当前位置:文档之家› Windows系统安全加固技术指导书

Windows系统安全加固技术指导书

甘肃海丰信息科技有限公司Windows系统安全加固技术指导书◆版本◆密级【绝密】◆发布甘肃海丰科技◆编号GSHF-0005-OPM-©2006-2020 HIGHFLYER INFORMATION TECHNOLOGY ,INC.目录文档信息................................................................. 错误!未定义书签。

前言.................................................................... 错误!未定义书签。

一、编制说明............................................................ 错误!未定义书签。

二、参照标准文件........................................................ 错误!未定义书签。

三、加固原则............................................................ 错误!未定义书签。

1.业务主导原则..................................................... 错误!未定义书签。

2.业务影响最小化原则............................................... 错误!未定义书签。

3.实施风险控制..................................................... 错误!未定义书签。

(一)主机系统............................................................. 错误!未定义书签。

(二)数据库或其他应用 ..................................................... 错误!未定义书签。

4.保护重点......................................................... 错误!未定义书签。

5.灵活实施......................................................... 错误!未定义书签。

6.周期性的安全评估................................................. 错误!未定义书签。

四、安全加固流程........................................................ 错误!未定义书签。

1.主机分析安全加固................................................. 错误!未定义书签。

2.业务系统安全加固................................................. 错误!未定义书签。

五、W INDOWS 2003操作系统加固指南......................................... 错误!未定义书签。

1.系统信息......................................................... 错误!未定义书签。

2.补丁管理......................................................... 错误!未定义书签。

(一)补丁安装............................................................. 错误!未定义书签。

3.账号口令......................................................... 错误!未定义书签。

(一)优化账号............................................................. 错误!未定义书签。

(二)口令策略............................................................. 错误!未定义书签。

4.网络服务......................................................... 错误!未定义书签。

(三)优化服务............................................................. 错误!未定义书签。

(四)关闭共享............................................................. 错误!未定义书签。

(五)网络限制............................................................. 错误!未定义书签。

5.文件系统......................................................... 错误!未定义书签。

(一)使用NTFS ............................................................. 错误!未定义书签。

(二)检查Everyone权限 .................................................... 错误!未定义书签。

(三)限制命令权限......................................................... 错误!未定义书签。

6.日志审核......................................................... 错误!未定义书签。

(一)增强日志............................................................. 错误!未定义书签。

(二)增强审核............................................................. 错误!未定义书签。

文档信息■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属甘肃海丰所有,受到有关产权及版权法保护。

任何个人、机构未经甘肃海丰的书面授权许可,不得以任何方式复制或引用本文的任何片断。

■变更记录时间版本说明修改人2008-07-09新建本文档郑方2009-05-27修正了4处错误、删除了IIS5加固部分郑方2010-10-11新增加固IIS6、SQL2000加固操作指南郑方前言一、编制说明信息安全加固作为信息安全体系建设的重要组成部分,本方案的编制是在充分考虑了客户信息系统,Windows服务器的现状和行业最佳实践,通过风险评估总结了主机系统现有的安全现状,并参考了各类安全政策文件,继承和吸收了国家等级保护、风险评估的经验成果。

本指导书概括地阐述了安全加固介绍、安全加固内容等方面内容。

二、参照标准文件1)《信息安全技术信息安全风险评估规范》2)《业务系统安全等级保护基本要求(报批稿)》3)《业务系统安全等级保护测评准则》(送审稿) 》三、加固原则在上述标准文件的基础上,我们建议本次加固归纳了6个原则:1.业务主导原则业务系统加固是围绕系统所承载业务的保护。

对业务系统进行加固的根本目的不是保护系统的网络节点、系统节点,而是业务系统所承载的业务、数据以及提供的服务,这种以业务为核心的思想将贯穿整个加固的各个阶段。

因此明确系统业务、分析业务环境、划分业务边界、导出业务安全需求是加固的首要任务,也是决定加固效果和质量的最关键阶段。

要确保业务安全,取决于网络层、系统层、应用层、数据库层等多个层面的安全,因此安全加固服务涉及多个层面、是一个复杂的、循序渐进的过程,不能一撮而就;不同业务系统要结合系统自身身情况制定相应加固方案,加固的预期效果也应不尽相同。

2.业务影响最小化原则对于在线系统的加固服务,应通过必要措施将对业务的影响降至最低,并为现场安全测试、检查、加固提供完备的应急服务。

3.实施风险控制在进行安全加固前,进行小范围的全景负载模拟试验,检验安全加固的有效性和安全可靠性。

在加固过程中安全实施顾问会对操作的每一个步骤及系统状态进行详细记录,一旦发现异常立刻退回上一步。

安全加固过程中可能带来的风险的步骤有:(一)主机系统安装补丁;可能会导致某些特定的服务不可用甚至主机崩溃(尽量采用可卸载的Patch安装方式,如无法卸载则由我方根据以往的经验以及被加固主机的应用特点提出我方的建议,由管理员最终确认)。

修改配置文件禁止某些默认用户登陆;可能导致某些特定服务不可用(改回配置文件即可恢复)。

停掉某些不必要的系统服务;可能导致某些应用程序不可用,需管理员事先确认(重新启动服务即可恢复)。

对主机上的某些应用程序进行升级或对配置文件进行调整,以增强安全性;可能导致应用程序运行不正常(改回配置即可恢复)。

文件系统加固,调整重要系统文件的安全属性和存取权限;可能导致某些程序无法正常运行(改回属性和权限即可恢复)。

(二)数据库或其他应用针对系统平台选择安装补丁可能导致数据库或其他应用无法正常工作,其他依赖于此的应用程序也将受到影响(根据我方的实施经验由实施工程师提出建议,由数据库或应用管理员进行确认,必要时可咨询厂商技术人员)将数据库或其他应用的某些帐户的密码改为强壮的密码可能导致某些登陆数据库的应用程序需要重新设置(加固前通知相关应用系统管理员,同时设置应用程序)禁止数据库或其他应用系统使用不必要的网络协议可能导致某些依赖于相关协议的应用程序无法正常工作(改动前需由数据库或应用管理员进行确认)正确分配数据库或其他应用相关文件的访问权限可能导致被遗漏的用户无法访问相关文件(重新设置即可)删除无用的存储过程或扩展存储过程可能导致数据库的某些功能无法使用,实施前需经数据库管理员确认4.保护重点加固不是事无巨细,对整个单位的所有区域进行面面俱到的保护,而是重点考虑关键业务、关键业务流程、关键信息资产、关键区域,保证加固工作重点突出、有的放矢、目标明确。

5.灵活实施由于业务系统/网络是与各省公司具体环境相关,不可能设计一种通用的加固方案,也不存在对所有单位都适用的单一解决方案。

应根据实际情况灵活实施,满足各类单位的需要。

相关主题

相关文档推荐: