避免被侦听；IPSECo这些不必要的服关闭WindOWS主务开启完全可能机的一些有危险检查Windows服务被恶意分子利的缺省服务:禁用服务器是否开启了一些访问访问危险的缺省服务，若用，有些服务的alerter、控制控制存在应及时关闭。否开启有可能通过clipbook.网络共享资源泄Commputer则会成为潜在威胁。漏出系统的敏感browser.信息或者通过一messenger.些不必要的服务开启利用共享资源浏览一些而这些其它机器上的信息，信息的泄漏都是在用户不知情的情况下发生的。因为开启了这些服务后，这些服务会自动跟踪网络上一个域内的机器，允许用户通过网上邻居来发现他们不知道确切名字的共享资源。而且浏览这些资源是不通过彳不可授权的。RoutingandRemoteAccess、Telnetsremoteregistry等服务检查Windows服务器是否没有关闭远程注册表服务如果恶意分子利用远程修改注册表键值，可以修关闭windows主机的远程注册表服务remote改部分主机属性，为远程获取主机信息，甚至远程控制主机提供便利。应及时关闭远程注册表项。registry核对网络访问，核防火墙配置默认禁防止黑客利用多查异常连接。配置止所有网络访问的余的网络连接。防火墙只开放允网络访问条件在RJRJ信通信；许的连接和服务。使用TCP/IP筛选过控制滤网络访问，至少关减少黑客攻击的关闭一些不必要闭高危和服务不必风险。的TCP/IP端口。要的端口；检查Windows服务Dr.Watson是器注册表Microsoft用来HKLMsoftware处理应用程序错日常异常microsoftDrWats误的一个实用程更改键值为0维护雌OnXCreateCrashD序。它可以ump键值是否不合DUmP一个出错理。若存在,一旦存应用程序的内存到磁盘上很可能泄以便8彳论析。露一些敏感信息。但是DUmP出来（注:Dr.Watson的数据中肯能会是MiCrOSoft用来含有敏感信息，处理应用程序错误因此应该防止的一个实用程序。它Dr.Watson可以DUmP一个出crashdump至（J错应用程序的内存磁盘上。以便进行分析。但是Dump出来的数据中肯能会含有敏感信息，因此应该防止Dr.Watsoncrashdump至（J磁盘上。）通过登录查看防止有恶意用户Windows主机注册故意制造程序错表后发现注册表误来重起机器以HKLMSystemCu进行破坏操作。更改键值为0rrentControlSetC致使正在编辑、OntroIXCrashContr修改的资料和信olAutoReboott息来不及保存就值不合理，存在安全重启机器，导致隐患应该及时更改。文限失。或者使正在运行的程序由于没有写入成功，导致文件破坏。有一些恶意程序需要重新启动后才能运行，如果键值不合理，遭到恶意程序入侵后恶意程序主动制造程序错误导致系统自动重新启动，会造成恶意程序直接运行，泄漏系统信息或对系统造成破坏。