WebLogicWeb服务器安全配置风险评估检查表.docVIP

WebLogicWeb服务器安全配置基线 目 录 第1章 概述 1 1.1 目的 1 1.2 适用范围 1 1.3 适用版本 1 第2章 账号管理、认证授权 2 2.1 账号 2 2.1.1 账号锁定策略 2 2.2 口令 2 2.2.1 密码复杂度 2 第3章 日志配置操作 4 3.1 日志配置 4 3.1.1 审核登录 4 第4章 IP协议安全配置 5 4.1 IP协议 5 4.1.1 支持加密协议 5 4.1.2 限制应用服务器Socket数量 5 4.1.3 禁用Send Server Header 6 第5章 设备其他配置操作 7 5.1 安全管理 7 5.1.1 定时登出 7 5.1.2 更改默认端口 7 5.1.3 错误页面处理 8 5.1.4 目录列表访问限制 8 概述 目的 本文档规定了WebLogic Web服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行WebLogic Web服务器的安全配置。 适用范围 本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。 适用版本 6.x、7.x、8.x版本的WebLogic Web服务器。 现在最新的weblogic服务器时9.1，此文件不适用与最新的服务器 账号管理、认证授权 账号 账号锁定策略 安全基线项目名称 WebLogic账号锁定安全基线要求项 安全基线编号 SBL-WebLogic-02-01-01 安全基线项说明 要求设定帐号锁定次数和时间 检测操作步骤 1、参考配置操作 查看以管理员身份登录控制台 1. 点击左侧面板”Security”文件夹，展开”REALM” 2. 点击右侧面板中的”User Lock”标签，查看Lockout Enabled，Lockout Threshold，Lockout Duration等 基线符合性判定依据 1、判定条件 要求Lockout Enabled=true; Lockout Threshold=5; Lockout Duration=30 备注 口令 密码复杂度 安全基线项目名称 WebLogic密码复杂度安全基线要求项 安全基线编号 SBL-WebLogic-02-01-01 安全基线项说明 对于采用静态口令认证技术的设备，口令长度至少8位。 检测操作步骤 1、参考配置操作 查看WebLogic安装目录下的perties配置文件 2、补充操作说明 口令要求：长度至少8位。 基线符合性判定依据 1、判定条件 weblogic.system.minPasswordLen=8 备注  日志配置操作 日志配置 审核登录 安全基线项目名称 WebLogic审核登录安全基线要求项 安全基线编号 SBL-WebLogic-03-01-01 安全基线项说明 设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。 检测操作步骤 1、参考配置操作 查看WebLogic安装目录下的perties配置文件 基线符合性判定依据 1、判定条件 weblogic.system.enableReverseDNSLookups=true 备注  IP协议安全配置 IP协议 支持加密协议 安全基线项目名称 WebLogic支持加密协议安全基线要求项 安全基线编号 SBL-WebLogic-04-01-01 安全基线项说明 对于通过HTTP协议进行远程维护的设备，设备应支持使用HTTPS等加密协议。 检测操作步骤 1、参考配置操作 查看WebLogic安装目录下的perties配置文件 基线符合性判定依据 1、判定条件 weblogic.system.SSLListenPort=portNumber weblogic.security.certificate.server=mycert.der weblogic.security.key.server=mykey.der weblogic.security.certificate.authority=CA.der weblogic.security.certificateCacheSize=5 weblogic.security.clientRootCA=anyValidCertificate weblogic.httpd.register.authenticated=\??weblogic.t3.srvr.ClientAuthenticationServlet weblogic.httpd.register.T3AdminCaptureRootCA=admin.T3AdminCapt