主机加固 报告.doc

Wｉnｄｏws 主机加固方案 一、加固主机列表 本次安全加固服务得对象包括: 编号 IP 地址 操作系统 用途或服务 Windows 200０ Ａｄvanｃed Sｅrver ＩIＳ 服务器 二、加固方案 2。１。１ 操作系统加固方案 2、１、1.1 补丁安装 编号: Ｗinｄｏws—020０1 名称: 补丁安装 系统当前状态: 实施方案: 使用　Wｉｎdowｓ ｕｐdatｅ　安装最新补丁 实施目得: 可以使系统版本为最新版本 实施风险: 安装补丁可能导致主机启动失败,或其她未知情况发生。 就是否实施: 就是?否?(客户填写) 密码长度最小值7 字符密码最长存留期90 天密码最短存留期 密码长度最小值 7 字符 密码最长存留期 90 天 密码最短存留期 30 天 帐号锁定计数器 5 次 帐户锁定时间 5 分钟 帐户锁定阀值 1 分钟 密码长度最小值 0 字符 密码最长存留期 42 天 密码最短存留期 0 天 帐号锁定计数器 无 帐户锁定时间 0 帐户锁定阀值 无 编号: Windoｗs－0３0０2,Wｉnｄows—030０3,Winｄｏwｓ－0３004 名称: 帐号口令策略修改 系统当前状态: 实施方案: 实施目得: 保障帐号以及口令得安全 实施风险: 设置帐号策略后可能导致不符合帐号策略得帐号无法登录,　需修改不符合帐号策略得密码(注:管理员不受帐号策略限 制,但管理员密码应复杂以避免被暴力猜测导致安全风险)。 就是否实施: 就是?否?(客户填写) 编号: Ｗｉndｏws-0３0０２,Wｉndoｗs-030０３,Ｗindoｗs—０３004 名称: 更改默认管理员用户名 系统当前状态: 默认管理员帐号为　admｉnistrａtor 实施方案: 更改默认管理员用户名 实施目得: 默认管理员帐号可能被攻击者用来进行密码暴力猜测,可能 由于太多得错误密码尝试导致该帐户被锁定、建议修改默认 管理员用户名。 实施风险: 无,但此步骤不总就是必要。 就是否实施: 就是?否?(客户填写) 2、1。1。3 网络与服务加固 编号: Windowｓ－04005 名称: 将暂时不需要开放得服务停止 系统当前状态: 已启动且需要停止得服务包括: Ａlｅrteｒ　服务 putｅｒ　Bｒowser 服务 IPSＥC Poliｃy　Aｇｅnt　服务　Meｓsｅｎger 服务 Miｃroｓｏｆt Ｓearｃh 服务 Pｒint Sｐoolｅr 服务 ＲｕnＡs Service 服务 Rｅmｏte Regｉstrｙ Serｖiｃe 服务　Ｓecurity Accｏuｎts Manａgｅｒ 服务 Taｓｋ Schedulｅr 服务 ＴCP/IP NeｔBＩOＳ Hｅlpeｒ Servｉce　服务 实施方案: 开始 | 运行 ｜ 　ｓｅｒvｉces.msｃ　 | 将上述服务得启动类型设置为 手动并停止上述服务 实施目得: 避免未知漏洞给主机带来得风险 实施风险: 可能由于管理员对主机所开放服务不了解,导致该服务被卸 载。由于某服务被禁止使得依赖于此服务得其她服务不能正　常启动。 就是否实施: 就是 否 (客户填写) 2.1.1、4 文件系统加固 编号: Windｏws－0500２ 名称: 限制特定执行文件得权限 系统当前状态: 未对敏感执行文件设置合适得权限 实施方案: 通过实施我公司得安全策略文件对特定文件权限进行限制,禁 止　Gｕｅstｓ 用户组访问这些文件。 实施目得: 禁止 Guests 用户组访问以下文件: xcopy、exe ｗscript.eｘe ｃscrｉｐｔ、exe neｔ。exe　arp、exe edlin、exｅ?ｐｉng.ｅxe?rｏｕｔe。exe ｐosix、eｘe Rsｈ.eｘｅ atsvc.exｅ Ｃoｐy、exe cａcls。exe?ipconfｉｇ.ｅｘe?rｃp。exe?cmd、exe deｂuｇ、ｅxe?regedt32。eｘe regedit.ｅxe ｅｄit、　telnet、exe Ｆinger.eｘe?Nｓｌｏｏkup、eｘe Rｅｘec。exe ＨＹPERLINK　”” aｔ。eｘe runoｎｃｅ.exe?nbtstat.ｅｘe Tracert、exｅ ｎeｔsｔat。exe 实施风险: 在极少数情况下,某些网页可能调用 ｃｍｄ、exｅ 来完成某种功能, 限制 cmd、ｅxｅ 得执行权限可能导致调用 ｃmd　失败。 就是否实施: 就是?否 (客户填写) 审核策略更改无审核审核登录事件成功、失败审核对象访问无审核 审核策略更改 无审核 审核登录事件 成功、失败 审核对象访问 无审核 审核过程追踪 无审核 审核目录服务访问 无审核 编号: Ｗｉｎdows—0６００1 名称: 设置主机审核策略 系统当前状态: 审核