致远 协同管理软件 V7.1SP1 系统安全注意事项.docxVIP

北京致远互联软件股份有限公司 PAGE 3 / NUMPAGES 8 北京致远互联软件股份有限公司 PAGE 1 / NUMPAGES 8 致远协同管理软件 系统安全注意事项 北京致远互联软件股份有限公司 2019年8月 前言 本手册对协同管理系统常见的系统安全相关事宜进行说明。如对手册存在疑问，可与致远互联的客户服务人员联系。 目录 TOC \o 1-3 \h \z \u 致远协同管理软件 1 系统安全注意事项 1 1 Windows系统安全 4 1.1 Windows安全补丁 4 1.2 Windows分区 4 1.3 Windows帐户 4 1.4 Windows服务 4 1.5 Windows策略 5 1.6 网络服务安全管理 5 1.7 其他 6 2 服务端安全 7 2.1 数据库安全 7 2.2 中间件安全 7 2.3 Apache安全 7 2.4 操作系统安全 7 2.5 启用HTTPS 7 2.6 数据信息安全 7 3 客户端安全 8 3.1 客户端环境安全 8 3.2 客户端认证安全 8 Windows系统安全 本章节主要描述操作系统环境安全方面的事宜，请认真阅读。 Windows安全补丁 请定期从微软网站更新最新的安全补丁。 Windows分区 分区要求 系统分区、协同应用程序所在分区必须为NTFS格式。 权限要求 系统分区只给administrator、system权限； 协同应用程序所在分区只给administrator、system权限，若为Win2008、Vista、Win7操作系统，启动协同的startup.bat时，请以管理员身份启动； C:/Documents and Settings/All Users/Application Data目录需再次设置权限给administrator、system，去掉everyone用户，其他分区只给administrator用户权限。 Windows帐户 尽量不创建其他系统管理用户，更改Administrator用户默认的账户名及描述，密码最好采用数字加大小写字母组合且有一定长度，并定期更改密码。 建议新建一个名为Administrator的陷阱帐号，为其设置最小的权限，然后输入复杂组合的密码。 将Guest账户禁用并更改名称和描述，然后输入一个复杂的密码。 Windows服务 在运行中输入services.msc回车，打开Windows服务项，禁用掉一些不需要可能造成安全隐患的服务。 建议禁止服务项有以下几种： Remote Registry服务，远程连接注册表 Task Scheduler服务，自动运行程序 Telnet服务，telnet远程登录 Workstation服务，禁止掉，以防止一些系统漏洞、敏感信息的获取 Server服务，默认共享，服务器不需要共享可禁止 TCP/IP NetBIOS Helper服务，服务器不需要共享可禁止 IIS服务，不需要则停用或卸载，IIS在操作系统安装时可选择不安装 Windows策略 在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置。 在安全设置-帐户策略-帐户锁定策略，将帐户设为：三次登陆无效、锁定时间为30分钟、复位锁定计数设为30分钟。 在安全设置-本地策略-安全选项中，对以下描述选项做对应操作： 交互式登陆：不显示上次的用户名 启用 网络访问：可匿名访问的共享 全部删除 网络访问：可匿名访问的命名管道 全部删除 网络访问：可远程访问的注册表路径 全部删除 网络访问：可远程访问的注册表路径和子路径 全部删除 帐户：重命名来宾帐户 重命名一个来宾帐户 在安全设置-本地策略-用户权限分配中，对以下描述选项做对应操作： 关闭系统：只有Administrators组、其它全部删除； 通过终端服务拒绝登陆：加入Guests、Users组； 通过终端服务允许登陆：只加入Administrators组其他全部删除； 安全设置-本地策略-审核策略，在创建审核项目时，需要注意的是如果审核的项目太多，生成的事件也就越多，那么要想发现严重的事件也越难，当然如果审核的太少也会影响你发现严重的事件，你需要根据情况在这二者之