主机加固报告.doc

Tosec.Cn 第  PAGE 27 页 共 27 页 Windows 主机加固方案 一、加固主机列表 本次安全加固服务的对象包括： 编号IP 地址操作系统用途或服务Windows 2000 Advanced Server IIS 服务器二、加固方案 2.1.1 操作系统加固方案 补丁安装 编号：Windows-02001名称：补丁安装系统当前状态：实施方案：使用 Windows update 安装最新补丁实施目的：可以使系统版本为最新版本实施风险：安装补丁可能导致主机启动失败，或其他未知情况发生。是否实施：是 否 （客户填写） 密码长度最小值7 字符密码最长存留期90 天密码最短存留期30 天帐号锁定计数器5 次帐户锁定时间5 分钟帐户锁定阀值1 分钟 密码长度最小值0 字符密码最长存留期42 天密码最短存留期0 天帐号锁定计数器无帐户锁定时间0帐户锁定阀值无 帐号、口令策略修改 编号：Windows-03002,Windows-03003,Windows-03004名称：帐号口令策略修改系统当前状态：实施方案：实施目的：保障帐号以及口令的安全实施风险：设置帐号策略后可能导致不符合帐号策略的帐号无法登录， 需修改不符合帐号策略的密码（注：管理员不受帐号策略限 制，但管理员密码应复杂以避免被暴力猜测导致安全风险）。是否实施：是 否 （客户填写）编号：Windows-03002,Windows-03003,Windows-03004名称：更改默认管理员用户名系统当前状态：默认管理员帐号为 administrator实施方案：更改默认管理员用户名实施目的：默认管理员帐号可能被攻击者用来进行密码暴力猜测，可能 由于太多的错误密码尝试导致该帐户被锁定。建议修改默认Tosec.Cn 管理员用户名。实施风险：无，但此步骤不总是必要。是否实施：是 否 （客户填写） 网络与服务加固 编号：Windows-04005名称：将暂时不需要开放的服务停止系统当前状态：已启动且需要停止的服务包括： Alerter 服务 Computer Browser 服务 IPSEC Policy Agent 服务 Messenger 服务 Microsoft Search 服务 Print Spooler 服务 RunAs Service 服务 Remote Registry Service 服务 Security Accounts Manager 服务 Task Scheduler 服务 TCP/IP NetBIOS Helper Service 服务实施方案：开始 | 运行 | services.msc | 将上述服务的启动类型设置为 手动并停止上述服务实施目的：避免未知漏洞给主机带来的风险实施风险：可能由于管理员对主机所开放服务不了解，导致该服务被卸 载。由于某服务被禁止使得依赖于此服务的其他服务不能正 常启动。是否实施：是 否 （客户填写） 文件系统加固 编号：Windows-05002名称：限制特定执行文件的权限系统当前状态：未对敏感执行文件设置合适的权限实施方案：通过实施我公司的安全策略文件对特定文件权限进行限制，禁 止 Guests 用户组访问这些文件。实施目的：禁止 Guests 用户组访问以下文件： xcopy.exe wscript.exe cscript.exe net.exe arp.exe edlin.exe ping.exe route.exe posix.exe Rsh.exe atsvc.exe Copy.exe cacls.exe ipconfig.exe rcp.exe cmd.exe debug.exe regedt32.exe regedit.exe telnet.exe Finger.exe Nslookup.exe Rexec.exe  HYPERLINK ftp://ftp.exe/ ftp.exe at.exe runonce.exe nbtstat.exe Tracert.exe netstat.exe实施风险：在极少数情况下，某些网页可能调用 cmd.exe 来完成某种功能， 限制 cmd.exe 的执行权限可能导致调用 cmd 失败。是否实施：是 否 （客户填写） 审核策略更改无审核审核登录事件成功、失败审核对象访问无审核审核过程追踪无审核